Sogeti cybersecurity

Cybersécurité: conserver
l’avantage dans la partie
Erik van Ommeren
Martin Borrett
Marinus Kuivenhoven
Les fondamentaux
Coécrit avec IBM

Cybersécurité :
conserver l’avantage
dans la partie
Les fondamentaux
Erik van Ommeren Sogeti
Martin Borrett IBM
Marinus Kuivenhoven Sogeti
2014
Sogeti et IBM

Cet ouvrage est protégé sous licence Creative Commons Attribution-Pas de Modification
3.0 France. Pour consulter une copie de la présente license, rendez-vous sur : http://
creativecommons.org/licenses/by-nd/3.0/fr/legalcode ou faites une demande par
courrier à Creative Commons, 543 Howard Street, 5th
Floor, San Francisco, California, 94105,
États-Unis.
Vous êtes autorisé à :
Partager – copier, distribuer et communiquer le matériel par tous moyens et
sous tous formats pour toute utilisation, y compris commerciale. L’Offrant ne
peut retirer les autorisations concédées par la licence tant que vous appliquez les
termes de cette licence.
Selon les conditions suivantes :
• Attribution – Vous devez créditer l’Oeuvre, intégrer un lien vers la licence et
indiquer si des modifications ont été effectuées à l’Oeuvre. Vous devez indiquer
ces informations par tous les moyens possibles mais vous ne pouvez pas
suggérer que l’Offrant vous soutient ou soutient la façon dont vous avez utilisé
son Oeuvre.
• Pas de modifications – Dans le cas où vous effectuez un remix, que vous
transformez, ou créez à partir du matériel composant l’Oeuvre originale, vous
n’êtes pas autorisé à distribuer ou mettre à disposition l’Oeuvre modifiée.
Les auteurs, les rédacteurs et la maison d’édition ont préparé le présent ouvrage avec
soin, mais ne formulent aucune garantie explicite ou implicite de toute sorte et ne
prennent aucune responsabilité concernant toute erreur ou omission. Ils n’assument
aucune responsabilité concernant les dommages indirects ou accessoires en lien avec
l’utilisation des informations ou programmes contenus dans le présent ouvrage ou en
découlant.
Les opinions exprimées dans le présent ouvrage sont celles de ses auteurs et ne
reflètent pas la position officielle des sociétés partenaires.
1ère édition, mai 2014
2014 Sogeti et IBM
Production LINE UP boek en media bv, Groningue, Pays-Bas (www.lineup.nl)
Image de couverture Nick Lowndes
isbn 978 90 75414 81 3 (livre), 978 90 75414 82 0 (livre électronique)
Attribution-Pas de Modification 3.0 France (CC BY-ND 3.0 FR)

3
Table des matières
Avant-propos d’ibm — Un paysage en pleine évolution 7
Avant-propos de Sogeti — La partie est lancée 10
Résumé 13
1 Cybersécurité : conserver l’avantage dans la partie — Les
fondamentaux 15
1. Peut-on faire confiance au système ? 15
2. Peut-on sécuriser davantage les organisations ? 16
3. Peut-on gagner la partie ? 16
4. Quelles seront les prochaines avancées technologiques ? 17
À propos du présent document 18
Remerciements 18
2 Au premier plan de la sécurité — Comment le combat continu entre les
« gentils » et les « méchants » rend notre monde plus sûr 20
Vie privée et sécurité sont les deux faces d’une même médaille 22
L’impact de la cybersécurité … quelle importance ? 23
Vœux pieux du responsable de la sécurité 25
Les avantages à en tirer 27
3 Traiter les effets secondaires dus à la pratique « Bring-Your-Own-
Device » — Des appareils et services largement disponibles vont
envahir les organisations 29
Quelles sont les dernières évolutions ? 30
Quel intérêt pour nous ? 30
Quelles nouvelles mesures prendre ? 31

4 cybersécurité : conserver l’avantage dans la partie
4 Lorsque l’entreprise est en danger, ne confiez pas la sécurité au
service informatique — Des mesures d’atténuation des risques
devraient prévoir cette atténuation au niveau de l’entreprise, et
non pas uniquement une approche informatique 34
5 La sécurité débute dès la conception — Confidentialité, qualité et
sécurité doivent être prises en compte dès le départ 38
Comment procéder ? 41
Quels sont les défis à relever ? 42
La voie à suivre 42
6 La clé de la sécurité : mettre en place des technologies persuasives —
L’interaction par défaut entre l’utilisateur et la technologie devrait
améliorer la sécurité 43
7 La peur : une méthode qui s’émousse très rapidement — Les
organisations doivent trouver comment recadrer les discussions sur
la sécurité 48
De la peur à la valeur 49
Une seule pensée pour de nombreuses actions 50
8 Soyez votre pire ennemi — Pour déceler vos points faibles, la seule
solution est de faire preuve d’une grande détermination 52

Table des matières
9 Vous serez piratés, mais ce n’est pas grave — Tant que vous en êtes
conscients et que vous savez rebondir 56
10 Le data scientist sera le prochain superhéros de la sécurité — La
reconnaissance des formes n’est pas une compétence de sécurité
informatique commune 60
11 Les hackers apprennent plus vite que les organisations qu’ils attaquent
— Il est temps d’arrêter de répéter sans cesse la même erreur 64
12 Le cryptage n’est qu’une énième course aux armements — Ce qui suffit
aujourd’hui ne fera pas le poids demain 68
13 La révolution du mobile a ouvert la boîte de Pandore — Votre vie sera
piratée et seule une modification de vos habitudes peut garantir la
sécurité 71
14 Tous les regards se portent sur la sécurité — Utiliser la convergence
des évolutions technologiques pour faire progresser la sécurité 75

À propos des auteurs 77
Index 78

7
Avant-propos d’ibm —
Un paysage en pleine
évolution
Par Steve Mills
Au cours des trente dernières années, j’ai eu l’opportunité de jouer un
rôle dans la détermination de l’influence exercée par la technologie sur
le commerce et l’industrie. Aujourd’hui, les systèmes informatiques
modifient la façon dont les entreprises fournissent des produits et ser-
vices, dont les personnes communiquent entre elles, dont les organisa-
tions prennent des décisions et même la façon dont chacun appréhende
et interagit avec le monde qui l’entoure.
Bon nombre de ces évolutions sont dues à la conjonction de tendances
significatives et étroitement liées autour du cloud, des mobiles, du big
data et des réseaux sociaux. Chacune de ces évolutions, considérées
indépendamment, a son importance. Mais lorsqu’elles sont appréhen-
dées ensemble, la vitesse à laquelle notre rapport à l’informatique évo-
lue est extrêmement rapide et son impact est également profond.
Or, de même que ces évolutions exercent un impact puissant sur une
organisation, les attaques menées par le crime organisé, celles caution-
nées par les États, et l’émergence d’un activisme social dans le monde
numérique mettent en lumière une réalité nouvelle dans laquelle les
risques pour la sécurité ne peuvent être dûment considérés comme de
simples défis informatiques. En effet, ces phénomènes peuvent bien
souvent faire peser une menace sur la marque d’une organisation, sa
propriété intellectuelle, ses données commerciales sensibles et ses res-
sources financières.

Tous ces risques modifient l’approche de la sécurité adoptée par de
nombreuses organisations. Les responsables de la sécurité des sys-
tèmes d’information (rssi) doivent désormais rendre compte à leur
pdg et au conseil d’administration. Ils assument un rôle d’intermédiaire
entre les responsables Métier et les experts de la sécurité et aident
chaque groupe à comprendre le point de vue, les défis, les exigences et
les objectifs de l’autre. Il s’agit d’un partenariat dont l’importance est
critique pour les organisations car il permet aux équipes de sécurité de
développer une compréhension plus nuancée de la stratégie métier par
rapport au risque numérique. Il permet également aux responsables
« métiers » de prendre des décisions plus éclairées en termes de budget
et de personnel, mais également d’apporter leur soutien en pilotant la
transformation de l’entreprise en termes de sécurité.
Des considérations de sécurité importantes sont associées à la façon
dont la technologie et, par extension, le monde changent. Des débats
nourris sont en cours sur la confidentialité, le rôle des gouvernements et
l’impact des nouveaux modèles informatiques sur les considérations de
sécurité. Le présent ouvrage examinera bon nombre de ces probléma-
tiques plus en détail. Mais il y a lieu de souligner également l’opportu-
nité unique qui s’offre actuellement.
Le cloud, les mobiles et le big data sont souvent cités comme autant
de défis pour la sécurité dans le contexte du stockage des données, de
la gestion des terminaux et de la confidentialité. Pour autant, chacune
de ces évolutions présente également des opportunités. La technolo-
gie du cloud peut ainsi être utilisée pour transmettre rapidement des
informations sur la sécurité et les menaces à des interlocuteurs finaux
situés dans le monde entier. Les appareils mobiles et les applications
qu’ils transportent peuvent potentiellement devenir plus sûrs que les
ordinateurs portables traditionnels. Enfin, de nombreuses organisations
font face actuellement à des milliards d’événements de sécurité chaque
jour et la capacité de traiter ces données grâce à des dispositifs analy-
tiques avancés permet aux organisations de détecter et de répondre aux
menaces comme jamais auparavant.

Avant-propos d’ibm 9
Contrairement aux précédentes évolutions qu’a connues le secteur
informatique, ces mutations surviennent dans un contexte dans lequel
les organisations sont plus que jamais conscientes des risques qu’elles
encourent. Les équipes de sécurité ont à présent l’opportunité et la mis-
sion d’intégrer la sécurité dans le processus technologique et commer-
cial de l’organisation comme jamais auparavant. Il leur faut également
fournir de meilleurs résultats face à la pénurie de compétences et à une
complexité technique généralisée.
Les équipes de sécurité joueront un rôle majeur dans la transformation
de l’entreprise, mais leur réussite dépendra de leur capacité à intégrer
des contrôles et des processus et à développer en parallèle de nouvelles
pratiques dans les domaines toujours plus importants de l’analytique, de
la veille et de la réponse aux incidents et attaques.
Steve Mills
Senior Vice President et Group Executive,
ibm Software Systems

10
Avant-propos de Sogeti
— La partie est lancée
Par Hans van Waayenburg
Il n’a jamais été aussi facile et rapide d’envoyer un courriel, d’effectuer
un virement bancaire, de réaliser une commande en ligne ou de réser-
ver un vol directement depuis un mobile. À l’horizon 2020, 50 milliards
d’appareils seront ainsi connectés à Internet. La plupart d’entre eux
seront à peine protégés, ce qui sous-entend autant d’entrées potentielles
susceptibles d’être utilisées par les hackers pour s’introduire dans nos
appareils, nos entreprises, nos maisons et nos vies personnelles.
De nos jours, le réseautage et la connectivité grandissants permettent
à nos organisations d’être plus efficaces, plus productives et mieux
informées. L’accès aux données et aux informations constituent des
atouts clés pour l’ensemble des individus, des entreprises et des États.
L’informatique est donc devenue vitale en matière de prise de décision.
Elle permet l’optimisation des processus et l’industrialisation dans tous
les domaines, de la commutation de voies de chemin de fer au contrôle
du trafic aérien en passant par la distribution de gaz et d’électricité ou
la chloration de nos réserves d’eau. Cependant, l’adoption grandissante
de la technologie numérique est accompagnée d’un manque de compré-
hension des enjeux qui l’accompagnent, notamment auprès des jeunes
générations. « Peu importe comment ça marche tant que ça marche ».
Nous sommes donc devenus vulnérables.
À l’origine, le piratage informatique était un jeu, un passe-temps amu-
sant pour des personnes curieuses et compétentes. Avec l’évolution
d’Internet, ces compétences sont devenues un outil politique ou idéo-
logique dans les mains de groupes d’hacktivistes qui ont perçu leurs
activités comme une forme légitime de contestation sociale. L’utilisation

Avant-propos de Sogeti 11
criminelle des réseaux et des technologies est également très trou-
blante. Bon nombre d’organisations font littéralement face à des mil-
liards d’événements chaque jour, dont une grande partie implique des
menaces significatives en termes de sécurité visant les données clients,
la propriété intellectuelle et les données confidentielles. Ciblant à la fois
les gouvernements et l’industrie, le cyber-espionnage est devenu une
pratique commune.
Les frontières entre toutes ces menaces sont floues, en particulier en
raison de la conception et de la topologie du cyberespace : les limites
entre voleurs, espions et activistes sont beaucoup moins nettes que dans
la vie réelle. Et bien que certaines réglementations disciplinent la Toile,
il existe une large zone grise où des hackers bien organisés semblent
pouvoir œuvrer en toute impunité. Le cyberespace offre une couverture
parfaite qui rend ces acteurs très difficiles à détecter et à identifier. De
plus, la complexité des cyberattaques les rend encore plus déroutantes.
Ici, il n’existe pas de drapeau, pas d’uniforme et pas de règle d’engage-
ment établie et convenue.
Un logiciel malveillant, un cheval de Troie ou un ver peut rester en
sommeil dans un système informatique et accéder à vos informations
pendant des mois avant d’être détecté. Chaque nuit, des milliers de
giga-octets de données technologiques et stratégiques sont dérobés sur
les milliers d’ordinateurs de nos entreprises occidentales. Une cyberat-
taque peut générer des dommages importants à très grande échelle, sur
une longue période et pour des coûts infimes.
Enfin, une cyberattaque n’est généralement pas revendiquée car la dis-
crétion et l’anonymat constituent des avantages évidents lorsqu’on choi-
sit d’œuvrer sur Internet. Il est très complexe d’identifier les coupables
et cette identification dépend de quelques caractéristiques telles que des
preuves concordantes, le langage utilisé, les noms des commandes, etc.
La perte de confiance dans nos systèmes informatiques représente l’un
des principaux enjeux liés aux cyber-attaques. Des tentatives de mise

en péril ont même eu lieu sur les systèmes industriels (scada). L’im-
pact de ces menaces implique des conséquences potentielles graves. Le
« simple » piratage d’une banque, d’un système de sécurité sociale ou
d’une autre infrastructure ou service stratégique pourrait entraîner une
grave perte de confiance de la part des consommateurs, utilisateurs et
citoyens. Si l’on songe à l’utilisation grandissante de la technologie, et à
la dépendance qu’elle suscite dans tous domaines de notre environne-
ment économique et social, notre monde est beaucoup plus vulnérable
que nous ne pourrions le penser. La menace d’une perte mondiale de
confiance impose une diligence et une vigilance constantes pour limiter
une telle menace et, dans l’idéal, pour l’éviter.
C’est la raison pour laquelle il est essentiel de garder l’avantage dans
la partie « cybersécurité ». Pour l’heure, ces menaces ne peuvent être
annihilées, mais elles peuvent être contenues. Nous devons continuer à
avancer sur cet échiquier et chercher à prendre l’avantage. J’espère que
cet ouvrage, que je suis ravi d’avoir produit en collaboration avec ibm,
notre partenaire de confiance, vous donnera l’occasion de mieux appré-
hender ces différentes problématiques et vous proposera des idées qui
vous permettront de conserver une longueur d’avance sur les menaces
qui pèsent sur votre organisation. Face à ce défi, il est essentiel d’unir
nos forces, et ce pas uniquement entre prestataires de service, mais
également avec les pouvoirs publics, afin de tenir le rythme et de garder
toujours une longueur d’avance !
Hans van Waayenburg
Président Directeur Général, Sogeti

13
Résumé
La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique
par les révélations presque incessantes sur des attaques informatiques et
des violations de données. Dans ce contexte d’imprévisibilité et d’in-
sécurité, les organisations redéfinissent leur approche de la sécurité et
recherchent un équilibre entre risque, innovation et coût. En parallèle,
le domaine de la cybersécurité enregistre des évolutions spectaculaires,
qui imposent aux organisations d’appliquer de nouvelles pratiques et
d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement com-
mercial. Sous-estimer l’importance de la sécurité peut ainsi constituer
une menace pour l’avenir d’une organisation. Pourtant, de nombreuses
organisations continuent à gérer et à envisager la cybersécurité dans le
champ du service informatique. Cela doit changer.
La technologie est en mutation constante et aucune évolution récente
n’a été aussi considérable que l’explosion de l’utilisation des appareils
mobiles. Peu importe les politiques mises en place, les organisations
font face à une vague irrépressible de collaborateurs apportant leurs
propres appareils au travail. La demande de byod (Bring-Your-Own-
Device : apportez vos propres appareils) augmente, mais elle pose des
défis sérieux pour la gestion de la sécurité, à la fois en termes de techno-
logie et en matière de procédures et de politiques. Ces appareils mobiles
semblent être l’antithèse de ce que font les professionnels de la sécurité
pour garantir cette dernière : ils sont mobiles, riches en données, faciles
à perdre, et connectés à tous types de systèmes dont les dispositifs de
sécurité sont insuffisants.

La technologie offre également des opportunités. En effet, le Big Data
offre notamment la perspective d’une approche de la sécurité plus
proactive, sous réserve que les organisations puissent embaucher des
personnes qui comprennent réellement ces nouvelles technologies.
La recherche d’une sécurité de pointe tient pour l’essentiel aux per-
sonnes et à leur comportement. Il est communément admis qu’avec
suffisamment de détermination et de compétence, un attaquant per-
sistant parviendra à passer n’importe quelle défense. Toutefois, en
complexifiant ce processus à chaque étape, on diminue les risques et on
augmente non seulement le délai dont disposent les organisations pour
réagir aux incidents, mais également la capacité de les intercepter avant
que leur incidence ne soit trop grande.
Pour bénéficier d’une bonne sécurité, il faut instiller cette notion jusque
dans les fibres les plus élémentaires de l’organisation, à la fois en termes
de technologie (en intégrant la sécurité dès la conception) et en termes
de comportement (en offrant des options sécurisées préférables aux
options moins sécurisées).
La peur risque de devenir très rapidement un outil inefficace de motiva-
tion des utilisateurs.

15
1
Cybersécurité : conserver
l’avantage dans la partie
Les fondamentaux
La cybersécurité recouvre un ensemble de pratiques, de processus
et d’acteurs s’appuyant sur la technologie et visant à protéger des
infrastructures critiques, des entreprises numériques et des informa-
tions sensibles de menaces ou de négligences internes et externes. Ce
domaine est en évolution constante, peut-être davantage que l’infor-
matique elle-même. Quoiqu’il en soit, l’essentiel reste de préserver les
qualités qui font de l’informatique la ressource fiable dont dépendent
l’entreprise et la société : confidentialité, intégrité, disponibilité.
Mais quelles sont les évolutions que le secteur connaît actuellement ?
Quel est l’essentiel aujourd’hui ? Les thèmes que nous aborderons s’or-
ganisent autour des questions fondamentales suivantes :
1. Peut-on faire confiance au système ?
Le principal thème abordé aujourd’hui est la question fondamentale
de la fiabilité et la sécurité d’Internet et peut-être des technologies
numériques dans leur ensemble. Internet n’a jamais été conçu en ayant
comme fondement la sécurité et il apparaît aujourd’hui très clairement
qu’il est possible de compromettre presque tout et n’importe quoi, pour
autant qu’un hacker très motivé s’y emploie. La sécurité et la confiance
numériques s’intègrent désormais au cœur des débats publics. Cela
déclenche de nouvelles recherches et innovations pour faire d’Internet
une infrastructure plus sûre.

2. Peut-on sécuriser davantage les
organisations ?
L’étape suivante consiste à créer une organisation sûre capable de
survivre et de se développer en s’appuyant sur des technologies natu-
rellement imparfaites. Afin d’implanter une culture de la sécurité dans
l’entreprise, il y a lieu de passer de la peur à la valeur. Les menaces
gagnent en sophistication et en précision, et l’impact qui leur est associé
sur les organisations grandit. La sécurité doit donc évoluer et ne plus
se concentrer sur la peur et le risque pour parvenir à intégrer le fait que
le développement et le maintien de la confiance peuvent constituer et
constitueront un facteur de différenciation par rapport à la concurrence
à la fois au niveau de l’industrie et des pouvoirs publics. La sécurité ne
constitue plus un risque informatique, mais un risque lié au « business »
qui doit donc être géré comme tel. De plus, il est compris et largement
accepté de nos jours que les attaques et les incidents sont possibles
mais pas inévitables et que des pratiques associées à la détection et à la
réaction doivent constituer une part essentielle et multidisciplinaire de
la stratégie de sécurité de chaque organisation.
3. Peut-on gagner la partie ?
À ce jour, le fait que des attaques élaborées franchissent quotidienne-
ment les protections conventionnelles constitue une réalité. Les atta-
quants bénéficient d’un certain nombre d’avantages stratégiques sur les
acteurs chargés de la défense des réseaux : en particulier l’effet de sur-
prise, la possibilité de rechercher et de cibler des individus spécifiques
et peu méfiants, la complexité des infrastructures et une main-d’œuvre
insuffisante dans le domaine de la cybersécurité à l’échelle mondiale. Le
grand public n’est pas composé d’experts de la sécurité et le déséquilibre
en termes d’expertise à chaque extrémité d’un courriel d’hameçon-
nage constitue un avantage stratégique et tactique significatif pour les
attaquants. Pour que les professionnels de la sécurité puissent traiter
ces difficultés, il convient de disposer de compétences plus solides, de

1 Cybersécurité : conserver l’avantage dans la partie 17
programmes informatiques mieux développés, d’une simplification des
infrastructures, d’analyses et de capacités de réaction plus poussées
ainsi que d’une éducation et d’une responsabilisation des utilisateurs.
4. Quelles seront les prochaines avancées
technologiques ?
Dans le cadre d’une étude, 70 % des responsables de la sécurité ont
exprimé des inquiétudes sur la sécurité du cloud et des appareils
mobiles. Ces évolutions informatiques remettent en cause les modèles
de sécurité conventionnels et nécessitent non seulement de nouvelles
technologies, de nouveaux processus et de nouvelles politiques, mais
également une évolution significative de la culture associée à la nature
du contrôle. Cependant, ces modifications peuvent également four-
nir de nouvelles opportunités. Le principe « secure-by-design » (qui
implique d’intégrer la sécurité dès le lancement de la conception)
est développé à partir d’années d’expérience et peut être appliqué au
lancement de nouveaux projets et de déploiements. Le cloud propose
de nouveaux modèles de prestation en termes de sécurité et de ren-
seignements sur les menaces. Le big data et l’analytique promettent
un changement du secteur de la sécurité numérique de même que les
entreprises et l’industrie se fondent à présent sur les données et sur leur
analyse pour comprendre les tendances et prendre des décisions.
En fin de compte, la partie de la cybersécurité n’aura pas de fin et il
n’existera pas de gagnants ou de perdants. Mais cette conclusion peut
être remplacée par une recherche permanente d’un avantage straté-
gique, un rééquilibrage de l’équation entre attaquant et défenseur. En
unissant nos forces, en prenant le temps de réfléchir et d’analyser ce
qu’il se passe et en appliquant intelligemment ce dont nous disposons
et ce que savons, les organisations peuvent prendre l’avantage, ce qui
constitue en soi une victoire dans ce secteur.

À propos du présent document
Cet ouvrage cherche à inspirer et à encourager de nouvelles réflexions
et idées, même si le sujet vous est déjà familier. Pour les nouveaux
venus dans le domaine de la sécurité, il constitue un avant-goût offrant
un aperçu de ce qui est essentiel à ce jour. Nous avons choisi de rester
brefs et de nous concentrer sur les sujets les plus récents et les plus
pertinents. Vous ne trouverez donc pas de descriptions exhaustives des
pratiques bien connues telles que la gestion des risques de sécurité ou
l’élaboration d’un modèle d’authentification, même si elles sont encore
essentielles aujourd’hui. De plus, nous avons choisi de nous concentrer
sur les dimensions organisationnelles, de gestion et de gouvernance de
la sécurité, sans aborder la dimension technique.
L’ouvrage peut naturellement être lu dans son ensemble, mais il est éga-
lement structuré afin de pouvoir consulter uniquement les chapitres qui
vous intéressent. Après l’introduction, chaque chapitre souligne l’une
des évolutions les plus récentes, ses implications et les mesures qu’il
conviendrait en conséquence d’adopter.
Remerciements
De nombreuses personnes ont offert leurs réflexions et leurs idées à
cet ouvrage. Par le biais d’ateliers, d’entretiens, d’anecdotes, de contri-
butions écrites et d’analyses, elles ont permis de faire le point sur les
évolutions les plus intéressantes et les plus pertinentes dans le cadre de
la cybersécurité à ce jour. Nous souhaitons remercier tout particulière-
ment des clients et spécialistes qui ont pris le temps de nous faire part
de leur vision, de leurs défis et de leurs solutions. Vous trouverez leurs
citations (anonymées) tout au long du présent ouvrage.
Nous souhaitons également remercier les personnes suivantes pour
leurs contributions, par ordre alphabétique : Rogier van Agt, Didier
Appell, Jean-Michel Bertheaud, Jean-Marc Bianchini, Jaap Bloem,

1 Cybersécurité : conserver l’avantage dans la partie 19
Michiel Boreel, Bryan Casey, Jeff Crume, Doug Davidson, Vijay Dheap,
Menno van Doorn, Jean-Marc Gaultier, Stéphane Janichewski, Edouard
Jeanson, Yves Le Floch, Arnauld Mascret, Véronique Mireau, Patrick
Morley, Charles Palmer, Orion Ragozin, Patrick Recchia, Pierre-Luc
Réfalo, Djaafar Senoussi, Rene Speelman, Mike Turner, Martin Visser,
Charlie Weibel-Charvet, Jim Whitmore.

20
2
Au premier plan de la
sécurité
Comment le combat continu entre
les « gentils » et les « méchants »
rend notre monde plus sûr
Où serions-nous sans Internet ? Le réseau des réseaux, créé comme un
outil de communication simple et capable de survivre en cas de per-
turbations à grande échelle, a défini notre époque. À l’origine, Inter-
net n’était qu’un réseau textuel, mais au fil du temps, des dimensions
graphiques puis commerciales, du streaming vidéo et de nombreuses
autres extensions ont été intégrées. À présent, l’heure est (enfin) venue
de réfléchir sérieusement à la sécurité et à la confidentialité.
« De nos jours, nous ne savons pas comment poursuivre
en justice la cybercriminalité dans le cadre juridique
national ou mondial. Quel cadre sera applicable ?
Qui servira de cyber-police ? Interpol est-elle la bonne
agence ? L’activisme est-il une forme de cybercrimi-
nalité ? Pour certains, je suis un terroriste. J’estime
être davantage une force contraire. J’essaie juste d’être
utile ! »
– Cyber-activiste
On ne peut pas dire que la sécurité ait été complètement absente depuis
tout ce temps, mais notre dépendance croissante aux communications
numériques et l’augmentation du niveau et du nombre d’attaques ont
pris le pas. Depuis les débuts du commerce électronique, les commer-

2 Au premier plan de la sécurité 21
çants et les sociétés de carte de crédit luttent pour préserver l’intégrité
des paiements en ligne. Mais les choses ont changé : les attaquants ne
recherchent plus simplement l’argent ou les informations des cartes
de crédit, mais bien davantage. La réputation et la survie d’entreprises
toutes entières sont en jeu. Pour une entreprise de taille moyenne, une
attaque grave à des fins malveillantes pourrait impliquer une grave per-
turbation de son activité.
De nos jours, les attaquants sont divers et dynamiques : il s’agit de
groupes criminels internationaux, d’intervenants parrainés par un État,
de cyber-activistes idéalistes (hacktivists), et d’initiés cherchant à faire
fuiter des informations. Ces attaquants constituent le pire cauchemar
des responsables de la sécurité. Des « menaces persistantes et avancées »
(apt : Advanced Persistent Threats) ont vu le jour : des individus très
compétents cherchent à tout prix à percer les défenses et feront tout
leur possible pour parvenir à leur but. Il est virtuellement impossible
d’élaborer une défense efficace à 100 % contre ces menaces, et elles
impliquent une approche différente des mesures de sécurité classiques,
générales et génériques. Une telle défense impliquera une bonne
gouvernance, une détection en temps réel des attaques en cours, des
systèmes de sécurité intelligents, des intervenants formés, une révision
de l’architecture de données, une mise en place de mécanismes de réac-
tion, une révision des interactions avec les partenaires et une refonte
des processus existants dans l’informatique et le commerce. Pour
résister, avec chaque nouveau projet technologique, la sécurité doit être
prise en compte dès le départ. Malgré tout, une certaine résignation
s’est installée parmi les experts de la sécurité, générant une forme de
sagesse peu conventionnelle :
« Il existe deux types d’entreprises : celles qui ont été hackées et
qui le savent et celles qui l’ont été et qui ne le savent pas. »1

1 http://www.usatoday.com/story/cybertruth/2013/09/26/lexisnexis-dunn--bradstreet-altegrity-
hacked/2878769/

« Un flux d’informations libre constitue un impératif
économique »
– Le Manifeste de la Cybersécurité
Vie privée et sécurité sont les deux faces
d’une même médaille
Avec l’événement du big data, des réseaux sociaux et la prolifération
des données de localisation, les défenseurs de la confidentialité se sont
interrogés sur les propriétaires des données (ou « métadonnées ») et sur
le niveau de contrôle dont disposent les particuliers et les organisations.
Bon nombre de ces questions n’ont pas encore trouvé de réponses d’un
point de vue technique (quels outils utiliser ?) ainsi que d’un point de
vue financier et sociétal. Enfin, la confidentialité est un problème à la
fois culturel et personnel, et un espace où la perspective et l’impact des
natifs numériques (Net-generation) prend une plus grande importance.
Cette génération, qui a été élevée avec Internet, amène un nouveau
point de vue sur la confidentialité et la propriété des données.
Certains concepts émergents relatifs à la propriété des données revi-
sitent des pratiques existantes. Par exemple, l’idée qu’une personne
restera éternellement propriétaire de l’ensemble des données la concer-
nant. Toute entreprise souhaitant utiliser ces données devrait négo-
cier avec leur propriétaire pour en obtenir l’accès et l’utilisation. Cela
ne fonctionnerait que dans le cadre d’un système d’autorisation et de
modèles d’accès complexe. En réalité, bon nombre de ces concepts
ne fonctionneraient que s’ils étaient adoptés universellement. Il s’agit
également là d’une similitude entre confidentialité et sécurité : elles
dépassent les frontières organisationnelles. Lorsqu’une entreprise a
établi sa propre culture de confidentialité et de sécurité, elle doit la
partager avec ses clients, partenaires, pouvoirs publics et organismes
officiels.

On découvre alors des similarités dans la façon dont les entreprises
devraient traiter la sécurité et la confidentialité. Par exemple, si des
données sont inutiles, elles devraient être supprimées afin de réduire
efficacement les risques de sécurité et de confidentialité.
L’impact de la cybersécurité …
quelle importance ?
Finalement, comment tout ceci affecte-t-il les organisations ? Le
contexte idéologique de l’attaquant importe-t-il ? Est-il important que
certains des attaquants soient parrainés par un État ? Il existe là des
thématiques importantes à prendre en compte, telles que les ressources
dont disposent l’attaquant et comment les organisations pourraient
demander le soutien des pouvoirs publics si l’on détecte une parti-
cipation étrangère. Cependant, bien que les risques varient, à la fois
en termes de nature et de sévérité en fonction du secteur, en réalité,
lorsqu’une attaque est lancée, elle reste une attaque. Les organisations
ne se soucient des intentions de l’attaquant que dans la mesure où
elles permettent de définir les dégâts que l’attaquant envisage de créer.
L’objectif est-il de dégrader un site Internet, de voler des secrets ou de
perturber l’activité ? Les motivations idéologiques ou le sponsoring sont
à ce niveau d’un intérêt moindre.
Dans l’éventail des acteurs œuvrant du côté des attaquants, ceux par-
rainés par des États peuvent constituer le haut de gamme. Pourtant les
criminels, qui peuvent être localisés partout dans le monde, ne sont
pas loin derrière, car ils utilisent les mêmes vulnérabilités et les mêmes
failles de sécurité.
Les participants les moins doués dans cette dynamique sont les utilisa-
teurs « de base », qui diffusent par inadvertance des données sensibles
en ligne, qui fournissent leur mot de passe en réponse à un courriel
malicieux, qui partagent leur mot de passe avec un ami au travail ou
qui oublient une clé usb dans leur voiture de location. Ces utilisateurs

représentent aujourd’hui l’un des défis les plus importants pour les
responsables de la sécurité. Ils doivent mettre en place une stratégie et
une approche pour établir des contrôles adaptés tout en évitant dans le
même temps de perturber la créativité et les résultats économiques.
Liste des attentes en matière de cybersécurité
Lors d’un événement récent, un groupe international de responsables de la
sécurité a établi une liste d’attentes à court terme, en répondant à la question
« Quelle devraient être les avancées les plus importantes en matière de sécurité
dans les prochaines années ? » Voici leurs réponses les plus fréquentes, classées
en trois catégories :
De meilleures solutions pour sécuriser les communications de bout-en-bout
• Disposer de meilleurs mécanismes d’authentification pour pouvoir être sûrs à
100 % de qui se connecte à un système.
• Pouvoir utiliser des applications sécurisées sur une infrastructure non sécuri-
sée. Il faut reconnaître que les pc, tablettes, téléphones et l’Internet lui-même
ne seront jamais sûrs. Il est donc impératif d’élaborer des applications sécuri-
sées sur une base non sécurisée.
• Un plus grand rôle à jouer pour la biométrie, qui pourrait servir de soutien à
l’authentification en ligne, en permettant de nouveaux niveaux de sécurité. On
parle d’empreintes digitales, d’analyses sanguines, d’échantillons d’adn, de
rythme cardiaque et d’autres biomarqueurs.
Des systèmes intelligents
• Disposer d’un système de sécurité capable d’auto-apprentissage : un système
qui pourrait apprendre des opérations de tous les jours et qui bloquerait auto-
matiquement tous les mouvements inhabituels dans les systèmes.
• Une classification automatisée des données, par une détection automatique de
celles devant être sécurisées.

Un mode de communication amélioré avec les utilisateurs sur la sécurité
• Disposer d’un cadre d’avertissements et d’alertes de sécurité permettant à
l’utilisateur de mieux comprendre le risque réel et les implications de certaines
actions. Cela pourrait s’appliquer partout, depuis les app store jusqu’à cer-
taines actions dans un système d’entreprise.
• Un label à attribuer aux applications et une certification pour les appareils
informant les consommateurs du niveau de sécurité fourni.
Vœux pieux du responsable de la sécurité
Sans surprise, les responsables de la sécurité sont stressés. Dans leur
secteur, on ne peut pas proposer de garantie à 100 %. Les risques
augmentent chaque jour et les budgets restent limités. En matière
de sécurité, certains disent : « on réitère sans cesse les mêmes choses
jusqu’à ne plus avoir de temps ou de financement », ce qui constitue
une approche très peu satisfaisante. Oui, les organisations auront
besoin d’une stratégie et oui, il existe un nombre considérable d’ou-
tils et de normes industrielles disponibles, mais rien ne garantit que
les attaques les plus récentes et les plus puissantes ont été décou-
vertes et documentées.
« Ce ne sont plus les grandes entreprises qui sont
attaquées. De nos jours, l’attaque des pme est un don
de Dieu pour les hackers. »
– rssi d’une société de services financiers
Alors comment changer la donne ? Comment le monde de la sécurité
peut-il avancer ? Il existe des données fondamentales qui ne changeront
probablement jamais, par exemple le fait qu’Internet ne sera jamais
une infrastructure sûre ou que les organisations ne disposeront jamais
d’assez de budget, de main-d’œuvre ou de temps pour faire face à toutes
les vulnérabilités ou encore que l’on ne pourra jamais vraiment prou-
ver que les bonnes décisions ont été prises. Mais il y a de l’espoir : une
meilleure sensibilisation des cadres et des progrès technologiques ou

encore l’application du droit international pourraient changer la donne
pour de bon.
« Les premières choses à faire sont de se baser sur des
bonnes pratiques, d’observer le marché pour obtenir
des références et des normes. Je suis surpris qu’il n’y ait
pas davantage de forums (...) pour partager les bonnes
pratiques. »
– rssi d’une société industrielle
Une opportunité croissante et importante est centrée sur des systèmes
plus intelligents qui s’adaptent et apprennent par eux mêmes. On note
de nombreuses évolutions dans ce secteur, mais il reste difficile de
présager de l’avenir car cela reviendrait à tenter de prévoir le compor-
tement humain. La première fois qu’un nouvel évènement survient, ce
dernier est par définition inconnu du système de sécurité. Les organi-
sations et les personnes qui les composent changent constamment, la
capacité à distinguer entre évolution naturelle du processus commercial
et incident de sécurité potentiel reste un défi malgré les progrès signifi-
catifs qui ont été réalisés dans le domaine de l’analytique en termes de
sécurité.
D’aucuns ont avancé l’idée que la prochaine ère de l’informatique serait
centrée sur « l’informatique cognitive », celle des systèmes qui appren-
dront naturellement de leur environnement. Cette étape dépasse les
simples règles ou même les capacités analytiques basées sur les prin-
cipes de base.
Il faudra sans doute des années pour que ces capacités deviennent mon-
naie courante sur le marché ou dans les divers contextes de la sécurité.
Mais les organisations peuvent prendre dès à présent des mesures pour
s’y préparer, et tirer parti de cette évolution, notamment dans leur
méthode pour évaluer et cultiver les compétences au sein de leur orga-
nisation. Les données et l’analytique prennent un rôle de plus en plus
central dans l’identification et la réponse des organisations aux menaces

pour la sécurité ; les organisations devront donc faire appel à un type
différent de professionnel de la sécurité, des personnes disposant d’une
expertise à la fois dans le domaine de la sécurité et de l’analyse des
données.
Faire reposer les pratiques et les compétences sur une approche ana-
lytique qualitative et quantitative de la sécurité constitue à la fois une
valeur ajoutée immédiate et un élément clé pour la construction d’une
stratégie de sécurité à long terme.
Les avantages à en tirer
Bien qu’il soit parfois difficile de juger positivement le déluge constant
de divulgations, de menaces et de violations de données, il existe deux
résultats très tangibles qui sont largement positifs. Tout d’abord, la plu-
part des attaques actuelles cible des individus, c’est pourquoi une meil-
leure sensibilisation du public aux menaces pour la sécurité permettra à
terme aux particuliers de mieux résister aux attaques. Le fait d’aborder
plus largement la thématique de la sécurité dans le domaine public per-
mettra non seulement aux gens de comprendre qu’il existe une menace
importante, mais également de discuter davantage de la nature de la
menace, des méthodes utilisées lors des attaques et des mesures que
les utilisateurs doivent prendre pour assurer leur protection et celle de
leurs organisations.
« Ce qui est intéressant pour moi aujourd’hui, c’est
qu’au niveau de l’État, la cybersécurité et le cyber-
crime sont vraiment pris en compte. (...) Les bases
ont été posées, il faut à présent progresser dans ce
domaine »
– Responsable militaire de sécurité des informations et de
lutte contre la cybercriminalité

De plus, l’attention supplémentaire accordée aux problèmes de sécurité
ainsi que le débat public sur le sujet poussent à la création d’une infra-
structure informatique plus résistante. En l’absence de pression et de
responsabilité publiques, de nombreux problèmes de sécurité reste-
raient non résolus sans un véritable mécanisme d’entraînement. Bon
nombre d’organisations ont par le passé abordé la sécurité après coup,
et même pire, n’ont traité ces problèmes qu’après la survenance d’un
incident. Cependant, de nos jours, la pression du public, la sensibili-
sation et l’impact bien compris des menaces pour la sécurité poussent
les organisations à aborder la sécurité comme un élément essentiel de
conception et de fourniture des produits et services, de structuration
des processus commerciaux au sein d’une organisation, ainsi que de
stockage et de protection des données et des informations confiden-
tielles et des clients.
Plus les enjeux de la sécurité seront importants et mieux compris, plus
il sera difficile d’exploiter les vulnérabilités humaines et techniques à des
fins illégales.
« L’accès à un Internet libre est un droit humain fondamental »

29
3
Traiter les effets
secondaires dus à la
pratique « Bring-Your-
Own-Device »
Des appareils et services
largement disponibles vont
envahir les organisations
« Le principe byod nous expose à des problèmes de
sécurité majeurs, car il crée des failles dans l’informa-
tique de l’entreprise. Cela n’était pas le cas il y a dix
ans, et il s’agit selon moi du vrai défi des prochaines
années. »
Le rapport que les personnes entretiennent avec leurs différents gadgets
est plus intime que jamais. Les préférences personnelles, les méthodes
de travail et le « ressenti » déterminent quel appareil est le mieux adapté
à une personne. Les utilisateurs apportent et se servent de leurs appa-
reils « personnels » au travail. L’entreprise ne peut plus vraiment décider
quels ordinateurs portables, téléphones, tablettes ou phablettes sont uti-
lisés pour travailler. Pour l’heure, de nombreuses organisations essaient
de limiter l’afflux d’appareils personnels par le biais de politiques
strictes interdisant l’ensemble de ces appareils, mais à long terme, cette
méthode risque de s’avérer intenable. D’autres entreprises s’attachent à

mettre en place des politiques Bring-Your-Own-Device (« apportez vos
propres appareils »), ou plus souvent Choose-Your-Own-Device (« choi-
sissez vos propres appareils ») qui répondent au désir du collaborateur
d’utiliser l’appareil de son choix tout en sauvegardant la sécurité de
l’entreprise. Or, cela s’avère plus difficile qu’il n’y paraît. Les politiques
byod pourraient-elles présager de la fin d’un contrôle digne de ce nom
sur les appareils et la technologie ?
« Les entreprises ne contrôlent plus leurs environnements logi-
ciels et matériels. »
Quelles sont les dernières évolutions ?
« On ne peut pas freiner l’arrivée de nouvelles technolo-
gies. Nous sommes contraints de nous adapter. »
Le principe byod est au cœur des préoccupations de nombreux dsi et
atteint même le byo-it (apporter votre propre informatique) : il ne s’agit
plus simplement des appareils, mais également des services utilisés sur
les appareils qui sont largement disponibles « sur le cloud ». Les salariés
apportent une multitude de choses au sein de l’entreprise, depuis leurs
téléphones jusqu’aux tablettes, en passant par des solutions collabora-
tives, de partage de fichiers et de gestion complète de la relation client.
L’association des appareils des consommateurs et des services sur le
cloud a donné naissance à des fonctions de niveau entreprise parfaite-
ment exploitables en environnement professionnel.
Quel intérêt pour nous ?
Traditionnellement, la défense du périmètre constituait la principale,
voire la seule ligne de défense. Le fait de laisser entrer d’autres appareils

3 Traiter les effets secondaires dus à la pratique « Bring-Your-Own-Device » 31
ou même d’autres services a renversé ce paradigme, en nous poussant à
repenser la sécurité de l’ensemble du portefeuille technologique.
Quelles nouvelles mesures prendre ?
Le problème principal du système byod tient à ce que la plupart des
systèmes back-end n’ont pas été conçus en prenant en compte ce type
de flexibilité. De plus, le passage d’un modèle de sécurité de type péri-
mètre à un nouveau modèle inter-couches est assez abrupt. Ce modèle
lui-même peut être connu depuis un certain temps, sa mise en œuvre
à l’échelle de toute une organisation constitue néanmoins une étape
majeure. Elle implique de prendre les mesures suivantes :
« Cependant, l’attitude de certains responsables peut
être irritante. Certains ne montrent pas l’exemple. Cela
dépend souvent de la personne. Certains dirigeants
sont conscients des risques et en font une priorité pour
la société. Mais cela ne suffit toujours pas. »
•• Mise en œuvre de la sécurité sur l’ensemble des composants tech-
nologiques. Nous ne pouvons plus faire confiance à un appareil, un
canal ou une application unique : nous devons vérifier à chaque étape
qu’un utilisateur autorisé a lancé l’interaction demandée dans un but
reconnu. Cela implique d’intégrer à tous les composants techniques,
du bus applicatif d’entreprise au serveur Web en passant par la base
de données de l’entreprise, un certain modèle d’autorisation fondé sur
des actions « autorisées » : définir ce qui est autorisé et interdire tout
le reste. Il faudra ici sacrifier la flexibilité informatique (interfaces
génériques, ouvertes) à la sécurité (interfaces spécifiques fermées).
•• La sécurité concerne d’abord les données, ou plus précisément les
données et leur contexte d’utilisation. Les modèles d’autorisation ne
doivent pas être fondés sur un « accès » (connexion au système) mais

sur l’accès aux données en fonction d’un contexte ou de scénarios
déterminés : cet utilisateur peut-il à cette heure précise, à cet endroit,
par le biais de cet appareil et dans ce but accéder à telle fonctionna-
lité utilisant telles données spécifiques ?
•• Nécessité d’un contrôle d’identité fort : un modèle utilisateur intégré
constitue la base de toute approche de sécurité ; mais dans la réalité
d’aujourd’hui, le modèle d’identité doit intégrer un modèle de sécu-
rité personnalisé, définissant quel type de comportement est « nor-
mal » pour un utilisateur donné, à l’instar des procédures appliquées
par les sociétés de carte de crédit pour détecter un comportement
frauduleux.
•• Transformation du modèle de périmètre en modèle à couche ou
modèle en oignon : il ne s’agit plus simplement de « l’intérieur » et
« l’extérieur », car il existe probablement plusieurs couches au milieu.
L’objectif serait de définir une zone aussi limitée que possible qui
serait vraiment « secrète », et des zones en expansion constante dans
lesquelles les données sont de moins en moins restreintes. Plus la
couche à laquelle vous cherchez à accéder est « secrète », plus les
requêtes relatives aux autorisations, aux appareils, au réseau utilisé,
au cryptage, etc. seront nombreuses. Dans ce contexte, le « secret »
correspond aux dommages qui pourraient résulter d’une exposition
ou d’une perturbation des données concernées : que se passe-t-il
lorsque votre adresse ip est dérobée, lorsque vos données clients
sont exposées ou que vos plans stratégiques sont divulgués à la
concurrence ?
•• Ne pas oublier l’ancien modèle : lorsque l’on traite tous les thèmes
mentionnés ci-dessus, il ne faut pas oublier que le périmètre reste
une couche de défense importante. C’est la raison pour laquelle il
convient de prêter attention à la gestion des appareils, aux machines
virtuelles, aux appareils à mémoire partagée, etc. L’un des défis de
l’infrastructure informatique moderne concerne la multitude de
combinaisons possibles entre appareils, réseaux, applications et
structures de messagerie. Chacun de ces éléments est susceptible
d’être le maillon faible ; une solution de sécurité précise et ciblée s’im-
pose donc pour chaque élément connu de votre infrastructure. Il faut

3 Traiter les effets secondaires dus à la pratique « Bring-Your-Own-Device » 33
déterminer clairement quels sont les appareils qui ne sont pas placés
sous le contrôle de l’entreprise et qui ne doivent donc pas être jugés
fiables, même si une solution de sécurité optionnelle est susceptible
d’être déployée
•• Enfin, il existe naturellement les aspects juridiques et financiers liés
au byod : définir des politiques claires précisant qui paiera l’appareil,
qui est responsable de quoi, quels processus de sécurité doivent être
suivis, quand l’entreprise peut accéder à l’appareil et quel type de
responsabilité est accepté.
Les universités constituent un bon exemple de la façon dont le prin-
cipe byod pourrait fonctionner : tous les étudiants, et parfois même les
professeurs, ont leurs propres appareils et doivent accéder à tous types
d’outils et de systèmes. Ils apportent leurs propres appareils et choi-
sissent souvent leurs propres outils pour travailler et collaborer.
Ce concept pourrait également fonctionner pour d’autres organisa-
tions. De plus, les mêmes modèles de sécurité s’adapteraient à d’autres
tendances importantes relatives aux organisations des réseaux, à l’inté-
gration de la chaîne logistique et à des alliances de projets. Malheureu-
sement, à l’heure actuelle, les infrastructures et systèmes d’exploitation
ne sont pas prêts. C’est pourquoi bien que le byod puisse répondre aux
souhaits des salariés, le Choose-Your-Own-Device (cyod : choisissez
votre propre appareil) représente souvent la meilleure solution possible
pour le moment.

34
4
Lorsque l’entreprise est
en danger, ne confiez
pas la sécurité au
service informatique
Des mesures d’atténuation des
risques devraient prévoir cette
atténuation au niveau de l’entreprise,
et non pas uniquement une approche
informatique
Dans les organisations d’aujourd’hui, l’informatique a pris une place centrale.
Elle est à la base de tous les processus, elle rend possible la plupart de nos
Business models. Elle est au centre de l’engagement, de l’approche écono-
mique et de la relation avec les clients. Nous dépendons plus que jamais de
la technologie, non seulement pour enregistrer ou traiter des commandes,
mais pour tout ce qui concerne le marketing, les ventes, les livraisons, les
services et tous les processus internes. Les dommages potentiels dus à une
défaillance du système voire pire, à un sabotage sont donc plus importants
que jamais. Pourtant la gestion du risque numérique et la préparation des
réponses aux incidents sont souvent confiées au service informatique, alors
même que l’impact est à présent bien plus large. Cela doit changer.
« La gouvernance de la sécurité ne peut rester une préoccupation
mineure à l’heure où la cybersécurité est devenue une préoccu-
pation majeure. »

4 Lorsque l’entreprise est en danger, ne confiez pas la sécurité au service informatique 35
Au cours des dernières années, les entreprises ont pris conscience
de l’importance de l’informatique dans leurs relations clients et leurs
processus clés. Entraîné par l’émergence des applications mobiles,
des médias « sociaux » et des « systèmes d’engagement »1
, le niveau
de dépendance à l’informatique s’est fortement accru dans un grand
nombre de nouveaux secteurs d’activité. Dans le même temps, des
pannes informatiques de première importance sont survenues et
soulignent une nouvelle fois notre forte dépendance à l’informatique :
par exemple le cas d’une compagnie aérienne dont les passagers se
sont retrouvés bloqués en raison d’une panne de système, ou encore le
cas de ces innocents arrêtés en raison d’erreurs système2
, ou même les
problèmes rencontrés lors des élections aux États-Unis et au sein des
marchés boursiers3
. Le caractère volatile de ce risque a fortement aug-
menté : la connaissance des vulnérabilités se développe extrêmement
vite et il existe un véritable marché où acheter et vendre des vulnérabili-
tés « zero day» (des vulnérabilités dont personne n’est encore conscient
lorsqu’elles sont exploitées). En conséquence, le laps de temps qui
s’écoule entre « cela ne pourra jamais arriver » et « le risque est sérieux
et réel » est aujourd’hui plus réduit que jamais.
La réponse à un incident détermine en grande partie les dommages
subis par vos clients, votre propre réputation et la poursuite de votre
activité. Une préparation efficace peut accélérer la réponse voire limiter
les risques pour l’activité avant leur réalisation. Les risques pour l’en-
treprise doivent être contrés par une atténuation générale au niveau de
l’entreprise.
1 http://www.aiim.org/~/media/Files/AIIM%20White%20Papers/Systems-of-Engagement-
Future-of-Enterprise-IT.ashx
2 http://mybroadband.co.za/news/software/39959-high-profile-software-failures-of-2011.html
3 http://www.net-security.org/secworld.php?id=14142

Traditionnellement, le service informatique prépare et réagit princi-
palement aux incidents : reboucher les brèches, arrêter les systèmes,
récupérer les données perdues et éventuellement traquer un attaquant.
Ce n’est qu’à ce stade-là que le reste de l’organisation se réveille et com-
mence à collaborer, pour autant que ce soit le cas. La gestion du risque
numérique au niveau de l’entreprise modifie le niveau de préparation et
de réponse :
« De mon point de vue, en cas d’attaque, la meilleure
méthode consiste à ne pas réagir immédiatement mais
à commencer par réfléchir. »
– rssi d’une banque
•• Pour créer une stratégie de sécurité, l’organisation analyse les risques
commerciaux associés aux pannes et aux attaques. Elle planifie une
réduction de ces risques dans son contexte numérique (renforcement
des défenses) mais également et surtout dans le domaine organi-
sationnel (par exemple en modifiant les termes et conditions pour
limiter la responsabilité, en sensibilisant les clients aux réactions
à adopter en cas de problème, en préparant la communication, en
établissant un processus d’escalade, en s’alignant sur la position des
partenaires, etc.). Ces activités impliquent également des efforts de
réduction des risques « métier » provenant de fuites ou d’attaques
internes en élaborant une segmentation des rôles différente, et en
modifiant les procédures de contrôle et autres dispositions limitant la
possibilité et l’impact des violations ou du sabotage de données.
•• Le plan de réponse aux incidents doit prévoir les délais et modes de
communication aux clients, partenaires et aux pouvoirs publics des
incidents de sécurité. En fonction de la gravité de l’incident, plusieurs
types de messages peuvent être développés, mais, pour chaque inci-
dent, la communication interne et externe doit adopter un message
unique et cohérent. L’objectif principal est la protection des intérêts
des clients et la réduction de leurs incertitudes. La communication

4 Lorsque l’entreprise est en danger, ne confiez pas la sécurité au service informatique 37
doit être rapide et efficace et les parties concernées telles que les
forces de l’ordre, les agences réglementaires et les partenaires doivent
aussi être informées s’il y a lieu.
•• Une équipe de réponse pluridisciplinaire doit être mise en place : ser-
vice informatique en collaboration avec la communication, le service
juridique, les décisionnaires principaux et les autres experts commer-
ciaux concernés. Cette pratique est recommandée depuis un certain
temps mais elle n’est pas appliquée assez souvent.
•• Tester et réviser les processus de réponse d’urgence avec toute
l’équipe, afin que les intervenants se familiarisent avec leurs collègues
et avec les procédures. Comme l’a indiqué un consultant en sécurité :
« S’il y a une attaque, savent-ils comment réagir ou autrement qui
contacter ? La gestion des incidents devrait être simple et claire. S’il
leur faut un manuel, cela ne marchera pas. »
« Les réponses aux urgences de cybersécurité doivent être
bien préparées, fonctionner correctement et avoir été bien
pratiquées. »
De nos jours, dans les organisations, le rôle de dsi est de plus en plus
souvent confié à une personne disposant d’une expérience « business »,
afin de garantir que le service informatique est effectivement géré dans
le cadre de l’activité, et non comme une entité semi-indépendante. De
même, le ciso ou le rssi doit disposer d’une connaissance solide des
métiers et œuvrer pour aborder les questions sur la sécurité au bon
niveau. Il convient d’inclure les risques sur la sécurité des informations
dans les considérations de gestion des risques de l’entreprise et, chose
essentielle, d’aider à limiter le risque « business » lié à une défaillance
de la technologie. Le défi consiste ici à y consacrer du temps, sans bien
évidemment abandonner pour autant la dimension opérationnelle de ce
poste.

38
5
La sécurité débute dès
la conception
Confidentialité, qualité et sécurité
doivent être prises en compte dès
le départ
Si seulement il était possible de reconstruire tout depuis le début, tout
serait plus facile : nous pourrions appliquer simplement l’ensemble des
meilleures pratiques que nous connaissons et les données et systèmes
resteraient sécurisés. Ah, si seulement … La notion de « sécurité par
conception » paraît simple et hautement souhaitable : elle consiste à
élaborer le système depuis le début en se fondant sur des principes sûrs
suffisamment résistants pour faire face à toutes les menaces présentes
et futures. Pour tout nouveau développement, c’est effectivement aussi
« simple » que cela : la sécurité par conception consiste à définir la
sécurité dans un système depuis son origine. Pour les logiciels existants,
l’occasion est passée, mais elle peut tout de même être intégrée en s’as-
surant que toute nouvelle modification accroît la sécurité du système de
toutes les façons possibles. « Lorsque vous prévoyez une nouvelle mise à
jour pour ce système ancien, vous devez appliquer un nouveau modèle
de sécurité. »
Le développement de logiciels s’est fortement professionnalisé au
cours des dix dernières années, avec une plus grande attention por-
tée à la modélisation, aux méthodes agiles, à la génération de code et

5 La sécurité débute dès la conception 39
à une meilleure utilisation des cadres de référence, de composants et
solutions.
Ainsi, le processus de développement de code est devenu davantage
prévisible et maîtrisable, et les modèles et composants de sécurité sont
également largement disponibles. Avec l’introduction du cloud, l’infor-
matique connaît une profonde transformation : les systèmes développés
en interne sont remplacés par des systèmes du marché et de nouvelles
solutions sont créées spécifiquement pour ce nouvel environnement. Il
s’agit d’une excellente occasion de « bien faire les choses» !
« La sécurité doit être au cœur des systèmes, avec
l’informatique de confiance. Il existe un fort besoin de
bâtir des applications sûres au sein d’une infrastruc-
ture qui ne l’est pas. Nous ne pourrons jamais sécuriser
toute la chaîne. La sécurité doit constituer le premier
thème abordé dans la planification des projets, avant
de réfléchir au reste. Cependant, la démarche inverse
est plus souvent appliquée. »
– cso d’un institut de recherche
La sécurité par conception est l’une des approches les plus puissantes
disponibles pour que tout soit plus sûr. Ne pas l’utiliser signifie renon-
cer à une belle opportunité. Les fournisseurs de produits sont parfai-
tement conscients des risques de sécurité ; c’est pourquoi le dévelop-
pement personnalisé représente l’un des points les plus importants où
les vulnérabilités sont intégrées à votre infrastructure technologique.
Intégrer la sécurité dans chaque couche et à différents niveaux (défense
en profondeur) constitue le seul moyen de résister aux attaques et de
mieux y faire face à l’avenir, par exemple en se préparant à de nouveaux

canaux, de nouvelles connexions, de nouvelles intégrations, la sécurité
se trouvant intimement intégrée au cœur même du système central.
Concernant les tests logiciels et le débat sur la confidentialité, nous
avons constaté que plus tôt certaines exigences sont prises en compte
dans le processus, plus la mise en œuvre s’avère simple et rentable. Il en
est de même pour la sécurité :
•• Intégrer la sécurité à la discussion sur l’Architecture d’Entreprise,
avec des exigences fermes sur les données, le contrôle de l’authentifi-
cation et considérer « non fiables » les autres composants ou couches
de votre architecture par défaut. Mettre en place un processus d’ho-
mologation pour l’Architecture d’Entreprise en aidant les équipes
« projet » à prendre les bonnes décisions.
•• Créer des anti-modèles : des cas d’utilisation néfaste décrivant égale-
ment les comportements indésirables, de sorte à clarifier ce qu’il faut
mettre en place et contrôler au cours de l’élaboration. Par exemple,
lorsqu’un cas d’utilisation autorisé indique « un utilisateur authen-
tifié peut accéder à ces cinq dernières transactions », vous pouvez
l’utiliser pour prendre l’hypothèse indésirable suivante « Un utilisa-
teur non-authentifié peut accéder aux cinq dernières transactions du
système » ou « Un utilisateur authentifié accède aux cinq dernières
transactions de quelqu’un d’autre » Cela permet de clarifier ce que
le code sous-jacent devrait autoriser et interdire, jusqu’au niveau des
données. Cela permet d’établir très tôt dans le processus de concep-
tion où mettre en place les restrictions.
•• Consacrer suffisamment de temps et de budget pour traiter toutes
les exigences non fonctionnelles de vos projets dès le début : sécurité,
confidentialité, qualité, ergonomie, possibilité de gestion, etc.
« Le monde d’aujourd’hui est préoccupant. Le péri-
mètre du réseau a disparu. Nous disposions d’une

5 La sécurité débute dès la conception 41
forteresse qui s’est progressivement évaporée avec
l’expansion du réseau. Comment sécuriser les données
dans ce contexte changeant ? »
– rssi d’un établissement d’enseignement
Comment procéder ?
La sécurité par conception débute lorsqu’une équipe de développe-
ment reconnaît qu’il existe des possibilités d’événements néfastes sur
des logiciels apparemment corrects. De ce constat découle la nécessité
d’une conception associant exigences fonctionnelles, exigences non
fonctionnelles et exigences d’assurance (ou de prévention des risques).
À partir de ces trois exigences, une dans chaque catégorie, il est essen-
tiel d’établir quelle priorité les parties prenantes et les utilisateurs finaux
donneraient à ces exigences. Par le passé, cette priorité pouvait être
la suivante : caractéristiques fonctionnelles (orientées productivité),
caractéristiques non fonctionnelles (orientées apparence et ressenti) et
assurance (particulièrement si elle affecte la productivité ou l’apparence
et le ressenti). De nos jours, il apparaît que la priorité est différente, et
que l’assurance prend souvent le pas sur les exigences fonctionnelles ou
non fonctionnelles, et ce pour de bonnes ou de mauvaises raisons.
La sécurité par conception fonctionne sur deux voies parallèles. La
première est celle de la technique, où les exigences de prévention des
risques/d’assurance sont documentées. La seconde concerne la gestion
de projet ou les processus, où les décisions relatives à la résolution de
ces exigences sont suivies jusqu’à être satisfaites.
« La sécurité est intégrée au démarrage des projets, ce
qui n’était pas le cas il y a 10 ans. »

Quels sont les défis à relever ?
L’un des principaux défis de la sécurité par conception consiste à
pouvoir orchestrer et contrôler les projets. Tous les projets de dévelop-
pement logiciels font face à des défis en termes de budget, de délais,
de ressources, de complexité ainsi que d’évolution des exigences et
priorités.
S’il est notoire que l’absence d’une approche de sécurité par conception
peut avoir un impact grave sur les délais, les ressources et la complexité
d’un projet, on a également souvent l’impression qu’une approche de
sécurité par conception rigoureuse constituerait un fardeau égal ou
supérieur pour un projet.
La voie à suivre
Si elle est mise en place de façon correcte, la sécurité par conception ne
constitue pas un fardeau et elle ne devrait pas être jugée optionnelle. Sa
méthode d’exécution doit être déterministe et conforme aux tolérances
de la méthode de gestion de projet. La sécurité par conception repré-
sente ainsi davantage qu’une série d’étapes ; elle constitue plutôt une
méthode disposant de mécanismes d’entrée, de sortie et de contrôle. Il
s’agit d’un concept simple dont les conséquences et les résultats sont
étendus.

43
6
La clé de la sécurité :
mettre en place
des technologies
persuasives
L’interaction par défaut entre
l’utilisateur et la technologie
devrait améliorer la sécurité
« Sélectionnez un mot de passe composé d’au moins 12 caractères conte-
nant des majuscules, des caractères spéciaux et ne contenant pas de
noms ou de mots communs. Et surtout : ne le notez nulle part. » Évidem-
ment, lorsqu’on parle de sécurité, nous aimerions que tout le monde
suivent nos consignes. Ne configurez pas votre navigateur pour qu’il
sauvegarde vos mots de passe, n’utilisez pas d’outils conçus par des tiers,
ne partagez pas de documents, etc. Mais ne soyez pas surpris lorsque
des utilisateurs ignorent vos consignes et font ce qu’ils veulent, ou
encore qu’ils essaient de contourner vos règles. Pour que les utilisateurs
se comportent d’une façon permettant d’améliorer la sécurité de l’entre-
prise, une seule solution : leur simplifier la vie, et ne pas la leur rendre
plus compliquée.
Il s’agit d’un des signes clés de notre époque, qui va à l’encontre de l’idée
reçue selon laquelle il faut appliquer des politiques en ne tenant quasi-
ment pas compte de leur impact sur le travail des utilisateurs. Ceux-ci
ont davantage confiance lorsqu’ils interagissent avec la technologie et
valorisent leur capacité à être autonomes vis-à-vis de cette dernière.

Fort heureusement, cette interaction plus étroite entre utilisateur et
technologie présente également des opportunités. Nous pouvons rendre
cette technologie persuasive. Nous pouvons y intégrer des mécanismes
et des déclencheurs qui suscitent chez l’utilisateur un comportement
idoine. Bien faire les choses peut ainsi devenir naturel, logique, voire
amusant.
« La psychologie de la sécurité a encore du chemin à faire. »
Les utilisateurs ont la possibilité de contourner la règle. À moins que
vous n’ayez bloqué tous les accès aux réseaux mobiles, à Internet et aux
appareils et supports de données amovibles, ils trouveront le moyen
de travailler comme bon leur semble. Au lieu de perturber le travail du
salarié, les pratiques de sécurité devraient viser à l’assister dans la réali-
sation de ses tâches.
« La cybersécurité concerne les systèmes, processus de
communication et particulièrement les personnes. Si
les utilisateurs n’en sont pas convaincus, tout s’effondre.
Aucune politique de sécurité ne peut réussir. Notre rôle
de rssi consiste également à être l’ambassadeur des
bonnes pratiques au sein de l’entreprise. »
On peut dire que l’utilisateur est le point faible de tout système, mais il
peut également être considéré comme une très grande force utile : si les
circonstances sont réunies, il peut transformer une action présentant

6 La clé de la sécurité : mettre en place des technologies persuasives 45
une insécurité inhérente (communiquer en ligne avec des tiers incon-
nus) en une action plus sûre (en vérifiant leur identité par plusieurs
moyens, en traitant les pièces jointes avec prudence ou en orientant la
collaboration vers une plateforme extérieure, etc.). La prévention des
fuites accidentelles (perte d’une clé usb contenant des données clients)
constitue le premier avantage évident, mais il est possible d’aller bien
plus loin. L’utilisateur peut être intégré à votre système de détection
afin de signaler tout événement sortant de l’ordinaire, par exemple en
informant le service d’assistance si un courriel suspicieux passe entre
les mailles du filet de vos filtres de courrier électronique ou lorsque le
comportement d’identification change brusquement. De cette façon,
les utilisateurs peuvent contribuer à contrer des attaques d’ingénierie
sociale et d’hameçonnage ciblées.
L’approche la plus classique à ce jour consiste à imposer des restric-
tions à l’utilisateur. La plupart des entreprises utilisent des méthodes
comme une formation annuelle obligatoire, des directives restrictives
et des conséquences graves (sanction) en cas de non application. Elles
envoient des courriels très fermes insistant sur l’importance de la sécu-
rité et de la confidentialité. Vous pouvez employer ces méthodes, mais
les avancées les plus importantes peuvent être réalisées dans d’autres
domaines :
« Nous attendons trop de nos salariés. C’est à l’entre-
prise de protéger et de contrôler ou pas leur environ-
nement. Il faut trouver un équilibre et non se retrouver
dans une situation insupportable pour l’utilisateur,
avec des solutions pensées par des experts qui ne
connaissent pas l’activité de l’entreprise. »

•• Repenser les processus organisationnels en gardant la sécurité à
l’esprit. Par exemple, est-il possible d’anonymiser les données dans
certains processus ? Peut-on automatiser ou mieux soutenir les pro-
cessus qui sont à présent exécutés par courriel ?
•• Donner aux utilisateurs des petites « récompenses » et des déclen-
cheurs pour avoir bien fait les choses. Il ne s’agit pas nécessai-
rement de cadeaux ou de gratifications financières, mais d’une
récompense d’un autre type : par exemple, donner à l’utilisateur un
meilleur aperçu de sa productivité ou de ses compétences, fournir
des retours sur les réseaux sociaux, donner la satisfaction à l’utilisa-
teur de constater qu’il a « réalisé » quelque chose (par exemple une
barre d’état affichant 100 % lorsque toutes les actions ont été effec-
tuées, etc.). De nombreux outils permettent de rendre l’interaction
homme-machine plus attrayante en proposant de petits déclencheurs
au sein de l’interface.
•• Fournir les outils techniques pour faciliter la tâche : lorsque des utili-
sateurs utilisent Dropbox, Gmail ou un autre outil en violation de vos
politiques de sécurité, ne vous contentez pas d’interdire ces outils,
mais proposez de meilleurs outils placés sous votre contrôle. Vos
propres outils peuvent être associés à votre base de données utilisa-
teur, pour une collaboration plus simple. Ils peuvent être associés à la
recherche au sein de l’entreprise pour la faciliter, et peuvent égale-
ment être reliés à d’autres systèmes, afin de permettre à un utilisa-
teur de passer plus facilement d’un outil à un autre (par exemple un
système de gestion d’exception utilisant le réseau social d’entreprise).
Lorsque vous demandez aux utilisateurs de suivre des procédures
de sécurité compliquées, réfléchissez aux solutions techniques qui
faciliteraient leur utilisation : un jeton d’authentification peut-il être
plus convivial que des politiques de mots de passe perpétuellement
modifiées ? Un lecteur d’empreintes digitales peut-il répondre à nos
besoins de sécurité et faciliter les signatures d’autorisation pour les
utilisateurs ? L’évolution vers une solution voip vous permettrait-elle
de prévoir des alarmes lorsque les appels proviennent de numéros
suspects ? L’authentification unique peut-elle encourager l’adoption
de services internes et limiter l’utilisation d’outils externes ?

6 La clé de la sécurité : mettre en place des technologies persuasives 47
•• Rendre plus difficiles les actions non sécurisées : l’inverse est éga-
lement vrai. Si vous découvrez des pratiques non sécurisées, vous
pouvez modifier les paramètres pour les rendre plus difficiles à
réaliser pour l’utilisateur. Par exemple, si les utilisateurs stockent
trop de données sensibles sur leurs appareils, vous pouvez limiter la
taille du disque. Si les utilisateurs envoient par courriel un trop grand
nombre de documents stratégiques, vous pouvez limiter la taille des
pièces jointes. Il s’agit d’une pratique délicate, car vous ne voulez
pas pousser vos utilisateurs à adopter des pratiques encore moins
sécurisées, et vous devez donc idéalement complexifier les pratiques
non sécurisées tout en facilitant les pratiques sécurisées, pour aider
l’utilisateur à aborder le changement : par exemple en proposant un
bureau virtuel sans limite d’espace, de nombreux outils supplémen-
taires et plus d’options pour personnaliser les paramètres selon vos
préférences personnelles.
« Ramener le cryptage au niveau de l’utilisateur moyen. »
De nos jours, la technologie peut nous séduire, nous distraire et nous
pousser au dialogue de façon très sociale. Nous avons appris à concevoir
les applications et sites Internet (les systèmes d’engagement actuels)
pensés pour simplifier les interactions et les rendre plus agréables. Si
nous souhaitons que nos utilisateurs se souviennent qu’ils doivent agir
correctement, il nous faut utiliser ces mêmes compétences pour faire
de leur pratique « sécurisée » une chose simple voire amusante. Si vous
entendez un utilisateur se plaindre d’une politique trop lourde, prêtez
une oreille attentive : il s’agit d’une opportunité d’amélioration.

48
7
La peur : une méthode
qui s’émousse très
rapidement
Les organisations doivent trouver
comment recadrer les discussions
sur la sécurité
La peur est une source de motivation très forte : il est essentiel de savoir
comment notre cerveau fonctionne. D’autres stimuli, même lorsqu’ils
sont forts, tels qu’une bonne récompense, sont moins efficaces que la
peur. C’est la raison pour laquelle, lorsqu’ils font en sorte que les utili-
sateurs agissent d’une certaine façon en vue d’améliorer la sécurité (par
exemple en utilisant des mots de passe solides, en ne partageant pas de
documents ou en n’ouvrant pas de liens inconnus, etc.), les experts de
la sécurité utilisent naturellement la peur comme moteur : peur de l’at-
taquant, peur de la perte de données ou peur de conséquences person-
nelles. On trouve toujours de bons exemples pour illustrer l’horreur liée
au non-respect des consignes.
Cette approche présente un problème majeur : la peur est un outil qui
s’émousse très rapidement. On ne peut raconter une histoire qu’une
seule fois, et si un utilisateur régulier ne fait pas face à une menace
réelle une fois de temps en temps, il commence à oublier ou à mettre
volontairement de côté votre histoire. Si vous procédez chaque année
à une formation de sécurité obligatoire, dès la troisième année, le seul
impact de la peur sera limité, si l’utilisateur n’a pas été témoin d’attaques
résultant de ses actions ou de sa négligence. Le cerveau humain est

7 La peur : une méthode qui s’émousse très rapidement 49
conçu pour obéir à la peur, mais également aux sensations, aux chan-
gements et à de nouveaux stimuli. Une menace constante devient une
norme et perd de son urgence.
De la peur à la valeur
Certaines entreprises ont intégré la sécurité au cœur des valeurs qu’elles
apportent à leurs clients. Ici, la sécurité n’est pas un mal nécessaire, elle
fait partie intégrante de leur offre de valeur : elle est enracinée dans le
message à destination des clients, tissée dans les interactions avec les
clients et représentent donc une partie intégrante de la culture quoti-
dienne. Ici, la « sécurité » ne désigne pas uniquement une mesure de
prévention des attaques, mais également une composante qui participe
à la réussite de l’entreprise. Que faudrait-il à votre entreprise pour deve-
nir la plus fiable du secteur ?
« Je suis impressionné de l’impact que j’ai au niveau
des managers ou des orientations « Métier » : on
m’écoute, on suit mon avis. Il s’agit d’une excellente
responsabilité. »
La valeur de la sécurité est bien évidemment réelle. Il s’agit tout d’abord
de la valeur évidente qu’apporte le fait d’être « moins confronté à des
risques ». Mais ce n’est pas tout : dans une société où les utilisateurs
interagissent avec de nombreuses entreprises, « la confiance » a été
rebaptisée « “l’amour” en langage des affaires ». Lorsque les marchés se
banalisent très rapidement, comme c’est le cas actuellement, votre répu-
tation, votre marque et votre expérience font la différence et la sécurité
constitue ici l’une des valeurs cruciales.
« La cybersécurité coûte cher à mettre en œuvre. Bon
nombre d’entreprises font l’impasse sur la sécurité
parce qu’elle coûte trop cher. J’estime que nous devrions

aborder cette question d’un point de vue économique :
N’est-il pas possible de transférer une partie du finan-
cement à un assureur ? »
– Consultant en sécurité
Une seule pensée pour de nombreuses
actions
L’astuce pour intégrer la sécurité dans l’ensemble de l’organisation
consiste à minimiser les références à la sécurité au quotidien. Cela peut
sembler contradictoire à la création d’une culture de la sécurité, mais il
n’en est rien. Il convient de créer des pratiques qui facilitent et rendent
les tâches professionnelles plus efficaces et qui soient fondamentale-
ment plus sûres. Il convient également de prendre le temps de repenser
les activités quotidiennes afin de trouver des alternatives plus efficaces,
plus simples et plus sûres. Par exemple : lorsque les utilisateurs tra-
vaillent sur de nombreux fichiers, pourquoi ne pas travailler en colla-
boration en ligne, sans jamais les télécharger sur un appareil portable ?
Lorsque les analystes travaillent sur de larges ensembles de données, le
système doit être élaboré pour leur permettre de faire tourner l’en-
semble de leurs formules et de leurs programmes sur un serveur très
rapide plutôt que de charger de nombreuses données sur leurs ordina-
teurs portables. Lorsque les membres du service clients doivent accéder
aux données clients, il suffit d’afficher uniquement les données relatives
à ce client spécifique sur la base des informations que le client a ren-
seigné par téléphone (afin qu’ils disposent immédiatement des bonnes
informations mais également qu’ils ne puissent pas consulter ou divul-
guer d’informations relatives à des tiers). Lorsque vos salariés doivent
accéder à de nombreux systèmes différents, il suffit de leur fournir un
mécanisme d’authentification unique (à deux facteurs) qui fonctionne
sur tous les systèmes, afin qu’ils n’aient pas à mémoriser (ou à noter)
plusieurs mots de passe. Lorsque vous devez télécharger temporaire-
ment des fichiers sur votre appareil, assurez-vous que les données sont

7 La peur : une méthode qui s’émousse très rapidement 51
automatiquement supprimées après un certain temps. Vous pouvez
ainsi garantir que les utilisateurs travaillent avec les données les plus
récentes, tout en réduisant le risque de vol. Il existe un très grand
nombre de pratiques à imaginer pour vous simplifier la vie et améliorer
la sécurité dans son ensemble.
Il n’est pas facile de passer de la peur à la valeur, et vous utiliserez
certainement une association des deux : mettez en évidence la valeur
mais utilisez ponctuellement la peur pour maintenir l’attention. Cela
consiste à terme à concevoir la sécurité dans ce que nous faisons, dans
notre technologie mais également dans nos pratiques de tous les jours.
Cela part du sommet et s’étend dans toute l’entreprise, à l’instar de toute
culture organisationnelle.

52
8
Soyez votre pire ennemi
Pour déceler vos points faibles, la
seule solution est de faire preuve
d’une grande détermination
La détermination et la communication figurent souvent parmi les
principales différences qui distinguent un attaquant d’un défenseur.
Lorsqu’une attaque devient un projet de groupe, le caractère compé-
titif du « jeu » ne plaide pas en votre faveur. Pour rééquilibrer ce jeu, la
seule solution serait d’inspirer le même niveau de détermination, de
communication et de créativité au sein de votre organisation, avec ou
sans l’assistance de tiers, tels qu’une équipe professionnelle de hackers
éthiques (les « white hats »).
« Le crime s’adapte et suit le rythme ; de nouvelles tech-
nologies émergent, mais le crime évolue parallèlement.
Les voleurs ont toujours une longueur d’avance. Ils ont
davantage d’imagination que les personnes en charge
de protéger les informations. Nous faisons face à des
situations que nous n’avions pas imaginées. »
– Consultant en sécurité
Avec la hausse du nombre d’attaquants motivés par des raisons finan-
cières ou politiques, la détermination de certains d’entre eux a for-
tement augmenté. D’autre part, l’augmentation des sanctions, une

8 Soyez votre pire ennemi 53
meilleure application des lois et des condamnations médiatiques ont
dissuadé un grand nombre de script-kiddies dont le pouvoir de nuisance
est limité, ne laissant sur le terrain « que » les attaquants plus profes-
sionnels. Souvent utilisée, l’expression « menace persistante avancée »
(apt, Advanced Persistent Threat) désigne leur détermination effrénée :
les attaquants sont capables de passer du temps à percer vos défenses
puis à profiter de leur accès sur une longue période pour accéder à vos
données. Généralement, les attaquants traquent toute vulnérabilité puis
cherchent à l’utiliser sur plusieurs organisations différentes ; mais dans
l’environnement actuel, la cible est plus souvent une seule et unique
organisation (ou personne), qui est attaquée de multiples façons.
L’ignorance et la détermination constituent deux enjeux pour notre
sécurité : si vos propres collaborateurs sont totalement ignorants en
la matière, la sécurité ne sera pas assurée. De même, si l’attaquant fait
preuve d’une grande détermination, on estime communément que,
dans le monde de la sécurité actuel, il finira par parvenir à ses fins. En
traitant à la fois l’ignorance et la motivation au sein de votre entreprise,
tout en améliorant vos défenses pour ne laisser le champ libre qu’aux
plus déterminés, vous pouvez obtenir une situation de sécurité mieux
gérable. L’objectif est toujours le même : garder une longueur d’avance.
De nos jours, l’approche commune consiste à appliquer des correctifs, à
concevoir une infrastructure sécurisée et à éduquer les utilisateurs. La
recherche de « l’attaque la plus plausible » est parfois envisagée, mais il
ne s’agit pas pour le moment d’un fondement de la sécurité d’entreprise.
Mettez-vous à la place des hackers et trouvez vos points faibles avant
que d’autres ne le fassent :

•• Utilisez régulièrement ou mettez sur pied votre propre équipe de
tests d’intrusion (éthique), dont l’objectif sera de s’infiltrer et d’accé-
der aux systèmes ou aux données auxquels elle ne devrait pas avoir
accès. Vous pouvez mettre en place une « équipe rouge » permanente
disposant du temps et des moyens nécessaires pour se mettre au
niveau des hackers modernes. Vous pourriez même interchanger
certains membres des équipes de « défense » et d’« attaque » tous les
deux mois pour qu’ils expérimentent les deux côtés du problème.
•• Adoptez une approche ludique : il existe de nombreux moyens de
faire de la sécurité un jeu pour toute l’organisation. Certains utili-
sateurs ont perdu des points pour avoir laissé leur ordinateur por-
table déverrouillé et gagné des points pour avoir détecté un collègue
dépourvu de badge d’accès ou trouvé des fichiers qui n’auraient pas
dû être librement disponibles. La dimension ludique de la sécurité
offre une approche positive à ces problématiques et améliore la sensi-
bilisation et le respect des protocoles de sécurité.
•• Assurez-vous de disposer de procédures de notification transpa-
rentes : les personnes étrangères à votre entreprise doivent pouvoir
vous contacter facilement si elles découvrent une faille de sécurité
au sein de l’entreprise. La procédure de notification est délicate (il ne
s’agit pas d’encourager les gens, mais il est souhaitable d’être averti
des problèmes), mais elle doit être disponible et très réactive. Dès
qu’un problème est signalé, un suivi rapide doit être mis en place et
une récompense éventuelle prévue.
•• Apprenez à connaître les attaquants (potentiels) : de la même façon
que vous souhaitez connaître les clients les plus importants des
organisations, ces dernières souhaitent apprendre à connaître leurs
adversaires les plus dangereux. D’où viennent-ils, quelles sont leurs
motivations, quel est leur marché … ? Lorsque seule la technologie est
au centre de ces interrogations, l’anticipation est difficile. Pour obte-
nir une meilleure vision des attaquants potentiels, il faut planifier des
scénarios : qui pourrait attaquer, dans quel but, quelles seraient les
conséquences prévues et imprévues et que peuvent faire les organisa-
tions pour les contrer, soit en s’attaquant à leurs motivations ou à leur
marché, soit en perturbant leur attaque ?

8 Soyez votre pire ennemi 55
« Par exemple, si l’entreprise signe un contrat contro-
versé, il faut signaler au service informatique qu’un
contrat sensible pourrait exposer l’organisation à des
attaques. Et pourtant, cette idée ne vient pas souvent à
l’esprit ! »
– Cyber activiste
Le piratage offre une dimension mystérieuse très amusante : chercher
un moyen d’exécuter un code, desserrer une petite partie pour générer
une large faille. Cette motivation des hackers peut être un avantage
pour votre entreprise si elle existe au sein de votre équipe de sécurité.
Une dimension ludique permet d’éviter la vision tunnellaire et encou-
rage la créativité nécessaire pour identifier les vraies faiblesses de vos
défenses. Vous devez comprendre vos attaquants et essayer de leur
ressembler un minimum.

56
9
Vous serez piratés,
mais ce n’est pas grave
Tant que vous en êtes conscients
et que vous savez rebondir
Que se passe-t-il lorsque des personnes très déterminées portent toute
leur attention sur vous ou sur votre entreprise ? Cette seule pensée peut
faire frissonner n’importe qui : impossible de faire confiance au moindre
courrier électronique, à la moindre pièce jointe, au moindre document,
appel, visiteur, réseau wi-fi … Les hackers éthiques prouvent qu’ils
peuvent faire presque tout, du piratage des portillons d’accès jusqu’à
l’infiltration dans les comptes de la direction par ingénierie sociale ; ils
offrent ainsi un aperçu de toutes les possibilités. Nous pouvons partir
du principe qu’il en est de même pour les criminels et certains autres
adversaires. Dans ce cas, que pouvez-vous faire ? Vous rendre, abandon-
ner et laisser faire ? Bien sûr que non. La certitude qu’un fort achar-
nement menacera vos défenses vous permet de vous préparer pour
atténuer les effets et améliorer les chances de détection.
« La question n’est pas “suis-je susceptible d’être piraté”
mais “puis-je résister” ? »
Il a toujours existé des attaques très ciblées, en particulier dans les
secteurs de la défense et de la finance. De nos jours, les acteurs dédiés

9 Vous serez piratés, mais ce n’est pas grave 57
au crime sont de plus en plus nombreux, les groupes criminels pro-
fessionnels passant la majeure partie de leur temps en ligne. Bien que
l’expression « menace persistante avancée » serve souvent à désigner des
attaques perpétrées par des acteurs parrainés par un État ou des acteurs
« commerciaux », la communauté des hackers « privés » agit souvent de
façon très similaire. Des communautés de hackers coordonnés ciblent
des individus ou des entreprises à des fins hacktivistes sur des thèmes
politiques ou sociaux qui enflamment une partie de la société ; puis ils
se tournent vers le piratage pour imposer leur avis ou influencer les
débats publics.
« Dans le secteur bancaire, nous avons une cer-
taine image, nous représentons le capitalisme, les
« méchants ». D’un seul coup, nous faisons face à
des menaces quotidiennes. Nous surveillons tous les
activistes en ligne et nous nous préparons pour pouvoir
lutter. »
À l’instar des menaces internes, la menace persistante avancée repré-
sente sans doute l’une des menaces les plus graves pour une organisa-
tion car une défense infaillible est impossible ; pour autant, les dom-
mages peuvent être gravissimes. Des attaquants persistants n’hésitent
pas à influencer le personnel de votre entreprise, voire à se faire embau-
cher pour obtenir un accès, rendant la détection encore plus difficile.
Traditionnellement, dans le domaine de la sécurité, l’objectif consistait
prioritairement à défendre le périmètre, à maintenir la sécurité et à évi-

ter l’exfiltration de données. Mais dans ce cas, une fois que les défenses
étaient percées ou que les données avaient été exfiltrées, le mal était fait
et les organisations n’avaient plus qu’à reboucher les brèches et à vivre
avec les dommages provoqués. Que peuvent faire les organisations qui
sont conscientes des menaces persistantes avancées ?
« Pour nous, l’essentiel est de rebondir. »
•• Tout d’abord, vous devez mettre en place des contre-mesures tout au
long du processus de l’attaquant : commencez en cherchant à miner
sa motivation, jusqu’au moment de l’attaque en elle-même et poten-
tiellement jusqu’à la publication après l’attaque. Il s’agit de mettre en
place la « chaîne de frappe »1
. En vous familiarisant avec le processus
suivi par les attaquants, vous pouvez essayer de détecter, refuser, per-
turber, dégrader, repousser ou tromper les attaquants à chaque étape.
•• Surveillez avec davantage de diligence votre réseau et vos systèmes :
tant que vous ne savez pas ce qu’il se passe sur votre réseau, vous
n’arriverez probablement pas à détecter une attaque sophistiquée.
Bon nombre d’organisations conscientes d’avoir été piratées ont été
prévenues des mois (ou des années) après l’intrusion initiale, le plus
souvent par des organismes extérieurs tels que la police ou des cher-
cheurs en sécurité.
•• Réduisez de façon proactive l’effet potentiel des intrusions : par
exemple en cryptant les données stockées, en ajoutant de fausses
données aux données réelles, de sorte qu’en volant un million de
numéros de carte de crédit, seul un millier de vraies cartes de crédit
et près d’un million de faux numéros seraient concernés.
•• Réagissez et atténuez l’effet des intrusions : communication et rattra-
page immédiats, solutions orientées client ou contrepartie pour les
clients affectés.
1 Plus d’informations sur la chaîne de frappe sur : www.appliednsm.com/making-mandiant-apt1-
report-actionable

Sogeti cybersecurity

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Sogeti cybersecurity

Similaire à Sogeti cybersecurity (20)

Plus de Yann SESE

Plus de Yann SESE (6)

Sogeti cybersecurity