NXO 5v7ds7NU PDF

Shadow IT :
quand la DSI
perd le contrôle...
est offert
in e vou s
Ce magaz S EC UR ITY
par N XO
POLITIQUE NATIONALE
Anne Souvira, Chargée de mission aux
questions relatives à la cybercriminalité au
sein du cabinet du Préfet de Police de Paris
N°45 - Prix : 24 € TTC - Trimestriel : octobre, novembre, décembre 2018
ÉDITORIAL
DE MARC JACOB
REVUE TRIMESTRIELLE
Shadow IT :
N°45 – octobre, novembre, décembre 2018
www.globalsecuritymag.fr et
www.globalsecuritymag.com
ISSN : 1959 - 7061
Dépôt légal : à parution
vers un nouveau
Editée par SIMP
RCS Nanterre 339 849 648
17, avenue Marcelin Berthelot
92320 Châtillon
Tél. : +33 1 40 92 05 55
« Titanic » de l’IT ? e-mail : marc.jacob@globalsecuritymag.com
On a donné un nom à cette nouvelle REDACTION

Directeur de la Publication :
« organisation » anarchique de l’IT : le « Shadow Marc Brami
IT », c’est-à-dire une sorte d’IT fantomatique, Rédacteur en chef :
Marc Jacob
mais qui est pour sa part bien réel. Je dirais plutôt Rédactrice :
Dans les entreprises, une organisation de l’IT un « fog » inquiétant dans lequel naviguerait, Emmanuelle Lamandé
pilote le déploiement des applications, leur sans aucune visibilité et au milieu des icebergs, Mise en page :
S.I.M. Publicité
sécurité et plus récemment avec les CIL, puis les un bateau ivre avec un double pilotage, celui bien Ont collaboré à ce numéro :
DPO, l’utilisation des données. Cette distribution établi de la DSI et celui plus sournois drivé par les Olivier Iteanu, Bénédicte Pilliet,
Briag Monnier, Michel Gérard,
des rôles, sans être remise en question, a été usages des utilisateurs. Ludovic Gay, Julia Juvigny-Nalpas
maintes fois chahutée par les utilisateurs, tout Traduction : Ian Nathan
Assistante : Sylvie Levy
d’abord avec le BYOD et l’apparition des jeunes Face à ce phénomène, que peuvent faire les DSI, Responsable technique :
de la génération Y, qui préfèrent se servir de leurs RSSI et DPO, tous trois alliés dans cette même Raquel Ouakil
propres outils de mobilité, et aujourd’hui avec la galère ? Peut-être prier pour qu’il n’y ait pas Photos :
Norbert Martiano, Marc Jacob
démocratisation du Cloud. Ainsi, l’IT ressemble de d’immanquables incidents de sécurité ? Prendre Comité scientifique :
plus en plus actuellement à une Gorgone, dont des sanctions contre les contrevenants à la Pierre Bagot, Francis Bruckmann
Eric Doyen, Catherine Gabay,
chaque tête de serpent serait une application politique de sécurité ? Interdire les accès aux François Guillot, Olivier Iteanu,
dans le Cloud utilisée en toute discrétion et applications et services Cloud ? Mais ces Dominique Jouniot, Patrick
illégalité (par rapport à la politique de sécurité) dispositions sont-elles vraiment réalistes et ne Langrand, Yves Maquet, Thierry
Ramard, Hervé Schauer, Michel Van
par des services de l’entreprise en mal de seraient-elles pas contre-productives ? Mieux vaut Den Berghe, Bruno Kerouanton,
déploiement rapide. Ainsi, si on avait jusqu’à certainement encadrer ce phénomène, tout en Loïc Guézo et Valentin Jangwa
In Memoriam, notre regretté
présent un pilotage pyramidale de l’IT, on se sensibilisant régulièrement les utilisateurs aux Zbigniew Kostur
retrouve de plus en plus face à une joyeuse dangers de tels usages.
anarchie où chacun fait ce qui lui plaît, sans avoir Dans tous les cas, des mesures doivent PUBLICITE
conscience des dangers qu’il fait courir à son rapidement être prises pour éviter que l’IT ne SIM Publicité
entreprise ! devienne un nouveau Titanic. Tél. : +33 1 40 92 05 55
e-mail : ipsimp@free.fr
Images de couverture :
Nous dédions ce numéro à la mémoire de Jean-Marc Laloy, Secrétaire général de l’ARCSI ©posteriori
et membre de notre Comité de programme des GS Days.

IMPRESSION
Imprimerie Moutot
LISTE DES ANNONCEURS 33-37, rue Hyppolyte Mulin
92120 Montrouge
6cure 25 H2S 26, 32 et 3ème de couverture
Access Security 46 I-Tracing 53 Tél. 01 46 57 79 79
AlgoSecure 41 IDnomic 12 Contact : Sébastien Bellut
Allentis 68 IT Meeting 48 e-mail : sebastien@imprimeriemoutot.fr
Bachmann 59 ITrust 15 Imprimé avec des encres végétales
Data Center & Cloud Forum et DPO 36 Module-IT 27 sur papier éco-responsable certifié
Conscio 9 OPSWAT 23bis
Cyberwatch 19 Oveliane 33
PEFC par un imprimeur adhérent à
Decision DSI 6 Phosforea 39 Imprim’vert selon le procédé CTP
EBRC encart libre SailPoint 30 sans chimie.
Efirack 62 Sekoia 43
Ercom 2ème de couverture Stéphya 57
FIC 52 Sophos 4 de couverture
ème
France Cybersecurity 38 The Greenbow 34

ABONNEMENT
GS Days 8 et 50 Usercube 4 Prix au numéro :
GS Mag Data Center 2 Watt Design 61 24 € TTC (TVA 20%)
Abonnement annuel :
Toute reproduction intégrale ou partielle, faite sans le consentement de l’auteur ou des ayants droit ou ayant cause est 60 € TTC (TVA 20%)
illicite. Il en est de même pour la traduction, l'adaptation ou la transformation, l'arrangement ou la reproduction par un
art ou un procédé quelconque. (article L122-4 du code de la propriété intellectuelle).
Cette publication peut être exploitée dans le cadre de la formation permanente. Toute utilisation à des fins commerciales
du contenu éditorial fera l’objet d’une demande préalable auprès du Directeur de la publication.
1
GSMAG-45-OK_Mise en page 1 13/12/18 16:22 Page2
DE LA THÉORIE À LA PRATIQUE
DATA CENTER
©Gorodenkoff
Espace Saint-Martin - Paris
Le 25 septembre 2019 Tarif d’inscription au colloque :
Journée complète inclus les pauses
café, le repas du midi et le cocktail de
clôture : 70€ HT (TVA 20%)
R A N S I T I ON Déclaration d’activité enregistrée

LA T I Q U E sous le numéro 11 92 17185 92
ÉNER G É T auprès du préfet de région Ile-de-France
C Œ U R D E Pour plus d’informations :

AU I O N www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/
L’É V O L U T
T A C E N TER Attention, le nombre de places est limité.
Le planning de la journée sera publié
DU DA prochainement sur le site :

www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/
Contact : Marc Jacob Brami - Tél. : 01 40 92 05 55

marc.jacob@globalsecuritymag.com
COLLOQUE
De la théorie à la pratique
en partenariat avec : FRANCE DATACENTER – EUDCA – AN2V – Forum ATENA - CLUSIF
EDITORIAL
BY MARC JACOB
Shadow IT:
launching an "IT-Titanic"?
In enterprises an IT organisation implements the deployment of nonetheless very real. It seems to me that the Gorgon is
applications, their security and more recently with ‘CILs’ (Chief embarked on a lost ship in a "fog”, with no visibility and in a
Privacy Officers) and now DPOs, the use of data. This allocation sea of icebergs, navigating with two captains, the accredited CIO
of roles has been standard practice, but has been increasingly and the unappointed amorphous pilot characterised by user
tested by users, first with BYOD and the emergence of Generation practices.
Y, who prefer to use their own mobile equipment, and now with
the widespread adoption of the Cloud. IT systems are looking What can the three allies in this galley, the CIO, CISO and DPO,
more and more like a Gorgon, with each snake-head as an do to face this challenge? Perhaps pray that there will not be
application in the Cloud, confidentially and illegally used (in any unavoidable security incidents? Sanction any security policy
relation to security policy) with corporate services lagging behind transgressors? Ban access to Cloud applications and services?
usages. Where there used to be top-down IT implementation we In any case would these provisions really be applicable and might
now seem to have a free-for-all where everyone does what they they even be counterproductive? Perhaps it would be best to
like, blithely oblivious to the risks they pose to their organisation! manage the phenomenon, while keeping users up to date on the
dangers of such practices.
A name has been given to this new, anarchic IT "organisation": Whatever, to avoid IT turning into a new "IT-Titanic", issues must
"Shadow IT", that is to say, a kind of spectral IT, which is be addressed as quickly as possible.
3
GOUVERNANCE et
ADMINISTRATION
des IDENTITÉS
ION
SOLUT LLE Cycle de vie des Identités
UVE
DE NO TION Gestion des règles et des rôles
A
GÉNÉR Role Modeling / Role Mining
N PR EMISE Workflow d’administration (demande et validation)
O
RE
& AZU Recertification des accès
Contrôles de sécurité automatisés
Audit, traçabilité et reporting
Provisioning automatique et ouverture de tickets
Self-service de mot de passe
www.usercube.com | contact@usercube.com | 09 72 31 03 15
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
SOMMAIRE
01 Édito : Shadow IT : vers un nouveau « Titanic » de l’IT ?

03 Editorial : Shadow IT: launching an "IT-Titanic"?
THÉMA
09 Agenda
10 POLITIQUE NATIONALE
10 POLITIQUE NATIONALE
• Le dépôt de plainte a une importance capitale dans la lutte

contre la cybercriminalité et le terrorisme
Interview d’Anne Souvira, Chargée de mission aux questions relatives
18 à la cybercriminalité au sein du cabinet du Préfet de Police de Paris

• Cybersécurité des systèmes industriels et urbains : le cheval
de bataille de la Métropole de Lyon
Interview de David Kimelfeld, Président de la Métropole de Lyon
SHADOW IT
16 CHRONIQUE JURIDIQUE
• Le RGPD n’aime pas le Shadow IT
16 CHRONIQUE
JURIDIQUE
Par Olivier Iteanu, Avocat, Chargé d’enseignement

à l’Université de Paris I Sorbonne
18 THÉMA - SHADOW IT
• Shadow IT : quand la DSI perd le contrôle…
Interview d’Alain Bouillé, Président du CESIN
18
• Shadow IT : que faire quand l’anarchie s’invite en entreprise ?
Par Marc Jacob et Emmanuelle Lamandé
THÉMA
28 MALWARES BUSTERS
• 2018 : les cryptomineurs détrônent les ransomwares
• 2019 : notre société elle-même devient vulnérable
42 CHRONIQUE TECHNIQUE
• Compromission du protocole BLE : une porte d’entrée au
piratage d’objets connectés
Par Julia Juvigny-Nalpas, Responsable Études & Veilles
pour le CERT digital.security
28 MALWARES BUSTERS
44 NORME
• Cybersécurité et véhicule connecté : émergence de la norme
ISO-SAE 21434
Par Briag Monnier, Responsable Pôle CyberSécurité Automotive
chez SCASSI
54 SENSIBILISATION
42 CHRONIQUE TECHNIQUE
• Le grand quizz de sensibilisation - Hiver 2018

Par Michel Gérard, PDG de Conscio Technologies
56 DATA CENTER
• Énergie solaire : un potentiel immense pour les DC en Afrique
Interview d’Antoine Boniface, CEO d’Etix Everywhere
• OpenDCIM : les bonnes raisons pour l’adopter !
Par Ludovic Gay, Directeur Général Adjoint de Stephya
Retrouvez notre fil

uri té et le
d'informations
stockage sur :
56 DATA CENTER
sur la séc
ww w.g lob alsecu ritymag.fr
lob alsecu rity mag.com
www.g
5
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
CONTENTS
THEMA
01 Édito : Shadow IT : vers un nouveau « Titanic » de l’IT ?
03 Editorial : Shadow IT: launching an "IT-Titanic"?
09 Diary
10 NATIONAL POLICY
10 NATIONAL POLICY
• In the fight against cybercrime and terrorism prompt incident
18 reporting can be of vital importance

Interview with Anne Souvira, Officer of the cabinet of the Paris Prefect
of Police, responsible for cybercrime issues
SHADOW IT • Industrial and urban systems cybersecurity: a high-priority

issue for Metropolitan Lyon
Interview with David Kimelfeld, President Metropolitan Lyon 16 LEGAL BRIEFING
16 LEGAL BRIEFING
• Shadow IT is no friend of GDPR
By Olivier Iteanu, Avocat, Lecturer at the University
of Paris I Sorbonne
18 THEMA - SHADOW IT
18
• Shadow IT: when the CIO loses control ...
Interview with Alain Bouillé, President of CESIN
• Shadow IT: how to manage the new disorder of enterprise THEMA
systems?
By Marc Jacob and Emmanuelle Lamandé
28 MALWARES BUSTERS
• 2018: crypto-miners topple ransomware
• 2019: society itself is becoming vulnerable
42 TECHNICAL REVIEW
• BLE protocol vulnerabilities: a gateway to hacking connected
28 MALWARES BUSTERS
objects
By Julia Juvigny-Nalpas, Research & Monitoring Manager for
CERT digital.security
44 STANDARD
• Cybersecurity and Connected Vehicles: launching ISO-SAE 21434
By Briag Monnier, Head of Automotive Cybersecurity at SCASSI
54 RAISING SECURITY AWARENESS

42 TECHNICAL REVIEW
• Security awareness quizz

By Michel Gérard, PDG of Conscio Technologies
56 DATA CENTER
• Solar energy: huge potential for DCs in Africa
Interview with Antoine Boniface, CEO of Etix Everywhere
• Open DCIM: some good reasons to adopt it!
By Ludovic Gay, Deputy Director General of Stephya
Keep up-to-date wit

h the latest
56 DATA CENTER
urity and storage at:

news on sec ag.fr
www.glob alsec uritym
ag.com
www.globalsecuritym
7
11
ÈME
JOURNÉES
FRANCOPHONES
DE LA SÉCURITÉ DE L’INFORMATION
ESPACE SAINT-MARTIN - 199 BIS, RUE SAINT-MARTIN - 75003 PARIS
APPEL À COMMUNICATION
« Convaincre sans contraindre »*, telle est la devise de cet événement dédié à la sécurité de
l’information. L’objectif des GS Days, Journées francophones de la sécurité, est d’établir le
dialogue entre le monde de la technique (administrateurs, experts sécurité), les RSSI, DSI et les
décideurs. Ce colloque, exclusivement en français, proposera, dans un même espace, plusieurs
cycles de conférences et de démonstrations d’exploitation de failles informatiques, sous un
angle technique, organisationnel et juridique.
La 11ème édition des GS Days, qui se tiendra Le format des conférences sera de 50 minutes,
le 2 AVRIL 2019 à l’Espace Saint-Martin - Paris dont 10 minutes de questions. Celui des démons-
3ème, s’articulera principalement autour du trations sera de 15 minutes.
thème : « Comment faire de l’humain le
maillon fort de la sécurité ? »
DATES IMPORTANTES :
L’humain est un élément essentiel pour la sécurité, • Date limite de soumission : 20 JANVIER 2019
économique comme numérique. Qu’il soit utilisa- • Uniquement par mail :
teur, manageur, développeur, administrateur, marc.jacob@globalsecuritymag.com
expert…, l’humain se trouve au cœur des dispositifs • Notiﬁcation aux auteurs : 5 février 2019
de sécurité mis en place en entreprises, et des • Présentation déﬁnitive : 15 mars 2019
bonnes pratiques à appliquer au quotidien. Toute- • Conférence : 2 avril 2019
fois, l’humain, de par ses comportements et ses
actions, peut aussi s’avérer un vecteur de menaces
pour son entreprise. Lors de cette édition des GS Retrouvez tous les détails de l’appel à
Days, l’accent sera à la fois mis sur les risques communication sur le site des GS Days :
inhérents au facteur humain, mais aussi l’importance www.gsdays.fr
de la sensibilisation et de l’acculturation à la
cybersécurité et à la sécurité économique. L’objectif
sera également de mieux comprendre le compor-
tement humain et de déterminer comment en faire
un levier pour améliorer le niveau de sécurité
globale en entreprise, comme ailleurs. Mardi
2 Avril
2019
Paris
* citation de Jean-Marc Laloy, ARCSI
Renseignements : Marc Jacob Brami -

SIMP - 17 avenue Marcelin Berthelot - 92320 Châtillon
Tél. : +33 (0)1 40 92 05 55
marc.jacob@globalsecuritymag.com - www.gsdays.fr
© Lukiyanova Natalia frenta

CONTINU
IS À JOUR EN
AGENDA M YMAG.FR
AGENDA
UR IT
LOBALSEC
SUR WWW.G
NotePad
JANVIER 30 - 31 janvier - Porte de Versailles - Paris

Learning Technologies
28 février - Hauts-de-France
CRiP - Architectures & Infrastructures
www.learningtechnologiesfrance.com https://www.crip-asso.fr/beecrip/evenements/detail.
9 - 11 janvier - San Jose (USA) html/from_tile/1
Real World Crypto
https://rwc.iacr.org FEVRIER 28 février - 1er mars - Bangalore (Inde)
tcworld Conference
10 janvier - Porte de Versailles - Paris 4 - 7 février - Las Vegas (USA) http://tcworld-india.com
Forum des Télécommunications CPX 360
www.forumdestelecommunications.fr www.checkpoint.com/cpx/americas
10 janvier - Paris MARS
CLUSIF : Panorama de la cybercriminalité 2018 5 - 6 février - Munich (Allemagne)
www.clusif.fr Cyber Security for Critical Manufacturing Summit 4 - 6 mars - Santa Clara (USA)
www.manusecevent.com/europe Container World
15 janvier - Paris www.containerevent.com
IT Innovation forum 6 - 8 février - Deauville
https://www.crip-asso.fr/beecrip/conferences/detail/ Rencontres AMRAE 4 - 8 mars - San Francisco (USA)
25647-it-innovation-forum.html www.amrae.fr/rencontres-amrae-edition-2019deauville RSA Conference
www.rsaconference.com
15 janvier - Paris 7 février - Lyon
Security Tuesday - ISSA France SCADAYS
www.securitytuesday.com www.cybercercle.com
16 janvier - Paris 12 février - Paris

Université AFCDP des DPO Diner du Cercle de la sécurité
www.afcdp.net www.lecercle.biz
17 janvier - Paris 12 - 13 février - Londres (UK)
CRiP - Automatisation & Orchestration TEISS
https://www.crip-asso.fr/beecrip/evenements/detail. http://teiss.eu
html/from_tile/1
12 - 14 février - Moscou (Russie)
17 janvier - Paris TB Forum
CyberCercle http://eng.tbforum.ru
www.cybercercle.com
13 février - Auvergne-Rhône Alpes
20 - 22 janvier - Dubaï (EAU) CRiP - Architectures & Infrastructures
Intersec https://www.crip-asso.fr/beecrip/evenements/
www.intersecexpo.com detail.html/from_tile/1
21 janvier - Lille 13 février - Paris
CoRI&IN L’invité du CLUSIF
www.cecyf.fr www.clusif.fr
21 - 24 janvier - Bangkok (Thaïlande) 13 - 14 février - Londres (UK)
CPX 360 Learning Technologies
www.checkpoint.com/cpx/asia www.learningtechnologies.co.uk
22 - 23 janvier - Lille 18 - 21 février - San Francisco (USA)
FIC MAAWG
www.forum-fic.com www.m3aawg.org
23 janvier - Francfort (Allemagne) 18 - 21 février - Vienne (Autriche)
e-Crime & Cybersecurity Germany CPX 360
www.e-crimecongress.org/event www.checkpoint.com/cpx/europe
23 - 25 janvier - Osaka (Japon) 19 février - Paris
Japan IT Week Security Tuesday - ISSA France
www.japan-it-osaka.jp/en-gb.html www.securitytuesday.com
24 janvier - Toulouse 20 - 21 février - Deauville
CRiP - Architectures & Infrastructures Securi’Days
https://www.crip-asso.fr/beecrip/evenements/detail. www.securi-days.fr
html/from_tile/1
21 février - Paris
24 janvier - Londres (UK) CyberCercle
PCI London www.cybercercle.com 5 - 6 mars - Londres (UK)
Securing The Law Firm Security & Counter Terror Expo
www.pci-portal.com/events 21 février - Paris Forensics Europe Expo
CRIP - Sécurité opérationnelle www.counterterrorexpo.com
24 janvier - Namur (Belgique) https://www.crip-asso.fr/beecrip/evenements/detail.
Digital Transformation for managers (DT4M) html/from_tile/1 5 - 6 mars - Londres (UK)
https://digitaltransformation-4m.com e-Crime & Cybersecurity Congress
23 - 25 février - Prague (République tchèque) www.e-crimecongress.org/event
28 - 30 janvier - Tel Aviv (Israël) ICISSP
Cybertech http://icissp.org 5 - 8 mars - Tokyo (Japon)
www.cybertechisrael.com Security Show
25 - 28 février - Barcelone (Espagne) www.shopbiz.jp/en/ss
29 janvier - Bourges Mobile World Congress
RCyberCentreValdeLoire www.mobileworldcongress.com 6 mars - Nantes
www.cybercercle.com CRiP - Architectures & Infrastructures
26 - 28 février - Bangkok (Thaïlande) https://www.crip-asso.fr/beecrip/evenements/detail.
29 janvier - Paris Cyber Intelligence Asia html/from_tile/1
La Nuit de l’AN2V www.intelligence-sec.com/events/cyber-intelligence-asia-
www.an2v.fr 2019 6 - 7 mars - Marseille
AccesSecurity
29 - 31 janvier - Londres (UK) 27 - 28 février - Fribourg (Suisse) http://accessecurity.fr
Cyber Defence & Network Security Swiss Cyber Security Days
https://cdans.iqpc.co.uk https://swisscybersecuritydays.ch
9
POLITIQUE NATIONALE
LE DÉPÔT DE PLAINTE A UNE IMPORTANCE

CAPITALE DANS LA LUTTE CONTRE
LA CYBERCRIMINALITÉ ET LE TERRORISME
Interview d’Anne Souvira, Chargée de mission aux questions relatives à la cybercriminalité
au sein du cabinet du Préfet de Police de Paris
Anne Souvira est Chargée de mission aux questions relatives à la

cybercriminalité au sein du cabinet du Préfet de Police de Paris. A ce
titre, ses tâches sont multiples, allant de la représentation de la
préfecture de Police dans les instances ministérielles et
interministérielles à un rôle de relais externe sur les questions liées
à la cybercriminalité. Dans le cadre de cette lutte, Anne Souvira
appelle les victimes à ne pas hésiter à déposer plainte ou à signaler
très rapidement des faits de cybercrime, même de simples anomalies,
car ces informations peuvent avoir une importance capitale.
GS Mag : En tant que Chargée de mission aux questions EN FRANCE, LES PRÉJUDICES LIÉS
relatives à la cybercriminalité au sein du cabinet du Préfet
de Police de Paris, quel est votre rôle ? À LA CYBERCRIMINALITÉ S’ÉLÈVENT
À 1,6 MILLIARD D’EUROS
Anne Souvira : Promouvoir l’organisation rationnelle de la lutte
contre la cybercriminalité et soutenir parallèlement l’organisation de GS Mag : Quel état faites-vous aujourd’hui de la menace, et
la cybersécurité par des actions de prévention conjointes, avec les plus particulièrement de la cybercriminalité, en France et
spécialistes de la sécurité des systèmes d’information (SSI) par au-delà ?
exemple.
Assurer la représentation de la préfecture de Police dans les instances, Anne Souvira : Le rapport sur la menace liée au numérique sorti
ministérielles et interministérielles, sur les sujets stratégiques pour le cette année fait état justement des remontées des services
MI, en assurant l’interface avec nos directions pour donner de la opérationnels. Les attaques dans un but lucratif, notamment par virus
cohérence aux actions, à l’information, dans un esprit de chiffreurs de données pour les organisations de tout type, se sont
rationalisation, notamment en raison des coûts du numérique tant accrues.
dans les investigations que dans le renseignement ou encore le La fraude d’escroquerie par les « autocommutateurs » téléphoniques
support technique ou SSI. a un peu décru grâce aux opérations notamment de la BEFTI de la
Etre le point d’entrée externe également sur les questions liées à la direction de la Police Judiciaire, qui a travaillé par des actions
cybercriminalité et qui sont nombreuses, tout en jouant un rôle de préventives depuis plusieurs années avec les partenaires installateurs,
relais. Cela offre une vision globale du sujet numérique dans une intégrateurs, fédérations et entreprises. Mais il faut rester vigilant, car
institution qui tient à sa modernité et à son savoir-faire, souvent pilote des systèmes d’information mal sécurisés mènent à des préjudices
et précurseur. Cela permet aussi de donner de la proximité aux importants pour les entreprises, notamment les TPE-PME.
interlocuteurs et d’incarner un sujet très transversal. Il s’agit de La cybercriminalité est bien entendu en augmentation en raison
participer à des tâches stratégiques comme la Revue de CyberDéfense, également du développement des usages et des objets connectés qui
la stratégie nationale du numérique et du ministère de l’Intérieur s’intègrent petit à petit dans les smart cities de demain. Les préjudices
déclinée au niveau de la PP ensuite. sont très élevés par entreprise ; on parle de 600 milliards de dollars
10
POLITIQUE NATIONALE
dans le monde et 1,6 milliard d’euros pour la France, et la tendance

est à un accroissement de ces préjudices selon tous les experts. La
nécessité de la prévention par la cybersécurité, c'est-à-dire de faire NATIONAL POLICY
connaître les risques et les bons comportements dès le plus jeune âge
et également dans la sphère professionnelle, reste un facteur de In the fight against cyb
ercrime and
limitation essentiel à côté des pare-feux et autres anti-virus. terrorism prompt incide
nt reporting
can be of vital importa
nce
Le développement des usages est synonyme d’une augmentation du
nombre de victimes potentielles. C’est pourquoi chacun doit se prendre Interview with Anne Souvira,
Officer of the cabinet of the
en charge et être acteur de sa cybersécurité, pour assurer celle des Paris Prefect of Police, respons
ible for cybercrime issues
autres et ainsi élever collectivement le niveau de cybersécurité du pays, By Marc Jacob and Emmanue
lle Lamandé
comme le répète le Directeur Général de l’ANSSI, Guillaume Poupard.
Il s’agit aussi, bien sûr, d’assurer une souveraineté, notamment Anne Souvira is Officer of the
cabinet of the Paris Prefect
économique, effective. Police, responsible for cyberc of
rime issues. As such her tas
Des sujets plus complexes, tels que la diffusion de contenus illicites, are multiple, ranging from the ks
representation of the Police
notamment pédopornographiques et terroristes, sont préoccupants. Prefecture in ministerial and
interdepartmental bodies, to
external role on issues related an
to cybercrime. In the contex
GS Mag : Quelles sont les actions de la préfecture de Police of this critical mission, Ann t
e Souvira urges victims not
en matière de lutte contre les cybermenaces ? hesitate to file a complaint or to
to promptly report cybercrim
incidents, even humdrum e
irregularities, because suc
Anne Souvira : Le sujet prégnant de la diffusion de contenus illicites, information can be of vital h
importance.
notamment pédopornographiques et terroristes, fait partie de la lutte
contre la cybercriminalité. Cela se fait en partenariat avec les
Opérateurs de l’Internet Internationaux. Des travaux juridiques sont
menés au sein du ministère de l’Intérieur et de la Justice, également
avec les associations. Parmi elles, l’« association point de contact »,
dont la préfecture de Police est membre consultatif, qualifie les
contenus illicites qu’on lui signale et les adresse à la plateforme de
LA PRÉVENTION COMMENCE PAR
signalement PHAROS [1] de l’OCLCTIC [2] de la DCPJ. Il s’agit de faire LA CONNAISSANCE DES PHÉNOMÈNES
progresser les retraits rapides de ces contenus illicites pour éviter leur CYBER ET LA SENSIBILISATION
dissémination rapide et ce dans un cadre européen. La commission
européenne vient d’ailleurs de publier un communiqué avant de GS Mag : Quid concernant la prévention et la répression ?
proposer une réglementation issue de travaux auxquels les spécialistes
de la PP participent. Anne Souvira : La prévention de la menace commence par la
connaissance des phénomènes cyber, la veille sur les réseaux et le
Dans le domaine des cryptovirus, la BEFTI [3] a un rôle important, aux partage de l’information par la sensibilisation des personnels et des
côtés du C3N [4] de la gendarmerie et de l’OCLCTIC de la DCPJ, en usagers pour lesquels un espace cybersécurité est dédié sur le site de
participant aux travaux sur les souches virales avec l’agence la préfecture de Police depuis 2015 pour approfondir ou s’orienter [5].
européenne de police « Europol » pour faire progresser les C’est un véritable espace de police de proximité. On y trouve toutes
investigations et identifier ces e-criminels qui s’attaquent à l’économie, les informations nécessaires aux particuliers, adultes et enfants, aux
en rackettant les entreprises et en induisant des coûts de remédiation entreprises, ainsi que les liens vers tous les sites d’informations, tels
de leurs systèmes d’information. que la CNIL, l’ANSSI, PHAROS [6], ou encore le site du GIP ACYMA [7]
Tout le continuum opérationnel de la PP entre dans cette mission de et son kit de formation. Des agents de la DSPAP sont également au
lutte contre la cybercriminalité. La DRPJ et sa section anti-terroriste contact des entreprises, écoles et autres organisations, pour leur
de la Brigade Criminelle, la Brigade des Fraudes aux moyens de apporter les renseignements et la sensibilisation qui les orientera en
paiements et ses cyber-patrouilleurs, la brigade de répression de la fonction de leurs questions. Le permis Internet est régulièrement
délinquance astucieuse, avec les escroqueries par Internet telles celles promu dans les Écoles et bientôt ce sera le cahier de vacances de
dites « aux diamants » ou encore la Brigade de protection des mineurs l’ISSA France, auquel la PP participe. Ce sont des actions concrètes
contre les cyberharceleurs et les pédopornographes, afin d’identifier permettant de donner de la visibilité à l’impérieuse nécessité de
les enfants victimes, ou encore les donneurs de rendez-vous aux transmettre une culture de vigilance cyber à tous dans la société pour
mineurs dans le monde physique pour s’en prendre à eux. Il n’y a pas que celle-ci garde la confiance dans l’économie numérique et la
que la cybercriminalité contre les systèmes d’information, les réseaux souveraineté numérique nécessaire à son développement serein.
et les données qu’ils recèlent et dont la BEFTI est le service spécialisé La prévention, c’est aussi beaucoup de formation de nos agents, avec
pour les affaires complexes. Les piratages et affaires cyber plus simples, des campagnes de sensibilisation pour faire prendre conscience de la
apologies du terrorisme, défigurations de sites, sont également traitées nécessaire action de chacun à la production de cybersécurité collective.
par la direction de la sécurité de proximité de l’agglomération Cet aspect de la SSI vient compléter, en les renforçant, les dispositifs
parisienne avec ses commissariats, et ses sûretés territoriales qui techniques de cybersécurité qui protègent autant que possible nos
acquièrent toujours plus de compétences dans un domaine où tout systèmes d’information, afin qu’ils restent disponibles.
devient cyber. La direction du renseignement prend sa part de veille En effet, les usagers ont besoin de se connecter au site de la PP pour
des réseaux bien entendu, de même que la direction opérationnelle des prises de rendez-vous, des formulaires, des renseignements, ou
du soutien technique et de la logistique notamment par ses travaux tout simplement y trouver des données ouvertes qu’ils pourront
de recherches et d’innovation pour apporter aux agents, entre autres réutiliser.
d’investigations, des matériels numériques innovants. Concernant la répression, les services précités sont formés à
l’investigation numérique, et le dispositif entre les investigateurs en
cybercriminalité (ICC) et les premiers intervenants se pyramide et se
11
POLITIQUE NATIONALE
rationalise à la préfecture de Police, comme dans les directions du des données ou à l’accès à la preuve numérique. Le cadre européen
ministère de l’Intérieur qui appliquent la stratégie définie au plan est fait à la fois de reconnaissance mutuelle et de souveraineté qu’il
national et ministériel, avec chacun ses spécificités métiers. faut utiliser dans un équilibre fragile, pour satisfaire les exigences de
La rationalisation est une nécessité pour obtenir mieux à moindre coût la sécurité publique, mais en même temps celles des libertés
et rester à l’état de l’Art que l’on doit aux usagers du service public, individuelles fondamentales. Les retraits de contenus terroristes et
en raison du principe même d’adaptabilité ou de mutabilité. Cette l’arrêt télé2Sverige de la CJUE sur la non conservation des données
nécessité est d’autant plus impérieuse que le numérique est généralisées et indifférenciées en sont des exemples particulièrement
particulièrement onéreux. prégnants.
GS Mag : Quels sont les principaux objectifs de la PP et GS Mag : Enfin, quel message souhaitez-vous faire passer à
quelle sera sa stratégie pour les mois à venir ? nos lecteurs ?
Anne Souvira : Recruter des talents en cette pénurie de RH qualifiée, Anne Souvira : Ne pas hésiter à déposer plainte (les fonctionnaires
participer à la réflexion sur la structuration de la filière cyber, comme se doivent et savent être discrets) ou à signaler très rapidement des
exposée dans la Revue de CyberDéfense, et poursuivre les efforts faits de cybercrime ou même de simples anomalies, car les
entrepris pour la cybersécurité des usagers, des agents et donc de la informations peuvent avoir une importance capitale (un contenu
PP : voilà des objectifs prioritaires. Il faut faire face à la montée en terroriste ou pédopornographique). Ce sont les victimes elles-mêmes
puissance de la cybercriminalité et rendre le service aux plaignants à qui, en signalant ou en portant plainte, permettent d’avoir une juste
la hauteur de leurs attentes. connaissance de la menace. Elles apportent ainsi leur pierre à la lutte
collective contre les assaillants, de la même façon que lorsqu’elles se
GS Mag : Quels sont les axes qui restent encore, selon vous, sensibilisent pour connaître les risques, elles participent à la sécurité
à développer ou à renforcer en matière de lutte contre la globale du pays. ■ ■ ■
cybercriminalité ?
Anne Souvira : La coopération internationale est l’objet de

nombreux règlements et directives européens relatifs à la conservation
[1] PHAROS : plate-forme d’harmonisation d’analyse de recoupements et d’orientation des signalements

[2] OCLCTIC-DCPJ : Office central de lutte contre les infractions liées aux technologies de l’information et de la communication de la direction
centrale de la police judiciaire
[3] BEFTI : Brigade d’enquêtes sur les fraudes aux technologies de l’information
[4] C3N : centre de lutte contre les criminalités numériques
[5] https://www.prefecturedepolice.interieur.gouv.fr/Cybersecurite
[6] www.internet-signalement.gouv.fr
[7] www.cybermalveillance.gouv.fr
Commissaire Divisionnaire
Chargé de mission aux questions liées à la cybercriminalité
au Cabinet du préfet de Police de Paris depuis mars 2015
■ Ancien Chef de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI) de La Direction Régionale de la Police
Judiciaire de Paris de la préfecture de Police entre décembre 2008 et fin février 2015.
■ Une carrière en police judiciaire depuis 1982 aux contentieux très variés, de la presse aux atteintes aux personnes en passant par le
médical, les escroqueries ou la lutte contre l’économie souterraine comme chef du Groupe d’Intervention du Val de Marne entre 2004
et 2008.
■ Maître Ès Sciences Economiques de l’Université Paris 1- Panthéon- Sorbonne
■ Chevalier de l'ordre national du Mérite en 2008
Publications :
• Revue Sécurité et Stratégie du CDSE décembre 2012 p.86 ; Cyber-sécurité et entreprise comment se protéger ? Avec Myriam Quéméner
• Revue de la Gendarmerie Nationale 4ème Trim 2013 p.73. La cybersécurité des acteurs privés et publics
• Lettre N°1 Défis de l’INHESJ 2013 p.14. Prise en compte de la cybersécurité dans les entreprises
• Revue Lamyline.lamy.fr RLDA 4844, N° 87 p.95 ; dossier cybercriminalité novembre 2013 ; La « Cybersécurité » des Entreprises
• Revue du GRASCO N° 8-2014. P.11 Du rapport Nora-Minc à la lutte contre la cybercriminalité »
• Revue risques. Cahier des Assurances 2016 N°101
• Revue Administration 2017 N° 253 p 72 La lutte contre les escroqueries aux faux-virements
13
POLITIQUE NATIONALE
CYBERSÉCURITÉ DES SYSTÈMES

INDUSTRIELS ET URBAINS : LE CHEVAL
DE BATAILLE DE LA MÉTROPOLE
DE LYON
Interview de David Kimelfeld, Président de la Métropole de Lyon
Par Bénédicte Pilliet, Présidente du CyberCercle,
Marc Jacob et Emmanuelle Lamandé
La cybersécurité représente aujourd'hui un enjeu haute-

ment stratégique pour l’ensemble des entreprises, mais
aussi des villes et des territoires. Les systèmes industriels
et urbains ne sont effectivement plus épargnés par les
cyberattaques, avec des conséquences pouvant parfois
s’avérer dramatiques (destruction d’appareils de pro-
duction, pollution de l’environnement, perte de vies humaines...). Face à ces nouveaux risques et enjeux,
la Métropole de Lyon a souhaité faire de ce sujet son cheval de bataille et ambitionne de devenir le
leader de la cybersécurité des systèmes industriels et urbains en France et en Europe.
Global Security Mag : Pourquoi la Métropole de Lyon s’est-elle à travers la création du cluster IU Cyber (Industrial & Urban Cybersecurity),
saisie des sujets de cybersécurité ? dont la Métropole est membre. Les journées Scadays organisées en février
2018 à Lyon ont été une étape clé pour promouvoir et valoriser les
David Kimelfeld : Enjeu hautement stratégique pour les entreprises, solutions de cybersécurité, mais aussi pour informer les opérateurs de
les personnes et les territoires, la sécurité représente plus de 26 300 systèmes industriels sur les risques métropolitains et les solutions
emplois sur la métropole de Lyon. Ce secteur s’est littéralement existantes.
transformé ces dernières années avec de nouvelles menaces appelant de Le territoire peut compter sur ses atouts pour en faire une force d’appui
nouvelles mesures. Il est donc de notre responsabilité de garantir la à la structuration et au développement de ce secteur. La Métropole de
protection nécessaire de nos entreprises, de nos systèmes urbains et, par Lyon est la seule en Europe à réunir l’ensemble des acteurs de la filière,
conséquent, de nos habitants. de la start-up au grand groupe, de l’offreur de solutions à l’intégrateur.
Il n’y a pas de développement économique sans protection de nos Nous disposons d’un riche écosystème avec des fabricants
entreprises. Les cyberattaques ont en effet des conséquences majeures d’équipements, notamment des entreprises de l’automatisme (Siemens,
sur les entreprises et au-delà sur notre économie. Les systèmes industriels Schneider, Alstom, Thalès), des éditeurs de solutions, des intégrateurs, des
et urbains sont confrontés à des risques nouveaux en lien avec la acteurs globaux de la cybersécurité ou encore des opérateurs de systèmes
numérisation des technologies, allant parfois jusqu’à la destruction de industriels et urbains.
l’appareil de production, la pollution de l’environnement, voire la perte Des entreprises spécialisées sont également implantées (sécurité incendie,
de vies humaines. En France, le nombre de cyberattaques a progressé de surveillance, monétique et sécurité financière, etc.), ainsi que de grands
51% entre 2014 et 2015 et les budgets de sécurité des entreprises groupes industriels potentiellement consommateurs de solutions de
françaises ont augmenté en moyenne de 29%. cybersécurité. Je pense ici aux grandes entreprises de l’énergie (EDF,
Toutes les entreprises du territoire, mais aussi plusieurs services de la Framatome…), de la biosanté (Sanofi, Boehringer Ingelheim,
Métropole sont concernés par la cybersécurité : eau, voirie, gestion des BioMérieux…) et aux entreprises de la Vallée de la Chimie, mais aussi
déchets, réseaux de chaleur... des transports et de la mobilité.
La présence d’organismes publics nationaux et internationaux, tels
LE CLUSTER IU CYBER FÉDÈRE qu’Interpol, le Centre de sécurité sanitaire mondial de l’OMS, l’École
LES ACTEURS DE LA FILIÈRE nationale supérieure de la police à Saint-Cyr, ou encore le laboratoire de
la police scientifique…, est également un atout.
GS Mag : Quelles sont les actions menées par la Métropole de On peut aussi citer les nombreuses formations universitaires (master
Lyon sur cette thématique ? sécurité intérieure de l'Université Lyon 3, master spécialisé sécurité
informatique de l’INSA, etc.) et les centres de recherche qui viennent
David Kimelfeld : Nous travaillons aujourd’hui pour fédérer cette filière enrichir notre écosystème.
14
POLITIQUE NATIONALE
Forte de la présence de ces acteurs et des capacités technologiques sur

le territoire, la Métropole veut accompagner les expérimentations et
démonstrations en cybersécurité pour favoriser par l’exemple l’intégration
des nouvelles solutions. Il nous faut devenir un centre de ressources de NATIONAL POLICY
référence de la cybersécurité.
Industrial and urban sys
tems cybersecurity: a
DÉVELOPPER DES SOLUTIONS high-priority issue for
Metropolitan Lyon
POUR L’INDUSTRIE DU FUTUR Interview with David Kimelfe
ld, President Metropolitan Lyo
ET LA VILLE DE DEMAIN By Bénédicte Pilliet, President n
CyberCercle,
Marc Jacob and Emmanuelle
GS Mag : Quels sont vos projets ? Lamandé
Cybersecurity is not only a
crucial strategic issue for
David Kimelfeld : Le marché de la sécurité se développe. En France, il businesses, it is also critical all
for cities and regions. Indust
devrait croître de plus de 5% par an d'ici à 2020, et la cybersécurité en and urban systems now fac rial
e a real threat of cyber atta
est le principal moteur (+10,6%/an). Notre ambition est de positionner with potentially disastrous cks,
consequences (destruction
Lyon comme le leader de la cybersécurité des systèmes industriels et production equipment, env of
ironmental pollution, loss
urbains en France et en Europe. Par son importance sur le territoire, la life ...). To address these of
new risks and challenges
cybersécurité doit nous permettre de conforter notre socle industriel, mais Metropolitan Lyon has give ,
n this issue high-priority sta
aussi de développer des solutions pour l’industrie du futur et la ville de with the objective of becom tus
ing the leader for industrial
demain. Le collectif IU Cyber, dont nous sommes partie-prenante, s’est urban systems cybersecurity and
in France and Europe.
fixé plusieurs priorités : informer sur les menaces et les solutions déjà
existantes, favoriser la protection des actifs industriels et immatériels,
monter le niveau de compétences de l’ensemble des acteurs et
développer l’offre de formation, échanger et partager des informations,
des bonnes pratiques et des retours d’expériences, etc. Enfin, il s’agit de
proposer des outils mutualisés, notamment une plateforme pour tester
et valider des solutions de cybersécurité des systèmes industriels, tels que d’Innovation de Grande Ambition » (TIGA), dans le cadre du PIA 3
des tests d’architectures ou d’intégration de solutions. (programme d’investissements d’avenir), comprend un volet cybersécurité
La construction en cours de notre réponse à l’Appel à projet « Territoire qui vise à élaborer cette proposition. ■ ■ ■
15
© Falko Matte
CHRONIQUE JURIDIQUE
LE RGPD N’AIME
PAS LE SHADOW IT
Par Olivier Iteanu, Avocat à la Cour, Chargé d’enseignement à l’Université de Paris I Sorbonne
A l’heure du numérique à tout va, et notamment du Cloud Computing,

le Shadow IT est une réalité dans toutes les organisations, quelle que
soit leur taille. On définit habituellement ce phénomène comme une
pratique consistant à mettre en œuvre, au sein d'organisations, des
systèmes d’information « sans approbation de la DSI ».
On a beaucoup écrit sur le Shadow IT, ses avantages en termes précédent, d’une organisation sanctionnée par les CNIL
de créativité et d’innovations au sein d’organisations parfois européennes. Certes, le montant est important, colossal même.
lourdement processées. On a aussi beaucoup mis l’accent sur le Mais cela masque les vrais effets du RGPD. La sanction
principal inconvénient du Shadow IT, à savoir les risques qu’il fait administrative existe, mais la CNIL, les années passées, a
courir à ces mêmes organisations. Le Règlement UE 2016/679 sur sanctionné entre 8 et 15 fois par an « seulement », et, s’agissant
la protection des données personnelles, dit RGPD, apporte de des amendes administratives, elle en a prononcé moins de dix par
nouveaux arguments aux détracteurs de la pratique. On remarque, an. Sans de nouveaux moyens accordés par l’État, la CNIL et ses
en effet, que plusieurs des mesures édictées par cette Loi quelques 220 collaborateurs, ne se placera pas dans ses actions
communautaire sont directement contredites par le Shadow IT. de contrôle et de sanctions, bien au-delà de ses statistiques ante
C’est particulièrement vrai pour ceux que le RGPD nomme « sous- RGPD.
traitants », en anglais processor, ceux qui sont au contact des
données personnelles de leurs donneurs d’ordre, les hébergeurs, Le RGPD doit plutôt être vu comme un changement de mentalité.
éditeurs de logiciels en mode Saas, mainteneurs notamment. On peut faire un parallèle avec le droit comptable et financier.
Toutes organisations, même les plus petites, sont contraintes
BIEN COMPRENDRE LES EFFETS d‘établir des comptes, de conserver des justificatifs comptables
réguliers, de respecter les règles du droit comptable, les principes
DU RGPD… comptables, de déposer leurs comptes annuels, de désigner un
commissaire aux comptes au-dessus de certains seuils, de
On ne peut comprendre pourquoi le RGPD n’aime pas le Shadow répondre aux contrôles de l’administration. Or, aucune entreprise,
IT, si on n’a pas avant tout une exacte appréciation des effets du même la plus petite d’entre elles, n’oserait remettre en cause ce
RGPD. système mis en place. Ce système comptable et financier a de
fortes similarités avec celui mis en place par le RGPD. Le RGPD
Or, pendant plus de deux ans entre la date d’entrée en vigueur et n’est ni plus ni moins que la mise en place d’un comptable de la
la date d’application du RGPD, on a mis l’accent sur les seules donnée personnelle. Les organisations sont comptables des
sanctions administratives nouvelles prévues par ce règlement. De données personnelles de leurs clients, des consommateurs, des
nombreux commentateurs ont bâti toute leur réflexion et leurs citoyens, des pères de familles, de leurs salariés, etc. Comme nous
arguments sur la sanction administrative maximale prévue par le allons le voir, le Shadow IT enfreint de plein fouet ce nouveau
texte, soit les 4% du chiffre d’affaires total mondial de l’exercice système.
16
CHRONIQUE JURIDIQUE
Logiquement et en conséquence de ce qui précède, le RGPD a

donné des moyens d’actions aux personnes physiques. D’abord,
elles peuvent agir individuellement devant un Tribunal à l’encontre
de celui à qui elles ont confié leurs données, et même à l’encontre LEGAL BRIEFING
de celui qui assure le traitement de leurs données pour le compte
du responsable de traitement. L’article 82 du RGPD énonce ainsi Shadow IT is no friend
of GDPR
un régime de responsabilité tout à fait révolutionnaire, qui va
probablement amener les Tribunaux, et non plus l’autorité By Olivier Iteanu, Avocat à la
Lecturer at the University of Cour,
administrative CNIL, à prononcer des sanctions douloureuses. Paris I Sorbonne
Ainsi, cet article dispose que « Lorsque plusieurs responsables du
In today's digital age, particu
traitement ou sous-traitants ou lorsque, à la fois, un responsable larly with Cloud Computing
all organisations, whatever ,
du traitement et un sous-traitant participent au même traitement their size, have to face up to
the fact of Shadow IT. This
et, lorsque (…) ils sont responsables d'un dommage causé par le state of affairs is commonly
defined as the practice of imp
traitement, chacun des responsables du traitement ou des sous- tems in organisations "witho
lementing information sys-
traitants est tenu responsable du dommage dans sa totalité afin ut the approval of the CIO".
de garantir à la personne concernée une réparation effective. »
Autrement dit, le RGPD instaure une responsabilité solidaire entre
le responsable de traitement et son sous-traitant. C’est le vrai
moteur du RGPD qui se met doucement en marche depuis
plusieurs mois. Les grands donneurs d’ordre, par crainte de voir
leur responsabilité juridique mise en cause par des manquements
de leurs sous-traitants, imposent à ces derniers la mise en
conformité et demandent qu’ils en justifient. Ces sous-traitants
demandent à leur tour à leurs propres sous-traitants de se mettre
en conformité et ainsi de suite, le cercle vertueux pouvant aller pas le prestataire en question. Quant à l’organisation du
au-delà des frontières de l’Union Européenne, avec des sous- promoteur du Shadow IT, le même article 28 pose la règle selon
traitants hors UE. Or, dans la mesure où un sous-traitant refuse laquelle « Le sous-traitant ne recrute pas un autre sous-traitant
la mise en conformité, il risque tout simplement de perdre le sans l'autorisation écrite préalable, spécifique ou générale, du
marché, sanction immédiate et bien plus réelle que la sanction responsable du traitement. » Ainsi, par le recours au Shadow IT,
administrative CNIL qui paraît lointaine pour ces acteurs la personne qui opère cette sous-traitance sauvage met en défaut
économiques. du RGPD à la fois sa propre organisation et son client, le
responsable du traitement.
… POUR COMPRENDRE POURQUOI De plus, le prestataire choisi dans le cadre du Shadow IT ne
LE SHADOW IT EST UN PROBLÈME respecte peut-être pas lui-même les dispositions du RGPD. Les
données sont-elles hébergées dans l’Union Européenne ou dans
Dans ce contexte, si on prend quelques-unes des règles posées un pays dit adéquat (Suisse, Canada, Israël, Nouvelle-Zélande…, soit
par le RGPD, on les trouve alors en confrontation totale avec la une dizaine de pays qualifiés par la Commission Européenne) ?
pratique du Shadow IT. A-t-il soumis ses personnels ou les personnes qui interviennent
sur les données à une obligation de confidentialité vis-à-vis de
Si nous nous concentrons dans le cadre de cet article sur le seul ces données ? On peut s’amuser à passer en revue la liste des
sous-traitant, le moins exposé des deux acteurs du Règlement, on obligations prévues pour le sous-traitant et, sans avoir procédé à
trouve à l’article 28 du RGPD un certain nombre de problèmes une vérification préalable, on risque de se trouver dans une
majeurs. situation difficile susceptible d’engager sa responsabilité, tant vis-
Le premier d’entre eux est la notion de sous-traitance elle-même. à-vis de sa propre organisation que de ses clients, voire même
Si le membre de l’organisation recourt au Shadow IT de manière des personnes concernées dont les données ont été placées entre
sauvage et que des données personnelles des clients de les mains d’un prestataire inconnu de toute la chaîne de
l’organisation sont concernées, alors le Shadow IT est une sous- traitement.
traitance au sens du RGPD. Dans notre cas, il s’agira d’une
sous-traitance secondaire. Prenons le cas d’une organisation qui On le voit bien, le RGPD s’est donné pour objectif de sécuriser
manipule des données de ses clients, et qu’un salarié au sein de toute la chaîne de traitement des données personnelles, du
l’organisation, parce que ça l’arrange, recourt à des apps, Web responsable de traitement au sous-traitant unique ou multiple, au
ou mobiles, pour traiter tout ou partie de ces données bénéfice des personnes concernées à qui le texte a donné des
personnelles. Alors, l’éditeur de cette app est lui-même un sous- droits et des recours, devant les Tribunaux notamment. Le RGPD
traitant au sens du RGPD. Mais le recours à ce sous-traitant crée même un système de responsabilité particulier entre
« anonyme » à l’égard de l’organisation est un gros problème. responsable de traitement et sous-traitants. Or, le Shadow IT met
en branle toute cette organisation. Si on reprend notre parallèle
En effet, l’article 28 du RGPD assène que « Lorsqu'un traitement avec le droit comptable et financier mis en place dans toutes les
doit être effectué pour le compte d'un responsable du traitement, organisations publiques et privées pour expliquer le RGPD, on
celui-ci fait uniquement appel à des sous-traitants qui présentent pourrait d’une certaine manière voir le Shadow IT comme la caisse
des garanties suffisantes quant à la mise en oeuvre de mesures noire des données personnelles. Une raison supplémentaire de
techniques et organisationnelles appropriées de manière à ce que rappeler dans son règlement intérieur ou dans ses chartes que
le traitement réponde aux exigences du présent règlement et l’usage du Shadow IT peut avoir des conséquences majeures dans
garantisse la protection des droits de la personne concernée. » le nouveau contexte réglementaire pour l’entreprise. Une mise en
Or, avec le Shadow IT, le responsable de traitement ne pourra garde salutaire… ■ ■ ■
s’être assuré des garanties suffisantes, puisqu’il ne connaît même
17
©posteriori
Shadow IT :
quand la DSI
perd le
contrôle…
Interview d’Alain Bouillé, Président du CESIN
Le Shadow IT représente l’informatique « hors du contrôle » de la DSI. Ce phénomène s’est

développé avec la gratuité des services et applications en ligne, auxquels les utilisateurs
souscrivent massivement aujourd'hui sans forcément avoir conscience des risques pour le
patrimoine informationnel de l’entreprise, pourtant nombreux. Comment encadrer au mieux le
Shadow IT en entreprise sans pour autant freiner les usages ? Tel est le casse-tête auquel Alain
Bouillé à bien voulu répondre.
Global Security Mag : Quelle est votre définition du Shadow IT ? étude menée en collaboration cette année [1]. Ce rapport exclusif sur
le Shadow IT dans les grandes entreprises françaises a montré un écart
Alain Bouillé : Le Shadow IT représente l’informatique hors du considérable entre la perception de la DSI et l’usage réel du nombre
contrôle de la DSI, le Cloud non officiel en quelque sorte. Ce d’applications et services Cloud. Alors que l’estimation moyenne
phénomène s’est développé avec la gratuité des services et d’applications Cloud connues par entreprise était de 30 à 40, le
applications en ligne, auxquels les utilisateurs ont souscrit sans rapport révèle une moyenne de 1 700 CloudApps véritablement
forcément avoir conscience des dangers pour le patrimoine utilisées par l’entreprise. Une fois les applications SaaS officielles
informationnel de l’entreprise. éliminées, le nombre de services inconnus par entreprise, donc en
mode Shadow, reste impressionnant.
GS Mag : Quels sont généralement les types de services et
d’applications que l’on retrouve hors du contrôle de la DSI, GS Mag : Quels sont les principaux risques et enjeux liés au
et pour quels usages ? Shadow IT ?
Alain Bouillé : Cela peut aller de la création d’un Réseau Social Alain Bouillé : Ces usages multiples et les applications qui pullulent
d’Entreprise avec des offres gratuites, comme LinkedIn ou Facebook, font jaillir des systèmes d’information parallèles, connectés au SI des
à la constitution de services collaboratifs pour des besoins ponctuels. entreprises. Cela pose un problème global de visibilité, de contrôle et
Plus alarmant, les outils de transfert d’information ou de partage de donc de sécurité du système d’information, avec des risques forts sur
fichiers volumineux, tels que Hightail et WeTransfer, les services de la confidentialité des informations liés aux phénomènes de fuites de
stockage comme Google Drive ou Dropbox en offre publique. Côté données du SI officiel.
messagerie, Outlook, Google Mail ou Yahoo Mail, souvent liés à un
usage de messagerie privée au bureau. Tumblr comme plateforme de GS Mag : Pouvez-vous nous présenter le périmètre, les
blogging, ou Pinterest et Instagram, et encore des services en ligne objectifs et la méthodologie de votre rapport sur le
comme Deezer et Giphy. Shadow IT ?
En moyenne, 1 700 CloudApps Alain Bouillé : Un certain nombre de membres du CESIN, RSSI de
grands groupes français, a participé à une analyse expérimentale, via
véritablement utilisées par la plateforme CloudSoC de Symantec, afin de déterminer quel était
l’entreprise… l’usage des applications SaaS dans les Clouds publics, et ainsi obtenir
un éclairage plus précis sur l’utilisation réelle de ces services et sur
GS Mag : Quel état faites-vous de ce phénomène au sein des l’ampleur du phénomène.
entreprises françaises ? Durant plusieurs semaines, les logs de pare-feux ou de proxys ont été
collectées et analysées, afin de constituer un rapport d’audit
Alain Bouillé : Le CESIN et Symantec ont publié les résultats d’une personnalisé et détaillé pour chaque participant. L’ensemble des
18
THÉMA : SHADOW IT
données a ensuite été anonymisé et rassemblé par le CESIN en vue
de produire un rapport exclusif sur le Shadow IT dans les grandes
entreprises françaises.
Thema
SHADOW IT
GS Mag : Quels en ont été les principaux enseignements ?
Shadow IT: when the CIO
loses control ...
Alain Bouillé : Même si les résultats au top des classements sont
prévisibles, il convient d’évaluer la totalité des applications et services Interview with Alain Bouillé,
President of CESIN
détectés, à la fois en termes de légitimité et de risque potentiel au By Marc Jacob and Emmanue
lle Lamandé
sein de chaque entreprise.
L’utilisation même très sporadique d’un service Cloud peut suffire à Shadow IT refers to informa
tion technology used "out of
compromettre un système d’information, notamment lorsque les control or even without the
knowledge" of the CIO. This
attaques via la « Supply Chain » se multiplient. phenomenon has grown wit
h increasingly available high-
quality, free consumer app
lications and services in the
Cloud, without users necess
Les 7 Commandements du Shadow IT arily being aware of the many
risks to enterprise information
assets. How can Shadow
IT be effectively managed in
GS Mag : Quelles sont vos recommandations pour encadrer an enterprise environment
without restricting practices?
au mieux ce phénomène et limiter les comportements à Alain Bouillé provides us
with some responses to this
risque, sans pour autant freiner les métiers ? conundrum.
Alain Bouillé : A l’occasion de la publication de notre rapport, Michel

Juvin, CISO membre du CESIN, a rédigé « Les 7 Commandements du
Shadow IT ». Pour reprendre le contrôle, il a proposé une liste d’actions
détaillées, afin de réduire le risque, tout en ayant à l’esprit qu’il faut GS Mag : Quels outils et solutions techniques permettent
en effet donner de l’agilité dans les processus pour contribuer à aujourd'hui de lutter contre le Shadow IT ?
l’innovation.
1. Instaurer la confiance ; Alain Bouillé : Depuis quelques années, de nouveaux outils sont
2. Analyser les flux ; apparus qui devraient redonner au RSSI davantage de visibilité sur ces
3. Réduire le risque ; usages : il s’agit de produits dit CASB (Cloud Access Security Broker),
4. Piloter l’infrastructure ; qui sont des points de concentration, déployés dans l’entreprise ou
5. Coopérer avec les départements juridique, achat et finance ; dans le Cloud, placés entre les utilisateurs et les services du Cloud,
6. Éduquer les utilisateurs ; utilisés pour appliquer les politiques de sécurité de l’entreprise. Ces
7. Positionner le curseur (on-prem vs. off-prem) pour délimiter « l’aire CASB adressent des sujets très divers, comme l’authentification,
de jeu » [2]. l’autorisation d’accès, le SSO, mais aussi la visibilité des applications
GS Mag : Quels acteurs doivent être impliqués dans cette
démarche au sein de l’entreprise ?
Alain Bouillé : En premier lieu, la DSI qui doit s’interroger sur la raison
de cette dispersion d’usages. Est-ce parce ce qu’elle ne fournit pas les
services attendus par les utilisateurs ? Est-ce parce que ces derniers
préfèreront toujours les outils qu’ils utilisent à titre privé plutôt que ceux
proposés par la DSI ? Le RSSI doit, bien entendu, s’impliquer dans ce
dispositif sinon en être le leader. Est-ce que le dispositif de filtrage est
vraiment efficace ? Est-ce qu’un processus de classification et de DLP
pourrait l’aider à mieux maîtriser les fuites de données sensibles ? Enfin,
le service juridique et le DPO : est-ce que les données ainsi exposées ne
font pas porter un risque juridique fort à l’entreprise ?
Il faut comprendre avant de légiférer

et d’empêcher…
GS Mag : De quelle manière communiquer et sensibiliser au
mieux les collaborateurs à ces problématiques ?
Alain Bouillé : Tout d’abord, il faut comprendre avant de légiférer

et d’empêcher. Si des outils de transfert de fichiers officiels et donc
contrôlés sont en place dans l’entreprise, il n’y a aucune raison de
laisser ouverts les autres services d’autant que les outils de filtrage
sont capables désormais de filtrer par sens de transfert : on peut laisser
ouvert le trafic pour permettre aux utilisateurs d’aller récupérer des
données via un site imposé par un partenaire tandis que l’on peut
fermer le dépôt de fichier sur ce même site depuis l’entreprise. Il faut
accompagner quoi qu’il en soit toute action de filtrage et idéalement
éduquer les utilisateurs à classifier leurs données et mettre en place
les rappels à l’ordre via un DLP.
19
THÉMA : SHADOW IT
utilisées dans le Cloud. L’idée est de montrer par « qui » et « comment » entraîne mécaniquement une perte de maîtrise de ce que devient la
sont utilisées ces applications tout en proposant une vision globale donnée que vous confiez aux opérateurs du Cloud. Il faut donc
de l’utilisation de celles-ci, ainsi que certains conseils pour se prémunir s’outiller pour garder la maîtrise.
des principaux risques.
GS Mag : Enfin, comment devrait, selon vous, évoluer le
GS Mag : Comment ce phénomène peut-il être encadré au phénomène du Shadow IT dans les années à venir, et quels
niveau juridique (contrat, charte…) ? axes pourraient être développés pour renforcer la sécurité
face à ce type d’usages ?
Alain Bouillé : Il faut que les usages soient davantage compris pour
être mieux encadrés juridiquement. Le recours à des solutions du Alain Bouillé : Les entreprises se digitalisent et achètent de plus en
marché avec contrat d’achat à la clé participe de cette maîtrise. plus de services en mode Cloud. Ces offres s’enrichissent de jour en
jour. Vous signez un contrat pour une solution SaaS collaborative et
… et s’outiller pour garder la maîtrise c’est toute une kirielle de services qui vous sont proposés. Il faut faire
le tri, mais rester à l’écoute des usages des collaborateurs, surtout les
GS Mag : Quelles sont les clés pour garantir contrôle et nouveaux qui arrivent dans l’entreprise et qui ne retrouvent pas
visibilité sur le long terme ? toujours la panoplie qu’ils ont l’habitude d’utiliser. A l’ère de la data,
il faut revenir aux fondamentaux : connaître son patrimoine en le
Alain Bouillé : Comme pour le reste des sujets cyber, il faut classifiant. Il sera alors facile de savoir sur quel type de données
monitorer, superviser davantage ce que l’utilisateur fait des outils concentrer ses efforts à l’avenir. ■ ■ ■
qu’on lui fournit. L’ouverture vers le Cloud (officiel comme Shadow)
Les 7 Commandements du Shadow IT [3] 5. Coopérer avec les départements juridique, achat et
finance
■ Par Michel Juvin, Expert en Cyber Sécurité, membre du CESIN
La définition d’une procédure d’acquisition des solutions
informatiques est une étape clef dans le contrôle du Shadow IT.
1. Instaurer la confiance
Le RSSI doit être informé par l’un des acteurs de la demande pour
Le dialogue doit être le plus ouvert possible avec les utilisateurs afin
effectuer une analyse des risques sur l’information échangée. Il
de montrer que les services IT sont à leur disposition pour étudier
proposera un plan d’actions pour les réduire s’il estime qu’il y a
ensemble leurs attentes fonctionnelles. Les utilisateurs doivent avoir
un risque sur le capital informationnel de l’entreprise. Il est
confiance dans le fonctionnement de leur informatique et les
nécessaire que cette procédure d’acquisition soit simple
relations avec leurs partenaires pour être efficaces. La confiance
d’utilisation pour faciliter la mise en œuvre de solutions
s’appuie sur l’écoute et la compréhension des cas d’utilisation.
innovantes. A l’opposé, un processus lourd et peu agile entraînera
les employés vers le Shadow IT.
2. Analyser les flux
II est nécessaire que le DSI utilise les indicateurs qu’il a à sa
6. Éduquer les utilisateurs
disposition, notamment ceux relatifs aux logs des firewalls et autres
En parallèle, l’éveil des utilisateurs aux risques relatifs à la gestion
switchs qui permettent de filtrer les échanges vers l’extérieur. Un
des données de l’entreprise est une des actions nécessaires pour
tableau avec la description du flux va permettre de faire une analyse
réduire le risque de Shadow IT. Il est illusoire de penser qu’on
de risques sur les flux et prendre les décisions pour contrôler les
pourrait avoir un officier de sécurité surveillant toutes les actions
échanges d’information sortants de l’entreprise.
des utilisateurs, de fait, il est nécessaire de leur donner les moyens
de rester vigilant lorsqu’une action peut exposer les données de
3. Réduire le risque
l’entreprise au monde externe.
Compte tenu des échanges d’une entreprise avec d’autres
fournisseurs de services ou de partenaires, il est nécessaire de faire
7. Positionner le curseur (on-prem vs. off-prem) pour
une analyse de risques des flux les plus critiques. Le RSSI doit classer
délimiter « l’aire de jeu » [2]
les flux entre ceux déjà enregistrés pour lesquels le risque est connu L’idée est de définir pour chaque domaine si l’entreprise est capable
et accepté, ou les transférer vers des nouveaux acteurs de la sécurité. de gérer le risque de perte d’information ou de déni de service relatif
à l’outsourcing de son information, ses services, son organisation... A
4. Piloter l’infrastructure titre d’exemple, voici des domaines qui doivent être documentés pour
L’architecture et le paramétrage de l’infrastructure, clef de voûte de positionner le curseur entre « géré en interne » ou en « externe » :
tous les accès au SI d’entreprise, permettent l’existence du Shadow les terminaux, la gestion et le maintien opérationnel des serveurs,
IT ou l’interdisent. Le recours à un outil de monitoring de la sécurité les données, les applications, la gestion des identités, la supervision
des « Apps », comme une solution de type CASB (Cloud Access des solutions de sécurité... Le RSSI doit définir, en fonction de
Security Broker), est devenu une nécessité. La DSI doit, au même l’activité de l’entreprise et avec l’aide des utilisateurs, si les
titre que tous les autres accès, les filtrer et les classer dans le tableau informations, les services ou la gestion de l’information sont mieux
de suivi, pour en surveiller l’activité et être en mesure de réagir en gérés en interne ou avec l’aide d’un service hébergé dans un Cloud
cas de problème de sécurité avec un des fournisseurs. externe.
[1] https://www.cesin.fr/actu-rapport-shadow-it-france-2017-symantec-cesin.html
[2] Abrégé de l’environnement de travail des utilisateurs qui s’est étendu vers les solutions de type Cloud-as-a-Service
[3] https://www.cesin.fr/uploads/files/2018_04_Symantec_CESIN%20Shadow%20IT%20Report%20France.pdf
21
©posteriori
Shadow IT :
que faire quand
l’anarchie s’invite
en entreprise ?
Par Marc Jacob et Emmanuelle Lamandé
Bien que le Shadow IT ne soit pas un phénomène nouveau en entreprise, il s’est fortement
amplifié ces dernières années, notamment avec l’avènement du Cloud et la digitalisation
des usages. Mais que faire quand l’anarchie, pour ne pas dire l’orgie, s’invite en entreprise ?
Pour nos experts, en matière de Shadow IT, la souplesse maîtrisée est préférable à la rigidité,
qui forcément sera contournée.
Le Shadow IT représente les carte bleue alors que cela prendrait des jours, voire des semaines, avec
briques du Système d’Infor- un coût supérieur, s’il s’était adressé à l’informatique interne. C’est
mation qui échappent à la également le cas de la R&D qui a des besoins très spécifiques en
supervision, c’est-à-dire une matériel, en connexion Internet, etc. « Parmi les différentes formes du
mise en œuvre sans appro- Shadow IT, on retrouve aussi traditionnellement les logiciels non
bation de la DSI, explique maîtrisés installés sur les postes de travail, l’usage d’équipements
Gilles Garnier, Business personnels, l’accès à des ressources personnelles désormais dans le
Development Partner chez Cloud (messagerie, fichiers, etc.) », explique Cédric Lambert. Depuis
Harmonie Technologie. Ce quelques années, on remarque également la consommation par les
phénomène désigne, en effet, métiers d’applications dans le Cloud non validées par les DSI. Cet
l’usage de services IT, d’ap- usage tend à s’étendre au-delà de services SaaS, et à évoluer vers du
plications Cloud ou même PaaS, voire de l’IaaS. L’adoption des pratiques DevOps mal gérées et
de matériels hors du contrôle de plateformes Low-Code ranime, en outre, le spectre du Shadow IT.
de la DSI, complète Cédric Les DSI ont souvent du mal à trouver un équilibre entre contrôle des
Lambert, Security Practice outils, des développements, autonomie et productivité pour les équipes
Manager, Avanade. Le Sha- de développement. In fine, la DSI n’est pas impliquée.
Gilles Garnier, Harmonie Technologie dow IT est loin d’être
nouveau, avec au départ des
usages personnels (téléchargement, stockage de fichiers, installation Le Shadow IT n’épargne aucune
de logiciels personnels…), puis rapidement les premiers usages
métiers (macros, custom dev, applications installées de façon entreprise aujourd'hui…
sauvage…). Le phénomène s’est fortement amplifié ces dernières
Ce phénomène sévit aujourd'hui massivement au sein de toutes les
années avec l’avènement du Cloud, une forte pression liée à la
entreprises, quelles qu’elles soient. « Nous avons toujours été
digitalisation des usages, mais aussi à une demande croissante de
confrontés à ce phénomène dans toutes les entreprises où nous
nouveaux services et d’agilité.
intervenons », constate Cédric Lambert. « Il suffit de travailler sur des
migrations Workplace ou Cloud pour s’en rendre compte, et ce pour
A l’origine du Shadow IT, Gilles Garnier identifie notamment les
toutes les formes de Shadow IT (usages individuels, métiers).
services dont les besoins sortent du cadre habituel de ce que propose
La dernière étude du CESIN montre que là où un RSSI pense que ses
la DSI ou dont la mise en œuvre par la DSI est longue et coûteuse.
utilisateurs travaillent sur un périmètre de 30 à 40 applications, la
C'est, par exemple, le cas des services métiers ayant souvent besoin
réalité fait ressortir un usage moyen de 1 700 applications au sein de
de services hébergés, tels que Dropbox. Dans ce cas précis, le service
l’entreprise. » Cela ne fait, selon lui, que démontrer un manque cruel
métier peut obtenir son service hébergé en dix minutes à l’aide d’une
de communication entre DSI, RSSI et utilisateurs. Effectivement, « il
22
THÉMA : SHADOW IT
est désormais tellement simple de se procurer des services hébergés
sans avoir recours à la DSI que de plus en plus de personnes ou de
services cèdent à la tentation », déplore Gilles Garnier. « Le
développement du Cloud est un réel facilitateur du Shadow IT. De plus,
le fait que les services métiers et la R&D maîtrisent de manière
autonome leur budget est un facteur supplémentaire à prendre en
compte dans l’augmentation du Shadow IT. Aujourd’hui, d’après le
Thema
Gartner, 40% des dépenses IT sont faites en dehors des budgets de SHADOW IT
la DSI et il faut s’attendre à une tendance à la hausse ces prochaines
années. » Shadow IT: how to ma
nage the new disorder
of enterprise systems?
… mais n’est pas sans risques ! By Marc Jacob and Emmanue

lle Lamandé
Although Shadow IT is not
Toutefois, le Shadow IT n’est pas sans risques pour l’entreprise, bien a new phenomenon in orga-
nisations, in recent years, esp
au contraire ! Les dangers inhérents à ce phénomène sont d’ailleurs ecially with the advent of the
Cloud and digitalization, it
divers et variés. Cédric Lambert recense, dans un premier temps, les has developed into a wides-
pread and common practice.
risques évidents auxquels tout le monde pense, comme la fuite de But what can be done when
disorder, or even chaos, is ram
données, l’introduction de malwares au sein du SI et la perte de pant in enterprise systems?
The challenge, instead of tryi
réputation. Mais il en existe également, selon lui, des beaucoup plus ng to ban it, is how can this
phenomenon be controlled
sournois, comme les risques légaux liés à l’utilisation de logiciels sans and managed? Our experts
have some tips to help out.
licence, les risques métiers liés à la faible qualité de logiciels non
conformes ou mal intégrés (manque de tests et de contrôles), ou
encore les risques opérationnels liés au manque de gestion de
configuration et rendant les processus de gestion de changement
inopérants. Enfin, un dernier risque à ses yeux, et pas des moindres,
est de voir sa conformité avec la réglementation RGPD diminuée, voire
anéantie, avec un condensé de tout ce qu’il ne faut pas faire : perte
de maîtrise des registres des traitements, pas d’alerte en cas d’incident
de sécurité, la Privacy by Design inexistante dans le Shadow IT, car
généralement considérée comme le cadet des soucis des métiers, etc.
Les risques liés au Shadow IT sont effectivement multiples, constate

nous avons pu identifier et stopper, puis nous avons mis en place une
Gilles Garnier. Étant en dehors des solutions mises en œuvre par la
solution de type CASB (Cloud Access Security Broker) pour détecter et
DSI, le Shadow IT n’est, en effet, pas forcément conforme aux
protéger entre autres le Shadow IT. »
standards de sécurité en place dans l’entreprise. Ensuite, il peut y avoir
des risques de perte ou de fuite de données, surtout avec la mise en
place de solutions de communication à l’extérieur de l’entreprise qui
peuvent créer une porte d’entrée, hors de contrôle, vers le Système La souplesse maîtrisée est préférable
d’Information. Il faut également prendre en compte les risques de à la rigidité
conformité, car il est impossible de savoir si les données traitées ou la
façon dont elles sont traitées respectent les règles de l’entreprise. On Cependant, malgré les risques évoqués précédemment, le Shadow IT
identifie également des risques juridiques. Dans le cas par exemple doit être appréhendé, selon Gilles Garnier, comme une opportunité.
d’installation de logiciels piratés, il est difficile de déterminer quelle En effet, ce phénomène permet d’améliorer la perception des besoins
responsabilité est engagée : celle de l’entreprise ou celle du réels des collaborateurs et donc de l’entreprise de manière plus
collaborateur ? Enfin, il peut y avoir des risques liés à la pérennité. En globale. La ligne de conduite à suivre n’est donc pas de refuser le
effet, il n’existe aucune garantie que les investissements réalisés dans Shadow IT, mais d’identifier ces besoins pour pouvoir ensuite les
le Shadow IT soient pérennes dans le temps, ou qu’ils contribuent au encadrer et les intégrer dans la stratégie IT de l’entreprise. La souplesse
développement de l’entreprise. Ils peuvent rapidement se révéler maîtrisée est préférable à la rigidité, qui forcément sera contournée.
inutiles et constituer ainsi une perte sèche pour la société.
Voici quelques recommandations de nos experts pour encadrer au
« Les entreprises nous sollicitent pour trois principales raisons mieux ce phénomène et limiter les comportements à risque, sans pour
aujourd'hui contre ce type de risques », explique Gilles Garnier : autant freiner les métiers. « Tout d’abord, il faut être en mesure de
« suite à un incident dû au Shadow IT, dans le cadre de programmes détecter le Shadow IT et de le cartographier à l’aide d’une solution
de mise en conformité réglementaire pour auditer les usages de type CASB », préconise Gilles Garnier. Ensuite, plutôt que d’interdire
illégitimes, ou dans une démarche de cyber-résilience afin d’identifier le Shadow IT, il est impératif de comprendre les besoins, de les
les vulnérabilités en cas de cyberattaques. encadrer, ou de les intégrer dans la stratégie IT existante. En effet, le
Dernièrement, lors d’une de nos missions, nous avons dû faire face à Shadow IT n’a pas pour objectif de nuire. Il est préférable de capitaliser
une initiative hors DSI d’application utilisée pour la gestion de la dessus pour en faire profiter l’entreprise en ajoutant au catalogue de
relation client. Une base de données client a ainsi pu être interceptée la DSI des solutions qui peuvent être très innovantes, et ainsi en faire
par un pirate et l’entreprise a été victime d’un chantage à la bénéficier les autres métiers, tout en réduisant les coûts.
publication. Nous avons dû impliquer les autorités civiles, puis Mieux vaut avoir une approche constructive du Shadow IT plutôt que
identifier l’attaquant pour qu’il puisse être poursuivi en justice. Enfin, répressive. La sensibilisation a également un rôle important à jouer
nous avons réintégré l’application sur des infrastructures IT maîtrisées pour que chaque collaborateur puisse prendre conscience des risques
et stoppé ainsi toute fuite de données. et ainsi discuter de manière constructive avec la DSI plutôt que de la
Un autre de nos clients a subi une intrusion due au Shadow IT que contourner.
23
Protecting
organizations from
content and device
based threats.
sales@opswat.com - www.opswat.com
©posteriori
Pour Cédric Lambert, il est nécessaire de travailler sur plusieurs axes : gouvernance du SI. Certaines transformations sont opportunes
également pour réaliser de telles campagnes (exemple : migration vers
1. Tout d’abord, la prévention auprès des utilisateurs, via des Office 365). A noter que cette communication ne doit pas se limiter
campagnes de sensibilisation sur les risques informatiques, aux utilisateurs, mais doit également être étendue aux directions
adressées auprès des métiers jusqu’aux instances dirigeantes de métiers. De même, les équipes sécurité doivent être en mesure de
l’entreprise. comprendre les enjeux des métiers et d’apporter des réponses
cohérentes en termes de délais et de solutions techniques. Le « non »
2. Il convient de s’attaquer ensuite aux causes majeures, que sont ne peut pas être la seule réponse sous le prétexte de la sécurité. »
généralement le manque de compétitivité de la DSI face à des
besoins de digitalisation de plus en plus élevés, de nouveaux
usages, et des temps de mise sur le marché de plus en plus réduits. CASB : la solution la mieux adaptée au
L’amélioration et la modernisation des services et des niveaux de
services offerts sont bien sûr un axe de travail. Il s’agit aussi de Shadow IT
transformer certaines pratiques en :
Outre la sensibilisation, dif-
• Arrêtant de bloquer systématiquement les projets ou les usages
férents outils et solutions
comme cela se pratique encore et de considérer le réseau interne
techniques permettent au-
comme un sanctuaire de sécurité ;
jourd'hui aux entreprises d’en-
• Modernisant ses approches ;
cadrer ce phénomène et d’en
• Apportant des solutions et des prestations d’accompagnement ;
limiter les risques. Pour Cédric
• En se positionnant in fine comme partenaire stratégique des métiers
Lambert, la prévention du
pour ne plus subir la concurrence externe.
Shadow IT passe tout d’abord
par la maîtrise des équipe-
3. Enfin, et c’est lié au point précédent, certaines pratiques nouvelles
ments des utilisateurs pour
autour du DevOps et du Low-Code peuvent être des opportunités
en contrôler les usages.
pour la DSI d’accompagner les métiers, en encourageant et en
« Les solutions MDM, PCCLM,
encadrant ces pratiques, et ainsi de rétablir des liens avec ces
le retrait des droits adminis-
derniers. Si l’on considère le Shadow IT comme inévitable, on peut
trateurs sont des éléments
en diminuer les effets en impliquant tous les acteurs et en utilisant
nécessaires. Les contrôles de
les bons outils.
flux modernes, l’utilisation
Cédric Lambert, Avanade de solutions de type CASB
(Cloud Access Security Broker)
Shadow IT : tous les utilisateurs permettront également de lutter contre des usages non maîtrisés de
doivent être sensibilisés aux risques solutions Cloud.
Les passerelles Web sécurisées (SWG – Secure Web Gateway)
Il est effectivement important d’impliquer l’ensemble des acteurs dans permettront, quant à elles, de filtrer les sites Web autorisés (afin
cette démarche au sein de l’entreprise. Pour Gilles Garnier, les premiers d’éliminer les sources de téléchargement non connues ou réputées
acteurs concernés restent la DSI, le RSSI, le service juridique, qui ont non fiables). Enfin, la protection des données via des solutions de type
comme interlocuteurs les directions métiers, la R&D, mais aussi DLP aidera à limiter les risques de fuite de données en dehors du SI.
certains départements IT, pouvant être tentés de contourner les règles Avec une solution de type Microsoft Azure Information Protection
afin de répondre à certains besoins plus rapidement. Il ne faut pas (AIP), les données resteront protégées même en cas de fuite
non plus oublier les achats, qui ont un rôle important à jouer dans la d’information. » La solution CASB reste, selon Gilles Garnier, la plus
négociation des prix des solutions et ainsi la réduction des coûts adaptée pour lutter contre le Shadow IT. Cette solution répond au
d’acquisition. De son côté, Cédric Lambert considère que ce sujet mieux aux besoins de sécurité, de conformité et au risque de fuite de
« concerne toute l’entreprise, pas seulement la DSI. La démarche peut données, et permet une véritable cartographie du Shadow IT dans
provenir du RSSI, voire du DPO en lien étroit avec la DSI, ou les l’entreprise. Outre la solution CASB, qui est nécessaire et essentielle,
architectes Cloud. Il faut associer les métiers, les équipes juridiques, l’entreprise devra également, pour garantir la maîtrise du Shadow IT
et potentiellement les instantes dirigeantes pour les arbitrages sur le long terme, dialoguer régulièrement avec les services métiers
budgétaires. Tous les utilisateurs devront également être sensibilisés afin de vérifier leurs besoins. Elle devra, en outre, maintenir une
aux dangers et risques liés à ces usages. » campagne de sensibilisation régulière.
Cette sensibilisation doit se faire de manière régulière, explique Gilles « Du point de vue de la gouvernance, il est important d’impliquer les
Garnier. « Plutôt qu’une lourde campagne de sensibilisation à un métiers dans les réflexions sur les équipements, les besoins, les SLA et
moment donné, il faut communiquer de manière répétée tout au long les modèles opérationnels », explique Cédric Lambert. Cette gouvernance
de l’année, en donnant des exemples concrets de Shadow IT pour sera revue à intervalles réguliers pour s’assurer d’un alignement constant
assurer une meilleure compréhension. Si la sensibilisation ne marche de toutes les parties prenantes et d’aucune dérive par rapport au plan
pas, il faut mettre en place des entretiens individuels avec les initial. Il s’agit ainsi d’avoir, selon lui, un bon mixte entre :
personnes concernées afin de dialoguer. » Pour Cédric Lambert, il est • L’outillage, pour structurer et encadrer les usages ;
intéressant d’intégrer la sensibilisation aux risques liés au Shadow IT • Des revues régulières, permettant d’aborder avec les métiers les
au sein de campagnes plus globales de sensibilisation aux cyber- évolutions des besoins ;
risques. « Il existe tout un arsenal de moyens de communication • Une communication fluide pour expliquer les points de blocage
(vidéos, serious games, fascicules, campagnes de communication quand il y en a ;
traditionnelles, etc.). Ce type de campagnes est à intégrer dans la • Des indicateurs sur les SLA des équipes IT.
24
THÉMA : SHADOW IT
Un véritable changement En conclusion, quelle que soit la démarche choisie, chaque entreprise
doit aujourd'hui prendre en compte et encadrer le Shadow IT, car ce
de mentalité s’impose ! phénomène n’est pas juste un effet de mode. Il sera d’ailleurs
certainement amené à évoluer dans les années à venir. Pour Gilles
Nous l’avons vu, le Shadow IT nécessite un véritable changement de Garnier, « il est difficile de limiter le Shadow IT, surtout avec l’arrivée
mentalité, souligne Cédric Lambert. Pour accompagner cette transition, de l’IoT qui va créer des besoins inédits. Et malheureusement,
il faut que tous les acteurs de l’entreprise soient impliqués, pas l’entreprise ne répondra jamais à 100% des besoins. En effet, le
uniquement l’écosystème IT. De même, parce qu’il faut pouvoir Shadow IT est en quelque sorte le corollaire du « time to market ». Il
répondre intelligemment lorsqu’il y a manquement, il est indispensable sera toujours difficile pour l’entreprise d’avoir les solutions qui
que l’entreprise réfléchisse aux sanctions. Pour cela, la charte répondent aux besoins métiers en temps voulu, notamment en raison
d’utilisation des outils informatiques se doit d’être rattachée au des coûts et de problématiques de standardisation. Bien que d’ici
minimum au règlement intérieur de l’entreprise. Elle peut aussi être 2020 90% des Grands Comptes auront une solution CASB d’après le
intégrée en tant que document contractuel, comme annexe au contrat Gartner, la sécurité devra sans cesse innover pour limiter le Shadow
de travail. Il est, en effet, bon de souligner que le juridique intervient IT, qui lui sera en constante évolution. » Cédric Lambert considère,
en complément des moyens techniques établis pour détecter et pour sa part, que l’évolution et la consumérisation des services IT vont
canaliser le Shadow IT, explique Gilles Garnier. « Il est effectivement pousser les entreprises et les éditeurs à revoir les modèles de mise à
très difficile d’encadrer juridiquement un périmètre qui n’est pas disposition de produits et les outils pour sécuriser ces usages. « Les
maîtrisé dès le départ. Le juridique va donc avoir un rôle de protection frontières traditionnelles n’ont plus de sens en termes de sécurité. Il
des assets de l’entreprise avant tout. Ainsi, il sera possible de notifier faut désormais se concentrer sur la donnée et les ressources vitales,
l’interdiction du Shadow IT dans le règlement intérieur et dans les et prendre en considération que les solutions existantes ne sont plus
chartes de sécurité annexées au règlement intérieur. » suffisantes. Des solutions centrées sur la protection des données
utilisant l’intelligence artificielle pour déceler des usages frauduleux
deviennent aujourd'hui inévitables », conclut-il. ■ ■ ■
25
THÉMA : SHADOW IT
SHADOW IT : LE POINT DE VUE DE NOS pouvoir être en mesure d’expliquer clairement pourquoi un logiciel/une
solution/un produit spécifique (proposé par l’employé/le service) a été
EXPERTS ANTIMALWARES rejeté.
De son côté, Bogdan Botezatu recommande notamment :
En règle générale, le Shadow IT est la résultante de tentatives des • Si vous êtes à la maison, assurez-vous d'utiliser une solution de
employés pour trouver un moyen rapide et efficace de gérer leurs tâches, cybersécurité capable de détecter les tentatives de phishing et les
explique Benoît Grunemwald, Cybersecurity Leader, ESET France. Si les malwares, mais aussi de bloquer les exploits. Si vous vivez au sein
outils fournis par l'organisation sont insuffisants ou n'offrent pas les d’un foyer « intelligent », vous devez également inclure dans votre
fonctionnalités nécessaires, ces derniers peuvent en effet opter pour réseau un hub de sécurité spécifique, afin de protéger vos dispositifs
des solutions n'ayant pas été correctement approuvées par une équipe interconnectés qui ne peuvent pas être pris en charge par une solution
de sécurité compétente. Les employés/départements n’ont souvent pas de sécurité traditionnelle. Si ce n’est pas le cas, vous devriez au moins
conscience que, derrière leurs bonnes intentions (visant à effectuer leur réaliser un test permettant d’analyser les potentielles vulnérabilités
travail de la meilleure manière qui soit), c’est toute la sécurité de de votre réseau, et ce au moins une fois par mois.
l’entreprise qui peut être mise en péril. • Si vous êtes au travail, n'oubliez jamais que les règles et
Un bon exemple de Shadow IT consisterait par exemple pour un recommandations de votre équipe de sécurité informatique sont
employé à transmettre ses emails professionnels sur une adresse mises en place et appliquées afin d’aider l’entreprise à lutter contre
personnelle. On comprend bien sûr que cela lui permet de gérer les des cyberattaques dévastatrices, plutôt que pour limiter vos droits et
problèmes potentiels plus rapidement et confortablement, mais si le libertés. Respectez ces règles et n'essayez jamais de contourner la
contenu de ces emails est sensible, il existe un risque que ceux-ci soient sécurité pour des raisons de commodité - c'est un compromis coûteux
volés ou divulgués, ce qui nuirait à la réputation et aux finances de qui peut avoir un impact critique sur votre entreprise.
l'entreprise. Autre exemple de Shadow IT : les fonctions de Cloud • Enfin, si vous avez un doute, partagez l’information. Assurez-vous de
collaboratifs non vérifiées pour le partage de fichiers, de documents ou signaler les tentatives de phishing et de vishing (phishing via
d’objets. Ces outils s’avèrent pratiques pour les utilisateurs (puisqu’ils téléphone) à votre équipe de sécurité, afin qu'elle puisse alerter les
sont disponibles d'un peu partout), mais peuvent contenir une faille qui employés d’attaques ciblées en cours.
pourrait ensuite transmettre le contenu partagé à des tiers non
autorisés. Enfin, Loïc Guézo, Stratégiste Cyber-sécurité Europe du Sud, Trend Micro,
De manière générale, toute solution mise en œuvre par les employés préconise pour sa part de maintenir avant tout une bonne connaissance
et/ou services, n’étant pas correctement validée par un service de son exposition aux risques sur les actifs essentiels de son entreprise,
informatique compétent (ou une autre équipe chargée de la sécurité), incluant le facteur humain : tout le reste n’est finalement qu’une
pourrait devenir un risque non géré et parfois même invisible pour question de bonne gouvernance entre moyens humains, techniques et
l’ensemble de l’entreprise. procédures mises en œuvre. On entre toutefois dans une ère où le
classique PDCA (« Plan Do Check Act » de DEMING via l’ISO27001)
De plus, le Shadow IT est souvent supposé être sécurisé, car on le croit vertueux est insuffisant. Bienvenue dans l’ère du combat OODA
« obscur », explique Sean Sullivan, Security Advisor, F-Secure. Ce n'est (« Observ, Orient, Decide, Act » via l’US Air Force) !
malheureusement pas le cas. S'il fait partie de l'espace de domaine
d'une entreprise, les attaquants peuvent le trouver. « Le Shadow IT est
effectivement un phénomène complexe qui ouvre des portes à des
attaquants extérieurs », souligne Bogdan Botezatu, Senior Cybersecurity
Specialist, Bitdefender. Les incidents les plus courants sont liés à
l’installation de logiciels par les employés, logiciels non approuvés par
l’entreprise (un logiciel dont le service informatique ne connaît pas la
présence ne peut pas être rapidement mis à jour et/ou corrigé). Il existe
des situations plus graves, où des départements d’entreprises
enregistrent des domaines et déploient des serveurs Web pour héberger
des applications ou des services, afin d’appuyer certaines initiatives
marketing. Ces serveurs qui peuvent héberger des données de clients
ne sont pas véritablement administrés et encore moins mis à jour.
Lorsqu'ils sont ciblés par des attaques exploitant des vulnérabilités non
corrigées, des données personnelles et de la propriété intellectuelle sont
exfiltrées, et ces serveurs peuvent être utilisés comme relais pour des
campagnes de spams et de phishing, mais aussi héberger des malwares.
Comment limiter les risques ?

Pour Sean Sullivan, les risques peuvent être limités en donnant aux
développeurs les outils dont ils ont besoin pour ne pas avoir à configurer
de Shadow IT. Investir dans des outils de gestion des vulnérabilités est
également, selon lui, judicieux. L’équipe informatique d’une entreprise
doit disposer des outils nécessaires pour visualiser l’ensemble de
l’infrastructure réseau. « Disposer d’un service informatique performant,
doté de processus transparents et efficaces, peut effectivement éviter
de nombreux problèmes liés au Shadow IT », estime également Benoît
Grunemwald. En résolvant rapidement les problèmes ou besoins
signalés par les employés et/ou départements, le service informatique
minimise le besoin et la motivation des employés de chercher des
solutions alternatives. Le département informatique devrait également
27
© Sebastian Kaulitzki
MALWARES BUSTERS
2018 : LES CRYPTOMINEURS

DÉTRÔNENT LES RANSOMWARES
Dans la droite lignée de ses prédécesseurs, l’année 2018 a elle aussi connu son lot de
vulnérabilités et d’attaques en tout genre. Sur le devant de la scène cette année, on retrouve bien
sûr les ransomwares qui continuent à faire des dégâts, en entreprises comme chez les particuliers.
Toutefois, ils ont perdu de leur splendeur par rapport à 2017 au détriment des cryptomineurs, qui
ont pris du galon ! Mais la course est loin d’être finie…
2018 s’inscrit dans la droite lignée des années précédentes en Du côté des bonnes nou-
termes de cybermenaces, avec à son actif de nombreuses vulnéra- velles, il estime que 2018 a
bilités exploitées, des cyberattaques en tout genre et des fuites de connu une baisse du nom-
données à tire-Larigot ! Toutefois, pas de grands changements bre de fuites de données
dans les techniques utilisées, même si bien entendu l’année écoulée massives, tout du moins par
a elle aussi eu le droit à son lot de pépites. De manière générale, rapport à 2017. « Il est en-
« les menaces de 2018 s’inscrivent dans la continuité de ce qui core trop tôt pour dire s’il
s'est passé en 2017 », constate Benoît Grunemwald, Cybersecurity s’agit du résultat du Règle-
Leader, ESET France. Bien que toujours actives, les attaques de ment Général sur la Protec-
ransomwares ont néanmoins perdu de leur superbe au profit des tion des Données (RGPD)
cryptomineurs. ou d’une autre législation
« Les opérateurs de ransomwares déjà existants se sont « profes- similaire votée ailleurs dans
sionnalisés » dans leurs attaques. Ceux-ci ciblent des entreprises le monde, mais le nombre
et/ou organisations grâce à des PDR (Remote Desktop Protocol ou de données et documents
RDP en anglais) mal sécurisés, puis élèvent leurs droits et chiffrent volés a diminué et est au
leurs données précieuses pour les extorquer contre de l'argent. plus bas depuis trois ans.
Certains opérateurs de ransomwares ont également choisi d'utiliser Benoît Grunemwald, ESET France Toutefois, en raison de ces
EternalBlue comme principal mécanisme de distribution, recherchant règles plus strictes, nous
des systèmes non corrigés dotés du protocole vulnérable SMB. nous attendons à ce que le nombre de cas de fuites ou violations
Les cybercriminels sont également en recherche de cryptomonnaies de données signalées augmente. »
et attaquent aussi bien des plateformes de trading que des utilisa-
teurs lambda, mais aussi des entreprises en leur volant leurs infor- De son côté, Bogdan Botezatu, Senior Cybersecurity Specialist, Bit-
mations d'identification pour cryptoservices et cryptowallets. La defender, constate aussi la montée en puissance de deux types
cryptographie intégrée aux navigateurs est également une cible d’attaques majeures en 2018, sous forme de cryptomineurs et de
privilégiée des attaquants aujourd'hui. Cette tendance a peu de ransomwares. « Tout au long de l’année, les créateurs de ransom-
chance de perdre de sa puissance dans un futur proche. » wares ont ainsi développé de nouvelles techniques et tactiques qui
visaient principalement à atteindre les entreprises. Les attaquants
LES PIRATES VEULENT « GAGNER » infectent un Endpoint auquel ils ont accès, puis se connectent ma-
nuellement aux appareils de l’entreprise grâce à des applications
SUR TOUS LES FRONTS, ET AUTANT de type Remote Desktop Protocol (RDP). La deuxième étape est
QUE POSSIBLE enclenchée tout de suite après, la plupart des ransomwares utilisant
désormais des techniques de mouvement latéral pour se propager
Pour Benoît Grunemwald, le dénominateur commun pour les pirates sur un réseau d'appareils et compromettre des données sensibles.
n’est autre que la volonté de « gagner » sur tous les fronts, mais Les ransomwares qui ciblent plus particulièrement les particuliers
surtout autant que possible. Ingénierie sociale, chiffrement et continuent également à prospérer et à faire gagner des sommes
extorsion, attaques de chaînes logistiques, cryptomining… sont d’argent importantes à leurs créateurs. C'est par exemple le cas de
autant de vecteurs qui exploitent les failles et infectent les victimes GandCrab, qui est devenue la famille de ransomwares la plus
avec d’autres formes de logiciels malveillants. Tous ces malwares répandue depuis son lancement en janvier 2018. »
sont toujours actifs et continuent de rapporter de l’argent à leurs
auteurs malveillants.
28
MALWARES BUSTERS
PHISHING ET SPEAR PHISHING

EN AUGMENTATION CONSTANTE
Pour Sean Sullivan, Security Advisor, F-Secure, « la cybercriminalité
s’est retrouvée en 2018 dans un état de fluctuation. Le Bitcoin a
facilité la ruée vers l’or des logiciels ransomwares au cours des an- MALWARES BUSTER
nées précédentes. La fluctuation des marchés et la baisse de sa va- S
leur ont toutefois contribué à la fin de cette ruée. Les menaces les 2018: crypto-miners top
ple ransomware
plus communes sont à présent liées aux bots plus qu’aux ransom-
wares. Et des bots peuvent provenir des cryptomineurs, des trojans By Marc Jacob and Emmanue
bancaires ou des ransomwares. C'est très variable. De plus, nous lle Lamandé
sommes passés des cibles « individuelles », à savoir les particuliers, 2018, like the years preced
ing it, has had its share of
aux petites entreprises, qui sont plus susceptibles de payer... et de attacks and system vulnera
bilities of all kinds. Ransom
vouloir payer, car pour ces structures un temps d'arrêt de travail lié ware was once again in the -
headlines in both enterprise
à l'informatique signifie perte de revenus. » environments and consumer
usage, although in relation
to 2017 crypto-miners see
m to have taken over as the
Sébastien Gest, Tech Evangelist, Vade Secure, constate quant à lui leading article! But who will
have the last word…
que le malware a fait place à la montée du phishing et du spear
phishing. Le volume a littéralement explosé cette année. Des
marques, comme Microsoft, ont pris la première place des enseignes
les plus usurpées devant Paypal. De son côté, la mise en application
du RGPD a favorisé la divulgation des fuites de données, qui reten-
tissent chaque jour un peu plus auprès des consommateurs.
LA CYBERCRIMINALITÉ EN 2018 [1]

Selon Michel Lanaspèze, Directeur Marketing Sophos Western Europe, Sophos
LES ATTAQUES CIBLÉES GAGNENT Au cours de la dernière décennie, les pirates ont construit tout un
éventail d’automatisation, associé à des vulnérabilités exploitables,
EN POPULARITÉ ET GÉNÈRENT dans le but d’attaquer rapidement des cibles et d’échapper aux mesures
DES GAINS TRÈS IMPORTANTS de sécurité internes ou à la protection au niveau du réseau et des sys-
tèmes Endpoint. Cette utilisation de l’automatisation a pris une multi-
tude de formes, allant des kits d’exploit piégeant les navigateurs aux
En 2018, les SophosLabs fichiers documents office instrumentalisés, en passant par des spams
constatent l’émergence d’un malveillants qui obfusquent complètement la menace qu’ils représentent
nombre restreint mais crois- aux yeux des victimes et vis-à-vis de leur technologie.
sant de cybercriminels ou de Cette tendance est en bonne partie la conséquence de la manière
gangs qui utilisent désor- dont l’industrie de la cybersécurité, avec l’introduction de nouvelles
mais des techniques de techniques (anti-exploits, Deep Learning, détections comportementales
piratage manuel - réservées ciblées…), pousse les cybercriminels à se remettre en cause, en les
jusque-là à une petite élite obligeant à changer leurs stratégies et techniques d’attaque.
de cybercriminels plutôt
ésotériques - pour maintenir VIVRE SUR LA BÊTE (LIVING OFF THE LAND -
leurs revenus financiers
malveillants.
LOL) EST DEVENU LA NOUVELLE NORME
Sophos a suivi de près les Malgré les attaques malveillantes très médiatisées concernant
menaces en fort développe- des plateformes, telles qu’OSX, Linux et Android, le nombre de
ment provenant d’attaques malwares conçus pour cibler exclusivement des ordinateurs Win-
très ciblées, au cours des- dows domine toujours le paysage global des échantillons traités
quelles un ou plusieurs par les processus des SophosLabs pendant une période donnée.
criminels se sont introduits Nous constatons de plus en plus que les malwares adoptent les
manuellement dans l’ordinateur d’une entreprise, désactivant ou fonctionnalités intégrées du système d’exploitation Windows,
échappant aux outils de sécurité internes en temps réel, et en lançant telles que la variante MacGyver hostile et mutante, dominant
de manière synchronisée des malwares sur des réseaux entiers ainsi la machine en recourant uniquement à son intelligence et
de machines. aux outils qu’elle peut utiliser à partir des ressources locales.
29
MALWARES BUSTERS
Une configuration standard pour Windows 10 comprend généralement à laquelle un vers pouvait se propager latéralement vers d’autres ma-
PowerShell, WMI, Windows Scripting Host et d’autres outils d’adminis- chines du même réseau. En cette fin d’année 2018, on constate une
tration puissants. Au cours des deux dernières années, l’utilisation abu- utilisation très étendue de l’exploit EternalBlue au sein de l’écosystème
sive de tous ces outils (entre autres) intégrés dans les suites d’adminis- des malwares, même si Microsoft a publié une mise à jour qui protège
tration et de gestion représente une grande partie des attaques de les machines Windows peu de temps après sa divulgation.
malwares courantes. Selon le langage utilisé par les analystes qui étu- La charge virale du ransomware WannaCry a été la première utilisation
dient ce phénomène, de nouvelles versions de « scripts LoL » font ré- connue d’EternalBlue à grande échelle, après sa divulgation par Shadow
gulièrement leur apparition. Brokers, mais le ransomware ne serait pas le seul malware contenu
Le plus souvent, les attaquants utiliseront une commande ou un système dans cet exploit. La sous-culture du cryptojacking a fait un usage
administratif pour en appeler un autre. Une attaque hypothétique peut précoce et inattendu d’EternalBlue. Le minage de cryptomonnaies est
enchaîner une séquence de différents types de script, chacun s’exécutant une activité exigeante en matière de ressources et nécessite non seu-
via un processus Windows différent. Par exemple, si une victime dou- lement du temps, mais également une importante puissance de calcul
ble-clique sur un fichier .js illicite, présent dans un email, ce dernier ap- pour réaliser un travail de qualité. Les processeurs rapides coûtent cher
pellera wscript.exe et lui demandera de télécharger et de lancer un et leur utilisation à un niveau de puissance élevée, pendant de longues
script PowerShell .ps1, qui pourra ensuite télécharger et lancer, à son périodes, génère des coûts supplémentaires, du fait du surplus de puis-
tour, un fichier exécutable. La séquence et les types de fichiers utilisés sance demandé ou d’une défaillance matérielle due à des périphériques
durant l’attaque peuvent varier, mais ce type d’attaque en chaîne est soumis à des contraintes excessives. Peu de temps après que les logiciels
devenu monnaie courante. de minage soient devenus largement disponibles, des mineurs de cryp-
Dès que l’exécutable est lancé et injecte son code dans un autre pro- tomonnaies sans scrupules ont essayé d’abuser d’autres utilisateurs
cessus Windows, il pourra alors fournir et exécuter un fichier batch qui afin de tirer parti de leurs machines, au profit de leurs activités de mi-
supprimera l’exécutable, et par la suite le fichier batch lui-même, ne nage.
laissant le cas échéant, que très peu de traces de son passage. En réalité, le fait de pouvoir répandre du code de minage de crypto-
monnaies indésirable, de manière synchronisée, sur des réseaux entiers
LA CROISSANCE EXPONENTIELLE remplis d’ordinateurs constitue un avantage certain (pour le mineur
DES EXPLOITS OFFICE malveillant, bien entendu, pas pour le propriétaire de la machine cryp-
tojackée). En effet, si dix machines génèrent dix fois plus de revenus
en cryptomonnaies qu’une seule machine, alors 100 machines iden-
Le changement philosophique majeur concerne la façon dont les ana- tiques utilisant toutes des outils de minage peuvent alors en générer
lystes traitent les fichiers qui ne sont pas « exécutables » au sens encore dix fois plus.
traditionnel d’une application compilée. Les documents Office, tels que Le couplage d’EternalBlue avec un logiciel de cryptominage a transformé
les feuilles de calcul Excel, en sont un bon exemple : une feuille de ce hobby plutôt malveillant en une activité cybercriminelle à plein
calcul peut contenir un pseudo-code exécutable, sous la forme d’une temps et très lucrative. La distribution latérale signifie que le cryptomi-
« macro » Microsoft Office, ou un exploit contre une ou plusieurs neur peut se copier sur des dizaines, voire des centaines, de machines
vulnérabilités de sécurité connues et affectant Excel. supplémentaires, qui reversent toutes leurs gains sur le(s) compte(s)
Les documents Office sont au cœur des attaques depuis plusieurs de l’attaquant. Pendant ce temps, la victime doit faire face à des coûts
années, mais la plupart d’entre elles exigent que l’utilisateur active le énergétiques élevés, du fait de l’activité de minage en cours d’exécution
code de script macro incorporé dans les documents. Au cours des der- sur son processeur, et aux vitesses élevées utilisées, entraînant ainsi
nières années, les cybercriminels ont déployé des efforts considérables une usure prématurée et accrue au niveau d’ordinateurs qui se retrou-
pour élaborer et peaufiner des documents incitant ainsi les victimes à veront être au final pénalisés et dépréciés.
prendre des mesures spécifiques pour désactiver les protections conçues Au cours des deux dernières années, les malwares cryptomineurs sont
pour contrecarrer les macro-scripts malveillants. Même si la suite Office devenus l’une des formes de malwares les plus répandues lors d’at-
envoie plusieurs avertissements à destination de l’utilisateur, ce dernier taques, rejoignant les rangs des ransomwares, des RAT génériques et
peut toujours être incité à activer le script ou à désactiver le « mode
des voleurs de mots de passe au niveau du nombre brut de détections
aperçu » pour les documents Office provenant d’un téléchargement
par mois. Comme les malwares de cryptojacking peuvent être multi-
Internet ou d’une pièce jointe d’un email. plateformes, ils affectent potentiellement tous les objets connectés à
Les cybercriminels utilisent des outils spéciaux, appelés Builders, pour Internet que nous utilisons.
générer ces documents malveillants. Les outils savent comment écrire
LA MENACE CROISSANTE ET PERSISTANTE
le code de l’exploit hostile ou de la macro dans le fichier document. Au
cours des 12 derniers mois, les éditeurs de Builders ont abandonné de
manière radicale les anciens exploits, dont certains étaient utilisés DES MALWARES MOBILES
depuis de nombreuses années. Les exploits antérieurs à 2017 repré-
sentaient moins de 3% du contenu des échantillons examinés lors Alors que les malwares qui s’exécutent sur le système d’exploitation
d’une récente enquête menée par les SophosLabs sur les documents Windows dépassent largement les malwares de toutes les autres pla-
malveillants. teformes, les utilisateurs d’appareils mobiles sont de plus en plus
Trois outils Builders représentent à eux seuls les trois quarts des docu- exposés à des activités cybercriminelles qui parviennent à installer des
ments malveillants analysés lors de nos derniers tests. Chaque Builder applications malveillantes sur leurs téléphones, tablettes ou autres ap-
semble avoir sur sa liste quelques clients principaux, à savoir des pareils utilisant Android et iOS. Après tout, la plupart d’entre nous uti-
distributeurs de malwares : Threadkit est le Builder préféré des malwares lisent ces ordinateurs très puissants, présents en permanence dans nos
Trickbot, tandis que les distributeurs de FareIt et de LokiBot utilisent poches, pour sécuriser certaines données très sensibles, notamment
principalement un Builder appelé EQN_kit1. notre liste de contacts, nos gestionnaires de mots de passe, nos comptes
de réseaux sociaux, nos messages texte SMS et nos applications d’au-
DÉPLACEMENT LATÉRAL thentification à deux facteurs.
(LATERAL MOUVEMENT) : L’OMNIPRÉSENCE Depuis un certain temps, il est fréquent que des versions malveillantes
d’applications populaires se retrouvent dans des app-stores tiers. Il
D’ETERNALBLUE peut s’agir d’endroits hébergeant des versions piratées et/ou des
versions trojanisées d’applications légitimes. Le bon sens voudrait (et
Les attaques WannaCry et NotPetya ont montré la vitesse phénoménale en fait, il s’agit ici de notre recommandation) que l’on utilise les
31
MALWARES BUSTERS
app-stores officiels, mais même cette précaution peut ne pas être LES ATTAQUES CIBLANT L’INTERNET
suffisante pour vous protéger vis-à-vis des applications indésirables.
Bien que Google et Apple offrent tous deux un écosystème fermé pour DES OBJETS
la distribution des applications et analysent activement celles récemment
téléchargées, à la recherche d’extraits de code réputés malveillants, Alors que nos foyers et nos entreprises adoptent de plus en plus
leurs méthodes ne sont pas parfaites. Les développeurs d’applications d’objets connectés à Internet, et en particulier ceux qui n’avaient pas
malveillantes jouent avec le système depuis des années et leurs l’habitude de l’être, de leur côté les cybercriminels ont imaginé de
applications malveillantes apparaissent sur le magasin Google Play et nouveaux moyens de détourner ces appareils pour les utiliser comme
l’App Store d’Apple. des nœuds au sein d’énormes botnets. Les cybercriminels peuvent en-
suite exploiter ces botnets pour lancer des attaques distribuées par
déni de service, miner de la cryptomonnaie, infiltrer des réseaux à des
ANDROID : LE BON, LA BRUTE fins d’espionnage ou de vol de données, ou même créer un véritable
ET LE TRUAND chaos en « brickant » l’appareil, le mettant définitivement hors ligne
ou en réclamant une rançon pour le restaurer et lui redonner toutes
La plateforme Android est depuis longtemps une cible privilégiée pour ses fonctionnalités.
les développeurs d’applications malveillantes. La nature ouverte de la Ces types d’attaques sont difficiles à détecter, car elles sont rarement
plateforme et les faibles obstacles à l’accès des développeurs ont long- évidentes jusqu’à ce que tout se passe mal, et que le périphérique en
temps été une arme à double tranchant, facilitant en fait la création question se retrouve lui-même affecté. Dans de nombreux cas, les mal-
d’applications fonctionnelles. Nous avons suivi un certain nombre de wares ciblant les périphériques IoT ne peuvent pas établir une sorte de
campagnes malveillantes impliquant la plateforme Android en 2018, persistance. Un simple cycle de mise hors tension suffit donc pour
notamment des applications de type Trojan qui volent des identifiants « nettoyer » le périphérique, mais cela n’est pas toujours possible ni
bancaires et des mots de passe au niveau d’autres services, notamment pratique. Et si la méthode par laquelle les attaquants ont infecté le pé-
la messagerie électronique, interceptent et envoient des SMS, exfiltrent riphérique en premier lieu n’a pas été traitée d’une manière ou d’une
la liste des contacts du propriétaire, et même des mineurs de crypto- autre, ce n’est qu’une question de temps avant que ces dispositifs ne
monnaies déguisés de manière plutôt perverse en utilitaires pour éco- soient à nouveau infectés.
nomiser la batterie (quand, en fait, utiliser un cryptomineur est l’activité En 2018, les SophosLabs ont enregistré une croissance significative du
la plus gourmande en énergie que vous puissiez entreprendre avec un nombre d’attaques ciblant les objets connectés. Bien que, dans de
téléphone). nombreux cas, un changement des mots de passe par défaut utilisés
par une classe ou une marque de périphérique aurait été suffisant
pour empêcher toute réinfection, certains cas exceptionnels méritaient
toutefois un traitement particulier.
FACEBOOK, LOJAX, SAMSAM,

VPNFILTER… AURONT MARQUÉ
LES ESPRITS EN 2018
Concernant les attaques et démonstrations d’exploitation de failles
de sécurité les plus marquantes de cette année 2018, nos experts
ont chacun leur favori. Pour Loïc Guézo, Stratégiste Cyber-sécurité
Europe du Sud, Trend Micro, 2018 a été marquée par des failles
historiques Hardware uniques, MeltDown et Spectre, finalement
sans impact, alors que des failles Software, restées sous silence
volontairement par les victimes, ont eu des impacts planétaires !
En octobre, le Wall Street Journal a par exemple révélé que Google
avait découvert, et caché, une faille de sécurité dans son réseau
social Google+. Cette dernière aurait permis à des développeurs
extérieurs de potentiellement accéder aux données personnelles
d'environ 500 000 utilisateurs du service entre 2015 et mars 2018
(pendant 3 ans !), date de la découverte du problème. Ce bug se
situait dans l'API de Google+, qui permet normalement à d'autres
applications de se « brancher » au réseau social. Le service, qui
était très peu utilisé, devrait fermer définitivement dans les prochains
mois. Cet incident fait écho au piratage qu'a subi Facebook, ayant
touché cette fois-ci 50 millions d'utilisateurs dans le monde, révélé
bien plus vite par le réseau social, mais aussi au scandale Cambridge
Analytica, qui a éclaté début 2018.
L’année 2018 a effectivement été extrêmement active dans le domaine

des atteintes à la protection des données, constate Bogdan Botezatu.
Le premier incident majeur de 2018 a commencé avec Aadhaar (l'au-
torité d'identification unique en Inde) qui a vu la divulgation de 1,1
milliard de documents appartenant aux citoyens indiens.Cet incident
a été suivi d'une autre fuite massive de données provenant de la so-
ciété de marketing et d'agrégation de données Exactis, basée en Flo-
33
MALWARES BUSTERS
ride, qui a subi la perte de 340 millions d'enregistrements issus d'un De son côté, Sean Sullivan
serveur de bases de données accessibles au public. Mais l'un des cite également l’attaque
incidents les plus notoires reste sans doute l'atteinte à la protection SamSam ayant ciblé les
des données de Facebook, évoquée précédemment, au cours de systèmes de la ville d’At-
laquelle des cybercriminels ont accédé aux informations personnelles lanta [2]. « Le 28 novembre,
d'environ 50 millions d'utilisateurs, via l’exploitation d'une vulnérabilité le Ministère de la Justice
dans la fonction « view as ». américain a inculpé deux
Iraniens pour cette attaque
Sébastien Gest remarque, d'Atlanta et de nombreux
quant à lui, deux types autres crimes [3]. Ils sont
d'attaques qui sont en toujours en fuite à l’heure
recrudescence : actuelle, et représentent
• La fraude au président, à mes yeux la tendance
qui en France fait toujours future de la cybercrimina-
de plus en plus de lité. Ils ont choisi leurs
ravages ; cibles et ont fait leurs de-
• Et la fuite de données Sean Sullivan, F-Secure voirs pour pénétrer plus
personnelles de clients, profondément dans les sys-
avec cette année des tèmes ciblés. Ils ont été identifiés, mais restent en dehors de la
fuites monstres, comme juridiction américaine. Certains estiment que l'acte d'accusation
c h e z C a t h a y Pa c i f i c , aura un effet dissuasif, je pense qu'il servira plutôt de modèle pour
British Airways ou plus d'autres groupes d’attaquants. » Une évolution à surveiller de près
récemment Amazon. donc…
Sébastien Gest, Vade Secure
Malheureusement toujours en progrès, la cybercriminalité n’a
Selon Benoît Grunemwald, les cyberattaques les plus marquantes en effectivement pas connu de repos en 2018, déplore Loïc Guézo.
2018, du point de vue de la « nouveauté », sont notamment Lojax « Toutefois, les forces de police, les entreprises potentielles victimes,
(première attaque documentée contre UEFI « gracieusement offerte » mais aussi les particuliers visés ne restent pas inactifs ou sans sup-
par Sednit), et Exaramel (une backdoor sophistiquée qui relie NotPetya port : réorganisation ou optimisation de la réponse institutionnelle
à Industroyer). « On se souviendra également de VPNFilter, un logiciel (création du dispositif cybermalveillance.gouv.fr, publication des
malveillant ciblant une large palette de modèles de périphériques IoT, OSE (Opérateurs de services essentiels) par l’ANSSI, création d’une
capable de survivre à un redémarrage. Il y a bien sûr d’autres exemples réserve cyber Police Nationale…), évolution des réponses techno-
de logiciels malveillants qui ciblent des utilisateurs au niveau mondial logiques de protection, de détection et de réaction, et in fine meil-
mais qui n’ont rien de si « extravagants », comme les familles de leure sensibilisation de l’ensemble de notre société à ces
malwares que sont GandCrab, Crysis ou SamSam. Sans compter les problèmes… accentuent la difficulté pour les acteurs malveillants
importantes failles de cybersécurité mises en avant en 2018 qui de parvenir à leurs fins », conclut-il. Ce qui représente déjà une
représentent de sérieuses menaces, telles que Spectre & Meltdown. avancée significative dans la lutte contre le cybercrime et laisse
Enfin, la publication de bon nombre de nouveaux « zero-day » via les une lueur d’optimisme pour les années à venir… ■ ■ ■
médias sociaux est également à noter. »
LES ATTAQUES LES PLUS MARQUANTES DE 2018 [1]

Selon Michel Lanaspèze, Sophos
Internet ou bien pour gérer leurs emails pendant leurs moments de
1.SAMSAM : UNE ILLUSTRATION DU PASSAGE détente. Mais ils ne suivent manifestement pas cette règle d’or, car
les attaquants n’ont pas tardé à s’emparer de leurs identifiants et à
EN MODE D’ATTAQUE MANUELLE les utiliser.
Une fois que ces identifiants d’Administrateur de Domaine ont été
capturés, le cybercriminel attend le moment opportun, par exemple
Pendant près de trois ans, un petit groupe de cybercriminels spécia- tard dans la nuit, un vendredi juste avant un week-end de congés,
lisés a attaqué de nombreuses entreprises en utilisant des techniques pour déclencher l’attaque. Fort de ses connaissances en outils et
manuelles pour répandre un ransomware appelé SamSam. Durant techniques d’administration Windows, couramment utilisés pour dis-
toute cette période, les gangs criminels ont initié presque toutes les patcher des modifications au niveau des logiciels ou des politiques,
attaques qui ont réussi avec des attaques de type RDP par force le cybercriminel tente d’introduire le malware simultanément sur
brute au niveau des mots de passe. Des mots de passe longs et toutes les machines.
complexes, jamais partagés ni réutilisés ailleurs, résistent bien mieux Un gros avantage de cette méthodologie pratique est qu’elle donne
à ce type d’attaque, mais l’attaquant derrière SamSam a réussi à aux assaillants la capacité de surmonter des obstacles qui, autrement,
obtenir un succès considérable en choisissant les machines les plus empêcheraient leur tâche d’aboutir. Parfois, cela implique d’envoyer
faciles à attaquer : des machines avec des mots de passe relativement des commandes ou d’exécuter un logiciel supplémentaire qui dés-
faibles, accessibles depuis une zone située hors du périmètre de sé- active les méthodes de protection basées sur le réseau ou les sys-
curité de l’entreprise. tèmes Endpoint. Dans certains cas, cela a conduit à des combats
Ainsi, en utilisant cette machine comme point d’appui, les cybercri- virtuels de type « run & gun » opposant cybercriminels experts en
minels ont détecté les identifiants de l’Administrateur de Domaine ransomwares et informaticiens en charge des signalements, qui ont
à l’aide d’outils accessibles au grand public, tels que Mimikatz. Les immédiatement réagi aux alertes ou remarqué des évènements sus-
Administrateurs de Domaine doivent uniquement se connecter à pects. De temps en temps, les victimes réussissaient à contrecarrer
ces machines pour leurs activités spécifiques et non pour surfer sur l’attaque, mais l’attaquant sortait vainqueur le plus souvent.
35
MALWARES BUSTERS
Une fois que toutes les mesures de protection internes sont en

place, l’attaquant lance son offensive. Cette dernière prend, certes, Un code cryptomineur dans des jeux ou des utilitaires
un certain temps, mais le chiffrement prend, quant à lui, bien plus Dans le cadre de ses recherches de malwares mobiles, notre équipe
de temps pour être mis en œuvre. Au moment où la plupart des a enregistré une augmentation importante du nombre d’applications
responsables informatiques remarquent ce qui s’est passé, le mal qui, sans notification faite à l’utilisateur, incluaient du code crypto-
est fait. mineur dans l’application. Le code était censé être exécuté avec ou
La minutie de l’attaque est si parfaite qu’un pourcentage élevé de sans l’application elle-même et fonctionnait en puisant constamment
victimes choisissent de payer la rançon. SamSam a considérablement dans la batterie du téléphone (ou d’un autre appareil). Les crypto-
augmenté les montants habituellement demandés en exigeant des mineurs mettent les processeurs à rude épreuve en exécutant de
rançons allant de 10 000$ (8 900€) à plus de 50 000$ (44 500€) manière répétée des opérations mathématiques complexes. Les té-
par attaque, soit un ordre de grandeur bien plus important que le léphones qui le font constamment sembleraient avoir considérable-
ransomware GandCrab, plus classique, qui ne demandait qu’une ment réduit la durée de vie de leur batterie par rapport aux modèles
rançon de 400$ (à peu près 355€). identiques sur lesquels le code de minage n’était pas présent.
Plus tard en 2018, les cybercriminels ont commencé à répandre Comme le code de minage n’est pas intrinsèquement malveillant, il
le ransomware BitPaymer et Dharma en utilisant des techniques peut échapper aux vérifications effectuées par Google ou d’autres
d’attaques ciblées similaires. plateformes. En fait, une partie du code de minage n’est même pas
(techniquement) « dans » l’application, mais peut être un mineur
2. DES CAMPAGNES MALVEILLANTES basé sur du code JavaScript hébergé au niveau d’un site Web externe,
INHABITUELLES AFFECTENT ANDROID et appelé ensuite par l’application.
Des publicités de type « fraude au clic » intégrées

Phishing-in-the-app
dans les applications
Nous avons découvert qu’un moyen permettant aux cybercriminels
La fraude en matière de publicité est, de manière surprenante, l’une
de contourner les vérifications du code source de Google Play consis-
des entreprises criminelles les plus rentables à l’heure actuelle, et
tait à ne pas inclure de contenu malveillant dans l’application
les applications mobiles semblent être un élément clé de ce cyber-
elle-même, mais plutôt à créer une application qui apparaissait sous
crime plutôt subtil. Le secteur de la publicité estime qu’aujourd’hui,
la forme d’une fenêtre de navigateur dirigeant ensuite l’internaute
selon les données publiées par la World Federation of Advertisers,
vers un site de phishing. Les applications, dans ce cas, ont été le coût des annonces frauduleusement « cliquées » dépasse 19 mil-
conçues en parallèle avec le site de phishing, de sorte que cette liards de dollars (soit environ 17 millions d’euros) par an.
expérience soit des plus transparentes pour l’utilisateur. Les annonceurs paient les réseaux publicitaires pour afficher leurs
Ces applications étaient commercialisées comme des outils de annonces, puis versent souvent une prime lorsque quelqu’un clique
gestion de compte bancaire : certaines imitaient l’apparence et uti- sur ces annonces et visite le site Web de l’annonceur. Les réseaux
lisaient des logos volés aux banques ciblées, d’autres s’appelaient d’annonces sont payés par l’annonceur et les affiliés (essentiellement
des « e-DAB » (à savoir des guichets automatiques électroniques) des entrepreneurs indépendants qui acceptent de placer des an-
et offraient un service grâce auquel, du moins selon les promesses nonces moyennant une réduction de frais) reçoivent une partie de
faites par les cybercriminels, les clients pouvaient entrer les données ce paiement. La fraude au clic est un crime dans lequel des criminels
de leurs cartes de crédit et se faire livrer les espèces par courrier établissent des comptes d’affiliés avec des réseaux d’annonces, puis
directement à leur domicile, et ce sans avoir à se rendre à la banque. créent un logiciel automatisé donnant l’impression que des milliers
Étant donné que l’application ne contenait que le code permettant de personnes ont cliqué sur la publicité placée par l’affilié, même si
de faire appel au navigateur Webview Android, ainsi que quelques aucun être humain n’a encore vu l’annonce, et encore moins cliqué
logos et autres graphismes, les applications ont réussi à se soustraire dessus.
aux contrôles de sécurité mis en place par Google. Les malwares affectant les ordinateurs Windows représentent une
part importante du problème, mais les applications mobiles consti-
Compromission de la chaîne d’approvisionnement tuent un segment en croissance au sein de cette entreprise criminelle
Grâce à un panneau de messagerie en ligne, nous avons découvert extrêmement lucrative qui, selon la World Federation of Advertisers,
une version Trojanisée d’une application légitime, incluse dans le génère plus de revenus pour le crime organisé qu’a priori tous les
firmware sorti d’usine d’un petit fabricant de téléphones portables, autres types de crime (et pas simplement les cybercrimes) en dehors
expédiée aux clients et intégrée au niveau de téléphones flambant du trafic de drogue. Les utilisateurs mobiles d’applications qui sont
neufs. L’application d’origine, appelée Sound Recorder, a été modifiée victimes de fraude au clic signalent une multitude de problèmes,
pour inclure du code ne faisant pas partie de sa mission initiale. En notamment une réduction de la durée de vie de la batterie et l’uti-
effet, elle pouvait intercepter et envoyer des SMS en secret. lisation constante des données mobiles.
Le moment exact où a eu lieu cette action malveillante n’a pas été
3. LES ATTAQUES LES PLUS NOTABLES AYANT
clairement défini : le fabricant de téléphones, dans ce cas, utilise
des services d’hébergement anonymes gratuits pour ses images de
firmware, plutôt que de les héberger sur son propre site Web. CIBLÉ L’INTERNET DES OBJETS
L’application elle-même a été développée par une entreprise tierce,
en parallèle et sans lien avec le fabricant du téléphone, et son code VPNFilter
source aurait ainsi pu être compromis à ce niveau-là, et avant d’être La découverte de malwares ayant affecté une large gamme de péri-
livrée à ce dernier. phériques réseau domestiques et professionnels (appartenant no-
La version malveillante de l’application aurait pu être insérée dans tamment à des PME) en 2018 a révélé l’impact potentiel des mal-
la chaîne d’approvisionnement à différents endroits. Elle n’a jamais wares susceptibles de persister sur ces périphériques et, dans certains
été mise à disposition via un app-store, mais uniquement dans une cas, de les détruire de manière permanente. VPNFilter a été découvert
image de firmware spécifique sur un modèle particulier de téléphone pour la première fois sous la forme d’un processus inattendu s’exé-
Android bon marché. cutant au niveau d’une famille de routeurs domestiques. Le malware
37
MALWARES BUSTERS
était unique parmi les autres malwares IoT pour plusieurs raisons : pour se diffuser automatiquement et ajouter ces périphériques à un
• Premièrement, il était très extensible, avec une série de composants botnet pouvant être utilisé pour cibler des sites Web attaqués via
plugin auxquels il pouvait faire appel pour effectuer des tâches des attaques DDoS.
spécifiques, telles que l’exfiltration des données transitant par le Alors que Mirai vit toujours, plusieurs autres familles de bots, prêtes
routeur ou l’effacement radical du firmware d’un périphérique. à prendre la relève, ont vu le jour, dont certaines empruntent des
• Deuxièmement, il s’est avéré capable de persister sur les périphé- morceaux de code à Mirai, notamment Aidra, Wifatch et Gafgyt. Les
riques en utilisant des exploits très ciblés contre les vulnérabilités gangs criminels qui exploitent une infrastructure permettant de
des périphériques concernés. déployer ces botnets ont développé toute une gamme d’attaques
L’analyse s’est compliquée du fait de l’utilisation d’une nouvelle automatisées ciblant un large éventail de périphériques en réseau.
approche de Command-and-Control : VPNFilter récupérait ses Au-delà des routeurs peu coûteux, elles incluent désormais des ser-
instructions en visitant un site Web de partage de photos public et veurs de bases de données, des routeurs du commerce, des caméras
bien connu, et en téléchargeant des photos de charme spécialement de vidéosurveillance (CCTV) et des systèmes DVR. Wifatch est unique,
conçues, et contenant des instructions intégrées. car il agit comme une sorte de justicier et utilise les capacités de ces
types de bots pour infecter des périphériques vulnérables, puis avertit
Mirai et ses successeurs leurs propriétaires afin qu’ils les sécurisent mieux à l’avenir et
Le botnet Mirai, dont le code source avait été rendu public en 2016, résistent ainsi à de futures attaques.
utilisait les exploits de certains modèles de périphériques réseau
[1] https://www.sophos.com/fr-fr/medialibrary/pdfs/technical-papers/sophoslabs-2019-threat-report.pdf
[2] https://en.wikipedia.org/wiki/2018_Atlanta_cyberattack
[3] https://www.justice.gov/opa/pr/two-iranian-men-indicted-deploying-ransomware-extort-hospitals-municipalities-and-public
39
© Sebastian Kaulitzki
MALWARES BUSTERS
2019 : NOTRE SOCIÉTÉ ELLE-

MÊME DEVIENT VULNÉRABLE
Après une année 2018 chargée en actualités cybercriminelles, à quoi devons-nous nous attendre
en 2019 ? L’Internet des objets ne cesse de prendre de l’ampleur et le monde de demain sera
incontestablement encore plus connecté qu’aujourd'hui… et donc la surface d’attaque encore
plus grande ! C'est notre société entière qui devient ainsi vulnérable et tous ses pans seront dans
la ligne de mire des criminels : santé, industrie, e-gouvernement…
Benoît Grunemvald, ESET France, ne s’attend pas à un « changement Une catégorie spécifique
radical en 2019 par rapport à ce que nous voyons déjà en ce d’appareils de l’Internet des
moment : objets, à savoir les implants
• L’une des principales tendances sera certainement liée au volume médicaux connectés à Inter-
croissant d’objets connectés (Internet of Things) aux réseaux des net, sera de plus en plus ci-
entreprises et des utilisateurs, créant ainsi une surface d’attaque blée par les cybercriminels.
élargie et de nouveaux terrains de jeu pour les attaquants. Dans le pire des cas, des im-
• De son côté, le nombre de violations de données et de fuites plants corporels intégrant
signalées va probablement augmenter, notamment en raison des des technologies de connec-
nouvelles réglementations en vigueur ou à venir. tivité sans fil pourraient
• Nous nous attendons également à ce que les malwares, même être infectés par des
cryptomineurs, logiciels bancaires truqués et autres attaques ransomwares. Vous devrez
caractérisées basées sur des logiciels malveillants se poursuivent au alors non plus payer pour ré-
cours des mois et années à venir, tout simplement car ils se sont cupérer des données, mais
révélés être des solutions efficaces pour permettre à leurs auteurs bien pour survivre.
mal intentionnés de faire fortune.
• Enfin, l’année 2019 verra probablement aussi de plus en plus de Bogdan Botezatu, Bitdefender Pour Sébastien Gest, Vade
hoax et de fake news, avec une amélioration de leur « qualité ». Secure, « la récente chute
Grâce à l’automatisation, les guerres d’information pourront des cryptomonnaies oblige les groupes mafieux à revoir leur mode de
également gagner en intensité, tout en devenant plus rentables. » financement. Le prix du bitcoin a chuté et de nombreux acteurs du
mining stoppent leur activité faute de rentabilité. Les pirates ne
PAYEZ, NON PLUS POUR RÉCUPÉRER peuvent donc plus compter uniquement sur le cryptomining ou le
Ransomware-as-a-Service.
VOS DONNÉES, MAIS POUR Du fait des nombreuses fuites de données (plus de 1,7 milliard
SURVIVRE… d'enregistrements depuis le début de l'année 2018), il ne serait pas
étonnant de voir également de plus en plus d'arnaques, d'usurpation
Bogdan Botezatu, Bitdefender, estime quant à lui que les d'identité et de pression sur les consommateurs. En outre, le phishing
cybercriminels se concentreront davantage en 2019 sur l'utilisation et le spear phishing seront certainement plus que jamais au centre
des documents MS Office comme vecteurs d'attaques, en particulier des préoccupations des entreprises. »
quand ils cibleront les entreprises. En combinant des macros et des
exploits MS Office connus avec des tactiques d'ingénierie sociale, les UN MONDE DE PLUS EN PLUS
pirates informatiques seront probablement en mesure de diffuser plus
efficacement leurs malwares et de contourner les restrictions relatives
CONNECTÉ… ET DE PLUS EN PLUS
aux pièces jointes des e-mails. VULNÉRABLE
Une autre tendance importante sera effectivement liée à l'Internet des
objets (IdO ou IoT) et à la pénétration importante des appareils De son côté, Loïc Guézo, Trend Micro, estime que le monde de 2019
intelligents - et souvent non sécurisés – au sein des foyers et des sera incontestablement encore plus connecté que celui de 2018 ou
entreprises. Ces dispositifs rejoignent souvent des botnets et sont utilisés 2017… « La surface d’attaque, mais aussi les capacités de fraude des
par les cybercriminels pour lancer des attaques DDoS dévastatrices criminels pour faire de l’argent, n’en seront que plus grandes ; bien
contre des infrastructures sensibles ou des services critiques. au-delà de l’attaque sur l’entreprise classique ou le citoyen lambda,
40
MALWARES BUSTERS
c’est l’évolution-même de la société qui fournira les points de

faiblesse :
• Travail nomade en hausse : les attaquants vont alors cibler les objets
connectés personnels pour s’introduire sur le SI de l’entreprise ;
• Impact de la mise en place du RGPD : les attaquants vont jouer de
ce nouveau risque financier de sanction pour le tourner à leur
avantage (chantage à la fuite, compromission monnayée contre MALWARES BUSTER
divulgation…) ; S
• Attaque BEC en hausse : le social engineering couplé au 2019: society itself is be
coming vulnerable
détournement des informations déjà publiques sur les réseaux
sociaux ou autres vont permettre des attaques lourdes de By Marc Jacob and Emmanue
lle Lamandé
conséquences car de plus en plus crédibles… ;
• Transformation numérique des entreprises et des organisations After a busy 2018 of cyberc
rime, what should we expect
publiques vers le Cloud, alors que les prestataires de Cloud vont for 2019? The Internet of Thin
gs will continue to develop
devenir des cibles rêvées : attaques systémiques et espionnages and tomorrow's world will cert
ainly be even more connec-
« multi tenant », détournement massif de ressources pour du ted than today ... and the
exposure to attack even
cryptomining… ; greater! Society itself is now
becoming vulnerable and no
• Factory 4.0 : nouvel axe d’extorsion de fonds, quand la production part of it will be shielded from
the crosshairs of crooks:
industrielle est une cible, sans parler de réaction en chaîne en cas health, industry, e-governm
ent …
d’arrêt de services essentiels… ;
• E-gouvernement : manipulation d’opinion via les réseaux sociaux,
fake news…
SEULS LES CYBERCRIMINELS LES PLUS

QUALIFIÉS TIRERONT LEUR ÉPINGLE
DU JEU…
Le paysage des menaces est effectivement en constante évolution,
constate également Michel Lanaspèze, Sophos. Toutefois, il estime que
sous la pression des nouvelles avancées en matière de techniques de
protection, les cybercriminels les moins qualifiés seront contraints de
se retirer, alors que ceux plus compétents devront durcir leur jeu pour
survivre. « Nous allons donc nous retrouver avec moins d’adversaires,
mais ils seront plus intelligents et plus forts. Ces nouveaux
cybercriminels sont un croisement entre le cybercriminel d’autrefois,
ésotérique et ciblé, et le fournisseur de malwares prêts à l’emploi. Ils
utilisent des techniques de piratage manuel, non pas à des fins
d’espionnage ou de sabotage, mais pour des gains financiers
malveillants.
La conséquence négative est
qu’il devient de plus en plus
difficile de bloquer ces me-
naces hybrides avec les mé-
thodes conventionnelles. Le
côté positif est que le nom-
bre de cybercriminels suffi-
samment compétents pour
maîtriser ces techniques di-
minue, et que leurs coûts
opérationnels pour maintenir
l’efficacité de leurs activités
malveillantes augmentent.
C’est un processus d’évolu-
tion darwinienne, dont les ré-
percussions sur le modèle
Loïc Guézo, Trend Micro économique des cybercrimi-
nels, et sur la dynamique
d’attaque/défense, bénéfi-
cient aux utilisateurs qui se tiennent à jour des dernières avancées en
matière de protection », conclut-il. ■ ■ ■
41
CHRONIQUE TECHNIQUE
©untitled
COMPROMISSION DU PROTOCOLE
BLE : UNE PORTE D’ENTRÉE AU
PIRATAGE D’OBJETS CONNECTÉS
Par Julia Juvigny-Nalpas,
Responsable Études & Veilles pour le CERT digital.security
Le 12 août 2018, à l’occasion de la 26ème édition de la DEF CON, l’un des principaux évènements
mondiaux dédiés à la sécurité informatique, notre expert sécurité Damien Cauquil (@Virtualabs) a
présenté ses derniers travaux de recherches sur le protocole Bluetooth Low Energy (BLE) : You'd
better secure your BLE devices or we'll kick your butts! [1]. La nouvelle attaque qu’il a mise en œuvre
est une méthode de brouillage Bluetooth identifiée CVE-2018-7252 qui permet à un pirate de prendre
le contrôle de connexions Bluetooth vulnérables. Selon Damien, le matériel utilisé dans les attaques
des connexions BLE coûte très cher et les techniques sont souvent approximatives, c'est pourquoi il a
développé l’outil Btlejack [2]. Il utilise également un micro bit d’une valeur de 15 euros [3].
Comment se déroule l’attaque ?

Lorsque deux appareils sont connectés entre eux en BLE, ils mettent
en place un dialogue constant. Cette connexion, invisible pour les
utilisateurs finaux, permet de vérifier en permanence que le lien n’est
pas rompu [7]. Selon les propos de Damien recueillis par le site
d’information Next Inpact, « depuis des années, on peut analyser et
intercepter des communications. Par contre, la prise de contrôle était
considérée comme peu faisable ». La faille découverte permet ainsi
de s’immiscer dans les échanges entre deux appareils communiquant
en BLE, en envoyant quelques bits de données par ondes radio à un
intervalle précis [8]. C’est ce que l’on appelle une attaque de type
« Man-in-the-Middle ». « Il est possible de faire croire au smartphone
Damien Cauquil lors de sa conférence à la DEFCON [4] que l’objet auquel il est connecté ne renvoie plus de données valides,
afin qu’il considère la connexion comme perdue », précise Damien
Le protocole BLE est un système qui fonctionne de la même façon que aux journalistes du site Next Inpact [9]. Damien aurait également
le Bluetooth classique. Il est largement utilisé pour connecter des précisé qu’il était possible de « désynchroniser le smartphone de
objets qui n’ont pas besoin de transmettre beaucoup d’information l’objet. C’est à partir de ce moment que l’objet, ne recevant plus
et par conséquent consomment peu d’énergie. Les objets connectés d’information, va lancer son minuteur jusqu’à déclarer que la
qui utilisent ce protocole sont des smartphones, des serrures connexion est perdue. C’est un effet secondaire du fonctionnement
connectées, des drones, mais également des appareils médicaux de la connexion » [10].
comme des tensiomètres. En cas de compromission dudit protocole,
un attaquant pourrait prendre le contrôle total de la connexion établie
à l’insu des utilisateurs. On imagine ce que pourrait entraîner ce type
d’attaque : le vol de données personnelles ; un cas préoccupant pour
les appareils de santé qui font justement partie des objets pour
lesquels l’utilisation du BLE est adaptée [5].
Extrait du code servant à compromettre le protocole BLE [11]

Minuscule ordinateur programmable utilisé par
Damien dans le cadre de ses travaux de recherche [6]
42
CHRONIQUE TECHNIQUE
Selon Damien, l’attaque peut être réalisée en l’espace de trois minutes,

voire moins ! En revanche, il faut être proche de l’objet et qu’un TECHNICAL REVIEW
smartphone y soit déjà connecté. Dans un environnement où de
BLE protocol vulnerabilit
nombreux objets sont déjà connectés, il est quasiment impossible de ies: a gateway
trouver une cible spécifique [12]. to hacking connected
objects
By Julia Juvigny-Nalpas, Res
Une attaque qui n’est pas à la portée & Monitoring Manager for CER earch
T digital.security
de tous The 12th August 2018 on the
occasion of the 26th edition
of DEF CON, one of the world'
La mise en place de cette attaque requiert des connaissances s leading events dedicated
to IT security, our securit
informatiques importantes et exige également de se situer à moins de y expert Damien Cauqui
l
(@Virtualabs) presented
20 mètres de l’objet ciblé. Néanmoins, elle pourrait être plus facile à his latest research on the
Bluetooth Low Energy (BLE)
réaliser avec la version 5 de BLE. Les concepteurs sont en train d’étendre protocol. He has implemented
a new attack vector using a
la portée des communications et celle-ci pourrait aller jusqu’à 400 mètres. Bluetooth jamming method
identified as CVE-2018-7252,
Une distance qui faciliterait la conduite d’attaques [13]. Par ailleurs, un enabling an attacker to take
control of vulnerable Bluetooth
mode « sécurisé » du BLE existe également : il est uniquement possible connections. He developed
the Btlejack tool becaus
de forcer l’appareil connecté à se déconnecter [14]. Á noter que début e existing techniques and
approaches to attack Blu
juillet Damien avait transmis la documentation détaillée de son attaque etooth Low Energy (BLE)
connections have until now
aux concepteurs du protocole. required expensive hardware
and have often been incomp
lete.
Pour aller plus loin…
En 2016, Damien Cauquil avait lancé le projet open-source Btlejuice, qui
fournit un mécanisme d’interception des connexions BLE avec une
attaque d’homme au milieu (MiTM). Bien que Btlejuice ait connu un
certain succès, Damien a jugé qu’il était complexe à mettre en place et
qu’il ne prenait pas en charge tous les types de dispositifs BLE [15].
En outre, ce n’est pas la première fois que l’on apprend l’existence d’une
faille dangereuse autour du Bluetooth. En septembre 2017, des
chercheurs avaient découvert 8 failles zéro day liées au Bluetooth. Cet
ensemble de failles baptisé « BlueBorne » permettait de pirater un
appareil à distance. BlueBorne touchait plus de 5 milliards d’appareils
Windows, iOS et Android [16].
En juillet 2018, une autre faille avait été identifiée. Il s’agissait d’un bug
cryptographique présent dans les firmwares Bluetooth. Cette faille
permettait à un attaquant dans un rayon d’environ 20 mètres de capturer
et de déchiffrer les données partagées entre des terminaux associés en
Bluetooth [17]. ■ ■ ■
[1] https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/
Damien%20Cauquil%20-%20Updated/DEFCON-26-Damien-Cauquil-Secure-Your-BLE-
Devices-Updated.pdf
[2] https://www.eweek.com/security/bluetooth-devices-at-risk-from-btlejacking-takeover-
attack
[3]
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/
Devices-Updated.pdf
[4]
http://www.eweek.com/security/bluetooth-devices-at-risk-from-btlejacking-takeover-
attack
[5] https://www.lesnumeriques.com/objet-connecte/faille-bluetooth-permet-avoir-main-sur-
objets-connectes-n77115.html
[6] https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/
Devices-Updated.pdf
[7] https://www.lemonde.fr/pixels/article/2018/08/11/decouverte-d-une-faille-touchant-les-
connexions-bluetooth-de-nombreux-objets-connectes_5341645_4408996.html
[8]
Entretien réalisé avec Damien Cauquil
[9] https://www.nextinpact.com/news/106902-une-defaut-bluetooth-low-energy-permet-
prendre-controle-dun-objet-connecte.htm
[10]
Ibid
[11] https://github.com/virtualabs/btlejack
[12] Entretien réalisé avec Damien Cauquil
[13]
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Damien%20Cauquil%20-%20Updated/DEFCON-26-Damien-Cauquil-Secure-Your-BLE-Devices-
Updated.pdf
[14] https://www.lemonde.fr/pixels/article/2018/08/11/decouverte-d-une-faille-touchant-les-connexions-bluetooth-de-nombreux-objets-connectes_5341645_4408996.html
[15]
Entretien réalisé avec Damien Cauquil
[16] https://www.developpez.com/actu/160216/BlueBorne-des-chercheurs-decouvrent-8-failles-0-day-liees-au-Bluetooth-plus-de-5-milliards-d-appareils-Android-Windows-iOS-et-Linux-
sont-exposes/
43
NORME
Cybersécurité et véhicule
connecté : émergence de
la norme ISO-SAE 21434
Par Briag Monnier, Responsable Pôle CyberSécurité Automotive chez SCASSI
A l’heure où le traitement et la valorisation des données changent

complètement le modèle économique de la filière automobile, il
devient nécessaire d’avoir des standards d’exigences en matière de
cybersécurité sur les véhicules connectés. Outre le RGPD qui s’applique
bien entendu à toutes les données transitant dans les véhicules, un
nouveau standard est actuellement en construction : l’ISO21434.
Retour sur les principaux enjeux inhérents au développement des
véhicules connectés et à leur normalisation. A la fin de cet article, vous
aurez certainement plus de questions que de réponses, mais n’est-ce
pas le cas avec tous les sujets traitant de cybersécurité ?
A noter en préambule que l’ISO21434 se construit en accord avec la SAE ( Society of Automotive Engineers ), et pour une convergence
entre ISO et SAE. Le pendant côté SAE est jusqu’à présent le référentiel suivant : SAE J3061 [1].
L’émergence de standards est courante dans l’industrie automotive ; communication, les industriels et le secteur public construisent des
citons par exemple l’adoption du bus CAN, par tous les constructeurs standards.
internationaux, malgré l’initiative française du bus VAN. De même que Nous pourrons citer également pour l’industrie automotive AUTOSAR,
pour l’industrie des télécoms, via les groupes de travail public/privé 3GPP pour les interfaces des composants logiciels, SPICE pour le système
et 5GPP, la notion d’interopérabilité étant le principe même de la qualité, et dans une moindre mesure OSEK pour les OS temps réel.
44
NORME
Rappels : évolution des véhicules

et architecture STANDARD
Cybersecurity and Connected
Spécificités des véhicules Vehicles:
La production en grande série implique une recherche de réduction des launching ISO-SAE 21434
coûts sur les pièces, et donc une intégration des fonctions et une
By Briag Monnier, Head of Automot
diminution du nombre d’ECU (Electronical Control Unit). Cependant, cela ive
implique également une complexification de ceux-ci, un ECU pouvant Cybersecurity at SCASSI
porter plusieurs fonctionnalités, pour un souci d’efficacité : moins de câbles, At a time when the processing and expl
moins de poids et moins d’éléments électroniques, versus davantage de oitation of data are
completely transforming the economic
complexité à l’intégration, mais aussi de multiplexage. model of the auto-
mobile industry, the development of
D’un point de vue cybersécurité, nous pouvons d’ores et déjà imaginer un cybersecurity require-
ments standards for connecte
premier problème de design : la transposition, sur un modèle SI d vehicles is now
indispensable. In addition to GDPR, whic
d’entreprise, serait d’avoir, sur un même serveur, l’application SCADA pour h applies to all data
transiting in vehicles, a new standard
la production, l’application RH, l’accès Internet, la messagerie et is currently being pre-
pared: ISO 21434. This article outlines
l’application critique qui sert à gérer, par exemple, un moteur à key issues involved in
the development of connected vehicles
combustion… La notion de ségrégation n’est pas respectée. Nous sentons and their standardi-
zation. Ultimately you will probably
le besoin de Security by Design, mais n’anticipons pas la remédiation… have more questions
than answers, but that seems to be the
way things go when
dealing with cybersecurity issues thes
Un volume de data intra et extra véhicule qui explose e days.
Le volume des données traitées explose. Ce phénomène est notamment
lié à la volonté des OEM, Tier 1 et 2, d’avoir des retours sur la maintenance,
mais aussi des informations sur la conduite pouvant servir à l’optimisation
du véhicule. Ils souhaitent également obtenir des données permettant
d’améliorer les développements en cours, de faire de la maintenance Le fait que des acteurs, tels que Samsung, Google, et dernièrement Baidu,
préventive, voire d’aider à la qualification d’une prime de risques pour investissent dans les véhicules connectés, et à terme autonomes, n’a rien
l’assurance, ou encore d’effectuer un diagnostic temps réel sur demande. d’anodin : la connectivité induit de la vente de contenu, incluant des
L’objectif serait, in fine, si possible, d’offrir des services personnalisés aux revenus directs et indirects, en services ainsi qu’en publicité.
utilisateurs finaux : abonnements à des services de conciergerie, flux
musicaux, mises à jour des cartes de systèmes de navigation… Safety first
Les promesses de performances temps réel des services de la 5G font La norme majeure applicable aux véhicules routiers actuellement est
même imaginer des partenariats avec des services marketing, visant à faire l’ISO26262, concernant la sécurité des biens et des personnes. En anglais,
bénéficier les occupants de la voiture d’« offres spéciales » s’ils roulent à cette notion devient : Safety. L’augmentation de la connectivité doit
côté d’un cinéma ou d’un restaurant par exemple, poussées par sms ou respecter les contraintes de l’ISO26262 ; en revanche, les principes de la
emails. Safety ne sont pas toujours les mêmes que ceux de la cybersécurité.
Source : http://asq.org/audit/2017/10/auditing/automotive-security-challenges-standards-and-solutions.pdf
45
NORME
Petite comparaison avec l’avionique composants d’un véhicule. L’enjeu principal accidentée d'appeler instantanément les
Faisons une comparaison avec le monde de derrière le souci d’optimisation est la réduction services d'urgence tout en envoyant sa position
l’embarqué avionique cette fois. des coûts. Les architectures logicielles et précise, que ses occupants soient conscients ou
En avionique, en ce qui concerne l’impact matérielles doivent être dimensionnées au plus non, et quel que soit le pays de l'UE dans lequel
Safety, des mesures palliatives peuvent être juste au moment de la conception, car elles elle se trouve. Basé sur le « E112 » (Enhanced
un mode dégradé pendant lequel un pilote impactent des millions de véhicules pour les 112), c'est-à-dire le numéro unique d'urgence
qualifié peut suivre des procédures d’urgence. constructeurs généralistes. européen 112 amélioré de la géolocalisation,
Or, tout le monde (muni d’un permis valide Ainsi, il est primordial de pouvoir faire plus avec l’eCall permettrait une intervention plus rapide
bien entendu) peut conduire une voiture, et le même matériel ou alors de pouvoir choisir une des services d'urgence, adaptée à la sévérité de
les arbres de défaillances traitant de la plateforme avec moins de mémoire ou un l'accident et au type de véhicule impliqué,
sécurité ne peuvent prendre en considération processeur moins cher, lorsque les conditions le réduisant ainsi la mortalité et la gravité des
des mesures d’urgence appliquées par un permettent. blessures résultant des accidents de la route.
pilote hyper compétent, comme nous L’eCall est l’exemple type de la fonction de
pouvons l’imaginer sur un avion. Qu’est-ce qu’une voiture Safety, qui devrait être traitée avec une analyse
En automotive, le conducteur peut et doit être de risques de cybersécurité afin d’être certifiée
suppléé, voire il peut être lui-même l’origine connectée ? et homologuée.
du danger.
Or, malgré tous les ajouts des équipements
de confort, il ne faut pas oublier que les
équipements doivent apporter de la Safety en
termes de sûreté de fonctionnement, sécurité
des biens et des personnes, et en aucun cas
dégrader le niveau de Safety en cours.
Les enjeux de l’industrie

automotive
Le nombre de composants électroniques
embarqués dans les voitures de nos jours
soulève ainsi quelques grands défis pour les
constructeurs automobiles :
L’interopérabilité
Le problème se pose entre autres sur les plans
logiciels et matériels, ainsi que pour l’adéquation
entre les deux. Un des problèmes importants est
l’interopérabilité entre les composants logiciels
provenant de différentes sources, mais c’est Source : https://connectedautomateddriving.eu/wp-content/uploads/2017/12/RDW-Presentation.pdf
précisément pour cela que des standards, tels
qu’AUTOSAR (évoqué précédemment) sont Au même titre que d’autres produits et d’autres Dans le contexte de cet article, un véhicule
déployés. industries, l’évolution technologique des connecté intègre des systèmes de
véhicules au cours des 20 dernières années est communications, souvent sans fil. La quasi-
Sûreté fonctionnelle énorme. Pour preuve, deux pans remarquables : totalité des modèles actuels sont connectés, ne
La sûreté fonctionnelle des composants des assistances à la conduite (ADAS), et de la serait-ce que pour respecter l’obligation
électroniques représente un problème au regard connectivité de loisirs (infotainment), avec des d’intégrer la fonctionnalité eCall, depuis mars
de la complexité des systèmes utilisés. En convergences règlementaires, telles que l’eCall. 2018. La connectivité indique donc un moyen
particulier, il peut être difficile d’évaluer la sûreté Tous les véhicules produits à partir de 2018 de communiquer, en émission et réception, sur
de fonctionnement d’un calculateur ayant une auront, par ce biais, l’obligation d’intégrer une des liens hertziens, a priori les liens télécoms,
architecture matérielle moderne et un nombre fonction de sécurité : un appel d’urgence 2G, 3G, 4G, et demain 5G. On retrouve
très important de composants logiciels multi- automatique en cas de détection de crash du également le système de navigation : GPS,
sources. C’est pour répondre à ce défi que la véhicule. Galileo, etc.
norme ISO 26262 a été définie.
L’ISO21434 reprend la même démarche, De plus en plus de fonctionnalités… Les liens hertziens de plus en plus
appliquée aux enjeux de cybersécurité : donc de complexité et de vecteurs importants
confidentialité, disponibilité, intégrité des d’attaques Ces liens hertziens permettent de rebasculer vers
données et des fonctions des calculateurs. Sur Les véhicules actuels intègrent pour la plupart le monde IP, avec une architecture Cloud que
des systèmes embarqués dans l’industrie des tableaux de bord connectés, des systèmes nous retrouvons dans d’autres environnements.
automotive, l’ISO26262 et l’ISO21434 seront de positionnement (GNSS), de la connectivité Une petite particularité du monde automotive :
liées, a priori dans les activités métiers, de vers les smartphones via le Bluetooth. le premier flux de données va dans le Cloud de
développement, mais également tout au long L'eCall [2], évoqué précédemment, est une l’OEM, c’est-à-dire la marque de la voiture, puis
du cycle de vie des composants du véhicule. initiative de la Commission européenne visant ensuite sera soit transféré vers le Cloud d’un
à introduire, dans tous les véhicules vendus dans Tier 1 (par exemple le fabricant de calculateur
L’optimisation l'Union européenne, un système d'appel d’injection), soit les données seront renvoyées
Il s’agit d’un challenge qui intervient à différents d'urgence automatique, basé sur un service vers le fabricant du Tier 1 avec l’accord de
niveaux d’échelle et pour de nombreux public. Ce système permet à une voiture l’OEM.
47
NORME
Bien sûr, toutes les données à caractère personnel sont à traiter en Un postulat : « Safety AND Security »
conformité avec le RGPD, ce qui peut parfois s’avérer complexe, si l’on La construction d’un référentiel de cybersécurité automotive repose aussi
considère qu’un horodatage, corrélé avec une donnée de positionnement sur le postulat que si un système n’est pas sécurisé (au sens cybersécurité),
ainsi qu’un numéro de pièce, constitue une donnée personnelle. il n’est vraisemblablement pas sûr ou sécuritaire (au sens de la sécurité
D’autres liaisons vont devenir de plus en plus importantes, des biens et des personnes). A ce sujet, nous vous engageons à lire l’article
vraisemblablement plus liées au déploiement de la 5G en raison des suivant, que nous résumerons ici trivialement par « If it’s not secure, it’s
latences attendues : les communications V2V et V2I, c’est-à-dire véhicule not safe » [Robin Bloomfield, Robert Stroud. Security-Informed Safety ”If
à véhicule, et véhicule à infrastructure. it’s not secure, it’s not safe”. Marc-Olivier Killijian. Safecomp 2013
Imaginons seulement l’un des pires scénarios avec la prise en main d’un FastAbstract, Sep 2013, Toulouse, France. pp.NC, 2013].
véhicule à distance, l’activation de son freinage d’urgence, communiqué
de manière quasi immédiate à son environnement, le tout sur un Un autre enjeu de la norme : couvrir tout le cycle de vie
périphérique d’une mégapole un vendredi soir au pic de circulation. Si du véhicule
les ADAS sont bien conçus, les impacts en Safety des véhicules (du moins Un autre enjeu est d’assurer la cybersécurité pendant toute la durée de
les plus récents) seront faibles, en revanche le périphérique, voire la ville vie de chaque composant de la voiture, du design à la mise au rebut
pourraient être bloqués par ce piratage. (decommissioning) : cela signifie à la fois n’importe quand dans la vie du
composant, dans les phases de conception, de développement et de
Les liens physiques ou hertziens locaux production (opérations, maintenance et mise au rebut).
Ne négligeons pas le diagnostic ni l’infotainment, qui présente également
de potentiels vecteurs d’attaques :
• Diagnostic : prise OBD2, accès aux bus de
terrain CAN, voire FlexRay, Ethernet, LIN ;
• Infotainment : USB, Bluetooth, Wi-Fi, client ou
hotspot, CD ;
• Capteurs physiques : radars, caméras…
En cas d’accès physique au véhicule, nous
devons aussi couvrir les liaisons portées par les
cartes électroniques, les liaisons séries, voire les
connecteurs JTAG/SWD laissés accessibles,
notamment pour éviter les risques de reverse
engineering.
L’ISO21434,
en convergence
avec la SAEJ3061 Les activités de cybersécurité, au cours du cycle de vie du développement d’un véhicule (source ISO)
Des véhicules de plus en plus connectés, de plus en plus d’ECU, un

nombre de cyberattaques en croissance, même si les chiffres quantitatifs
ne sont pas avérés, nous pouvons citer des études qualitatives, comme Les impacts pour les constructeurs
celles de Charlie Miller et Chris Valasek sur les spectaculaires attaques à OEM, Tier 1 2 3
distance sur les Jeep [3], et plus récemment une étude chinoise avec des
résultats très significatifs, sur des BMW [4]. Une équipe de chercheurs Retour sur le cycle en V
chinois a trouvé 14 vulnérabilités sur des BMW, en les communiquant
au constructeur et en lui laissant le temps de patcher avant de les rendre Appliquer un process de cybersécurité :
publiques. Pour être précis, cette dernière étude
découvre des vulnérabilités via des accès
hertziens télécoms, or les liens télécoms en eux-
mêmes ne sont pas traités par l’ISO21434.
Établir une norme de cybersécurité pour les

véhicules roulants est donc un enjeu de taille,
pour :
• Garantir un niveau minimum de cybersécurité,
et des critères d’évaluation communs ;
• Le partage des bonnes pratiques de la filière, tout
en suscitant l’adhésion de tous les acteurs ;
• Garantir la compatibilité avec les normes
touchant à la Safety : ISO26262 notamment ;
• Assurer une interopérabilité entre les ECU qui
peuvent être intégrés par plusieurs OEM, et/ou
sous-traitants ;
• Fournir un référentiel pour les autorités Source : https://vector.com/technologie-tage/files/VTT17_Grundlagenseminar_Security_Safety.pdf
d’homologation.
49
G S HONES DE LA SÉCURITÉ
Da y s
11
RANCOP
NÉES F
ES JOUR N
L O
I TI 1 9
D 2 0 RIS 3 èm
e
e É I L IN - PA
èm
R
11 A AINT- V M A R T
2 ES A C
ESP
Un cycle
de conférences
techniques,
organisationnelles
et juridiques
Renseignements : Marc Jacob BRAMI - 01 40 92 05 55 - marc.jacob@globalsecuritymag.com - www.gsdays.fr

NORME
Le but est relativement simple et de bon sens : les développements HW Ci-dessous, un autre exemple d’adaptation des menaces en cybersécurité
et SW dans la filière automotive sont maîtrisés et matures, grâce à à l’automotive :
l’ISO26262. Il est donc pertinent de suivre ce
process et d’y appliquer les activités de
cybersécurité, et de les intégrer au plus tôt
(Security by Design). Ce process structuré, pour
assurer la cybersécurité, a pour but de réduire les
risques d’attaques, et donc leur vraisemblance,
mais aussi de permettre de réagir à un
changement régulier du paysage des menaces.
Le scope de la norme et ses

restrictions
A noter : l’ISO21434 est/sera applicable aux
véhicules roulants, à ses systèmes, composants
et logiciels, ainsi qu’aux connexions vers
l’extérieur, réseau ou outils.
En revanche, la norme ne donne pas de solutions
techniques à appliquer et n’indique pas de
méthode de remédiation. Elle n’est, de plus, pas
applicable aux systèmes de télécommunications,
aux back offices, aux chargeurs de véhicules
électriques, ni aux véhicules autonomes, ce
dernier sujet étant pour le moins gigantesque à
traiter d’un bloc.
Un des points tout à fait intéressants de la norme Source : Ivan Studnia (Détection d’intrusion pour des réseaux embarqués automobiles : une approche
est qu’en revanche elle appréhende tout le cycle orientée langage - Thèse : Présentée et soutenue le 22 septembre 2015)
de vie du véhicule et de ses composants (au sens
large du terme). Le défi des industriels sera, et est déjà, de confronter cette approche
En anglais, on retrouve ainsi les éléments suivants : Cybersecurity Scoping, avec l’analyse de risques de cybersécurité, et de suivre les mêmes
Asset identification, Threat Analysis, Risk Analysis, Risk Treatment, cycles, tout en respectant la contrainte supplémentaire, déjà énoncée
Vulnerability assessment, Remediation. plus haut, plus marquée que pour la Safety : traiter les risques durant
Nous pourrons noter que la norme, sans la mentionner, préserve les tout le cycle de vie du véhicule, de la conception jusqu’à la mise au
principes de la méthode TARA (Threat Analysis Risk Assessment). rebut.
Les acteurs de l’industrie automotive ont l’habitude de travailler avec MCS

ISO26262, traitant des impacts de Safety (sécurité des biens et des Le Maintien en Condition de Sécurité est un des enjeux majeurs dès
personnes), avec : aujourd’hui. En effet, des vulnérabilités peuvent apparaître, et il est
• L’étude des évènements redoutés, via une AMDEC, un arbre de impératif de pouvoir patcher à distance les firmwares, voire de faire
défaillances ; des rappels, en cas de failles critiques liées à des hardwares. Nous
• Risque = impact X vraisemblance ; imaginons aisément que le coût d’une telle activité n’est pas
• Ce qui implique des niveaux ASIL, et ainsi des règles à appliquer. forcément aisé à justifier à l’heure actuelle, et que la gestion des
vulnérabilités dans l’industrie automotive n’est peut-être pas aussi
Comparaison Safety versus (Cyber)Security mature qu’elle ne le devrait.
L’écueil réside souvent dans le fait que, comme dans beaucoup
d’autres secteurs, la cybersécurité est perçue
comme un poste de coût plutôt qu’une valeur
ajoutée.
La publication de la norme sera donc un levier
dans la prise de conscience des actions à
mener.
Rappelons que la complexité des véhicules
connectés augmente de façon exponentielle,
qu’elle est proche de celle des avions produits
dans les années 2000, si nous parlons de
métriques de lignes de code.
Et la gestion des patchs, ou mises à jour à
distance (OTA : Over The Air, ou FOTA, SOTA,
pour Firmware ou Software Over The Air) ne
doit pas être une fonctionnalité présente
permettant de se dédouaner du traitement
immédiat des failles connues.
Une autre gageure est de trouver des
dispositifs de mises à jour à distance qui
Source : IQPC
seraient réputés sécurisés, pour le cycle de vie
51
NORME
d’un véhicule, qui pourrait être potentiellement de 7, 10, 20, 25 ans… de patcher éventuellement des firmwares, mais il peut également
Il est plus usuel de parler d’usure et d’heure de fonctionnement dans induire lui-même des vecteurs d’attaques. De plus, la conception de
l’industrie automobile. Mais quid de la robustesse d’une clé publique la cybersécurité du FOTA doit être assez souple pour garantir sa
stockée dans un répertoire sécurisé de la flash d’un ECU [5] ? robustesse dans le temps.
Cette norme ISO21434 servira vraisemblablement de référentiel pour
Fin de cycle une homologation. Des tests de cybersécurité des futurs véhicules
Ainsi, protéger le véhicule en phase de vie nominale semble « normal » connectés seront à prévoir, en plus des analyses de risques.
du point de vue de la cybersécurité. Cependant, la compatibilité avec Pour progresser dans l’évaluation de la cybersécurité, ainsi que la
les procédures de mises au rebut adéquates est moins évidente. maîtrise des process, les OEM, Tier 1 et Tier 2 devront faire appel à
Un exemple avec la CVE 2017-14937, relative à l’exploitabilité de des compétences souvent externes sur des métiers types : par exemple
l’airbag [6]. Il existe une procédure permettant de déclencher la pour des analyses de risques, ou des White Hat pentesters en soutien
détonation de l’airbag avant la mise au rebut du véhicule, et son des équipes de gouvernance, à intégrer au plus proche des projets.
recyclage. En revanche, la procédure est exploitable tout au long du Pour les OEM, Tier 1,2,3, l’ISO21434 donnera un cadre de travail
cycle de vie du véhicule, avec en prérequis d’avoir accès au bus CAN. relativement exhaustif. Cependant, il n’inclut pas les aspects de
confidentialité propres au règlement européen RGPD, à la directive
NIS, ainsi qu’au Pack de Conformité publié par l’ANSSI, auxquels les
Conclusion Responsables Sécurité des véhicules et de leurs composants doivent
se conformer.
Enfin, la norme traite de la cybersécurité des véhicules connectés. Il
La parution de la norme permettra de standardiser les pratiques, n’est pas fait mention ici des véhicules autonomes, qui promettent
d’élever in fine le niveau de cybersécurité des véhicules, durant tout également de beaux défis aux acteurs de la cybersécurité d’aujourd’hui
leur cycle de vie, et de converger ainsi avec la Safety. et de demain, en multipliant de façon exponentielle la complexité, les
L’un des défis techniques actuel et futur réside dans la maîtrise du vecteurs d’attaques et les scénarios de risques. ■ ■ ■
FOTA, car il peut s’avérer une mesure de sécurité en soi, en permettant
[1] SAE J3061 : Cybersecurity Guidebook for Cyber-Physical Vehicle Systems

[2] https://fr.wikipedia.org/wiki/ECall
[3] https://www.wired.com/2016/08/jeep-hackers-return-high-speed-steering-acceleration-hacks/
[4] https://thehackernews.com/2018/05/bmw-smart-car-hacking.html
[5] Cf à ce sujet les groupes de travail de l’UNECE :
https://wiki.unece.org/pages/viewpage.action?pageId=40829521
[6] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14937
53
?
le grand quizz
Testez vos connaissances sur le « Shadow IT »,
avec Michel Gérard, Conscio Technologies
(Une seule réponse possible)
11- Qu’est-ce que le Shadow IT ?
?
a. La délocalisation de l’IT dans un endroit confidentiel
b. Le développement de solutions IT dans le dos de la DSI
c. Une nouvelle façon plus agile de mettre en œuvre un projet IT
?
d. La mise à l’ombre de l’IT afin d’économiser l’énergie des
climatisations
22- Parmi les exemples suivants, lequel n’est pas du

Shadow IT ?
a. L’ajout d’une boîte mail
b. Le développement de macros Excel
c. La mise en œuvre d’une solution Cloud non reconnue dans
l’entreprise
d. L’implémentation de sa base de données personnelles
33- Parmi les choix suivants, quelle est la principale

raison invoquée par les utilisateurs pour justifier la
mise en œuvre de Shadow IT ?
a. Les gilets jaunes
b. La facilité
c. La non couverture d’un besoin
d. Une meilleure expertise que celle de la DSI
44- Quel risque le Shadow IT fait-il peser sur la

sécurité ?
a. Aucun, puisque son usage est forcément limité
b. Vraiment peu puisque non référencé par la DSI, le Shadow IT ne
sera pas non plus connu des cybercriminels
c. Un risque de fuite de données et d’introduction d’un code
malveillant
d. Un risque d’usurpation d’identité
55- Quel coût cela peut représenter pour l’entreprise ?

a. Aucun, puisque c’est pris en charge par l’utilisateur
b. Un coût lié au passage d’une version gratuite à une version payante
c. C’est profitable puisque que l’on peut en retirer un gain de
productivité
d. Non seulement un coût possible lié à une non-conformité, mais
aussi des coûts cachés dus à des personnes ne travaillant pas sur
les tâches qui leur sont normalement affectées
66- Le Shadow IT est-il conforme au RGPD ?

a. Probablement pas, au regard des garanties qui doivent être
apportées quant à la protection des données dont le traitement est
ici effectué sans contrôle
b. Le Shadow IT sort du scope du RGPD vu qu’il ne peut être considéré
comme un traitement sous la responsabilité du responsable de
traitement au sens RGPD du terme
b. Pourvu que les données traitées restent en France, oui
b. Peu importe, puisque le Shadow IT ne peut pas être audité par les
autorités de régulation
54
?
?? ?
??
de sensibilisation
HIVER 2018
Par Michel Gérard, PDG de Conscio Technologies
77- Le Cloud favorise-t-il le Shadow IT ?

?
a. Assurément, puisque par définition un simple accès Internet
est suffisant pour s’abonner à une application externe, et
peut être fait sans en informer la DSI
b. Oui, sauf s’il s’agit simplement de stockage externe, tel
Dropbox, seule la réalisation d’un traitement applicatif peut
être considéré comme du Shadow IT
c. Non, car le Cloud coûte trop cher pour être mis en œuvre sur
un budget Shadow IT
d. Non, car la mise en œuvre d’une application Cloud nécessite
le raccordement à l’annuaire de l’entreprise
8-8 Quel risque le Shadow IT ne fait pas peser en

termes de maintenance ?
a. Le risque de départ du collaborateur à l’initiative du Shadow
IT
b. Le risque de montée en version du service ou du logiciel mis
en œuvre en Shadow IT
c. Le risque d’impossibilité de mise en œuvre de nouveaux
services innovants par la DSI
d. Le risque de ne pas pouvoir remplacer les ordinateurs
99- Que peut-on dire de l’impact du Shadow IT

sur la cohérence des données ?
a. Un traitement non maîtrisé sur des données peut conduire à
des données non cohérentes ou erronées susceptibles
d’amener à de mauvaises décisions ou évaluations
b. Les données traitées dans le cadre du Shadow IT sont
suffisamment localisées pour ne pas polluer les autres
données de l’entreprise
c. Le risque d’incohérence est du même niveau que celui
inhérent à l’utilisation des différentes applications de l’IT
d. Les utilisateurs de Shadow IT sont vigilants à maintenir cette
cohérence entre les données qu’ils manipulent et celles du SI
10
10- En quoi le Shadow IT peut favoriser les
attaques d’ingénierie sociale ?
a. En rien, puisque les cybercriminels ne ciblent que le SI
officiel
b. Le Shadow IT peut offrir de nouvelles opportunités
d’attaques ciblant des utilisateurs vulnérables, car isolés
c. Le risque est faible, car les données qui seraient ciblées ont
peu de valeur
d. Le risque est faible, car l’utilisateur connaissant les services
choisis ne se laissera pas facilement duper
Retrouvez les solutions page 64

55
DATA CENTER
© AridOcean
Énergie solaire :
un potentiel immense
pour les DC en Afrique
Interview d’Antoine Boniface, CEO d’Etix Everywhere
En 2050, près d’un quart des données produites à l’échelle mondiale seront africaines. Si aujourd'hui
bon nombre de ces données sont encore hébergées en dehors du continent africain, du fait du
manque d’infrastructures, ce ne sera certainement plus le cas dans les années à venir, le marché des
Data Centers y étant en plein essor. Pour asseoir son développement, l’Afrique pourra également
tirer parti d’alternatives présentant un fort potentiel sur son territoire, comme l’énergie solaire.
Global Security Mag : Quel état des lieux faites-vous du mobile, du mobile banking et de l’e-commerce. Les opérateurs
marché des Data Centers en Afrique francophone ? Quelles télécoms et les start-ups ont besoin d’infrastructures techniques
en sont les principales caractéristiques ? robustes pour développer des services mobiles de qualité, adaptés aux
usages des populations du continent. L’urbanisation croissante des
Antoine Boniface : Aujourd’hui, beaucoup de données africaines pays africains participe également aux besoins grandissants d’espaces
sont encore hébergées en dehors du continent, du fait du manque d’hébergement.
d’infrastructures. Les différents câbles sous-marins construits au début Les services de santé développés par les entreprises pharmaceutiques
des années 2010 ont permis d’initier le désenclavement de l’Afrique et les services de cyberadministration exigent des infrastructures
et le déclenchement de sa transformation digitale. locales sécurisées, notamment pour des raisons de gouvernance et de
Si on dénombre une centaine de Data Centers et salles informatiques souveraineté nationale.
à travers le continent africain, l’écrasante majorité des DC se situent
aujourd'hui en Afrique anglophone, et notamment en Afrique du Sud, GS Mag : Quels sont les pays les plus dynamiques dans le
ce qui s’explique simplement par le fait que l’industrie du numérique développement de ce marché ?
est actuellement dominée par des acteurs anglo-saxons. Néanmoins,
depuis quelques années, l’Afrique francophone connaît un certain Antoine Boniface : 15 pays africains génèrent plus de 80% du PIB,
développement au niveau numérique. Le Maroc, le Sénégal et la Côte parmi lesquels on retrouve l’Algérie, le Maroc, la Tunisie, la Côte
d’Ivoire ont récemment vu s’ouvrir des Data Centers sur leurs d’Ivoire, le Cameroun, le Rwanda et le Sénégal.
territoires. Les pays francophones d’Afrique de l’Ouest et les pays d’Afrique du
Nord sont actuellement les plus dynamiques sur le marché des Data
Centers, les autres pays ayant une population plus rurale et des
EN 2050, UN QUART DES DONNÉES infrastructures moins développées. Le Sénégal, la Côte d’Ivoire, le
Cameroun, le Bénin et le Maroc sont les pays les plus dynamiques et
PRODUITES À L’ÉCHELLE MONDIALE les plus avancés en termes de maturité digitale.
SERONT AFRICAINES GS Mag : Quels sont les principaux acteurs présents sur ce
GS Mag : Quels sont les principaux besoins aujourd'hui des marché ? Y a-t-il beaucoup d’opérateurs privés ? Sont-ils
entreprises et opérateurs d’Afrique francophone en matière majoritairement locaux ou étrangers ?
d’hébergement et de Data Centers ?
Antoine Boniface : Les principaux acteurs présents sur ce marché
Antoine Boniface : En 2050, un quart des données produites à sont aujourd’hui les États et les opérateurs télécoms internationaux.
l’échelle mondiale seront africaines ; les Data Centers sont donc un On peut notamment citer Orange, qui a ouvert des infrastructures au
pilier du développement du continent. On assiste désormais à une Sénégal, en Côte d’Ivoire et au Cameroun, ou encore Millicom (Tigo)
demande croissante d’espaces d’hébergement et de bande passante. qui bénéficie de deux DC au Tchad et au Sénégal.
La démographie africaine – l’âge moyen est de 17 ans sur le continent De son côté, Etix Everywhere dispose d’ores et déjà d’un Data Center
– participe beaucoup à l’adoption et à la généralisation rapide des de colocation au Maroc et quatre autres projets sont actuellement en
nouvelles technologies. On observe ainsi une croissance fulgurante du cours d’exécution (au Ghana, à Djibouti et en Ouganda).
56
DATA CENTER
DC : UN INVESTISSEMENT
STRATÉGIQUE EN TERMES DE
SOUVERAINETÉ ET DE COMPÉTITIVITÉ
GS Mag : Quelle est l’influence des États dans le DATA CENTER
développement de cette filière ?
Solar energy: huge poten
tial for DCs in Africa
Antoine Boniface : Les États ont très vite compris l’investissement
stratégique que représentaient les Data Centers, en termes de Interview with Antoine Bon
iface,
souveraineté, de croissance et de compétitivité. De nombreuses CEO of Etix Everywhere
données africaines sont encore aujourd’hui exploitées en dehors du By Marc Jacob and Emmanue
lle Lamandé
continent. Les gouvernements ont désormais intégré l’obstacle que
cela représentait en termes de gouvernance économique et de By 2050 nearly a quarter of
the world's data output will
transparence. come from Africa. While mu
ch of this data today is still
Les États d’Afrique francophone sont de véritables catalyseurs dans hosted outside the African
continent, due to lack of
la modernisation de leurs territoires et dans la structuration de la infrastructure, this will certain
ly not be the case in the
dynamique numérique. Cela peut passer par différentes politiques de coming years, as the data cen
ter market is booming. Africa
développement, de réformes politiques ou encore le développement will also be able to take adv
antage from the development
de la cyberadministration. On peut prendre l’exemple de la Côte of alternative high-profile reso
urces, such as solar energy,
d’Ivoire qui, depuis 2012, s’est lancée dans la construction d’un réseau for future growth.
national de 7 000 km de fibre optique. Le chantier, qui finira à la fin
de l’année, permettra de connecter toutes les administrations, mais
également de démarrer de nombreux projets, jusqu’alors impossibles.
La majorité des pays d’Afrique francophone ont engagé des réformes
pour la libéralisation du marché des télécoms, ce qui a permis
l’apparition de nouveaux acteurs, la baisse des prix des services et
l’amélioration de leur qualité. Cependant, même si le nombre
d’opérateurs télécoms a augmenté depuis les années 90, la
concurrence reste actuellement limitée, et la libéralisation du marché
n’a pas concerné tous les secteurs.
Au-delà de la modernisation du pays, les Data Centers participent à
développer l’attractivité du territoire et à attirer des capitaux étrangers.
LA PRODUCTION ÉNERGÉTIQUE
REPRÉSENTE ENCORE UN FREIN
DANS CERTAINS PAYS
GS Mag : Les ressources énergétiques et Télécoms sont-elles
suffisantes pour assurer des services de haute disponibilité
tant aux opérateurs qu’à leurs clients ?
Antoine Boniface : La production énergétique est pour l’instant un

frein à l’implantation des Data Centers dans certains pays africains.
En effet, la grande majorité des pays d’Afrique francophone ne
produisent pas suffisamment d’électricité par rapport à la demande.
Par exemple, en 2017, le Cameroun produisait 1 400 Mégawatts pour
une demande de 3 000 Mégawatts. Les pays explorent cependant de
nombreuses solutions dans le domaine des énergies alternatives. On
peut notamment citer l’énergie éolienne : le Maroc en est le 3ème
producteur sur le contient, la Tunisie le 5ème.
Pour garantir la haute disponibilité des Data Centers, la plupart des
infrastructures actuelles disposent de générateurs diesel pour prendre
le relai lors des défaillances du réseau.
En termes d’infrastructures télécoms, les gouvernements d’Afrique
francophone encouragent le développement des infrastructures aussi
bien maritimes que terrestres. Les zones côtières sont aujourd’hui
suffisamment raccordées, mais l’intérieur des territoires demande
encore des efforts. Par exemple, le Gouvernement du Burkina Faso,
pays qui ne dispose pas de frontière maritime, a encouragé et participé
à la construction de plus de 916 km de fibre optique. Les opérateurs
télécoms développent également de plus en plus de services mobiles,
et ont donc besoin des infrastructures.
57
GS Mag : Quelles sont les principales caractéristiques GS Mag : Y a-t-il comme en France des problèmes de main
techniques de ces Data Centers ? d’œuvre dans ces pays ? Si oui, quels sont les profils les plus
demandés ?
Antoine Boniface : Les Data Centers existants sont principalement des
DC de taille moyenne, avec une ou plusieurs salles informatiques aux Antoine Boniface : La construction d’un Data Center nécessite des
alentours de 300m2 et un niveau modéré de redondance technique. compétences très diverses (génie civil, génie électrique, génie climatique,
En ce qui concerne les technologies de cooling utilisées, les pays d’Afrique sécurité, protection incendie, informatique, etc.) qui peuvent être parfois
francophone traversent quatre types de climats : méditerranéen, tropical, difficiles à trouver dans les bassins d’emplois locaux. La rareté des profils
équatorial et désertique. Chaque climat suppose une technologie de compétents se situe principalement au niveau des profils ingénieurs en
cooling différente et adaptée. Le climat méditerranéen permet d’utiliser électricité et en climatisation. La problématique se situe également au
en partie le Free Cooling via la mise en place de groupes de production niveau de l’expérience pratique, qui manque notamment pour les
d’eau glacée. Dans la partie tropicale, on voit principalement des systèmes ouvrages du type Data Centers.
à détente directe, mais beaucoup de Data Centers ont un système de
cooling conçu sur mesure. Cela ne dépend pas que de la température, MOBILE & MOBILE BANKING
mais également de l’hygrométrie, de l’altitude, de la qualité de l’air, etc.
CONNAISSENT UNE CROISSANCE
ÉNERGIE SOLAIRE : UN POTENTIEL FULGURANTE
IMMENSE EN AFRIQUE GS Mag : Les pays d’Afrique francophone sont-ils suffisamment
digitalisés pour voir des opérateurs internationaux s’y
GS Mag : Les technologies solaires sont-elles utilisées dans ces
intéresser ?
pays ? Si oui, de quelles manières et dans quels contextes ?
Antoine Boniface : Entre 2005 et 2010, l’Afrique a enregistré un taux
Antoine Boniface : L’Afrique constitue un marché potentiel immense
de croissance de la pénétration de l’Internet annuel cumulé de 34%, soit
pour l’énergie solaire photovoltaïque, grâce à un taux d’irradiation deux
le taux plus élevé du monde. De même pour les abonnements aux
fois supérieur à celui des pays européens.
services mobiles cellulaires avec 27% en moyenne, selon les statistiques
Aujourd’hui, les principaux exemples de Data Centers alimentés par les
de l’Union Internationale des Télécom-munications (UIT). Le nombre de
technologies solaires se situent dans des pays d’Afrique anglophone,
smartphones augmente également de façon fulgurante.
comme en Afrique du Sud, au Ghana et au Kenya.
Parmi les usages digitaux de la population des pays d’Afrique
Dans les pays francophones, l’énergie solaire se développe très vite au
francophone, il faut impérativement citer le mobile banking. En 2017,
niveau rural, pour un usage privé. On voit néanmoins apparaître de plus
plus de la moitié des paiements mobiles ont été réalisés sur le continent
en plus de centrales solaires. Par exemple, le Sénégal a ouvert cette année
africain. En Afrique subsaharienne, environ 12% des adultes détiendraient
sa 4ème centrale solaire. Fin 2018, les énergies renouvelables atteindront
un compte bancaire mobile qui n’est relié à aucun compte bancaire
23% dans le mix énergétique du pays, qui a pour objectif d’atteindre les
classique. On peut citer les exemples de Wari, au Sénégal, et Mobicash
30% d’ici 2020. Il en est de même au Burkina Faso, au Rwanda, au
au Rwanda.
Tchad, etc.
Le nombre de start-ups créées est relativement élevé dans les pays les
plus dynamiques d’Afrique francophone. En 2015, le nombre de jeunes
GS Mag : Que font les opérateurs de DC pour remédier aux
pousses était de 500 en Côte d’Ivoire et 250 au Maroc. Et le secteur se
problèmes liés à la chaleur ?
dynamise de plus en plus : en 2017, le nombre de start-ups a augmenté
de 16,8% à l’échelle du continent.
Antoine Boniface : Tout d’abord, tous les pays n’ont pas la même
On assiste également au développement des smart cities, où le Data
problématique de chaleur. Un Data Center au Maroc ou au Sénégal se
Center est devenu une pièce maîtresse indispensable.
trouvera presque dans les mêmes conditions que leurs équivalents
européens. Notre Data Center de Casablanca au climat méditerranéen a
GS Mag : Quelle est la place des entreprises françaises sur ce
un taux d’efficacité énergétique comparable à celui de nos autres DC
marché ? Quels sont les acteurs français les plus présents tant
situés sur le sol français.
au niveau des opérateurs de Data Centers que des
De nombreux Data Centers se trouvent déjà dans des zones équatoriales
équipementiers ?
– Singapour, Hong Kong – et peuvent servir de modèle de développement
lors de l’implantation de DC dans des zones similaires. Ces Data Centers
Antoine Boniface : Si les entreprises françaises sont bien implantées
seront effectivement moins efficaces que les infrastructures situées dans
en Afrique francophone, elles doivent faire face à la concurrence d’autres
des pays plus frais, mais il s’agit aussi de penser la stratégie
constructeurs et opérateurs européens et internationaux, comme le
d’hébergement des données.
suédois Flexenclosure et le groupe chinois Huawei. Parmi les entreprises
De plus, de nombreuses innovations sont à étudier et à tester, comme
françaises présentes sur le marché de l’Afrique francophone, on peut citer
par exemple :
Orange, Schneider Electric, SDMO, Cap DC, etc.
• L’énergie solaire et le photovoltaïque, qui sont des solutions
envisageables pour alimenter les Data Centers. Nous sommes
actuellement en train de mettre en place cette solution pour notre DC ALIMENTATION ÉLECTRIQUE,
situé au Ghana, Etix Accra #1. NEUTRALITÉ, LATENCE : DES AXES
• Pour les pays d’Afrique subsaharienne, le froid solaire utilisé (solution
de refroidissement qui produit du froid à partir de l’énergie solaire) QUI RESTENT À AMÉLIORER…
pourrait être une solution pertinente.
GS Mag : Quels sont les principaux freins au développement
de ce marché ?
Antoine Boniface : Les principaux freins au développement du marché

58
DATA CENTER
des DC en Afrique sont l’alimentation électrique, la neutralité/ … MAIS TOUS LES VOYANTS SONT
compétitivité des télécoms, les coupures administratives d’Internet et
le financement. L’alimentation électrique est l’un des principaux sujets AU VERT POUR LE DÉVELOPPEMENT
de préoccupation lors de l’implantation d’un DC en Afrique. Les Data DU MARCHÉ DES DC
Centers nécessitent une alimentation fiable et continue. De plus, la
libéralisation du marché des télécoms n’est pas totale, et par GS Mag : Enfin, quel est, selon vous, l’avenir de ce marché en
conséquent, n’a pas apporté tous les effets attendus. Par exemple, le Afrique francophone ? Et quelle place pourraient prendre les
monopole de Camtel sur la fibre optique au Cameroun empêche la entreprises françaises dans les années à venir ?
création de Data Centers neutres. Les coupures administratives
d’Internet détériorent, quant à elles, la confiance des investisseurs. Les Antoine Boniface : Que l’on regarde l’évolution des chiffres de la
déconnexions sont particulièrement fréquentes lors de périodes démographie ou celle de l’usage des smartphones, on ne peut pas ignorer
électorales. Le Togo a, par exemple, coupé Internet pendant 5 jours, le potentiel que représente le marché d’Afrique francophone pour les
au mois de septembre l’année dernière. Enfin, l’accès au financement années à venir. La question de la localisation des données et celle de la
est également souvent une entrave dans les pays d’Afrique latence vont également accélérer le développement du marché des Data
francophone. Le marché bancaire traditionnel est actuellement très Centers. L’Afrique innove également beaucoup. Tous les indicateurs sont
peu structuré, les produits de financement très peu variés et les taux donc au vert.
d’intérêts très élevés. Comme les leaders anglo-saxons de l’industrie numérique développent
les marchés des Data Centers en Afrique anglophone, les entreprises
françaises ont une place à prendre pour accompagner le développement
des infrastructures en Afrique francophone. ■ ■ ■
Sources :
http://www.jeuneafrique.com/30969/economie/gestion-des-donn-es-l-afrique-bient-t-sur-un-nuage/
https://www.deloitte-france.fr/formulaire/telechargement/barometre-de-la-maturite-digitale-des-organisations-
africaines?_ga=2.31718970.509511964.1530885376-1030849618.1530885376
https://www.financialafrik.com/2017/08/06/mobile-banking-en-afrique-moteur-de-linclusion-financiere/
https://www.journaldunet.com/solutions/expert/59412/le-developpement-des-data-centers-en-afrique.shtml
https://www.bbc.com/afrique/region-41449099
https://www.ticmag.net/accelerer-presence-data-centers-afrique/
https://www.afd.fr/sites/afd/files/2018-05-05-57-55/etude-innovation-numerique-afrique-pays-emergents.pdf
http://www.afrikatech.com/fr/telecom/etat-des-lieux-du-secteur-informatique-et-telecoms-en-afrique-en-2017/
http://perfcons.com/bibliotheque/publication/PDF/doc%20sectoriel/TelecomsAfrique.pdf
https://www.cairn.info/revue-afrique-contemporaine-2010-2-page-113.htm
59
DATA CENTER
© AridOcean
OpenDCIM : les bonnes
raisons pour l’adopter !
Par Ludovic Gay, Directeur Général Adjoint de Stephya
Le Data Center Infrastructure Management – DCIM – est devenu en quelques années l’un des ressorts
d’efficacité de l’exploitation des Data Centers. Logiciel de supervision et de pilotage de l’activité,
les solutions DCIM permettent de mieux assurer la production IT au sein du Data Center. Ces
applications permettent également d’être au service de la criticité de la production de données, à
l’heure où de plus en plus de services et d’applicatifs métiers exigent une disponibilité totale. On ne
citera ici que la seule vente par Internet, où la moindre minute d’indisponibilité peut coûter des
millions d’euros.
Maîtriser son infrastructure nécessite tout d’abord de bien la connaître : connectivité fera l’objet des premiers efforts. Dans d’autres, c’est le
« on ne peut simplement pas gérer quelque chose qu’on ne mesure parc applicatif qui sera audité, ou encore l’ensemble des équipements
pas », dit Richard Quinn, VP Qualité de SEARS. Et de fait, en moyenne électriques qui seront inventoriés. Cette capacité à livrer un sur-mesure
10% des données d’inventaires d’un centre de données (Data Center) est importante, car elle apporte de la valeur directement perçue par
peuvent être fausses. De plus, nous avons constaté que les gestions les utilisateurs… et leurs directions.
de configuration omettent parfois jusqu’à 40% des ports. Solution souvent vue comme d’entrée de gamme, OpenDCIM n’en
Avant même l’utilisation d’un outil DCIM se pose donc la question de possède pas moins la capacité de livrer une véritable intégration,
la cartographie de l’infrastructure considérée. Sur une base bien pertinente, avec une portabilité et des possibilités d’évolutions pour
documentée cependant, les économies réalisées grâce au DCIM sur coller aux besoins et à l’état de l’infrastructure.
les coûts d’exploitation (maintenance, gestes techniques, entretien…) Si recourir à OpenDCIM implique parfois d’effectuer du
peuvent être de 20 à 30% selon les études. Chez STEPHYA, nous développement, ce dernier peut être fait « à façon », dans un process
avons mesuré une réduction moyenne des coûts d’exploitation de agile et incrémentiel. Ce développement appelle par conséquent une
12% avec l’utilisation de l’OpenDCIM, qui n’est pas la solution la plus construction par briques, qui sont des modules réutilisables, avec une
complète, mais assurément la moins coûteuse. Dans ce contexte, amélioration par itérations.
l’adoption de la solution OpenDCIM est porteuse de sens avec, nous
allons le voir, de nombreux bénéfices.
FAIRE L’INVENTAIRE ET HIÉRARCHISER
OPENDCIM : UNE SOLUTION OUVERTE SES OBJECTIFS
ET SUR-MESURE Il est d’ailleurs assez paradoxal de constater que – dans un métier où
énormément de choses font l’objet de normes très contraignantes –
Le premier avantage est celui de l’ouverture. OpenDCIM, comme son la réalité du terrain reflète une très grande diversité des besoins et de
nom l’indique, est une solution ouverte et, si elle nécessite un juste leur expression. Une solution DCIM sérieuse doit effectivement
investissement en termes de gestion de projet, elle permet d’obtenir adresser un grand nombre de sujets : actifs présents, gestion de la
un très bon outil sur mesure, interfaçable avec de nombreuses autres capacité, changement, environnement, et bien sûr énergie sous le
solutions métiers, notamment de gestion des tickets. Prenons le temps double aspect de mesure fine de sa consommation et de son contrôle.
d’insister : Open couvre nativement les premiers besoins de Face à un tel périmètre, il faut savoir très tôt hiérarchiser ses attentes
l’exploitant, permet une familiarisation avec les concepts clefs en et ses objectifs avant une implémentation : quels retours attendus,
matière de DCIM, mais surtout il s’adapte aux demandes et à la quelle hiérarchisation des objectifs, pour quels délais et sur quels
hiérarchisation des besoins des responsables d’exploitation. C’est une critères d’appréciation de performance ou de succès ?
solution bien plus souple et « sur-mesure » que la majorité des autres
solutions DCIM du marché. Dans certains cas, la couche Télécoms et Dans la plupart des missions visant à implémenter une solution DCIM
60
DATA CENTER
– quelle qu’elle soit – le client doit être accompagné et encadré dans

son expression de besoins, ce afin de délivrer un cahier des charges
réellement en phase avec son vécu, son budget et son développement
présent et à venir. C’est alors que la capacité d’adaptation
d’OpenDCIM prend tout son sens. Comme évoqué, le point de départ
est bien souvent celui de l’inventaire, qui est l’élément structurant pour
(re)prendre pied dans une exploitation qui a pu se développer de façon
DATA CENTER
plus ou moins au fil de l’eau (absence d’étiquetage, assets « perdus »
ou oubliés, « tout dans la tête »…). L’inventaire permet de se Open DCIM: some good
reasons to adopt it!
réapproprier un historique via l’identification des équipements
présents, le relevé de leur localisation physique précise, mais aussi By Ludovic Gay, Deputy Dire
ctor General of Stephya
d’assigner un responsable de cet équipement. Une fois ce registre
achevé, c’est lui qui va permettre de garder la trace de chaque In just a few years, Dat
a Center Infrastructure
intervention ultérieure. Management - DCIM - has
become one of the driving
forces behind data center
operations. DCIM solution
L’étape suivante est donc celle du passage à une meilleure gestion software for monitoring and s,
managing activity, help to
d’exploitation, en traçant l’ensemble des gestes techniques réalisés provide and safeguard IT sup
ply within the Data Center.
en salle. C’est la première étape vers une gestion prévisionnelle des These applications are also use
d to ensure business critical
infrastructures via la gestion d’alertes quant aux opérations de data production, as more and
more services and business
maintenance et d’entretien, de sortie de contrat ou de garantie, voire applications, notably e-comme
rce where even the briefest
de décommissionnement. C’est aussi une étape cruciale pour downtime can cost million
s of euros, require full
dimensionner au plus juste son dispositif de gestes de proximité et availability.
ainsi lisser ses coûts d’exploitation. C’est enfin la meilleure façon de
s’assurer d’un passage serein de responsabilités, basé sur des éléments
tangibles.
De surcroît, cet inventaire est l’outil qui dessine en creux l’espace
encore disponible, et donc la capacité ou l’incapacité physique de
l’infrastructure à supporter un déploiement ou un projet. C’est la base
de toute exploitation de ressources, jusqu’à des logiques de Yield
Management.
Identifions maintenant quelques-uns des items techniques que prend

très facilement en charge la solution OpenDCIM. Via la création d’une
instance de base, la solution va tout d’abord intégrer les plans, puis
les salles à l’intérieur des plans, et les travées à l’intérieur des salles.
On comprend la logique, et l’on voit déjà qu’il n’existe donc pas deux
Data Centers semblables. Les mailles suivantes sont celles des baies,
et du chargement des équipements et serveurs. Côté électrique, on
identifiera les armoires, les départs électriques, les éléments de
distribution. Pour la connectivité, on suivra pareillement la chaîne
logique des équipements.
Le plan minimal de déploiement est donc le suivant :

1. Mise en place des plans dans le DCIM ;
2. Création des salles ;
3. Création des travées ;
4. Création des baies ;
5. Positionnement des baies sur plan ;
6. Chargement des devices ;
7. Création des armoires électriques ;
8. Chargement des PDU ;
9. Création d'équipements dans la bibliothèque ;
10. Chargement des CDL.
SONGER À LA MAINTENANCE
QUOTIDIENNE DE L’OUTIL
Sur les couches de services les plus hautes, il faudra songer à la
maintenance quotidienne de l’outil OpenDCIM, pour préserver sa
pertinence : comment intégrer un nouveau matériel ? Quels sont les
phases et états successifs pour un même équipement ? Combien
d’interventions pour un élément ? On bâtira et fera vivre un processus
de gestion des matériels selon un statut : fournisseur, intégrateur, en
charge du support, etc. Ce sont ces données de gestion administrative
61
Présentés comme des outils efficaces pour visualiser

et analyser les performances des infrastructures de
datacenters, les outils DCIM sont également utiles
PUBLI-INFO
pour gérer les équipements, leur installation et leur
consommation.
On leur reproche pourtant leurs nombreuses 3. Comment fonctionne cette suite ?
fonctionnalités ou la complexité de leur déploie-
ment. Nous avons recueilli l’avis de Gwenaël
Adine, Responsable des solutions électroniques
et logicielles chez EFIRACK. En charge des projets
de déploiement des logiciels DCIM chez les
clients, Gwenaël est également formateur sur ces
solutions.
1. Que peuton attendre d’une solution DCIM et estce si

complexe à mettre en œuvre ? Elle est composée de PowerIQ, outil de surveillance autonome qui
permet, d’une part, de superviser l’aspect énergétique du
La complexité est dans le datacenter luimême, constitué de lots datacenter (PDUs, climatisation, onduleurs…) et, d’autre part,
névralgiques (électricité, climatisation, sécurité/sûreté) faisant d’avoir une dimension environnementale grâce à des remontées
intervenir différentes expertises. Cette complexité se retrouve de sondes présentes dans les datacenters. PowerIQ a également la
également dans les nombreux services attendus : hébergement et capacité de réaliser des rapports et des tableaux de bord (ASHRAE,
gestion d’applications, traitement et stockage de données PUE, Puissance Active…).
multiples provenant de différentes sources. A cela il faut ajouter la Il peut être utilisé seul ou en association avec dcTrack®, solution
pression exercée sur le datacenter, considéré comme un outil au d’exploitation. Celleci offre une gestion efficace de l’infrastructure de
service de l’IT et la difficulté à aligner des infrastructures lourdes câblage, des capacités énergétiques, thermiques et structurelles avec
sur une informatique plus agile. une représentation graphique en 3D de l’environnement datacenter.
Il est également un excellent moyen pour remplacer de nombreux
Un outil DCIM permet de rassembler et analyser beaucoup référentiels souvent mal exploités (fichiers Excel, fichiers Visio…) et a
d’informations disparates pour piloter plus sereinement son l’avantage de gérer les changements au travers d’un workflow.
datacenter. Il facilite donc son exploitation et est également source
d’économies car il permet d’optimiser la consommation électrique et 4. Pourquoi y-a-til si peu de sites en France qui utilisent un
de refroidissement. Chez Efirack, nous le considérons aussi comme DCIM ?
un moyen d’améliorer l’urbanisation des baies (positionnement des
serveurs en fonction des capacités froid et électricité disponibles). Un DCIM est un investissement non négligeable. Les utilisateurs
devinent son intérêt mais craignent la complexité que vous
2. Vous avez choisi Sunbird comme partenaire DCIM. évoquiez au début, complexité qui peut nuire à la bonne utilisation
Pourquoi ? et donc au ROI de la solution. Chez Efirack, nous accompagnons
nos clients dans l’installation et la prise en main de la solution DCIM.
Pendant toute la phase d’installation, nous les aidons à remplir les
référentiels utiles à la configuration des logiciels. Nous les
conseillons notamment sur les règles de nommage, les procédures
à mettre en place, les pièges éviter et nous les formons à l’utilisation
des outils. Nous assurons également le support utilisateur pendant
toute la durée de vie de l’utilisation du produit.
5. Quel est l’avenir des DCIM en France ?
Le développement du Edge Computing lié à l’internet des objets

va conduire à la multiplication de petits sites de proximité qu’il va
bien falloir piloter et superviser. Sur le principe, les outils de gestion
d’infrastructures ont donc de beaux jours devant eux. Reste à
choisir le logiciel correspondant à son besoin. dcTrack® et PowerIQ
Sunbird propose une suite logicielle que nous intégrons, déployons sont des outils parfaitement adaptés pour les petits et moyens
et sur laquelle nous formons nos clients exploitants de salle. Nous datacenters car ils permettent une gestion multisites. La montée
avons choisi les logiciels Sunbird pour leur clarté, leur rapidité et en puissance des datacenters locaux est irrémédiable. Il deviendra
leur flexibilité. Ils autorisent une gestion quasi globale du nécessaire de disposer d’outils modernes, complets et intuitifs pour
datacenter et leur installation est très intuitive. Ils apportent une les superviser efficacement.
vision précise sur l’état de fonctionnement du datacenter, un accès
facile aux équipements et installations critiques avec des tableaux
de bord précis qui constituent une précieuse aide à la décision. Enfin
leurs fonctionnalités s’adaptent aux besoins de l’entreprise.
www.efirack.com
Bureau commerciaux Z.A. Le Clos aux Pois 68, rue de la Closerie CE 4822 LISSES 91048 ÉVRY Cedex Tél : +33 (0)1 69 11 17 17 Fax : +33 (0)1 60 86 25 76
DATA CENTER
PUBLI-INFO
qui permettent de produire les documents de type plan de prévention production de données qui sont possibles avec la simple – mais
et feuille de route pour intervenants externes. La mise en place de ces rigoureuse - utilisation d’OpenDCIM.
fonctions de back office est en elle-même un chantier à ne pas sous-
estimer, en particulier si elle comporte l’importation en masse de Enfin, signalons le prix d’achat des diverses solutions, dans un
sources et données existantes dans des fichiers tiers : rien ne se passe rapport de 1 à 20. Nous avons en effet calculé que le coût à la baie
jamais facilement à cette étape indispensable du projet avec OpenDCIM se situait entre 32 et 95 euros selon les besoins
d’implémentation. fonctionnels supplémentaires à développer. Comparativement, le
coût moyen des autres DCIM se situe entre 100 et 600 euros !
OpenDCIM va aussi gérer des droits, pour que chaque intervenant
puisse avoir un guide correspondant à ses besoins, mais restreint à En conclusion, si OpenDCIM n’est pas la solution la plus complète
eux seuls. L’accès aux racks, ou à certains locaux techniques, dépend du marché, elle peut soit suffire aux besoins de l’exploitant de Data
d’une habilitation, variable dans le temps, et de laquelle dépend à son Center, soit être la première étape vers une gestion plus rigoureuse
tour la bonne indexation des interventions effectuées et le respect des et l’acquisition à terme d’une solution plus riche. En définissant ses
normes de sécurité (ISO 20000, ISO 27001). besoins exacts à faible coût, le directeur d’exploitation peut
améliorer ses comptes rendus auprès de sa direction. Ces derniers
S’il faut chercher une limite, ou un inconvénient, il faut plutôt regarder mettront en avant les bénéfices et gains constatés, ainsi que les
du côté des contraintes inhérentes à tout projet de ce type : la nouveaux besoins éventuels pour mettre en place une spirale
nécessité de partir des spécifications, puis de réaliser le ou les vertueuse d’amélioration des frais de fonctionnement de cette
développements, et enfin d’implémenter. Un projet OpenDCIM est véritable « moelle osseuse » de l’entreprise que constituent le Data
sous cet angle un projet informatique comme les autres. C’est Center et son infrastructure réseau. ■ ■ ■
pourquoi, de la même façon, tout progiciel ou solution d’éditeur
amènera nécessairement son lot de contraintes : les solutions DCIM
les plus abouties sont extrêmement chronophages quand vient le
moment de faire le paramétrage, ou plus exactement les paramétrages
successifs. La nécessaire formation et la maintenance de ces solutions
rendent finalement l’investissement en temps tout aussi important,
voire plus important encore que pour la solution OpenDCIM avec
laquelle vous utiliserez toutes les fonctionnalités et non seulement
30% ou 50% de celles acquises par ailleurs. Et là encore, la réalité
terrain constatée est que l’adoption des solutions de DCIM les plus
puissantes passe par une phase souvent longue, pendant laquelle la
solution est bridée et le périmètre fonctionnel volontairement restreint,
pour permettre la prise en main. Les solutions sont tellement
puissantes et larges que leur compréhension est tout sauf immédiate,
ce qui conduit à les faire fonctionner en mode très dégradé. Ces
implémentations sont à comparer avec le temps moyen constaté chez
STEPHYA pour OpenDCIM : 4 mois.
OPENDCIM : JUSQU’À 12% DE GAINS

SUR LES COÛTS DE PRODUCTION DE
DONNÉES
Dans ce contexte, OpenDCIM est un excellent investissement, sans
coût de licence, qui permet un démarrage très rapide, puis des
extensions successives de périmètres, le tout en livrant une solution
sur-mesure, et en adéquation parfaite avec l’infrastructure qu’elle
va aider à maintenir et piloter. En quelques itérations, une solution
DCIM va tendre à couvrir 80% du champ des besoins, qu’il s’agisse
de pilotage ou d’axes d’amélioration. Elle laisse le plus souvent non
couverts 20% des sujets et des tâches qui sont pertinents, mais qui
n’ont aucune possibilité d’être rentables sur une exploitation d’une
dizaine d’années.
Si avec un DCIM vous gagnez sur l’investissement (CAPEX) par

l’amélioration de la disponibilité et de la gestion de capacité (très
facilement identifiable), le gain constaté est en moyenne de 10%.
Vous gagnez tout autant sur l’énergie grâce à une meilleure
urbanisation. De 5 à 10% de gains (source : France Datacenter).
C’est surtout sur les coûts opérationnels (OPEX) que vous allez faire
de substantiels bénéfices : amélioration de la productivité des
équipes et de la qualité de l’information, gestes de proximité…
nous avons mesuré de 10 à 20% de gain grâce à l’utilisation
d’OpenDCIM. Au total, c’est jusqu’à 12% de gains sur les coûts de
63
BULLETIN D’ABONNEMENT
❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 60€ TTC (TVA 20%), 75€ hors France Métropolitaine et étranger. THE LOGICAL & PHYSICAL SECURITY MAGAZINE
Je recevrai les 4 prochains numéros. N° 45

❒ ou je commande le numéro : au prix unitaire de 24€ TTC (TVA 20%)
❒ Abonnement annuel au format PDF du magazine 33€ TTC (TVA 20%) ❒ ou je commande le numéro : au format PDF 12€ TTC (TVA 20%)
❒ Abonnement couplé pour une durée d’un an, magazine papier et PDF au prix de 75€ TTC (TVA 20%)
❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail :
❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service
comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag. En
revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins ma carte
de visite professionnelle (agrafer ici)
et mon adresse mail : Je recevrai par mail une fois par semaine des informations ciblées
Nom Prénom Société
Adresse
Tél. Fax. E-mail
Règlement par chèque n° Tiré sur banque à l’ordre de SIMP
A réception de votre règlement une facture acquittée vous sera adressée par retour. A retourner à :
Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant. S IMP
17, av. Marcelin Berthelot
92320 Châtillon
Date, Signature et cachet de l’entreprise
Tél. : 01 40 92 05 55
© Adrian Grosu
E-mail : ipsimp@free.fr
marc.jacob@globalsecuritymag.com
En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant.
Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.
Solutions QUIZZ DE SENSIBILISATION
?
Michel Gérard, Conscio Technologies
10. b
9. a
8. d
7. a
6. a
5. d
4. c
? ?
3. c
2. a
?
1. b

NXO 5v7ds7NU PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

NXO 5v7ds7NU PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Shadow IT :

« Titanic » de l’IT ? e-mail : marc.jacob@globalsecuritymag.com

On a donné un nom à cette nouvelle REDACTION

et membre de notre Comité de programme des GS Days.

France Cybersecurity 38 The Greenbow 34

R A N S I T I ON Déclaration d’activité enregistrée

ÉNER G É T auprès du préfet de région Ile-de-France

C Œ U R D E Pour plus d’informations :

DU DA prochainement sur le site :

Contact : Marc Jacob Brami - Tél. : 01 40 92 05 55

THE LOGICAL & PHYSICAL SECURITY MAGAZINE

01 Édito : Shadow IT : vers un nouveau « Titanic » de l’IT ?

• Le dépôt de plainte a une importance capitale dans la lutte

18 à la cybercriminalité au sein du cabinet du Préfet de Police de Paris

Par Olivier Iteanu, Avocat, Chargé d’enseignement

• Le grand quizz de sensibilisation - Hiver 2018

Retrouvez notre fil

THE LOGICAL & PHYSICAL SECURITY MAGAZINE

18 reporting can be of vital importance

SHADOW IT • Industrial and urban systems cybersecurity: a high-priority

54 RAISING SECURITY AWARENESS

• Security awareness quizz

Keep up-to-date wit

urity and storage at:

Renseignements : Marc Jacob Brami -

© Lukiyanova Natalia frenta

JANVIER 30 - 31 janvier - Porte de Versailles - Paris

16 janvier - Paris 12 février - Paris

LE DÉPÔT DE PLAINTE A UNE IMPORTANCE

Anne Souvira est Chargée de mission aux questions relatives à la

dans le monde et 1,6 milliard d’euros pour la France, et la tendance

Anne Souvira : La coopération internationale est l’objet de

[1] PHAROS : plate-forme d’harmonisation d’analyse de recoupements et d’orientation des signalements

■ Maître Ès Sciences Economiques de l’Université Paris 1- Panthéon- Sorbonne

■ Chevalier de l'ordre national du Mérite en 2008

CYBERSÉCURITÉ DES SYSTÈMES

La cybersécurité représente aujourd'hui un enjeu haute-

Forte de la présence de ces acteurs et des capacités technologiques sur

A l’heure du numérique à tout va, et notamment du Cloud Computing,

Logiquement et en conséquence de ce qui précède, le RGPD a

Le Shadow IT représente l’informatique « hors du contrôle » de la DSI. Ce phénomène s’est

Alain Bouillé : A l’occasion de la publication de notre rapport, Michel

Il faut comprendre avant de légiférer

Alain Bouillé : Tout d’abord, il faut comprendre avant de légiférer

… mais n’est pas sans risques ! By Marc Jacob and Emmanue

Les risques liés au Shadow IT sont effectivement multiples, constate

Comment limiter les risques ?

2018 : LES CRYPTOMINEURS

PHISHING ET SPEAR PHISHING

LA CYBERCRIMINALITÉ EN 2018 [1]

FACEBOOK, LOJAX, SAMSAM,

L’année 2018 a effectivement été extrêmement active dans le domaine

LES ATTAQUES LES PLUS MARQUANTES DE 2018 [1]

Une fois que toutes les mesures de protection internes sont en

Des publicités de type « fraude au clic » intégrées

2019 : NOTRE SOCIÉTÉ ELLE-

c’est l’évolution-même de la société qui fournira les points de

SEULS LES CYBERCRIMINELS LES PLUS

Comment se déroule l’attaque ?

Extrait du code servant à compromettre le protocole BLE [11]

Selon Damien, l’attaque peut être réalisée en l’espace de trois minutes,

A l’heure où le traitement et la valorisation des données changent

Rappels : évolution des véhicules

1. Que peuton attendre d’une solution DCIM et estce si