Documente Academic
Documente Profesional
Documente Cultură
Michèle ALLIOT-MARIE
Ministre de l’Intérieur,
de l’Outre-Mer
et des Collectivités Territoriales
Avant-Propos
Pourquoi
un guide
de bonnes Dans un contexte de mondia-
lisation et de développement
Il s’agira ainsi tout particulièrement de :
PMI-PME?
• Intensifier la coopération entre les Etats
liés à la Convention du Conseil de l’Eu-
Le 22 mars 2007, le Forum International rope d’avril 2001, les pays membres de
sur la Cybercriminalité a permis de mesurer l’UE et les candidats à l’accession.
l’intérêt de près de 600 participants pour les
technologies numériques qui transforment • Structurer un partenariat sur une base
notre vie quotidienne en offrant un espace transnationale, avec les entreprises et plus
de liberté et d’échanges sans précédent. Le généralement avec les acteurs socio-éco-
20 mars 2008, la deuxième édition du FIC a nomiques impliqués au quotidien dans
accueilli plus de 800 participants. le développement de l’économie de la
connaissance et les acteurs concrets de la
Résolument inscrite dans une démarche mutation de l’économie européenne.
d’intelligence économique, la troisième
édition mettra l’accent sur les axes de travail La remise d’un guide pratique à destination
qu’il appartient aux autorités de suivre pour des chefs de PMI-PME issu d’une coopéra-
mener au mieux la protection des personnes tion publique-privée fructueuse, trouve-t-elle
et des biens dans le cyberespace et permet- ainsi toute sa pertinence et sa place dans le
tre ainsi tant le développement de l’écono- cadre de ce troisième FIC.
mie numérique, le secteur le plus dynamique
de l’économie mondiale, que le développe- Régis Fohrer
ment et la protection des PME-PMI. Commissaire général
Forum International sur la Cybercriminalité
4 5
Remerciements Liste des participants
au comité scientifique
aux participants
des comités • Institutions • Universitaires
et profession du droit
• Forces de sécurité
françaises et étrangères
scientifiques M. Alain JUILLET,
Haut responsable chargé de l’intelligence économique,
M. Eric CAPRIOLI, M. Luc BEIRENS,
et de rédaction. SGDN Avocat à la cour de Paris,
Associé du Cabinet Caprioli & Associés, Docteur en droit
Commissaire divisionnaire, Chef de la Federal Computer
Criminal Unit (FCCU), Belgique
6 7
Remerciements aux rédacteurs Cet ouvrage
Lieutenant-colonel Régis FOHRER,
• Groupe Etat des lieux « Le chef d’entrepri-
se face au risque numérique » - recomman-
a pu être réalisé
Forum International sur la Cybercriminalité
dations « approche institutionnelle » grâce à la collaboration
M. Pascal LOINTIER, Rédigé par M. Jean-Paul Pinte,
Docteur en information scientifique et technique, maître
active et engagée de
Président du Club de la Sécurité de l’Information Fran-
de conférences, expert en veille et intelligence compé-
çais, CLUSIF, conseiller sécurité de l’information, titive au sein du laboratoire d’ingénierie pédagogique,
AIG Europe Université Catholique de Lille
avec la participation de
• Les enseignants chercheurs :
• Groupe « Le chef d’entreprises face au
risque numérique - Risques identifiés et solu- - Mme Nathalie FAVIER
tions proposées en 10 études de cas » SGDN / DCSS I / CERTA
I R E E N AT
Rédigé par M. Eric LESTRINGUEZ, - MM. Gabriel GOLDSTEIN et Pierre CROS,
Lieutenant-colonel de réserve, Gendarmerie Nationale
Service de coordination à l’Intelligence économique,
avec la participation de Bureau Dépendances Stratégiques, Ministère de l’Eco-
nomie, de l’Industrie et de l’Emploi, Ministère du Budget,
• Les acteurs de la sécurité :
- M. Eric CAPRIOLI, des Comptes Publics et de la Fonction Publique.
Avocat à la cour de Paris,
Associé du Cabinet Caprioli & Associés, Docteur en droit
- M. Gwendal LE GRAND, Ministere de l’interieur,
de l’outre-mer
- M. Daniel GUINIER,
Osia
Les « avis d’expert » ont été rédigés par
SPIE Communications et notamment :
- Mme Noëlle JEAN-PIERRE,
Cabinet CAPRIOLI & Associés, Juriste TIC M. Arnaud FEIST
Consultant Direction Régionale Nord Est
- M. Christophe ROQUILLY,
M. David DELANNOY
Professeur de droit, directeur du centre de recherche
Consultant Direction Régionale Nord Est
LegalEdhec - performance juridique, EDHEC Business
• Partenaires privés :
School
PANTONE 1795 C C0 R 209
M 94 V 36
J 100 B 33
M. Christian MEGARD
N0
8 9
Définition de la
SOMMAIRE Ce terme englobe trois catégories d’activités
criminelles.
PREFACE Chapitre 2
de Mme Michèle Alliot-Marie, Ministre de l’intérieur, Etat des lieux
Cybercriminalité
de l’Outre-mer et des Collectivités territoriales P3
• La première concerne les formes
« Le chef d’entreprise traditionnelles de criminalité, comme les
AVANT-PROPOS
Introduction du Lieutenant-colonel Régis Fohrer, P4
face au risque numérique » fraudes ou les falsifications;
FIC/IFC project manager Recommandations
Définition du Lieutenant-colonel • La seconde concerne les infractions liées
des institutions P 38 Régis FOHRER
Remerciements participants aux comités scientifiques P 6 aux contenus illicites par voie électroni-
La criminalité du XXIème siècle. que (violence sexuelle contre les enfants,
Présentation des partenaires P9
incitation à la haine raciale...);
Définitions de la cybercriminalité en entreprise P 11 Les entreprises
et introduction
et la cybercriminalité P 39
Faute d’une définition communément • La dernière connait des infractions
admise, la définition pertinente du terme propres aux réseaux électroniques
- Un enjeu de coopération internationale P 40 « cybercriminalité » donnée par la communi- (attaques visant les systèmes
Chapitre 1 - Analyse de la menace – Bilan P 40 cation n° 267 du 22 mai 2007 de la Com- d’information, déni de service, piratage...).
Le chef d’entreprises face mission européenne « Vers une politique
La loi protège votre entreprise P 43
au risque numérique générale en matière de lutte contre
la cybercriminalité » a été retenue pour
Ainsi la cybercriminalité constitue dans un
- Première réponse de l’Etat aux incidences monde globalisé l’une des nouvelles formes
Risques identifiés et solutions préparer les éditions successives du FIC.
concrètes sur la vie quotidienne : la loi P 43 de criminalité et de délinquance transnatio-
proposées en 10 études de cas P 13 - Réponses françaises à la cybercriminalité P 44 Aux fins de ce texte, « cybercriminalité » nales dont les conséquences peuvent être
s’entend des « infractions pénales commi- particulièrement graves pour les citoyens,
• Le comportement à risques du salarié P 14
Des services spécialisés ses à l’aide des réseaux de communication les personnes vulnérables et le secteur
pour aider les entreprises P 45 électroniques et de systèmes d’information de l’économie de toutes les nations de la
• La fraude financière ou contre ces réseaux et systèmes ».
- La création de services spécialisés planète.
via la comptabilité P 16
au sein de l’Etat P 45
• La divulgation de savoir-faire P 18
- De nombreuses actions de prévention Quatre grands types de menaces concer-
• Les téléchargements illicites et de sensibilisation des acteurs économiques P 48 nent particulièrement les entreprises :
et intrusion via le réseau sans fil P 20
• La défaillance de sauvegarde Perspectives pour l’entreprise P 54 • Les vols de supports et de données;
des données P 22 - Les Assises du numérique P 54
- Le DLM (Digital Legal Management) • Les intrusions dans les réseaux;
• Le vol d’ordinateur portable
ou de PDA ou gestion du droit d’usage de l’information :
P 24
Une application pratique originale P 54 • Les interceptions de communications
• Le sabotage interne d’une base - Annexes P 57 ou de flux de données;
de données P 26
• Le dysfonctionnement ou l’altération • La manipulation des employés et des
par programmes malveillants P 28 Postface P 62 partenaires, cette dernière menace étant
• La diffamation plus connue sous le terme de « social
Webographie P 64
par courrier électronique P 30 engineering ».
• La défiguration de site web P 32 Les soutiens de nos partenaires P 67
Glossaire :
MAC: media access control WEP: wired equivalent privacy
NAC: network access control WI-FI: wireless fidelity
PDA: personnel digital WLAN: wireless local area
assistant network
SSID: service set identifier WMAN: wireless metropolitan
RFID: radio frequency identifi- network
cation WPA: wifi protected access
SSL: secure sockets layer WPAN: wireless personal area
USB: universal serial bus network
10 11
Introduction
accidentels et les actes de malveillance.
Les accidents peuvent être divisés en deux
Le chef
origines, naturelles ou humaines (sans digres-
sion philosophique…) où dans le premier cas on
par Pascal Lointier, considère des événements tels que les incendies,
Président du Club de la Sécurité dégâts des eaux, perturbations électroma-
de l’Information Français, CLUSIF gnétiques du fait de la nature ou d’une activité
conseiller sécurité de l’information, industrielle. Et dans le second cas, les erreurs de
programmation, les erreurs de manipulation ou
d’entreprise face
AIG Europe
d’exploitation informatique.
au risque
un emploi professionnel dans une PME ! Mani-
Pour cette dernière, et même si on médiatise
festement les choses ont évolué autrement et
beaucoup (trop) l’Internet et les hackers, les
aujourd’hui non seulement la micro-informatique
auteurs ou leurs actions les plus dommagea-
est complètement intégrée dans les systèmes
bles restent des employés de l’entreprise car
d’information des entreprises de toutes tailles
leurs motivations sont les plus fortes et leur
mais encore, l’individu est devenu à la fois un
connaissance des faiblesses de sécurité souvent
internaute et un citoyen muni d’une informatique
meilleure.
numérique :
embarquée : cartes de crédit, téléphones GSM
avec fonctions d’assistant (PDA), navigateurs
On pourrait encore élargir avec d’autres ex-
GPS…
positions telles que le non respect de textes
réglementaires qui peuvent perturber l’activité
Cette dépendance est une bonne chose car
de l’entreprise du fait de condamnations ou de
d’une part, elle accroît la productivité, fluidifie les
l’atteinte à l’image et la notoriété.
échanges et d’autre part, facilite la sécurité des
données au format électronique en terme de dis-
Cette variété des origines d’un arrêt du système
ponibilité et d’intégrité dans le temps. En effet, le
risques identifiés
et l’évolution des architectures informatiques,
rapport « France numérique 2012 », présenté par
opportunités de nouvelles expositions aux mal-
le gouvernement en octobre 2008 détaille nom-
veillances, notamment, ne doivent certainement
bre des avantages pour une entreprise quant à
pas être interprétées comme un frein à l’emploi
l’utilisation des technologies de l’information et de
des TIC. Il faut garder à l’esprit que toute techno-
la communication (TIC) : « l’économie numérique
et solutions proposées
logie (et pas seulement informatique) comporte
est le principal facteur de gain de compétitivité
intrinsèquement un risque et un emploi malveillant
des économies développées ».
spécifiques. L’automobile « coûte » cher en
terme de dommages corporels et matériels et la
Côté sécurité, les outils de sauvegarde, la
bande à Bonnot a pour la première fois utilisé le
délocalisation du lieu de conservation des dites
en 10 études de cas.
véhicule lors d’attaques de banques…
sauvegardes permettent aujourd’hui, à moindre
coût, d’organiser la disponibilité des données,
Il faut donc accueillir les nouvelles technologies
c’est-à-dire, la pérennité de leur accès et de leur
mais toujours dans une posture de vigilance :
usage quelle que soit, ou presque…, la nature du
savoir comment accroitre son activité tout en
dommage informatique.
limitant les nouveaux risques par des moyens
raisonnables
Le bon fonctionnement au quotidien du système
informatique et le gain de productivité généré
C’est bien souvent l’insouciance et/ou la mécon-
par un traitement numérique ne doivent pas faire
naissance du risque qui permettent ou aggra-
oublier que la menace est « polymorphe » : les
vent les conséquences d’un accident ou d’une
causes d’un arrêt ou d’une dégradation du fonc-
malveillance informatique.
tionnement du système sont potentiellement très
variées. Classiquement, on peut classer les cau-
ses en deux grandes catégories : les événements
12 13
> Fiche 1 Comportements à risque
14 15
> Fiche 2 Comportements à risque
16 17
> Fiche 3 Comportements à risque
La divulgation de savoir-faire
• Un stagiaire, s’appuyant Impacts judiciaires Impacts managériaux et humains Règles de classification, de marquage
sur une technique des données sensibles et contrôle des
« d’ingénierie sociale », En matière pénale : Les faits peuvent être Remise en cause de l’organisation accès physiques et logiques (« besoin
qualifiés d’abus de confiance au sens de tardive en regard des conséquences. d’en connaître »). Procédure d’authentifi-
l’appel à la compassion, l’art. 314-1 du Code pénal. Cette incrimi- Dévalorisation, voire licenciement, cation forte pour les informations sensibles
a récupéré les droits d’accès nation peut s’appliquer au collaborateur qui du tuteur de stage. (contrôle biométrique ou par carte à puce
de son tuteur de stage pour utilise frauduleusement les outils ou informa- Perte de chiffres d’affaires ou mot de passe dynamique).
« faciliter son travail dans tions mis à sa disposition pour et de contrats à venir. Récupération et analyse rapides
extraire des informations confidentielles, des traces d’accès horodatées,
l’entreprise ». Impacts sur l’image comme moyen de preuve.
mais aussi d’atteinte au système de traite-
ment automatisé de données (STAD) (Art.
• Ces droits lui permettent de 323-1). Si ces informations présentent un Influence sur l’image de la société LES POINTS CLES A RETENIR
détourner des informations caractère de secret de la défense nationale, causée par la fuite d’information.
confidentielles d’un autre le cas est traité à l’art. 413-9 du Code pé- La sensibilisation des personnels est
nal, tandis que leur livraison à une puissance Préconisations primordiale : préserver les informations
service de l’entreprise, étrangère est du ressort de l’art. 411-6. sensibles pour l’entreprise, réagir à tout
à savoir du laboratoire de En matière civile : La responsabilité civile de Vérifier le contenu de la convention phénomène atypique.
recherche qui était sur le celui qui commet un tel acte se réfère à l’art. de stage et la rendre tripartite (étudiant, L’ingénierie sociale est difficile à prévenir et
point de déposer un brevet. 1382 du Code civil en cas de violation de la école, entreprise). Vérifier dans l’entreprise à détecter car elle s’appuie sur des compor-
convention de stage. Enfin, au cas où des l’existence de charte éthique tements humains normaux et quotidiens :
éléments relatifs à la vie privée interviennent, et en expliquer le contenu à chacun. solliciter une aide, faire état de la gêne
• Une fois le stage terminé, l’art. 9 du Code civil, dispose que chacun a Informer les salariés des risques occasionnée en l’absence de collaboration,
il va même obtenir un prix droit au respect de sa vie privée. On relèvera consécutifs à la diffusion non contrôlée nécessité de réagir dans l’urgence sans
d’une prestigieuse école peut-être par ailleurs des atteintes au droit de droits d’accès. avoir le temps d’appliquer les procédures
européenne. de la propriété intellectuelle ou à la politique standards, etc...
de confidentialité de l’entreprise.
18 19
> Fiche 4 Comportements à risque
20 21
> Fiche 5 Altération / Destruction de données
22 23
> Fiche 6 Altération / Destruction de données
Avis d’expert :
24 25
> Fiche 7 Altération / Destruction de données
26 27
> Fiche 8 Altération / Destruction de données
Avis d’expert :
Définition :
Les codes malveillants (en anglais Les programmes malveillants peuvent sécuriser au maximum tout accès vers et
«malware») : virus, vers, chevaux de Troie, causer d’importants dégâts au sein d’une depuis l’Internet. Outre la mise en place de
bombe logique, espiogiciels etc., sont ca- société. Ces programmes peuvent être Firewall et d’antivirus, il existe également
ractérisés par la présence de mécanismes introduits de différentes manières au sein des solutions permettant de centraliser les
de propagation, de déclenchement, d’un système d’information : consultation accès Internet des utilisateurs et d’effec-
et d’action, en général développés de sites Internet, messagerie, utilisation de tuer un contrôle d’accès au réseau (NAC)
dans l’intention de nuire. données personnelles, …. qui vérifie l’état d’un ordinateur avant de le
Pour faire face à ces programmes il faut connecter au système d’information.
28 29
> Fiche 9 Destabilisation
Avis d’expert :
Définition : Outil de communication, commun et être tracés afin de fournir la preuve de la
La diffamation est l’allégation ou répandu, la messagerie électronique peut diffamation et identifier l’émetteur. Il s’agit
l’imputation de mauvaise foi d’un fait être utilisée comme tous les médias de donc de placer sur les réseaux internes
déterminé qui porte atteinte à l’honneur ou communication pour transmettre des in- des sondes de tracking et être capable de
à la considération de la personne physique formations erronées et agresser autrui. Ces stocker sur les serveurs de messagerie les
ou morale à laquelle ce fait est imputé. messages diffamatoires doivent pouvoir messages diffamatoires reçus et émis.
30 31
> Fiche 10 Destabilisation
Glossaire :
IP : internet protocole
Avis d’expert :
32 33
Mais encore …
Pour ce qui est infogérance, hébergement, • La non-conformité réglementaire
Il y aurait également … accès Internet, application service provi- Enfin, l’impact et/ou le traitement judiciaire
der… il est fondamental que non seulement des actes malveillants présentés ne doit
• Le cybersquatting les informaticiens et les juristes valident le pas faire oublier une autre forme de risque
C’est le parasitisme des noms de domaines contrat de prestation mais aussi les répon- pour l’entreprise : l’engagement de respon-
Les 10 scénarios de malveillance
qui consiste à déposer un nom de domaine ses des « métiers et services » pour vérifier sabilité pour non-conformité réglementaire.
que vous venez peut-être que les dispositions de reprises (délais) et
en usurpant le nom de l’entreprise ou celui Que ce soit pour un défaut de déclaration,
de découvrir sont des cas très de ses marques. Une variante est le typo- compensations sont cohérentes avec les une conservation inadaptée, une divulga-
fréquemment rencontrés dans squatting qui repose sur une orthographe exigences de l’activité. tion accidentelle ou malveillante…
l’environnement PME-PMI. incorrecte en espérant que l’internaute
saisisse le nom en commettant la faute • Les erreurs et les omissions
Comme vous pouvez le constater, les ris- d’écriture ou en se trompant de nom de Le comportement humain est très riche
ques sont variés de par leur nature et quant domaine (ex : nasa.com qui était un site en matière de comportement à risques.
à leur impact. Une démarche de sécurité pornographique, le site officiel étant Ainsi les erreurs de saisie, les mauvaises
est donc une action dynamique, cyclique, en .org…). configurations des équipements, les cahiers
qui doit mettre en œuvre une mise-à-jour des charges inadaptés, les conduites de
périodique des moyens et procédures • Le déni de service projets non formalisées… sont autant de
en place. Pour cela, une évaluation des Il s’agit d’une indisponibilité de la ressource possibilités d’atteinte au bon fonctionne-
risques et des enjeux par un consultant ciblée sans, toutefois, altérer ou détruire ment du système d’information. L’omission
en sécurité des systèmes d’information les données sur le site. On distingue ainsi et la négligence peuvent aussi générer des
permettra une meilleure harmonisation des le déni de service distribué qui s’appuie situations à risques !
plans de sécurité (sauvegarde, secours sur un réseau de zombies (botnets) pour
informatique, gestion des droits, antivirus et viser par exemple le site web. Mais il peut • Les risques environnementaux
correctifs de sécurité, etc.) tout en ordon- également s’agir de bombing par saturation De plus, même des données et des ressour-
nant la mise en place de nouvelles solutions d’une ressource telle que la messagerie ces dites immatérielles peuvent subir une
de sécurité. électronique (envoi de milliers de messages destruction ou une altération consécutive
avec pièce jointe) ou encore du standard à un dommage physique. Comme indiqué
téléphonique maintenant de plus en plus en dans l’introduction, l’incendie, les dégâts
VOIP (voix sur IP). des eaux, qu’ils soient d’origine naturelle ou
industrielle, peuvent provoquer l’indisponibilité
• La carence de fournisseur d’une ressource. Un risque d’environnement
Le fait initial peut-être identique à un des de type pollution ou un conflit syndical peu-
scénarios présentés : sabotage de don- vent empêcher l’accès physique à la salle in-
nées, infection virale, etc. Mais comme formatique et rendre impossible l’exploitation
il se produit chez un prestataire, l’entre- des ressources informatiques. C’est pour-
prise à moins de facilités pour gérer la quoi, en complément du plan de sauvegarde
crise. D’autant plus qu’elle pensait être en des données, il est fondamental de mettre en
confiance considérant la bonne renommée place non seulement un « plan de secours
du prestataire ou qu’elle s’imaginait que informatique » pour assurer la redondance
les dispositions contractuelles (pénalités de des serveurs mais encore un « plan de conti-
retard et niveau de service qualité) ou un re- nuité d’activité » qui permettra aux utilisateurs
cours en responsabilité civile lui permettrait d’accéder aux serveurs relocalisés pendant la
d’absorber le préjudice économique subi. durée de gestion de crise.
34 35
Impact et occurrence des risques en entreprise
Il vous est proposé une grille pour mesurer l’évaluation de la probabilité et l’impact
des menaces évoquées dans les fiches. L’évaluation dépend toutefois de la situa-
tion de chaque entreprise, mais aussi de la sensibilisation et de la connaissance de
celui qui l’exprime, en fonction de deux facteurs indépendants qui sont la possibilité
d’occurrence et l’impact.
Niveaux d’exposition
• La divulgation de savoir-faire 03
36 37
Etat des lieux Les
entreprises
“ le chef et la cybercriminalité
d’entreprise
Bien que la sécurité informatique soit de première fois en 2000, prévoyait de complé-
plus en plus une réalité, un élément incon- ter l’arsenal juridique des Etats en matière
tournable et une condition à la survie des procédurale, afin d’améliorer la capacité des
entreprises, il apparait que le cheminement services de police à mener en temps réel
vers une prise de conscience du risque leurs investigations et à collecter des preu-
numérique ne soit pas encore totalement ves sur le territoire national avant qu’elles ne
face au risque
parcouru aujourd’hui. disparaissent. Cependant, elle n’a pas fourni
de définition claire de cette nouvelle forme
En effet, la cybercriminalité gagne du terrain de criminalité : le terme englobait tout un
dans une économie mondialisée. L’enjeu de ensemble de nouveaux problèmes auxquels
souveraineté nationale pour l’Etat est de ga- se trouvaient confrontées la police et les
rantir la sécurité de ses propres infrastructu- agences de renseignement, et découlant
numérique “
res, essentielles pour le développement des des performances toujours meilleures des
activités socioéconomiques de la nation et la ordinateurs, de la baisse du coût des com-
protection des entreprises et des citoyens. munications, et du phénomène Internet.
Par ailleurs les entreprises doivent prendre
des dispositions pour se préserver de la La majeure partie a traité du droit et des
concurrence et de la malveillance. conventions internationales : il s’agissait de
définir les outils (coopérations internationales
Le terme de cybercriminalité a été inventé renforcées, nouveaux modes de preuve,…)
Recommandations
à la fin des années quatre-vingt-dix, alors susceptibles de fonder des poursuites effica-
qu’Internet se répandait en Amérique du ces à l’encontre des cybercriminels. C’est ainsi
Nord. Lors du Sommet de Lyon (27-29 que l’on envisagea pour la première fois la
juin 1996), les pays du G8 ont constitué un mise en place de procédures de contrôles sur
groupe de travail chargé d’étudier les nou- le réseau des réseaux : injonctions de conser-
membres du groupe de Lyon, le Conseil Un peu plus tard, le 25 février 2005, un rap-
de l’Europe a rédigé un projet de « Conven- port présenté par Thierry Breton, Ministre de
tion sur la Cybercriminalité » (1). Il s’agissait l’Economie, des Finances et de l’Industrie au
d’harmoniser les législations des Parties Ministre de l’Intérieur, de la Sécurité Intérieure
contractantes en la matière. A cet effet, et des Libertés Locales évoque un chantier de
cette convention, rendue publique pour la lutte contre la cybercriminalité (2).
1/ Cf : http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CL=FRE
38 2/ www.telecom.gouv.fr/fonds_documentaire/rapports/cybercriminalite.pdf 39
Le rapport définit la cybercriminalité comme le doublement du nombre des enquê- continuellement de nombreux outils ou fiquement conçus à cet effet est en très
un nouveau domaine pour le droit pénal et la teurs spécialisés, la mise en place de techniques d’attaque afin de déborder les forte augmentation. La France n’a pas
procédure pénale tout en mesurant l’émer- référents ; outils de sécurité mis en place et la vigilance été épargnée. Le modus operandi de ces
gence d’un corpus législatif et réglementaire des utilisateurs. attaques consiste en l’envoi d’un message
et en intégrant sa dimension au niveau - le développement d’actions de électronique visant des autorités et semblant
international. formation communes ; L’année 2007 notamment a été marquée par provenir d’un interlocuteur habituel ;
une augmentation particulièrement significa- ce message est accompagné d’une pièce
Il est aussi question d’une prise en compte - un renforcement des capacités tive du nombre d’attaques traitées, augmen- jointe infectée qui installe un code mal-
de la cybercriminalité par la police et la juridiques d’investigation ; tation qui peut être imputée d’une part aux veillant ayant pour but de récupérer des
gendarmerie comme un champ d’action échanges internationaux plus riches, et donc informations sensibles lorsque le destinataire
renouvelé et ouvert. - un renforcement de la veille technolo- des renseignements sur les attaques ou tente de l’ouvrir. Du fait de la difficulté à les
gique et de la recherche et développe- tentatives plus fournis, mais aussi à l’aug- détecter et du ciblage préférentiel des auto-
Ce même rapport a permis de mettre en ment (R&D) ; mentation des attaques informatiques dans rités, ces attaques ciblées constituent une
avant un certain nombre de mesures à le monde. menace particulièrement insidieuse.
savoir : - un meilleur contrôle des contenus
illicites véhiculés par Internet ; Les codes malveillants, méthode Les attaques informatiques dites
- une meilleure connaissance statistique d’attaque visant la récupération politiques, utilisées comme moyen
de la cybercriminalité ; - une meilleure protection des mineurs ; de données sensibles de protestation
- un doublement des capacités d’investi- - une politique de prévention ; L’utilisation de codes malveillants, de type Ce nouveau phénomène s’est particulière-
gation spécialisées des services de po- Chevaux de Troie, destinés à réaliser des ment illustré lors des émeutes des banlieues
lice et des unités de gendarmerie avec - la définition d’un certificat «citoyen» des attaques dans le but de dérober des infor- en 2006 avec l’attaque du site internet de
le renforcement de l’OCLCTIC, fournisseurs de services de l’Internet. mations sensibles ne se limite pas au champ la Mairie de Clichy-sous-Bois. Il en a été de
des activités secrètes ou sensibles des même avec la publication des caricatures du
Etats. Elles touchent l’ensemble des prophète Mahomet, élément déclencheur en
activités dans lesquelles la concurrence France de défigurations de sites français.
Un enjeu ministres de la Justice des Etats membres.
Les informations recueillies par chacune des existe. Les entreprises sont ainsi une cible
de choix pour les attaquants. Les vulnérabilités qui favorisent
de coopération plates-formes nationales seront dorénavant
transmises à la plate-forme d’alertes euro- les attaques
Le glissement observé d’attaques massives,
internationale péennes. «Ce regroupement des signale-
ments permettra de déterminer le pays le au moyen de virus informatiques médiatisés, Il s’avère que ces différentes menaces
plus à même d’effectuer des poursuites », vers des attaques ciblées et discrètes est s’expliquent par des vulnérabilités diverses
a précisé, à cette époque, le résultat de la criminalisation massive des dont les plus importantes sont exposées
La recommandation 1507 de 2001 (3) du la ministre Mme Michèle Alliot-Marie. pirates informatiques, désormais plus mo- ci-dessous :
Parlement européen souligne la nécessité tivés par le gain que par la reconnaissance
pour les Etats de convenir de règles et de de leurs capacités techniques. Lorsqu’ils Les premières sont les vulnérabilités liées
sanctions légales communes, et d’entamer n’agissent pas directement, ils mettent à aux applications, à savoir une qualité lais-
une coopération en matière de partage des
informations et d’autres formes d’entraide,
Analyse disposition leurs moyens techniques ou leur sant à désirer d’un logiciel qui permet alors
savoir-faire, moyennant rétribution, au plus d’exploiter des failles pour conduire des
dans le respect des droits individuels, en
particulier de celui de la vie privée.
de la menace. grand nombre : particuliers, officines, entre- attaques. Il s’agit d’erreurs de conception ou
prises, services spéciaux… d’implémentation. La réponse apportée par
L’impératif de lutte contre la cybercriminalité
Bilan l’Etat pour les organismes gouvernementaux
La multiplication des attaques vient du CERTA sur la base de ses publica-
s’est, en outre, manifesté au niveau euro- ciblées au plan mondial tions. On ne rappellera jamais assez que la
péen par la création, le 27 octobre 2008, Ces deux dernières années (2006 et 2007) mise à jour des applications et de leurs cor-
d’une plate-forme européenne de lutte ont été particulièrement riches en évène- Depuis 2005, le nombre d’attaques ayant rectifs constitue la première ligne de défense
contre la cybercriminalité. Celle-ci résulte ments et ont notamment permis d’identifier délibérément ciblé des systèmes sensibles des systèmes d’information.
d’une décision du Conseil regroupant spé- de nouveaux risques majeurs, mais aussi de et utilisant des codes malveillants spéci-
cialement les ministres de l’Intérieur et les constater que les attaquants développaient
3/ Cf : http://assembly.coe.int/default.asp
40 41
La loi protège
Les autres vulnérabilités mises en cause demeure pas moins qu’il a suffit à paralyser
concernent les conditions d’emploi. Il peut l’internet d’un pays entier ; enfin, les codes
s’agir de l’environnement du travail et du malveillants employés lors de ces attaques
paramétrage d’installation. On constate que se sont avérés plutôt classiques et relati-
votre entreprise
ces incidents sont souvent liés à une mau- vement peu sophistiqués. La coopération
vaise mise en œuvre de la PSSI. Les exem- internationale a permis d’identifier environ
ples sont diversifiés et nombreux et vont une centaine de machines situées en France
de l’hébergement mutualisé de sites sur un ayant participé à ces attaques.
serveur propice à la propagation des codes
malveillants, à la suppression de la protec- Il n’existe pas de solution simple car
tion apportée par les pare-feux, en passant aujourd’hui, les logiciels malveillants peuvent
par des erreurs de configuration des droits s’attaquer à tous les utilisateurs d’Internet, Première réponse caractère général, l’autre relative à la pro-
tection de ces données dans les réseaux.
ou à la fuite d’informations circulant par des des entreprises aux particuliers, en passant
technologies rayonnantes, de type Wi-Fi ou par les gouvernements. La sécurité est de l’Etat La commission européenne a contribué au
principe de protection de la vie privée et des
Bluetooth. donc bien l’affaire de tous, qu’il s’agisse
des Etats, des entreprises ou des parti- aux incidences libertés individuelles au travers des deux
textes suivants :
Enfin, un élément qu’on ne peut ignorer culiers. Neuf grands principes permettent
puisqu’il participe à sa façon au système de structurer une démarche globale : concrètes sur la vie - directive européenne 95/46/CE
d’information, les vulnérabilités introduites sensibilisation, responsabilité, réaction, éthi-
par les utilisateurs. Elles résultent d’une que, protection des libertés, évaluation des quotidienne : la loi du 24 octobre 1995, relative à la
protection des personnes physiques
mauvaise manipulation par les utilisateurs risques, conception et mise en œuvre de la à l’égard du traitement des données à
finaux du système d’information, et s’ex- sécurité, gestion de la sécurité, réévaluation. caractère personnel et à la libre circulation
pliquent par la faible qualité des mots de La prise en compte de cette chaine permet Dans la mesure où la protection des de ces données ;
passe, l’ingénierie sociale, le phénomène de s’engager dans une démarche cohérente citoyens et des entreprises dans le cyberes-
de filoutage… face à un problème universel. La réponse à pace entre dans le champ des compétences - directive européenne 2002/58/CE
ce défi passe également par l’approfondis- régaliennes de l’Etat, il apparaît clairement du 12 juillet 2002 concernant le traitement
Au printemps 2007, des émeutes ont lieu à sement des connaissances par les différents que ce dernier a pu identifier des risques et des données à caractère personnel et la
Tallin (Estonie). Elles font suite au déboulon- groupes (gouvernements, entreprises, des menaces. La première réponse, assez protection de la vie privée dans le secteur
nement par les autorités estoniennes d’une utilisateurs ou acteurs techniques). Coopé- précoce finalement, de l’Etat français a donc des communications électroniques.
statue de bronze érigée à la gloire des sol- ration et partage doivent également fédérer été de légiférer en la matière. Les domaines
dats de l’Union Soviétique à la fin de la Se- ces acteurs. Toute solution appliquée par un concernés sont parfois abordés par les mê- Cybercriminalité
conde guerre mondiale. De façon fulgurante, sans être partagée par les autres sera ineffi- mes textes de loi, ce qui explique les redites
des attaques informatiques sont organisées, cace. L’encouragement de bonnes pratiques ci-après. Nouveau domaine pour le droit pénal, la
visant des sites Internet gouvernementaux et doit associer dans une démarche conver-
cybercriminalité recouvre deux grandes
privés estoniens (médias, banques, assuran- gente approche réglementaire, répression, Informatique et libertés catégories d’infractions :
ces, bourse, …). solutions techniques, actions d’éducation
Ces attaques ont duré plusieurs semaines et de sensibilisation et enfin coopération Le premier principe a consisté à dire que - les infractions directement liées aux
et ont pris plusieurs formes : défacements, internationale. « l’informatique doit être au service de technologies de l’information et de la
déni de service … chaque citoyen (…) Elle ne doit porter communication, à savoir les atteintes aux
Ce phénomène a fait l’objet d’une analyse atteinte ni à l’identité humaine, ni aux droits systèmes de traitement automatisés de
par la DCSSI et par ses homologues étran- de l’homme, ni à la vie privée, ni aux libertés données, la diffusion de programmes mal-
gers, analyse permettant d’affirmer que les individuelles ou publiques ». Ce principe veillants, les infractions à la loi Informati-
attaques ont été réalisées par des réseaux correspond en fait au tout premier article que et Libertés sanctionnées au pénal, les
de machines compromises réparties sur de la loi Informatique et Libertés, infractions aux moyens de paiement et les
l’ensemble de la planète, sans qu’on puisse du 6 janvier 1978, modifiée par la loi infractions à la législation sur la cryptologie ;
identifier qui contrôlait ce réseau de machi- du 6 août 2004 relative à la protection des
nes zombies ; si le nombre de machines personnes physiques à l’égard des traite- - les infractions dont la commission a été
compromises est très nettement inférieur ments de données personnelles, l’une à facilitée ou liée à l’utilisation de ces tech-
au million annoncé par la presse, il n’en
42 43
nologies, à savoir la diffusion de contenus Au niveau européen, il convient de signaler : La prise en compte croissante • Mise en place d’une plate-forme de signa-
illicites (pédopornographie, racisme, …), de la menace représentée par lement automatique de toutes les formes
les escroqueries par faux moyens de - la décision cadre 2005/222/JAI du la cybercriminalité s’est traduite de malversation, escroquerie, incitation
paiement pour une transaction en ligne, 24 février 2005 relative aux attaques à la haine raciale ou pédopornographie
par la mise en place d’un dispositif
et certaines autres formes d’escroqueries, visant les systèmes d’information ; constatées sur Internet (4) ;
mais aussi les contrefaçons de logiciels et
dédié au sein du ministère
autres atteintes à la propriété intellectuelle. - la directive 2006/24/CE du 15 mars 2006 de l’Intérieur. • Doublement du nombre d’enquêteurs
sur la conservation de données dans le spécialisés en criminalité informatique, au
Pour couvrir l’ensemble de ces domaines, cadre de la fourniture de services de com- Ainsi, le plan d’action du ministère de l’Inté- sein de la direction centrale de la police
les principales lois qui ont été adoptées sont : munications électroniques. rieur, présenté le 14 février 2008, définit qua- judiciaire, et d’enquêteurs en technologie
tre cibles principales : l’usurpation d’identité, numérique de la gendarmerie ;
- la loi du 5 janvier 1988, dite loi Godfrain Par définition, le cyberespace ne connaît pas l’escroquerie en ligne, les contenus pédo-
(accès frauduleux aux systèmes d’infor- de frontières physiques. Il a donc fallu prendre pornographiques, racistes ou antisémites, • Création de cursus à vocation techno-
mation) ; en compte des dimensions internationales les incitations aux terrorismes. logiques au sein de la police nationale,
au-delà de l’Union Européenne : cela a été fait comme il en existe dans la gendarmerie.
- la loi sur la sécurité quotidienne du 15 no- au travers du traité de Budapest (Convention Pour accomplir ces nouvelles missions, de
vembre 2001 (conservation des données du Conseil de l’Europe) sur la cybercriminalité nouveaux moyens sont consacrés à la lutte
de connexion par les opérateurs, cryptolo- en date du 23 novembre 2001 et de son pro- contre la cybercriminalité :
gie, cartes de paiement) ; tocole additionnel du 7 novembre 2002. Des
Des services
travaux dans le domaine de la cybercriminalité
- la loi pour la sécurité intérieure du sont également conduits par le G8.
18 mars 2003 (perquisition dans un sys-
tème d’information, préservation
4/ www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
44 45
de Paris. Cette brigade, composée de La formation des enquêteurs constitue une - développer l’expertise scientifique et tech- au même mouvement et sans la coopéra-
policiers uniquement, a les mêmes compé- priorité du ministère de l’Intérieur qui abrite nique dans le domaine de la SSI tion desquels cette mission pourrait être
tences techniques, mais est limitée de plein désormais les deux grandes directions que au bénéfice de l’administration menée à bien ;
droit quant à sa compétence territoriale sont la DGPN et la DGGN. Les enquêteurs et des services publics ;
à Paris et sa petite couronne. spécialisés en criminalité informatique (ESCI - de piloter la résolution d’un incident (si
pour la police, NTECH pour la gendarme- - former et sensibiliser à la SSI, au travers besoin avec l’appui du réseau mondial
La Direction Centrale du Renseignement Intérieur rie) sont aujourd’hui disséminés au sein de de son centre de formation à la sécurité des CERTs) ;
(issue de la fusion entre la DST et la DCRG) bon nombre de services sur l’ensemble du des systèmes d’information (CFSSI).
dispose elle aussi d’enquêteurs spécialisés en territoire national alors que pendant très - d’assurer le pilotage des réponses tech-
criminalité informatique, dont le domaine de longtemps les personnels des services pa- En 2003, la DCSSI a étoffé son dispositif niques pour le volet SSI du plan Vigipirate
compétence concerne les services gouverne- risiens ont été privilégiés pour bénéficier de de prévention et de réaction aux attaques et en cas de déclenchement du plan
mentaux, les établissements à régime restrictif telles formations. en créant le Centre Opérationnel de la SSI gouvernemental d’intervention face à une
ou encore tout ce qui concerne les données (COSSI). Ce centre a été créé dans le cadre agression « cyberterroriste ».
classifiées de défense, et plus généralement le Pour autant, l’Etat a compris également de l’élaboration des plans de vigilance
domaine de la sécurité intérieure. que de disposer de services chargés de (VIGIPIRATE) et d’intervention SSI Le COSSI comporte également une compo-
la répression ne suffisait pas à assurer sa (PIRANET). Le COSSI est globalement char- sante exercice qui a donné lieu depuis 2003
La gendarmerie pour sa part a créé dès sécurité. Il s’est donc doté de services gé d’assurer la coordination interministérielle à la réalisation d’une vingtaine d’exercices
1998, au sein du service technique de préventifs. des actions de prévention et de protection dont deux exercices majeurs.
recherches judiciaires et de documentation face aux attaques sur les systèmes d’infor-
(STRJD), une division de lutte contre la La Direction Centrale de la Sécurité des Systè- mation de l’Etat ou dont l’importance pour Outre la DCSSI, en France, d’autres orga-
cybercriminalité. Ses enquêteurs recher- mes d’Information (DCSSI), héritière du service le fonctionnement du pays ou pour la vie de nismes officiels sont chargés d’assurer des
chent les infractions sur Internet (pédopor- central de sécurité des systèmes d’information la population le justifie. En cas de crise, la services de prévention des risques et d’as-
nographie, vente de contrefaçons, recettes lui-même créé en 1986, placée sous l’autorité cellule de crise interministérielle s’appuie sur sistance aux traitements d’incidents :
d’explosifs, haine raciale, etc.). Cette division du Secrétaire général de la Défense Nationale le COSSI pour la conduite technique opéra- il convient de citer le CERT IST dédié au
conseille et aide aussi les unités territoriales a été instituée par décret le 31 juillet 2001. tionnelle de la crise. secteur de l’Industrie, des Services et du
confrontées à des affaires en relation avec Elle a pour missions de : Tertiaire, créé fin 1998, mais aussi le CERT
Internet. Le COSSI est ainsi composé d’une cellule RENATER, en activité depuis 1995, dédié à
- contribuer à la définition interministérielle de veille active 24 h / 24, 7 jours/7, chargée la communauté des membres du GIP RE-
Il est utile de préciser que nombre d’autres et à l’expression de la politique gouver- d’identifier les évènements et informations NATER (Réseau National de télécommuni-
services peuvent être amenés à participer nementale en matière de sécurité des relatives aux vulnérabilités ou attaques cations pour la Technologie, l’Enseignement
à la lutte contre la cybercriminalité sans systèmes d’information ; susceptibles de toucher l’Etat ou les infras- et la Recherche). Il existe encore deux autres
toutefois que ce soit leur objectif principal. tructures vitales. Il englobe également le CERTs français, privés.
Leur liste est trop importante pour être citée, - assurer la fonction d’autorité nationale CERTA (Centre d’Expertise gouvernemental
et pourrait consister en l’annuaire complet de régulation pour la SSI en délivrant les de Réponse et de Traitement des Attaques Enfin, le Livre blanc sur la défense et la
des services de police et de gendarmerie, agréments, cautions ou certificats pour informatiques), créé en 1999 et chargé sécurité nationale, publié le 17 juin 2008,
répartis sur le territoire national. les systèmes d’information de l’Etat, les d’assister les organismes de l’administration place en deuxième position la menace
procédés et les produits cryptologiques dans la mise en place des moyens de pro- informatique, après le terrorisme. Afin de se
Il convient également de citer l’Institut de employés par l’administration et les ser- tection, notamment par la détection précoce donner les moyens d’agir en la matière, il
Recherches Criminelles de la Gendarmerie vices publics, et en contrôlant les centres des vulnérabilités, et dans la résolution des organise une réforme de la DCSSI, créant
Nationale (IRCGN), reconnu pour son ex- d’évaluation de la sécurité des technolo- incidents ou des agressions informatiques une nouvelle agence pour la sécurité des
pertise grâce aux capacités mises en œuvre gies de l’information ; dont ils sont victimes. systèmes d’information, qui relèvera du Pre-
dans sa division « Ingénierie et numérique » Pour ce faire, il est tenu : mier ministre et du secrétariat général de la
ainsi que la Direction de la Police Techni- - évaluer les menaces pesant sur les défense et de la sécurité nationale (SGDSN).
que et Scientifique de la police judiciaire, systèmes d’information, donner l’alerte, - d’assurer une veille technologique ; Elle disposera de moyens renforcés par
qui interviennent régulièrement en support développer les capacités à les contrer rapport à la direction actuelle. Elle conser-
technique de l’ensemble des autres services et à les prévenir ; - d’organiser la mise en place d’un ré- vera les missions de la DCSSI auxquelles
et dont les travaux permettent souvent de seau de confiance, notamment dans ses s’ajouteront :
comprendre des technologies et techniques - assister les services publics en matière de contacts avec les HFDS, FSSI et RSSI
émergentes. SSI ; des différents ministères qui participent - la mise en œuvre d’un centre de détec-
46 47
tion chargé de la surveillance permanente des régions : créer une société de l’information agence de recherche dédiée à la cyberdéfense de la nature des informations recherchées
des réseaux sensibles et de la recherche plus sûre en renforçant la sécurité des infras- « Cyber Defence Management Authority ». et de l’organisme visé. ». Soulignant que
de mécanismes de défense adaptés. tructures de l’information et en luttant contre Basée à Bruxelles, la CDMA est chargée de la sécurité des systèmes d’information est
Ce centre fonctionnera en coordination la cybercriminalité (5). Le texte encourage les coordonner les moyens de défense dans et un véritable défi, à la fois technologique et
avec ceux des partenaires internationaux, entreprises à mener directement des actions entre les différents pays membres, qui veulent économique, il formule 6 recommandations
notamment européens ; contre la criminalité informatique. se protéger des attaques cybernétiques. détaillées dans l’annexe n°2.
En mars 2004, un programme pluriannuel
- le soutien et le conseil aux administrations Safer Internet Plus (2005-2008), succédant Une préoccupation Une préoccupation relayée par
et au secteur privé, en particulier aux au plan d’action Safer Internet (1999-2004),
intégrée par les les associations professionnelles
opérateurs d’importance vitale. L’agence est doté d’un budget de 45 millions d’euros
constituera un réservoir de compétences afin de lutter contre les contenus internet
pouvoirs publics
Les associations professionnelles se sont,
afin de répondre aux besoins les plus illicites et préjudiciables et de promouvoir
La prise en compte par les pouvoirs publics dans le même temps, fortement impliquées
essentiels. une utilisation plus sûre d’internet et des
de la nécessité de mettre en œuvre une dans la sensibilisation des entreprises à la
nouvelles technologies en ligne, particulière-
politique de sensibilisation des entreprises prévention de la cybercriminalité. Ainsi, le
Au niveau territorial, l’agence s’appuiera ment pour les enfants. Les activités menées
contre la cybercriminalité apparaît avec Club de la Sécurité de l’Information Français,
sur un réseau d’experts des observatoires au titre du programme sont réparties selon
l’analyse des bouleversements introduits par le CLUSIF, qui a pour mission d’agir pour la
de la sécurité des systèmes d’information, plusieurs lignes d’action : lutte contre les
Internet dans le monde de l’entreprise. sécurité de l’information en direction des en-
qui seront mis en place dans les zones de contenus illicites, traitement des contenus
treprises et des collectivités publiques, pu-
défense et de sécurité sous l’autorité des non désirés et préjudiciables, promotion
Ainsi, en 2002, le rapport Yolin inclut dans blie chaque année, d’une part, un « Panora-
préfets de zone. d’un environnement plus sûr, sensibilisa-
les adaptations juridiques nécessaires à ma sur la Cybercriminalité »(8) recensant les
tion des consommateurs, protection des
l’usage d’Internet comme facteur de compé- grandes tendances de ce phénomène ainsi
données et sécurité des informations et des
titivité des petites et moyennes entreprises la que ses nouvelles formes, et, d’autre part,
De nombreuses réseaux (virus, spams, etc.).
mise en place de moyens juridiques aptes à
lutter contre la cybercriminalité (6).
un rapport sur « les menaces informatiques
et les pratiques de sécurité en France »(9),
actions L’Agence Européenne pour la Sécurité des
Réseaux (ENISA), créée le 10 mars 2004 par
Le rapport du député Lasbordes (7), en
qui analyse les nouveaux risques informati-
ques, leur sinistralité, ainsi que les mesures
de prévention un règlement du Parlement européen et du
Conseil, est chargée de renforcer la capacité
date du 26 novembre 2005, et intitulé « La
sécurité des systèmes d’information - Un
permettant de les circonscrire. Toutefois et
au-delà d’un simple constat, le Club met à
et de sensibilisation d’anticipation, d’examen et de résolution
des problèmes rencontrés par les Etats-
enjeu majeur pour la France » traite des
vulnérabilités qui affectent la sécurité de
la disposition des entreprises différents outils
pour améliorer la sécurité de leur système
des acteurs membres, les institutions communautaires
et les entreprises en matière de sécurité des
systèmes d’information des entreprises et
des administrations, du fait de la malveillan-
d’informations :
En outre, les traitements les plus « sensibles C’est pourquoi la CNIL est chargée de veiller
» sont soumis à une autorisation de cette au respect de ces principes et souhaite
commission. Le non-respect de ces formalités informer les salariés des droits dont ils
par les responsables de fichiers est passible disposent, ainsi que les employeurs, en
de sanctions administratives ou pénales. les conseillant sur les mesures à adopter
pour se conformer à la loi. Un guide (15) a
Outre sa mission de contrôle, la CNIL pour vocation de leur donner les clés pour
conseille et renseigne les personnes et les bien utiliser ces outils et les fichiers mis en
organismes qui envisagent de mettre en œuvre en matière de gestion des ressources
œuvre des fichiers informatiques, que ce humaines. C’est aussi le but du « correspon-
soit par téléphone, par courrier ou par ses dant informatique et libertés », interlocuteur
publications. Elle s’est dotée d’un service privilégié de la CNIL dont la désignation per-
d’orientation et de renseignement afin d’ap- met, au-delà de l’exonération de déclaration,
porter une réponse rapide aux requêtes des d’intégrer pleinement la problématique de la
particuliers comme des professionnels sur protection des données personnelles.
l’application de la loi.
14/ www.cnil.fr
15/ http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL_GuideTravail.pdf
52 53
Le DLM repose ainsi financier peut la publier mais pas la modi-
pour l’entreprise
mation qui s’appuie sur la réputation des structure et les contrats de travail doivent
utilisateurs prévoir le dispositif. Lorsqu’un utilisateur
transgresse le droit d’usage consenti, la tra-
• Un code de confiance çabilité de la transaction permet de l’exclure
de l’espace de confiance dont il avait bien
• Un modèle qui augmente la fluidité de besoin pour travailler.
l’information et réduit le coût de sécurité
Le DLM ne se contente pas de
Les Assises Le DLM Le grand apport de ce concept est d’opérer
une distinction entre confiance et sécurité.
classifier les documents. Il anticipe
les raisons pour lesquelles :
du numérique (Digital Legal Management)
ou gestion du droit d’usage de l’information
La sécurité est un modèle économique
tandis que la confiance est une relation inter- - des utilisateurs ne prendront pas le risque
54 55
le besoin d’en connaître est satisfait. Les
Annexe n°1 :
6) Mettre en place les moyens de protection
premiers tests ont montré que le DLM peut adéquats correspondant au niveau de
réduire les actions de malveillance d’un sensibilité des informations ainsi classifiées,
Les 12 clés de la sécurité
facteur par l’emploi de règles contextuelles, s’assurer qu’ils sont adaptés et, si besoin,
consenties et tracées entre les utilisateurs. selon l’AFNOR recourir à des compétences et expertises
extérieures ;
(D’après le Référentiel
Concrètement : de bonnes pratiques 7) Désigner et former des personnes res-
de l’AFNOR - Août 2002 ponsables de l’application des mesures
« L’information a besoin d’outils pour faire
Sécurité des Informations de sécurité ;
circuler l’information entre individus ». Une
Stratégiques – Qualité de la confiance.
application pratique de DLM, dotée de fonc-
Comment préserver la confidentialité 8) Impliquer le personnel et les partenaires
tionnalités de sécurité appropriées concerne
des informations) en les sensibilisant à la valeur des infor-
les machines multifonctions : photocopie +
imprimante + scanner + télécopie (MFP) qui mations, en leur apprenant à les protéger
sont, par excellence, des outils d’acquisi- et en leur inculquant un réflexe d’alerte en
1) Admettre que toute entreprise possède des cas d’incident ;
tion-restitution de l’information entre utilisa-
informations à protéger (plans de recher-
teurs. Ainsi, le DLM peut concourir au fait
che, prototypes, plans marketing, stratégie 9) Déployer un système d’enregistrement
que « la bonne personne ait le droit d’usage
commerciale, fichiers clients, contrats des dysfonctionnements (même mineurs),
du document à jour au moment où elle en a
d’assurance,…) ; et analyser tous les incidents ;
besoin pour créer de la valeur ».
2) Faire appel à l’ensemble des capacités 10) Ne pas hésiter à porter plainte en cas
de l’entreprise (chercheurs, logisticiens, d’agression ;
gestionnaires de personnel, informaticiens,
juristes, financiers,…) pour réaliser l’inven- 11) Imaginer le pire et élaborer des plans de
taire des informations sensibles, des points crise, des fiches « réflexe » afin d’avoir un
faibles, des risques encourus et de leurs début de réponse au cas où… ;
conséquences ;
12) Evaluer et gérer le dispositif, anticiper
3) Exploiter l’information ouverte sur l’environne- les évolutions (techniques, concurrentiel-
ment dans lequel évolue l’entreprise, observer les,…) et adapter la protection en consé-
le comportement des concurrents, partenai- quence en se conformant aux textes légis-
res, prestataires de service, fournisseurs, pour latifs et réglementaires en vigueur.
identifier les menaces potentielles ;
56 57
Annexe n°2 :
Axe 2 : Responsabiliser les acteurs Axe 4 : Rendre accessible la SSI • Conseiller en amont les maîtrises d’ouvra-
à toutes les entreprises ge de l’Etat pour des projets sensibles
• Etablir de manière obligatoire des chartes tels que par exemple la carte nationale
6 recommandations
à l’usage des utilisateurs, annexées au • Inciter les entreprises à assurer leur SSI d’identité ou le dossier médical ;
du Rapport Lasbordes contrat de travail – public et privé - ou aux par la mise en place d’aides publiques ;
règlements intérieurs des entreprises ; • Confier à une autorité centrale le rôle
Les six recommandations proposées corres- d’approuver formellement le lancement de
• Créer un centre d’aide et de conseil dans
pondent à une double ambition : renforcer la ces projets sensibles ;
• Labelliser les entreprises fournisseurs de une logique de guichet unique ;
posture stratégique de l’Etat en matière de
produits ou services de SSI qui respectent
TIC et de SSI et assurer la mise en œuvre • Faire contrôler par une autorité centrale
un cahier des charges à établir. • Diffuser aux PME sous une forme adaptée
opérationnelle des politiques et des décisions l’application de ces prescriptions par des
les informations de veille, d’alerte et de
de l’Etat en matière de SSI. Certaines d’entre inspections sur site et des tests d’intrusion
elles figuraient déjà dans le Plan de Renforce-
Axe 3 : Renforcer la politique de réponse disponibles au niveau des CERT
développement de technologies et nationaux ; sans préavis ;
ment de la Sécurité des Systèmes d’Informa-
tion de l’Etat élaboré en 2004. de produits de SSI et définir une po-
• Initier et animer des forums thématiques • Mettre en place et animer une filière SSI
litique d’achat public en cohérence transverse dans laquelle la mobilité sera
publics – privés favorisant la circulation
Axe 1 : Sensibiliser et former à la d’informations, les retours d’expériences, organisée, tant à l’intérieur de la fonction
sécurité des systèmes d’information • Identifier les maillons des systèmes
le partage des bonnes pratiques,… publique qu’au travers de passerelles avec
d’information qui exigent des produits
les entreprises et les centres de recherche ;
• Organiser une grande campagne de qualifiés ;
Axe 5 : Accroître la mobilisation
communication s’inscrivant dans la durée • Définir les profils de postes des respon-
à destination de tous ; • Etablir et tenir à jour un catalogue des des moyens judiciaires
sables SSI. Renforcer leur autorité et leur
produits de sécurité nationaux qualifiés
responsabilité ; ils devront être indé-
et des produits européens adaptés aux • Reconnaître la spécificité des contentieux
• Mettre en place un portail Internet pour pendants des directions des systèmes
différents niveaux de sécurité à assurer ; liés aux systèmes d’information ;
mettre à la disposition des utilisateurs – d’information ;
citoyens, administrations et entreprises
• Développer les financements publics de • Aggraver les peines prévues au Code
- des informations d’actualité, des guides • Pour les opérateurs d’infrastructures
R&D ; pénal en matière d’atteinte à la SSI ;
de bonnes pratiques, des contacts, des vitales : valider la politique de sécurité par
alertes sur les menaces,… ; l’autorité centrale et conduire des inspec-
• Favoriser le développement des PME • Introduire une exception au principe
tions et des tests d’intrusion ;
innovantes dans la SSI et renforcer les fonds d’interdiction de la rétro-conception dans
• Proposer au système éducatif - du
d’investissement en capital développement ; le Code de la Propriété intellectuelle pour
primaire à l’enseignement supérieur – et • Pour les entreprises sensibles, faire à la
des motifs de sécurité ;
au système de formation continue, des demande des audits et des tests d’intrusion.
canevas modulaires de formation en SSI ; • Développer la politique de certification
et de qualification par une augmentation • Assurer la sensibilisation des magistrats
Annexe n°3 :
des produits certifiés et qualifiés et une et des forces de sécurité par la formation
• Informer l’utilisateur : à l’instar du port de
réduction des délais et des coûts de initiale et continue ;
la ceinture pour l’utilisation d’un véhicule
automobile, imposer que la documen- certification ; Les Assises du numérique
• Constituer un pôle judiciaire spécialisé et
tation utilisateur qui accompagne les Lutter contre toutes les formes
• Accroître la présence et l’influence fran- centralisé de compétence nationale ;
produits personnels de communication de cybercriminalité
mentionne les risques principaux en- çaise dans les groupes de standardisation
et les comités de normalisation ; • Renforcer les coopérations internationales.
courus vis-à-vis de la protection des La France doit se donner les moyens de
informations, les points de vigilance pour lutter contre toutes les formes de cybercri-
l’utilisateur et les recommandations types • Définir et mettre en œuvre une politique Axe 6 : Assurer la sécurité de l’Etat
d’achat public, fondée sur le principe minalité, que ce soit celle de l’atteinte aux
à mettre en œuvre (exemple : activer un et des infrastructures vitales
d’autonomie compétitive. Inciter les gran- réseaux (piratage, intrusions sur les sites…)
pare-feu, protéger et changer régulière- ou celle de l’utilisation des réseaux (contre-
ment son mot de passe,…). des entreprises à travers le pacte PME à • Mettre à jour les politiques de SSI et les
faire confiance aux PME certifiées en SSI. façon, escroquerie, pédopornographie,
schémas directeurs de chaque ministère
incitation à la haine raciale, propagande
et les valider par une autorité centrale ;
terroriste…).
58 59
Des efforts de coordination et de mutualisa- des infractions relevant de la “cybercri- monisation progressive qui s’opère au niveau avec esprit critique, les outils multimédias
tion, tant au niveau national qu’international, minalité”. Enfin, parce que le volume des Européen, sur le plan législatif comme sur celui et Internet. Cette dynamique doit être
en matière de moyens mis à disposition et infractions constatées progresse d’année en de la formation des forces de police des pays consolidée par un effort de formation plus
d’investigations effectuées dans ces domaines année, il convient d’affecter plus d’effectifs à membres, en matière de lutte contre la cy- important à destination des plus jeunes, no-
par la police et la gendarmerie nationales, ainsi la lutte contre la cybercriminalité. bercriminalité. Dans le cadre de la Présidence tamment des enfants de moins de 12 ans.
que par les douanes ont déjà été initiés. Ces française de l’Union européenne, la France Il s’agit notamment d’améliorer la formation
moyens doivent être renforcés et adaptés. La Action n°86 : Doubler d’ici à 2012 le pourra proposer de mutualiser les efforts dans des jeunes à la citoyenneté sur Internet à
coordination internationale doit être accrue. nombre d’enquêteurs spécialisés la lutte contre la cybercriminalité. travers les modules du brevet informatique
en criminalité informatique dans la et Internet (B2I).
Ainsi, en termes d’organisation, les préroga- police nationale, la gendarmerie nationale Action n°89 : Créer d’ici à 2009,
tives de certains organismes pourront être et les services des douanes. Sur le plan une plate-forme européenne L’Internet doit demeurer libre pour continuer
revues et étendues pour prendre en compte juridique, la France doit également continuer d’échanges d’informations sur la de s’enrichir. Ceci implique aujourd’hui la
de nouvelles formes de cybercriminalité, à se doter d’outils adaptés, en matière de présence de nombreux contenus à carac-
cybercriminalité et les sites illici-
comme la multiplication des délits de contre- définition des délits et ou de sanctions. tère choquant pour les publics non avertis.
façon sur Internet. Par ailleurs, la France doit
tes dans le cadre d’Europol, à l’image de L’accès de tous à Internet porte la promesse
la plate-forme française d’harmonisation,
jouer un rôle moteur dans la coordination d’un accès inconditionnel à la connaissance
Action n°87 : Introduire à l’occasion de de recueil, d’orientation des signalements
internationale des moyens de lutte contre et à l’information. Il est donc nécessaire que
la loi d’orientation et de programmation (PHAROS), qui sera opérationnelle fin 2008.
la contrefaçon, en particulier sur Internet et les plus jeunes puissent consulter l’Internet
pour la performance de la sécurité intérieure L’action publique doit s’appliquer à rendre
prendre une initiative forte dans ce domaine en toute quiétude.
(LOPPSI) : les plus jeunes conscients des risques
à l’occasion de la présidence française de
associés aux outils de communication de
l’Union européenne. Les moyens de communication se dévelop-
• Un délit d’usurpation d’identité sur les ré- l’Internet. C’est l’objectif des campagnes
pent à une célérité qui met à mal l’efficacité
seaux de communications électroniques ; de sensibilisation et de pédagogie que le
Action n°83 : Accentuer la lutte contre du législateur. La concertation en amont
gouvernement a mis en œuvre, à l’instar de
la contrefaçon vendue sur Internet. entre les différents acteurs est indispensable
• Une disposition permettant, en accord l’initiative de la Délégation aux Usages de
Adopter dans le cadre de la présidence fran- à l’établissement d’une situation optimale et
avec les fournisseurs d’accès Internet, de l’Internet, qui a crée en 2003 un site Internet
çaise de l’Union européenne un plan intégré équilibrée. Pour poursuivre pleinement ses
bloquer sur signalement des sites pédo- destiné à prévenir les mineurs contres les
européen de lutte contre la contrefaçon, objectifs, l’État doit donc favoriser l’auto-
pornographiques ; risques de l’Internet. Ces campagnes de
comprenant la lutte contre la contrefaçon régulation des acteurs de l’Internet : par des
sensibilisation menées souvent par différents
vendue sur Internet, décliné au plan national chartes d’engagement, par une “softlaw”
• Des peines alternatives d’intérêt géné- ministères, bénéficieraient d’une meilleure
à compter du 1er janvier. plus souple et plus apte à s’adapter aux
ral pour les hackers condamnés sans coordination.
incessantes évolutions technologiques,
intention de malveillance. Ces moyens ju-
une ligne de conduite commune peut être
Action n°84 : Créer un groupe ridiques et policiers renforcés doivent par Action n°90 : Coordonner des cam- dessinée, au profit d’un Internet respectueux
spécialisé sur les escroqueries sur ailleurs s’accompagner d’une meilleure
pagnes de sensibilisation portées de tous les internautes.
Internet, assurant la centralisation opéra- information du cybernaute de la loi et
des risques encourus et aussi informer le
par les différents ministères en lien
tionnelle des enquêtes et moyens, au sein
public sur les moyens d’éviter tous ces avec la direction du développement Action n°91 : Améliorer la lutte
de l’Office central de lutte contre la crimi-
nalité liée aux technologies de l’information risques. des médias (DDM), le secrétariat contre contre les spams.
général de la Défense nationale Les opérateurs seront invités à travailler
(OCLCTIC). De même, les outils statisti-
Action n°88 : Créer d’ici à la fin de (SGDN) et la délégation aux usages avec les pouvoirs publics pour améliorer
ques de pilotage et de suivi, utilisés par la
de l’Internet (DUI). les conditions dans lesquelles ils pourraient
police et la gendarmerie nationale, doivent l’année, un site Internet de conseils
Au-delà des campagnes d’information, la s’engager à limiter l’accès aux numéros et
désormais prendre en compte les infractions pédagogiques dédié aux utilisateurs
protection la plus efficace consiste à former, SMS surtaxés correspondant à des services
constatées sur Internet. pour prévenir les infractions com-
très tôt, les plus jeunes aux nouvelles tech- frauduleux ainsi que la réception des messa-
mises sur Internet. ges ou appels provenant de ces numéros et
Action n°85 : Développer, dans le nologies, à les accompagner et à les aider à
Internet ne connaissant pas de frontières, la les reversements financiers associés.
cadre du projet Ardoise (Application de développer leur esprit critique dans l’utilisa-
coopération internationale, notamment avec
recueil de la documentation opérationnelle et tion du net. C’est d’ailleurs l’un des objectifs
les partenaires européens de la France, doit
d’informations statistiques sur les enquêtes), du brevet informatique et Internet (B2I), qui
être un pilier majeur de la lutte contre la cyber-
un outil de connaissance des statistiques atteste de la capacité de l’élève à utiliser,
criminalité. Elle est déjà une réalité par l’har-
60 61
sont insuffisamment appliquées par les PME, de capital garanti dans le cadre d’une assu-
POSTFACE
une politique de sauvegarde rance du système d’information. A ce titre, il
composées de cycle journaliers, est important de comprendre qu’une couver-
hebdomadaires et mensuels garantit ture d’assurance n’est pas une alternative à
une meilleure intégrité des données. une politique de sécurité ou à la mise en place
La conservation hors site des supports de moyens et procédures. Elle doit s’analyser
par Pascal Lointier, de sauvegarde, c’est-à-dire sur un autre site, comme un financement des frais de remise
Président du Club de la Sécurité de l’Information Français, CLUSIF garantit une meilleure disponibilité en état du système et un remboursement
conseiller sécurité de l’information, AIG Europe suite à un incendie ou un dégât des eaux. Le possible des préjudices économiques subits
consultant SSI peut, en quelques jours (pertes d’exploitations, frais supplémentaires,
et à la suite d’entretiens préparés avec etc.)...
Après lecture de ce guide sur le risque les différents acteurs de l’entreprise, réaliser
Faire un point de situation
numérique, vous n’êtes plus dans la mé- une telle analyse. On citera ainsi les actions Gérer le comportement humain et
sur le niveau de sécurité de sensibilisation organisées par les
connaissance des risques et des enjeux non le facteur humain
de continuité qu’ils constituent pour votre Chambres de Commerce et d’Industrie
La première étape consiste bien à faire
entreprise. Vous pouvez, toutefois, rester en collaboration avec des prestataires régio- On l’a vu, une bonne politique insiste sur des
un point de situation sur l’état opérationnel
insouciant face au danger : un raisonnement naux. A l’issue de ce point de situation, un procédures adaptées non seulement aux
des moyens déployés et l’application
probabiliste était d’usage avant 2001 ! plan d’action, on parle de schéma directeur exigences du métier (nature des
effective des procédures de sécurité et
Depuis, ces événements - New-York, de la SSI, peut alors identifier les priorités équipements, délai de disponibilité,
d’organisation. Quelle que soit la taille de
Toulouse, les accidents aériens en série d’action et la cohérence de déploiement des traçabilité réglementaire, etc...) mais aussi
l’entreprise et son allocation initiale de
- ont provoqué une modification des outils et surtout des procédures d’emploi. à l’environnement humain. Cyniquement,
ressources, une analyse de risques est pos-
comportements et la question posée est sible et doit être engagée. Pour cela, on pourrait mettre en avant la paresse
désormais la suivante : le scénario une PME peut se faire assister d’un Le tableau de bord d’impact, humaine, cette propension naturelle à ne pas
d’incident a-t-il un impact vital/critique pour consultant en sécurité des systèmes aide à l’évaluation des besoins systématiquement respecter des mesures
mon entreprise ? Si la réponse est positive, d’information (SSI). Il est important que cette perçues comme rébarbatives ou encore les
il faut alors identifier une solution pour en « photographie » du système soit réali- Une fois cette analyse des facteurs de risques erreurs ou omissions dans l’exécution des
réduire les conséquences : il s’agit bien sée par un professionnel ayant une vision ou des scénarios de dysfonctionnement, dites procédures. C’est pourquoi, la règle,
de la survie de votre activité. transversale des atteintes possibles et des l’étape suivante concerne l’appréciation des même formalisée, ne se suffit à elle-même. Il
scénarios d’incident. Un « intégrateur », enjeux ou des conséquences. Là encore, est très important de prendre en considéra-
Agir au plus tôt, ce qui ne signifie fournisseur historique, un revendeur de pro- l’étude CLUSIF fait état d’une situation qu’on tion les habitudes initiales de travail, la per-
pas dans l’urgence duit de sécurité peut être très bon dans son pourrait presque qualifier d’affligeante : 72 % ception des enjeux et les avantages à gagner
domaine (serveurs performants, antivirus, ne procèdent pas à l’évaluation de l’impact pour l’utilisateur quant il respectera ces nou-
L’incident, accident ou acte de malveillance, pare-feu, moyen de sauvegarde) mais la financier des incidents de sécurité et, corol- velles mesures. En clair, une note de service,
peut survenir à tout moment. Il n’y a donc sécurité du système d’information déborde laire, 75 % n’ont pas de tableau de bord de une charte de bonne conduite informatique
aucune justification à retarder une action de largement la seule installation de produits. sécurité informatique. On pourrait avancer des ne sauraient suffire : il faut motiver / intéresser
réflexion quant à sa politique de sécurité. Il faut d’une part, prendre en considération éléments d’explication (et non de justification…) : les utilisateurs (y compris les directeurs…) au
Insistons sur ce point car la dernière étude tous les facteurs de sécurité ou toutes les réaction psychologique et volonté d’amnésie respect des usages édictés. La psychosocio-
diligentée par le Clusif « Menaces Informati- déclinaisons de politiques de sécurité : suite à un événement déstabilisant, absence logie est là pour nous démontrer comment
ques et Politiques de Sécurité en France » sauvegarde, secours informatique, de savoir-faire quant aux poste de rembour- l’individu, et sa prise de décision, est suscep-
fait d’abord état d’un paradoxe : continuité des services, gestion des droits sement à mesurer. Pourtant, le tableau de tible d’interagir ou d’être orienté par des in-
73 % des PME interrogées estiment avoir en interne et en télé-accès, départ du bord, qu’il soit d’impact (suite à une crise) formations transmises par son environnement
une dépendance forte par rapport au personnel stratégique, etc. et d’autre part, ou de sécurité (dans l’exploitation courante) son groupe d’activité. On découvre alors que
système d’information… mais 39 % d’entre identifier les bonnes procédures de travail. présentera plusieurs avantages. D’une part, l’être individu n’est pas un être de raison, de
elles n’ont pas réalisé une analyse globale En effet, la sécurité n’est pas systématique- c’est un début d’appréciation du RoSI, rationalité et que des techniques permettent
des risques auxquelles on pourrait ajouter ment couteuse ou trop couteuse. le retour sur investissement de sécurité, pour l’orientation du comportement…
30 % ayant effectuées une étude partielle, Par une réorganisation du travail, analyser comment la sécurité a contribué au
donc potentiellement incorrecte ou on augmente considérablement son niveau maintien de la productivité de l’entreprise.
négligeant un facteur de risque critique ! de sécurité. Redisons-le car les mesures D’autre part, il permet d’identifier le montant
62 63
Mettre en place une dynamique
Webographie Documentation
http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CL=FRE
L’adaptation des moyens, la cohérence des www.telecom.gouv.fr/fonds_documentaire/rapports/cybercriminalite.pdf
pratiques et l’adhésion de l’usager aux bon-
nes pratiques ne peuvent malheureusement
E-Sources : http://assembly.coe.int/default.asp
www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
suffire… l’entreprise évolue et son système http://cigref.typepad.fr/cigref_publications/2008/10/2008---protecti.html
d’information aussi. Une dépendance ou Portail de la sécurité informatique : www.clusif.asso.fr/fr/production/sinistralite/index.asp
un impact plus fort suite à l’accroissement www.securite-informatique.gouv.fr www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=CYBER-CRIMINALITE
d’activité, une évolution des architectures www.nouvellesmenaces.eu www.clusif.fr/fr/production/ouvrages/pdf/PanoCrim2k8-fr.pdf
informatiques avec de nouvelles menaces à
prendre en compte et enfin, les rotations de Portail du CLUSIF : Rapport Yolin 2002 p 256 :
personnels font qu’une démarche cyclique www.clusif.fr http://www.ensmp.net/pdf/2001/&1028mirage2001.pdf
doit être mise en place. Nouvel audit pour
apprécier l’augmentation du niveau de Serveur thématique sur la sécurité Rapport Lasbordes - La sécurité des systèmes d’information
sécurité, reconfiguration des équipements et des systèmes d’information (DCSSI) : Un enjeu majeur pour la France - novembre 2005
installation de correctifs de sécurité et sensi- www.ssi.gouv.fr www.lasbordes.fr/article.php3?id_article=166
bilisation des nouveaux salariés… toutes ces www.lasbordes.fr/IMG/pdf/26_novembre_doc_definitif.pdf
actions sont nécessaires pour que « numé- CIGREF :
rique » soit associé à gain de production et www.cigref.fr Plan de développement de l’économie numérique
non à risques… www.francenumerique2012.fr
CNIL :
www.cnil.fr Guide pour les entreprises et les salariés - CNIL
www.cnil.fr/fileadmin/docume...blications/CNIL_GuideTravail.pdf
La mission du Haut Responsable
en charge de la Haute Intelligence
Economique : Autres sites pour en savoir plus :
www.intelligence-economique.gouv.fr
Guide de l’Intelligence économique en Suisse occidentale
INHES : http://campus.hesge.ch/areso/files/guide.pdf
www.inhes.fr,
www.cahiersdelasecurite.fr DCRG - Intelligence économique défensive :
Physionomie nationale du risque financier - novembre 2006
www.intelligence-economique.gouv.fr/IMG/pdf/Physionomie_nationale_du_risque_financier.pdf
64 65
Les soutiens
de nos
partenaires
66 67
Les services SR (Section de Recherche)
Spie Communications
Afin de répondre aux fortes contraintes juridiques
auxquelles sont soumis nos clients, SPIE Com-
68 C 100
M 72
J0
R0
V 28
69
PANTONE 281 C N 38 B 77
Thales En ouvrant leurs systèmes d’information au
grand public, fournisseurs et partenaires
approches méthodologiques (EBIOS, Cri-
tères communs, …) ainsi que des outils et
Le Groupe consolide une approche de bout
en bout de la sécurité qui couvre l’ensemble
dans un environnement de nomadisme et produits, mais aussi le renforcement mutuel d’une chaîne « Secured by Thales » :
Cybersécurité : Protection de mutualisation des données, les organi- des capacités d’analyse de flux.
des systèmes d’information sations ont franchi un point de rupture entre • analyse du contexte : identification des
leurs dispositifs traditionnels de protection et A la transversalité institutionnelle doit menaces, contraintes et règles applicables
et résilience des organisations les risques encourus. correspondre une transversalité dans les
organisations. La sécurité est aujourd’hui • analyse des risques : risques acceptables,
Il est urgent d’appliquer toutes les règles une contrainte dispersée dans de multiples niveau de sécurité à atteindre
déjà définies et de les appliquer sans faille. fonctions. Très rares sont les organigram-
L’écart entre les pratiques d’une part et les mes qui en individualisent la responsabilité • conception sécurité : design sécurité
L’exposition des applications standards et référentiels d’autre part consti- globale. Celle-ci devrait être assumée par et recommandations
tue à lui seul un gisement de sécurisation qui un directeur de la sécurité, rattaché à la di-
critiques aux cyberagressions est à la fois important et facile d’accès. rection générale comme toute fonction vitale • développement ou acquisition des
s’est accrue dans des Les actions d’audit, de sensibilisation et ou stratégique et interlocuteur des pouvoirs technologies de sécurité
de formation sont, dans ce contexte, de publics.
proportions exponentielles nature à faire baisser rapidement le niveau • tests et audits de sécurité interne :
de risque. Enfin, le moment est venu d’élargir le test d’intrusion, résistance aux attaques
avec l’ouverture des systèmes concept de résilience. Bien au-delà de la
Cependant il serait faux de penser que les seule capacité des systèmes à fonctionner • évaluation du niveau de sécurité,
d’information et le actions offensives sont toujours effectuées en cas de panne, il faut l’étendre à l’organi- en regards des normes du secteur :
par des individus à l’extérieur des organisa- sation elle-même pour la rendre capable de banque, défense...
développement des menaces tions. Bien au contraire, les études montrent « manager la surprise ». Il conviendra donc
polymorphes. que la majorité des dommages sont déclen- de rapprocher deux fonctions trop souvent • audit et certification : vérification
chés au sein même des entreprises ou des distantes, celle qui s’engage sur la continuité des modifications demandées.
Au-delà de l’indispensable administrations. d’activité et celle qui anticipe la gestion des
crises. Bien qu’il soit souhaitable d’envisager la sé-
rappel aux bonnes pratiques, Et tandis que s’accroît l’exposition des ré- curité de manière globale dès le lancement
seaux aux menaces d’intrusion, les risques Reste à positionner sur le marché de la d’un projet, la sécurisation peut être mise en
il nous faut imaginer encourus s’étendent à l’ensemble des sécurité des systèmes critiques, des presta- œuvre sur des projets déjà existants et sur
de nouveaux modèles fonctions qui, de plus en plus, s’y concen- taires capables de mobiliser en leur sein des des points précis de la chaîne Secured by
trent. Très économique, la téléphonie sur IP équipes pluridisciplinaires de consultants, Thales.
de systèmes d’information mutualise les réseaux entre l’informatique et d’architectes systèmes et d’ingénieurs pour
les télécommunications, exposant ces deux proposer une approche à la fois technique Gérard PESCH
intrinsèquement sécurisés fonctions vitales au déni simultané des servi- et organisationnelle et fédérer le meilleur des Directeur Security Consulting & Evaluation
THALES ISS
ces vocaux et des services de données. quatre mondes, civil et militaire, public et
et forger de nouveaux privé.
Les nouveaux concepts de sécurisation des
concepts d’organisations systèmes d’informations devront donc s’éla- Thales a pris l’initiative dans ce domaine
résilientes. borer à deux niveaux, celui de la réduction en créant ISS, Information System Security
des risques et celui de la résilience face aux qui réunit l’ensemble des compétences du
chocs extrêmes. Groupe en matière de sécurité.
Il est clair que les nouveaux défis de la sécu- Dans cette organisation, Thales concentre
rité sont des défis de créativité. Ici comme toute l’expertise sécurité, à la fois sur le conseil
ailleurs l’innovation viendra des rapproche- (Connaissance des normes et standards,
ments, entre le civil et le militaire d’une part, audits, test de pénétration, ….), les technolo-
entre le public et le privé d’autre part. On gies (cryptage, télécommunications sécurisées,
ne saurait trop encourager le partage des signature électronique, …) et les services.
70 71
Profil Technology
La perte de productivité liée à la consultation de sites
« Microsoft Sur nombre de ces sujets, nous sommes extra-professionnels (voyages, bourse, réseaux sociaux,
parmi ceux qui pensent qu’une régulation messageries instantanées, sites de recherche d’emploi,
“Le risque numérique vient aussi etc.) se voit peu en termes d’utilisation de la bande
a pris depuis est nécessaire. Mais parce que notre société
numérique évolue à très grande vitesse, il de l’intérieur “
passante, mais un grand nombre d’heures de travail
sont ainsi perdues chaque année. Ainsi, on estime que
72 73
Clusif
En raison de la diversité de ses membres et de La CNIL, un régulateur
la variété des sujets traités en réunions ou en
conférences, le CLUSIF est sollicité pour répondre
CNIL de la surveillance des salariés
à des consultations gouvernementales. Il participe par les employeurs
Véritable observatoire des pratiques et des ainsi à des travaux à caractère national ou inter- La CNIL, un conseil
risques liés à la sécurité de l’information, national. L’association est également interviewée Les dispositifs de contrôle des salariés liés
en amont pour
le CLUSIF, Club de la sécurité de l’information par des médias de la presse écrite, de la radio ou aux nouvelles technologies se multiplient :
français, agit pour sensibiliser tous les acteurs de la télévision pour fournir un décryptage des les entreprises innovantes vidéosurveillance, cybersurveillance, appli-
économiques et dans l’intérêt général des utilisa- événements lorsque les journalistes veulent com- cations biométriques, géolocalisation. Ces
teurs des systèmes d’information. prendre ou remettre en perspective un incident Afin de comprendre et d’accompagner le applications enregistrent de nombreuses in-
Ce Club professionnel est un lieu d’échanges où informatique qui défraie la chronique. développement technologique et pour qu’il formations à caractère personnel sur les sa-
secteurs public et privé, monde de l’Education respecte au mieux les principes de pro-
(2ème et 3ème cycles universitaires, Grandes L’action d’intérêt général s’est aussi renforcée ces lariés. La loi Informatique et Libertés fixe un
tection des données, la CNIL entretient de cadre à la collecte et au traitement de ces
Ecoles) et des fédérations professionnelles se ren- dernières années par la mise en place de portails :
cybervictime, mastères SSI, CLUSIR et CLUSI nombreux contacts avec les entreprises du données afin de les protéger, dans la me-
contrent et mettent en commun leurs réflexions.
Le CLUSIF intervient pour l’intérêt de tous dans notamment. Le portail cybervictime, réalisé en secteur privé qui conçoivent des nouvelles sure où leur divulgation ou leur mauvaise uti-
des contextes très ouverts incluant la sécurité des collaboration officielle avec les services d’Etat met technologies et les conseille. De nom- lisation est susceptible de porter atteinte aux
réseaux, la lutte antivirus, les plans de conti- à disposition un point de contact avec les services breuses actions ont été menées en 2008 : droits et libertés des personnes, ou à leur
nuité d’activité, la sécurité physique des centres de Gendarmerie et de Police pour les Internautes auditions en séance plénière d’industriels vie privée. Le respect, par les entreprises et
informatiques, la malveillance téléphonique, le ou les entreprises victimes d’une malveillance comme Orange, Auchan, Carrefour, Leroy-
informatique. Le portail SSI, plus récent, a pour les administrations, des règles de protection
management des risques, le droit, la défense de Merlin, HP et Métrobus ; visites d’entre-
l’information, la cybercriminalité... objet d’orienter les étudiants vers des mastè- des données est un facteur de transparence
prises, de centres de recherche ou de « et de confiance à l’égard des salariés. C’est
Le mode de production repose d’une part sur l’or- res universitaires pour des études spécialisées
en sécurité des systèmes d’information. Il sera showrooms » comme au CEA-Minatec de aussi un gage de sécurité juridique pour les
ganisation de conférences thématiques ouvertes
au public et d’autre part, la constitution de Grou- prochainement complété par une rubrique d’offres Grenoble, aux laboratoires de recherche employeurs qui sont responsables de ces
pes de Travail dont l’objectif est la rédaction d’un et demandes de stages étudiants. Enfin, les d’HP à Bristol ou à l’Echangeur à Paris, traitements informatiques et de la sécurité
document ou d’une prise de position publique. portails CLUSIR (huit régions) et CLUSI (cinq pays) ont été organisées avec des membres de des données qu’ils contiennent. Ils peuvent
De nombreux travaux sont issus réalisés, tous informent d’activités en région ou à l’étranger par la Commission. Au quotidien, le lancement ainsi voir leur responsabilité, notamment
gratuits et disponibles en téléchargement des associations consœurs : prise de contact, de nouvelles offres est l’occasion pour
documentations produites et l’annonce pénale, engagée en cas de non-respect des
et certains traduits en anglais : panoramas de la des sociétés comme Microsoft, Google,
cybercriminalité, études sur les menaces infor- d’événements locaux. dispositions de la loi. C’est pourquoi la CNIL
Hitachi ou des compagnies d’assurance est chargée de veiller au respect de ces
matiques et les pratiques de sécurité en France,
www.clusif.asso.fr de venir présenter leurs produits à la CNIL. principes et souhaite informer les salariés
synthèses, ouvrages de référence.
Lors de ces réunions, la CNIL est amenée des droits dont ils disposent, ainsi que les
Le CLUSIF est aussi l’auteur de la méthode à recommander des mesures techniques employeurs, en les conseillant sur les me-
d’analyse de risques MEHARI™ qui permet de permettant une meilleure protection des sures à adopter pour se conformer à la loi.
concilier les objectifs stratégiques des directions données personnelles, dès la conception Un guide a pour vocation de leur donner les
générales et les nouveaux modes de fonction- du système. Ces échanges permettent ainsi clés pour bien utiliser ces outils et les fichiers
nement de l’entreprise avec un management à la CNIL d’anticiper au mieux l’avènement
des risques incluant l’analyse des vulnérabilités. mis en œuvre en matière de gestion des
des nouvelles technologies et de jouer un ressources humaines. C’est aussi le but du
C’est un excellent outil de contrôle et de gestion,
rôle essentiel en accompagnant ces entre- « correspondant informatique et libertés »,
à court, moyen ou long terme de la sécurité de
l’Information de toute structure. La flexibilité de prises afin que leurs innovations intègrent la interlocuteur privilégié de la CNIL dont la
MEHARI™ permet de qualifier le respect de protection des données. L’intérêt des entre- désignation permet, au-delà de l’exonéra-
normes telles que ISO 2700x, ou de lois, telle que prises est évident car elles gagnent ainsi la tion de déclaration, d’intégrer pleinement la
la Loi de Sécurité Financière. MEHARI™ constitue confiance de leurs utilisateurs. problématique de la protection des données
aussi un outil efficace pour traiter les risques
personnelles et de se prémunir contre de
opérationnels liés au traitement de l’information,
tels que ceux décrits par la réglementation Bâle nombreux risques vis-à-vis de l’application
II pour les professions bancaires. MEHARI™ est de la loi.
totalement gratuit, à télécharger sur le site web de
l’association.
74 75
L’Institut National des Hautes délinquance, enquêtes de victimation, lutte contre
la délinquance, aide à la décision des services de la LEGALEDHEC pliance réglementaire, et l’économie numé-
rique. Le choix de ces champs est certes lié
études de sécurité - INHES police et de la gendarmerie nationales, sécurité civile aux expertises des membres du Pôle mais,
et suivi des questions économiques. LegalEdhec est le Centre de Recherche de de manière plus objective, ils correspondent
l’EDHEC dédié à la performance juridique. également aux domaines de risque les plus
L’INHES est un établissement public sous tutelle Au sein de l’Institut, le Département Sécurité et
L’objectif principal de LegalEdhec est de fréquemment cités par les entreprises. Notre
du ministère de l’Intérieur. Il a pris en 2004 la suc- intelligence économiques et Gestion de crise assure
notamment une veille au profit des pouvoirs publics réfléchir sur les modes de recours au droit par ambition est de réussir à faire reconnaître
cession de l’IHESI, créé en 1989, en restant fidèle
dans le domaine de la Sécurité et de l’Intelligence l’entreprise en vue de soutenir ou de créer des le caractère stratégique du recours au droit
à sa vocation : faire se rencontrer tous ceux qui
oeuvrent pour la sécurité et, ensemble, développer économiques et participe activement à la stratégie avantages concurrentiels. En d’autres termes, dans l’entreprise, à élaborer des critères de
une culture commune pour mieux faire face aux nationale d’intelligence et de sécurité économique cela revient à déterminer la place que le droit mesure de la performance juridique, et, le cas
menaces et aux risques. Lieu de formation de haut pour la partie de cette politique publique mise en devrait occuper dans la stratégie d’entreprise. échéant, de proposer des évolutions législati-
niveau dans un cadre moderne et convivial, lieu œuvre par le ministère de l’Intérieur. C’est à ce L’une des idées-clef est que les entreprises ves ou réglementaires lorsqu’il apparaît que la
de libres débats, l’INHES organise la réflexion au titre que le département suit tout particulièrement doivent raisonner en terme de gestion juridique performance juridique passe actuellement par
service de l’action, avec la conviction que la sécurité les questions liées à la cybercriminalité. Il soutient
des risques, tout autant qu’en terme de ges- la transgression de la loi.
est la première des libertés.. également les actions interministérielles de sensibili-
sation et de formation, diffuse une lettre électronique tion des risques juridiques. A cet effet, divers Les travaux de LegalEdhec donnent lieu à
Au cœur de son activité se trouve la session natio-
mensuelle d’information, coordonne des activités de travaux sont menés par les membres de Lega- de nombreuses publications et participations
nale qui forme chaque année une centaine d’audi-
teurs de l’Institut, hauts responsables du secteur recherche à travers un groupe de travail spécialisé et lEdhec, certains en partenariat avec des insti- à des conférences, tant au niveau national
public comme du secteur privé. Ils rejoignent ensuite produit une expertise dans le domaine de la sécurité tutions extérieures. Ainsi, un ambitieux projet qu’international.
le réseau d’auditeurs qui assure une veille perma- économique. est actuellement développé avec l’Association
nente sur l’évolution des questions de sécurité. Française des Juristes d’Entreprise (AFJE), sur Pour plus d’informations :
L’INHES offre, par ses travaux et ses publications, www.inhes.interieur.gouv.fr le thème de la culture juridique d’entreprise. http://www.performancejuridique.com
une expertise aux pouvoirs publics et notamment LegalEdhec s’applique également à observer
au Ministère de l’Intérieur. Il a vocation à couvrir la performance juridique dans des domaines
tout le champ de la sécurité : statistiques de la
particuliers qui sont le droit de la concurrence,
le droit de la propriété intellectuelle, la com-
Osia
CNRS de 1967 à 1990, et entre temps, professeur à (pré-diagnostic SSI),
la US Naval Postgraduate School, puis PDG de la so- • Protection du savoir-faire (pré-diagnostic pro-
ciété OSIA dès 1991. Il est régulièrement conférencier priété industrielle et accompagnement à la mise
en Europe et en Amérique du Nord, et enseigne en
en œuvre des outils de propriété industrielle),
La société OSIA est une société spécialisée en 3ème cycle aux universités de Compiègne (UTC-IMI)
sécurité des SI, depuis sa création en 1991 à
• Suivi des évolutions et sécurisation
et de Strasbourg (IECS/IAE), et au CESSSI (SCSSI/
Strasbourg. Elle intervient dans l’analyse et l’audit DCSSI) de 1992 à 1994. Enfin, il est l’auteur de plus des projets (prestations de veille)
de la sécurité, pour des expertises technologiques, de 200 publications et de deux livres : «Sécurité et • Prospective et développement de
et la conception de politiques de sécurité et de qualité des SI» (Masson, 1991), «Catastrophe et L’ARIST Nord Pas de Calais, service de la l’entreprise (méthode Casciopée)
plans de continuité de divers secteurs stratégiques : management» (Masson, 1995), «Le courrier électro- Chambre Régionale de Commerce et d’In- • Recherche de partenaires (dans le cadre du
télécommunications, finances, aéronautique, énergie, nique et l’archivage légal» (IBM). Il est aussi coauteur dustrie (CRCI), accompagne les entreprises Réseau Entreprise Europe notamment)
recherche, santé, etc., et enfin en matière d’intelli- de deux autres livres : «Les SI - Art et pratiques» - en matière d’intelligence économique, en
gence économique. Sécurité et cybercriminalité (Eyrolles, 2002) et «Les
tableaux de bord pour diriger en contexte incertain»
leur proposant différents modes d’interven- L’activité de l’ARIST s’inscrit dans le cadre du ré-
Elle est dirigée depuis 1991 par Daniel Guinier, Dr. ès - La sécurité des tableaux de bord (Eyrolles, 2004), et tion selon leur besoin : seau des Chambres de Commerce et d’Industrie,
Sciences, consultant principal, certifié CISSP, ISSMP, de «l’encyclopédie de l’informatique et des systèmes certaines actions étant menées avec le soutien de
ISSAP en sécurité des SI et MBCI en gestion de d’information» - La politique de sécurité (Vuibert, l’Etat, de la Région et de l’Europe.
continuité, membre senior IEEE et ACM, et du New 2006).
York Academy of Sciences. Il est expert OSEO/AN-
VAR depuis 1989, et expert judiciaire depuis 1991, Contact : aristnpdc@aristnpdc.org
Contact :
avec de nombreuses expertises traitant pour la lutte Mèl guinier@acm.org ;
Tel. 03 20 63 68 00
contre la cybercriminalité. Il est lieutenent-colonel de Tél. 03 88 76 12 81.
réserve citoyenne de la Gendarmerie Nationale.
Il a contribué à plusieurs normes internationales en
sécurité : IEEE, NIST, et de façon significative à la
protection du patrimoine informationnel, la biométrie,
la signature et l’identité électroniques, l’inforensique OSIA Le Service de coordination international et se protéger contre toute intrusion
extérieure non sollicitée. Une action est en cours sur
et l’archivage légal. Il a été ingénieur de recherche, au
à l’intelligence économique la sécurisation de leurs plateformes électroniques
d’échanges.
82 83
PANTONE 1795 C C0 R 209
M 94 V 36
J 100 B 33
N0
C 100
M 72 R0
J0 V 28
PANTONE 281 C N 38 B 77