SlideShare une entreprise Scribd logo
1  sur  20
Télécharger pour lire hors ligne
LES SYNTHÈSES SOLUCOM
Cybercriminalité :
comment agir dès aujourd’hui
Observatoire de la transformation des entreprises
no
47
2• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Marion Couturier est manager chez Solucom.
Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la
mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et
d’exercices de gestion de crise. Elle dispose également d’une large expertise sur les volets
communication et sensibilisation.
marion.couturier@solucom.fr
Gérôme Billois est senior manager chez Solucom.
Diplômé de l’INSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans l’évaluation
et la mise en place de leur gouvernance sécurité et projets de sécurisation de l’information.
Il accompagne nos clients dans la préparation et la gestion de crises réelles.
gerome.billois@solucom.fr
Chadi Hantouche est manager chez Solucom.
Diplômé de l’ENSIMAG, il conseille nos clients dans la transformation de leurs modèles
de sécurité, leurs stratégies de sécurité en mobilité et la mise en oeuvre de mécanismes de
sécurité.
chadi.hantouche@solucom.fr
Marion Couturier
Chadi Hantouche
Gérôme Billois
Octobre 2013 - Les Synthèses © Solucom 3•
ÉDITO
La cybercriminalité au cœur de l’entreprise numérique
Avec le développement du numérique dans les entreprises et les administrations,
les risques liés à la cybercriminalité augmentent à grande vitesse. Et ce n’est pas
seulement de la science-fiction !
Dorénavant, le sujet est présent quotidiennement dans l’actualité : atteinte à la pro-
tection des données personnelles, dénis de service, vols de données… les angles
d’attaques ne manquent pas pour des cybercriminels qui usent de moyens de plus
en plus sophistiqués. Au-delà de ce que l’on peut lire dans la presse, nous l’avons
nous-même constaté chez plusieurs clients qui ont été les cibles d’attaques complexes
et à très fort impact.
La bonne nouvelle, c’est que la prise de conscience commence à se faire. Les états
s’emparent du sujet, augmentent leurs effectifs dans ce domaine et imposent des
pratiques plus strictes dans la gestion des infrastructures vitales. Les Directions géné-
rales des entreprises s’interrogent et demandent des réponses aux Responsables des
risques et de la sécurité des SI.
Mais ces réponses ne sont pas si simples : impossible en effet de tout protéger et de
garantir une défense impénétrable contre les attaques.
Il s’agit donc plutôt de construire un plan d’ensemble combinant gestion de crise
efficace, polices d’assurance, organisation et mesures techniques. Un plan raisonné,
orienté vers une protection ciblée des actifs sensibles et vers un entraînement plus
poussé à la gestion de crise et à la communication associée.
En effet, en cas d’incident, vous serez jugé autant sur votre capacité à rétablir le
service ou à limiter le vol de données que sur la manière dont vous gérerez votre
communication vers vos clients et vos actionnaires.
Bonne lecture à tous !
Laurent Bellefin,
directeur associé du cabinet Solucom
directeur de la publication
4• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
La menace explose et s’organise
La cybercriminalité connaît une
croissance démesurée. Elle évolue à
un rythme effréné, suivant une dyna-
mique similaire à celle de l’utilisation
des systèmes d’information au sein
de la société. Cette criminalité revêt
de multiples formes et comporte
de nombreuses dimensions que les
grandes entreprises doivent com-
prendre et considérer en fonction de
leurs activités.
Des motivations très variées
Même s’il est parfois difficile d’établir
une limite claire entre les différentes
motivations des cybercriminels, nous
pouvons en distinguer 4 majeures :
•	 L’idéologie vise à défendre une
conviction (par exemple poli-
tique ou religieuse) à travers des
attaques dont le but est d’inter-
rompredesservicesàdiffuserdes
messages partisans, ou à divul-
guerlesdonnéesd’uneentreprise
pour nuire à son image.
•	 Les gains financiers directs : il
s’agit par exemple du vol de
données bancaires (en parti-
culier des numéros de cartes),
de données personnelles, mais
aussi de données critiques de
l’entreprise comme les secrets
industriels ou les informations
concernant sa stratégie. Elles
seront revendues par la suite
ou utilisées pour réaliser des
fraudes.
•	 La déstabilisation entre États ou le
cyberterrorisme visent à détruire
des systèmes ou à voler des
données stratégiques afin de
nuire au bon fonctionnement
des services critiques ou vitaux
des États.
•	 Par ailleurs, l’obtention de capa-
cités d’attaques est une moti-
vation qui se développe. Elle
consiste à voler les secrets des
mécanismes de sécurité (mots
de passe, certificats, failles de
sécurité, etc.) ou à attaquer les
SI des fournisseurs (infogérants,
opérateurs de télécom, fournis-
seurs de solutions de sécurité)
de sociétés qui seront visées
ultérieurement. Ces éléments
sont utilisés plus tard pour lan-
cer la véritable attaque.
Peu importe la motivation, les cyber-
criminels ne se fixent plus aucune
limite dans la réalisation de leurs
desseins. De nos jours, ces attaques
peuvent toucher n’importe quelle
entreprise, quel que soit son secteur
d’activité, comme l’a récemment
montré l’actualité.
Denouveauxscénariosd’attaques
à prendre en compte
Les scénarios d’attaques les plus clas-
siques sont souvent connus et maîtri-
sés par lesgrandes entreprises. Ils’agit
par exemple de l’ingénierie sociale par
messagerie (phishing) ou téléphone,
les dénis de service et les attaques sur
les sites web.












Les motivations des cyberattaquants et quelques exemples d’états ou entreprises qui ont été ciblés
Octobre 2013 - Les Synthèses © Solucom 5•
programme visait à collecter des don-
nées bancaires auprès des internautes
dont l’ordinateur avait été compro-
mis. Un autre cas, encore plus ciblé,
concerne un site dédié aux person-
nels et sous-traitants du ministère de
l’énergie aux USA ayant travaillé dans
le secteur du nucléaire.
Les attaques destructrices sont réelle-
ment apparues en 2011. Elles visent
à rendre inopérante une partie du
système d’information en détruisant
logiquement les postes de travail et
les serveurs. Ce scénario commence
souvent par une intrusion silencieuse
qui permet de prendre le contrôle des
éléments centraux du SI et ainsi de
pouvoir déployer rapidement sur l’en-
semble des postes de travail un code
malicieux qui détruira les données pré-
sentes sur le disque dur. La Corée du
Sud a connu des vagues successives
d’attaques destructrices visant des
grandes banques et des chaînes de
média. En utilisant un malware spé-
cifique capable de se multiplier et en
détournant les systèmes de télédistri-
bution, les attaquants ont pu détruire
logiquement plus de 30 000 postes
de travail.
Les grandes entreprises doivent enfin
être attentives aux attaques de tiers
et / ou de partenaires métiers. Dans ce
cas, les attaquants visent un fournis-
seur ou un partenaire clé plus facile à
attaquer que la cible finale. Face à ces
attaques, les sociétés visées sont sou-
ventdépourvuesdemoyensderéponse
rapides et efficaces. Par ailleurs, les
problèmes de responsabilités et d’en-
gagements contractuels complexifient
la gestion de crise. RSA a ainsi subi en
Mais de nouvelles formes de cyberat-
taques apparaissent tous les jours et il
est nécessaire de se préparer à lutter
contre elles.
Les attaques ciblées avec des e-mails
piégés se développent. Également
connue sous la dénomination spear
phishing, ce type d’attaque prend
la forme d’un message électronique
qui semble émaner d’une personne
ou d’une entreprise réputée et de
confiance. Mais en réalité, il s’agit
d’un message piégé qui permet de
prendre le contrôle de l’ordinateur de
la personne ciblée en contournant les
mécanismes de sécurité présents à la
fois sur la messagerie et sur le poste
de travail. Ces attaques sont actuel-
lement à l’origine de la majorité des
incidents graves. Des cybercriminels
ontparexempletentédedétournerdes
fonds des entreprises Quick et Scor en
usurpant l’identité des PDG auprès du
service comptabilité. Heureusement,
les versements frauduleux n’ont pas
étéréalisés,maisceuniquementgrâce
à la vigilance des services comptables.
Le spear phishing aurait également été
utilisé avec succès contre des struc-
tures comme le ministère de l’écono-
mie et des finances et a conduit à une
intrusion sur son réseau.
Un autre type d’attaque est en vogue,
le waterholing. Ce terme vient d’une
analogie avec les points d’eau où les
prédateurs attendent patiemment des
proiesvenuesboire.Ilconsisteàpiéger
unsitewebparticulier,connupourêtre
visité fréquemment par les personnes
ciblées. L’attaquant réalise une intru-
sion discrète lui permettant d’ajouter
uncodemalicieuxsurlesite.Envisitant
ce site, habituellement de confiance,
la personne verra son ordinateur com-
promismalgrélesprotectionsenplace.
À titre d’exemple, des pirates sont
parvenus à compromettre le site de la
chaîne de télévision américaine NBC
en diffusant auprès des visiteurs un
cheval de Troie bancaire, Citadel. Ce
2011 une attaque visant à récupérer
les informations concernant leur sys-
tème d’authentification forte nommé
SecurID, pour ensuite attaquer les
systèmes du constructeur américain
Lockheed Martin.
Enfin, il est important de prêter atten-
tion aux attaques qui visent vos clients
sans pour autant attaquer vos SI. Des
cas d’usurpations d’identités croi-
sées sont de plus en plus courants.
Par exemple, les attaquants utilisent
l’image d’un service public pour voler
les coordonnées bancaires.
Une difficulté à évaluer les
impacts de ces attaques
Il est aujourd’hui difficile d’estimer
de manière fiable les pertes engen-
drées par la cybercriminalité. De très
nombreux chiffres circulent, allant
jusqu’à comparer cette forme de cri-
minalité avec le trafic de drogue en
termes de gains.
La raison de ce flou est simple : les
entreprises ne communiquent pas
sur les incidents qu’elles rencon-
trent. La plupart du temps, elles
ne réalisent pas non plus d’analyse
post-mortem pour évaluer les pertes
directes (arrêt du SI, jours / hommes
perdus, etc.) comme les pertes
indirectes (contrats perdus, pro-
priété intellectuelle dérobée, etc.).
Cependant, nos observations sur le
terrain montrent que des incidents
cybercriminels importants entraînent
des coûts directs liés à la gestion de
crise et de remédiation dont le mon-
tant varie généralement de 5 à 30 M€
par évènement.
« Les coûts directs liés à la gestion de
crise varient généralement de 5 à 30 M€
par évènement »
6• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Face aux nouvelles menaces de la
cybercriminalité, les États réagissent
pour protéger les citoyens et les sys-
tèmes cruciaux pour leurs activités.
Devant cet enjeu militaire et écono-
mique récent, des actions ont été
lancées partout dans le monde. Un
mouvementgénéralqui,malgrélacrise
et les réductions de budget, trahit l’im-
portance accordée au sujet : la cyber-
défense tout comme la cybersécurité
sontaujourd’huidevenuesdespriorités
politiques. Pour les entreprises, ces
démarches sont autant des opportu-
nités que des contraintes.
Protéger les entreprises en cas
d’atteinte à leur SI
En France, de nombreuses lois ont
progressivement intégré la com-
posante sécurité de l’information.
Parmi les plus marquantes, nous
pouvons citer :
•	 La loi Godfrain qui sanctionne
les intrusions dans les systèmes
informatiques ;
•	 La loi sur le secret des
affaires : 2012 a vu l’adoption
en première lecture d’un texte
qui n’est pas encore allé plus
loin dans le processus législa-
tif. Inspiré du Cohen Act des
États-Unis mais aussi d’autres
textes européens, cette loi défi-
nit la notion « d’informations
protégées relevant du secret
des affaires d’une entreprise »
et introduit le délit de divul-
gation de ces informations.
Jusqu’ici, en cas de fuite, les
responsabilités pouvaient être
recherchées pour vol, abus de
confiance ou encore violation
de propriété intellectuelle. Il
est difficile de faire reconnaître
des délits « virtuels » touchant
des données immatérielles non
reconnues par le code pénal.
Les peines prévues dans ce
nouveau texte sont largement
plus dissuasives : 3 ans de pri-
son et 375 000€ d’amendes.
Dans ce nouveau cadre, les
entreprises auront intérêt à iden-
tifier les données concernées,
les marquer et mettre en place
les mesures de sécurité ad hoc
pour assurer la recevabilité d’une
plainte devant un tribunal.
Néanmoins, ce mouvement d’accom-
pagnement aux entreprises reste en
retrait par rapport à d’autres textes de
loi, qui leur imposent de nombreuses
exigences en matière de protection
des données.
Protéger les données à caractère
personnel et la vie privée
En France, la loi Informatique et
Libertés de 1978 a été modifiée en
2004, renforçant les pouvoirs de la
CNIL et les obligations d’information.
Le projet de règlement européen sur
la protection des données à caractère
personnelprévupour2014-2015amè-
nera de nombreuses nouveautés pour
renforcer la protection de la vie privée
numérique.
Tout d’abord, il allègera les formalités
administrativesenpassantd’unrégime
déclaratif à l’obligation de nommer un
délégué à la protection des données.
Cette mesure s’accompagnera d’un
alourdissementdessanctions:jusqu’à
1 M€ d’amende ou 2% du CA. Elles
prendront donc une dimension autre
quesymboliquepourlesgéantsduweb
comme Google ou Amazon…
Enfin, l’obligation de notifier toute
violation d’un traitement de données
à caractère personnel sera élargie
à toutes les entreprises. Le Paquet
Telecoms impose déjà depuis 2011
auxopérateursdetélécommunications
de prévenir les autorités, puis si besoin
lespersonnesconcernéesparunefuite
de données à caractère personnel.
Demain, ce sont toutes les entreprises
qui seront concernées, quel que soit
leur secteur.
Les États contre-attaquent
Trois axes de réglementation
Trois axes de règlementation
Octobre 2013 - Les Synthèses © Solucom 7•
En parallèle, l’Europe propose
une directive sur la sécurité des
réseaux et de l’information qui va
dans le même sens que cette loi
en élargissant le dispositif à une
coopération européenne.
Des textes à la pratique  :
ressources humaines et
matérielles se voient renforcées
Afin de franchir une nouvelle étape
dans sa capacité de protection, l’État
français lance des actions sur d’autres
axes.
Le premier est celui des ressources
humaines. Il s’agit de développer
les compétences dans ce domaine
et de former des experts à même
de répondre à ces nouvelles situa-
tions. Si le Ministère de la Défense
va voir ses effectifs diminuer de
plus de 34 000 emplois (-12,5%)
d’ici 2019, certaines entités vont
au contraire être renforcées. Ainsi,
l’entité « Maîtrise de l’informa-
tion » de la DGA (DGA-MI) va recru-
ter 200 personnes d’ici à 2017
(+17%) et l’ANSSI encore près de
140 personnes d’ici 2015 (+39%).
Cette dernière devrait compter près
de 500 personnes 6 ans après sa
création.
Au-delà de spécialistes, il est néces-
saire de faire de la sécurité de l’in-
formation un incontournable de tout
cursus de formation informatique afin
de développer les compétences, mais
aussi l’appétence, des informaticiens
de demain sur ces sujets. En outre, la
volonté de constitution d’une réserve
de spécialistes de la cyberdéfense est
affichée.
Le second axe veut favoriser l’inves-
tissement dans des produits de sécu-
rité maîtrisés ce qui, complété par un
renforcement des politiques d’achats,
devrait permettre à l’État d’avoir toute
confiance en ses fournisseurs. Les cré-
dits consacrés aux études amont sont
ainsi en train d’être triplés, passant de
10 à 30 M€ par an.
Le troisième et dernier axe s’attache
aux comportements humains. Il
s’agit de sensibiliser les employés
des entreprises, pour prévenir au
maximum les incidents, mais aussi
plus largement tous les utilisateurs
d’internet qui peuvent être ciblés
par la cybercriminalité au travers de
phishing, waterholing, etc.
Protéger les services essentiels
de l’État
En cours d’adoption, la loi de
programmation militaire imposera
la notification des atteintes à la
sécurité de leur SI aux Opérateurs
d’importance vitale (OIV),
les entreprises et organismes
névralgiques du pays dans les
différents secteurs (santé, énergie
et transport notamment). Elle
donne à l’ANSSI des responsabilités
associées : il s’agit ainsi d’imposer
des mesures de protection, de
détection et traitement des incidents
touchant les systèmes sensibles. De
nombreuses entreprises publiques
et privées sont concernées sur leur
périmètre d’importance vitale et
devront mettre en place les mesures
définies par l’ANSSI sous peine de
sanctions pénales.
Le champ d’action défensif de
l’ANSSI sera également renforcé, lui
permettant « d’accéder à un serveur
informatique à l’origine d’une attaque
afin d’en neutraliser les effets ». Des
dispositifs juridiques sont prévus
pour que ces actions ne rentrent pas
dans le champ des articles 323-1,2
et 3 du code pénal qui répriment des
actions de ce type.
8• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Évaluer votre attractivité pour organiser
efficacement votre réponse
Les États ne pourront pas résoudre
tous les problèmes liés à la cybercri-
minalité. C’est la raison pour laquelle
il est indispensable que les entre-
prises se dotent de moyens pour agir
contre ce phénomène. Ces mesures
ne pourront être efficaces sans la
mise en place de plans d’actions
coordonnés et soigneusement réflé-
chis. Et ces plans doivent être adap-
tés aux enjeux métiers de chaque
entreprise pour être plus pertinents
et efficaces.
Identifier ce qui pourrait motiver
les cybercriminels…
Première étape d’une démarche
de lutte contre la cybercriminalité,
l’évaluation de l’attractivité consiste
à évaluer quel serait l’intérêt pour un
cybercriminel d’attaquer l’entreprise.
Pour cela, il est nécessaire d’évaluer
à la fois les menaces qui peuvent
peser sur l’entreprise et ce que les
attaquants chercheraient à obtenir.
Le secteur d’activité et le positionne-
ment sur le marché sont des éléments
déterminants. À titre d’exemple, le
secteur de la finance reste une cible
privilégiée pour les vols de données
clients ou les fraudes. Ces attaques
sont plutôt réalisées par des cyber-
criminels opportunistes qui visent
les entreprises les moins bien pro-
tégées. Le secteur de l’industrie est,
lui, visé majoritairement pour ses
données stratégiques et la propriété
intellectuelle. Les attaquants auront
la volonté de prendre le contrôle
du système d’information et de s’y
installer dans la durée pour voler les
données stratégiques au fil de l’eau.
…afin de mieux cibler
les réponses à apporter
Suite à cette analyse de la menace,
il est nécessaire de procéder à une
identification rapide des actifs clés de
l’entreprise. Cette action, menée avec
les métiers, permettra d’identifier les
périmètres géographiques et tech-
niques potentiellement les plus ciblés.
Loin de viser une analyse exhaustive, il
s’agit à ce niveau d’identifier les 10 ou
15 périmètres les plus sensibles. Il
est en effet illusoire de tout protéger.
Habituellement, les systèmes de vente
en ligne, les centres de R&D, les popu-
lationsCOMEXsontdespérimètresqui
ressortent des analyses.
Au-delà de données internes, les
relations entretenues avec certains
partenaires et / ou clients peuvent
augmenter l’attractivité de l’en-
treprise aux yeux d’attaquants.
C’est particulièrement vrai pour les
grands fournisseurs informatiques
qui détiennent de très nombreuses
données et des accès multiples aux
SI de leurs clients.
Les impacts tels que les pertes finan-
cières et les pertes de savoir-faire ou
avantage concurrentiel seront bien
entendu au cœur de la réflexion. Mais
les problématiques liées à l’image de
l’entreprise vis-à-vis de son écosys-
tème et / ou de ses clients sont aussi
à prendre en compte.
Cette évaluation doit s’inscrire dans
une revue régulière des risques avec
les métiers. En effet, les périmètres
de risques peuvent très largement
changer : acquisitions, lancement
de projets innovants, communica-
tion externe sur de nouveaux projets,
etc. Tout peut être l’occasion pour les
cybercriminels de lancer une cam-
pagne d’attaques. L’évaluation doit
donc être inscrite dans la démarche
de gestion des risques globale.
Une fois cette analyse effectuée, il
faut choisir les meilleurs moyens de
réponse, qu’ils soient organisation-
nels ou techniques.
La cybercriminalité touche tous les secteurs d’activité
Répartition des incidents de cybercriminalité par secteur d’activité
Octobre 2013 - Les Synthèses © Solucom 9•
Les assurances dédiées à la couverture
des risques liés à la cybercriminalité
(communément appelées cyberassu-
rances) sont une solution permettant
deréduirelesimpactssurdeuxaxes.Le
premier correspond au recouvrement
des coûts lié à une attaque cybercri-
minelle, tandis que le second vise à
diminuer l’impact de l’incident par
un apport d’expertise. Cela permet de
gagnerenréactivitéetenmaîtrisegrâce
àdesspécialistesfinancésoumobilisés
par l’assureur.
Aujourd’hui, ces assurances peuvent
apparaître comme une solution de
protection miracle à l’évolution de la
cybercriminalité et comme un outil
pour répondre à l’évolution de la règle-
mentation sur la notification en cas de
fuitededonnéesàcaractèrepersonnel.
Ces futures obligations font augmen-
ter les coûts de gestion des incidents
mais aussi la probabilité de recours
des clients auprès de l’entreprise...
Choisir une assurance en
fonction de votre exposition
Si elle ne peut empêcher les inci-
dents, la cyberassurance est une
des composantes à étudier et inté-
grer le cas échéant à la réponse
face à la cybercriminalité. Elle
n’est cependant pas une solu-
tion adaptée à tous les contextes.
Elle doit être considérée en particu-
lier si l’entreprise est dans l’un des
cas suivants :
•	 Les attaques potentielles ont
des conséquences mesurables
et donc remboursables (par
exemple la perte de chiffre
d’affaires sur un site de e-com-
merce) ;
•	 L’entreprise dispose d’un SI for-
tement exposé sur internet où
elle gère de nombreuses don-
nées personnelles. Ces deux fac-
teurs augmentent la probabilité
d’une attaque et donc l’intérêt
d’une assurance ;
•	 Elle dispose d’un manque d’ex-
pertise sur le sujet de la cybercri-
minalité et souhaite pouvoir dis-
poser d’une capacité de réaction
rapide. Elle s’intéressera alors
aux offres packagées des cybe-
rassureurs, qui lui apporteront
en cas de sinistre des experts
dans plusieurs domaines (juri-
dique, communication, gestion
de crise, forensics, etc.).
Bien souscrire pour bien vous
protéger.........................
Le processus de souscription consti-
tue le pilier fondateur d’un transfert
de risques réussi. En premier lieu, le
client doit confronter les risques à
couvrir avec ceux déjà couverts par
les assurances déjà souscrites. Pour
ce faire, une analyse de risques et
un bilan assurantiel impliquant
toutes les parties de l’entreprise sont
nécessaires.
Dans un second temps, il convient de
choisir le courtier le mieux à même
de répondre aux attentes. Il sera jugé
sur son expertise cyber, sa capacité à
offrir une couverture multi-assureurs
et les modalités d’accompagnement
au cours de la vie du contrat. Courtier
et client échangent alors sur la nature
même des risques à traiter, ainsi que
sur la maturité du client. Le courtier
identifie ensuite, grâce à sa connais-
sance poussée du marché, les assu-
reurs les plus à même de répondre
au besoin. Il sera alors temps d’en-
tamer les négociations sur les critères
classiques des assurances : montant
de couverture, prime et franchise.
Une réunion de marché permettra
aussi aux assureurs de comprendre
le risque pris en échangeant sur les
mesures de sécurité en place.
Une fois le contrat en place, il faudra
informer régulièrement l’assureur et
le courtier des évolutions du péri-
mètre et mettre en place les proces-
sus de déclaration et d’utilisation des
services prévus. Une revue régulière
permettra également en théorie
d’ajuster le montant de la prime.
Une solution émergente :
la cyberassurance
Les chiffres clés de la
cyberassurance
•	Capacité du marché (montant
maximum de couverture) : +/-
20 M€ par assureur, possibilité
d’aller jusqu’à 100 à 150 M€ en
contrat multi-assureurs.
•	Prime : 1 à 5% du montant
annuel garanti;
•	Franchise : de 200 K€ à plus
de  1 M€ pour les grands comptes
(à partir de 5 K€ pour les PME).
Frais couverts par les cyberassurances
10• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Adapter votre gestion de crise
à la cybercriminalité avancée
Aujourd’hui, les entreprises dispo-
sent de processus de gestion des
incidents à même de traiter des
situations classiques (virus ou indis-
ponibilités). Ces moyens ne sont pas
adaptés aux nouveaux scénarios de
crise, et en particulier aux attaques
ciblées.
A contrario, le dispositif de gestion de
crise est conçu et mis en place pour
adresser des événements « disrup-
tifs » majeurs qui interrompent ou
modifient le fonctionnement au
quotidien de l’organisation. C’est
un dispositif avant tout managérial,
qui repose sur plusieurs briques
complémentaires :
•	 Des mécanismes d’alerte ;
•	 Des personnes capables d’ana-
lyser et qualifier les alertes
remontées par les processus de
l’entreprise ;
•	 Des personnes capables de réa-
gir, traiter opérationnellement et
prendre des décisions.
Faire face à une menace discrète
et évolutive : 8 conseils éprouvés
pouradaptervotregestiondecrise
Plusieurs enseignements issus du
traitement de crises récentes chez des
grandscomptesfrançaissontàprendre
en compte dès maintenant pour faire
évoluer le dispositif de crise et se pré-
parer à une attaque ciblée.
1. Prendre du recul face aux inci-
dents unitaires........................
Les incidents de sécurité font la
plupart du temps l’objet d’un traite-
ment unitaire. Résolus un par un, il
est difficile d’établir un éventuel lien
entre eux. Il faut donc prendre le recul
nécessaire afin de détecter des com-
portements dangereux qui se cachent
derrière plusieurs anomalies d’appa-
rence bénigne, sans exclure la pos-
sibilité d’actes de diversion (attaque
de manière visible sur des éléments
finalement peu sensibles, durant les
périodes d’inactivité comme la nuit,
etc.).
2. Mobiliser les métiers................
Il faut absolument éviter de considérer
de telles crises comme des incidents
purement informatiques : il s’agit en
réalité d’incidents métiers, puisque ce
sont principalement eux qui en subis-
sent les impacts. Les métiers doivent
donc être en première ligne avec des
équipes capables d’identifier les sys-
tèmes et données critiques.
3. Mettre en place une organisation
en miroir des attaquants....................
Les retours d’expérience de crises
majeures des dernières années ont
montré que les attaquants sont de plus
en plus structurés autour de profils dis-
tincts avec des expertises variées.
Le pilote de l’attaque est le « cerveau »
qui a la compréhension des enjeux, de
la cible et la connaissance de l’infor-
mation recherchée. Les équipes d’in-
trusion sontspécialisées dansl’infiltra-
tion : leur rôle est d’enfoncer les portes
du SI. Elles disposent potentiellement
de compétences techniques avancées
et ont pour but de maintenir leur pré-
sence le plus longtemps possible. Les
données sont ensuite extraites par
une troisième équipe, souvent moins
compétente et qui peut parfois réaliser
deserreurstrèsutilespourcomprendre
l’objectif de l’attaque et les moyens
mis en œuvre.
Ilfautdoncs’organiserenconséquence.
Les métiers doivent mettre en place
des équipes de réaction dédiées pour
identifier les systèmes et données cri-
tiques. Côté SI, les équipes forensics
ont pour tâche de comprendre le fonc-
tionnement des attaques et donner les
Les attaques ciblées, un nouveau défi pour la gestion de crise
Les attaques ciblées ont pour spécificité de viser des informations et systèmes sensibles dans une entreprise. Ses
auteurs sont mandatés pour viser une cible avec un objectif clair : voler ou altérer des données confidentielles,
détruire le SI, etc. Le niveau de technicité et les moyens disponibles peuvent s’élever drastiquement.
Ces crises, qui amènent à une prise de contrôle généralisée du SI dans la durée, sont à la fois les plus redoutées,
celles qui peuvent causer le plus de dégâts dans l’entreprise, mais aussi celles auxquelles les entreprises sont
aujourd’hui le moins préparées. En effet, peu d’entre elles les ont intégrées à leurs scénarios de crise. Il s’agit
souvent d’une succession d’attaques silencieuses : prises unitairement, leurs effets sont bénins, mais leur articu-
lation amène à une large compromission. C’est également la raison pour laquelle leur existence est généralement
détectée bien après leur démarrage : en moyenne, presque un an.
« Les incidents de cybercriminalité sont per-
çus à tort comme des problèmes informa-
tiques alors qu’il s’agit de crises métier »
Octobre 2013 - Les Synthèses © Solucom 11•
sieurs mois, dont il est parfois délicat
de discerner le début et la fin.
Eneffet,unefoislesattaquesjugulées,
les efforts sont loin d’être terminés :
des actions de reconstruction sont
nécessaires. Il faut recréer des zones
de confiance, en privilégiant d’abord
les fonctions les plus sensibles de l’en-
treprise. Il faut également mettre sous
surveillance ces zones assainies.
6. Éviter le phénomène de la « pyra-
mide inversée  »......................
Enfin, attention à ne pas subir un
phénomène de « pyramide inversée »
créant des équipes à deux vitesses : les
acteurs décisionnels de la gestion de
crise en sureffectif par rapport à des
acteurs opérationnels du SI, eux sub-
mergés. Ceux-ci, seuls à disposer de la
connaissance pour réaliser les actions
techniques sur le SI, reçoivent souvent
trop d’ordres contradictoires dans un
faible intervalle de temps.
7. Penser des solutions SI dégra-
dées indépendantes...........
Il est parfois nécessaire d’innover
durant ce type de crise, et passer s’il
le faut par des mesures exception-
nelles, comme l’utilisation de moyens
informatiques alternatifs. Il s’agit par
exemple de postes de travail décon-
nectés du SI compromis, et donc hors
de portée des attaques, ou encore
d’adresses e-mail externes à l’abri des
regards des attaquants en utilisant des
services demessagerieCloudougrand
public.
8. Prévoir les interactions externes
Un contact en mesure de conserver
les informations relatives à la crise
confidentielles doit être identifié au
préalable chez chacun des acteurs
extérieurs impliqués dans une crise
cybercriminalité – forces de l’ordre,
assureurs, autorités de contrôle.
éléments techniques d’identification,
tandis que les équipes de réaction SI
doiventpenserlareconstructiondansla
durée, afin de ne plus subir à nouveau
ce type d’intrusion.
Au cœur du dispositif, il est nécessaire
qu’une cellule de pilotage coordonne
l’ensemble de ces acteurs. Notons que
de nombreuses fonctions transverses
doivent être impliquées : la direction
juridique, la communication, la rela-
tion client ont notamment un rôle
important à jouer durant la crise.
4. Se doter de compétences forensics
et d’un outillage adapté pour com-
prendre l’attaque.........................
Comprendre la succession d’évène-
ments nécessite des équipes dédiées
avec des compétences de foren-
sics (investigation numérique). Ces
équipes doivent disposer de moyens
techniques, outils d’analyse de traces,
accès aux journaux, plate-forme de
stockagedesélémentstechniques,etc.
5. Anticiper dès maintenant une
crise au long cours........................
L’un des aspects importants des com-
promissions avancées est leur durée :
il s’agit alors de gérer des crises de plu-
Adapter sa structure de gestion de crise à l’attaque
12• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
selon une étude Ponemon Institute
en 2012, 83% des victimes d’une
fuite de données pensent que l’en-
treprise n’est pas digne de confiance.
Il s’agit donc de réagir de manière à
minimiser cette perception en com-
muniquant de manière adaptée.
Identifierlesscénariosredoutéspour
préparer la notification aux clients
Pour initier la démarche, l’entreprise
doit se positionner sur les scénarios
de risques qu’elle souhaite couvrir, en
identifiant les scénarios redoutés les
plus critiques, de par leur probabilité
ou leur impact. Par exemple, un site
de vente en ligne sera plus exposé à
un vol de données clients par le web
qu’un hôpital qui redoutera plutôt une
attaque en profondeur sur le SI pour
collecter des données médicales.
Plusieurs actions devront être réa-
lisées en amont : cartographie des
données à caractère personnel,
évaluation du degré de protection
Vous préparer à la notification des fuites
de données à caractère personnel
Les exigences de notification
des incidents se renforcent peu
à peu. Demain, c’est l’ensemble
des incidents de sécurité que les
OIV en particulier devront notifier
à l’ANSSI sous peine d’amende.
Une nécessaire coordination devra
donc être mise en place entre les
différents acteurs concernés. En
attendant, le sujet le plus urgent
à traiter est celui de la notifica-
tion relative aux clients car il a
un impact direct et visible sur
l’image de marque de l’entreprise.
De nouvelles obligations liées
aux données à caractère per-
sonnel pour les entreprises
Les obligations sont doubles : d’un
côté, il s’agit de notifier aux autorités
compétentes (la CNIL en France) la
violation du traitement de données
à caractère personnel, et de l’autre
de notifier l’incident aux personnes
concernées s’il représente un risque
d’atteinte à leur vie privée.
La notification devra se faire sous
24h à partir du moment où l’atteinte
aux données est découverte. S’il
peut s’avérer compliqué de donner
les détails nécessaires sur l’incident
dans les premières heures de la crise
(nombre de personnes touchées,
nature de l’incident, etc.), il est
préférable de réaliser tout de même
la notification dès que possible.
Des compléments d’informations
pourront par la suite être remis à
l’autorité (dans les 3 jours).
Et si l’obligation réglementaire de
notification aux personnes ne touche
aujourd’hui qu’une poignée d’entre-
prises, nombre sont celles qui le font
déjà dans un souci de transparence
ou sont contraintes de fait de réali-
ser cette notification : une fois l’in-
formation ébruitée par les médias,
elle devient inévitable. La remise
en cause de la confidentialité des
données des clients conduit à une
perte de confiance dans la relation :
Coordonner les différentes notifications aux autorités
Si la notification aux personnes concernées nécessite de manière évidente une bonne maîtrise de la commu-
nication, il ne faut pas sous-estimer la notification aux autorités et mettre en place des procédures efficaces.
Des fuites de données à caractère personnel…
L’interlocuteur en charge des notifications de violation de traitements de données à caractère personnel doit être
connu et identifié par les équipes qui détectent les incidents et gèrent la crise, et intégré dans les communica-
tions de crise SI. Il s’agit bien souvent du correspondant habituel de la CNIL pour les formalités déclaratives et
les contrôles, en support du service juridique.
…qui sont des incidents de sécurité
D’autres autorités comme l’ANSSI ou certains services de l’État peuvent être à inclure dans la démarche de
notification.
Il sera donc nécessaire de capitaliser sur les acteurs impliqués et les processus mis en place pour les fuites de
données à caractère personnel pour assurer la fluidité et la cohérence des notifications aux différents organismes :
cohérence des informations et des mises à jour, simultanéité des notifications, etc.
Attention, les enjeux de notification peuvent parfois s’opposer. Entre transparence et confidentialité, un juste
équilibre devra être trouvé conjointement avec les autorités.
Octobre 2013 - Les Synthèses © Solucom 13•
actuel (en particulier existence de
chiffrement pour limiter le risque
de devoir notifier les clients) mais la
grande nouveauté vient des réflexions
sur la notification en elle-même et sur
les impacts dans l’entreprise.
Au-delà du risque pour elle, elle doit
également analyser ceux du point de
vue de l’individu et placer la vie privée
comme enjeu premier afin de préve-
nir la fraude financière, l’usurpation
d’identité, etc. Les questions clés à
se poser pour qualifier le risque d’at-
teinte à la vie privée seront donc les
suivantes :
•	 À quand remonte l’incident ?
•	 Quelles sont les données
concernées par l’incident au
sein du SI ?
•	 Quels types de données sont
concernés (identification, mode
de vie, etc.) ?
•	 Qui est concerné par les données
atteintes (collaborateurs, clients,
etc.) ?
•	 Quel est le nombre de personnes
affectées ?
•	 Et surtout, quel usage mal-
veillant peut-il en être fait
avec des conséquences
néfastes pour les individus
(sécurité des personnes,
réputation, financier, etc.) ?
- De par leur nature : don-
nées médicales, opinions, etc.
- De par l’usage : données ban-
caires, état civil, etc.
Le résultat de cette analyse doit
permettre de définir le contenu de
la communication mais aussi si
la personne concernée doit elle-
même réaliser une action pour
réduire le risque, par exemple,
un changement de mot de passe.
Construire le plan de réponse
d e m a n i è r e a n t i c i p é e
Cadrer en amont les grandes lignes
d’un plan de réponse permet d’être
plus réactif le jour où un incident sur-
vient, car l’ensemble des acteurs à
mobiliser (relation client, marketing,
RSSI, juristes, etc.) aura déjà tra-
vaillé ensemble. Les canaux de com-
munication doivent être identifiés et
sélectionnés en fonction des canaux
utilisés avec les clients : courrier,
email, appel téléphonique, agence,
etc. Identifier les solutions logistiques
associées à la communication permet-
tra une réactivité plus importante le
jour J : capacité à contacter les clients
(connaissance des adresses postales
et électroniques), redimensionnement
des capacités du CRC, impression de
courriers en masse, assistance aux
clients victimes de fraude.
Pour éviter des effets désastreux, le
contenu de la notification doit égale-
ment être travaillé pour maximiser la
perception positive de la communica-
tion. Une étude Ponemon Institute a
montré que 61% des destinataires de
notifications les trouvent trop compli-
quées à comprendre : la part à appor-
ter aux explications et à la vulgarisa-
tion des concepts techniques parfois
compliqués prend toute son impor-
tance ! Il est également nécessaire
de présenter les risques identifiés et
de rassurer sur les actions mises en
œuvre pour protéger les données et
éviter que l’incident ne se reproduise.
La description des actions à réaliser,
les ressources complémentaires (tuto-
riels, etc.) et les contacts sont impor-
tants à mentionner pour permettre aux
clients d’en savoir plus.
Une étude menée par AllclearID a en
effet montré que 20% des personnes
notifiées cherchent à contacter l’en-
treprise pour avoir plus d’éléments et
passent entre 5 et 20 minutes avec le
service clients, ce qui peut entraîner
en plus une paralysie des canaux de
vente. Il s’agit donc bien là de bonnes
pratiques indispensables à prendre en
compte pour préserver la relation avec
les clients.
« 83% des victimes d’une fuite de données
pensent que l’entreprise concernée n’est pas
digne de confiance »
1 2 3
Les étapes préalables à la notification
14• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Repenser votre modèle de sécurité pour
l’adapter aux nouvelles menaces
L’objectif a longtemps été pour les
entreprises d’empêcher des intrusions
sur leur SI. Cette approche, si elle a
de nombreuses vertus, est dépassée
par des attaques qui contournent
facilement les mesures de sécurité
usuelles (correctifs, antivirus, etc.). Il
faut aujourd’hui accepter le caractère
inévitable des intrusions, et donc se
préparer à y faire face. Pour cela, le
modèle de sécurité doit répondre à
un objectif de protection ciblée, de
détection et de réaction large.
Protéger les périmètres sensibles
Il faut dans un premier temps identi-
fier et « sanctuariser » les périmètres
les plus sensibles : les applications
métier vitales, les données critiques
ainsi que les collaborateurs qui les
manipulent, ou encore les infras-
tructures informatiques dont la
compromission pourrait avoir un effet
désastreux (système de gestion du SI,
outils d’administration, etc.).
Cette protection passe par la construc-
tion de bastions sécurisés. Ils seront
particulièrement surveillés grâce à
des équipes et des moyens dédiés
(annuaire spécifique, pare-feux,
mécanismes de chiffrement, outils
de surveillance, alerte sur modifica-
tion, etc.). Il s’agit de les considérer
comme des îlots indépendants du SI.
Il sera aussi essentiel d’adopter une
approche de sécurisation drastique
des postes de travail concernés.
D’autre part, dans l’objectif de
rapprocher les protections au plus
près des données, la mise en place
d’une cellule de sécurité applicative
est une bonne pratique encore peu
répandue. Son rôle est d’agir sur la
robustesse des applications internes,
tant au moment de leur conception
que durant leur cycle de vie (correc-
tifs, mises à jour, etc.). Cette ini-
tiative doit aussi être portée par les
équipes internes mais aussi étendue
à l’ensemble des prestations exter-
nalisées (développement, héberge-
ment, Cloud, etc.).
En particulier, les applications métiers
les plus exposées pourront faire l’ob-
jet de mesures spécifiques : ana-
lyse temps réel des transactions,
alerte et blocage de flux en cas de
fraudes, authentification basée sur
les risques, contrôle d’intégrité, etc.
Mettre en place des disposi-
tifs techniques ciblés...........
Se préparer à lutter contre des
attaques cybercriminelles passe
aussi par l’utilisation de solutions
innovantes dédiées à ces nouvelles
menaces. Sans prétendre à l’ex-
haustivité, nous vous proposons
quelques approches qui peuvent
s’avérer efficaces pour lutter contre
certaines catégories de cybercrimina-
lité. Attention, pour bien fonctionner,
ces solutions technologiques devront
toujours être accompagnées d’un dis-
positif humain adapté.
Se protéger contre les DDoS.......
Les DDoS, attaques par saturation
d’un système afin de le rendre indis-
ponible, sont devenues très cou-
rantes. L’approche classique pour
s’en protéger consistait à réagir avec
l’opérateur télécom concerné en cas
d’attaques : une solution longue à
déclencher et très impactante.
De nouvelles méthodes consistent à
placer des mécanismes permettant
de surveiller les tentatives de déni
de service. Si une attaque est détec-
tée, le trafic réseau est dévié auprès
d’un fournisseur Cloud ou chez un
opérateur. Disposant de l’outillage
nécessaire pour nettoyer le trafic en
isolant la partie malveillante puis en
routant uniquement les flux légitimes
vers l’entreprise. Une fois l’attaque
passée, le trafic reprend son chemin
normal.
Mettre en place des « bacs à sable »
d’analyse des fichiers.................
Les antivirus fonctionnent depuis
longtemps à l’aide de signatures : si
un fichier ou une attaque répond à un
certain nombre de critères précis, il
est détecté comme malveillant. Cette
approche montre chaque jour un peu
plus ses limites avec les failles dites
0-day (encore non divulguées publi-
quement). Une méthode aujourd’hui
plus efficace est de simuler dans un
« bac à sable » l’exécution de tout
fichier circulant sur le réseau. Si le
fichier a un comportement suspect,
le système de protection peut alors
le bloquer.
Séparerlesusagesselonleursensibilité...
Les utilisateurs traitent souvent
sur le même ordinateur des infor-
mations sensibles, des documents
bureautiques, ou encore des fichiers
personnels.
Si l’utilisation de machines diffé-
rentes pour chaque niveau de sen-
sibilité est toujours difficile pour des
raisons bien évidentes de coûts et de
complexité d’usage, la virtualisation
peut être une réponse technique à ce
besoin. Sur un même poste, il exis-
terait alors plusieurs environnements
(confidentiel, bureautique, person-
nel, etc.) étanches et disposant cha-
cun du niveau de sécurité idoine.
Réduire les privilèges des admi-
nistrateurs...........................
Un chantier de diminution des droits
administrateurs doit également être
engagé. Trop souvent, les comptes se
démultiplient et les pratiques d’ad-
ministration sont dangereuses (utili-
sation de poste connecté à internet
par exemple). Au-delà de l’utilisation
de postes dédiés, des plates-formes
de rebond doivent être utilisées pour
tracer les actions d’administration.
Octobre 2013 - Les Synthèses © Solucom 15•
Se doter d’un dispositif de
détection et de réaction élargi
Les entreprises doivent être en mesure,
lorsqu’une attaque survient, de la
détecter, de l’analyser et de réagir
correctement.
Renforcer ou créer un SOC / CERT...
Avant même d’envisager le déploie-
ment de solutions techniques à large
échelle, il est nécessaire de se doter
des compétences en interne pour coor-
donner la détection des incidents et
les réactions avec le recul nécessaire.
Un centre des opérations sécurité
(aussi appelé SOC, CERT ou encore
CSIRT) devra être créé ou renforcé.
Ses activités s’articulent autour de
trois axes :
•	 La prévention des attaques,
à travers des actions de
veille et de gestion des vul-
nérabilités informatiques ;
•	 La surveillance du SI et d’inter-
net, à travers la détection d’inci-
dents et le suivi d’indicateurs de
compromission mais aussi pour
suivre et détecter les usages
malicieux de votre identité
(phishing, noms de domaines,
réseaux sociaux) ;
•	 La gestion de crise : il sera le
pilote technique des crises de
cybercriminalité, apportant
l’expertise permettant de com-
prendre les incidents et réduire
leurs impacts.
Lors d’une attaque, il peut être le
maître d’œuvre de réaction plus
« active » (demande de fermeture des
sites utilisés pour l’exfiltration, envoi
de fausses informations, etc.) interve-
nant en dehors du SI de l’entreprise
concernée.
Renforcer les opérations de détection
enprofitantdelapuissancedu Cloud...
En parallèle de cette structure, il est
nécessaire de renforcer l’outillage de
surveillance du système d’information.
Mise en place de politique de journa-
lisation et centralisation des journaux
des équipements de sécurité et des
serveurs les plus sensibles sont les
premières actions à réaliser. D’autres
plus avancées peuvent être envisagées,
comme par exemple l’externalisation de
cette surveillance auprès d’un MSSP
(Managed Security Service Provider),
ou encore le recours à des outils de cor-
rélation des journaux, voire en utilisant
des approches Big data.
Par ailleurs, les éditeurs de solutions
de sécurité proposent de plus en plus
d’outils s’appuyant sur une approche
Cloud, dont le principe est d’envoyer
les données à analyser à l’éditeur plutôt
que de reposer entièrement sur un outil
déployé en interne. Il est ainsi possible
de profiter de l’expérience acquise par
le fournisseur au cours d’attaques pré-
cédentes (notamment au sein d’autres
entreprises) et de faire intervenir des
experts en sécurité pour une analyse
en temps réel.
Connaître le
niveau de
vulnérabilités
du SI
Rôles et activités du CERT
16• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Conclusion
Les États investissent, les entreprises doivent emprunter le même chemin
Aujourd’hui, l’État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. En regard, les
grandes entreprises adoptent une approche encore trop timorée et réductrice face à l’évolution des menaces. Et si
certaines ont su avancer, c’est bien souvent après avoir été durement touchées par un incident. Les directions générales
commencent à prendre conscience des risques mais les investissements restent largement en retrait - souvent car il
est difficile d’avoir une idée claire de la stratégie à suivre face à une menace en constante évolution.
Changer de posture : allier protection, détection et réaction
Au vu du niveau d’expertise des cybercriminels et de la faiblesse, par construction, des systèmes d’information, il est
impossible d’empêcher toutes les attaques de réussir. Une nouvelle posture doit être adoptée, alliant une protection
avancée des périmètres les plus sensibles et une forte capacité de détection et de réaction aux attaques.
Cet équilibrage passe par une évaluation de l’attractivité de l’entreprise pour les cybercriminels et par la définition
d’une cible parmi la profusion de solutions techniques, organisationnelles et juridiques adressant la cybercriminalité.
Aucune solution ne répond intégralement au problème, la bonne approche se trouve dans une articulation de ces
différentes solutions.
Construire sa stratégie face à une profusion de solutions
À réaliser en priorité, un exercice de gestion de crise sur un ou plusieurs scénarios pertinents pour les métiers permettra
de prendre conscience du degré de préparation de l’entreprise. Il sera structurant pour définir les chantiers à court
terme, telle que la cyberassurance ou les solutions techniques ciblées (lutte contre les dénis de service, protection
des VIP, surveillance d’actifs sensibles, etc.). La préparation aux notifications des incidents aux clients et la mise en
place ou le renforcement du SOC et son outillage devront également être envisagés dès aujourd’hui pour porter leurs
fruits à moyen terme.
8
Une mobilisation transverse nécessaire
Octobre 2013 - Les Synthèses © Solucom 17•
Lutter contre la cybercriminalité, c’est combiner l’ensemble des compétences de l’entreprise
Le programme de lutte contre la cybercriminalité demande une mobilisation transverse au sein de l’entreprise, y com-
pris d’acteurs encore éloignés de ces problématiques aujourd’hui. L’animateur de ce programme est le plus souvent le
Responsable de la sécurité de l’information. Le Risk manager et / ou le DSI doivent aussi jouer des rôles déterminants,
voire porter le sujet dans certains contextes. Vu la diversité des thèmes, l’ampleur des changements et les impacts
potentiels pour les entreprises, il sera souvent nécessaire de mettre en place une structure transverse. Celle-ci regrou-
pera des acteurs de la direction générale, du juridique, de la gestion des risques, de la DSI, de la communication, des
principaux métiers : en particulier de la relation client.
Ce comité existe déjà dans les entreprises les plus matures. Il suivra l’avancement des projets liés à la cybercrimina-
lité. Il participera et animera également le processus de gestion de crise. Un reporting régulier devra être réalisé à la
Direction générale sous forme d’indicateurs de risques.
Une fenêtre d’opportunité sans précédent pour agir
Aujourd’hui, la multiplication des attaques, des révélations et des actions des États offre une opportunité sans pareil
pour adresser le sujet de la cybercriminalité en profondeur. Les fonctions dirigeantes des entreprises ne sont plus à
sensibiliser, elles sont souvent en attente ! Il est grand temps de leur apporter une démarche claire et simple pour
protéger les clients et le patrimoine de l’entreprise dans la durée.
18• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Glossaire
ANSSI ............................
L’Agence Nationale de la Sécurité
des Systèmes d’Information, elle
assure la mission d’autorité nationale
en matière de sécurité des systèmes
d’information. A ce titre elle est char-
gée de proposer les règles à appli-
quer pour la protection des systèmes
d’information de l’État et de vérifier
l’application des mesures adoptées.
Dans le domaine de la défense
des systèmes d’information, elle
assure un service de veille, de
détection, d’alerte et de réaction
aux attaques informatiques, notam-
ment sur les réseaux de l’État.
APT ...........................................
Advanced Persistent Threats, caté-
gorie de cyberattaques vidant des
informations sensibles et précises
dans l’organisation et dont le niveau
de complexité est adapté à la cible.
Authentification forte ...............
Procédure d’identification qui
requiert l’utilisation d’au moins deux
facteurs d’authentification de nature
distinctes afin de rendre la tâche plus
compliquée à un éventuel attaquant.
Certificat ...............................
Carte d’identité numérique, il est
utilisé principalement pour identifier
une entité physique ou morale, mais
aussi pour chiffrer des échanges. Il
est signé par un tiers de confiance
qui atteste du lien entre l’identité
physique et l’entité numérique.
Cheval de Troie.(Trojan)............
Logiciel d’apparence légitime, conçu
pour exécuter des actions à l’insu de
l’utilisateur. En général, il utilise les
droits appartenant à son environ-
nement pour détourner, diffuser ou
détruire des informations. Les trojans
sont programmés pour être installés
de manière invisible, notamment
pour corrompre l’ordinateur hôte.
DDoS ................................
Distributed Denial of service attack
(attaque distribuée par deni de ser-
vice), attaque visant à rendre indis-
ponible pendant un temps indéter-
miné les services ou ressources d’une
organisation. Il s’agit la plupart du
temps d’attaques à l’encontre des
serveurs d’une entreprise, afin qu’ils
ne puissent être utilisés et consultés.
Faille 0-day ..............................
Attaque exploitant une vulnérabilité
inconnue jusqu’à ce jour dans une
application, ce qui signifie que l’at-
taque a lieu au « jour zéro » de détec-
tion de la vulnérabilité.
Forensics ..............................
Ensemble des connaissances et
méthodes qui permettent de collec-
ter, conserver et analyser des preuves
issues de supports numériques en
vue de les produire dans le cadre
d’une action en justice.
Ingénierie sociale.............
Escroquerie où des individus mal
intentionnés utilisent leurs connais-
sances (et leur audace) pour se faire
passer pour quelqu’un d’autre. Ils
vont tenter d’abuser de la confiance
de l’utilisateur, ou de sa crédulité
dans le but de lui soutirer un service
ou des informations clés.
Logs / traces ........................
Enregistrement séquentiel dans un
fichier ou une base de données de
tous les événements affectant un pro-
cessus particulier (application, acti-
vité d’un réseau informatique, etc.).
M S S P. . . . . . . . . . . . . . . . . . . . . .
Managed Security Service Provider,
infogérant proposant aux entre-
prises d’externaliser la gestion
de leur sécurité Informatique.
OIV...........................
Opérateurs d’importance vitale, ins-
tallations physiques, technologies
de l’information, réseaux, services
et actifs qui, en cas d’arrêt ou de
destruction, peuvent avoir de graves
incidences sur la santé, la sécurité ou
le bien-être économique des citoyens
ou encore le travail des gouverne-
ments des États.
Phishing .........................
Technique utilisée par des fraudeurs
pour obtenir des renseignements
personnels dans le but de perpétrer
une usurpation d’identité. La tech-
nique consiste à faire croire à la
victime qu’elle s’adresse à un tiers
de confiance afin de lui soutirer des
renseignements personnels. Elle peut
se faire par courrier électronique,
par des sites web falsifiés ou autres
moyens électroniques.
SOC / CSIRT / CERT© .................
Security operation center / com-
puter security incident response
team / computer emergency res-
ponse team : organismes chargés
d’assurer des services de prévention
des risques et d’assistance aux trai-
tements d’incidents. Ces organismes
sont des centres d’alerte et de réac-
tion aux attaques informatiques,
destinés aux entreprises et / ou aux
administrations.
Waterholing..................
Attaque se référant à un prédateur
qui se terre près d’un point d’eau
dans l’espoir qu’une proie s’y déplace
pour boire. De la même façon, un
hacker (le prédateur) utilisant cette
technique n’attaque pas directement
sa cible mais va plutôt compromettre
un site (le point d’eau) pour que
celui-ci infecte ses visiteurs.
Octobre 2013 - Les Synthèses © Solucom 19•
À propos de Solucom
Solucom est un cabinet indépendant
de conseil en management et
système d’information.
Ses clients sont dans le top 200
des grandes entreprises et
administrations. Pour eux, le cabinet
est capable de mobiliser et de
conjuguer les compétences de plus
de 1200 collaborateurs.
Sa mission ? Porter l’innovation au
cœur des métiers, cibler et piloter les
transformations créatrices de valeur,
faire du système d’information
un véritable actif au service de la
stratégie de l’entreprise.
Solucom est coté sur NYSE Euronext
et a obtenu la qualification entreprise
innovante décernée par OSEO
Innovation.
Découvrez SolucomINSIGHT, le
magazine en ligne de Solucom :
www.solucominsight.fr
Imaginé sous forme de « club », et porté par deux directeurs du cabinet, l’Atelier Solucom est un rendez-vous
bimestriel auquel sont conviés sur invitation une douzaine de clients. Certains sujets adressent les DSI, d’autres les
directions métiers. L’objectif ? Identifier et réfléchir avec eux aux challenges de demain et s’y préparer. Quelques
mois après chaque Atelier, la Synthèse associée est mise en ligne sur notre site internet.
Quelques thèmes récents d’Ateliers :
•	 L’entreprise face au risque cybercriminalité : think global !
•	 DSI, et si vous deveniez Cloud broker ?
•	 Oser la rupture dans les relations DSI / Métiers pour accélérer les transformations du SI
•	 Le pilotage économique : 1ère
priorité du DSI !
•	 Smart - au-delà du buzzword, préparez la transformation !
Pour en savoir plus sur le programme, ateliersolucom@solucom.fr
Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8
92042 Paris La Défense Cedex
Tél. : 01 49 03 25 00 Fax. : 01 49 03 25 01
www.solucom.fr
CopyrightSolucom-ISBN978-2-918872-18-4EAN978291872184-Responsabledelapublication :LaurentBellefin

Contenu connexe

Tendances

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...Symantec
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...OpinionWay
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Guide - 9 réflexes de sécurité pour les ordres de virement des entreprises 2015
Guide - 9 réflexes de sécurité pour les ordres de virement des entreprises  2015Guide - 9 réflexes de sécurité pour les ordres de virement des entreprises  2015
Guide - 9 réflexes de sécurité pour les ordres de virement des entreprises 2015polenumerique33
 

Tendances (20)

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Guide - 9 réflexes de sécurité pour les ordres de virement des entreprises 2015
Guide - 9 réflexes de sécurité pour les ordres de virement des entreprises  2015Guide - 9 réflexes de sécurité pour les ordres de virement des entreprises  2015
Guide - 9 réflexes de sécurité pour les ordres de virement des entreprises 2015
 

En vedette

Patrick Vattier - Timbres rares
Patrick Vattier - Timbres raresPatrick Vattier - Timbres rares
Patrick Vattier - Timbres raresPV Collection
 
Glosario gerencia de riesgos
Glosario gerencia de riesgosGlosario gerencia de riesgos
Glosario gerencia de riesgosanescrun
 
Nuevo documento de microsoft office word danny ville
Nuevo documento de microsoft office word danny villeNuevo documento de microsoft office word danny ville
Nuevo documento de microsoft office word danny villejpvg
 
Pourquoi apprendre la jurisprudence auprès des savants ?
Pourquoi apprendre la jurisprudence auprès des savants ?Pourquoi apprendre la jurisprudence auprès des savants ?
Pourquoi apprendre la jurisprudence auprès des savants ?AbouZakariyya
 
Présentation de Itescia - Accueil BAFS 2015
Présentation de Itescia - Accueil BAFS 2015Présentation de Itescia - Accueil BAFS 2015
Présentation de Itescia - Accueil BAFS 2015BAFS
 
Vision educativa innovadora web 3.0
Vision educativa innovadora web 3.0Vision educativa innovadora web 3.0
Vision educativa innovadora web 3.0Raekyta
 
Les éléments du patrimoine
Les éléments du patrimoineLes éléments du patrimoine
Les éléments du patrimoineatelieriug
 
Nous vous présentons la Lituanie
Nous vous présentons la LituanieNous vous présentons la Lituanie
Nous vous présentons la LituanieEgle Galubaviciute
 
La journée mondiale de l'eau
La journée mondiale de l'eauLa journée mondiale de l'eau
La journée mondiale de l'eaubeajor
 
Finance: Etude relative aux rapports des Présidents sur les procédures de con...
Finance: Etude relative aux rapports des Présidents sur les procédures de con...Finance: Etude relative aux rapports des Présidents sur les procédures de con...
Finance: Etude relative aux rapports des Présidents sur les procédures de con...Groupe SFC, cabinet d'expertise comptable
 
Exposición windows 2000 - actualidad
Exposición  windows  2000 - actualidadExposición  windows  2000 - actualidad
Exposición windows 2000 - actualidadjosempuma
 
Bertalanffy ludwig von teoria general de los sistemas 2
Bertalanffy ludwig von   teoria general de los sistemas 2Bertalanffy ludwig von   teoria general de los sistemas 2
Bertalanffy ludwig von teoria general de los sistemas 2Merlycaridad ramirez
 
Emprendimientos 110817081400-phpapp02
Emprendimientos 110817081400-phpapp02Emprendimientos 110817081400-phpapp02
Emprendimientos 110817081400-phpapp02Carla Melisa Nicolato
 
Reglamento de catedras y departamentos
Reglamento de catedras y departamentosReglamento de catedras y departamentos
Reglamento de catedras y departamentosFacebook
 

En vedette (20)

Patrick Vattier - Timbres rares
Patrick Vattier - Timbres raresPatrick Vattier - Timbres rares
Patrick Vattier - Timbres rares
 
Imageshack
ImageshackImageshack
Imageshack
 
Air Max 2013 RA9565
Air Max 2013 RA9565 Air Max 2013 RA9565
Air Max 2013 RA9565
 
Informe actitudes 2010
Informe actitudes 2010Informe actitudes 2010
Informe actitudes 2010
 
Glosario gerencia de riesgos
Glosario gerencia de riesgosGlosario gerencia de riesgos
Glosario gerencia de riesgos
 
Nuevo documento de microsoft office word danny ville
Nuevo documento de microsoft office word danny villeNuevo documento de microsoft office word danny ville
Nuevo documento de microsoft office word danny ville
 
Ld 63020
Ld 63020Ld 63020
Ld 63020
 
Pourquoi apprendre la jurisprudence auprès des savants ?
Pourquoi apprendre la jurisprudence auprès des savants ?Pourquoi apprendre la jurisprudence auprès des savants ?
Pourquoi apprendre la jurisprudence auprès des savants ?
 
Présentation de Itescia - Accueil BAFS 2015
Présentation de Itescia - Accueil BAFS 2015Présentation de Itescia - Accueil BAFS 2015
Présentation de Itescia - Accueil BAFS 2015
 
Vision educativa innovadora web 3.0
Vision educativa innovadora web 3.0Vision educativa innovadora web 3.0
Vision educativa innovadora web 3.0
 
test report
test reporttest report
test report
 
Les éléments du patrimoine
Les éléments du patrimoineLes éléments du patrimoine
Les éléments du patrimoine
 
Nous vous présentons la Lituanie
Nous vous présentons la LituanieNous vous présentons la Lituanie
Nous vous présentons la Lituanie
 
La journée mondiale de l'eau
La journée mondiale de l'eauLa journée mondiale de l'eau
La journée mondiale de l'eau
 
Finance: Etude relative aux rapports des Présidents sur les procédures de con...
Finance: Etude relative aux rapports des Présidents sur les procédures de con...Finance: Etude relative aux rapports des Présidents sur les procédures de con...
Finance: Etude relative aux rapports des Présidents sur les procédures de con...
 
Fem tastets
Fem tastetsFem tastets
Fem tastets
 
Exposición windows 2000 - actualidad
Exposición  windows  2000 - actualidadExposición  windows  2000 - actualidad
Exposición windows 2000 - actualidad
 
Bertalanffy ludwig von teoria general de los sistemas 2
Bertalanffy ludwig von   teoria general de los sistemas 2Bertalanffy ludwig von   teoria general de los sistemas 2
Bertalanffy ludwig von teoria general de los sistemas 2
 
Emprendimientos 110817081400-phpapp02
Emprendimientos 110817081400-phpapp02Emprendimientos 110817081400-phpapp02
Emprendimientos 110817081400-phpapp02
 
Reglamento de catedras y departamentos
Reglamento de catedras y departamentosReglamento de catedras y departamentos
Reglamento de catedras y departamentos
 

Similaire à Cybercriminalité: comment agir dès aujourd'hui

Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité Bpifrance
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu RigottoIMS NETWORKS
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu RigottoSolenn Eclache
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013Pierre SARROLA
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...OpinionWay
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoExaprobe
 
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdf
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdfAGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdf
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdfAGILLY
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert Half France
 
Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Scalar Decisions
 

Similaire à Cybercriminalité: comment agir dès aujourd'hui (20)

Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & Cisco
 
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdf
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdfAGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdf
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdf
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016
 

Plus de Wavestone

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Wavestone
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeWavestone
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Wavestone
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeWavestone
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Wavestone
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseWavestone
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Wavestone
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or dieWavestone
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientWavestone
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101Wavestone
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceWavestone
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesWavestone
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Wavestone
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirWavestone
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Wavestone
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77Wavestone
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Wavestone
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerWavestone
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webWavestone
 

Plus de Wavestone (20)

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnée
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigme
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presse
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or die
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation client
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devices
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourir
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance Speaker
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 

Cybercriminalité: comment agir dès aujourd'hui

  • 1. LES SYNTHÈSES SOLUCOM Cybercriminalité : comment agir dès aujourd’hui Observatoire de la transformation des entreprises no 47
  • 2. 2• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Marion Couturier est manager chez Solucom. Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et d’exercices de gestion de crise. Elle dispose également d’une large expertise sur les volets communication et sensibilisation. marion.couturier@solucom.fr Gérôme Billois est senior manager chez Solucom. Diplômé de l’INSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans l’évaluation et la mise en place de leur gouvernance sécurité et projets de sécurisation de l’information. Il accompagne nos clients dans la préparation et la gestion de crises réelles. gerome.billois@solucom.fr Chadi Hantouche est manager chez Solucom. Diplômé de l’ENSIMAG, il conseille nos clients dans la transformation de leurs modèles de sécurité, leurs stratégies de sécurité en mobilité et la mise en oeuvre de mécanismes de sécurité. chadi.hantouche@solucom.fr Marion Couturier Chadi Hantouche Gérôme Billois
  • 3. Octobre 2013 - Les Synthèses © Solucom 3• ÉDITO La cybercriminalité au cœur de l’entreprise numérique Avec le développement du numérique dans les entreprises et les administrations, les risques liés à la cybercriminalité augmentent à grande vitesse. Et ce n’est pas seulement de la science-fiction ! Dorénavant, le sujet est présent quotidiennement dans l’actualité : atteinte à la pro- tection des données personnelles, dénis de service, vols de données… les angles d’attaques ne manquent pas pour des cybercriminels qui usent de moyens de plus en plus sophistiqués. Au-delà de ce que l’on peut lire dans la presse, nous l’avons nous-même constaté chez plusieurs clients qui ont été les cibles d’attaques complexes et à très fort impact. La bonne nouvelle, c’est que la prise de conscience commence à se faire. Les états s’emparent du sujet, augmentent leurs effectifs dans ce domaine et imposent des pratiques plus strictes dans la gestion des infrastructures vitales. Les Directions géné- rales des entreprises s’interrogent et demandent des réponses aux Responsables des risques et de la sécurité des SI. Mais ces réponses ne sont pas si simples : impossible en effet de tout protéger et de garantir une défense impénétrable contre les attaques. Il s’agit donc plutôt de construire un plan d’ensemble combinant gestion de crise efficace, polices d’assurance, organisation et mesures techniques. Un plan raisonné, orienté vers une protection ciblée des actifs sensibles et vers un entraînement plus poussé à la gestion de crise et à la communication associée. En effet, en cas d’incident, vous serez jugé autant sur votre capacité à rétablir le service ou à limiter le vol de données que sur la manière dont vous gérerez votre communication vers vos clients et vos actionnaires. Bonne lecture à tous ! Laurent Bellefin, directeur associé du cabinet Solucom directeur de la publication
  • 4. 4• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité La menace explose et s’organise La cybercriminalité connaît une croissance démesurée. Elle évolue à un rythme effréné, suivant une dyna- mique similaire à celle de l’utilisation des systèmes d’information au sein de la société. Cette criminalité revêt de multiples formes et comporte de nombreuses dimensions que les grandes entreprises doivent com- prendre et considérer en fonction de leurs activités. Des motivations très variées Même s’il est parfois difficile d’établir une limite claire entre les différentes motivations des cybercriminels, nous pouvons en distinguer 4 majeures : • L’idéologie vise à défendre une conviction (par exemple poli- tique ou religieuse) à travers des attaques dont le but est d’inter- rompredesservicesàdiffuserdes messages partisans, ou à divul- guerlesdonnéesd’uneentreprise pour nuire à son image. • Les gains financiers directs : il s’agit par exemple du vol de données bancaires (en parti- culier des numéros de cartes), de données personnelles, mais aussi de données critiques de l’entreprise comme les secrets industriels ou les informations concernant sa stratégie. Elles seront revendues par la suite ou utilisées pour réaliser des fraudes. • La déstabilisation entre États ou le cyberterrorisme visent à détruire des systèmes ou à voler des données stratégiques afin de nuire au bon fonctionnement des services critiques ou vitaux des États. • Par ailleurs, l’obtention de capa- cités d’attaques est une moti- vation qui se développe. Elle consiste à voler les secrets des mécanismes de sécurité (mots de passe, certificats, failles de sécurité, etc.) ou à attaquer les SI des fournisseurs (infogérants, opérateurs de télécom, fournis- seurs de solutions de sécurité) de sociétés qui seront visées ultérieurement. Ces éléments sont utilisés plus tard pour lan- cer la véritable attaque. Peu importe la motivation, les cyber- criminels ne se fixent plus aucune limite dans la réalisation de leurs desseins. De nos jours, ces attaques peuvent toucher n’importe quelle entreprise, quel que soit son secteur d’activité, comme l’a récemment montré l’actualité. Denouveauxscénariosd’attaques à prendre en compte Les scénarios d’attaques les plus clas- siques sont souvent connus et maîtri- sés par lesgrandes entreprises. Ils’agit par exemple de l’ingénierie sociale par messagerie (phishing) ou téléphone, les dénis de service et les attaques sur les sites web.             Les motivations des cyberattaquants et quelques exemples d’états ou entreprises qui ont été ciblés
  • 5. Octobre 2013 - Les Synthèses © Solucom 5• programme visait à collecter des don- nées bancaires auprès des internautes dont l’ordinateur avait été compro- mis. Un autre cas, encore plus ciblé, concerne un site dédié aux person- nels et sous-traitants du ministère de l’énergie aux USA ayant travaillé dans le secteur du nucléaire. Les attaques destructrices sont réelle- ment apparues en 2011. Elles visent à rendre inopérante une partie du système d’information en détruisant logiquement les postes de travail et les serveurs. Ce scénario commence souvent par une intrusion silencieuse qui permet de prendre le contrôle des éléments centraux du SI et ainsi de pouvoir déployer rapidement sur l’en- semble des postes de travail un code malicieux qui détruira les données pré- sentes sur le disque dur. La Corée du Sud a connu des vagues successives d’attaques destructrices visant des grandes banques et des chaînes de média. En utilisant un malware spé- cifique capable de se multiplier et en détournant les systèmes de télédistri- bution, les attaquants ont pu détruire logiquement plus de 30 000 postes de travail. Les grandes entreprises doivent enfin être attentives aux attaques de tiers et / ou de partenaires métiers. Dans ce cas, les attaquants visent un fournis- seur ou un partenaire clé plus facile à attaquer que la cible finale. Face à ces attaques, les sociétés visées sont sou- ventdépourvuesdemoyensderéponse rapides et efficaces. Par ailleurs, les problèmes de responsabilités et d’en- gagements contractuels complexifient la gestion de crise. RSA a ainsi subi en Mais de nouvelles formes de cyberat- taques apparaissent tous les jours et il est nécessaire de se préparer à lutter contre elles. Les attaques ciblées avec des e-mails piégés se développent. Également connue sous la dénomination spear phishing, ce type d’attaque prend la forme d’un message électronique qui semble émaner d’une personne ou d’une entreprise réputée et de confiance. Mais en réalité, il s’agit d’un message piégé qui permet de prendre le contrôle de l’ordinateur de la personne ciblée en contournant les mécanismes de sécurité présents à la fois sur la messagerie et sur le poste de travail. Ces attaques sont actuel- lement à l’origine de la majorité des incidents graves. Des cybercriminels ontparexempletentédedétournerdes fonds des entreprises Quick et Scor en usurpant l’identité des PDG auprès du service comptabilité. Heureusement, les versements frauduleux n’ont pas étéréalisés,maisceuniquementgrâce à la vigilance des services comptables. Le spear phishing aurait également été utilisé avec succès contre des struc- tures comme le ministère de l’écono- mie et des finances et a conduit à une intrusion sur son réseau. Un autre type d’attaque est en vogue, le waterholing. Ce terme vient d’une analogie avec les points d’eau où les prédateurs attendent patiemment des proiesvenuesboire.Ilconsisteàpiéger unsitewebparticulier,connupourêtre visité fréquemment par les personnes ciblées. L’attaquant réalise une intru- sion discrète lui permettant d’ajouter uncodemalicieuxsurlesite.Envisitant ce site, habituellement de confiance, la personne verra son ordinateur com- promismalgrélesprotectionsenplace. À titre d’exemple, des pirates sont parvenus à compromettre le site de la chaîne de télévision américaine NBC en diffusant auprès des visiteurs un cheval de Troie bancaire, Citadel. Ce 2011 une attaque visant à récupérer les informations concernant leur sys- tème d’authentification forte nommé SecurID, pour ensuite attaquer les systèmes du constructeur américain Lockheed Martin. Enfin, il est important de prêter atten- tion aux attaques qui visent vos clients sans pour autant attaquer vos SI. Des cas d’usurpations d’identités croi- sées sont de plus en plus courants. Par exemple, les attaquants utilisent l’image d’un service public pour voler les coordonnées bancaires. Une difficulté à évaluer les impacts de ces attaques Il est aujourd’hui difficile d’estimer de manière fiable les pertes engen- drées par la cybercriminalité. De très nombreux chiffres circulent, allant jusqu’à comparer cette forme de cri- minalité avec le trafic de drogue en termes de gains. La raison de ce flou est simple : les entreprises ne communiquent pas sur les incidents qu’elles rencon- trent. La plupart du temps, elles ne réalisent pas non plus d’analyse post-mortem pour évaluer les pertes directes (arrêt du SI, jours / hommes perdus, etc.) comme les pertes indirectes (contrats perdus, pro- priété intellectuelle dérobée, etc.). Cependant, nos observations sur le terrain montrent que des incidents cybercriminels importants entraînent des coûts directs liés à la gestion de crise et de remédiation dont le mon- tant varie généralement de 5 à 30 M€ par évènement. « Les coûts directs liés à la gestion de crise varient généralement de 5 à 30 M€ par évènement »
  • 6. 6• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Face aux nouvelles menaces de la cybercriminalité, les États réagissent pour protéger les citoyens et les sys- tèmes cruciaux pour leurs activités. Devant cet enjeu militaire et écono- mique récent, des actions ont été lancées partout dans le monde. Un mouvementgénéralqui,malgrélacrise et les réductions de budget, trahit l’im- portance accordée au sujet : la cyber- défense tout comme la cybersécurité sontaujourd’huidevenuesdespriorités politiques. Pour les entreprises, ces démarches sont autant des opportu- nités que des contraintes. Protéger les entreprises en cas d’atteinte à leur SI En France, de nombreuses lois ont progressivement intégré la com- posante sécurité de l’information. Parmi les plus marquantes, nous pouvons citer : • La loi Godfrain qui sanctionne les intrusions dans les systèmes informatiques ; • La loi sur le secret des affaires : 2012 a vu l’adoption en première lecture d’un texte qui n’est pas encore allé plus loin dans le processus législa- tif. Inspiré du Cohen Act des États-Unis mais aussi d’autres textes européens, cette loi défi- nit la notion « d’informations protégées relevant du secret des affaires d’une entreprise » et introduit le délit de divul- gation de ces informations. Jusqu’ici, en cas de fuite, les responsabilités pouvaient être recherchées pour vol, abus de confiance ou encore violation de propriété intellectuelle. Il est difficile de faire reconnaître des délits « virtuels » touchant des données immatérielles non reconnues par le code pénal. Les peines prévues dans ce nouveau texte sont largement plus dissuasives : 3 ans de pri- son et 375 000€ d’amendes. Dans ce nouveau cadre, les entreprises auront intérêt à iden- tifier les données concernées, les marquer et mettre en place les mesures de sécurité ad hoc pour assurer la recevabilité d’une plainte devant un tribunal. Néanmoins, ce mouvement d’accom- pagnement aux entreprises reste en retrait par rapport à d’autres textes de loi, qui leur imposent de nombreuses exigences en matière de protection des données. Protéger les données à caractère personnel et la vie privée En France, la loi Informatique et Libertés de 1978 a été modifiée en 2004, renforçant les pouvoirs de la CNIL et les obligations d’information. Le projet de règlement européen sur la protection des données à caractère personnelprévupour2014-2015amè- nera de nombreuses nouveautés pour renforcer la protection de la vie privée numérique. Tout d’abord, il allègera les formalités administrativesenpassantd’unrégime déclaratif à l’obligation de nommer un délégué à la protection des données. Cette mesure s’accompagnera d’un alourdissementdessanctions:jusqu’à 1 M€ d’amende ou 2% du CA. Elles prendront donc une dimension autre quesymboliquepourlesgéantsduweb comme Google ou Amazon… Enfin, l’obligation de notifier toute violation d’un traitement de données à caractère personnel sera élargie à toutes les entreprises. Le Paquet Telecoms impose déjà depuis 2011 auxopérateursdetélécommunications de prévenir les autorités, puis si besoin lespersonnesconcernéesparunefuite de données à caractère personnel. Demain, ce sont toutes les entreprises qui seront concernées, quel que soit leur secteur. Les États contre-attaquent Trois axes de réglementation Trois axes de règlementation
  • 7. Octobre 2013 - Les Synthèses © Solucom 7• En parallèle, l’Europe propose une directive sur la sécurité des réseaux et de l’information qui va dans le même sens que cette loi en élargissant le dispositif à une coopération européenne. Des textes à la pratique  : ressources humaines et matérielles se voient renforcées Afin de franchir une nouvelle étape dans sa capacité de protection, l’État français lance des actions sur d’autres axes. Le premier est celui des ressources humaines. Il s’agit de développer les compétences dans ce domaine et de former des experts à même de répondre à ces nouvelles situa- tions. Si le Ministère de la Défense va voir ses effectifs diminuer de plus de 34 000 emplois (-12,5%) d’ici 2019, certaines entités vont au contraire être renforcées. Ainsi, l’entité « Maîtrise de l’informa- tion » de la DGA (DGA-MI) va recru- ter 200 personnes d’ici à 2017 (+17%) et l’ANSSI encore près de 140 personnes d’ici 2015 (+39%). Cette dernière devrait compter près de 500 personnes 6 ans après sa création. Au-delà de spécialistes, il est néces- saire de faire de la sécurité de l’in- formation un incontournable de tout cursus de formation informatique afin de développer les compétences, mais aussi l’appétence, des informaticiens de demain sur ces sujets. En outre, la volonté de constitution d’une réserve de spécialistes de la cyberdéfense est affichée. Le second axe veut favoriser l’inves- tissement dans des produits de sécu- rité maîtrisés ce qui, complété par un renforcement des politiques d’achats, devrait permettre à l’État d’avoir toute confiance en ses fournisseurs. Les cré- dits consacrés aux études amont sont ainsi en train d’être triplés, passant de 10 à 30 M€ par an. Le troisième et dernier axe s’attache aux comportements humains. Il s’agit de sensibiliser les employés des entreprises, pour prévenir au maximum les incidents, mais aussi plus largement tous les utilisateurs d’internet qui peuvent être ciblés par la cybercriminalité au travers de phishing, waterholing, etc. Protéger les services essentiels de l’État En cours d’adoption, la loi de programmation militaire imposera la notification des atteintes à la sécurité de leur SI aux Opérateurs d’importance vitale (OIV), les entreprises et organismes névralgiques du pays dans les différents secteurs (santé, énergie et transport notamment). Elle donne à l’ANSSI des responsabilités associées : il s’agit ainsi d’imposer des mesures de protection, de détection et traitement des incidents touchant les systèmes sensibles. De nombreuses entreprises publiques et privées sont concernées sur leur périmètre d’importance vitale et devront mettre en place les mesures définies par l’ANSSI sous peine de sanctions pénales. Le champ d’action défensif de l’ANSSI sera également renforcé, lui permettant « d’accéder à un serveur informatique à l’origine d’une attaque afin d’en neutraliser les effets ». Des dispositifs juridiques sont prévus pour que ces actions ne rentrent pas dans le champ des articles 323-1,2 et 3 du code pénal qui répriment des actions de ce type.
  • 8. 8• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Évaluer votre attractivité pour organiser efficacement votre réponse Les États ne pourront pas résoudre tous les problèmes liés à la cybercri- minalité. C’est la raison pour laquelle il est indispensable que les entre- prises se dotent de moyens pour agir contre ce phénomène. Ces mesures ne pourront être efficaces sans la mise en place de plans d’actions coordonnés et soigneusement réflé- chis. Et ces plans doivent être adap- tés aux enjeux métiers de chaque entreprise pour être plus pertinents et efficaces. Identifier ce qui pourrait motiver les cybercriminels… Première étape d’une démarche de lutte contre la cybercriminalité, l’évaluation de l’attractivité consiste à évaluer quel serait l’intérêt pour un cybercriminel d’attaquer l’entreprise. Pour cela, il est nécessaire d’évaluer à la fois les menaces qui peuvent peser sur l’entreprise et ce que les attaquants chercheraient à obtenir. Le secteur d’activité et le positionne- ment sur le marché sont des éléments déterminants. À titre d’exemple, le secteur de la finance reste une cible privilégiée pour les vols de données clients ou les fraudes. Ces attaques sont plutôt réalisées par des cyber- criminels opportunistes qui visent les entreprises les moins bien pro- tégées. Le secteur de l’industrie est, lui, visé majoritairement pour ses données stratégiques et la propriété intellectuelle. Les attaquants auront la volonté de prendre le contrôle du système d’information et de s’y installer dans la durée pour voler les données stratégiques au fil de l’eau. …afin de mieux cibler les réponses à apporter Suite à cette analyse de la menace, il est nécessaire de procéder à une identification rapide des actifs clés de l’entreprise. Cette action, menée avec les métiers, permettra d’identifier les périmètres géographiques et tech- niques potentiellement les plus ciblés. Loin de viser une analyse exhaustive, il s’agit à ce niveau d’identifier les 10 ou 15 périmètres les plus sensibles. Il est en effet illusoire de tout protéger. Habituellement, les systèmes de vente en ligne, les centres de R&D, les popu- lationsCOMEXsontdespérimètresqui ressortent des analyses. Au-delà de données internes, les relations entretenues avec certains partenaires et / ou clients peuvent augmenter l’attractivité de l’en- treprise aux yeux d’attaquants. C’est particulièrement vrai pour les grands fournisseurs informatiques qui détiennent de très nombreuses données et des accès multiples aux SI de leurs clients. Les impacts tels que les pertes finan- cières et les pertes de savoir-faire ou avantage concurrentiel seront bien entendu au cœur de la réflexion. Mais les problématiques liées à l’image de l’entreprise vis-à-vis de son écosys- tème et / ou de ses clients sont aussi à prendre en compte. Cette évaluation doit s’inscrire dans une revue régulière des risques avec les métiers. En effet, les périmètres de risques peuvent très largement changer : acquisitions, lancement de projets innovants, communica- tion externe sur de nouveaux projets, etc. Tout peut être l’occasion pour les cybercriminels de lancer une cam- pagne d’attaques. L’évaluation doit donc être inscrite dans la démarche de gestion des risques globale. Une fois cette analyse effectuée, il faut choisir les meilleurs moyens de réponse, qu’ils soient organisation- nels ou techniques. La cybercriminalité touche tous les secteurs d’activité Répartition des incidents de cybercriminalité par secteur d’activité
  • 9. Octobre 2013 - Les Synthèses © Solucom 9• Les assurances dédiées à la couverture des risques liés à la cybercriminalité (communément appelées cyberassu- rances) sont une solution permettant deréduirelesimpactssurdeuxaxes.Le premier correspond au recouvrement des coûts lié à une attaque cybercri- minelle, tandis que le second vise à diminuer l’impact de l’incident par un apport d’expertise. Cela permet de gagnerenréactivitéetenmaîtrisegrâce àdesspécialistesfinancésoumobilisés par l’assureur. Aujourd’hui, ces assurances peuvent apparaître comme une solution de protection miracle à l’évolution de la cybercriminalité et comme un outil pour répondre à l’évolution de la règle- mentation sur la notification en cas de fuitededonnéesàcaractèrepersonnel. Ces futures obligations font augmen- ter les coûts de gestion des incidents mais aussi la probabilité de recours des clients auprès de l’entreprise... Choisir une assurance en fonction de votre exposition Si elle ne peut empêcher les inci- dents, la cyberassurance est une des composantes à étudier et inté- grer le cas échéant à la réponse face à la cybercriminalité. Elle n’est cependant pas une solu- tion adaptée à tous les contextes. Elle doit être considérée en particu- lier si l’entreprise est dans l’un des cas suivants : • Les attaques potentielles ont des conséquences mesurables et donc remboursables (par exemple la perte de chiffre d’affaires sur un site de e-com- merce) ; • L’entreprise dispose d’un SI for- tement exposé sur internet où elle gère de nombreuses don- nées personnelles. Ces deux fac- teurs augmentent la probabilité d’une attaque et donc l’intérêt d’une assurance ; • Elle dispose d’un manque d’ex- pertise sur le sujet de la cybercri- minalité et souhaite pouvoir dis- poser d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cybe- rassureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juri- dique, communication, gestion de crise, forensics, etc.). Bien souscrire pour bien vous protéger......................... Le processus de souscription consti- tue le pilier fondateur d’un transfert de risques réussi. En premier lieu, le client doit confronter les risques à couvrir avec ceux déjà couverts par les assurances déjà souscrites. Pour ce faire, une analyse de risques et un bilan assurantiel impliquant toutes les parties de l’entreprise sont nécessaires. Dans un second temps, il convient de choisir le courtier le mieux à même de répondre aux attentes. Il sera jugé sur son expertise cyber, sa capacité à offrir une couverture multi-assureurs et les modalités d’accompagnement au cours de la vie du contrat. Courtier et client échangent alors sur la nature même des risques à traiter, ainsi que sur la maturité du client. Le courtier identifie ensuite, grâce à sa connais- sance poussée du marché, les assu- reurs les plus à même de répondre au besoin. Il sera alors temps d’en- tamer les négociations sur les critères classiques des assurances : montant de couverture, prime et franchise. Une réunion de marché permettra aussi aux assureurs de comprendre le risque pris en échangeant sur les mesures de sécurité en place. Une fois le contrat en place, il faudra informer régulièrement l’assureur et le courtier des évolutions du péri- mètre et mettre en place les proces- sus de déclaration et d’utilisation des services prévus. Une revue régulière permettra également en théorie d’ajuster le montant de la prime. Une solution émergente : la cyberassurance Les chiffres clés de la cyberassurance • Capacité du marché (montant maximum de couverture) : +/- 20 M€ par assureur, possibilité d’aller jusqu’à 100 à 150 M€ en contrat multi-assureurs. • Prime : 1 à 5% du montant annuel garanti; • Franchise : de 200 K€ à plus de  1 M€ pour les grands comptes (à partir de 5 K€ pour les PME). Frais couverts par les cyberassurances
  • 10. 10• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Adapter votre gestion de crise à la cybercriminalité avancée Aujourd’hui, les entreprises dispo- sent de processus de gestion des incidents à même de traiter des situations classiques (virus ou indis- ponibilités). Ces moyens ne sont pas adaptés aux nouveaux scénarios de crise, et en particulier aux attaques ciblées. A contrario, le dispositif de gestion de crise est conçu et mis en place pour adresser des événements « disrup- tifs » majeurs qui interrompent ou modifient le fonctionnement au quotidien de l’organisation. C’est un dispositif avant tout managérial, qui repose sur plusieurs briques complémentaires : • Des mécanismes d’alerte ; • Des personnes capables d’ana- lyser et qualifier les alertes remontées par les processus de l’entreprise ; • Des personnes capables de réa- gir, traiter opérationnellement et prendre des décisions. Faire face à une menace discrète et évolutive : 8 conseils éprouvés pouradaptervotregestiondecrise Plusieurs enseignements issus du traitement de crises récentes chez des grandscomptesfrançaissontàprendre en compte dès maintenant pour faire évoluer le dispositif de crise et se pré- parer à une attaque ciblée. 1. Prendre du recul face aux inci- dents unitaires........................ Les incidents de sécurité font la plupart du temps l’objet d’un traite- ment unitaire. Résolus un par un, il est difficile d’établir un éventuel lien entre eux. Il faut donc prendre le recul nécessaire afin de détecter des com- portements dangereux qui se cachent derrière plusieurs anomalies d’appa- rence bénigne, sans exclure la pos- sibilité d’actes de diversion (attaque de manière visible sur des éléments finalement peu sensibles, durant les périodes d’inactivité comme la nuit, etc.). 2. Mobiliser les métiers................ Il faut absolument éviter de considérer de telles crises comme des incidents purement informatiques : il s’agit en réalité d’incidents métiers, puisque ce sont principalement eux qui en subis- sent les impacts. Les métiers doivent donc être en première ligne avec des équipes capables d’identifier les sys- tèmes et données critiques. 3. Mettre en place une organisation en miroir des attaquants.................... Les retours d’expérience de crises majeures des dernières années ont montré que les attaquants sont de plus en plus structurés autour de profils dis- tincts avec des expertises variées. Le pilote de l’attaque est le « cerveau » qui a la compréhension des enjeux, de la cible et la connaissance de l’infor- mation recherchée. Les équipes d’in- trusion sontspécialisées dansl’infiltra- tion : leur rôle est d’enfoncer les portes du SI. Elles disposent potentiellement de compétences techniques avancées et ont pour but de maintenir leur pré- sence le plus longtemps possible. Les données sont ensuite extraites par une troisième équipe, souvent moins compétente et qui peut parfois réaliser deserreurstrèsutilespourcomprendre l’objectif de l’attaque et les moyens mis en œuvre. Ilfautdoncs’organiserenconséquence. Les métiers doivent mettre en place des équipes de réaction dédiées pour identifier les systèmes et données cri- tiques. Côté SI, les équipes forensics ont pour tâche de comprendre le fonc- tionnement des attaques et donner les Les attaques ciblées, un nouveau défi pour la gestion de crise Les attaques ciblées ont pour spécificité de viser des informations et systèmes sensibles dans une entreprise. Ses auteurs sont mandatés pour viser une cible avec un objectif clair : voler ou altérer des données confidentielles, détruire le SI, etc. Le niveau de technicité et les moyens disponibles peuvent s’élever drastiquement. Ces crises, qui amènent à une prise de contrôle généralisée du SI dans la durée, sont à la fois les plus redoutées, celles qui peuvent causer le plus de dégâts dans l’entreprise, mais aussi celles auxquelles les entreprises sont aujourd’hui le moins préparées. En effet, peu d’entre elles les ont intégrées à leurs scénarios de crise. Il s’agit souvent d’une succession d’attaques silencieuses : prises unitairement, leurs effets sont bénins, mais leur articu- lation amène à une large compromission. C’est également la raison pour laquelle leur existence est généralement détectée bien après leur démarrage : en moyenne, presque un an. « Les incidents de cybercriminalité sont per- çus à tort comme des problèmes informa- tiques alors qu’il s’agit de crises métier »
  • 11. Octobre 2013 - Les Synthèses © Solucom 11• sieurs mois, dont il est parfois délicat de discerner le début et la fin. Eneffet,unefoislesattaquesjugulées, les efforts sont loin d’être terminés : des actions de reconstruction sont nécessaires. Il faut recréer des zones de confiance, en privilégiant d’abord les fonctions les plus sensibles de l’en- treprise. Il faut également mettre sous surveillance ces zones assainies. 6. Éviter le phénomène de la « pyra- mide inversée  »...................... Enfin, attention à ne pas subir un phénomène de « pyramide inversée » créant des équipes à deux vitesses : les acteurs décisionnels de la gestion de crise en sureffectif par rapport à des acteurs opérationnels du SI, eux sub- mergés. Ceux-ci, seuls à disposer de la connaissance pour réaliser les actions techniques sur le SI, reçoivent souvent trop d’ordres contradictoires dans un faible intervalle de temps. 7. Penser des solutions SI dégra- dées indépendantes........... Il est parfois nécessaire d’innover durant ce type de crise, et passer s’il le faut par des mesures exception- nelles, comme l’utilisation de moyens informatiques alternatifs. Il s’agit par exemple de postes de travail décon- nectés du SI compromis, et donc hors de portée des attaques, ou encore d’adresses e-mail externes à l’abri des regards des attaquants en utilisant des services demessagerieCloudougrand public. 8. Prévoir les interactions externes Un contact en mesure de conserver les informations relatives à la crise confidentielles doit être identifié au préalable chez chacun des acteurs extérieurs impliqués dans une crise cybercriminalité – forces de l’ordre, assureurs, autorités de contrôle. éléments techniques d’identification, tandis que les équipes de réaction SI doiventpenserlareconstructiondansla durée, afin de ne plus subir à nouveau ce type d’intrusion. Au cœur du dispositif, il est nécessaire qu’une cellule de pilotage coordonne l’ensemble de ces acteurs. Notons que de nombreuses fonctions transverses doivent être impliquées : la direction juridique, la communication, la rela- tion client ont notamment un rôle important à jouer durant la crise. 4. Se doter de compétences forensics et d’un outillage adapté pour com- prendre l’attaque......................... Comprendre la succession d’évène- ments nécessite des équipes dédiées avec des compétences de foren- sics (investigation numérique). Ces équipes doivent disposer de moyens techniques, outils d’analyse de traces, accès aux journaux, plate-forme de stockagedesélémentstechniques,etc. 5. Anticiper dès maintenant une crise au long cours........................ L’un des aspects importants des com- promissions avancées est leur durée : il s’agit alors de gérer des crises de plu- Adapter sa structure de gestion de crise à l’attaque
  • 12. 12• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité selon une étude Ponemon Institute en 2012, 83% des victimes d’une fuite de données pensent que l’en- treprise n’est pas digne de confiance. Il s’agit donc de réagir de manière à minimiser cette perception en com- muniquant de manière adaptée. Identifierlesscénariosredoutéspour préparer la notification aux clients Pour initier la démarche, l’entreprise doit se positionner sur les scénarios de risques qu’elle souhaite couvrir, en identifiant les scénarios redoutés les plus critiques, de par leur probabilité ou leur impact. Par exemple, un site de vente en ligne sera plus exposé à un vol de données clients par le web qu’un hôpital qui redoutera plutôt une attaque en profondeur sur le SI pour collecter des données médicales. Plusieurs actions devront être réa- lisées en amont : cartographie des données à caractère personnel, évaluation du degré de protection Vous préparer à la notification des fuites de données à caractère personnel Les exigences de notification des incidents se renforcent peu à peu. Demain, c’est l’ensemble des incidents de sécurité que les OIV en particulier devront notifier à l’ANSSI sous peine d’amende. Une nécessaire coordination devra donc être mise en place entre les différents acteurs concernés. En attendant, le sujet le plus urgent à traiter est celui de la notifica- tion relative aux clients car il a un impact direct et visible sur l’image de marque de l’entreprise. De nouvelles obligations liées aux données à caractère per- sonnel pour les entreprises Les obligations sont doubles : d’un côté, il s’agit de notifier aux autorités compétentes (la CNIL en France) la violation du traitement de données à caractère personnel, et de l’autre de notifier l’incident aux personnes concernées s’il représente un risque d’atteinte à leur vie privée. La notification devra se faire sous 24h à partir du moment où l’atteinte aux données est découverte. S’il peut s’avérer compliqué de donner les détails nécessaires sur l’incident dans les premières heures de la crise (nombre de personnes touchées, nature de l’incident, etc.), il est préférable de réaliser tout de même la notification dès que possible. Des compléments d’informations pourront par la suite être remis à l’autorité (dans les 3 jours). Et si l’obligation réglementaire de notification aux personnes ne touche aujourd’hui qu’une poignée d’entre- prises, nombre sont celles qui le font déjà dans un souci de transparence ou sont contraintes de fait de réali- ser cette notification : une fois l’in- formation ébruitée par les médias, elle devient inévitable. La remise en cause de la confidentialité des données des clients conduit à une perte de confiance dans la relation : Coordonner les différentes notifications aux autorités Si la notification aux personnes concernées nécessite de manière évidente une bonne maîtrise de la commu- nication, il ne faut pas sous-estimer la notification aux autorités et mettre en place des procédures efficaces. Des fuites de données à caractère personnel… L’interlocuteur en charge des notifications de violation de traitements de données à caractère personnel doit être connu et identifié par les équipes qui détectent les incidents et gèrent la crise, et intégré dans les communica- tions de crise SI. Il s’agit bien souvent du correspondant habituel de la CNIL pour les formalités déclaratives et les contrôles, en support du service juridique. …qui sont des incidents de sécurité D’autres autorités comme l’ANSSI ou certains services de l’État peuvent être à inclure dans la démarche de notification. Il sera donc nécessaire de capitaliser sur les acteurs impliqués et les processus mis en place pour les fuites de données à caractère personnel pour assurer la fluidité et la cohérence des notifications aux différents organismes : cohérence des informations et des mises à jour, simultanéité des notifications, etc. Attention, les enjeux de notification peuvent parfois s’opposer. Entre transparence et confidentialité, un juste équilibre devra être trouvé conjointement avec les autorités.
  • 13. Octobre 2013 - Les Synthèses © Solucom 13• actuel (en particulier existence de chiffrement pour limiter le risque de devoir notifier les clients) mais la grande nouveauté vient des réflexions sur la notification en elle-même et sur les impacts dans l’entreprise. Au-delà du risque pour elle, elle doit également analyser ceux du point de vue de l’individu et placer la vie privée comme enjeu premier afin de préve- nir la fraude financière, l’usurpation d’identité, etc. Les questions clés à se poser pour qualifier le risque d’at- teinte à la vie privée seront donc les suivantes : • À quand remonte l’incident ? • Quelles sont les données concernées par l’incident au sein du SI ? • Quels types de données sont concernés (identification, mode de vie, etc.) ? • Qui est concerné par les données atteintes (collaborateurs, clients, etc.) ? • Quel est le nombre de personnes affectées ? • Et surtout, quel usage mal- veillant peut-il en être fait avec des conséquences néfastes pour les individus (sécurité des personnes, réputation, financier, etc.) ? - De par leur nature : don- nées médicales, opinions, etc. - De par l’usage : données ban- caires, état civil, etc. Le résultat de cette analyse doit permettre de définir le contenu de la communication mais aussi si la personne concernée doit elle- même réaliser une action pour réduire le risque, par exemple, un changement de mot de passe. Construire le plan de réponse d e m a n i è r e a n t i c i p é e Cadrer en amont les grandes lignes d’un plan de réponse permet d’être plus réactif le jour où un incident sur- vient, car l’ensemble des acteurs à mobiliser (relation client, marketing, RSSI, juristes, etc.) aura déjà tra- vaillé ensemble. Les canaux de com- munication doivent être identifiés et sélectionnés en fonction des canaux utilisés avec les clients : courrier, email, appel téléphonique, agence, etc. Identifier les solutions logistiques associées à la communication permet- tra une réactivité plus importante le jour J : capacité à contacter les clients (connaissance des adresses postales et électroniques), redimensionnement des capacités du CRC, impression de courriers en masse, assistance aux clients victimes de fraude. Pour éviter des effets désastreux, le contenu de la notification doit égale- ment être travaillé pour maximiser la perception positive de la communica- tion. Une étude Ponemon Institute a montré que 61% des destinataires de notifications les trouvent trop compli- quées à comprendre : la part à appor- ter aux explications et à la vulgarisa- tion des concepts techniques parfois compliqués prend toute son impor- tance ! Il est également nécessaire de présenter les risques identifiés et de rassurer sur les actions mises en œuvre pour protéger les données et éviter que l’incident ne se reproduise. La description des actions à réaliser, les ressources complémentaires (tuto- riels, etc.) et les contacts sont impor- tants à mentionner pour permettre aux clients d’en savoir plus. Une étude menée par AllclearID a en effet montré que 20% des personnes notifiées cherchent à contacter l’en- treprise pour avoir plus d’éléments et passent entre 5 et 20 minutes avec le service clients, ce qui peut entraîner en plus une paralysie des canaux de vente. Il s’agit donc bien là de bonnes pratiques indispensables à prendre en compte pour préserver la relation avec les clients. « 83% des victimes d’une fuite de données pensent que l’entreprise concernée n’est pas digne de confiance » 1 2 3 Les étapes préalables à la notification
  • 14. 14• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Repenser votre modèle de sécurité pour l’adapter aux nouvelles menaces L’objectif a longtemps été pour les entreprises d’empêcher des intrusions sur leur SI. Cette approche, si elle a de nombreuses vertus, est dépassée par des attaques qui contournent facilement les mesures de sécurité usuelles (correctifs, antivirus, etc.). Il faut aujourd’hui accepter le caractère inévitable des intrusions, et donc se préparer à y faire face. Pour cela, le modèle de sécurité doit répondre à un objectif de protection ciblée, de détection et de réaction large. Protéger les périmètres sensibles Il faut dans un premier temps identi- fier et « sanctuariser » les périmètres les plus sensibles : les applications métier vitales, les données critiques ainsi que les collaborateurs qui les manipulent, ou encore les infras- tructures informatiques dont la compromission pourrait avoir un effet désastreux (système de gestion du SI, outils d’administration, etc.). Cette protection passe par la construc- tion de bastions sécurisés. Ils seront particulièrement surveillés grâce à des équipes et des moyens dédiés (annuaire spécifique, pare-feux, mécanismes de chiffrement, outils de surveillance, alerte sur modifica- tion, etc.). Il s’agit de les considérer comme des îlots indépendants du SI. Il sera aussi essentiel d’adopter une approche de sécurisation drastique des postes de travail concernés. D’autre part, dans l’objectif de rapprocher les protections au plus près des données, la mise en place d’une cellule de sécurité applicative est une bonne pratique encore peu répandue. Son rôle est d’agir sur la robustesse des applications internes, tant au moment de leur conception que durant leur cycle de vie (correc- tifs, mises à jour, etc.). Cette ini- tiative doit aussi être portée par les équipes internes mais aussi étendue à l’ensemble des prestations exter- nalisées (développement, héberge- ment, Cloud, etc.). En particulier, les applications métiers les plus exposées pourront faire l’ob- jet de mesures spécifiques : ana- lyse temps réel des transactions, alerte et blocage de flux en cas de fraudes, authentification basée sur les risques, contrôle d’intégrité, etc. Mettre en place des disposi- tifs techniques ciblés........... Se préparer à lutter contre des attaques cybercriminelles passe aussi par l’utilisation de solutions innovantes dédiées à ces nouvelles menaces. Sans prétendre à l’ex- haustivité, nous vous proposons quelques approches qui peuvent s’avérer efficaces pour lutter contre certaines catégories de cybercrimina- lité. Attention, pour bien fonctionner, ces solutions technologiques devront toujours être accompagnées d’un dis- positif humain adapté. Se protéger contre les DDoS....... Les DDoS, attaques par saturation d’un système afin de le rendre indis- ponible, sont devenues très cou- rantes. L’approche classique pour s’en protéger consistait à réagir avec l’opérateur télécom concerné en cas d’attaques : une solution longue à déclencher et très impactante. De nouvelles méthodes consistent à placer des mécanismes permettant de surveiller les tentatives de déni de service. Si une attaque est détec- tée, le trafic réseau est dévié auprès d’un fournisseur Cloud ou chez un opérateur. Disposant de l’outillage nécessaire pour nettoyer le trafic en isolant la partie malveillante puis en routant uniquement les flux légitimes vers l’entreprise. Une fois l’attaque passée, le trafic reprend son chemin normal. Mettre en place des « bacs à sable » d’analyse des fichiers................. Les antivirus fonctionnent depuis longtemps à l’aide de signatures : si un fichier ou une attaque répond à un certain nombre de critères précis, il est détecté comme malveillant. Cette approche montre chaque jour un peu plus ses limites avec les failles dites 0-day (encore non divulguées publi- quement). Une méthode aujourd’hui plus efficace est de simuler dans un « bac à sable » l’exécution de tout fichier circulant sur le réseau. Si le fichier a un comportement suspect, le système de protection peut alors le bloquer. Séparerlesusagesselonleursensibilité... Les utilisateurs traitent souvent sur le même ordinateur des infor- mations sensibles, des documents bureautiques, ou encore des fichiers personnels. Si l’utilisation de machines diffé- rentes pour chaque niveau de sen- sibilité est toujours difficile pour des raisons bien évidentes de coûts et de complexité d’usage, la virtualisation peut être une réponse technique à ce besoin. Sur un même poste, il exis- terait alors plusieurs environnements (confidentiel, bureautique, person- nel, etc.) étanches et disposant cha- cun du niveau de sécurité idoine. Réduire les privilèges des admi- nistrateurs........................... Un chantier de diminution des droits administrateurs doit également être engagé. Trop souvent, les comptes se démultiplient et les pratiques d’ad- ministration sont dangereuses (utili- sation de poste connecté à internet par exemple). Au-delà de l’utilisation de postes dédiés, des plates-formes de rebond doivent être utilisées pour tracer les actions d’administration.
  • 15. Octobre 2013 - Les Synthèses © Solucom 15• Se doter d’un dispositif de détection et de réaction élargi Les entreprises doivent être en mesure, lorsqu’une attaque survient, de la détecter, de l’analyser et de réagir correctement. Renforcer ou créer un SOC / CERT... Avant même d’envisager le déploie- ment de solutions techniques à large échelle, il est nécessaire de se doter des compétences en interne pour coor- donner la détection des incidents et les réactions avec le recul nécessaire. Un centre des opérations sécurité (aussi appelé SOC, CERT ou encore CSIRT) devra être créé ou renforcé. Ses activités s’articulent autour de trois axes : • La prévention des attaques, à travers des actions de veille et de gestion des vul- nérabilités informatiques ; • La surveillance du SI et d’inter- net, à travers la détection d’inci- dents et le suivi d’indicateurs de compromission mais aussi pour suivre et détecter les usages malicieux de votre identité (phishing, noms de domaines, réseaux sociaux) ; • La gestion de crise : il sera le pilote technique des crises de cybercriminalité, apportant l’expertise permettant de com- prendre les incidents et réduire leurs impacts. Lors d’une attaque, il peut être le maître d’œuvre de réaction plus « active » (demande de fermeture des sites utilisés pour l’exfiltration, envoi de fausses informations, etc.) interve- nant en dehors du SI de l’entreprise concernée. Renforcer les opérations de détection enprofitantdelapuissancedu Cloud... En parallèle de cette structure, il est nécessaire de renforcer l’outillage de surveillance du système d’information. Mise en place de politique de journa- lisation et centralisation des journaux des équipements de sécurité et des serveurs les plus sensibles sont les premières actions à réaliser. D’autres plus avancées peuvent être envisagées, comme par exemple l’externalisation de cette surveillance auprès d’un MSSP (Managed Security Service Provider), ou encore le recours à des outils de cor- rélation des journaux, voire en utilisant des approches Big data. Par ailleurs, les éditeurs de solutions de sécurité proposent de plus en plus d’outils s’appuyant sur une approche Cloud, dont le principe est d’envoyer les données à analyser à l’éditeur plutôt que de reposer entièrement sur un outil déployé en interne. Il est ainsi possible de profiter de l’expérience acquise par le fournisseur au cours d’attaques pré- cédentes (notamment au sein d’autres entreprises) et de faire intervenir des experts en sécurité pour une analyse en temps réel. Connaître le niveau de vulnérabilités du SI Rôles et activités du CERT
  • 16. 16• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Conclusion Les États investissent, les entreprises doivent emprunter le même chemin Aujourd’hui, l’État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. En regard, les grandes entreprises adoptent une approche encore trop timorée et réductrice face à l’évolution des menaces. Et si certaines ont su avancer, c’est bien souvent après avoir été durement touchées par un incident. Les directions générales commencent à prendre conscience des risques mais les investissements restent largement en retrait - souvent car il est difficile d’avoir une idée claire de la stratégie à suivre face à une menace en constante évolution. Changer de posture : allier protection, détection et réaction Au vu du niveau d’expertise des cybercriminels et de la faiblesse, par construction, des systèmes d’information, il est impossible d’empêcher toutes les attaques de réussir. Une nouvelle posture doit être adoptée, alliant une protection avancée des périmètres les plus sensibles et une forte capacité de détection et de réaction aux attaques. Cet équilibrage passe par une évaluation de l’attractivité de l’entreprise pour les cybercriminels et par la définition d’une cible parmi la profusion de solutions techniques, organisationnelles et juridiques adressant la cybercriminalité. Aucune solution ne répond intégralement au problème, la bonne approche se trouve dans une articulation de ces différentes solutions. Construire sa stratégie face à une profusion de solutions À réaliser en priorité, un exercice de gestion de crise sur un ou plusieurs scénarios pertinents pour les métiers permettra de prendre conscience du degré de préparation de l’entreprise. Il sera structurant pour définir les chantiers à court terme, telle que la cyberassurance ou les solutions techniques ciblées (lutte contre les dénis de service, protection des VIP, surveillance d’actifs sensibles, etc.). La préparation aux notifications des incidents aux clients et la mise en place ou le renforcement du SOC et son outillage devront également être envisagés dès aujourd’hui pour porter leurs fruits à moyen terme. 8 Une mobilisation transverse nécessaire
  • 17. Octobre 2013 - Les Synthèses © Solucom 17• Lutter contre la cybercriminalité, c’est combiner l’ensemble des compétences de l’entreprise Le programme de lutte contre la cybercriminalité demande une mobilisation transverse au sein de l’entreprise, y com- pris d’acteurs encore éloignés de ces problématiques aujourd’hui. L’animateur de ce programme est le plus souvent le Responsable de la sécurité de l’information. Le Risk manager et / ou le DSI doivent aussi jouer des rôles déterminants, voire porter le sujet dans certains contextes. Vu la diversité des thèmes, l’ampleur des changements et les impacts potentiels pour les entreprises, il sera souvent nécessaire de mettre en place une structure transverse. Celle-ci regrou- pera des acteurs de la direction générale, du juridique, de la gestion des risques, de la DSI, de la communication, des principaux métiers : en particulier de la relation client. Ce comité existe déjà dans les entreprises les plus matures. Il suivra l’avancement des projets liés à la cybercrimina- lité. Il participera et animera également le processus de gestion de crise. Un reporting régulier devra être réalisé à la Direction générale sous forme d’indicateurs de risques. Une fenêtre d’opportunité sans précédent pour agir Aujourd’hui, la multiplication des attaques, des révélations et des actions des États offre une opportunité sans pareil pour adresser le sujet de la cybercriminalité en profondeur. Les fonctions dirigeantes des entreprises ne sont plus à sensibiliser, elles sont souvent en attente ! Il est grand temps de leur apporter une démarche claire et simple pour protéger les clients et le patrimoine de l’entreprise dans la durée.
  • 18. 18• Les Synthèses © Solucom - Octobre 2013 Cybercriminalité Glossaire ANSSI ............................ L’Agence Nationale de la Sécurité des Systèmes d’Information, elle assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. A ce titre elle est char- gée de proposer les règles à appli- quer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées. Dans le domaine de la défense des systèmes d’information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notam- ment sur les réseaux de l’État. APT ........................................... Advanced Persistent Threats, caté- gorie de cyberattaques vidant des informations sensibles et précises dans l’organisation et dont le niveau de complexité est adapté à la cible. Authentification forte ............... Procédure d’identification qui requiert l’utilisation d’au moins deux facteurs d’authentification de nature distinctes afin de rendre la tâche plus compliquée à un éventuel attaquant. Certificat ............................... Carte d’identité numérique, il est utilisé principalement pour identifier une entité physique ou morale, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l’identité physique et l’entité numérique. Cheval de Troie.(Trojan)............ Logiciel d’apparence légitime, conçu pour exécuter des actions à l’insu de l’utilisateur. En général, il utilise les droits appartenant à son environ- nement pour détourner, diffuser ou détruire des informations. Les trojans sont programmés pour être installés de manière invisible, notamment pour corrompre l’ordinateur hôte. DDoS ................................ Distributed Denial of service attack (attaque distribuée par deni de ser- vice), attaque visant à rendre indis- ponible pendant un temps indéter- miné les services ou ressources d’une organisation. Il s’agit la plupart du temps d’attaques à l’encontre des serveurs d’une entreprise, afin qu’ils ne puissent être utilisés et consultés. Faille 0-day .............................. Attaque exploitant une vulnérabilité inconnue jusqu’à ce jour dans une application, ce qui signifie que l’at- taque a lieu au « jour zéro » de détec- tion de la vulnérabilité. Forensics .............................. Ensemble des connaissances et méthodes qui permettent de collec- ter, conserver et analyser des preuves issues de supports numériques en vue de les produire dans le cadre d’une action en justice. Ingénierie sociale............. Escroquerie où des individus mal intentionnés utilisent leurs connais- sances (et leur audace) pour se faire passer pour quelqu’un d’autre. Ils vont tenter d’abuser de la confiance de l’utilisateur, ou de sa crédulité dans le but de lui soutirer un service ou des informations clés. Logs / traces ........................ Enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un pro- cessus particulier (application, acti- vité d’un réseau informatique, etc.). M S S P. . . . . . . . . . . . . . . . . . . . . . Managed Security Service Provider, infogérant proposant aux entre- prises d’externaliser la gestion de leur sécurité Informatique. OIV........................... Opérateurs d’importance vitale, ins- tallations physiques, technologies de l’information, réseaux, services et actifs qui, en cas d’arrêt ou de destruction, peuvent avoir de graves incidences sur la santé, la sécurité ou le bien-être économique des citoyens ou encore le travail des gouverne- ments des États. Phishing ......................... Technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La tech- nique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance afin de lui soutirer des renseignements personnels. Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques. SOC / CSIRT / CERT© ................. Security operation center / com- puter security incident response team / computer emergency res- ponse team : organismes chargés d’assurer des services de prévention des risques et d’assistance aux trai- tements d’incidents. Ces organismes sont des centres d’alerte et de réac- tion aux attaques informatiques, destinés aux entreprises et / ou aux administrations. Waterholing.................. Attaque se référant à un prédateur qui se terre près d’un point d’eau dans l’espoir qu’une proie s’y déplace pour boire. De la même façon, un hacker (le prédateur) utilisant cette technique n’attaque pas directement sa cible mais va plutôt compromettre un site (le point d’eau) pour que celui-ci infecte ses visiteurs.
  • 19. Octobre 2013 - Les Synthèses © Solucom 19• À propos de Solucom Solucom est un cabinet indépendant de conseil en management et système d’information. Ses clients sont dans le top 200 des grandes entreprises et administrations. Pour eux, le cabinet est capable de mobiliser et de conjuguer les compétences de plus de 1200 collaborateurs. Sa mission ? Porter l’innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d’information un véritable actif au service de la stratégie de l’entreprise. Solucom est coté sur NYSE Euronext et a obtenu la qualification entreprise innovante décernée par OSEO Innovation. Découvrez SolucomINSIGHT, le magazine en ligne de Solucom : www.solucominsight.fr Imaginé sous forme de « club », et porté par deux directeurs du cabinet, l’Atelier Solucom est un rendez-vous bimestriel auquel sont conviés sur invitation une douzaine de clients. Certains sujets adressent les DSI, d’autres les directions métiers. L’objectif ? Identifier et réfléchir avec eux aux challenges de demain et s’y préparer. Quelques mois après chaque Atelier, la Synthèse associée est mise en ligne sur notre site internet. Quelques thèmes récents d’Ateliers : • L’entreprise face au risque cybercriminalité : think global ! • DSI, et si vous deveniez Cloud broker ? • Oser la rupture dans les relations DSI / Métiers pour accélérer les transformations du SI • Le pilotage économique : 1ère priorité du DSI ! • Smart - au-delà du buzzword, préparez la transformation ! Pour en savoir plus sur le programme, ateliersolucom@solucom.fr
  • 20. Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8 92042 Paris La Défense Cedex Tél. : 01 49 03 25 00 Fax. : 01 49 03 25 01 www.solucom.fr CopyrightSolucom-ISBN978-2-918872-18-4EAN978291872184-Responsabledelapublication :LaurentBellefin