Traitement des risques cyber dans les TPE-PME

Thèse Professionnelle
Cyril Nalpas
Le traitement des risques cyber
dans les TPE/PME en France en 2014 :
entre innocence et innovation
MBA Management du Risque
Banque, finance, assurance
2013 / 2014
1
Remerciements
Je souhaite remercier tout particulièrement Gérard Peliks, Président de l’atelier
Sécurité du Forum Atena, pour son expertise professionnelle et ses conseils avisés.
Je tiens également à remercier Yves Roucaute, Président du conseil scientifique de
l’INHESJ, Directeur et créateur de la formation « MBA Management du Risque : banque,
finance, assurance », ainsi que ses intervenants, parmi lesquels Bruno Hamon, fondateur
de la société MIRCA et Président du groupe de travail PCA à l’AFNOR, et Jean-Jacques
Brun, Directeur Management du Risque à la CEIS.
Ma reconnaissance va au général Marc Watin-Augouard qui a été le premier à
m’ouvrir des perspectives sur la cybersécurité et à m’offrir des échanges intéressants.
Mes remerciements vont aussi à la société CEIS, Compagnie Européenne
d’Intelligence Stratégique, en la personne de son Directeur Général, Guillaume Tissier,
ainsi que Barbara Louis-Sidney, Consultante Cybersécurité, et Benoît Mercier, Consultant
Management du Risque. Mes missions au sein de la CEIS sont au cœur de l’ensemble de
la présente étude, qui n’aurait pu voir le jour sans les opportunités qui m’ont été offertes
au sein de l’entreprise.
Enfin, je remercie mes proches pour leur soutien et leurs conseils tout au long de ce
travail.
2
Résumé
Cette étude traite de la gestion du risque cyber au sein des PME et des TPE au
travers de l’analyse des principaux risques et de l’émergence de nouvelles offres
assurantielles. Elle soulève la nécessité d’améliorer l’accessibilité intellectuelle et
financière de ces entreprises à la cybersécurité, au moyen de l’amélioration et de la
création d’outils de sécurité informatique qui ne seraient pas uniquement dédiés à des
experts. Ces outils doivent permettre notamment d’apporter une perception de situation
intelligible et d’accompagner le profane dans sa prise de décision.
3
Préambule
Le constat d’une cybersécurité à plusieurs vitesses face aux cybermenaces, selon
que l’on se place au niveau des grandes entreprises ou à l’inverse des plus petites, m’a
semblé constituer un sujet de recherche attractif : l’exploration des solutions pragmatiques
et innovantes à apporter aux PME/TPE.
Participer, même modestement, à une réflexion prospective, m’a paru être un beau
challenge.
4
Sommaire
Le traitement des risques cyber........................................................................................................... 1
dans les TPE/PME en France en 2014: .............................................................................................. 1
entre innocence et innovation .............................................................................................................. 1
Remerciements .................................................................................................................................... 2
Résumé ................................................................................................................................................ 3
Préambule ............................................................................................................................................ 4
Sommaire ............................................................................................................................................. 5
Introduction........................................................................................................................................... 7
Partie 1 : Le risque cyber des PME/TPE ........................................................................................... 16
I.
Définition ....................................................................................................................................... 16
II.
Typologie des impacts................................................................................................................. 20
III.
Typologie des méthodes d’attaque visant les petites entreprises ..................................... 23
IV.
Les facteurs de risque ............................................................................................................. 23
Fin de l’innocence : prise de conscience et arbitrage des entrepreneurs .................................... 28
Partie 2 : La réponse au risque cyber : en quête d’innovation .......................................................... 29
La gestion du risque cyber ............................................................................................................. 31
I.
A.
Etude des menaces et des risques ........................................................................................... 32
B.
Mise en place du plan d’action ................................................................................................... 34
C.
Les exercices de crise ................................................................................................................ 35
Les assurances cyber : un marché émergent .............................................................................. 37
II.
A.
Rappel historique ......................................................................................................................... 37
B.
Le contenu et cibles des offres assurantielles en France ...................................................... 38
C.
Couverture des risques .............................................................................................................. 39
D.
Les exclusions de garantie ......................................................................................................... 40
E.
L’évaluation des risques et les exigences des assureurs ...................................................... 42
F.
L’accompagnement dans la sécurisation et la mise à disposition d’experts ........................ 42
III.
Amélioration de la perception cyber à travers l’accessibilité cognitive ................................. 45
A.
Visualisation du cyberespace et perception de situation ........................................................ 45
B.
Un potentiel à exploiter ............................................................................................................... 51
IV.
Un outil à la décision à destination des TPE/PME .................................................................. 58
A.
Les capacités des outils libres disponibles ............................................................................... 60
B.
L’aide à la sécurisation ................................................................................................................ 61
C.
L’aide à la réaction en cas de brèche ....................................................................................... 63
5
D.
Accessibilité et pédagogie .......................................................................................................... 64
E.
Une maintenance constante de l’outil par l’équipe de développement ................................ 65
Conclusion.......................................................................................................................................... 66
Glossaire ............................................................................................................................................ 67
Bibliographie ...................................................................................................................................... 70
Annexe 3 : Benchmark des assurances cyber en France en 2014 .................................................. 71
Annexe 2 : Systèmes de visualisation du cyberespace .................................................................... 84
Annexe 3 : Gouvernance étatique de la cybersécurité ..................................................................... 88
6
Introduction
La question de la fragilité des PME et des TPE face aux cybermenaces est en
débat depuis quelques années, mais la prise de conscience par les pouvoirs publics n’est
pas encore nécessairement partagée par ces petites entreprises. Celles-ci relèvent en
outre de réalités très différentes en termes de niveau de cybersécurité.
La sécurité informatique de ces entreprises concerne en réalité l’ensemble des
acteurs, car, constituant le tissu des activités du pays, elles peuvent contaminer toute la
chaîne de l’économie. Elles représentent en effet un vivier de données, parfois sensibles,
appartenant à des tiers. De plus, si elles peuvent être des cibles premières, elles sont
également susceptibles de constituer des portes d’entrées aux menaces visant les plus
grandes entreprises dont elles sont des sous-traitantes.
Une sécurité à plusieurs vitesses
On constate une disparité dans les capacités cyber des acteurs. Les réseaux
nationaux bénéficient de la protection de la Défense et de l’ANSSI (Agence Nationale de
la Sécurité des Systèmes d’Information), qui a pour principale mission d’assurer la
cybersécurité des systèmes d’information de l’Etat et des OIV (Opérateurs d’Importance
Vitale).
De leur côté, les grandes entreprises ont l’expertise et les moyens financiers de s’assurer
une cybersécurité adéquate.
Cela n’est pas le cas des entreprises plus modestes, particulièrement dans une
conjoncture économique de crise où l’heure est à la réduction des dépenses. Nous faisons
ainsi face à une cybersécurité à plusieurs vitesses en fonction de la nature des acteurs.
Un coût financier bloquant
Effectivement, les plus petites entreprises peuvent difficilement investir dans la
sécurité. Les entreprises qui démarrent vont focaliser leurs investissements sur leur cœur
7
de métier afin de faire de la croissance, et non sur la protection de l’infrastructure. La
recherche du succès est toujours préalable à la pérennisation du business. Il existe ainsi
une phase de forte vulnérabilité entre le moment de création de l’entreprise et le moment
où elle adopte une stratégie IT et de cybersécurité.
Des entreprises particulièrement vulnérables
Avec les fonctions dédiées à la sécurité informatique pour la grande majorité
absentes des PME, et une informatique souvent externalisée ou gérée par une personne
dénuée de formation appropriée, on se retrouve avec un niveau de conscience qui est
plus ou moins celui de la population générale. Hier, cette conscience de la menace cyber
était absente des esprits des non-professionnels de l’informatique ; Aujourd’hui, les
actions de sensibilisation et la présence plus forte des cas d’attaques recensés dans les
médias commencent à porter leurs fruits, mais la situation peine à s’améliorer.
D’une part, le rehaussement du niveau de sécurité dans les grandes entreprises fait des
PME des cibles plus vulnérables en comparaison, en conséquence de quoi elles sont
d’autant plus visées malgré un potentiel plus faible à priori ; d’autre part, la multiplication
des nouveaux usages informatiques personnels provoque une porosité toujours plus forte
entre le système informatique des particuliers et celui de leur lieu de travail : clés USB et
appareils mobiles Wi-Fi font que l’entreprise est vulnérable à une contamination
involontaire par ses employés.
Un manque de données statistiques fiables
Le domaine de la cybersécurité est confronté à un cruel manque de données
statistiques, particulièrement lorsque l’on s’intéresse spécifiquement à un pays. En effet,
les entreprises ne souhaitent pas faire savoir qu’elles ont été victimes d’un incident cyber,
et certaines cyberattaques restent inconnues, car non détectées. Si une information
personnelle d’un client est exfiltrée et se trouve utilisée dans le cadre d’une usurpation
d’identité, on ne connait pas nécessairement l’origine de la fuite. Il n’est pas non plus
évident que ce client, victime, s’en rende compte. Le cybercriminel fera d’ailleurs de son
mieux pour ne pas laisser de traces.
8
Sur le plan juridique, les infractions cyber relevant principalement des infractions
traditionnelles, elles n’entrent pas nécessairement dans les statistiques officielles.
Il est également difficile de faire confiance aux études réalisées par les sociétés de
sécurité informatique qui ont de toute façon intérêt à dresser un tableau dramatique, mais
peut-être peut-on plus facilement s’accorder sur les tendances relevées par celles-ci. Elles
restent cependant pour l’heure incontournables, et seront citées au cours de cette étude
lorsqu’il s’agira d’établir des tendances.
Pour faire face à ce manque de données fiables, il a été indiqué lors du Forum
International de la Cybersécurité de 2014 qu’il sera confié au Centre Expert de lutte contre
la Cybercriminalité Français (CECyF) la mission d’apporter un indicateur statistique précis
de la cybercriminalité.
Une perception des risques en trompe-l’œil ?
« Les PME notamment en régions, qui débutent souvent comme une entreprise
familiale qui grossit par la suite, n’ont généralement pas conscience de la diversité des
cybermenaces qui pèsent sur elles… d’autant que leurs failles peuvent être techniques
mais aussi organisationnelles ! » Sylvain Defix de NTT Com Security.
D’un autre côté, les sondages rapportent au contraire que les petites entreprises sont
généralement relativement bien informées des dangers informatiques. Selon un sondage 1
à l’échelle mondiale de Kasperky Lab : 35% des TPE classent la protection des données
comme l’une des principales difficultés auxquelles elles sont confrontées dans
l’informatique d’entreprise, contre 26% pour les entreprises de taille moyenne et 29% pour
les grandes entreprises. De la même façon, les TPE semblent mieux au courant des
problèmes de sécurité liés à l’utilisation des appareils mobiles : 31% d’entre elles
considèrent que la sécurité des ordinateurs portables et des mobiles constitue l’une des
trois priorités pour la sécurité IT, contre 23% pour l’ensemble des entreprises.
Un sondage2 de Symantec à destination des SMB (entreprises de moins de 500
personnes) confirme cet état de fait. Il révèle cependant une des raisons pour lesquelles la
1
http://media.kaspersky.com/en/IT_Security_Risks_Survey_2014_Global_report.pdf
http://www.symantec.com/about/news/release/article.jsp?prid=20111116_01&om_ext_cid=biz_socmed_twitter_fa
cebook_marketwire_linkedin_2011Nov_worldwide_SMBflashpoll
2
9
sécurité est insuffisamment traitée dans ces entreprises : 50% d’entre elles se considèrent
trop petites pour intéresser d’éventuels cyberattaquants.
Et pour cause : les attaques cyber à l’encontre des TPE/PME ne sont pas médiatisées
parce que ces entreprises sont moins connues, parce que l’échelle de ces attaques
n’impressionne pas, et bien sûr car les entreprises qui en sont victimes ne le
communiquent pas. Cela contribue à la croyance populaire du « trop petit pour être
ciblé ».
Pour autant, on ne peut pas dire qu’elles soient moins victimes que les autres : selon le
rapport sur les menaces de sécurité Internet 2012 de Symantec, 31% des attaques ciblées
concernent des PME3. Deux ans plus tard, le constat est le même au sein du Threat
Report4 2014 : les entreprises de moins de 250 salariés constituent les cibles de 30% des
attaques.
Une distinction TPE/PME peu pertinente
Les classifications de PME et de TPE reflètent des réalités très différentes en
termes de niveau de sécurité de l’information. On ne peut pas comparer une entreprise de
15 personnes avec une autre comprenant plus d’une centaine de salariés lorsque l’on
parle de gestion de l’IT.
Nous avons ainsi regroupé au sein du terme de PME :
-
Des entreprises qui ne possèdent pas d’informaticien dédié et formé : la gestion de
l’informatique est confiée à l’employé le plus compétent, en marge de sa fonction
principale.
-
Des entreprises qui possèdent un informaticien dédié, mais pour lesquelles la
sécurité informatique n’est pas une priorité dans les faits.
-
Des entreprises qui possèdent un ou plusieurs salariés dédiés à la cybersécurité.
3
http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20130416_01
http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.enus.pdf
4
10
Une innovation insuffisamment protégée
Une entreprise innovante qui ne protège pas suffisamment son capital
informationnel ne prend pas seulement le risque de voir perdre un avantage concurrentiel,
elle risque également de perdre sa compétitivité. En cas de vol de secrets (stratégiques,
commerciaux ou techniques) par une société concurrente, elle commercialisera ses
produits à un prix de vente supérieur à celui de la concurrence, car incluant le coût de la
recherche et du développement.
TPE/PME et Intelligence Economique : un partenariat nécessaire
Comme le fait remarquer le commandant de Gendarmerie Rémy Février, « Ce n’est
plus le secteur ou la taille de l’entreprise qui sont le critère pertinent pour les attaques,
c’est sa compétitivité » : c'est-à-dire ses stratégies, ses approches et ses connaissances
sous forme de données numériques.
Le domaine de l’intelligence économique s’intéresse de plus en plus à l’information noire,
et c’est alors de l’espionnage, alors qu’elle est censée se limiter à l’information blanche et
grise.
Ceci est renforcé par un jugement du tribunal de grande instance de Créteil en date du 23
avril 2013 : celui-ci a considéré que si le responsable d’un système d’information ne
sécurise pas celui-ci contre les intrusions, le délit d’accès et de maintien frauduleux au
sens de l’article 323-1 et suivants du code pénal n’est pas constitué5.
Pour Thibault Renard, Responsable Intelligence Economique de la CCI France,
« Aujourd’hui, le défi est que le développement et l’appropriation de l’IE en France doivent
clairement se faire au niveau des PME/TPE, pas seulement au niveau des institutions, des
Grands Groupes ou même des ETI ». Il ajoute en outre que « ni les CCI, ni aucun acteur,
public ou privé, ne peuvent accomplir seuls la tâche d’amener l’ensemble des entreprises
à s’approprier l’IE. Les CCI agissent donc en partenariat au niveau national et territorial
avec les pouvoirs publics (D2IE, SCIE, Ministère de l’Intérieur), en liaison avec les
5
http://www.leclerelouvier-avocats.com/actualites/Protegez-vos-donnees-ou-le-juge-ne-vous-protegera-pas
11
fédérations professionnelles (MEDEF, CGPME) et le milieu associatif très développé de
l’IE (CDSE, 3AF, AEGE, Académie de l’IE) et bien entendu en complémentarité avec les
professionnels de l’IE représentés par le Syndicat Français de l’IE (SYNFiE) »6.
Le réseau consulaire PACA a lancé le programme Performance PME intelligence
économique, avec l’objectif d’accompagner 600 TPE/PME vers l’adoption des réflexes
premiers de l’intelligence économique. Parmi les leçons tirées de cette expérience, on
retient que les enjeux de la mondialisation et de la concurrence sont connues par les
TPE/PME, mais que celles-ci n’identifient pas encore l’intelligence économique comme un
véritable levier de compétitivité et n’ont donc pas développé un système adapté d’IE au
sein de leur organisation. Elles identifient la sécurité des systèmes d’information parmi les
axes d’intelligence économique, mais résument celle-ci à la seule sécurité des systèmes
informatiques. D’autre part, elles considèrent l’intelligence économique comme une
démarche intellectuelle peu pragmatique. Pour les accompagner dans ce domaine, le
compte rendu de ce programme suggère d’accompagner les entreprises vers une pratique
de l’intelligence économique sans la définir comme telle.
Au sein de la démarche IET de la Gendarmerie : les référents sûreté
Il serait faux de dire que les PME sont oubliées par les pouvoirs publics.
De son côté, la Gendarmerie Nationale a développé une démarche d’intelligence
économique territoriale (IET 7). Un rapport relatif à l’action de la Gendarmerie Nationale en
matière d’intelligence économique relève que 75% des atteintes économiques se
concentrent sur des entreprises de moins de 500 salariés, dont 80% sont situées en zone
Gendarmerie Nationale. Le maillage territorial de la Gendarmerie en fait l’acteur privilégié
pour une interaction proactive avec les PME/TPE. Des référents-sûreté de la Gendarmerie
sont chargés de centraliser l’information et de mettre en place des actions de prévention,
après avoir établi un diagnostic de vulnérabilité. En 2012, ceux-ci ont conduit 9 000
actions de sensibilisation et établi plus de 2 500 diagnostics de vulnérabilité8. En 2013, ce
sont 9003 actions de sensibilisation d’entreprises et 4807 diagnostics de vulnérabilité. Par
exemple, l’opération « Tranquillité Entreprises » réalisée par la Gendarmerie de la région
6
https://intelligenceseconomiques.wordpress.com/category/interviews/
http://www.iledefrance.gouv.fr/content/download/7230/52466/file/Intelligence%20%C3%A9conomique%20territori
ale2602%20BD.pdf
8
http://www.inhesj.fr/sites/default/files/defi3.pdf (p22)
7
12
Rhône-Alpe, travail de prévention et de sensibilisation a notamment été constituées de
ces diagnostics de vulnérabilité.
De même, des échanges réguliers entretenus avec les fédérations professionnelles
(CGPME et MEDEF notamment) permettent d’associer acteurs publics et privés dans les
démarches d’intelligence économique. On peut citer l’exemple « Lundi de l’IE »,
conférences organisées régulièrement par le cercle Intelligence Economique du MEDEF
Ile-de-France.
Une synergie publique/privée
Devant l’ampleur des cybermenaces, les pouvoirs publics ont souhaité une
coopération avec le privé.
Le général Marc Watin-Augouard, créateur du FIC9 et directeur de l’EOGN10, rappelait que
« L’idée qui a soutenu la création du FIC, c’est de décloisonner, dans un monde cyber
complètement ouvert, le secteur public, les administrations, et le secteur privé, les
entreprises ».
Lors de l’édition 2014 du FIC, le ministre de la Défense, Jean-Yves le Drian, abordait le
sujet de la réserve citoyenne cyberdéfense (RCC), « dont l’élargissement est
indispensable pour toucher davantage d’acteurs de la société civile, notamment les PME
et les PMI ».
Les nouveaux plans de l’Etat
L’année 2014 a été riche en productions de plans étatiques dans le domaine de la
cybersécurité.
La feuille de route du plan Cybersécurité de la Nouvelle France Industrielle comporte
quatre objectifs principaux :
9
Accroître significativement la demande en solutions de cybersécurité de confiance
Forum Internationnal de la Cybersécurité
Ecole des Officiers de la Gendarmerie Nationale
10
13
-
Développer pour les besoins de la France des offres de confiance ;
-
Organiser la conquête des marchés à l’étranger ;
-
Renforcer les entreprises nationales du domaine cybersécurité.
L’une des mesures phare prévoit la création d’un label France pour les offres nationales.
Les actions concernant la cyberdéfense peuvent en outre être bénéfiques au secteur de la
cybersécurité. Le Ministère de la Défense a constitué un Pacte Défense Cyber, rendu
public en février 2014.
L’action 17 de ce pacte vise à l’augmentation du « nombre de thèses de doctorat
approfondissant l’expertise en cyberdéfense ». Il précise que « l’IRSEM soutiendra les
études en cyberdéfense dans le domaine des sciences humaines et sociales ».
Pour le cas spécifique des PME/PMI dans la filière de la cybersécurité, les actions 23 et
25
leur
prévoient
un
soutien
particulier :
valorisation
des
projets
à
l’export,
accompagnement et incitation à participer ou lancer des projets bénéficiant du dispositif
RAPID, et enfin des actions de sensibilisation renforcées afin qu’elles veillent à leur propre
cybersécurité.
Enfin, Le 4 juin 2014, le Ministère de l’Intérieur a annoncé la création d’un « cyber-préfet »,
qui sera chargé de coordonner la mise en œuvre d’un plan stratégique de lutte contre les
cybermenaces. L’enjeu de cette nomination est d’assurer la protection des PME française.
Cette mesure vient en complément d’un plan d’action triennal pour l’intelligence
économique territoriale (2015-2017) qui mobilisera le corps préfectoral et amplifiera la
formation des cadres du ministère et les actions de sensibilisation.
14
Toutes ces actions de sensibilisation produites récemment par les pouvoirs publics
parviennent-elles à influencer l’acteur principal du changement qui est l’humain ?
Spécifiquement le chef d’entreprise qui devra réaliser son arbitrage face à un
investissement en cybersécurité.
Comment pouvons nous permettre aux petites entreprises en croissance d’être protégées
des cybermenaces jusqu’à ce qu’elles atteignent une taille critique qui leur permet d’avoir
les moyens de se doter d’experts en sécurité ?
Il convient d’opposer à cette attitude imprudente la méthode classique de management du
risque, qui passe en premier lieu par la cartographie de ces risques.
Nous nous attacherons en second lieu aux nouvelles solutions assurantielles et à des
solutions techniques innovantes.
15
Partie 1 : Le risque cyber des PME/TPE
Il s’agit ici d’évaluer ici le périmètre des risques qui peuvent concerner les
TPE/PME.
I.
Définition
La survenance d’un risque cyber signifie toute destruction, perte, altération,
divulgation ou accès non-autorisé à des données informatiques. Cette définition comprend
l’indisponibilité due à l’altération d’un système informatique, celui-ci étant lui-même
constitué de données.
Ce faisant, on doit distinguer les menaces cyber d’ordre intentionnel (malveillance) des
menaces d’ordre non intentionnel. En effet, la cybersécurité ne se limite pas à la protection
vis-à-vis de la cybercriminalité, qui agit majoritairement à travers les réseaux. On peut
distinguer trois principales couches du cyberespace :
-
La couche physique : les équipements, les câbles ;
-
La couche logicielle : les logiciels, les protocoles. On distingue à celle-ci plusieurs
couches (en comptant la couche physique, respectivement 4 et 7 pour les modèles
Internet et OSI11) ;
-
La couche sémantique ou cognitive.
Ces couches sont interdépendantes. Une courte interruption, à peine perceptible, sur la
couche physique a des répercussions auxquelles il faut répondre sur la couche logicielle.
Dans le cas d’une panne électrique survenant la nuit, les conséquences se découvrent
généralement au matin : l’équipement n’est probablement pas endommagé, mais
l’extinction de l’ensemble du SI va demander un redémarrage selon un ordre précis, des
reconfigurations et que la propagation des nouvelles tables de DNS s’effectue. Ceci peut
facilement rendre indisponible le SI aux employés la majeure partie de la matinée.
11
http://fr.wikipedia.org/wiki/Suite_des_protocoles_Internet
16
Une vulnérabilité sur la couche logicielle peut permettre à un attaquant de s’introduire
dans un web et de changer la signification de l’information qu’il affiche (couche
sémantique).
La norme ISO 27005 définit le capital à protéger concernant la sécurité de l’information :

Les actifs primaires :
o Les processus et l’activité
o L’information

Les actifs de support :
o Le matériel
o Les logiciels
o Les réseaux
o Le personnel
o Les sites
o Le support organisationnel (autorités de tutelle, maison-mère, département,
agences, etc.)
La sécurité des données doit répondre à trois principaux objectifs :
-
La disponibilité : l’information doit être accessible à tous ceux qui en ont besoin (et
y sont autorisés).
-
La confidentialité : l’information doit rester accessible uniquement aux personnes
autorisées.
-
L’intégrité : l’information ne doit pas être corrompue ou rendue incomplète.
Deux autres objectifs permettent d’élargir les premiers pour définir la sécurité du système
d’information :
-
La non-répudiation et l’imputation : aucun utilisateur ne doit pouvoir contester les
opérations qu’il a réalisées, et aucun tiers ne doit pouvoir s’attribuer les actions d’un
autre utilisateur.
-
L’authentification : l’identification des utilisateurs est fondamentale pour gérer les
accès aux espaces de travail pertinents et maintenir la confiance dans les relations
d’échange.
17
Malheureusement, on ne possède pas toujours une connaissance exacte de l’état de
sécurité des données, notamment dans le cas d’une APT – advanced persistant threats.
Le rapport 2014 M-Trend12 de Mandiant relève qu’en moyenne, il faut 229 jours avant
qu’une entreprise ne se rende compte qu’elle est victime d’une APT.
Le risque menaçant ce capital peut être de nature intentionnelle ou non intentionnelle,
interne ou externe.
Le risque d’origine intentionnelle (malveillance)
On peut considérer que le temps où la recherche de la gloire constituait la
principale motivation des hackers est révolu. Ce faisant, les cyberattaques ciblant les
entreprises, y compris les plus petites, répondent à quatre motivations principales :
-
Le cybermilitantisme, ou cyberhacktivisme : incarnation des opérations coup de
poing dans le cyberespace dans la défense d’une cause. Ces actions prennent le
plus souvent la forme d’attaques DDoS ou de défiguration de site web. Il concerne
cependant moins les PME que les grandes entreprises.
-
L’objectif mafieux purement pécuniaire : vol d’informations commercialisables,
racket (prise en otage de données ou de systèmes).
-
Le cyberespionnage : il s’agit d’intelligence économique, et son origine peut être
aussi bien étatique que concurrentielle.
-
La vengeance : le plus souvent un employé actuel ou passé, qui aura considéré ne
pas avoir été traité à sa juste valeur.
Quelle que soit la motivation, le risque peut comporter un élément interne.
On constate ici l’asymétrie propre aux attaques dans le cyberespace :
-
Des individus avec de très faibles moyens peuvent causer des dommages
considérables ;
-
Une entreprise sans défense peut se retrouver face à la puissance d’un Etat qui
s’intéresse à son capital informationnel.
12
https://dl.mandiant.com/EE/library/WP_M-Trends2014_140409.pdf
18
Le risque d’origine non-intentionnelle
Le risque non intentionnel est soit d’origine naturelle (incendie, inondation, etc.), soit
d’origine humaine : on parle alors d’erreur ou de négligence.
Ainsi, la survenance d’un sinistre peut être d’origine accidentelle, bien que souvent
d’origine humaine. Effectivement, le facteur humain est ici aussi omniprésent.
Il est souvent rappelé que lors de la conception d’ARPANET (l’ancêtre d’Internet), la
robustesse a été privilégiée au détriment de la sécurité. Notre Internet a pourtant bien une
réalité physique qui le rend vulnérable, notamment à l’erreur humaine. Le 13 mai 2011 à
Vélizy13, une machine de travaux publics endommage plusieurs fibres optiques, ce qui
coupe l’accès à Internet des locaux de plusieurs grandes entreprises parmi lesquelles
Carrefour, SFR et Free.
Au niveau de la couche logicielle, une mauvaise configuration peut également donner lieu
à des indisponibilités : la connexion d’un équipement configuré avec une adresse IP déjà
existante sur le réseau ne manquera pas de perturber celui-ci. Il s’agira bien souvent d’un
employé ayant connecté sans autorisation son propre ordinateur, et entre l’identification
du problème et sa résolution, on observe une asymétrie entre l’intention et les pertes
potentielles (chômage technique, pertes d’opportunités, etc.).
On peut également mentionner les défaillances matérielles et logicielles provoquant
l’indisponibilité ou la perte de données. Cependant en cas de perte avérée de données
due à une défaillance, il convient de considérer que celle-ci relève d’une erreur humaine,
de niveau stratégique : celle de ne pas avoir prévu de redondance des données
(sauvegardes).
13
http://www.journaldunet.com/solutions/systemes-reseaux/coupure-reseau-fibre-optique-velizy-villacoublay0511.shtml
19
II.
Typologie des impacts
Les impacts peuvent être d’ordre financier, d’image, légal.
Impacts financiers :
-
Perte de chiffre d’affaire : généralement par indisponibilité des services
-
Cyberextorsion (DDoS, Ransomware) : l’entreprise se retrouve paralysée par des
attaques à l’encontre de son système d’information, et est contrainte de payer une
rançon pour rétablir la disponibilité de ses données ou de ses services
-
Perte d’avantage concurrentiel : Vol de brevets ou de contrats, attaque
généralement transparente au moment des faits. Le coût de la R&D étant intégré
au prix de vente du produit, si une entreprise concurrente obtient des secrets de
fabrication, alors elle pourra vendre à un prix inférieur un produit similaire et ainsi
conquérir tout ou partie du marché
Impacts sur l’image :
On pourrait penser que les TPE/PME seraient moins concernées par les risques
d’altération d’image, notamment en ce qui concerne les crises médiatiques, cependant le
fait est qu’aucune entreprise ne souhaite faire savoir qu’elle a été victime d’une
cyberattaque. C’est un aveu d’échec qui réduit fortement la confiance des clients envers
l’entreprise, surtout lorsque l’entreprise est susceptible de posséder des informations
confidentielles les concernant (qu’il s’agisse d’informations personnelles de particuliers ou
d’informations sensibles d’un partenaire).
20
Impacts légaux :
L’article 34 de la loi Informatique et Libertés 14 impose de « prendre toutes
précautions utiles, au regard de la nature des données et des risques présentés par le
traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles
soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Concernant la confidentialité des données : l’article 226-22 alinéa 2 du code pénal dispose
que « La divulgation d’informations commise par imprudence ou négligence est punie de 3
ans d’emprisonnement et de 100 000 € d’amende. »
Il existe en outre des dispositions législatives et réglementaires spécifiques à certains
secteurs. Dans le domaine médical, l’article L1111-8 du code de la santé publique dispose
que l’hébergement de données de santé à caractère personnel auprès d’un tiers requière :
-
Le consentement de la personne concernée ;
-
D’avoir recours à un prestataire agréé par le Ministère de la Santé. L’obtention de
l’agrément est soumise à la mise en œuvre de solutions techniques et
organisationnelles assurant la sécurité et la restitution des données hébergées. Ces
hébergeurs sont en outre soumis à l’obligation médicale prévue à l’article 226-13 du
code pénal et punie d’un an d’emprisonnement et de 15 000 € d’amende.
En ce qui concerne le risque de responsabilité civile, du fait des articles 1382 et 1383 du
Code Civil, les entreprises sont responsables notamment dans les cas suivants :
-
En cas de transmission de ver ou de virus, de vol de données confiées par des
tiers ;
-
En cas de préjudice à un tiers du fait de l’indisponibilité des services de l’entreprise
victime.
En effet, l’article 1382 dispose que « tout fait quelconque de l’homme, qui cause à autrui
un dommage, oblige par la faute duquel il est arrivé, à le réparer » ; L’article 1383 dispose
quant à lui « Chacun est responsable du dommage qu’il a causé non seulement par son
fait, mais encore par sa négligence ou par son imprudence. »
14
http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/
21
La directive européenne « vie privée et communications électroniques », telle qu’amendée
en 2009, impose une obligation aux « fournisseurs de services de communications
électroniques accessibles au public dans la communauté » de notifier l’autorité nationale
compétente ainsi que les particuliers concernés lorsque qu’une violation de données à
caractère personnel a eu lieu. Celle-ci a été transposée dans le droit français au sein de la
loi informatique et libertés (article L34bis).
On peut se demander si cette obligation a aussi vocation à s’appliquer aux cybercafés par
exemple, cependant il faut surtout noter que la directive précise bien qu’à terme, cette
obligation sera étendue à tous les secteurs et à tous types de données 15.
Il y a en outre un projet de règlement européen en matière de protection des données à
caractère personnel qui aura vocation à s’appliquer à tous les secteurs.
Les obligations en termes de protection des données, notamment personnelles, sont
nombreuses, et ceci d’autant plus que le vol de données numériques en tant que telles est
maintenant reconnu par la jurisprudence. Dans un vol de données, la jurisprudence et une
partie de la doctrine ont longtemps considéré qu’il n’y avait pas à proprement parler
d’appropriation frauduleuse de la chose d’autrui, dans le cas où les données étaient
dupliquées sans soustraction de leur support original. Cependant, dans un arrêt du 4 mars
2008, la Chambre criminelle de la Cour de Cassation a clairement pris position sur le vol
de fichiers informatiques en reconnaissant que l’infraction est caractérisée en l’absence
même d’un support16.
15
http://juriscom.net/wp-content/documents/secu20100130.pdf
http://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000018550314&fastReqId
=670431778&fastPos=1
16
22
III.
Typologie des méthodes d’attaque visant les petites entreprises
Une étude de 2011 du Ponemon Institute17 a recensé les types d’attaques les plus
couramment employées à l’encontre des petites entreprises. L’étude montre que les
attaques DDoS sont un phénomène plutôt rare les concernant (elles concernent moins de
4% des attaques), alors que l’hameçonnage et l’ingénierie sociale comptent pour 30% des
attaques et que toutes comprennent l’utilisation de code malicieux.
IV.
Les facteurs de risque
Toute création technologique induit des risques qui se révèlent souvent après
l’adoption et l’appropriation massive de ces technologies créant de nouveaux usages. Il y
a ainsi un temps de latence avant l’arrivée des actions correctives.
L’ère Internet se caractérise par la multiplication de nouveaux usages qui sont autant de
facteurs de risques.
Mobilité et BYOD
La mobilité, c'est-à-dire le fait de se déplacer avec ses outils informatiques et ses
données, est davantage perçue dans les entreprises comme une économie et une agilité
plutôt qu’un risque. Elle facilite cependant la perte ou la fuite de données.
Face aux risques de vol ou de perte du matériel, il est nécessaire de s’assurer d’avoir
préalablement réalisé une copie des données emportées, et de chiffrer ces dernières.
Les entreprises ayant recours au BYOD (Bring Your Own Device, littéralement « Apportez
votre propre matériel ») se rendent vulnérables aux infections de l’informatique
personnelle des employés. On assiste à une porosité toujours plus grande entre cette
informatique personnelle et l’informatique professionnelle. Cela a commencé lorsque
17
http://www.cgpme92.org/pages/pdf/Guide-cybercriminalite.pdf
23
l’employé utilisait son ordinateur professionnel pour une utilisation parfois personnelle à
son domicile. Aujourd’hui, le BYOD complète la boucle avec des employés qui connectent
leurs smartphones et autres tablettes sur le SI de l’entreprise.
Utilisation du Wi-Fi
L’utilisation du Wi-Fi comporte deux principaux problèmes :
-
Il fait disparaître la frontière périmétrique de l’accès filaire : équipé d’une antenne
adéquate, un réseau Wi-Fi peut être capté à plus d’un kilomètre.
-
Il engendre un faux sentiment de sécurité chez les utilisateurs non avertis ou nonprécautionneux.
Les premières tentatives de protocole de chiffrement visant à sécuriser les connexions WiFi ont échoué, mais sont pourtant toujours disponibles au sein des équipements. Aucun
professionnel de la sécurité ne choisirait le protocole WEP (Wired Equivalent Privacy) pour
sécuriser son réseau, et pourtant ce choix est généralement le premier dans la liste des
méthodes de chiffrement proposées sur les matériels (tristement, pour des raisons d’ordre
alphabétique).
A sa création, le protocole de chiffrement était le WEP. Les analyses successives des
algorithmes de chiffrement employés dans ce protocole ont fait passer le temps
d’obtention de la clé par simple écoute à quelques heures en 2001, quelques minutes en
2005 et finalement quelques secondes depuis 2006. Il y a cependant eu un temps de
réaction relativement long de la part des fournisseurs d’accès à Internet, de l’ordre de
plusieurs années, qui ont continué à livrer des box paramétrées avec le Wi-Fi activé par
défaut et chiffré à l’aide du protocole WEP.
Or, d’une part, les connexions Internet des TPE sont souvent les mêmes que celles des
particuliers, et d’autre part les systèmes informatiques des particuliers constituent un point
d’entrée vers les entreprises. De plus, l’emploi du BYOD est d’autant plus courant que
l’entreprise est de taille modeste.
Cette masse de réseaux Wi-Fi est aujourd’hui encore loin d’être négligeable. Ceci est
d’autant plus dramatique que les utilisateurs ne se savent pas à ce point vulnérables.
24
En outre, quelle que soit la méthode de chiffrement employée, les utilisateurs ont
tendance à choisir une clé courte, facile à retenir, car la connexion est généralement
partagée à l’ensemble des employés. Ceci rend ces réseaux vulnérables aux attaques par
force brute (utilisation d’un programme qui va tester des clés construites à partir d’un
dictionnaire).
Externalisation de l’informatique : infogérance & Cloud computing
L’externalisation désigne le transfert de tout ou partie d'une fonction d'une
organisation (entreprise ou administration) vers un partenaire externe. Dans le cas de
l’externalisation de l’informatique, on parle d’infogérance. Celle-ci peut être une source de
risques. On va facilement considérer, puisque l’on confie cette fonction informatique à
autrui, que l’on a plus à s’occuper de la cybersécurité. Pourtant d’une part, il faut encore
s’assurer que le contrat avec le prestataire inclut des garanties de sécurité, et d’autre part
il ne faut pas oublier que la sécurité informatique est également une question de
gouvernance : une politique de sécurité devant être absolument appliquée par les
employés. Il faut aussi considérer que transférer sa sécurité vers un prestataire de service
n’implique pas pour autant le transfert de sa responsabilité civile et pénale quant à la
protection de ses données sensibles : l’article 31 de la loi Informatique et Liberté dispose
que « le responsable du traitement des données personnelle est la personne, l’autorité
publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».
Le cloud computing constitue la forme la plus évoluée d’externalisation. Associant
simplicité et faible coût, il attire de nombreuses entreprises, notamment les plus petites.
Son utilisation pour stocker ses données peut constituer une amélioration ou une
détérioration du niveau de sécurité, selon le prestataire choisi.
Sogeti18 relève 7 points d’attention à surveiller de près lors d’une démarche Cloud
computing :
-
Le contrôle des administrateurs du Cloud ;
-
La conformité réglementaire ;
-
La localisation des données ;
18
http://www.fr.sogeti.com/sites/default/files/Documents/Publications/Une%20approche%20syst%C3%A9mique%20
de%20la%20cybers%C3%A9curit%C3%A9.pdf
25
-
La ségrégation des données ;
-
La reprise après sinistre ;
-
Le support des investigations ;
-
La viabilité à long terme du fournisseur.
La localisation des données est un élément déterminant en termes juridiques.
L’hébergement des données dans un pays tiers emporte plusieurs conséquences non
négligeables :
-
La législation du pays en question peut faciliter l’investigation dans les données
numérique par les autorités locales (exemple du Patriot Act aux Etats-Unis, malgré
l’accord Safe Harbor);
-
A l’inverse, la législation étrangère peut ne pas prévoir d’obligations similaires à
celle du droit français en termes de gestion des données par le prestataire.
Les leaders dans le domaine du Cloud Computing étant américains (Amazon, Google,
Microsoft, etc.), donc relevant du droit anglo-saxon où le prestataire devient propriétaire
des données, on comprend que nombreux sont ceux en France qui souhaitent voir
émerger un Cloud souverain qui pourrait rivaliser avec eux.
Cependant ce problème dépasse la simple question de l’hébergement des données, car
ce sont surtout les services associés qui déterminent le choix d’un prestataire. Il en existe
trois types :
-
IaaS (Infrastructure as a Service) : il s’agit de la fourniture d’un socle
d’infrastructure informatique virtualisé. L’entreprise gère la partie applicative et le
middleware, mais le matériel, le système d’exploitation et le réseau est à la charge
du fournisseur cloud.
-
PaaS (Platform as a Service) : l’entreprise cliente ne gère que la partie applicative,
tout le reste étant géré par le fournisseur, y compris le middleware.
-
SaaS (Software as a Service) : il s’agit d’applications en ligne, accessibles depuis
n’importe quel ordinateur. Il en existe pour un grand nombre de finalité : relation
client, ressources humaines, gestion d’entreprise, gestion de projet et bien entendu
partage de documents.
26
L’offre des leaders américains du marché est particulièrement attrayante, mais étant
donné l’ampleur potentielle de la contrepartie (faibles garanties contre l’espionnage,
transfert de la propriété des données), il faut être particulièrement vigilant en matière de
garanties offertes par le prestataire. Il peut être préférable de choisir un service moins
abouti en termes de fonctionnalités, mais meilleur garant de la confidentialité des
données. Encore faut-il que le prestataire choisi ait suffisamment investi dans la sécurité. Il
est nécessaire d’identifier le cadre légal et de vérifier la qualité de celui-ci.
Utilisation du web
Pour Renaud Bidou, CTO de Denay All, « les principales menaces actuelles portent
sur l’interface Web », du fait de l’importance de la surface d’attaque. « La surface
d’attaque est importante. Qui plus est, ce sont des technologies très simples à attaquer,
parce que le développement Web est à la portée de n’importe qui et se fait bien souvent
sans considération de sécurité. ». Ainsi, selon le rapport de menace 19 de Symantec en
date d’avril 2014, un site légitime sur huit serait exposé à une vulnérabilité critique.
Une technique courante pour infiltrer une entreprise est celle du watering hole. Cette
attaque consiste à infecter un site web visité régulièrement par les employés afin d’infecter
automatiquement ceux-ci lorsqu’ils consultent la page (drive-by download).
19
http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.enus.pdf
27
Fin de l’innocence : prise de conscience et arbitrage des entrepreneurs
Les entreprises commencent à prendre conscience des risques, cependant elles
sont nombreuses à ne pas avoir les moyens de se protéger ou à continuer à ne pas se
sentir réellement concernées. L’élargissement des obligations de notification à l’ensemble
des secteurs d’activités pourrait permettre de faire remonter à la surface les attaques
cyber visant les entreprises les plus petites, ce qui lèverait définitivement le doute chez
elles quand à la nécessité d’agir en anticipation.
Quoiqu’il en soit, face au manque de moyens des petites structures, il semble nécessaire
de s’assurer qu’il existe des solutions de sécurité accessibles, non seulement en termes
de coûts mais également en termes d’intelligibilité vis-à-vis de néophytes (démystification
des contraintes de la sécurité informatique).
La responsabilité civile et éventuellement pénale devrait amener les chefs d’entreprise à
agir préventivement dans la gestion de ce risque cyber.
Nous nous attacherons spécifiquement aux réponses aux menaces d’origine malveillante,
car ce sont elles qui entraînent le plus d’innovation.
28
Partie 2 : La réponse au risque cyber : en quête d’innovation
La réponse au risque s’articule autour de deux axes :
-
la réduction du risque par la diminution de la fréquence :
Il est urgent d’élever le niveau de sécurité. Cette sécurité est autant une question
de gouvernance que de solutions techniques, mais il est nécessaire de s’assurer
que la conscience du risque soit universellement reconnue par l’ensemble des
acteurs.
-
la protection en cas d’occurrence de la menace :
Quel que soit le niveau de sécurité, la défense n’est pas infaillible, d’autant qu’elle
sera toujours tributaire de l’erreur humaine. Une fois la fréquence réduite au
maximum par une gouvernance et des solutions techniques adéquates, il reste à se
prémunir de l’intensité d’une défaillance de la sécurité.
Concernant l’augmentation du niveau de sécurité, nous nous intéresserons tout
particulièrement à la question de l’accessibilité des outils de sécurité. S’il reste toujours
envisageable de répondre à la problématique de l’accessibilité d’un point de vue tarifaire –
les PME ont des moyens limités mais leur nombre permet de rentabiliser un produit
spécifiquement conçu pour elles – l’utilisation des outils de sécurité reste l’affaire des
professionnels de la sécurité informatique.
Nous nous intéresserons en premier lieu à la démarche de management du risque,
appliqué aux risques liés au système d’information.
Puis, nous examinerons les solutions d’assurance cyber en France, qui se sont multipliées
ces dernières années après avoir émergé aux Etats-Unis dans les années 2000.
Dans l’optique de rendre les logiciels de sécurité informatique plus accessibles, nous nous
intéresserons ensuite à la représentation du cyberespace et à la visualisation
d’informations au sein de ces outils.
En dernier lieu, nous faisons la proposition d’un logiciel unifié à destination des plus
petites structures, qui aurait pour objectif d’accompagner celles-ci dans la sécurisation de
29
leur réseau. Cet outil devrait relever d’une grande pédagogie afin de permettre la
formation de ses utilisateurs, car bien souvent la responsabilité de la gestion informatique
est donnée à la personne qui a le plus de connaissances dans le domaine sans pour
autant être formée spécifiquement.
30
I.
La gestion du risque cyber
Si la fonction de Risk Manager est traditionnellement absente des TPE/PME,
l’utilisation des méthodes de cette discipline est devenue nécessaire, particulièrement
pour le risque cyber qui concerne tous les acteurs. En effet, le système d’information est
aujourd’hui présent au cœur de la plupart des processus de l’organisation, et ceci dans
l’ensemble des secteurs d’activité.
Rappelons ces mots du CLUSIF :
« Il est urgent que les dirigeants intègrent dans l’analyse de leur environnement les
faiblesses liées aux systèmes d’information.
La gestion des vulnérabilités informatiques en tant que telle ne crée pas directement de la
valeur. Par contre, une absence de gestion des vulnérabilités limite indirectement la
création de valeur pour l’organisation ».20
Nous exclurons le risque stratégique pour nous intéresser spécifiquement au risque
opérationnel : le risque de pertes provenant de l’inadéquation ou de la défaillance de
procédures internes, de personnes, de systèmes ou faisant suite à des évènements
externes.
La démarche décrite dans cette partie correspond à celle employée par les sociétés de
conseil de sécurité informatique, et toute entreprise peut bénéficier de cette méthode.
Il est à noter que la gestion du risque implique des réévaluations régulières, et ceci est
d’autant plus vrai dans le domaine de l’informatique qui est amené à évoluer
constamment. Ceci constitue la principale limite de l’application de cette méthode à des
petites structures.
20
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2014-Gestion-vulnerabilites-tome-1.pdf
31
A. Etude des menaces et des risques
D’après le livre blanc de Check Point Software sur la protection des données et les
risques juridiques21, l’étude de risque doit comprendre :

Le recensement des données à caractère personnel et leurs supports : matériels,
logiciels, canaux de communication, support papier.

L’étude
des
menaces
qui
pèsent
sur
chaque
support :
recensement,
hiérarchisation, probabilité.

L’étude des risques : combinaison des impacts avec les menaces correspondantes,
hiérarchisation des risques selon leur gravité et leur vraisemblance.

La détermination des mesures de sécurité afin de réduire, transférer ou éviter les
risques.
Une démarche plus générale, proposée par le cabinet MIRCA, rappelle en outre le
caractère cyclique d’une bonne gestion de risque. La démarche doit être réévaluée de
façon plus ou moins régulière. Ainsi, la méthode préconisée est la suivante :

L’identification des risques, qui consiste à déterminer les évènements de risques
potentiels et leurs éventuelles causes et conséquences

L’évaluation des risques, qui consiste à apprécier l’impact de l’évènement de
risque ;

La gestion des risques, qui consiste à définir les mesures stratégiques et
opérationnelles pour éviter, transférer et / ou réduire la survenance et l’impact des
risques ;

Le contrôle et la surveillance des risques, qui consistent à s’assurer de la
cohérence et de l’adéquation du niveau des risques en regard des objectifs fixés.
Cartographie et hiérarchisation des risques
Il faut définir quels sont les biens à protéger, définir les menaces et les risques
potentiels, ainsi que leur criticité.
21
http://security.arrowecs.fr/FMS/12650.protection_des_donn_es_et_risques_juridiques.pdf
32
Pour une société, les données les plus sensibles seront les informations client, pour une
autre cela concernera un secret industriel.
Identification des biens primordiaux :
La première action de la démarche de risk management consiste ainsi à effectuer le
recensement de :
-
L’ensemble des données sensibles et leur support ;
-
Les éléments du système d’information dont l’indisponibilité serait dommageable ;
Identification des menaces :
Il faut déterminer les menaces qui pèsent sur les biens à protéger préalablement
définis. Cela peut être, par exemple :
-
L’extorsion en cas de chiffrement de données nécessaires au fonctionnement du
business;
-
Les éventuels comportements à risques du personnel (à tous les étages de la
pyramide) ;
Détermination de la criticité des risques :
Pour chaque risque identifié, il faut définir notamment :
-
Sa gravité : du risque négligeable au risque catastrophique.
-
Sa probabilité d’occurrence : rare, improbable, probable, fréquent.
Définition du plan d’action
Face à un risque, on peut répondre de quatre façons différentes :

Le refuser : sortir de l’activité ;

L’accepter ;

Le transférer : vers une compagnie d’assurance ;

Le mitiger : prendre des mesures pour diminuer sa fréquence et/ou son intensité.
33
Le plan d’action comprendra le choix parmi les quatre possibilités précitées.
La définition de ce plan s’appuie sur l’ensemble des données récoltées lors de l’étude du
risque : la liste des risques, leur criticité (probabilité x gravité), ainsi que les mesures
envisagées.
Il faut définir des mesures de protection appropriées. Ces mesures peuvent relever aussi
bien de protections d’ordre physique, informatique que cognitif (formation et sensibilisation
des individus).
B. Mise en place du plan d’action
La mise en place des nouvelles mesures techniques
Par exemple, l’une des actions possibles pour mitiger le risque face aux
cyberextorsions par ransomware est la mise en place d’une procédure de sauvegardes
automatiques.
Nouvelles mesures de gouvernance et sensibilisation des employés
Comme mentionné à plusieurs reprises, la protection du système informatique et
des données concerne des mesures techniques, mais également des mesures de
gouvernance et de sensibilisation des employés.
Cela consiste donc à établir des règles à destination du personnel, en s’assurant d’être le
plus pédagogique possible : il faut s’assurer que le personnel comprenne en quoi il est
concerné par la mesure, parfois contraignante, comme par l’enjeu, qu’il doit s’approprier.
S’il n’aperçoit que vaguement le bénéfice des nouvelles règles qui lui sont imposées, il
n’en fera probablement rien. On se rapproche de la problématique de l’accompagnement
au changement propre à tous projets internes.
Notons par ailleurs l’émergence, très récente, d’offres en matière d’exercices de crise
cyber.
34
Un point essentiel : le plan de continuité d’activité
L’un des dangers principaux qui guette une entreprise en cas d’incident cyber est
l’interruption d’activité. Il est nécessaire de se préparer à cette éventualité. Il faut avoir
réfléchi aux mesures permettant de continuer l’activité de l’entreprise avant qu’un incident
gravissime ne survienne.
Les objectifs du PCA sont d’anticiper les risques opérationnels de grande envergure et
d’analyser et de réduire les impacts potentiels d’une interruption d’activité. Un PCA doit
permettre de pouvoir continuer d’exercer l’activité, en mode dégradé. Il s’agit de
renforcer la résilience de l’entreprise à une crise.
Il est à noter que l’élément humain est un aspect majeur du PCA : ce sont des personnes
qui agiront pour permettre de continuer les activités dans les meilleures conditions
possibles. Il a été démontré que la perte de repère en situation de sinistre affecte
fortement la capacité à prendre des décisions, y compris celle du management22.
Pour Bruno Hamon, fondateur de la société MIRCA et Président du groupe de travail PCA
à l’AFNOR, le PCA n’est pas un outil destiné uniquement aux grands groupes. Il rappelle
ainsi qu’une PME est plus sensible aux risques de choc extrême, notamment car elle est
généralement monosite et possède une assise financière beaucoup plus fragile.
C. Les exercices de crise
Parmi les outils classiques de gestion de crise, on trouve les exercices de crise
cadre. Ceci concernera davantage les PME de taille importante, ainsi que les collectivités
locales.
Nous voyons en outre apparaître en France une offre en matière d’exercice de crise de
type cyber. Comme le souligne Jean-Jacques Brun, directeur Management du Risque
chez CEIS23, ces prestations, à l’instar de celle en cours de création par la Fondation
Saint-Cyr, en partenariat avec les sociétés CEIS, Sogeti et Thales, « permettent en outre
22
23
www.mirca.fr/docshow.php?nid=476
Compagnie Européenne d’Intelligence Stratégique
35
de sensibiliser efficacement les participants aux risques induits par l’omniprésence de
l’informatique au sein de leurs activités professionnelles : ils apprennent à reconnaître les
menaces de type cyber, à éviter les pièges, et à agir efficacement en situation de crise ».
36
II.
Les assurances cyber : un marché émergent
Les polices classiques sont insuffisantes. En effet, concernant la responsabilité
civile, ces polices excluent généralement la perte et la divulgation de données
personnelles, ainsi que les dommages causés aux tiers suite à la contamination
informatique par l’entreprise souscriptrice. Les assurances cyber se positionnent en
complément des polices classiques, qui ne couvrent généralement pas les dommages
immatériels.
Les assurances cyber se multiplient en France, pour plusieurs raisons : les attaques se
multiplient, les contraintes réglementaires se renforcent et les assureurs anglo-saxons,
notamment américains, sont à la recherche d’un nouveau marché.
En 2013, la LLoyds déclarait que les cyber risques étaient en troisième position des
risques majeurs des entreprises, ce qui montre bien la volonté des compagnies
d’assurances de se positionner sur un tel marché, au-delà du seul monde anglo-saxon.
A. Rappel historique
Les assurances cyber en France sont des traductions des assurances cyber anglosaxonnes.
L’assurance cyber est née aux US dans les années 2000. Elles peinaient alors à trouver
leur public, de la même façon que les assurances cyber en France à leur lancement (vers
2010). Cependant la conjoncture a changé.
Outre l’explosion de la menace, le renforcement des cadres légaux, notamment du côté de
la notification des incidents (article L34-al2 Loi Informatique et Liberté, Règlement
européen à venir prévoyant l’élargissement de cette obligation à l’ensemble des secteurs),
ainsi que la prise de conscience grandissante des risques par les entreprises suite aux
actions constantes de sensibilisation de la part des pouvoirs publics ont favorisé le
développement des offres d’assurance en France.
Pourtant, les sociétés d’assurances restent confrontées au problème de l’absence de
données statistiques historiques exploitables pour évaluer le risque.
37
Les données actuarielles sont en effet très difficiles à obtenir, puisque les entreprises ne
font pas part de leurs incidents de sécurité. D’après John Wheeler, directeur de recherche
chez Gartner en charge de la gestion du risque et de la sécurité, « même ceux qui sont
assurés rechignent à formuler des demandes d’indemnisation pour éviter de communiquer
les informations et parce qu’ils craignent pour leur réputation ». En l’absence de données,
il faut se reposer sur les outils d’analyse et de modélisation.
B. Le contenu et cibles des offres assurantielles en France
Les assureurs présents aujourd’hui sur le marché français sont encore en majorité
anglo-saxons : ils cherchent de nouveaux marchés après avoir connu un premier succès,
particulièrement aux Etats-Unis.
Tous proposent des offres globales, multirisques, ceci afin d’équilibrer leur portefeuille
dans un marché où l’offre est encore supérieure à la demande, encore faible. Certaines,
nous le verrons plus loin, incluent le traitement du risque en amont et en aval.
Ce fonctionnement par « package » peut soulever des difficultés d’accessibilité en termes
de coûts : face à un manque de moyens, une petite entreprise pourrait souhaiter souscrire
à une police couvrant un risque plus restreint mais pertinent au vu du souscripteur.
D’un autre côté, il est évident que le choix ne serait pas nécessairement aisé pour celui-ci,
qui devrait naviguer entre le langage de l’assureur et un domaine cyber qu’il ne maîtrise a
priori que très peu.
Cette capacité de choix reste malgré tout pertinente, notamment lorsque sont couverts des
sinistres de fréquence (ceux de faible gravité mais qui occurrent régulièrement). Ceux-là
vont à l’encontre de la pertinence de l’assurance, dont l’utilité relève dans la couverture
des sinistres d’amplitude (faible fréquence, forte gravité). Dans le cas des sinistres de
fréquence, l’assuré a davantage intérêt à agir de façon proactive face au risque, mais si
celui-ci est inévitable, il reste inutile de l’assurer.
Certaines offrent visent spécifiquement les TPE et/ou les PME. Par exemple, dès 2010,
Axa proposait une offre destinée spécifiquement aux entreprises de moins de 30 salariés
incluant une option cyberrisques « qui sécurise les PME sur l’essentiel des cyberattaques
38
(repérage du virus, pertes de données, pertes d’exploitation) ». Depuis, d’autres ont mises
en place des offres spécifiques aux PME, mais aussi à certaines catégories
professionnelles comme le fait l’assureur AIG : professionnels de la santé, professionnels
de l’Internet et de la communication, etc. Autre méthode pour cibler les TPE/PME :
l’utilisation d’un outil de tarification en ligne à destination des courtiers, notamment les
courtiers de province, comme l’a fait l’assureur Beazley (qui prévoit la disponibilité de
l’outil à partir d’octobre 2014) 24.
Il subsiste en outre certaines incertitudes d’ordre réglementaire, comme nous le verrons
plus loin.
C. Couverture des risques
Les contrats d’assurance cyber visent à couvrir la responsabilité civile (RC) et les
pertes liés aux dommages immatériels (rarement les dommages matériels). Sont
généralement couverts :
-
Les frais liés au recours à une équipe spécialisée en intervention suite à incident de
sécurité : investigation, sécurisation et remise en service du système
informatique, y compris des données ;
-
Les frais de notifications pour violation de confidentialité et de mise en place d’un
centre d’appel pour les tiers ;
-
Les frais pour recours à une équipe d’aide en relations publiques, afin de gérer
une crise médiatique, et mitiger les dommages à la réputation ;
-
Les frais pour recours à une équipe juridique afin de mitiger les ramifications
juridiques ;
-
Les dommages aux tiers au titre de la responsabilité civile. Cela comprend
généralement notamment les dommages liés à l’indisponibilité du système
informatique pour les clients, ainsi que les dommages causés aux réseaux
informatiques des tiers.
24
http://www.newsassurancespro.com/courtage-beazley-vise-les-tpepme/0169281751
39
Comme nous le verrons plus loin, certaines compagnies d’assurance mettent à disposition
des équipes techniques, juridiques, de relations publiques ou de centre d’appel, soit
internes à la compagnie d’assurance soit liées à un partenariat avec celle-ci.
De nombreuses polices cyber prennent en charge les frais de négociation en cas de
cyberextorsion, et certaines vont même jusqu’à la pris en charge de la rançon. On
retrouve finalement ici le même traitement que concernant les assurances enlèvement.
Les assurances, contrairement aux autorités étatiques, encouragent donc les entreprises
à céder aux extorsions, car elles considèrent que les coûts liés à la perte d’exploitation en
cas d’indisponibilité du SI sont supérieures au montant de la rançon.
Concernant la couverture de la perte de chiffre d’affaire, seules deux compagnies
d’assurances annoncent la couvrir en ces termes dans leur offre (AxA et Hiscox).
Certaines couvertures proposées par les assurances soulèvent certaines questions de
légalité. Par exemple, les amendes sont assurables aux Etats-Unis, mais la question n’est
pas encore réellement tranchée en France. Cela n’empêche pas de nombreuses polices
de proposer la couverture de celles-ci, bien que certaines précisent que la couverture est
possible « si la loi l’autorise ».
L’objectif premier des assurances cyber, on le voit avec la mise à disposition d’équipes
techniques, juridiques, de relations publiques et de négociation en cas d’extorsion, est
bien entendu de mitiger au maximum les conséquences d’une cyberattaque. Cela
passe notamment par la remise en service la plus rapide possible du système
d’information atteint. Ceci constitue une nette innovation dans la gestion de risques pour
les petites entreprises, a priori démunies contre ce nouveau type d’atteintes.
D. Les exclusions de garantie
Concernant les exclusions de garantie, se pose la question de la définition de
l’assuré et du tiers. En principe, la qualité d’assuré comprend la société souscriptrice, ses
représentants légaux, ses filiales ainsi que ses préposés agissant en cette qualité, c'est-àdire les employés.
40
L’article 121-2 du code des assurances dispose que l’on ne peut pas exclure une garantie
« en fonction de la nature ou de la gravité du dommage causé par les personnes dont
l’assuré est responsable ».
Autrement dit, si les dommages causés par les employés sont couverts, alors ils le sont
que la faute soit de nature intentionnelle ou non. Il est néanmoins possible d’exclure la
faute intentionnelle de la société souscriptrice et de ses représentants légaux. Ainsi, les
actes de malveillance interne sont censés être couverts.
Il faut à se sujet noter que le salarié peut également constituer un tiers. Le salarié en tant
que personne physique peut se retourner contre l’entreprise en cas de fuite de ses
données personnelles. Et comme une entreprise possède nécessairement des données
personnelles de ses employés au sein de son système d’information, ce cas de figure est
loin d’être théorique.
Il faut quoi qu’il en soit être particulièrement attentif aux formulations des cas de
couverture ou d’exclusion. En effet, les produits d’assurances cyber ont fortement
tendance à mêler des formulations de faits générateurs très vagues et d’autres très précis.
Les formulations vagues donnent lieu à des difficultés tant les interprétations peuvent être
multiples. Il y a ainsi une difficulté entre la volonté pour les assureurs d’être intelligibles
dans les termes choisis au sein des offres, et la nécessité de lever toute ambigüité, de
préférence évidemment avant la survenance d’un sinistre.
Il faudra notamment s’intéresser à :
-
La distinction entre malveillance et négligence.
-
La définition retenue de la définition des prestataires de services informatiques
Rappelons, en outre, qu’au titre des exclusions de garantie : l’article L 121-7 du code des
Assurances permet d’exclure l’assurance du vice propre de la chose assurée. Autrement
dit, on pourrait exclure toute faille informatique, si l’on considère qu’elles constituent une
erreur de programmation et ainsi un vice propre à l’environnement logiciel du système
d’information.
41
E. L’évaluation des risques et les exigences des assureurs
Les assureurs se renseignent sur les candidats à l’assurance à l’aide de
questionnaires de souscription. Ces questionnaires visent notamment à déterminer le
niveau de dépendance de l’entreprise à son système d’information ainsi qu’à évaluer les
pertes d’exploitation en cas d’indisponibilité de celui-ci.
La visite sur site reste rare. Si les assureurs exigent une étude de la sécurité et du risque,
elles ne demandent pas d’évaluation sur site « dans 99% de cas» d’après Mark Greisiger,
président de NetDiligence (une entreprise spécialisée dans l’évaluation du risque
informatique pour assureurs et courtiers). Ces évaluations sont généralement réalisées à
la demande du client, ou lorsqu’il requiert un montant de garantie particulièrement élevé.
Les assureurs apprécient les certifications, notamment ISO 27001, ISO 27005 et PCI
DSS25 mais cela ne peut que jouer en la défaveur des plus petites sociétés pour lesquelles
le coût de ces certifications est prohibitif.
F. L’accompagnement dans la sécurisation et la mise à disposition d’experts
Face à la difficulté pour les PME de se protéger contre un risque qu’elles maîtrisent
mal, plusieurs sociétés d’assurance ont fait le choix d’accompagner leurs clients dans leur
démarche de sécurisation en s’associant avec des sociétés de service informatique
spécialisées dans la cybersécurité. On peut citer par exemple l’exemple d’Axa avec
Cassidian Cyber Security, ou d’Allianz avec Thalès.
Ce partenariat permet d’inclure, notamment, prestations en aval et en amont des incidents
cyber à l’offre d’assurance :
-
En prévention des attaques : l’audit du site et la sécurisation
-
A la suite d’une attaque : mise à disposition d’une équipe afin de résoudre l’incident
et de récolter les preuves (forensic).
25
Payement Card Industry Data Security Standard, normes de sécurité pour la protection des données de
compte établies par le PCI SSC.
42
Cette sécurisation a priori a un impact qui va au-delà de l’évitement d’une éventuelle
future atteinte. Dans un jugement du 21 février 2013, le tribunal de grande instance de
Paris a considéré que l’absence de protection efficace de l’accès à la base de données
personnelles de la société Sazenza la rendait responsable de son préjudice subi à
hauteur de 30%26.
Cette solution est similaire à celle retenue par le tribunal de grande instance de Créteil en
date du 23 avril 2013 : si le responsable d’un système d’information ne sécurise pas celuici contre les intrusions, le délit d’accès et de maintien frauduleux au sens de l’article 323-1
et suivants du code pénal n’est pas constitué.
En conclusion, on peut considérer que les garanties offertes par les assurances sont
globalement pertinentes, mais qu’elles souffrent encore d’incertitudes et de manque de
clarté pour être appréhendées par les plus petites structures qui ont davantage de
difficulté à déterminer avec précision les risques d’un domaine qu’elles maîtrisent mal.
D’autre part, il reste très difficile d’évaluer les montants associés aux pertes s’agissant des
dommages immatériels, contrairement aux risques matures pour lesquels il est aisé de le
faire.
Cependant, on ne peut que féliciter les approches pluridisciplinaires employées par
plusieurs compagnies d’assurances, qui n’hésitent pas à accompagner le client en aval et
en amont dans le traitement du risque cyber.
Au-delà de l’efficacité financière d’une souscription à une police d’assurance cyber, cette
dernière a quoiqu’il en soit le mérite d’enclencher une démarche qualité au sein de
l’entreprise souscriptrice vis-à-vis de ces nouvelles menaces.
Il semble toutefois nécessaire de rappeler le caractère cyclique du marché de l’assurance.
Nous sommes en effet dans un état d’incertitude, en particulier du fait de législations et de
jurisprudences qui sont amenées à évoluer dans un domaine naissant.
26
http://www.leclerelouvier-avocats.com/actualites/Protegez-vos-donnees-ou-le-juge-ne-vous-protegera-pas
43
On peut rappeler qu’en 2002, sous le double effet de la loi Kouchner et de l’arrêt Perruche,
le marché de l’assurance « Responsabilité Civile Médicale » des cliniques privées a vu le
retrait de la majorité de ses acteurs 27.
27
http://www.audit-des-assurances.com/management-du-poste-assurance-changer-pour-de-meilleures-conditionset-un-meilleur-prix.html
44
III.
Amélioration de la perception cyber à travers l’accessibilité
cognitive
Nous devons tenter de dépasser les blocages des utilisateurs, principaux acteurs
de la sécurité, en améliorant leur perception cognitive de l’environnement cyber qui est le
leur. Pour ce faire, nous devons clarifier la représentation visuelle des outils de sécurité.
Ceci est en premier lieu au bénéfice des experts, mais cette innovation pourra être
étendue à terme au grand public.
A. Visualisation du cyberespace et perception de situation
La complexité et la taille du cyberespace dans sa dimension technique le rendent
particulièrement difficile à se représenter. Il est composé de multiples couches,
correspondant à différents niveaux d’abstraction.
Afin d’assurer la sécurité des réseaux dont ils sont responsables, les administrateurs
système utilisent des outils de surveillance de ces multiples couches du cyberespace. Ces
derniers n’apportent généralement pas une visualisation explicite de l’environnement
virtuel qui approcherait la représentation cognitive du cyberespace que peuvent s’en faire
leurs utilisateurs.
Pourtant, pour une prise de décision efficace, il est nécessaire d’avoir la compréhension
de l’environnement et de son fonctionnement. Le processus d’organisation cognitive de
ces éléments s’appelle la perception.
Il semble donc qu’il y a un véritable besoin de faciliter la représentation du cyberespace
auprès des utilisateurs. C’est un travail qui concerne tout autant la technique que les
sciences cognitives, et à ce titre il nécessite de faire travailler ensemble des experts de
ces domaines respectifs afin d’aboutir à des modèles de représentation qui ne
manqueront pas d’être repris par les éditeurs de logiciels.
45
Il serait faux de dire que le domaine de la représentation visuelle ait été éclipsé par les
éditeurs, cependant celle-ci semble plus souvent mise en avant à des fins marketing que
dans l’idée d’être exploitable et exploitée.
Ainsi, de nombreux acteurs ont mis en ligne des cartes de visualisation des cyberattaques
(Kaspersky, Norse, FireEye, pour ne citer qu’eux).
Ces différentes cartes ne sont malheureusement pas exploitables ; Elles servent à illustrer
auprès des clients potentiels les technologies qui permettent de faire fonctionner ces
cartes en détectant les cyberattaques. Elles pourraient cependant constituer ce qu’on
imaginerait être le niveau le plus macro d’un outil qui intégrerait différents niveaux de
granularité.
Certains peuvent craindre qu’une amélioration de la perception de l’environnement cyber
puisse être utilisée à des fins offensives, et ainsi ne ferait qu’accélérer une coûteuse
course à l’armement cyber. Cependant, à connaissance égale des vulnérabilités, cette
visualisation bénéficierait davantage à la cybersécurité car la défense est évidemment la
première à avoir la main sur les systèmes à protéger.
46
1. Visualisation d’information et théorie cognitive
Le domaine de la visualisation d’information a émergé « à partir des recherches
dans des disciplines telles que l’interaction homme-machine, les sciences informatiques,
le graphisme, le design, la psychologie et les méthodes commerciales »28. Elle permet la
représentation d’informations abstraites afin de renforcer la cognition humaine.
Pour les créateurs de l’outil VisAlert 29, l’interface d’un IDS (Intrusion Detection System)
devrait être aussi proche que possible de la représentation cognitive de l’utilisateur afin de
rendre sa compréhension plus rapide et plus précise.
En ce sens, la visualisation d’information fait partie de l’ergonomie. On la voit d’ailleurs
d’autant plus fusionner avec cette notion avec la démocratisation des smartphones et
autres tablettes qui bénéficient des écrans tactiles. On réalise avec ceux-ci la combinaison
entre le visuel et la fonction sous-jacente.
Difficile de parler de la mise en avant de l’ergonomie dans l’informatique sans parler de la
stratégie derrière le design des produits Apple. Afin de faciliter leur utilisation et leur prise
en main, des efforts considérables ont été mis dans la conception des produits, afin de les
rendre
« intuitifs »,
c'est-à-dire
permettre
une
compréhension
immédiate
du
fonctionnement de l’outil en vue de son utilisation. Et pour arriver à ce résultat, il faut non
seulement créer un système suivant une logique universellement ou quasi-universellement
partagée, mais également s’assurer d’afficher les étapes commandées par l’utilisateur
selon la représentation cognitive qu’il s’en fait.
Il est rarement possible de représenter l’intégralité des informations que l’on souhaite
transmettre en un seul visuel : l’humain ne peut interpréter de son champ de vision qu’un
nombre limité de types distincts d’objets. La solution est de représenter les informations
selon différents niveaux de granularité.
Il est nécessaire de prendre en compte le pourcentage non négligeable d’individus atteints
d’une forme quelconque de daltonisme, presque 10% pour les hommes, lors des choix de
28
Benjamin B. Bederson et Ben Shneiderman, The Craft of Information Visualization : Readings and Reflections, 2003,
Morgan Kaufman
29
http://digital.cs.usu.edu/~erbacher/publications/VisAlertCGA2006.pdf
47
code couleur comme attribut de visualisation. Eviter alors l’utilisation du rouge et du vert,
couleurs concernées par la forme la plus courante de daltonisme, semble judicieux.
Certains experts estiment qu’un outil de visualisation devrait éviter la troisième
dimension30 car la perspective prive celui-ci de l’efficacité de certains attributs de
visualisation, notamment la taille des objets représentés. Cette taille peut alors servir à
indiquer la sévérité d’un évènement sans avoir recours à une couleur vive que tous ne
peuvent pas distinguer.
La théorie de l’intégration des attributs d’Anne Treisman détermine quatre principales
caractéristiques des objets qui sont identifiées avant d’être traitées à un niveau conscient :
30
-
La couleur ;
-
La forme ;
-
L’orientation ;
-
Le mouvement.
Jay Jacobs, Bob Rudis, Data-Driven Security, 2014
48
2. Sources de données nécessaires à la visualisation du cyberespace
Nature des éléments
En premier lieu, il s’agit de la nature et des caractéristiques des équipements,
premières caractéristiques qui permettent de définir les éléments constitutifs d’un réseau.
Ils constituent ainsi l’ossature de toute représentation du cyberespace.
Il est d’ailleurs possible de trouver des cartographies efficaces en dehors des outils dédiés
à la sécurité :
Cartographie du réseau local d'une box Numéricable
Ce schéma réseau, généré automatiquement par le modem représenté au centre, indique
d’une façon intelligible les éléments du réseau local qu’il détecte, ainsi que les liens
réseaux.
49
Evènements réseau
Le second type de données nécessaire est constitué des évènements réseaux, qui
sont recueillis dans les logs, ou journaux d’évènements.
Les évènements sont analysés par un SIEM (Security Information and Events
Management), qui gère et corrèle les logs à la recherche d’une cause commune aux
évènements recensés. La majeure partie des outils actuels de sécurité présentent leurs
résultats sous forme de rapports et de tableaux de bord.
Il existe encore aujourd’hui un problème de diversité des formats de logs, qui alourdit la
tâche de centralisation et de corrélation. L’organisation américaine à but non lucratif
MITRE travaillait sur un programme de standardisation de ceux-ci, appelé Common Event
Expression. Malheureusement, du fait des changements de priorités décidés par leur
soutien financier (le gouvernement étatsunien), ce dernier a mis fin à ce projet 31. Cette
diversité n’est pas un élément réellement bloquant, mais cela contribue comme toujours à
alourdir le coût du développement de ces outils. Malheureusement, dans l’informatique
comme dans tous les autres domaines, le processus de standardisation est un travail qui
se compte en années.
31
https://cee.mitre.org/
50
B. Un potentiel à exploiter
Il semble que de nombreux outils de sécurité souffrent de report d’informations ne
s’attachant pas suffisamment à la présentation efficace de l’information. Il ne s’agit en
aucun cas de dénigrer ceux-là. Le premier outil présenté est d’excellente facture, et
extrêmement puissant. Pourtant, le même niveau de qualité ne se retrouve pas dans l’art
de transmettre avec rapidité et efficacité les résultats de ses travaux.
1. La visualisation statique
Visualisation de rapport
Nessus est un scanner de vulnérabilité, c'est-à-dire qu’il est un programme conçu
pour identifier les vulnérabilités dans une application, un système d’exploitation ou un
réseau.
Un rapport de vulnérabilité de Nessus 5, résultat du scan d’un réseau domestique
Bien que l’outil à l’origine de ce rapport soit capable de détecter un grand nombre
d’informations à travers ses scans, il est perfectible dans sa présentation des résultats, au
détriment de la rapidité d’interprétation de l’utilisateur.
51
Par exemple, il est capable de déterminer quel système d’exploitation fonctionne sur
chaque hôte recensé. Il sait également reconnaître quel est le type d’équipement sondé.
Ces informations pourraient être facilement représentées sur cet écran afin de permettre
de savoir rapidement à quelle ligne correspond quel équipement.
Résultat de la sonde d’identification du système d’exploitation de l’hôte ciblé.
On peut ainsi imaginer introduire davantage d’informations au niveau macro sans pour
autant surcharger l’affichage. Cela accélère en outre le lien entre réalité physique et réalité
cyber.
Le même rapport de vulnérabilité, agrémenté d’icônes permettant d’identifier le type d’équipement
(routeur, tablette, machines virtuelles, imprimante, ordinateur physique) et le type de système
d’exploitation (Unix, iOS, XP, Seven) à partir des résultats des sondes.
Idéalement, on souhaite fournir autant d’informations que possible, sans tomber dans une
surcharge visuelle qui nuirait à celle-ci.
52
Visualisation statique du cyberespace
Il existe aujourd’hui de nombreux outils qui permettent de scanner un réseau et d’en
dresser une carte intelligible, et ceci d’autant plus que le réseau est de taille modérée (ce
qui est a priori le cas du réseau d’une petite entreprise). Nous pourrions ainsi imaginer
l’alliance des fonctionnalités d’un détecteur de vulnérabilité avec celles d’un générateur de
carte du réseau, afin de mettre en lumière au premier coup d’œil les éléments vulnérables.
Cette proposition sera redéveloppée au cours de la dernière partie « Outil d’aide à la
décision cyber à l’attention des TPE/PME ».
10-Strike Network Diagram
53
2. De la visualisation statique à la visualisation dynamique
Le passage à la visualisation dynamique, c'est-à-dire la mise à jour en quasi temps
réel d’une représentation du cyberespace avec les évènements l’affectant permettrait
d’accéder à ce qui est nécessaire à la prise de décision : la perception de situation.
Une équipe de chercheurs de l’University of Utah et de l’Utah Stat University a présenté
au sein d’un article de l’IEEE Computer Society VisAlert 32, un outil potentiel de
visualisation du réseau développé suivant une approche pluridisciplinaire : architecture,
psychologie cognitive et sciences informatiques.
Ces travaux ont donné naissance à un projet d’outil représentant le réseau en deux
dimensions et présentant celui-ci sous trois axes : « Quoi, Quand, Où ? ». Les éléments
du réseau sont présentés au sein du disque intérieur, alors que les évènements, classés
par type, sont présentés sur les cercles extérieurs par ordre chronologique. Le cercle
d’évènements le plus proche du centre est celui du moment actuel ; les évènements
reportés par celui-ci sont reliés par des faisceaux aux éléments du réseau auxquels ils
correspondent.
Cet outil centraliserait ainsi les informations de sécurité pour obtenir une vision claire du
réseau, par exemple en s’interfaçant avec un logiciel SIEM (Security Information and
Events Management).
32
http://digital.cs.usu.edu/~erbacher/publications/VisAlertCGA2006.pdf
54
VisAlert – Concept
VisAlert – Illustré en situation
L’outil reporte des alertes de type Snort (en bleu) et
évènement Windows (en orange). Ici, l’attaquant
tente d’accéder à un système vulnérable, tout en
sondant intensivement un autre système afin de
détourner l’attention de la cible réelle.
3. De la visualisation dynamique à l’interaction avec le cyberespace
Une fois obtenue la visualisation en temps réel du cyberespace, on peut travailler à
rendre toute aussi intuitive l’interaction avec celui-ci. C’est précisément ce sur quoi
travaille depuis quelques années la DARPA.
Initié durant l’été 2012, le projet Plan X de la DARPA (Defense Advanced Research
Projects Agency) vise à développer des technologies capables, au-delà de la seule
protection de ses propres systèmes, de lancer des attaques sur les systèmes ennemis.
L’un des objectifs du projet est de créer une carte interactive et mise à jour en temps réel
de l’ensemble du cyberespace.
Comme le projet CIAP33, l’architecture du système doit permettre à celui-ci de s’alimenter
d’un grand nombre de données de différents types afin d’établir la cartographie. La
diversité des données envisagées par les concepteurs est telle que l’on imagine la
33
Voir annexe 1 : Systèmes de visualisation du cyberespace
55
difficulté à laquelle seront confrontés les chercheurs s’agissant de permettre une
visualisation claire du cyberespace.
A ceci, il faut rappeler que l’interface devra également représenter les possibilités
d’interaction avec l’environnement, qui représentent un enjeu majeur du projet et qui
seront nécessairement tout aussi diverses. Ces interactions doivent permettre de mener
des actions aussi bien défensives qu’offensives.
Le produit final se devra d’être particulièrement intuitif : il n’est pas à l’unique destination
des experts en sécurité. L’objectif de la DARPA est d’être en mesure d’offrir un outil
accessible à un grand nombre de cybercombattants, n’ayant reçu qu’une formation cyber
minimale : il s’agit de créer l’outil du cybersoldat qui puisse être aussi accessible que le
fusil pour le soldat conventionnel.
Récemment34, la DARPA a indiqué vouloir intégrer l’Oculus Rift à son système. Il faut
cependant garder à l’esprit que l’Oculus Rift engendre une forte fatigue visuelle qui
empêche l’utilisation prolongée du dispositif (à ce sujet, notons que la vidéo de
démonstration de la Darpa ne fait que renforcer cette présomption). Ceci implique qu’un
tel dispositif ne serait adapté qu’à des missions offensives reposant sur le lancement
d’attaques entièrement prédéfinies (fonctionnalité prévue dans le Plan X). En effet,
l’utilisation de l’Oculus Rift dans le cadre d’une mission de surveillance aurait pour
conséquence de multiplier les ressources humaines nécessaires. La surveillance du
réseau s’effectuera ainsi plus probablement sur d’autres supports, comme par exemple les
tablettes holographiques35, dont l’intégration au sein de Plan X est en cours
d’expérimentation par la DARPA.
34
http://www.wired.com/2014/05/darpa-is-using-oculus-rift-to-prep-for-cyberwar/
http://www.defense.gov/news/newsarticle.aspx?id=122455&utm_content=buffer387d7&utm_medium=
social&utm_source=twitter.com&utm_campaign=buffer
35
56
Proof-of-Concept - Plan X sous Oculus Rift
Cet outil en cours de création illustre parfaitement l’importance de la visualisation dans
l’accessibilité des problématiques cyber au plus grand nombre. Conscients qu’il leur sera
difficile de préserver une supériorité sur le cyberespace sur le long terme si le nombre
d’experts en sécurité est un facteur limitant de puissance, les Etats-Unis misent sur une
technologie qui abaisse le pré requis en termes de niveau de formation.
57
IV.
Un outil à la décision à destination des TPE/PME
Avant de rentrer dans le vif du sujet, il est important de préciser le terme « d’aide à
la décision ». Il est aujourd’hui très souvent utilisé dans le cadre de l’informatique
décisionnelle, généralement à des fins d’aide aux choix de type stratégique à l’aide d’outils
de type OLAP36.
Nous retiendrons au contraire la définition la plus stricte de l’aide à la décision. Celle-ci,
aussi appelée recherche opérationnelle, est l’ensemble des techniques permettant d’opter
pour la meilleure prise de décision possible. Il s’agira ici tout particulièrement d’offrir à un
non-expert les informations essentielles à la sécurisation de son système d’information.
S’agissant des logiciels de sécurité informatique, nous pouvons établir la distinction
suivante :
-
Les logiciels qui agissent automatiquement une fois installés sur le système et ne
demandent pas ou peu de supervision par l’utilisateur : c’est le cas des antivirus et
des pare-feu.
-
Les logiciels qui sont destinés spécifiquement aux professionnels de la sécurité
informatique : les détecteurs de vulnérabilité, les IDS et IPS, les SIEM, les SOC,
etc.
Voici de nombreuses années qu’est annoncée la mort des logiciels antivirus. Cette
annonce, exagérée, est due au changement de paradigme en termes de menaces cyber.
La première fonction d’un antivirus est d’analyser les fichiers à la recherche de marqueurs
correspondant à la base de données référençant l’ensemble des malwares connus.
Cette approche est bien sûr inefficace dans le cas d’une attaque ciblée contre un réseau,
pour laquelle l’attaquant créé un code malveillant spécifique à sa cible : il n’y a alors que
peu de moyens d’identifier en tant que tel ce malware (les antivirus récents intègrent, il est
vrai, une analyse de l’approche comportementale, mais celle-ci reste malgré tout limitée).
Pour autant, elle reste utile s’agissant de l’ensemble des menaces non ciblées.
36
http://fr.wikipedia.org/wiki/Traitement_analytique_en_ligne
58
Ainsi, la première catégorie de logiciels reste nécessaire, mais est insuffisante. Ceci pose
un problème évident face à des utilisateurs démunis face aux outils de nouvelle
génération, qui nécessitent un certain niveau d’expertise. Nous avons besoin de rendre
accessibles ces outils afin de permettre aux plus petites entreprises un niveau de
cybersécurité adapté aux nouvelles menaces.
Partant du constat que les experts en sécurité sont onéreux et peu nombreux, alors que
les petites entreprises constituent une multitude, la voie logicielle semble être celle à
privilégier afin de renforcer leur sécurité.
Il semble judicieux que cet outil combine tout à la fois :
-
les fonctionnalités d’un détecteur de vulnérabilités, afin de réaliser l’audit de
sécurité et de protéger le système informatique de façon préventive.
-
Les fonctionnalités d’un système de détection d’intrusions, afin de limiter l’impact
des brèches
-
Une visualisation d’information évoluée telle que définie dans le précédent chapitre.
-
Un abord fortement pédagogique afin de permettre à un utilisateur technophile mais
non formé de monter en compétences en cybersécurité : il doit tout autant être un
manuel d’utilisation qu’un outil d’aide à la décision.
Cet outil serait destiné tout particulièrement aux personnes dans l’entreprise qui ont la
responsabilité de la gestion de l’informatique. Souvent, celles-ci n’ont pas de formation
informatique, mais sont les personnes qui possèdent le plus de connaissance ou
d’appétence pour le domaine et s’occupent de l’informatique à côté de leur fonction
principale. Ils sont donc à l’aise avec l’informatique, sans pour autant avoir de
connaissances poussées dans le domaine.
Nous proposons ainsi la création d’un outil qui serait, dans sa partie technique, un
système expert. Le système expert représente en effet la version logicielle de l’aide à la
décision, car il reproduit les mécanismes cognitifs d’un expert de son domaine. Il est
capable de répondre à des questions en mettant en relation faits et règles à l’aide d’un
moteur d’inférence reposant essentiellement sur le syllogisme.
59
Il ne s’agit pas de remplacer des experts existants, mais bien d’offrir de façon accessible
les bases de la sécurité à ceux qui n’ont ni la formation adéquate, ni les moyens financiers
pour recourir à ces experts.
A. Les capacités des outils libres disponibles
Les scanners de vulnérabilités sont capables, en plus de détecter lesdites
vulnérabilités, de proposer des solutions à destination des utilisateurs expérimentés.
Vulnérabilité SSH sur une Neuf box V4 (rapport de Nessus 5)
L’outil nous informe de deux vulnérabilités SSH connues affectant notre box (une
vulnérabilité à une attaque de type DoS et une vulnérabilité permettant d’énumérer les
utilisateurs). La solution proposée est de mettre à jour le serveur SSH à la version 2013.59
ou à une version plus récente.
Ceci est difficilement exploitable pour le béotien, tout au plus peut-il comprendre qu’il y a
un logiciel à mettre à jour sur l’équipement.
Ce type d’équipement étant censé se mettre à jour automatiquement, il n’y a en réalité pas
grand-chose à faire côté utilisateur, mis à part contacter l’opérateur pour demander une
mise à jour du firmware (logiciel intégré au matériel), soit demander un équipement encore
maintenu par le constructeur, c’est à dire à jour des failles de sécurité connues.
60
Il faut noter que les détecteurs de vulnérabilité sont d’autant plus efficaces qu’ils sont
installés directement sur le poste à examiner. Ainsi, il aura pu identifier 165 vulnérabilités
sur la machine virtuelle hébergeant le logiciel, contre moins de 50 en moyenne pour les
autres postes du réseau.
Détection de l’absence d’une mise à jour critique d’un navigateur, permettant à un site infecté d’exécuter du
code malveillant avec les privilèges de l’utilisateur (rapport de Nessus 5)
Il serait ainsi préférable que le logiciel que nous proposons ait vocation à être installé sur
l’ensemble du parc informatique, afin de procéder à un audit de sécurité permanent le plus
exhaustif possible.
B. L’aide à la sécurisation
Un tel outil doit reprendre à son compte toutes les capacités d’un scanner de
vulnérabilités.
L’outil doit, après analyse du système d’information, remonter des suggestions selon
plusieurs axes :
Les points de vulnérabilité spécifiques:
-
L’absence de protections de type antivirus sur des postes utilisateurs ;
-
L’absence de firewall ou l’ouverture de certains ports non utilisés ;
61
-
La détection de smartphone « rootés » ou « jailbreakés»37 ;
-
L’utilisation de solutions de sécurité obsolètes, comme par exemple l’utilisation du
protocole de chiffrement WEP (qui, rappelons-le, est « cassable » en l’espace de
quelques secondes avec les logiciels appropriés) ;
-
Le retard dans la mise à jour des logiciels, à la fois sur les postes utilisateurs et sur
les serveurs/routeurs.
Rappelons à ce sujet que selon un sondage F-Secure de 2013, 41% des PME ne
maintiennent pas régulièrement à jour leur parc logiciel.
Les caractéristiques de l’architecture qui représentent un risque particulier :
-
La détection de PoS connectés via un réseau commun au reste du système
d’information devrait entraîner la notification par le système, d’autant plus si la
liaison employée est de type Wi-Fi.
Ces listes sont bien entendu non-exhaustives.
Cette première fonctionnalité devrait bénéficier d’un système de visualisation de
l’environnement réseau audité, tel que définit dans le précédent chapitre. Cela nous
permet d’introduire une autre fonctionnalité à y associer : l’identification et la définition
comme telles par l’utilisateur des données les plus sensibles et des équipements qui les
hébergent. Cette identification intuitive permettrait d’intégrer un système DLP (Data
Leak/Loss Prevention) : ce type de système surveille tout particulièrement les données
classées comme sensibles et relève une alerte en cas de comportement suspect les
affectant.
37
Le “root” d’un téléphone est un procédé visant à modifier le système d’exploitation de l’appareil afin d’en obtenir
un contrôle total. Il est populaire parmi les utilisateurs avancés, qui souhaitent pouvoir d’une part supprimer les
logiciels installés par l’opérateur et d’autre part pouvoir installer sans restriction les logiciels de leur choix. Ceci
conduit à une plus grande vulnérabilité du téléphone vis-à-vis des logiciels malveillants.
62
C. L’aide à la réaction en cas de brèche
Quel que soit le niveau de cyberprotection, il existe toujours un risque d’attaque
réussie à l’encontre du système d’information de l’entreprise : cela pourra être dû à une
faille logicielle zero-day, ou à l’obtention d’un compte administrateur.
Comme les solutions traditionnelles de sécurité informatique basées sur l’empreinte de
code malicieux recensé sont inefficaces face à une attaque ciblée, est apparue une
nouvelle génération de logiciel de sécurité : les IDS. Ceux-là permettent d’identifier les
comportements suspects d’un système d’information, en analysant les journaux
d’évènements se produisant sur les équipements (HIDS, pour host-based) ou le trafic en
certains points du réseau (NIDS, pour network-based).
Ainsi capable de détecter une éventuelle attaque, on peut en prévenir l’utilisateur et
s’assurer que le nécessaire est fait afin de réduire les impacts de l’attaque. En effet, la
rapidité et l’efficacité de l’action est capitale.
La première action à effectuer est l’isolation des éléments compromis afin de confiner la
menace et d’éviter :
-
la propagation de l’infection,
-
l’exfiltration de données.
Le problème peut également être pris à l’envers, et on peut faire le choix de conserver la
disponibilité du réseau et d’isoler les éléments sensibles, infectés ou non. On évite ainsi la
fuite de ces informations, voire leur intégrité pour peu que l’infection ne comprenne pas de
chiffrement de données en vue d’une demande de rançon.
Bien sûr, si la machine infectée est un serveur, il peut être préférable de la laisser
accessible, notamment si elle offre un service important pour le fonctionnement de
l’entreprise tout en n’étant pas l’hôte de données sensibles. C’est l’une des raisons pour
laquelle la prise de décision finale doit reposer entre les mains de l’humain (pour autant,
on peut imaginer un logiciel prenant en compte la localisation des données sensibles,
avec pondération, dans l’optique d’aide à la décision).
D’autre part, il faut mettre en garde l’utilisateur contre certains réflexes contre-productifs,
notamment si l’on a prévu de faire appel à une CERT : l’extinction d’un ordinateur infecté
63
est susceptible de faire disparaître des informations stockées en mémoire relatives au
fonctionnement du malware, qui sont précieuses pour les experts. Le bon comportement
doit être de débrancher physiquement le câble réseau.
D’un point de vue juridique, il est évidemment préférable de tout faire pour conserver les
preuves. Ainsi, il ne faut pas céder au réflexe du formatage des disques durs, ceux-ci
étant l’un des premiers éléments de preuve.
Le CERT-FR, centre d’expertise gouvernemental de traitement et de réponse aux
attaques informatiques, anciennement appelé CERTA, a publié un guide des bons
réflexes38 en cas d’intrusion sur un système d’information.
D. Accessibilité et pédagogie
L’accessibilité et la pédagogie doit être au cœur de la réalisation de l’outil, et en
cela les sciences humaines devraient être impliquées à chaque étape.
Chaque notification de l’outil doit être apportée de la façon la plus intelligible qui soit.
Les notifications doivent faire l’objet de documentation associée à chaque terme employé,
ainsi qu’à chaque concept. Cette documentation doit permettre d’augmenter le niveau de
connaissance de ses utilisateurs.
Celle-ci doit en outre aiguiser la curiosité de l’utilisateur, et l’inciter à la parcourir. On peut
imaginer une incitation commune dans le domaine des jeux vidéo : la notion de
gratification
instantanée,
par
l’évaluation
de
l’utilisateur
en
fonction
de
ses
accomplissements.
La confrontation régulière à des notifications qui conduisent à une mise en pratique
d’informations concrètes constitue un terrain particulièrement adapté à l’apprentissage.
38
http://www.cert.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
64
Il serait en effet bien plus coûteux de s’employer à tenter de former, par voie traditionnelle,
la multitude de petites entreprises au niveau de sécurité qu’offrirait ce système, d’autant
que celui-ci aurait par essence une nature pédagogique
E. Une maintenance constante de l’outil par l’équipe de développement
Un tel outil nécessite un développement continu afin de rester efficace, pour les
mêmes raisons que le sont les détecteurs de vulnérabilité : il faut tenir à jour la base de
vulnérabilité de l’outil et les techniques de détection.
65
Conclusion
Ainsi, après une étude exploratoire et prospective pour chercher des solutions
innovantes aux nouvelles cybermenaces, on réalise à quel point il est important de trouver
des solutions transversales dans lesquelles l’interdisciplinarité est de mise, d’autant que
comme nous l’avons vu, la sécurité repose autant sur l’humain que sur la technique.
Il existe déjà plusieurs axes pour tacler le problème, que sont l’approche de management
du risque avec son corollaire : le transfert du risque résiduel aux assurances, qui tendent
elles-mêmes vers des offres de plus en plus globales de la sécurité. A ceci s’ajoutent une
sensibilisation toujours plus accrue de l’ensemble des acteurs, et dans le futur, nous
l’espérons, l’émergence de nouvelles solutions logicielles qui mêleront sciences
informatiques et sciences humaines.
La mise en réseau de tous les acteurs du système, associés au cyberespace, impliquera
la seule réponse possible :
la réponse systémique, systématique et créative.
66
Glossaire
ANSSI39 : Agence Nationale de la Sécurité des Systèmes d’Information, créée par décret
le 7 juillet 2009. Elle assure la mission d’autorité nationale en matière de sécurité des
systèmes d’information. Elle assure un service de veille, de détection, d’alerte et de
réaction aux attaques informatiques, notamment sur les réseaux de l’État.
APT (Advanced Persistant Threat) : Procédé d’infiltration de systèmes informatiques,
caractérisé par une grande furtivité et par conséquent une réalisation très tardive par la
victime. Ce type de menace requiert l’emploie de nombreuses techniques sophistiquées,
et suppose une surveillance continuelle de la cible.
Botnet : Réseau d’ordinateurs qualifiés de zombies. Les ordinateurs le constituant ont
préalablement été infectés par un malware qui donne un contrôle à un tiers illégitime
(parfois l’auteur du malware), afin de mener des cyberattaques ou d’utiliser la puissance
de calcul de l’ordinateur.
BYOD (Bring Your Own Device) : En français « AVEC : Apportez Votre Equipement de
Communication » : Pratique qui consiste à utiliser ses équipements personnels dans un
contexte professionnel.
CERT (Computer Emergency Response Team) : Centre d’alerte et de réaction aux
attaques informatiques.
Chiffrement : Procédé cryptographique ayant pour but de rendre la compréhension d’une
information impossible à toute personne ne possédant pas la clé de déchiffrement.
Cloud Computing : Aussi appelé « Informatique en nuage », il désigne un ensemble de
processus qui consiste à utiliser la puissance de calcul et/ou de stockage de serveurs
informatiques distants à travers l’Internet.
Cyber : préfixe issu du grec kubernân (gouverner), indiquant le rattachement aux réseaux
informatiques.
Cyberattaque : acte malveillant désignant une attaque de nature informatique.
39
http://www.ssi.gouv.fr/fr/anssi/
67
Cybercrime : Infraction pénale susceptible de se commettre sur ou au moyen d’un
système informatique, généralement connecté à un réseau.
Cybersécurité : Etat recherché pour un système d’information lui permettant de résister à
des événements issus du cyberespace susceptibles de compromettre la disponibilité,
l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des
services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La
cybersécurité fait appel à des techniques de sécurité des systèmes d’information et
s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense Définition de l’ANSSI
DLP (Data Loss/Leak Prevention) : Ensemble de techniques de protection contre la fuite
de données informatiques, qui prennent généralement la forme d’un système logiciel
installé sur le réseau.
DoS (Denial of Service) : Service rendu inaccessible. Cela peut faire suite à un accident
(cause naturelle ou humaine) ou à une attaque.
Faille zero-day : Vulnérabilité informatique qui n’a pas encore fait l’objet d’un correctif
approprié par le fournisseur du produit.
Firmware :
Logiciel
embarqué
dans
un
matériel
informatique
permettant
son
fonctionnement.
IDS (Intrusion Detection System) : Système de détection d’intrusion. Logiciel de sécurité
destiné à repérer les activités anormales ou suspectes sur la cible analysée. La cible peut
être un hôte (HIDS) ou un réseau (NIDS).
IPS (Intrusion Prevention System) : Système de prévention d’intrusion. Logiciel de sécurité
similaire aux IDS, à ceci près qu’il tente de bloquer les attaques repérées.
Malware : Logiciel malveillance développé dans le but de nuire à un système informatique.
Phishing : Technique d’ingénierie sociale qui consiste en la manipulation d’un d’individu en
vue de révélation d’informations confidentielles.
Ransomware : Logiciel malveillant qui tente de prendre en otage des données
personnelles, généralement par le biais d’un chiffrement de ces dernières. Le propriétaire
doit alors payer une rançon afin de pouvoir récupérer ses données.
Risque : Combinaison d’une menace et des pertes qu’elle peut engendrer.
68
SaaS (Software As A Service) : Applications en ligne, accessibles depuis n’importe quel
ordinateur. Il en existe pour un grand nombre de finalité : relation client, ressources
humaines, gestion d’entreprise, gestion de projet et bien entendu partage de documents.
SIEM (Security Information & Event Management) : Logiciel de sécurité permettant la
collecte et la correlation des évènements de sécurité (logs).
SOC ou ISOC (Information Security Operations Center) : Division qui assure la sécurité
d’une organisation. Elle gère les évènements de sécurité à un niveau technique et
organisationnel et y répond.
Vulnérabilité (informatique) : Faiblesse pouvant être exploitée afin de porter atteinte à
l’intégrité d’un système informatique.
69
Bibliographie
Ouvrages :
MARTY R., Applied Security Visualization, Addison Wesley Professional, 2008
JACOBS J., RUDIS B., Data Driven Security, Wiley, 2014
Etudes universitaires :
ALAU I., Les cyber-risques dans l’entreprise : enjeux et assurance, Institut des
Assurances de Lyon, 2013
Lallement P., Cyber-Sécurité et PME : perception du risque, pratiques, besoins,
Université de Technologie de Troyes, 2014
Foresti S., Agutter J., Livnat Y., Moon S., Erbacher R., Visual Correlation of Network
Alerts, University of Utah et Utah State University, 2006
Ressources Internet :
Site Internet de l’ANNSI : http://www.ssi.gouv.fr/fr/anssi/
Site communautaire sur la visualisation des informations de sécurité : http://secviz.org/
Site de l’observatoire du FIC : http://www.observatoire-fic.com/
Site de l’AMRAE : http://www.amrae.fr/
Site du Forum ATENA : http://forumatena.org/
Site du CECyF : http://www.cecyf.fr/
Wikipedia : http://en.wikipedia.org
70
Annexe 1 : Benchmark des assurances cyber en France en 2014
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
Swiss RE
Cyber Insurance
• Services :
- investigations forensic pour déterminer la cause, la gravité et l'étendue des brèches
- notification des brèches et mise en place d'un centre d'appel pour les tiers
- conseils juridiques et aide à la mitigation des ramifications juridiques
- Mise à disposition d'experts en relations publiques et en gestion de crise
• Couverture des coûts de défense et des amendes et pénalités si la loi l'autorise.
• Couverture des tiers
• Limite de 15.000.000 €
Accord avec
une ESN
Non précisé
Localisation
Mondial sauf
USA
Entreprises
acceptées
Non précisé
Entreprises
refusées
Non précisé
Accord avec
• Couverture des notifications des brèches et surveillance des crédits et de l'identité
une ESN
pour jusqu'à 5 millions d'individus. Limite distincte pour les demandes de tiers
• Assistance forensic et juridique, couverture des coûts de notification, surveillance
des crédits de chaque personne notifiée, service de prévention des pertes et services
de résolution des fraudes liées aux vols d'identité
Localisation
• Pour les organisations qui doivent se conformer au HIPAA aux Etats-Unis, la
Beazley
couverture s'étend au vol, à la perte et aux divulgations non autorisées de la part des
partenaires de l'organisation
Breach Response
Entreprises
• Sous-limite pour la gestion de crise dans les relations publiques et pour les
acceptées
dépenses extraordinaire de notifications.
• Limite séparée pour la responsabilité concernant la confidentialité, la sécurité
réseau et les revendications des médias.
Entreprises
Règles spécifiques selon le pays (UK, US ou France)
refusées
71
GFI
Royaume-Uni,
Etats-Unis,
France
Non précisé
Non précisé
Assureur
Nom de l'offre
BeazleyInformation
Security &
Privacy
Contenu de l’offre (couvertures, services, limites, capacités)
Privacy Liability :
Accord avec
une ESN
• Couverture du vol d'information non-public personnellement identifiable dans les
données informatiques et les copies imprimées, ainsi que la responsabilité du fait de
l'échec à se conformer aux lois nationales de notification des brèches.
• Couverture de l'echec à se conformer avec les mesures de confidentialité des
assurés.
Computer Information Security :
Localisation
• Couverture des tiers en réponse aux accès non-autorisés, aux vols ou à la
destruction de données, des attaques DoS et des transmissions de virus impliquant
les systèmes informatiques de l'assuré et résultant de brêches de sécurité de ces
systèmes.
Electronic Media Liability :
Entreprises
• Couverture du défaçage du site de l'assuré• S'étend à de nombreuses expositions
acceptées
liées à Internet, y compris les dommages de publicité qui ne sont pas couverts par de
nombreuses assurances généralistes
Couverture des pertes du fait des brêches de sécurité réseau :
• Couverture optionnelle pour la destruction et la perte de données, les interruptions
réseaux du business et l'extorsion cyber causées par l'échec de la cybersécurité
Entreprises
d'empêcher une brèche de sécurité.
refusées
72
Mondial
Mondial
Non précisé
Non précisé
Assureur
Nom de l'offre
Zurich
Cyber Security
and Privacy
Contenu de l’offre (couvertures, services, limites, capacités)
Accord avec
Type de risques :
une ESN
• Couverture en cas de prétentions en dommages-intérêts de tiers si des données
personnelles ou des données sur l’entreprise ont été perdues ou rendues publiques
• Couverture contre la violation involontaire de dispositions relatives à la protection
des données
• Prise en charge des frais de procédure et de défense
• La couverture responsabilité civile inclut les prestataires externes et les fournisseurs
dont vous êtes responsable
Localisation
• La responsabilité civile pour les médias Internet peut être assurée en option
Couverture financière :
• Frais consécutifs au vol ou à la perte de données (analyses juridiques, avocats et
conseil PR)
• Frais de notification aux clients imposés par la loi
• Frais pour la reconstruction des données perdues ou détériorées et pour la
Entreprises
restauration et la réparation des logiciels endommagés
acceptées
• Perte de chiffre d’affaires résultant de cyber-attaques ou de la perte de données
• Cyber-chantage
Equipe spécialisée dans les cyber-attaques :
• En cas de sinistre, votre entreprise est couverte dans le monde entier
• Une équipe spécialisée d’avocats et de spécialistes informatiques vous soutient
Entreprises
dans l’analyse des risques (pre-breach), pendant le cas de sinistre et après une
cyber-attaque (post-breach)
refusées
73
Orange et Kroll
Non précisé
• PME
Non précisé
Assureur
Nom de l'offre
AIG
CyberEdge
Contenu de l’offre (couvertures, services, limites, capacités)
Accord avec
Caractéristiques :
une ESN
• Capacité de souscription de 25 millions d'euros allant jusqu’à 100 millions d'euros, y
compris pour les établissements situés aux USA/CANADA
Garanties :
Localisation
• Responsabilité Civile
• Enquêtes et Sanctions Administratives
• Gestion de Crise, dont notamment la couverture des frais d’expert, de frais de
Entreprises
notification…
acceptées
• Extensions :
• - Interruption du réseau
Entreprises
- Garantie multimédia
refusées
- Cyber-extorsion
Accord avec
Couverture :
une ESN
• La responsabilité liée aux données
• La restauration des données électronique (suite à une fuite ou une atteinte à la
sécurité des données)
• Les enquêtes administratives : frais liés à une enquête administrative ainsi que les Localisation
AIG
sanctions pécuniaires prononcées suite à une violation de la réglementation relative à
la protection des données personnelles
Pack Cyber PME• La gestion de crise : frais d'experts informatiques, coûts de notification, coûts de
PMI
surveillance, frais de consultant en relations publiques
Entreprises
• L'interruption du réseau : perte de résultat net (suite à une attaque DoS ou une
acceptées
atteinte à la sécurité du réseau)
• La cyber-extorsion : remboursement de la rançon versée à des tiers qui menacent
Entreprises
de divulguer des informations confidentielles piratées via le réseau utilisé par le
professionnel.
refusées
74
Non précisé
Non précisé
• TPE, PME,
grandes
entreprises
Non précisé
Non précisé
Non précisé
• PME/PMI
Non précisé
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
Couverture :
• La responsabilité liée aux données
Accord avec Non (experts en
une ESN
interne)
• La restauration des données électronique (suite à une fuite ou une atteinte à la
AIG
sécurité des données)
Localisation
Non précisé
• Les enquêtes administratives : frais liés à une enquête administrative ainsi que les
• Pack Cyber
Internet et
sanctions pécuniaires prononcées suite à une violation de la réglementation relative à
communication
• Professionnels
la protection des données personnelles
• Pack Cyber
de l'Internet et
PME-PMI
• La gestion de crise : frais d'experts informatiques, coûts de notification, coûts de
de la
• Pack Cyber
communication
surveillance, frais de consultant en relations publiques
Professions
Entreprises
• PME/PMI
réglementées
acceptées
• L'interruption du réseau : perte de résultat net (suite à une attaque DoS ou une
• Professions
• Pack Cyber
réglementées
atteinte à la sécurité du réseau)
Professionnels de
• Professionnels
santé
• La cyber-extorsion : remboursement de la rançon versée à des tiers qui menacent
de la santé
de divulguer des informations confidentielles piratées via le réseau utilisé par le
professionnel.
75
Entreprises
refusées
Non précisé
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
AIG
Dataguard
Dommages matériels :
• Garantie Tous Risques Sauf couvrant les dommages aux ordinateurs et
équipements annexes sous contrat de maintenance informatique
• Frais de reconstitution des données
• Frais supplémentaires d'exploitation
• Pertes d'exploitation consécutives
Erreurs et accidents :
• Frais de reconstitution
• Frais supplémentaires d'exploitation
• Pertes d'exploitation consécutives
• Carence des fournisseurs
Actes de malveillance :
• Sabotage et vandalisme des systèmes
• Fraude commise par tout moyen, y compris informatique (contrat DATA
PROTECTOR)
• Virus
• Frais de reconstitution des données
• Frais supplémentaires d'exploitation
• Pertes d'exploitation ou perte d'activité bancaire consécutives
• Carence des fournisseurs
• Dépenses engagées pour restaurer l'image de la marque
• Préjudices liés à une divulgation de données confidentielles (contrat DATA RISKS
PROTECTION)
• Pénalités
76
Accord avec Non (experts en
une ESN
interne)
Localisation
Non précisé
Entreprises
acceptées
Non précisé
Entreprises
refusées
Non précisé
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
Responsabilité médias : • Diffamation, dénigrement, publicité mensongère
• Violation des droits d’auteur, des marques commerciales et des droits de publicité
Atteinte à la vie privée : • Violation du droit à la vie privée ou au droit à l’image d’une
personne
• Procédures administratives ou réglementaires contre l’assuré
• Divulgation d’informations personnelles non publiques
• Absence de notification d’une divulgation potentielle
Violation de la confidentialité : • Divulgation d’informations confidentielles de
l’entreprise ou de secrets commerciaux
• Absence de notification d’une communication potentielle
Responsabilité liée à la sécurité des réseaux
• Inaccessibilité pour un tiers d’accéder au réseau de l’Assuré
• Dommages aux réseaux tiers
• Pertes ou dommages occasionnés à des données tierces sur le réseau de l’Assuré
CNA Europe
Dépenses de relations publiques
• Réaction face à une publicité négative ou défavorable ou à une communication des
Cyber NetProtect
médias
Frais de notification des clients : • Notification des clients à la suite d’une violation
de données
Dommages cyber : • Restauration du réseau et des données de l’assuré suite à un
accès non autorisé, à un virus informatique, à une attaque par déni de service ou à
une erreur opérationnelle.
Pertes d’exploitation et dépenses supplémentaires : • Pertes de revenus ou
dépenses supplémentaires à la suite d’un accès non autorisé, d’un virus informatique
ou d’une attaque par déni de service.
Cyber-vol : • Pertes d’argent, de valeurs ou de marchandises de l’Assuré par vol
électronique.
Cyber-extorsion : • Extorsion de fonds subie par l’Assuré afin d’éviter des pertes ou
des dommages occasionnés à son réseau, divulgation d’informations confidentielles
ou dégradation de son site Web.
77
Accord avec
une ESN
Non précisé
Localisation
Non précisé
Entreprises
acceptées
Non précisé
Entreprises
refusées
Non précisé
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
XL
E&O Insurance
for Information
Technology
Capacité : jusqu'à 10 millions d'euros
Couverture :
Sous-limite pour les coûts de réponse à incident de l'assuré
• Réponse rapide à incident
• Analyses Forensic
• Consulting juridique
• Notification des tiers sujets des données
• Centre d'appel/hotline et surveillance des crédits
• Coûts du consulting en relations publiques
• Surveillance des crédits pour les tiers sujets des données
• Amendes et pénalités dues au non respect des obligations réglementaires
Limitations du produit : jusqu'à 15 millions d'euros
Allianz
Cyber Protect
Accord avec
une ESN
Non précisé
Localisation
Non précisé
Entreprises
acceptées
Non précisé
Entreprises
acceptées
Non précisé
Accord avec
Couverture :
une ESN
• Responsabilité due à la violation de données - pour les données personnelles et de
l'entreprise
• Coûts de la violation de données, y compris les coûts de notification
• Responsabilité de la sécurité réseau - pour les attaques de hackers et les dénis de
Localisation
service.
• Responsabilité du fait des médias, pour les publications digitales
• Couverture des investigations réglementaires, pour les dépenses légales
• Interruption de business causé par les violations de données et les cyberattaques
Entreprises
• Coûts de restauration des données et des programmes causés par des
acceptées
cyberattaques
• Cybercrime - pour les transferts de fonds
• Cyberextorsion - en cas de menace cyber
Entreprises
• Communication de crise, pour mitiger les dommages à la réputation
refusées
• Pertes dus au e-paiement, y compris les pénalités contractuelles
78
Thales / Lexsi /
Solucom
Non précisé
Non précisé
Non précisé
Assureur
Nom de l'offre
Allianz
Cyber Protect
Premium
Allianz
Cyber Protect
Premium Plus
Contenu de l’offre (couvertures, services, limites, capacités)
Accord avec
une ESN
Thales / Lexsi /
Solucom
Couverture supplémentaire avec des protections supplémentaires, comme
Localisation
Non précisé
l'interruption prolongée du business
Entreprises
acceptées
Non précisé
Entreprises
refusées
Non précisé
Accord avec
une ESN
Thales / Lexsi /
Solucom
Localisation
Non précisé
Entreprises
acceptées
Non précisé
Entreprises
refusées
Non précisé
Couverture sur mesure pour les besoins du client. L'équipe Cyber audit les systèmes
de l'entreprise, afin d'identifier les éventuels manque à gagner de la couverture et de
construire une offre adaptée aux spécificités de l'entreprise.
79
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
Couverture de responsabilité face aux tiers :
• Dommages liés à la divulgation, y compris les revendications d'accès non autorisés
ou la dissémination d'informations privées.
• Dommages liés au contenu, y compris les revendications liées à des violations de
copyright et de protection de marque déposée.
• Dommages à la réputation, y compris les revendications liées au dénigrement de
produits ou de services, la diffamation ou la violation de la confidentialité.
• Dommages par rebonds, y compris les revendications liées à l'échec de systèmes
de sécurité qui conduisent à l'endommagement de systèmes tiers.
• Dommages liés à la non disponibilité, y compris les revendications liées à l'échec de
systèmes de sécurité provoquant la non disponibilité des systèmes de l'assuré à ses
clients.
Couverture des coûts pour l'assuré :
• Coûts des notifications de la violation de confidentialité, même si la notification est
Chubb
volontaire de la part de l'assuré (avec des limites alternatives des pertes ou du
nombre de personnes affectées au delà de la limite de couverture)
CyberSecurity by
• Coûts de gestion de crise, y compris le coût de l'assistance forensic et des
Chubb
consultants en relations publiques
• Interruption de l'e-business, y compris la dépense supplémentaire du premier dollar
• vol électronique et perte d'e-communication, étendus aux réseaux externes aux
systèmes de l'entreprise (uniquement les risques sur les institutions financières)
• Cybermenace, y compris le coût d'un négociateur professionnel et le paiement de
rançon.
• Coûts dus au Cybervandalisme, même si ce vandalisme est causé par un employé.
Capacité d'endossement pour :
• Dommages à la confidentialité, comprenant la couverture pour les revendications
alléguant un accès non-autorisé potentiel ou avéré à des informations de personnes
physiques, de même que l'information privée de tierces organisations
• Coûts associés à la défense juridique, y compris les amendes, pénalités et recours
des consommateurs associés à des accès non-autorisés potentiels ou avérés
d'informations confidentielles.
80
Accord avec
une ESN
Mondial
Localisation
Mondial
Entreprises
acceptées
Non précisé
Entreprises
acceptées
Non précisé
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
Accompagnement avant et après la souscription :
• Audit de la sécurité informatique de l'entreprise
• Accès gratuit à la solution d'information globale sur la protection des données
Accord avec
une ESN
CS Communication &
Systèmes
Localisation
Non précisé
personnelles via le portail de ressources dédiés (Hiscox eRisk HubTM)
Engagement de service :
• Mise en oeuvre de la réponse à incident dans les 48h en cas de perte ou de
violation de données.
Prise en charge immédiate par des experts informatiques pour arrêter
l'intrusion dans les systèmes de sécurité
Hiscox
Data Risks
Prise en charge immédiate par des spécialistes (avocats, agence de
communication de crise, call center) pour gérer les conséquences financières
et sur la réputation :
• Entreprises responsables
du traitement de données à
caractère personnel et/ou
Entreprises
en possession de données
acceptées
sensibles
• TPE, PME, grandes
entreprises
• frais de notification, de veille et de remise en service des systèmes informatiques
• perte de chiffre d'affaires
• frais de négociation en cas d'extorsion
Prise en charge des réclamations de tiers ou des autorités administratives au
titre de la responsabilité civile de l'entreprise en cas de perte ou de violation de
données :
• frais de défense, y compris devant un tribunal pénal
• dommages et intérêts
Police d'assurance flexible et adaptable aux spécificités de l'entreprise
81
Entreprises
acceptées
• Institutions bancaires
• Sociétés de jeux en ligne
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
Accord
avec une
ESN
Non précisé
Localisation
Mondial
Capacité : jusqu'à 25m $
Couverture :
Swiss RE
Cyber Insurance
• Violation de confidentialité
• Coûts d'interruption de service informatique (y compris perte de résultat)
• Cyber extorsion
• Coûts de notification de faille de sécurité
• Risque médiatique
• Détaillants
• Fournisseurs de soins
de santé
• Services publics
•
Entreprises Aggrégateurs/processeurs
acceptées
de données
• Processeurs de cartes
de crédit
• Fabricants
• Autres fournisseurs de
service
Entreprises
acceptées
82
Non précisé
Assureur
Nom de l'offre
Contenu de l’offre (couvertures, services, limites, capacités)
Couverture :
• Atteintes aux données : indisponibilité, altération, destruction ou perte de données,
qu'elles soient stockées en interne ou en externe.
Accord avec
une ESN
Airbus Defence
and Space
Localisation
Non précisé
Entreprises
acceptées
Non précisé
Entreprises
acceptées
Non précisé
• Vol de données personnelles (données personnelles des clients, codes d'accès,
coordonnées bancaires, informations médicales, etc.)
• Atteinte à l'e-réputation : diffamations, injures, dénigrements sur Internet, divulgation
illégale de la vie privée des dirigeants
• Données endommagées suite à une erreur humaine : indisponibilité, altération,
Axa
Cyber Secure
destruction ou perte des données stockées en interne ou en externe.
• Pertes d'exploitation : atteintes aux informations pouvant impacter le chiffre
d'affaires
• Tentative de détournement de fonds : vol de trésorerie par un logiciel malveillant
introduit frauduleusement dans le système informatique
• Responsabilité vis à vis des tiers en cas de cyberattaque entraînant un préjudice
financier à des tiers (clients, fournisseurs, partenaires, etc.) facilité par une faille ou
une insuffisance de protection du système informatique.
Prévention :
• Le partenaire, Airbus Defence and Space, est en charge d'apporter le niveau de
prévention adapté à l'entreprise
83
Annexe 2 : Systèmes de visualisation du cyberespace
Un système de visualisation monodatatype : Daedalus
Daedalus est à l’origine un système d’alerte de cyberattaques développé par le
NICT japonais (Japanese Institute of Information and Communications Technology). Il est
doté d’une interface de visualisation 3D aussi agréable à l’œil qu’explicite.
Source : diginfo.tv
Daedalus permet de représenter efficacement les réseaux reliés à son centre nerveux,
ainsi que les attaques recensées, à partir d’un seul type de données : les flux illégitimes
de malwares ayant infectés des machines des réseaux surveillés. Cela permet de ne pas
surcharger d’information l’interface, qui se veut sobre.
Daedalus est disponible gratuitement pour les universités japonaises, mais il a été décliné
en une version commerciale appelée Sitevisor.
La composition du système est la suivante :
-
Le centre unique d’analyse
-
Les réseaux des organisations reliées à Daedalus
-
Des sondes darknet placées au sein des réseaux des organisations
84
Lorsqu’une machine (ordinateur, serveur) de l’une des organisations est atteinte d’un
malware, ce dernier effectue un scan global du ou des réseaux qui l’entourent : le malware
cherche toutes les machines qu’il serait susceptible d’atteindre, afin d’y trouver des
vulnérabilités qu’il pourrait employer pour se répandre.
Il effectue ce scan car il ne connaît pas quelles machines existent ou non sur le réseau sur
lequel il se situe : il va donc « tester » des plages d’adresses IP. Certaines adresses IP
correspondent à des ordinateurs existant réellement sur le réseau : elles constituent le
Livenet (les machines existantes). Cependant, d’autres adresses IP ne correspondent à
aucune machine : elles constituent un Darknet.
C’est là qu’entrent en jeu les sondes Darknet : elles vont recevoir des flux réseau qu’a
priori aucun programme légitime n’enverrait à l’adresse d’une machine n’existant pas. Les
sondes vont alors transmettre les flux reçus au centre de contrôle qui, relevant l’attaque,
lancera l’alerte et représentera les informations pertinentes sur l’interface homme-machine
illustrée plus haut.
Source : Sitevisor (version commerciale de Daedalus)
85
Un système militaire de visualisation multidatatype : CIAP
Un article40 datant de 2010 de Philippe Lagadec présentait deux projets de
l’OTAN en développement : CIAP (Consolidated Information Assurance Picture) et DRA
(Dynamic Risk Assessment).
Le projet CIAP a pour objectif de rassembler les données issues des différents outils
employés en matière de cybersécurité : IDS (système de détection d’intrusion), SIEM
(système de gestion et de corrélation des évènements et des informations de sécurité),
scanners de vulnérabilités, etc.
L’ambition du projet est de rendre ces outils interopérables en s’appuyant sur des
standards afin de pouvoir centraliser les données collectées dans un système unifié.
Celui-ci aurait alors vocation à représenter visuellement ces données sous la forme de
topologies réseaux et de vues géographiques.
Architecture du prototype de 2007 de CIAP
40
https://www.sstic.org/media/SSTIC2010/SSTIC-actes/CyberDefense/SSTIC2010-Article-CyberDefense-lagadec.pdf
86
Plusieurs types de visualisations avaient alors été expérimentés :
-
Une vue réseau à plat, qui mettrait en évidence à l’aide d’un code couleur des
anomalies, des vulnérabilités ou des compromissions de machines ou de sousréseaux. Cette solution est adaptée à des réseaux de relativement petite taille.
-
Une vue réseau hiérarchique, afin de naviguer de sous réseaux en sous réseaux et
ainsi de remonter facilement à la source de l’anomalie
-
Une vue radiale, plaçant les objets sur des cercles concentriques, plus adaptée à
de grands réseaux.
-
Une vue de type Treemap, afin de permettre un affichage compact des grands
réseaux.
-
Une vue géographique qui ferait la corrélation entre le cyberespace et l’espace
physique.
Notons que toutes ces visualisations n’envisagent qu’une représentation du cyberespace
en deux dimensions.
En complément du projet CIAP, le projet DRA a pour objectif d’exploiter les informations
centralisées par CIAP afin de suggérer des réponses aux incidents relevés.
87
Annexe 3 : Gouvernance étatique de la cybersécurité
88