Traitement des risques cyber dans les TPE-PME
Transcription
Traitement des risques cyber dans les TPE-PME
Thèse Professionnelle Cyril Nalpas Le traitement des risques cyber dans les TPE/PME en France en 2014 : entre innocence et innovation MBA Management du Risque Banque, finance, assurance 2013 / 2014 1 Remerciements Je souhaite remercier tout particulièrement Gérard Peliks, Président de l’atelier Sécurité du Forum Atena, pour son expertise professionnelle et ses conseils avisés. Je tiens également à remercier Yves Roucaute, Président du conseil scientifique de l’INHESJ, Directeur et créateur de la formation « MBA Management du Risque : banque, finance, assurance », ainsi que ses intervenants, parmi lesquels Bruno Hamon, fondateur de la société MIRCA et Président du groupe de travail PCA à l’AFNOR, et Jean-Jacques Brun, Directeur Management du Risque à la CEIS. Ma reconnaissance va au général Marc Watin-Augouard qui a été le premier à m’ouvrir des perspectives sur la cybersécurité et à m’offrir des échanges intéressants. Mes remerciements vont aussi à la société CEIS, Compagnie Européenne d’Intelligence Stratégique, en la personne de son Directeur Général, Guillaume Tissier, ainsi que Barbara Louis-Sidney, Consultante Cybersécurité, et Benoît Mercier, Consultant Management du Risque. Mes missions au sein de la CEIS sont au cœur de l’ensemble de la présente étude, qui n’aurait pu voir le jour sans les opportunités qui m’ont été offertes au sein de l’entreprise. Enfin, je remercie mes proches pour leur soutien et leurs conseils tout au long de ce travail. 2 Résumé Cette étude traite de la gestion du risque cyber au sein des PME et des TPE au travers de l’analyse des principaux risques et de l’émergence de nouvelles offres assurantielles. Elle soulève la nécessité d’améliorer l’accessibilité intellectuelle et financière de ces entreprises à la cybersécurité, au moyen de l’amélioration et de la création d’outils de sécurité informatique qui ne seraient pas uniquement dédiés à des experts. Ces outils doivent permettre notamment d’apporter une perception de situation intelligible et d’accompagner le profane dans sa prise de décision. 3 Préambule Le constat d’une cybersécurité à plusieurs vitesses face aux cybermenaces, selon que l’on se place au niveau des grandes entreprises ou à l’inverse des plus petites, m’a semblé constituer un sujet de recherche attractif : l’exploration des solutions pragmatiques et innovantes à apporter aux PME/TPE. Participer, même modestement, à une réflexion prospective, m’a paru être un beau challenge. 4 Sommaire Le traitement des risques cyber........................................................................................................... 1 dans les TPE/PME en France en 2014: .............................................................................................. 1 entre innocence et innovation .............................................................................................................. 1 Remerciements .................................................................................................................................... 2 Résumé ................................................................................................................................................ 3 Préambule ............................................................................................................................................ 4 Sommaire ............................................................................................................................................. 5 Introduction........................................................................................................................................... 7 Partie 1 : Le risque cyber des PME/TPE ........................................................................................... 16 I. Définition ....................................................................................................................................... 16 II. Typologie des impacts................................................................................................................. 20 III. Typologie des méthodes d’attaque visant les petites entreprises ..................................... 23 IV. Les facteurs de risque ............................................................................................................. 23 Fin de l’innocence : prise de conscience et arbitrage des entrepreneurs .................................... 28 Partie 2 : La réponse au risque cyber : en quête d’innovation .......................................................... 29 La gestion du risque cyber ............................................................................................................. 31 I. A. Etude des menaces et des risques ........................................................................................... 32 B. Mise en place du plan d’action ................................................................................................... 34 C. Les exercices de crise ................................................................................................................ 35 Les assurances cyber : un marché émergent .............................................................................. 37 II. A. Rappel historique ......................................................................................................................... 37 B. Le contenu et cibles des offres assurantielles en France ...................................................... 38 C. Couverture des risques .............................................................................................................. 39 D. Les exclusions de garantie ......................................................................................................... 40 E. L’évaluation des risques et les exigences des assureurs ...................................................... 42 F. L’accompagnement dans la sécurisation et la mise à disposition d’experts ........................ 42 III. Amélioration de la perception cyber à travers l’accessibilité cognitive ................................. 45 A. Visualisation du cyberespace et perception de situation ........................................................ 45 B. Un potentiel à exploiter ............................................................................................................... 51 IV. Un outil à la décision à destination des TPE/PME .................................................................. 58 A. Les capacités des outils libres disponibles ............................................................................... 60 B. L’aide à la sécurisation ................................................................................................................ 61 C. L’aide à la réaction en cas de brèche ....................................................................................... 63 5 D. Accessibilité et pédagogie .......................................................................................................... 64 E. Une maintenance constante de l’outil par l’équipe de développement ................................ 65 Conclusion.......................................................................................................................................... 66 Glossaire ............................................................................................................................................ 67 Bibliographie ...................................................................................................................................... 70 Annexe 3 : Benchmark des assurances cyber en France en 2014 .................................................. 71 Annexe 2 : Systèmes de visualisation du cyberespace .................................................................... 84 Annexe 3 : Gouvernance étatique de la cybersécurité ..................................................................... 88 6 Introduction La question de la fragilité des PME et des TPE face aux cybermenaces est en débat depuis quelques années, mais la prise de conscience par les pouvoirs publics n’est pas encore nécessairement partagée par ces petites entreprises. Celles-ci relèvent en outre de réalités très différentes en termes de niveau de cybersécurité. La sécurité informatique de ces entreprises concerne en réalité l’ensemble des acteurs, car, constituant le tissu des activités du pays, elles peuvent contaminer toute la chaîne de l’économie. Elles représentent en effet un vivier de données, parfois sensibles, appartenant à des tiers. De plus, si elles peuvent être des cibles premières, elles sont également susceptibles de constituer des portes d’entrées aux menaces visant les plus grandes entreprises dont elles sont des sous-traitantes. Une sécurité à plusieurs vitesses On constate une disparité dans les capacités cyber des acteurs. Les réseaux nationaux bénéficient de la protection de la Défense et de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), qui a pour principale mission d’assurer la cybersécurité des systèmes d’information de l’Etat et des OIV (Opérateurs d’Importance Vitale). De leur côté, les grandes entreprises ont l’expertise et les moyens financiers de s’assurer une cybersécurité adéquate. Cela n’est pas le cas des entreprises plus modestes, particulièrement dans une conjoncture économique de crise où l’heure est à la réduction des dépenses. Nous faisons ainsi face à une cybersécurité à plusieurs vitesses en fonction de la nature des acteurs. Un coût financier bloquant Effectivement, les plus petites entreprises peuvent difficilement investir dans la sécurité. Les entreprises qui démarrent vont focaliser leurs investissements sur leur cœur 7 de métier afin de faire de la croissance, et non sur la protection de l’infrastructure. La recherche du succès est toujours préalable à la pérennisation du business. Il existe ainsi une phase de forte vulnérabilité entre le moment de création de l’entreprise et le moment où elle adopte une stratégie IT et de cybersécurité. Des entreprises particulièrement vulnérables Avec les fonctions dédiées à la sécurité informatique pour la grande majorité absentes des PME, et une informatique souvent externalisée ou gérée par une personne dénuée de formation appropriée, on se retrouve avec un niveau de conscience qui est plus ou moins celui de la population générale. Hier, cette conscience de la menace cyber était absente des esprits des non-professionnels de l’informatique ; Aujourd’hui, les actions de sensibilisation et la présence plus forte des cas d’attaques recensés dans les médias commencent à porter leurs fruits, mais la situation peine à s’améliorer. D’une part, le rehaussement du niveau de sécurité dans les grandes entreprises fait des PME des cibles plus vulnérables en comparaison, en conséquence de quoi elles sont d’autant plus visées malgré un potentiel plus faible à priori ; d’autre part, la multiplication des nouveaux usages informatiques personnels provoque une porosité toujours plus forte entre le système informatique des particuliers et celui de leur lieu de travail : clés USB et appareils mobiles Wi-Fi font que l’entreprise est vulnérable à une contamination involontaire par ses employés. Un manque de données statistiques fiables Le domaine de la cybersécurité est confronté à un cruel manque de données statistiques, particulièrement lorsque l’on s’intéresse spécifiquement à un pays. En effet, les entreprises ne souhaitent pas faire savoir qu’elles ont été victimes d’un incident cyber, et certaines cyberattaques restent inconnues, car non détectées. Si une information personnelle d’un client est exfiltrée et se trouve utilisée dans le cadre d’une usurpation d’identité, on ne connait pas nécessairement l’origine de la fuite. Il n’est pas non plus évident que ce client, victime, s’en rende compte. Le cybercriminel fera d’ailleurs de son mieux pour ne pas laisser de traces. 8 Sur le plan juridique, les infractions cyber relevant principalement des infractions traditionnelles, elles n’entrent pas nécessairement dans les statistiques officielles. Il est également difficile de faire confiance aux études réalisées par les sociétés de sécurité informatique qui ont de toute façon intérêt à dresser un tableau dramatique, mais peut-être peut-on plus facilement s’accorder sur les tendances relevées par celles-ci. Elles restent cependant pour l’heure incontournables, et seront citées au cours de cette étude lorsqu’il s’agira d’établir des tendances. Pour faire face à ce manque de données fiables, il a été indiqué lors du Forum International de la Cybersécurité de 2014 qu’il sera confié au Centre Expert de lutte contre la Cybercriminalité Français (CECyF) la mission d’apporter un indicateur statistique précis de la cybercriminalité. Une perception des risques en trompe-l’œil ? « Les PME notamment en régions, qui débutent souvent comme une entreprise familiale qui grossit par la suite, n’ont généralement pas conscience de la diversité des cybermenaces qui pèsent sur elles… d’autant que leurs failles peuvent être techniques mais aussi organisationnelles ! » Sylvain Defix de NTT Com Security. D’un autre côté, les sondages rapportent au contraire que les petites entreprises sont généralement relativement bien informées des dangers informatiques. Selon un sondage 1 à l’échelle mondiale de Kasperky Lab : 35% des TPE classent la protection des données comme l’une des principales difficultés auxquelles elles sont confrontées dans l’informatique d’entreprise, contre 26% pour les entreprises de taille moyenne et 29% pour les grandes entreprises. De la même façon, les TPE semblent mieux au courant des problèmes de sécurité liés à l’utilisation des appareils mobiles : 31% d’entre elles considèrent que la sécurité des ordinateurs portables et des mobiles constitue l’une des trois priorités pour la sécurité IT, contre 23% pour l’ensemble des entreprises. Un sondage2 de Symantec à destination des SMB (entreprises de moins de 500 personnes) confirme cet état de fait. Il révèle cependant une des raisons pour lesquelles la 1 http://media.kaspersky.com/en/IT_Security_Risks_Survey_2014_Global_report.pdf http://www.symantec.com/about/news/release/article.jsp?prid=20111116_01&om_ext_cid=biz_socmed_twitter_fa cebook_marketwire_linkedin_2011Nov_worldwide_SMBflashpoll 2 9 sécurité est insuffisamment traitée dans ces entreprises : 50% d’entre elles se considèrent trop petites pour intéresser d’éventuels cyberattaquants. Et pour cause : les attaques cyber à l’encontre des TPE/PME ne sont pas médiatisées parce que ces entreprises sont moins connues, parce que l’échelle de ces attaques n’impressionne pas, et bien sûr car les entreprises qui en sont victimes ne le communiquent pas. Cela contribue à la croyance populaire du « trop petit pour être ciblé ». Pour autant, on ne peut pas dire qu’elles soient moins victimes que les autres : selon le rapport sur les menaces de sécurité Internet 2012 de Symantec, 31% des attaques ciblées concernent des PME3. Deux ans plus tard, le constat est le même au sein du Threat Report4 2014 : les entreprises de moins de 250 salariés constituent les cibles de 30% des attaques. Une distinction TPE/PME peu pertinente Les classifications de PME et de TPE reflètent des réalités très différentes en termes de niveau de sécurité de l’information. On ne peut pas comparer une entreprise de 15 personnes avec une autre comprenant plus d’une centaine de salariés lorsque l’on parle de gestion de l’IT. Nous avons ainsi regroupé au sein du terme de PME : - Des entreprises qui ne possèdent pas d’informaticien dédié et formé : la gestion de l’informatique est confiée à l’employé le plus compétent, en marge de sa fonction principale. - Des entreprises qui possèdent un informaticien dédié, mais pour lesquelles la sécurité informatique n’est pas une priorité dans les faits. - Des entreprises qui possèdent un ou plusieurs salariés dédiés à la cybersécurité. 3 http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20130416_01 http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.enus.pdf 4 10 Une innovation insuffisamment protégée Une entreprise innovante qui ne protège pas suffisamment son capital informationnel ne prend pas seulement le risque de voir perdre un avantage concurrentiel, elle risque également de perdre sa compétitivité. En cas de vol de secrets (stratégiques, commerciaux ou techniques) par une société concurrente, elle commercialisera ses produits à un prix de vente supérieur à celui de la concurrence, car incluant le coût de la recherche et du développement. TPE/PME et Intelligence Economique : un partenariat nécessaire Comme le fait remarquer le commandant de Gendarmerie Rémy Février, « Ce n’est plus le secteur ou la taille de l’entreprise qui sont le critère pertinent pour les attaques, c’est sa compétitivité » : c'est-à-dire ses stratégies, ses approches et ses connaissances sous forme de données numériques. Le domaine de l’intelligence économique s’intéresse de plus en plus à l’information noire, et c’est alors de l’espionnage, alors qu’elle est censée se limiter à l’information blanche et grise. Ceci est renforcé par un jugement du tribunal de grande instance de Créteil en date du 23 avril 2013 : celui-ci a considéré que si le responsable d’un système d’information ne sécurise pas celui-ci contre les intrusions, le délit d’accès et de maintien frauduleux au sens de l’article 323-1 et suivants du code pénal n’est pas constitué5. Pour Thibault Renard, Responsable Intelligence Economique de la CCI France, « Aujourd’hui, le défi est que le développement et l’appropriation de l’IE en France doivent clairement se faire au niveau des PME/TPE, pas seulement au niveau des institutions, des Grands Groupes ou même des ETI ». Il ajoute en outre que « ni les CCI, ni aucun acteur, public ou privé, ne peuvent accomplir seuls la tâche d’amener l’ensemble des entreprises à s’approprier l’IE. Les CCI agissent donc en partenariat au niveau national et territorial avec les pouvoirs publics (D2IE, SCIE, Ministère de l’Intérieur), en liaison avec les 5 http://www.leclerelouvier-avocats.com/actualites/Protegez-vos-donnees-ou-le-juge-ne-vous-protegera-pas 11 fédérations professionnelles (MEDEF, CGPME) et le milieu associatif très développé de l’IE (CDSE, 3AF, AEGE, Académie de l’IE) et bien entendu en complémentarité avec les professionnels de l’IE représentés par le Syndicat Français de l’IE (SYNFiE) »6. Le réseau consulaire PACA a lancé le programme Performance PME intelligence économique, avec l’objectif d’accompagner 600 TPE/PME vers l’adoption des réflexes premiers de l’intelligence économique. Parmi les leçons tirées de cette expérience, on retient que les enjeux de la mondialisation et de la concurrence sont connues par les TPE/PME, mais que celles-ci n’identifient pas encore l’intelligence économique comme un véritable levier de compétitivité et n’ont donc pas développé un système adapté d’IE au sein de leur organisation. Elles identifient la sécurité des systèmes d’information parmi les axes d’intelligence économique, mais résument celle-ci à la seule sécurité des systèmes informatiques. D’autre part, elles considèrent l’intelligence économique comme une démarche intellectuelle peu pragmatique. Pour les accompagner dans ce domaine, le compte rendu de ce programme suggère d’accompagner les entreprises vers une pratique de l’intelligence économique sans la définir comme telle. Au sein de la démarche IET de la Gendarmerie : les référents sûreté Il serait faux de dire que les PME sont oubliées par les pouvoirs publics. De son côté, la Gendarmerie Nationale a développé une démarche d’intelligence économique territoriale (IET 7). Un rapport relatif à l’action de la Gendarmerie Nationale en matière d’intelligence économique relève que 75% des atteintes économiques se concentrent sur des entreprises de moins de 500 salariés, dont 80% sont situées en zone Gendarmerie Nationale. Le maillage territorial de la Gendarmerie en fait l’acteur privilégié pour une interaction proactive avec les PME/TPE. Des référents-sûreté de la Gendarmerie sont chargés de centraliser l’information et de mettre en place des actions de prévention, après avoir établi un diagnostic de vulnérabilité. En 2012, ceux-ci ont conduit 9 000 actions de sensibilisation et établi plus de 2 500 diagnostics de vulnérabilité8. En 2013, ce sont 9003 actions de sensibilisation d’entreprises et 4807 diagnostics de vulnérabilité. Par exemple, l’opération « Tranquillité Entreprises » réalisée par la Gendarmerie de la région 6 https://intelligenceseconomiques.wordpress.com/category/interviews/ http://www.iledefrance.gouv.fr/content/download/7230/52466/file/Intelligence%20%C3%A9conomique%20territori ale2602%20BD.pdf 8 http://www.inhesj.fr/sites/default/files/defi3.pdf (p22) 7 12 Rhône-Alpe, travail de prévention et de sensibilisation a notamment été constituées de ces diagnostics de vulnérabilité. De même, des échanges réguliers entretenus avec les fédérations professionnelles (CGPME et MEDEF notamment) permettent d’associer acteurs publics et privés dans les démarches d’intelligence économique. On peut citer l’exemple « Lundi de l’IE », conférences organisées régulièrement par le cercle Intelligence Economique du MEDEF Ile-de-France. Une synergie publique/privée Devant l’ampleur des cybermenaces, les pouvoirs publics ont souhaité une coopération avec le privé. Le général Marc Watin-Augouard, créateur du FIC9 et directeur de l’EOGN10, rappelait que « L’idée qui a soutenu la création du FIC, c’est de décloisonner, dans un monde cyber complètement ouvert, le secteur public, les administrations, et le secteur privé, les entreprises ». Lors de l’édition 2014 du FIC, le ministre de la Défense, Jean-Yves le Drian, abordait le sujet de la réserve citoyenne cyberdéfense (RCC), « dont l’élargissement est indispensable pour toucher davantage d’acteurs de la société civile, notamment les PME et les PMI ». Les nouveaux plans de l’Etat L’année 2014 a été riche en productions de plans étatiques dans le domaine de la cybersécurité. La feuille de route du plan Cybersécurité de la Nouvelle France Industrielle comporte quatre objectifs principaux : 9 Accroître significativement la demande en solutions de cybersécurité de confiance Forum Internationnal de la Cybersécurité Ecole des Officiers de la Gendarmerie Nationale 10 13 - Développer pour les besoins de la France des offres de confiance ; - Organiser la conquête des marchés à l’étranger ; - Renforcer les entreprises nationales du domaine cybersécurité. L’une des mesures phare prévoit la création d’un label France pour les offres nationales. Les actions concernant la cyberdéfense peuvent en outre être bénéfiques au secteur de la cybersécurité. Le Ministère de la Défense a constitué un Pacte Défense Cyber, rendu public en février 2014. L’action 17 de ce pacte vise à l’augmentation du « nombre de thèses de doctorat approfondissant l’expertise en cyberdéfense ». Il précise que « l’IRSEM soutiendra les études en cyberdéfense dans le domaine des sciences humaines et sociales ». Pour le cas spécifique des PME/PMI dans la filière de la cybersécurité, les actions 23 et 25 leur prévoient un soutien particulier : valorisation des projets à l’export, accompagnement et incitation à participer ou lancer des projets bénéficiant du dispositif RAPID, et enfin des actions de sensibilisation renforcées afin qu’elles veillent à leur propre cybersécurité. Enfin, Le 4 juin 2014, le Ministère de l’Intérieur a annoncé la création d’un « cyber-préfet », qui sera chargé de coordonner la mise en œuvre d’un plan stratégique de lutte contre les cybermenaces. L’enjeu de cette nomination est d’assurer la protection des PME française. Cette mesure vient en complément d’un plan d’action triennal pour l’intelligence économique territoriale (2015-2017) qui mobilisera le corps préfectoral et amplifiera la formation des cadres du ministère et les actions de sensibilisation. 14 Toutes ces actions de sensibilisation produites récemment par les pouvoirs publics parviennent-elles à influencer l’acteur principal du changement qui est l’humain ? Spécifiquement le chef d’entreprise qui devra réaliser son arbitrage face à un investissement en cybersécurité. Comment pouvons nous permettre aux petites entreprises en croissance d’être protégées des cybermenaces jusqu’à ce qu’elles atteignent une taille critique qui leur permet d’avoir les moyens de se doter d’experts en sécurité ? Il convient d’opposer à cette attitude imprudente la méthode classique de management du risque, qui passe en premier lieu par la cartographie de ces risques. Nous nous attacherons en second lieu aux nouvelles solutions assurantielles et à des solutions techniques innovantes. 15 Partie 1 : Le risque cyber des PME/TPE Il s’agit ici d’évaluer ici le périmètre des risques qui peuvent concerner les TPE/PME. I. Définition La survenance d’un risque cyber signifie toute destruction, perte, altération, divulgation ou accès non-autorisé à des données informatiques. Cette définition comprend l’indisponibilité due à l’altération d’un système informatique, celui-ci étant lui-même constitué de données. Ce faisant, on doit distinguer les menaces cyber d’ordre intentionnel (malveillance) des menaces d’ordre non intentionnel. En effet, la cybersécurité ne se limite pas à la protection vis-à-vis de la cybercriminalité, qui agit majoritairement à travers les réseaux. On peut distinguer trois principales couches du cyberespace : - La couche physique : les équipements, les câbles ; - La couche logicielle : les logiciels, les protocoles. On distingue à celle-ci plusieurs couches (en comptant la couche physique, respectivement 4 et 7 pour les modèles Internet et OSI11) ; - La couche sémantique ou cognitive. Ces couches sont interdépendantes. Une courte interruption, à peine perceptible, sur la couche physique a des répercussions auxquelles il faut répondre sur la couche logicielle. Dans le cas d’une panne électrique survenant la nuit, les conséquences se découvrent généralement au matin : l’équipement n’est probablement pas endommagé, mais l’extinction de l’ensemble du SI va demander un redémarrage selon un ordre précis, des reconfigurations et que la propagation des nouvelles tables de DNS s’effectue. Ceci peut facilement rendre indisponible le SI aux employés la majeure partie de la matinée. 11 http://fr.wikipedia.org/wiki/Suite_des_protocoles_Internet 16 Une vulnérabilité sur la couche logicielle peut permettre à un attaquant de s’introduire dans un web et de changer la signification de l’information qu’il affiche (couche sémantique). La norme ISO 27005 définit le capital à protéger concernant la sécurité de l’information : Les actifs primaires : o Les processus et l’activité o L’information Les actifs de support : o Le matériel o Les logiciels o Les réseaux o Le personnel o Les sites o Le support organisationnel (autorités de tutelle, maison-mère, département, agences, etc.) La sécurité des données doit répondre à trois principaux objectifs : - La disponibilité : l’information doit être accessible à tous ceux qui en ont besoin (et y sont autorisés). - La confidentialité : l’information doit rester accessible uniquement aux personnes autorisées. - L’intégrité : l’information ne doit pas être corrompue ou rendue incomplète. Deux autres objectifs permettent d’élargir les premiers pour définir la sécurité du système d’information : - La non-répudiation et l’imputation : aucun utilisateur ne doit pouvoir contester les opérations qu’il a réalisées, et aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur. - L’authentification : l’identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d’échange. 17 Malheureusement, on ne possède pas toujours une connaissance exacte de l’état de sécurité des données, notamment dans le cas d’une APT – advanced persistant threats. Le rapport 2014 M-Trend12 de Mandiant relève qu’en moyenne, il faut 229 jours avant qu’une entreprise ne se rende compte qu’elle est victime d’une APT. Le risque menaçant ce capital peut être de nature intentionnelle ou non intentionnelle, interne ou externe. Le risque d’origine intentionnelle (malveillance) On peut considérer que le temps où la recherche de la gloire constituait la principale motivation des hackers est révolu. Ce faisant, les cyberattaques ciblant les entreprises, y compris les plus petites, répondent à quatre motivations principales : - Le cybermilitantisme, ou cyberhacktivisme : incarnation des opérations coup de poing dans le cyberespace dans la défense d’une cause. Ces actions prennent le plus souvent la forme d’attaques DDoS ou de défiguration de site web. Il concerne cependant moins les PME que les grandes entreprises. - L’objectif mafieux purement pécuniaire : vol d’informations commercialisables, racket (prise en otage de données ou de systèmes). - Le cyberespionnage : il s’agit d’intelligence économique, et son origine peut être aussi bien étatique que concurrentielle. - La vengeance : le plus souvent un employé actuel ou passé, qui aura considéré ne pas avoir été traité à sa juste valeur. Quelle que soit la motivation, le risque peut comporter un élément interne. On constate ici l’asymétrie propre aux attaques dans le cyberespace : - Des individus avec de très faibles moyens peuvent causer des dommages considérables ; - Une entreprise sans défense peut se retrouver face à la puissance d’un Etat qui s’intéresse à son capital informationnel. 12 https://dl.mandiant.com/EE/library/WP_M-Trends2014_140409.pdf 18 Le risque d’origine non-intentionnelle Le risque non intentionnel est soit d’origine naturelle (incendie, inondation, etc.), soit d’origine humaine : on parle alors d’erreur ou de négligence. Ainsi, la survenance d’un sinistre peut être d’origine accidentelle, bien que souvent d’origine humaine. Effectivement, le facteur humain est ici aussi omniprésent. Il est souvent rappelé que lors de la conception d’ARPANET (l’ancêtre d’Internet), la robustesse a été privilégiée au détriment de la sécurité. Notre Internet a pourtant bien une réalité physique qui le rend vulnérable, notamment à l’erreur humaine. Le 13 mai 2011 à Vélizy13, une machine de travaux publics endommage plusieurs fibres optiques, ce qui coupe l’accès à Internet des locaux de plusieurs grandes entreprises parmi lesquelles Carrefour, SFR et Free. Au niveau de la couche logicielle, une mauvaise configuration peut également donner lieu à des indisponibilités : la connexion d’un équipement configuré avec une adresse IP déjà existante sur le réseau ne manquera pas de perturber celui-ci. Il s’agira bien souvent d’un employé ayant connecté sans autorisation son propre ordinateur, et entre l’identification du problème et sa résolution, on observe une asymétrie entre l’intention et les pertes potentielles (chômage technique, pertes d’opportunités, etc.). On peut également mentionner les défaillances matérielles et logicielles provoquant l’indisponibilité ou la perte de données. Cependant en cas de perte avérée de données due à une défaillance, il convient de considérer que celle-ci relève d’une erreur humaine, de niveau stratégique : celle de ne pas avoir prévu de redondance des données (sauvegardes). 13 http://www.journaldunet.com/solutions/systemes-reseaux/coupure-reseau-fibre-optique-velizy-villacoublay0511.shtml 19 II. Typologie des impacts Les impacts peuvent être d’ordre financier, d’image, légal. Impacts financiers : - Perte de chiffre d’affaire : généralement par indisponibilité des services - Cyberextorsion (DDoS, Ransomware) : l’entreprise se retrouve paralysée par des attaques à l’encontre de son système d’information, et est contrainte de payer une rançon pour rétablir la disponibilité de ses données ou de ses services - Perte d’avantage concurrentiel : Vol de brevets ou de contrats, attaque généralement transparente au moment des faits. Le coût de la R&D étant intégré au prix de vente du produit, si une entreprise concurrente obtient des secrets de fabrication, alors elle pourra vendre à un prix inférieur un produit similaire et ainsi conquérir tout ou partie du marché Impacts sur l’image : On pourrait penser que les TPE/PME seraient moins concernées par les risques d’altération d’image, notamment en ce qui concerne les crises médiatiques, cependant le fait est qu’aucune entreprise ne souhaite faire savoir qu’elle a été victime d’une cyberattaque. C’est un aveu d’échec qui réduit fortement la confiance des clients envers l’entreprise, surtout lorsque l’entreprise est susceptible de posséder des informations confidentielles les concernant (qu’il s’agisse d’informations personnelles de particuliers ou d’informations sensibles d’un partenaire). 20 Impacts légaux : L’article 34 de la loi Informatique et Libertés 14 impose de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Concernant la confidentialité des données : l’article 226-22 alinéa 2 du code pénal dispose que « La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. » Il existe en outre des dispositions législatives et réglementaires spécifiques à certains secteurs. Dans le domaine médical, l’article L1111-8 du code de la santé publique dispose que l’hébergement de données de santé à caractère personnel auprès d’un tiers requière : - Le consentement de la personne concernée ; - D’avoir recours à un prestataire agréé par le Ministère de la Santé. L’obtention de l’agrément est soumise à la mise en œuvre de solutions techniques et organisationnelles assurant la sécurité et la restitution des données hébergées. Ces hébergeurs sont en outre soumis à l’obligation médicale prévue à l’article 226-13 du code pénal et punie d’un an d’emprisonnement et de 15 000 € d’amende. En ce qui concerne le risque de responsabilité civile, du fait des articles 1382 et 1383 du Code Civil, les entreprises sont responsables notamment dans les cas suivants : - En cas de transmission de ver ou de virus, de vol de données confiées par des tiers ; - En cas de préjudice à un tiers du fait de l’indisponibilité des services de l’entreprise victime. En effet, l’article 1382 dispose que « tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige par la faute duquel il est arrivé, à le réparer » ; L’article 1383 dispose quant à lui « Chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence. » 14 http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/ 21 La directive européenne « vie privée et communications électroniques », telle qu’amendée en 2009, impose une obligation aux « fournisseurs de services de communications électroniques accessibles au public dans la communauté » de notifier l’autorité nationale compétente ainsi que les particuliers concernés lorsque qu’une violation de données à caractère personnel a eu lieu. Celle-ci a été transposée dans le droit français au sein de la loi informatique et libertés (article L34bis). On peut se demander si cette obligation a aussi vocation à s’appliquer aux cybercafés par exemple, cependant il faut surtout noter que la directive précise bien qu’à terme, cette obligation sera étendue à tous les secteurs et à tous types de données 15. Il y a en outre un projet de règlement européen en matière de protection des données à caractère personnel qui aura vocation à s’appliquer à tous les secteurs. Les obligations en termes de protection des données, notamment personnelles, sont nombreuses, et ceci d’autant plus que le vol de données numériques en tant que telles est maintenant reconnu par la jurisprudence. Dans un vol de données, la jurisprudence et une partie de la doctrine ont longtemps considéré qu’il n’y avait pas à proprement parler d’appropriation frauduleuse de la chose d’autrui, dans le cas où les données étaient dupliquées sans soustraction de leur support original. Cependant, dans un arrêt du 4 mars 2008, la Chambre criminelle de la Cour de Cassation a clairement pris position sur le vol de fichiers informatiques en reconnaissant que l’infraction est caractérisée en l’absence même d’un support16. 15 http://juriscom.net/wp-content/documents/secu20100130.pdf http://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000018550314&fastReqId =670431778&fastPos=1 16 22 III. Typologie des méthodes d’attaque visant les petites entreprises Une étude de 2011 du Ponemon Institute17 a recensé les types d’attaques les plus couramment employées à l’encontre des petites entreprises. L’étude montre que les attaques DDoS sont un phénomène plutôt rare les concernant (elles concernent moins de 4% des attaques), alors que l’hameçonnage et l’ingénierie sociale comptent pour 30% des attaques et que toutes comprennent l’utilisation de code malicieux. IV. Les facteurs de risque Toute création technologique induit des risques qui se révèlent souvent après l’adoption et l’appropriation massive de ces technologies créant de nouveaux usages. Il y a ainsi un temps de latence avant l’arrivée des actions correctives. L’ère Internet se caractérise par la multiplication de nouveaux usages qui sont autant de facteurs de risques. Mobilité et BYOD La mobilité, c'est-à-dire le fait de se déplacer avec ses outils informatiques et ses données, est davantage perçue dans les entreprises comme une économie et une agilité plutôt qu’un risque. Elle facilite cependant la perte ou la fuite de données. Face aux risques de vol ou de perte du matériel, il est nécessaire de s’assurer d’avoir préalablement réalisé une copie des données emportées, et de chiffrer ces dernières. Les entreprises ayant recours au BYOD (Bring Your Own Device, littéralement « Apportez votre propre matériel ») se rendent vulnérables aux infections de l’informatique personnelle des employés. On assiste à une porosité toujours plus grande entre cette informatique personnelle et l’informatique professionnelle. Cela a commencé lorsque 17 http://www.cgpme92.org/pages/pdf/Guide-cybercriminalite.pdf 23 l’employé utilisait son ordinateur professionnel pour une utilisation parfois personnelle à son domicile. Aujourd’hui, le BYOD complète la boucle avec des employés qui connectent leurs smartphones et autres tablettes sur le SI de l’entreprise. Utilisation du Wi-Fi L’utilisation du Wi-Fi comporte deux principaux problèmes : - Il fait disparaître la frontière périmétrique de l’accès filaire : équipé d’une antenne adéquate, un réseau Wi-Fi peut être capté à plus d’un kilomètre. - Il engendre un faux sentiment de sécurité chez les utilisateurs non avertis ou nonprécautionneux. Les premières tentatives de protocole de chiffrement visant à sécuriser les connexions WiFi ont échoué, mais sont pourtant toujours disponibles au sein des équipements. Aucun professionnel de la sécurité ne choisirait le protocole WEP (Wired Equivalent Privacy) pour sécuriser son réseau, et pourtant ce choix est généralement le premier dans la liste des méthodes de chiffrement proposées sur les matériels (tristement, pour des raisons d’ordre alphabétique). A sa création, le protocole de chiffrement était le WEP. Les analyses successives des algorithmes de chiffrement employés dans ce protocole ont fait passer le temps d’obtention de la clé par simple écoute à quelques heures en 2001, quelques minutes en 2005 et finalement quelques secondes depuis 2006. Il y a cependant eu un temps de réaction relativement long de la part des fournisseurs d’accès à Internet, de l’ordre de plusieurs années, qui ont continué à livrer des box paramétrées avec le Wi-Fi activé par défaut et chiffré à l’aide du protocole WEP. Or, d’une part, les connexions Internet des TPE sont souvent les mêmes que celles des particuliers, et d’autre part les systèmes informatiques des particuliers constituent un point d’entrée vers les entreprises. De plus, l’emploi du BYOD est d’autant plus courant que l’entreprise est de taille modeste. Cette masse de réseaux Wi-Fi est aujourd’hui encore loin d’être négligeable. Ceci est d’autant plus dramatique que les utilisateurs ne se savent pas à ce point vulnérables. 24 En outre, quelle que soit la méthode de chiffrement employée, les utilisateurs ont tendance à choisir une clé courte, facile à retenir, car la connexion est généralement partagée à l’ensemble des employés. Ceci rend ces réseaux vulnérables aux attaques par force brute (utilisation d’un programme qui va tester des clés construites à partir d’un dictionnaire). Externalisation de l’informatique : infogérance & Cloud computing L’externalisation désigne le transfert de tout ou partie d'une fonction d'une organisation (entreprise ou administration) vers un partenaire externe. Dans le cas de l’externalisation de l’informatique, on parle d’infogérance. Celle-ci peut être une source de risques. On va facilement considérer, puisque l’on confie cette fonction informatique à autrui, que l’on a plus à s’occuper de la cybersécurité. Pourtant d’une part, il faut encore s’assurer que le contrat avec le prestataire inclut des garanties de sécurité, et d’autre part il ne faut pas oublier que la sécurité informatique est également une question de gouvernance : une politique de sécurité devant être absolument appliquée par les employés. Il faut aussi considérer que transférer sa sécurité vers un prestataire de service n’implique pas pour autant le transfert de sa responsabilité civile et pénale quant à la protection de ses données sensibles : l’article 31 de la loi Informatique et Liberté dispose que « le responsable du traitement des données personnelle est la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Le cloud computing constitue la forme la plus évoluée d’externalisation. Associant simplicité et faible coût, il attire de nombreuses entreprises, notamment les plus petites. Son utilisation pour stocker ses données peut constituer une amélioration ou une détérioration du niveau de sécurité, selon le prestataire choisi. Sogeti18 relève 7 points d’attention à surveiller de près lors d’une démarche Cloud computing : - Le contrôle des administrateurs du Cloud ; - La conformité réglementaire ; - La localisation des données ; 18 http://www.fr.sogeti.com/sites/default/files/Documents/Publications/Une%20approche%20syst%C3%A9mique%20 de%20la%20cybers%C3%A9curit%C3%A9.pdf 25 - La ségrégation des données ; - La reprise après sinistre ; - Le support des investigations ; - La viabilité à long terme du fournisseur. La localisation des données est un élément déterminant en termes juridiques. L’hébergement des données dans un pays tiers emporte plusieurs conséquences non négligeables : - La législation du pays en question peut faciliter l’investigation dans les données numérique par les autorités locales (exemple du Patriot Act aux Etats-Unis, malgré l’accord Safe Harbor); - A l’inverse, la législation étrangère peut ne pas prévoir d’obligations similaires à celle du droit français en termes de gestion des données par le prestataire. Les leaders dans le domaine du Cloud Computing étant américains (Amazon, Google, Microsoft, etc.), donc relevant du droit anglo-saxon où le prestataire devient propriétaire des données, on comprend que nombreux sont ceux en France qui souhaitent voir émerger un Cloud souverain qui pourrait rivaliser avec eux. Cependant ce problème dépasse la simple question de l’hébergement des données, car ce sont surtout les services associés qui déterminent le choix d’un prestataire. Il en existe trois types : - IaaS (Infrastructure as a Service) : il s’agit de la fourniture d’un socle d’infrastructure informatique virtualisé. L’entreprise gère la partie applicative et le middleware, mais le matériel, le système d’exploitation et le réseau est à la charge du fournisseur cloud. - PaaS (Platform as a Service) : l’entreprise cliente ne gère que la partie applicative, tout le reste étant géré par le fournisseur, y compris le middleware. - SaaS (Software as a Service) : il s’agit d’applications en ligne, accessibles depuis n’importe quel ordinateur. Il en existe pour un grand nombre de finalité : relation client, ressources humaines, gestion d’entreprise, gestion de projet et bien entendu partage de documents. 26 L’offre des leaders américains du marché est particulièrement attrayante, mais étant donné l’ampleur potentielle de la contrepartie (faibles garanties contre l’espionnage, transfert de la propriété des données), il faut être particulièrement vigilant en matière de garanties offertes par le prestataire. Il peut être préférable de choisir un service moins abouti en termes de fonctionnalités, mais meilleur garant de la confidentialité des données. Encore faut-il que le prestataire choisi ait suffisamment investi dans la sécurité. Il est nécessaire d’identifier le cadre légal et de vérifier la qualité de celui-ci. Utilisation du web Pour Renaud Bidou, CTO de Denay All, « les principales menaces actuelles portent sur l’interface Web », du fait de l’importance de la surface d’attaque. « La surface d’attaque est importante. Qui plus est, ce sont des technologies très simples à attaquer, parce que le développement Web est à la portée de n’importe qui et se fait bien souvent sans considération de sécurité. ». Ainsi, selon le rapport de menace 19 de Symantec en date d’avril 2014, un site légitime sur huit serait exposé à une vulnérabilité critique. Une technique courante pour infiltrer une entreprise est celle du watering hole. Cette attaque consiste à infecter un site web visité régulièrement par les employés afin d’infecter automatiquement ceux-ci lorsqu’ils consultent la page (drive-by download). 19 http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.enus.pdf 27 Fin de l’innocence : prise de conscience et arbitrage des entrepreneurs Les entreprises commencent à prendre conscience des risques, cependant elles sont nombreuses à ne pas avoir les moyens de se protéger ou à continuer à ne pas se sentir réellement concernées. L’élargissement des obligations de notification à l’ensemble des secteurs d’activités pourrait permettre de faire remonter à la surface les attaques cyber visant les entreprises les plus petites, ce qui lèverait définitivement le doute chez elles quand à la nécessité d’agir en anticipation. Quoiqu’il en soit, face au manque de moyens des petites structures, il semble nécessaire de s’assurer qu’il existe des solutions de sécurité accessibles, non seulement en termes de coûts mais également en termes d’intelligibilité vis-à-vis de néophytes (démystification des contraintes de la sécurité informatique). La responsabilité civile et éventuellement pénale devrait amener les chefs d’entreprise à agir préventivement dans la gestion de ce risque cyber. Nous nous attacherons spécifiquement aux réponses aux menaces d’origine malveillante, car ce sont elles qui entraînent le plus d’innovation. 28 Partie 2 : La réponse au risque cyber : en quête d’innovation La réponse au risque s’articule autour de deux axes : - la réduction du risque par la diminution de la fréquence : Il est urgent d’élever le niveau de sécurité. Cette sécurité est autant une question de gouvernance que de solutions techniques, mais il est nécessaire de s’assurer que la conscience du risque soit universellement reconnue par l’ensemble des acteurs. - la protection en cas d’occurrence de la menace : Quel que soit le niveau de sécurité, la défense n’est pas infaillible, d’autant qu’elle sera toujours tributaire de l’erreur humaine. Une fois la fréquence réduite au maximum par une gouvernance et des solutions techniques adéquates, il reste à se prémunir de l’intensité d’une défaillance de la sécurité. Concernant l’augmentation du niveau de sécurité, nous nous intéresserons tout particulièrement à la question de l’accessibilité des outils de sécurité. S’il reste toujours envisageable de répondre à la problématique de l’accessibilité d’un point de vue tarifaire – les PME ont des moyens limités mais leur nombre permet de rentabiliser un produit spécifiquement conçu pour elles – l’utilisation des outils de sécurité reste l’affaire des professionnels de la sécurité informatique. Nous nous intéresserons en premier lieu à la démarche de management du risque, appliqué aux risques liés au système d’information. Puis, nous examinerons les solutions d’assurance cyber en France, qui se sont multipliées ces dernières années après avoir émergé aux Etats-Unis dans les années 2000. Dans l’optique de rendre les logiciels de sécurité informatique plus accessibles, nous nous intéresserons ensuite à la représentation du cyberespace et à la visualisation d’informations au sein de ces outils. En dernier lieu, nous faisons la proposition d’un logiciel unifié à destination des plus petites structures, qui aurait pour objectif d’accompagner celles-ci dans la sécurisation de 29 leur réseau. Cet outil devrait relever d’une grande pédagogie afin de permettre la formation de ses utilisateurs, car bien souvent la responsabilité de la gestion informatique est donnée à la personne qui a le plus de connaissances dans le domaine sans pour autant être formée spécifiquement. 30 I. La gestion du risque cyber Si la fonction de Risk Manager est traditionnellement absente des TPE/PME, l’utilisation des méthodes de cette discipline est devenue nécessaire, particulièrement pour le risque cyber qui concerne tous les acteurs. En effet, le système d’information est aujourd’hui présent au cœur de la plupart des processus de l’organisation, et ceci dans l’ensemble des secteurs d’activité. Rappelons ces mots du CLUSIF : « Il est urgent que les dirigeants intègrent dans l’analyse de leur environnement les faiblesses liées aux systèmes d’information. La gestion des vulnérabilités informatiques en tant que telle ne crée pas directement de la valeur. Par contre, une absence de gestion des vulnérabilités limite indirectement la création de valeur pour l’organisation ».20 Nous exclurons le risque stratégique pour nous intéresser spécifiquement au risque opérationnel : le risque de pertes provenant de l’inadéquation ou de la défaillance de procédures internes, de personnes, de systèmes ou faisant suite à des évènements externes. La démarche décrite dans cette partie correspond à celle employée par les sociétés de conseil de sécurité informatique, et toute entreprise peut bénéficier de cette méthode. Il est à noter que la gestion du risque implique des réévaluations régulières, et ceci est d’autant plus vrai dans le domaine de l’informatique qui est amené à évoluer constamment. Ceci constitue la principale limite de l’application de cette méthode à des petites structures. 20 http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2014-Gestion-vulnerabilites-tome-1.pdf 31 A. Etude des menaces et des risques D’après le livre blanc de Check Point Software sur la protection des données et les risques juridiques21, l’étude de risque doit comprendre : Le recensement des données à caractère personnel et leurs supports : matériels, logiciels, canaux de communication, support papier. L’étude des menaces qui pèsent sur chaque support : recensement, hiérarchisation, probabilité. L’étude des risques : combinaison des impacts avec les menaces correspondantes, hiérarchisation des risques selon leur gravité et leur vraisemblance. La détermination des mesures de sécurité afin de réduire, transférer ou éviter les risques. Une démarche plus générale, proposée par le cabinet MIRCA, rappelle en outre le caractère cyclique d’une bonne gestion de risque. La démarche doit être réévaluée de façon plus ou moins régulière. Ainsi, la méthode préconisée est la suivante : L’identification des risques, qui consiste à déterminer les évènements de risques potentiels et leurs éventuelles causes et conséquences L’évaluation des risques, qui consiste à apprécier l’impact de l’évènement de risque ; La gestion des risques, qui consiste à définir les mesures stratégiques et opérationnelles pour éviter, transférer et / ou réduire la survenance et l’impact des risques ; Le contrôle et la surveillance des risques, qui consistent à s’assurer de la cohérence et de l’adéquation du niveau des risques en regard des objectifs fixés. Cartographie et hiérarchisation des risques Il faut définir quels sont les biens à protéger, définir les menaces et les risques potentiels, ainsi que leur criticité. 21 http://security.arrowecs.fr/FMS/12650.protection_des_donn_es_et_risques_juridiques.pdf 32 Pour une société, les données les plus sensibles seront les informations client, pour une autre cela concernera un secret industriel. Identification des biens primordiaux : La première action de la démarche de risk management consiste ainsi à effectuer le recensement de : - L’ensemble des données sensibles et leur support ; - Les éléments du système d’information dont l’indisponibilité serait dommageable ; Identification des menaces : Il faut déterminer les menaces qui pèsent sur les biens à protéger préalablement définis. Cela peut être, par exemple : - L’extorsion en cas de chiffrement de données nécessaires au fonctionnement du business; - Les éventuels comportements à risques du personnel (à tous les étages de la pyramide) ; Détermination de la criticité des risques : Pour chaque risque identifié, il faut définir notamment : - Sa gravité : du risque négligeable au risque catastrophique. - Sa probabilité d’occurrence : rare, improbable, probable, fréquent. Définition du plan d’action Face à un risque, on peut répondre de quatre façons différentes : Le refuser : sortir de l’activité ; L’accepter ; Le transférer : vers une compagnie d’assurance ; Le mitiger : prendre des mesures pour diminuer sa fréquence et/ou son intensité. 33 Le plan d’action comprendra le choix parmi les quatre possibilités précitées. La définition de ce plan s’appuie sur l’ensemble des données récoltées lors de l’étude du risque : la liste des risques, leur criticité (probabilité x gravité), ainsi que les mesures envisagées. Il faut définir des mesures de protection appropriées. Ces mesures peuvent relever aussi bien de protections d’ordre physique, informatique que cognitif (formation et sensibilisation des individus). B. Mise en place du plan d’action La mise en place des nouvelles mesures techniques Par exemple, l’une des actions possibles pour mitiger le risque face aux cyberextorsions par ransomware est la mise en place d’une procédure de sauvegardes automatiques. Nouvelles mesures de gouvernance et sensibilisation des employés Comme mentionné à plusieurs reprises, la protection du système informatique et des données concerne des mesures techniques, mais également des mesures de gouvernance et de sensibilisation des employés. Cela consiste donc à établir des règles à destination du personnel, en s’assurant d’être le plus pédagogique possible : il faut s’assurer que le personnel comprenne en quoi il est concerné par la mesure, parfois contraignante, comme par l’enjeu, qu’il doit s’approprier. S’il n’aperçoit que vaguement le bénéfice des nouvelles règles qui lui sont imposées, il n’en fera probablement rien. On se rapproche de la problématique de l’accompagnement au changement propre à tous projets internes. Notons par ailleurs l’émergence, très récente, d’offres en matière d’exercices de crise cyber. 34 Un point essentiel : le plan de continuité d’activité L’un des dangers principaux qui guette une entreprise en cas d’incident cyber est l’interruption d’activité. Il est nécessaire de se préparer à cette éventualité. Il faut avoir réfléchi aux mesures permettant de continuer l’activité de l’entreprise avant qu’un incident gravissime ne survienne. Les objectifs du PCA sont d’anticiper les risques opérationnels de grande envergure et d’analyser et de réduire les impacts potentiels d’une interruption d’activité. Un PCA doit permettre de pouvoir continuer d’exercer l’activité, en mode dégradé. Il s’agit de renforcer la résilience de l’entreprise à une crise. Il est à noter que l’élément humain est un aspect majeur du PCA : ce sont des personnes qui agiront pour permettre de continuer les activités dans les meilleures conditions possibles. Il a été démontré que la perte de repère en situation de sinistre affecte fortement la capacité à prendre des décisions, y compris celle du management22. Pour Bruno Hamon, fondateur de la société MIRCA et Président du groupe de travail PCA à l’AFNOR, le PCA n’est pas un outil destiné uniquement aux grands groupes. Il rappelle ainsi qu’une PME est plus sensible aux risques de choc extrême, notamment car elle est généralement monosite et possède une assise financière beaucoup plus fragile. C. Les exercices de crise Parmi les outils classiques de gestion de crise, on trouve les exercices de crise cadre. Ceci concernera davantage les PME de taille importante, ainsi que les collectivités locales. Nous voyons en outre apparaître en France une offre en matière d’exercice de crise de type cyber. Comme le souligne Jean-Jacques Brun, directeur Management du Risque chez CEIS23, ces prestations, à l’instar de celle en cours de création par la Fondation Saint-Cyr, en partenariat avec les sociétés CEIS, Sogeti et Thales, « permettent en outre 22 23 www.mirca.fr/docshow.php?nid=476 Compagnie Européenne d’Intelligence Stratégique 35 de sensibiliser efficacement les participants aux risques induits par l’omniprésence de l’informatique au sein de leurs activités professionnelles : ils apprennent à reconnaître les menaces de type cyber, à éviter les pièges, et à agir efficacement en situation de crise ». 36 II. Les assurances cyber : un marché émergent Les polices classiques sont insuffisantes. En effet, concernant la responsabilité civile, ces polices excluent généralement la perte et la divulgation de données personnelles, ainsi que les dommages causés aux tiers suite à la contamination informatique par l’entreprise souscriptrice. Les assurances cyber se positionnent en complément des polices classiques, qui ne couvrent généralement pas les dommages immatériels. Les assurances cyber se multiplient en France, pour plusieurs raisons : les attaques se multiplient, les contraintes réglementaires se renforcent et les assureurs anglo-saxons, notamment américains, sont à la recherche d’un nouveau marché. En 2013, la LLoyds déclarait que les cyber risques étaient en troisième position des risques majeurs des entreprises, ce qui montre bien la volonté des compagnies d’assurances de se positionner sur un tel marché, au-delà du seul monde anglo-saxon. A. Rappel historique Les assurances cyber en France sont des traductions des assurances cyber anglosaxonnes. L’assurance cyber est née aux US dans les années 2000. Elles peinaient alors à trouver leur public, de la même façon que les assurances cyber en France à leur lancement (vers 2010). Cependant la conjoncture a changé. Outre l’explosion de la menace, le renforcement des cadres légaux, notamment du côté de la notification des incidents (article L34-al2 Loi Informatique et Liberté, Règlement européen à venir prévoyant l’élargissement de cette obligation à l’ensemble des secteurs), ainsi que la prise de conscience grandissante des risques par les entreprises suite aux actions constantes de sensibilisation de la part des pouvoirs publics ont favorisé le développement des offres d’assurance en France. Pourtant, les sociétés d’assurances restent confrontées au problème de l’absence de données statistiques historiques exploitables pour évaluer le risque. 37 Les données actuarielles sont en effet très difficiles à obtenir, puisque les entreprises ne font pas part de leurs incidents de sécurité. D’après John Wheeler, directeur de recherche chez Gartner en charge de la gestion du risque et de la sécurité, « même ceux qui sont assurés rechignent à formuler des demandes d’indemnisation pour éviter de communiquer les informations et parce qu’ils craignent pour leur réputation ». En l’absence de données, il faut se reposer sur les outils d’analyse et de modélisation. B. Le contenu et cibles des offres assurantielles en France Les assureurs présents aujourd’hui sur le marché français sont encore en majorité anglo-saxons : ils cherchent de nouveaux marchés après avoir connu un premier succès, particulièrement aux Etats-Unis. Tous proposent des offres globales, multirisques, ceci afin d’équilibrer leur portefeuille dans un marché où l’offre est encore supérieure à la demande, encore faible. Certaines, nous le verrons plus loin, incluent le traitement du risque en amont et en aval. Ce fonctionnement par « package » peut soulever des difficultés d’accessibilité en termes de coûts : face à un manque de moyens, une petite entreprise pourrait souhaiter souscrire à une police couvrant un risque plus restreint mais pertinent au vu du souscripteur. D’un autre côté, il est évident que le choix ne serait pas nécessairement aisé pour celui-ci, qui devrait naviguer entre le langage de l’assureur et un domaine cyber qu’il ne maîtrise a priori que très peu. Cette capacité de choix reste malgré tout pertinente, notamment lorsque sont couverts des sinistres de fréquence (ceux de faible gravité mais qui occurrent régulièrement). Ceux-là vont à l’encontre de la pertinence de l’assurance, dont l’utilité relève dans la couverture des sinistres d’amplitude (faible fréquence, forte gravité). Dans le cas des sinistres de fréquence, l’assuré a davantage intérêt à agir de façon proactive face au risque, mais si celui-ci est inévitable, il reste inutile de l’assurer. Certaines offrent visent spécifiquement les TPE et/ou les PME. Par exemple, dès 2010, Axa proposait une offre destinée spécifiquement aux entreprises de moins de 30 salariés incluant une option cyberrisques « qui sécurise les PME sur l’essentiel des cyberattaques 38 (repérage du virus, pertes de données, pertes d’exploitation) ». Depuis, d’autres ont mises en place des offres spécifiques aux PME, mais aussi à certaines catégories professionnelles comme le fait l’assureur AIG : professionnels de la santé, professionnels de l’Internet et de la communication, etc. Autre méthode pour cibler les TPE/PME : l’utilisation d’un outil de tarification en ligne à destination des courtiers, notamment les courtiers de province, comme l’a fait l’assureur Beazley (qui prévoit la disponibilité de l’outil à partir d’octobre 2014) 24. Il subsiste en outre certaines incertitudes d’ordre réglementaire, comme nous le verrons plus loin. C. Couverture des risques Les contrats d’assurance cyber visent à couvrir la responsabilité civile (RC) et les pertes liés aux dommages immatériels (rarement les dommages matériels). Sont généralement couverts : - Les frais liés au recours à une équipe spécialisée en intervention suite à incident de sécurité : investigation, sécurisation et remise en service du système informatique, y compris des données ; - Les frais de notifications pour violation de confidentialité et de mise en place d’un centre d’appel pour les tiers ; - Les frais pour recours à une équipe d’aide en relations publiques, afin de gérer une crise médiatique, et mitiger les dommages à la réputation ; - Les frais pour recours à une équipe juridique afin de mitiger les ramifications juridiques ; - Les dommages aux tiers au titre de la responsabilité civile. Cela comprend généralement notamment les dommages liés à l’indisponibilité du système informatique pour les clients, ainsi que les dommages causés aux réseaux informatiques des tiers. 24 http://www.newsassurancespro.com/courtage-beazley-vise-les-tpepme/0169281751 39 Comme nous le verrons plus loin, certaines compagnies d’assurance mettent à disposition des équipes techniques, juridiques, de relations publiques ou de centre d’appel, soit internes à la compagnie d’assurance soit liées à un partenariat avec celle-ci. De nombreuses polices cyber prennent en charge les frais de négociation en cas de cyberextorsion, et certaines vont même jusqu’à la pris en charge de la rançon. On retrouve finalement ici le même traitement que concernant les assurances enlèvement. Les assurances, contrairement aux autorités étatiques, encouragent donc les entreprises à céder aux extorsions, car elles considèrent que les coûts liés à la perte d’exploitation en cas d’indisponibilité du SI sont supérieures au montant de la rançon. Concernant la couverture de la perte de chiffre d’affaire, seules deux compagnies d’assurances annoncent la couvrir en ces termes dans leur offre (AxA et Hiscox). Certaines couvertures proposées par les assurances soulèvent certaines questions de légalité. Par exemple, les amendes sont assurables aux Etats-Unis, mais la question n’est pas encore réellement tranchée en France. Cela n’empêche pas de nombreuses polices de proposer la couverture de celles-ci, bien que certaines précisent que la couverture est possible « si la loi l’autorise ». L’objectif premier des assurances cyber, on le voit avec la mise à disposition d’équipes techniques, juridiques, de relations publiques et de négociation en cas d’extorsion, est bien entendu de mitiger au maximum les conséquences d’une cyberattaque. Cela passe notamment par la remise en service la plus rapide possible du système d’information atteint. Ceci constitue une nette innovation dans la gestion de risques pour les petites entreprises, a priori démunies contre ce nouveau type d’atteintes. D. Les exclusions de garantie Concernant les exclusions de garantie, se pose la question de la définition de l’assuré et du tiers. En principe, la qualité d’assuré comprend la société souscriptrice, ses représentants légaux, ses filiales ainsi que ses préposés agissant en cette qualité, c'est-àdire les employés. 40 L’article 121-2 du code des assurances dispose que l’on ne peut pas exclure une garantie « en fonction de la nature ou de la gravité du dommage causé par les personnes dont l’assuré est responsable ». Autrement dit, si les dommages causés par les employés sont couverts, alors ils le sont que la faute soit de nature intentionnelle ou non. Il est néanmoins possible d’exclure la faute intentionnelle de la société souscriptrice et de ses représentants légaux. Ainsi, les actes de malveillance interne sont censés être couverts. Il faut à se sujet noter que le salarié peut également constituer un tiers. Le salarié en tant que personne physique peut se retourner contre l’entreprise en cas de fuite de ses données personnelles. Et comme une entreprise possède nécessairement des données personnelles de ses employés au sein de son système d’information, ce cas de figure est loin d’être théorique. Il faut quoi qu’il en soit être particulièrement attentif aux formulations des cas de couverture ou d’exclusion. En effet, les produits d’assurances cyber ont fortement tendance à mêler des formulations de faits générateurs très vagues et d’autres très précis. Les formulations vagues donnent lieu à des difficultés tant les interprétations peuvent être multiples. Il y a ainsi une difficulté entre la volonté pour les assureurs d’être intelligibles dans les termes choisis au sein des offres, et la nécessité de lever toute ambigüité, de préférence évidemment avant la survenance d’un sinistre. Il faudra notamment s’intéresser à : - La distinction entre malveillance et négligence. - La définition retenue de la définition des prestataires de services informatiques Rappelons, en outre, qu’au titre des exclusions de garantie : l’article L 121-7 du code des Assurances permet d’exclure l’assurance du vice propre de la chose assurée. Autrement dit, on pourrait exclure toute faille informatique, si l’on considère qu’elles constituent une erreur de programmation et ainsi un vice propre à l’environnement logiciel du système d’information. 41 E. L’évaluation des risques et les exigences des assureurs Les assureurs se renseignent sur les candidats à l’assurance à l’aide de questionnaires de souscription. Ces questionnaires visent notamment à déterminer le niveau de dépendance de l’entreprise à son système d’information ainsi qu’à évaluer les pertes d’exploitation en cas d’indisponibilité de celui-ci. La visite sur site reste rare. Si les assureurs exigent une étude de la sécurité et du risque, elles ne demandent pas d’évaluation sur site « dans 99% de cas» d’après Mark Greisiger, président de NetDiligence (une entreprise spécialisée dans l’évaluation du risque informatique pour assureurs et courtiers). Ces évaluations sont généralement réalisées à la demande du client, ou lorsqu’il requiert un montant de garantie particulièrement élevé. Les assureurs apprécient les certifications, notamment ISO 27001, ISO 27005 et PCI DSS25 mais cela ne peut que jouer en la défaveur des plus petites sociétés pour lesquelles le coût de ces certifications est prohibitif. F. L’accompagnement dans la sécurisation et la mise à disposition d’experts Face à la difficulté pour les PME de se protéger contre un risque qu’elles maîtrisent mal, plusieurs sociétés d’assurance ont fait le choix d’accompagner leurs clients dans leur démarche de sécurisation en s’associant avec des sociétés de service informatique spécialisées dans la cybersécurité. On peut citer par exemple l’exemple d’Axa avec Cassidian Cyber Security, ou d’Allianz avec Thalès. Ce partenariat permet d’inclure, notamment, prestations en aval et en amont des incidents cyber à l’offre d’assurance : - En prévention des attaques : l’audit du site et la sécurisation - A la suite d’une attaque : mise à disposition d’une équipe afin de résoudre l’incident et de récolter les preuves (forensic). 25 Payement Card Industry Data Security Standard, normes de sécurité pour la protection des données de compte établies par le PCI SSC. 42 Cette sécurisation a priori a un impact qui va au-delà de l’évitement d’une éventuelle future atteinte. Dans un jugement du 21 février 2013, le tribunal de grande instance de Paris a considéré que l’absence de protection efficace de l’accès à la base de données personnelles de la société Sazenza la rendait responsable de son préjudice subi à hauteur de 30%26. Cette solution est similaire à celle retenue par le tribunal de grande instance de Créteil en date du 23 avril 2013 : si le responsable d’un système d’information ne sécurise pas celuici contre les intrusions, le délit d’accès et de maintien frauduleux au sens de l’article 323-1 et suivants du code pénal n’est pas constitué. En conclusion, on peut considérer que les garanties offertes par les assurances sont globalement pertinentes, mais qu’elles souffrent encore d’incertitudes et de manque de clarté pour être appréhendées par les plus petites structures qui ont davantage de difficulté à déterminer avec précision les risques d’un domaine qu’elles maîtrisent mal. D’autre part, il reste très difficile d’évaluer les montants associés aux pertes s’agissant des dommages immatériels, contrairement aux risques matures pour lesquels il est aisé de le faire. Cependant, on ne peut que féliciter les approches pluridisciplinaires employées par plusieurs compagnies d’assurances, qui n’hésitent pas à accompagner le client en aval et en amont dans le traitement du risque cyber. Au-delà de l’efficacité financière d’une souscription à une police d’assurance cyber, cette dernière a quoiqu’il en soit le mérite d’enclencher une démarche qualité au sein de l’entreprise souscriptrice vis-à-vis de ces nouvelles menaces. Il semble toutefois nécessaire de rappeler le caractère cyclique du marché de l’assurance. Nous sommes en effet dans un état d’incertitude, en particulier du fait de législations et de jurisprudences qui sont amenées à évoluer dans un domaine naissant. 26 http://www.leclerelouvier-avocats.com/actualites/Protegez-vos-donnees-ou-le-juge-ne-vous-protegera-pas 43 On peut rappeler qu’en 2002, sous le double effet de la loi Kouchner et de l’arrêt Perruche, le marché de l’assurance « Responsabilité Civile Médicale » des cliniques privées a vu le retrait de la majorité de ses acteurs 27. 27 http://www.audit-des-assurances.com/management-du-poste-assurance-changer-pour-de-meilleures-conditionset-un-meilleur-prix.html 44 III. Amélioration de la perception cyber à travers l’accessibilité cognitive Nous devons tenter de dépasser les blocages des utilisateurs, principaux acteurs de la sécurité, en améliorant leur perception cognitive de l’environnement cyber qui est le leur. Pour ce faire, nous devons clarifier la représentation visuelle des outils de sécurité. Ceci est en premier lieu au bénéfice des experts, mais cette innovation pourra être étendue à terme au grand public. A. Visualisation du cyberespace et perception de situation La complexité et la taille du cyberespace dans sa dimension technique le rendent particulièrement difficile à se représenter. Il est composé de multiples couches, correspondant à différents niveaux d’abstraction. Afin d’assurer la sécurité des réseaux dont ils sont responsables, les administrateurs système utilisent des outils de surveillance de ces multiples couches du cyberespace. Ces derniers n’apportent généralement pas une visualisation explicite de l’environnement virtuel qui approcherait la représentation cognitive du cyberespace que peuvent s’en faire leurs utilisateurs. Pourtant, pour une prise de décision efficace, il est nécessaire d’avoir la compréhension de l’environnement et de son fonctionnement. Le processus d’organisation cognitive de ces éléments s’appelle la perception. Il semble donc qu’il y a un véritable besoin de faciliter la représentation du cyberespace auprès des utilisateurs. C’est un travail qui concerne tout autant la technique que les sciences cognitives, et à ce titre il nécessite de faire travailler ensemble des experts de ces domaines respectifs afin d’aboutir à des modèles de représentation qui ne manqueront pas d’être repris par les éditeurs de logiciels. 45 Il serait faux de dire que le domaine de la représentation visuelle ait été éclipsé par les éditeurs, cependant celle-ci semble plus souvent mise en avant à des fins marketing que dans l’idée d’être exploitable et exploitée. Ainsi, de nombreux acteurs ont mis en ligne des cartes de visualisation des cyberattaques (Kaspersky, Norse, FireEye, pour ne citer qu’eux). Ces différentes cartes ne sont malheureusement pas exploitables ; Elles servent à illustrer auprès des clients potentiels les technologies qui permettent de faire fonctionner ces cartes en détectant les cyberattaques. Elles pourraient cependant constituer ce qu’on imaginerait être le niveau le plus macro d’un outil qui intégrerait différents niveaux de granularité. Certains peuvent craindre qu’une amélioration de la perception de l’environnement cyber puisse être utilisée à des fins offensives, et ainsi ne ferait qu’accélérer une coûteuse course à l’armement cyber. Cependant, à connaissance égale des vulnérabilités, cette visualisation bénéficierait davantage à la cybersécurité car la défense est évidemment la première à avoir la main sur les systèmes à protéger. 46 1. Visualisation d’information et théorie cognitive Le domaine de la visualisation d’information a émergé « à partir des recherches dans des disciplines telles que l’interaction homme-machine, les sciences informatiques, le graphisme, le design, la psychologie et les méthodes commerciales »28. Elle permet la représentation d’informations abstraites afin de renforcer la cognition humaine. Pour les créateurs de l’outil VisAlert 29, l’interface d’un IDS (Intrusion Detection System) devrait être aussi proche que possible de la représentation cognitive de l’utilisateur afin de rendre sa compréhension plus rapide et plus précise. En ce sens, la visualisation d’information fait partie de l’ergonomie. On la voit d’ailleurs d’autant plus fusionner avec cette notion avec la démocratisation des smartphones et autres tablettes qui bénéficient des écrans tactiles. On réalise avec ceux-ci la combinaison entre le visuel et la fonction sous-jacente. Difficile de parler de la mise en avant de l’ergonomie dans l’informatique sans parler de la stratégie derrière le design des produits Apple. Afin de faciliter leur utilisation et leur prise en main, des efforts considérables ont été mis dans la conception des produits, afin de les rendre « intuitifs », c'est-à-dire permettre une compréhension immédiate du fonctionnement de l’outil en vue de son utilisation. Et pour arriver à ce résultat, il faut non seulement créer un système suivant une logique universellement ou quasi-universellement partagée, mais également s’assurer d’afficher les étapes commandées par l’utilisateur selon la représentation cognitive qu’il s’en fait. Il est rarement possible de représenter l’intégralité des informations que l’on souhaite transmettre en un seul visuel : l’humain ne peut interpréter de son champ de vision qu’un nombre limité de types distincts d’objets. La solution est de représenter les informations selon différents niveaux de granularité. Il est nécessaire de prendre en compte le pourcentage non négligeable d’individus atteints d’une forme quelconque de daltonisme, presque 10% pour les hommes, lors des choix de 28 Benjamin B. Bederson et Ben Shneiderman, The Craft of Information Visualization : Readings and Reflections, 2003, Morgan Kaufman 29 http://digital.cs.usu.edu/~erbacher/publications/VisAlertCGA2006.pdf 47 code couleur comme attribut de visualisation. Eviter alors l’utilisation du rouge et du vert, couleurs concernées par la forme la plus courante de daltonisme, semble judicieux. Certains experts estiment qu’un outil de visualisation devrait éviter la troisième dimension30 car la perspective prive celui-ci de l’efficacité de certains attributs de visualisation, notamment la taille des objets représentés. Cette taille peut alors servir à indiquer la sévérité d’un évènement sans avoir recours à une couleur vive que tous ne peuvent pas distinguer. La théorie de l’intégration des attributs d’Anne Treisman détermine quatre principales caractéristiques des objets qui sont identifiées avant d’être traitées à un niveau conscient : 30 - La couleur ; - La forme ; - L’orientation ; - Le mouvement. Jay Jacobs, Bob Rudis, Data-Driven Security, 2014 48 2. Sources de données nécessaires à la visualisation du cyberespace Nature des éléments En premier lieu, il s’agit de la nature et des caractéristiques des équipements, premières caractéristiques qui permettent de définir les éléments constitutifs d’un réseau. Ils constituent ainsi l’ossature de toute représentation du cyberespace. Il est d’ailleurs possible de trouver des cartographies efficaces en dehors des outils dédiés à la sécurité : Cartographie du réseau local d'une box Numéricable Ce schéma réseau, généré automatiquement par le modem représenté au centre, indique d’une façon intelligible les éléments du réseau local qu’il détecte, ainsi que les liens réseaux. 49 Evènements réseau Le second type de données nécessaire est constitué des évènements réseaux, qui sont recueillis dans les logs, ou journaux d’évènements. Les évènements sont analysés par un SIEM (Security Information and Events Management), qui gère et corrèle les logs à la recherche d’une cause commune aux évènements recensés. La majeure partie des outils actuels de sécurité présentent leurs résultats sous forme de rapports et de tableaux de bord. Il existe encore aujourd’hui un problème de diversité des formats de logs, qui alourdit la tâche de centralisation et de corrélation. L’organisation américaine à but non lucratif MITRE travaillait sur un programme de standardisation de ceux-ci, appelé Common Event Expression. Malheureusement, du fait des changements de priorités décidés par leur soutien financier (le gouvernement étatsunien), ce dernier a mis fin à ce projet 31. Cette diversité n’est pas un élément réellement bloquant, mais cela contribue comme toujours à alourdir le coût du développement de ces outils. Malheureusement, dans l’informatique comme dans tous les autres domaines, le processus de standardisation est un travail qui se compte en années. 31 https://cee.mitre.org/ 50 B. Un potentiel à exploiter Il semble que de nombreux outils de sécurité souffrent de report d’informations ne s’attachant pas suffisamment à la présentation efficace de l’information. Il ne s’agit en aucun cas de dénigrer ceux-là. Le premier outil présenté est d’excellente facture, et extrêmement puissant. Pourtant, le même niveau de qualité ne se retrouve pas dans l’art de transmettre avec rapidité et efficacité les résultats de ses travaux. 1. La visualisation statique Visualisation de rapport Nessus est un scanner de vulnérabilité, c'est-à-dire qu’il est un programme conçu pour identifier les vulnérabilités dans une application, un système d’exploitation ou un réseau. Un rapport de vulnérabilité de Nessus 5, résultat du scan d’un réseau domestique Bien que l’outil à l’origine de ce rapport soit capable de détecter un grand nombre d’informations à travers ses scans, il est perfectible dans sa présentation des résultats, au détriment de la rapidité d’interprétation de l’utilisateur. 51 Par exemple, il est capable de déterminer quel système d’exploitation fonctionne sur chaque hôte recensé. Il sait également reconnaître quel est le type d’équipement sondé. Ces informations pourraient être facilement représentées sur cet écran afin de permettre de savoir rapidement à quelle ligne correspond quel équipement. Résultat de la sonde d’identification du système d’exploitation de l’hôte ciblé. On peut ainsi imaginer introduire davantage d’informations au niveau macro sans pour autant surcharger l’affichage. Cela accélère en outre le lien entre réalité physique et réalité cyber. Le même rapport de vulnérabilité, agrémenté d’icônes permettant d’identifier le type d’équipement (routeur, tablette, machines virtuelles, imprimante, ordinateur physique) et le type de système d’exploitation (Unix, iOS, XP, Seven) à partir des résultats des sondes. Idéalement, on souhaite fournir autant d’informations que possible, sans tomber dans une surcharge visuelle qui nuirait à celle-ci. 52 Visualisation statique du cyberespace Il existe aujourd’hui de nombreux outils qui permettent de scanner un réseau et d’en dresser une carte intelligible, et ceci d’autant plus que le réseau est de taille modérée (ce qui est a priori le cas du réseau d’une petite entreprise). Nous pourrions ainsi imaginer l’alliance des fonctionnalités d’un détecteur de vulnérabilité avec celles d’un générateur de carte du réseau, afin de mettre en lumière au premier coup d’œil les éléments vulnérables. Cette proposition sera redéveloppée au cours de la dernière partie « Outil d’aide à la décision cyber à l’attention des TPE/PME ». 10-Strike Network Diagram 53 2. De la visualisation statique à la visualisation dynamique Le passage à la visualisation dynamique, c'est-à-dire la mise à jour en quasi temps réel d’une représentation du cyberespace avec les évènements l’affectant permettrait d’accéder à ce qui est nécessaire à la prise de décision : la perception de situation. Une équipe de chercheurs de l’University of Utah et de l’Utah Stat University a présenté au sein d’un article de l’IEEE Computer Society VisAlert 32, un outil potentiel de visualisation du réseau développé suivant une approche pluridisciplinaire : architecture, psychologie cognitive et sciences informatiques. Ces travaux ont donné naissance à un projet d’outil représentant le réseau en deux dimensions et présentant celui-ci sous trois axes : « Quoi, Quand, Où ? ». Les éléments du réseau sont présentés au sein du disque intérieur, alors que les évènements, classés par type, sont présentés sur les cercles extérieurs par ordre chronologique. Le cercle d’évènements le plus proche du centre est celui du moment actuel ; les évènements reportés par celui-ci sont reliés par des faisceaux aux éléments du réseau auxquels ils correspondent. Cet outil centraliserait ainsi les informations de sécurité pour obtenir une vision claire du réseau, par exemple en s’interfaçant avec un logiciel SIEM (Security Information and Events Management). 32 http://digital.cs.usu.edu/~erbacher/publications/VisAlertCGA2006.pdf 54 VisAlert – Concept VisAlert – Illustré en situation L’outil reporte des alertes de type Snort (en bleu) et évènement Windows (en orange). Ici, l’attaquant tente d’accéder à un système vulnérable, tout en sondant intensivement un autre système afin de détourner l’attention de la cible réelle. 3. De la visualisation dynamique à l’interaction avec le cyberespace Une fois obtenue la visualisation en temps réel du cyberespace, on peut travailler à rendre toute aussi intuitive l’interaction avec celui-ci. C’est précisément ce sur quoi travaille depuis quelques années la DARPA. Initié durant l’été 2012, le projet Plan X de la DARPA (Defense Advanced Research Projects Agency) vise à développer des technologies capables, au-delà de la seule protection de ses propres systèmes, de lancer des attaques sur les systèmes ennemis. L’un des objectifs du projet est de créer une carte interactive et mise à jour en temps réel de l’ensemble du cyberespace. Comme le projet CIAP33, l’architecture du système doit permettre à celui-ci de s’alimenter d’un grand nombre de données de différents types afin d’établir la cartographie. La diversité des données envisagées par les concepteurs est telle que l’on imagine la 33 Voir annexe 1 : Systèmes de visualisation du cyberespace 55 difficulté à laquelle seront confrontés les chercheurs s’agissant de permettre une visualisation claire du cyberespace. A ceci, il faut rappeler que l’interface devra également représenter les possibilités d’interaction avec l’environnement, qui représentent un enjeu majeur du projet et qui seront nécessairement tout aussi diverses. Ces interactions doivent permettre de mener des actions aussi bien défensives qu’offensives. Le produit final se devra d’être particulièrement intuitif : il n’est pas à l’unique destination des experts en sécurité. L’objectif de la DARPA est d’être en mesure d’offrir un outil accessible à un grand nombre de cybercombattants, n’ayant reçu qu’une formation cyber minimale : il s’agit de créer l’outil du cybersoldat qui puisse être aussi accessible que le fusil pour le soldat conventionnel. Récemment34, la DARPA a indiqué vouloir intégrer l’Oculus Rift à son système. Il faut cependant garder à l’esprit que l’Oculus Rift engendre une forte fatigue visuelle qui empêche l’utilisation prolongée du dispositif (à ce sujet, notons que la vidéo de démonstration de la Darpa ne fait que renforcer cette présomption). Ceci implique qu’un tel dispositif ne serait adapté qu’à des missions offensives reposant sur le lancement d’attaques entièrement prédéfinies (fonctionnalité prévue dans le Plan X). En effet, l’utilisation de l’Oculus Rift dans le cadre d’une mission de surveillance aurait pour conséquence de multiplier les ressources humaines nécessaires. La surveillance du réseau s’effectuera ainsi plus probablement sur d’autres supports, comme par exemple les tablettes holographiques35, dont l’intégration au sein de Plan X est en cours d’expérimentation par la DARPA. 34 http://www.wired.com/2014/05/darpa-is-using-oculus-rift-to-prep-for-cyberwar/ http://www.defense.gov/news/newsarticle.aspx?id=122455&utm_content=buffer387d7&utm_medium= social&utm_source=twitter.com&utm_campaign=buffer 35 56 Proof-of-Concept - Plan X sous Oculus Rift Cet outil en cours de création illustre parfaitement l’importance de la visualisation dans l’accessibilité des problématiques cyber au plus grand nombre. Conscients qu’il leur sera difficile de préserver une supériorité sur le cyberespace sur le long terme si le nombre d’experts en sécurité est un facteur limitant de puissance, les Etats-Unis misent sur une technologie qui abaisse le pré requis en termes de niveau de formation. 57 IV. Un outil à la décision à destination des TPE/PME Avant de rentrer dans le vif du sujet, il est important de préciser le terme « d’aide à la décision ». Il est aujourd’hui très souvent utilisé dans le cadre de l’informatique décisionnelle, généralement à des fins d’aide aux choix de type stratégique à l’aide d’outils de type OLAP36. Nous retiendrons au contraire la définition la plus stricte de l’aide à la décision. Celle-ci, aussi appelée recherche opérationnelle, est l’ensemble des techniques permettant d’opter pour la meilleure prise de décision possible. Il s’agira ici tout particulièrement d’offrir à un non-expert les informations essentielles à la sécurisation de son système d’information. S’agissant des logiciels de sécurité informatique, nous pouvons établir la distinction suivante : - Les logiciels qui agissent automatiquement une fois installés sur le système et ne demandent pas ou peu de supervision par l’utilisateur : c’est le cas des antivirus et des pare-feu. - Les logiciels qui sont destinés spécifiquement aux professionnels de la sécurité informatique : les détecteurs de vulnérabilité, les IDS et IPS, les SIEM, les SOC, etc. Voici de nombreuses années qu’est annoncée la mort des logiciels antivirus. Cette annonce, exagérée, est due au changement de paradigme en termes de menaces cyber. La première fonction d’un antivirus est d’analyser les fichiers à la recherche de marqueurs correspondant à la base de données référençant l’ensemble des malwares connus. Cette approche est bien sûr inefficace dans le cas d’une attaque ciblée contre un réseau, pour laquelle l’attaquant créé un code malveillant spécifique à sa cible : il n’y a alors que peu de moyens d’identifier en tant que tel ce malware (les antivirus récents intègrent, il est vrai, une analyse de l’approche comportementale, mais celle-ci reste malgré tout limitée). Pour autant, elle reste utile s’agissant de l’ensemble des menaces non ciblées. 36 http://fr.wikipedia.org/wiki/Traitement_analytique_en_ligne 58 Ainsi, la première catégorie de logiciels reste nécessaire, mais est insuffisante. Ceci pose un problème évident face à des utilisateurs démunis face aux outils de nouvelle génération, qui nécessitent un certain niveau d’expertise. Nous avons besoin de rendre accessibles ces outils afin de permettre aux plus petites entreprises un niveau de cybersécurité adapté aux nouvelles menaces. Partant du constat que les experts en sécurité sont onéreux et peu nombreux, alors que les petites entreprises constituent une multitude, la voie logicielle semble être celle à privilégier afin de renforcer leur sécurité. Il semble judicieux que cet outil combine tout à la fois : - les fonctionnalités d’un détecteur de vulnérabilités, afin de réaliser l’audit de sécurité et de protéger le système informatique de façon préventive. - Les fonctionnalités d’un système de détection d’intrusions, afin de limiter l’impact des brèches - Une visualisation d’information évoluée telle que définie dans le précédent chapitre. - Un abord fortement pédagogique afin de permettre à un utilisateur technophile mais non formé de monter en compétences en cybersécurité : il doit tout autant être un manuel d’utilisation qu’un outil d’aide à la décision. Cet outil serait destiné tout particulièrement aux personnes dans l’entreprise qui ont la responsabilité de la gestion de l’informatique. Souvent, celles-ci n’ont pas de formation informatique, mais sont les personnes qui possèdent le plus de connaissance ou d’appétence pour le domaine et s’occupent de l’informatique à côté de leur fonction principale. Ils sont donc à l’aise avec l’informatique, sans pour autant avoir de connaissances poussées dans le domaine. Nous proposons ainsi la création d’un outil qui serait, dans sa partie technique, un système expert. Le système expert représente en effet la version logicielle de l’aide à la décision, car il reproduit les mécanismes cognitifs d’un expert de son domaine. Il est capable de répondre à des questions en mettant en relation faits et règles à l’aide d’un moteur d’inférence reposant essentiellement sur le syllogisme. 59 Il ne s’agit pas de remplacer des experts existants, mais bien d’offrir de façon accessible les bases de la sécurité à ceux qui n’ont ni la formation adéquate, ni les moyens financiers pour recourir à ces experts. A. Les capacités des outils libres disponibles Les scanners de vulnérabilités sont capables, en plus de détecter lesdites vulnérabilités, de proposer des solutions à destination des utilisateurs expérimentés. Vulnérabilité SSH sur une Neuf box V4 (rapport de Nessus 5) L’outil nous informe de deux vulnérabilités SSH connues affectant notre box (une vulnérabilité à une attaque de type DoS et une vulnérabilité permettant d’énumérer les utilisateurs). La solution proposée est de mettre à jour le serveur SSH à la version 2013.59 ou à une version plus récente. Ceci est difficilement exploitable pour le béotien, tout au plus peut-il comprendre qu’il y a un logiciel à mettre à jour sur l’équipement. Ce type d’équipement étant censé se mettre à jour automatiquement, il n’y a en réalité pas grand-chose à faire côté utilisateur, mis à part contacter l’opérateur pour demander une mise à jour du firmware (logiciel intégré au matériel), soit demander un équipement encore maintenu par le constructeur, c’est à dire à jour des failles de sécurité connues. 60 Il faut noter que les détecteurs de vulnérabilité sont d’autant plus efficaces qu’ils sont installés directement sur le poste à examiner. Ainsi, il aura pu identifier 165 vulnérabilités sur la machine virtuelle hébergeant le logiciel, contre moins de 50 en moyenne pour les autres postes du réseau. Détection de l’absence d’une mise à jour critique d’un navigateur, permettant à un site infecté d’exécuter du code malveillant avec les privilèges de l’utilisateur (rapport de Nessus 5) Il serait ainsi préférable que le logiciel que nous proposons ait vocation à être installé sur l’ensemble du parc informatique, afin de procéder à un audit de sécurité permanent le plus exhaustif possible. B. L’aide à la sécurisation Un tel outil doit reprendre à son compte toutes les capacités d’un scanner de vulnérabilités. L’outil doit, après analyse du système d’information, remonter des suggestions selon plusieurs axes : Les points de vulnérabilité spécifiques: - L’absence de protections de type antivirus sur des postes utilisateurs ; - L’absence de firewall ou l’ouverture de certains ports non utilisés ; 61 - La détection de smartphone « rootés » ou « jailbreakés»37 ; - L’utilisation de solutions de sécurité obsolètes, comme par exemple l’utilisation du protocole de chiffrement WEP (qui, rappelons-le, est « cassable » en l’espace de quelques secondes avec les logiciels appropriés) ; - Le retard dans la mise à jour des logiciels, à la fois sur les postes utilisateurs et sur les serveurs/routeurs. Rappelons à ce sujet que selon un sondage F-Secure de 2013, 41% des PME ne maintiennent pas régulièrement à jour leur parc logiciel. Les caractéristiques de l’architecture qui représentent un risque particulier : - La détection de PoS connectés via un réseau commun au reste du système d’information devrait entraîner la notification par le système, d’autant plus si la liaison employée est de type Wi-Fi. Ces listes sont bien entendu non-exhaustives. Cette première fonctionnalité devrait bénéficier d’un système de visualisation de l’environnement réseau audité, tel que définit dans le précédent chapitre. Cela nous permet d’introduire une autre fonctionnalité à y associer : l’identification et la définition comme telles par l’utilisateur des données les plus sensibles et des équipements qui les hébergent. Cette identification intuitive permettrait d’intégrer un système DLP (Data Leak/Loss Prevention) : ce type de système surveille tout particulièrement les données classées comme sensibles et relève une alerte en cas de comportement suspect les affectant. 37 Le “root” d’un téléphone est un procédé visant à modifier le système d’exploitation de l’appareil afin d’en obtenir un contrôle total. Il est populaire parmi les utilisateurs avancés, qui souhaitent pouvoir d’une part supprimer les logiciels installés par l’opérateur et d’autre part pouvoir installer sans restriction les logiciels de leur choix. Ceci conduit à une plus grande vulnérabilité du téléphone vis-à-vis des logiciels malveillants. 62 C. L’aide à la réaction en cas de brèche Quel que soit le niveau de cyberprotection, il existe toujours un risque d’attaque réussie à l’encontre du système d’information de l’entreprise : cela pourra être dû à une faille logicielle zero-day, ou à l’obtention d’un compte administrateur. Comme les solutions traditionnelles de sécurité informatique basées sur l’empreinte de code malicieux recensé sont inefficaces face à une attaque ciblée, est apparue une nouvelle génération de logiciel de sécurité : les IDS. Ceux-là permettent d’identifier les comportements suspects d’un système d’information, en analysant les journaux d’évènements se produisant sur les équipements (HIDS, pour host-based) ou le trafic en certains points du réseau (NIDS, pour network-based). Ainsi capable de détecter une éventuelle attaque, on peut en prévenir l’utilisateur et s’assurer que le nécessaire est fait afin de réduire les impacts de l’attaque. En effet, la rapidité et l’efficacité de l’action est capitale. La première action à effectuer est l’isolation des éléments compromis afin de confiner la menace et d’éviter : - la propagation de l’infection, - l’exfiltration de données. Le problème peut également être pris à l’envers, et on peut faire le choix de conserver la disponibilité du réseau et d’isoler les éléments sensibles, infectés ou non. On évite ainsi la fuite de ces informations, voire leur intégrité pour peu que l’infection ne comprenne pas de chiffrement de données en vue d’une demande de rançon. Bien sûr, si la machine infectée est un serveur, il peut être préférable de la laisser accessible, notamment si elle offre un service important pour le fonctionnement de l’entreprise tout en n’étant pas l’hôte de données sensibles. C’est l’une des raisons pour laquelle la prise de décision finale doit reposer entre les mains de l’humain (pour autant, on peut imaginer un logiciel prenant en compte la localisation des données sensibles, avec pondération, dans l’optique d’aide à la décision). D’autre part, il faut mettre en garde l’utilisateur contre certains réflexes contre-productifs, notamment si l’on a prévu de faire appel à une CERT : l’extinction d’un ordinateur infecté 63 est susceptible de faire disparaître des informations stockées en mémoire relatives au fonctionnement du malware, qui sont précieuses pour les experts. Le bon comportement doit être de débrancher physiquement le câble réseau. D’un point de vue juridique, il est évidemment préférable de tout faire pour conserver les preuves. Ainsi, il ne faut pas céder au réflexe du formatage des disques durs, ceux-ci étant l’un des premiers éléments de preuve. Le CERT-FR, centre d’expertise gouvernemental de traitement et de réponse aux attaques informatiques, anciennement appelé CERTA, a publié un guide des bons réflexes38 en cas d’intrusion sur un système d’information. D. Accessibilité et pédagogie L’accessibilité et la pédagogie doit être au cœur de la réalisation de l’outil, et en cela les sciences humaines devraient être impliquées à chaque étape. Chaque notification de l’outil doit être apportée de la façon la plus intelligible qui soit. Les notifications doivent faire l’objet de documentation associée à chaque terme employé, ainsi qu’à chaque concept. Cette documentation doit permettre d’augmenter le niveau de connaissance de ses utilisateurs. Celle-ci doit en outre aiguiser la curiosité de l’utilisateur, et l’inciter à la parcourir. On peut imaginer une incitation commune dans le domaine des jeux vidéo : la notion de gratification instantanée, par l’évaluation de l’utilisateur en fonction de ses accomplissements. La confrontation régulière à des notifications qui conduisent à une mise en pratique d’informations concrètes constitue un terrain particulièrement adapté à l’apprentissage. 38 http://www.cert.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html 64 Il serait en effet bien plus coûteux de s’employer à tenter de former, par voie traditionnelle, la multitude de petites entreprises au niveau de sécurité qu’offrirait ce système, d’autant que celui-ci aurait par essence une nature pédagogique E. Une maintenance constante de l’outil par l’équipe de développement Un tel outil nécessite un développement continu afin de rester efficace, pour les mêmes raisons que le sont les détecteurs de vulnérabilité : il faut tenir à jour la base de vulnérabilité de l’outil et les techniques de détection. 65 Conclusion Ainsi, après une étude exploratoire et prospective pour chercher des solutions innovantes aux nouvelles cybermenaces, on réalise à quel point il est important de trouver des solutions transversales dans lesquelles l’interdisciplinarité est de mise, d’autant que comme nous l’avons vu, la sécurité repose autant sur l’humain que sur la technique. Il existe déjà plusieurs axes pour tacler le problème, que sont l’approche de management du risque avec son corollaire : le transfert du risque résiduel aux assurances, qui tendent elles-mêmes vers des offres de plus en plus globales de la sécurité. A ceci s’ajoutent une sensibilisation toujours plus accrue de l’ensemble des acteurs, et dans le futur, nous l’espérons, l’émergence de nouvelles solutions logicielles qui mêleront sciences informatiques et sciences humaines. La mise en réseau de tous les acteurs du système, associés au cyberespace, impliquera la seule réponse possible : la réponse systémique, systématique et créative. 66 Glossaire ANSSI39 : Agence Nationale de la Sécurité des Systèmes d’Information, créée par décret le 7 juillet 2009. Elle assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État. APT (Advanced Persistant Threat) : Procédé d’infiltration de systèmes informatiques, caractérisé par une grande furtivité et par conséquent une réalisation très tardive par la victime. Ce type de menace requiert l’emploie de nombreuses techniques sophistiquées, et suppose une surveillance continuelle de la cible. Botnet : Réseau d’ordinateurs qualifiés de zombies. Les ordinateurs le constituant ont préalablement été infectés par un malware qui donne un contrôle à un tiers illégitime (parfois l’auteur du malware), afin de mener des cyberattaques ou d’utiliser la puissance de calcul de l’ordinateur. BYOD (Bring Your Own Device) : En français « AVEC : Apportez Votre Equipement de Communication » : Pratique qui consiste à utiliser ses équipements personnels dans un contexte professionnel. CERT (Computer Emergency Response Team) : Centre d’alerte et de réaction aux attaques informatiques. Chiffrement : Procédé cryptographique ayant pour but de rendre la compréhension d’une information impossible à toute personne ne possédant pas la clé de déchiffrement. Cloud Computing : Aussi appelé « Informatique en nuage », il désigne un ensemble de processus qui consiste à utiliser la puissance de calcul et/ou de stockage de serveurs informatiques distants à travers l’Internet. Cyber : préfixe issu du grec kubernân (gouverner), indiquant le rattachement aux réseaux informatiques. Cyberattaque : acte malveillant désignant une attaque de nature informatique. 39 http://www.ssi.gouv.fr/fr/anssi/ 67 Cybercrime : Infraction pénale susceptible de se commettre sur ou au moyen d’un système informatique, généralement connecté à un réseau. Cybersécurité : Etat recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense Définition de l’ANSSI DLP (Data Loss/Leak Prevention) : Ensemble de techniques de protection contre la fuite de données informatiques, qui prennent généralement la forme d’un système logiciel installé sur le réseau. DoS (Denial of Service) : Service rendu inaccessible. Cela peut faire suite à un accident (cause naturelle ou humaine) ou à une attaque. Faille zero-day : Vulnérabilité informatique qui n’a pas encore fait l’objet d’un correctif approprié par le fournisseur du produit. Firmware : Logiciel embarqué dans un matériel informatique permettant son fonctionnement. IDS (Intrusion Detection System) : Système de détection d’intrusion. Logiciel de sécurité destiné à repérer les activités anormales ou suspectes sur la cible analysée. La cible peut être un hôte (HIDS) ou un réseau (NIDS). IPS (Intrusion Prevention System) : Système de prévention d’intrusion. Logiciel de sécurité similaire aux IDS, à ceci près qu’il tente de bloquer les attaques repérées. Malware : Logiciel malveillance développé dans le but de nuire à un système informatique. Phishing : Technique d’ingénierie sociale qui consiste en la manipulation d’un d’individu en vue de révélation d’informations confidentielles. Ransomware : Logiciel malveillant qui tente de prendre en otage des données personnelles, généralement par le biais d’un chiffrement de ces dernières. Le propriétaire doit alors payer une rançon afin de pouvoir récupérer ses données. Risque : Combinaison d’une menace et des pertes qu’elle peut engendrer. 68 SaaS (Software As A Service) : Applications en ligne, accessibles depuis n’importe quel ordinateur. Il en existe pour un grand nombre de finalité : relation client, ressources humaines, gestion d’entreprise, gestion de projet et bien entendu partage de documents. SIEM (Security Information & Event Management) : Logiciel de sécurité permettant la collecte et la correlation des évènements de sécurité (logs). SOC ou ISOC (Information Security Operations Center) : Division qui assure la sécurité d’une organisation. Elle gère les évènements de sécurité à un niveau technique et organisationnel et y répond. Vulnérabilité (informatique) : Faiblesse pouvant être exploitée afin de porter atteinte à l’intégrité d’un système informatique. 69 Bibliographie Ouvrages : MARTY R., Applied Security Visualization, Addison Wesley Professional, 2008 JACOBS J., RUDIS B., Data Driven Security, Wiley, 2014 Etudes universitaires : ALAU I., Les cyber-risques dans l’entreprise : enjeux et assurance, Institut des Assurances de Lyon, 2013 Lallement P., Cyber-Sécurité et PME : perception du risque, pratiques, besoins, Université de Technologie de Troyes, 2014 Foresti S., Agutter J., Livnat Y., Moon S., Erbacher R., Visual Correlation of Network Alerts, University of Utah et Utah State University, 2006 Ressources Internet : Site Internet de l’ANNSI : http://www.ssi.gouv.fr/fr/anssi/ Site communautaire sur la visualisation des informations de sécurité : http://secviz.org/ Site de l’observatoire du FIC : http://www.observatoire-fic.com/ Site de l’AMRAE : http://www.amrae.fr/ Site du Forum ATENA : http://forumatena.org/ Site du CECyF : http://www.cecyf.fr/ Wikipedia : http://en.wikipedia.org 70 Annexe 1 : Benchmark des assurances cyber en France en 2014 Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) Swiss RE Cyber Insurance • Services : - investigations forensic pour déterminer la cause, la gravité et l'étendue des brèches - notification des brèches et mise en place d'un centre d'appel pour les tiers - conseils juridiques et aide à la mitigation des ramifications juridiques - Mise à disposition d'experts en relations publiques et en gestion de crise • Couverture des coûts de défense et des amendes et pénalités si la loi l'autorise. • Couverture des tiers • Limite de 15.000.000 € Accord avec une ESN Non précisé Localisation Mondial sauf USA Entreprises acceptées Non précisé Entreprises refusées Non précisé Accord avec • Couverture des notifications des brèches et surveillance des crédits et de l'identité une ESN pour jusqu'à 5 millions d'individus. Limite distincte pour les demandes de tiers • Assistance forensic et juridique, couverture des coûts de notification, surveillance des crédits de chaque personne notifiée, service de prévention des pertes et services de résolution des fraudes liées aux vols d'identité Localisation • Pour les organisations qui doivent se conformer au HIPAA aux Etats-Unis, la Beazley couverture s'étend au vol, à la perte et aux divulgations non autorisées de la part des partenaires de l'organisation Breach Response Entreprises • Sous-limite pour la gestion de crise dans les relations publiques et pour les acceptées dépenses extraordinaire de notifications. • Limite séparée pour la responsabilité concernant la confidentialité, la sécurité réseau et les revendications des médias. Entreprises Règles spécifiques selon le pays (UK, US ou France) refusées 71 GFI Royaume-Uni, Etats-Unis, France Non précisé Non précisé Assureur Nom de l'offre BeazleyInformation Security & Privacy Contenu de l’offre (couvertures, services, limites, capacités) Privacy Liability : Accord avec une ESN • Couverture du vol d'information non-public personnellement identifiable dans les données informatiques et les copies imprimées, ainsi que la responsabilité du fait de l'échec à se conformer aux lois nationales de notification des brèches. • Couverture de l'echec à se conformer avec les mesures de confidentialité des assurés. Computer Information Security : Localisation • Couverture des tiers en réponse aux accès non-autorisés, aux vols ou à la destruction de données, des attaques DoS et des transmissions de virus impliquant les systèmes informatiques de l'assuré et résultant de brêches de sécurité de ces systèmes. Electronic Media Liability : Entreprises • Couverture du défaçage du site de l'assuré• S'étend à de nombreuses expositions acceptées liées à Internet, y compris les dommages de publicité qui ne sont pas couverts par de nombreuses assurances généralistes Couverture des pertes du fait des brêches de sécurité réseau : • Couverture optionnelle pour la destruction et la perte de données, les interruptions réseaux du business et l'extorsion cyber causées par l'échec de la cybersécurité Entreprises d'empêcher une brèche de sécurité. refusées 72 Mondial Mondial Non précisé Non précisé Assureur Nom de l'offre Zurich Cyber Security and Privacy Contenu de l’offre (couvertures, services, limites, capacités) Accord avec Type de risques : une ESN • Couverture en cas de prétentions en dommages-intérêts de tiers si des données personnelles ou des données sur l’entreprise ont été perdues ou rendues publiques • Couverture contre la violation involontaire de dispositions relatives à la protection des données • Prise en charge des frais de procédure et de défense • La couverture responsabilité civile inclut les prestataires externes et les fournisseurs dont vous êtes responsable Localisation • La responsabilité civile pour les médias Internet peut être assurée en option Couverture financière : • Frais consécutifs au vol ou à la perte de données (analyses juridiques, avocats et conseil PR) • Frais de notification aux clients imposés par la loi • Frais pour la reconstruction des données perdues ou détériorées et pour la Entreprises restauration et la réparation des logiciels endommagés acceptées • Perte de chiffre d’affaires résultant de cyber-attaques ou de la perte de données • Cyber-chantage Equipe spécialisée dans les cyber-attaques : • En cas de sinistre, votre entreprise est couverte dans le monde entier • Une équipe spécialisée d’avocats et de spécialistes informatiques vous soutient Entreprises dans l’analyse des risques (pre-breach), pendant le cas de sinistre et après une cyber-attaque (post-breach) refusées 73 Orange et Kroll Non précisé • PME Non précisé Assureur Nom de l'offre AIG CyberEdge Contenu de l’offre (couvertures, services, limites, capacités) Accord avec Caractéristiques : une ESN • Capacité de souscription de 25 millions d'euros allant jusqu’à 100 millions d'euros, y compris pour les établissements situés aux USA/CANADA Garanties : Localisation • Responsabilité Civile • Enquêtes et Sanctions Administratives • Gestion de Crise, dont notamment la couverture des frais d’expert, de frais de Entreprises notification… acceptées • Extensions : • - Interruption du réseau Entreprises - Garantie multimédia refusées - Cyber-extorsion Accord avec Couverture : une ESN • La responsabilité liée aux données • La restauration des données électronique (suite à une fuite ou une atteinte à la sécurité des données) • Les enquêtes administratives : frais liés à une enquête administrative ainsi que les Localisation AIG sanctions pécuniaires prononcées suite à une violation de la réglementation relative à la protection des données personnelles Pack Cyber PME• La gestion de crise : frais d'experts informatiques, coûts de notification, coûts de PMI surveillance, frais de consultant en relations publiques Entreprises • L'interruption du réseau : perte de résultat net (suite à une attaque DoS ou une acceptées atteinte à la sécurité du réseau) • La cyber-extorsion : remboursement de la rançon versée à des tiers qui menacent Entreprises de divulguer des informations confidentielles piratées via le réseau utilisé par le professionnel. refusées 74 Non précisé Non précisé • TPE, PME, grandes entreprises Non précisé Non précisé Non précisé • PME/PMI Non précisé Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) Couverture : • La responsabilité liée aux données Accord avec Non (experts en une ESN interne) • La restauration des données électronique (suite à une fuite ou une atteinte à la AIG sécurité des données) Localisation Non précisé • Les enquêtes administratives : frais liés à une enquête administrative ainsi que les • Pack Cyber Internet et sanctions pécuniaires prononcées suite à une violation de la réglementation relative à communication • Professionnels la protection des données personnelles • Pack Cyber de l'Internet et PME-PMI • La gestion de crise : frais d'experts informatiques, coûts de notification, coûts de de la • Pack Cyber communication surveillance, frais de consultant en relations publiques Professions Entreprises • PME/PMI réglementées acceptées • L'interruption du réseau : perte de résultat net (suite à une attaque DoS ou une • Professions • Pack Cyber réglementées atteinte à la sécurité du réseau) Professionnels de • Professionnels santé • La cyber-extorsion : remboursement de la rançon versée à des tiers qui menacent de la santé de divulguer des informations confidentielles piratées via le réseau utilisé par le professionnel. 75 Entreprises refusées Non précisé Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) AIG Dataguard Dommages matériels : • Garantie Tous Risques Sauf couvrant les dommages aux ordinateurs et équipements annexes sous contrat de maintenance informatique • Frais de reconstitution des données • Frais supplémentaires d'exploitation • Pertes d'exploitation consécutives Erreurs et accidents : • Frais de reconstitution • Frais supplémentaires d'exploitation • Pertes d'exploitation consécutives • Carence des fournisseurs Actes de malveillance : • Sabotage et vandalisme des systèmes • Fraude commise par tout moyen, y compris informatique (contrat DATA PROTECTOR) • Virus • Frais de reconstitution des données • Frais supplémentaires d'exploitation • Pertes d'exploitation ou perte d'activité bancaire consécutives • Carence des fournisseurs • Dépenses engagées pour restaurer l'image de la marque • Préjudices liés à une divulgation de données confidentielles (contrat DATA RISKS PROTECTION) • Pénalités 76 Accord avec Non (experts en une ESN interne) Localisation Non précisé Entreprises acceptées Non précisé Entreprises refusées Non précisé Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) Responsabilité médias : • Diffamation, dénigrement, publicité mensongère • Violation des droits d’auteur, des marques commerciales et des droits de publicité Atteinte à la vie privée : • Violation du droit à la vie privée ou au droit à l’image d’une personne • Procédures administratives ou réglementaires contre l’assuré • Divulgation d’informations personnelles non publiques • Absence de notification d’une divulgation potentielle Violation de la confidentialité : • Divulgation d’informations confidentielles de l’entreprise ou de secrets commerciaux • Absence de notification d’une communication potentielle Responsabilité liée à la sécurité des réseaux • Inaccessibilité pour un tiers d’accéder au réseau de l’Assuré • Dommages aux réseaux tiers • Pertes ou dommages occasionnés à des données tierces sur le réseau de l’Assuré CNA Europe Dépenses de relations publiques • Réaction face à une publicité négative ou défavorable ou à une communication des Cyber NetProtect médias Frais de notification des clients : • Notification des clients à la suite d’une violation de données Dommages cyber : • Restauration du réseau et des données de l’assuré suite à un accès non autorisé, à un virus informatique, à une attaque par déni de service ou à une erreur opérationnelle. Pertes d’exploitation et dépenses supplémentaires : • Pertes de revenus ou dépenses supplémentaires à la suite d’un accès non autorisé, d’un virus informatique ou d’une attaque par déni de service. Cyber-vol : • Pertes d’argent, de valeurs ou de marchandises de l’Assuré par vol électronique. Cyber-extorsion : • Extorsion de fonds subie par l’Assuré afin d’éviter des pertes ou des dommages occasionnés à son réseau, divulgation d’informations confidentielles ou dégradation de son site Web. 77 Accord avec une ESN Non précisé Localisation Non précisé Entreprises acceptées Non précisé Entreprises refusées Non précisé Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) XL E&O Insurance for Information Technology Capacité : jusqu'à 10 millions d'euros Couverture : Sous-limite pour les coûts de réponse à incident de l'assuré • Réponse rapide à incident • Analyses Forensic • Consulting juridique • Notification des tiers sujets des données • Centre d'appel/hotline et surveillance des crédits • Coûts du consulting en relations publiques • Surveillance des crédits pour les tiers sujets des données • Amendes et pénalités dues au non respect des obligations réglementaires Limitations du produit : jusqu'à 15 millions d'euros Allianz Cyber Protect Accord avec une ESN Non précisé Localisation Non précisé Entreprises acceptées Non précisé Entreprises acceptées Non précisé Accord avec Couverture : une ESN • Responsabilité due à la violation de données - pour les données personnelles et de l'entreprise • Coûts de la violation de données, y compris les coûts de notification • Responsabilité de la sécurité réseau - pour les attaques de hackers et les dénis de Localisation service. • Responsabilité du fait des médias, pour les publications digitales • Couverture des investigations réglementaires, pour les dépenses légales • Interruption de business causé par les violations de données et les cyberattaques Entreprises • Coûts de restauration des données et des programmes causés par des acceptées cyberattaques • Cybercrime - pour les transferts de fonds • Cyberextorsion - en cas de menace cyber Entreprises • Communication de crise, pour mitiger les dommages à la réputation refusées • Pertes dus au e-paiement, y compris les pénalités contractuelles 78 Thales / Lexsi / Solucom Non précisé Non précisé Non précisé Assureur Nom de l'offre Allianz Cyber Protect Premium Allianz Cyber Protect Premium Plus Contenu de l’offre (couvertures, services, limites, capacités) Accord avec une ESN Thales / Lexsi / Solucom Couverture supplémentaire avec des protections supplémentaires, comme Localisation Non précisé l'interruption prolongée du business Entreprises acceptées Non précisé Entreprises refusées Non précisé Accord avec une ESN Thales / Lexsi / Solucom Localisation Non précisé Entreprises acceptées Non précisé Entreprises refusées Non précisé Couverture sur mesure pour les besoins du client. L'équipe Cyber audit les systèmes de l'entreprise, afin d'identifier les éventuels manque à gagner de la couverture et de construire une offre adaptée aux spécificités de l'entreprise. 79 Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) Couverture de responsabilité face aux tiers : • Dommages liés à la divulgation, y compris les revendications d'accès non autorisés ou la dissémination d'informations privées. • Dommages liés au contenu, y compris les revendications liées à des violations de copyright et de protection de marque déposée. • Dommages à la réputation, y compris les revendications liées au dénigrement de produits ou de services, la diffamation ou la violation de la confidentialité. • Dommages par rebonds, y compris les revendications liées à l'échec de systèmes de sécurité qui conduisent à l'endommagement de systèmes tiers. • Dommages liés à la non disponibilité, y compris les revendications liées à l'échec de systèmes de sécurité provoquant la non disponibilité des systèmes de l'assuré à ses clients. Couverture des coûts pour l'assuré : • Coûts des notifications de la violation de confidentialité, même si la notification est Chubb volontaire de la part de l'assuré (avec des limites alternatives des pertes ou du nombre de personnes affectées au delà de la limite de couverture) CyberSecurity by • Coûts de gestion de crise, y compris le coût de l'assistance forensic et des Chubb consultants en relations publiques • Interruption de l'e-business, y compris la dépense supplémentaire du premier dollar • vol électronique et perte d'e-communication, étendus aux réseaux externes aux systèmes de l'entreprise (uniquement les risques sur les institutions financières) • Cybermenace, y compris le coût d'un négociateur professionnel et le paiement de rançon. • Coûts dus au Cybervandalisme, même si ce vandalisme est causé par un employé. Capacité d'endossement pour : • Dommages à la confidentialité, comprenant la couverture pour les revendications alléguant un accès non-autorisé potentiel ou avéré à des informations de personnes physiques, de même que l'information privée de tierces organisations • Coûts associés à la défense juridique, y compris les amendes, pénalités et recours des consommateurs associés à des accès non-autorisés potentiels ou avérés d'informations confidentielles. 80 Accord avec une ESN Mondial Localisation Mondial Entreprises acceptées Non précisé Entreprises acceptées Non précisé Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) Accompagnement avant et après la souscription : • Audit de la sécurité informatique de l'entreprise • Accès gratuit à la solution d'information globale sur la protection des données Accord avec une ESN CS Communication & Systèmes Localisation Non précisé personnelles via le portail de ressources dédiés (Hiscox eRisk HubTM) Engagement de service : • Mise en oeuvre de la réponse à incident dans les 48h en cas de perte ou de violation de données. Prise en charge immédiate par des experts informatiques pour arrêter l'intrusion dans les systèmes de sécurité Hiscox Data Risks Prise en charge immédiate par des spécialistes (avocats, agence de communication de crise, call center) pour gérer les conséquences financières et sur la réputation : • Entreprises responsables du traitement de données à caractère personnel et/ou Entreprises en possession de données acceptées sensibles • TPE, PME, grandes entreprises • frais de notification, de veille et de remise en service des systèmes informatiques • perte de chiffre d'affaires • frais de négociation en cas d'extorsion Prise en charge des réclamations de tiers ou des autorités administratives au titre de la responsabilité civile de l'entreprise en cas de perte ou de violation de données : • frais de défense, y compris devant un tribunal pénal • dommages et intérêts Police d'assurance flexible et adaptable aux spécificités de l'entreprise 81 Entreprises acceptées • Institutions bancaires • Sociétés de jeux en ligne Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) Accord avec une ESN Non précisé Localisation Mondial Capacité : jusqu'à 25m $ Couverture : Swiss RE Cyber Insurance • Violation de confidentialité • Coûts d'interruption de service informatique (y compris perte de résultat) • Cyber extorsion • Coûts de notification de faille de sécurité • Risque médiatique • Détaillants • Fournisseurs de soins de santé • Services publics • Entreprises Aggrégateurs/processeurs acceptées de données • Processeurs de cartes de crédit • Fabricants • Autres fournisseurs de service Entreprises acceptées 82 Non précisé Assureur Nom de l'offre Contenu de l’offre (couvertures, services, limites, capacités) Couverture : • Atteintes aux données : indisponibilité, altération, destruction ou perte de données, qu'elles soient stockées en interne ou en externe. Accord avec une ESN Airbus Defence and Space Localisation Non précisé Entreprises acceptées Non précisé Entreprises acceptées Non précisé • Vol de données personnelles (données personnelles des clients, codes d'accès, coordonnées bancaires, informations médicales, etc.) • Atteinte à l'e-réputation : diffamations, injures, dénigrements sur Internet, divulgation illégale de la vie privée des dirigeants • Données endommagées suite à une erreur humaine : indisponibilité, altération, Axa Cyber Secure destruction ou perte des données stockées en interne ou en externe. • Pertes d'exploitation : atteintes aux informations pouvant impacter le chiffre d'affaires • Tentative de détournement de fonds : vol de trésorerie par un logiciel malveillant introduit frauduleusement dans le système informatique • Responsabilité vis à vis des tiers en cas de cyberattaque entraînant un préjudice financier à des tiers (clients, fournisseurs, partenaires, etc.) facilité par une faille ou une insuffisance de protection du système informatique. Prévention : • Le partenaire, Airbus Defence and Space, est en charge d'apporter le niveau de prévention adapté à l'entreprise 83 Annexe 2 : Systèmes de visualisation du cyberespace Un système de visualisation monodatatype : Daedalus Daedalus est à l’origine un système d’alerte de cyberattaques développé par le NICT japonais (Japanese Institute of Information and Communications Technology). Il est doté d’une interface de visualisation 3D aussi agréable à l’œil qu’explicite. Source : diginfo.tv Daedalus permet de représenter efficacement les réseaux reliés à son centre nerveux, ainsi que les attaques recensées, à partir d’un seul type de données : les flux illégitimes de malwares ayant infectés des machines des réseaux surveillés. Cela permet de ne pas surcharger d’information l’interface, qui se veut sobre. Daedalus est disponible gratuitement pour les universités japonaises, mais il a été décliné en une version commerciale appelée Sitevisor. La composition du système est la suivante : - Le centre unique d’analyse - Les réseaux des organisations reliées à Daedalus - Des sondes darknet placées au sein des réseaux des organisations 84 Lorsqu’une machine (ordinateur, serveur) de l’une des organisations est atteinte d’un malware, ce dernier effectue un scan global du ou des réseaux qui l’entourent : le malware cherche toutes les machines qu’il serait susceptible d’atteindre, afin d’y trouver des vulnérabilités qu’il pourrait employer pour se répandre. Il effectue ce scan car il ne connaît pas quelles machines existent ou non sur le réseau sur lequel il se situe : il va donc « tester » des plages d’adresses IP. Certaines adresses IP correspondent à des ordinateurs existant réellement sur le réseau : elles constituent le Livenet (les machines existantes). Cependant, d’autres adresses IP ne correspondent à aucune machine : elles constituent un Darknet. C’est là qu’entrent en jeu les sondes Darknet : elles vont recevoir des flux réseau qu’a priori aucun programme légitime n’enverrait à l’adresse d’une machine n’existant pas. Les sondes vont alors transmettre les flux reçus au centre de contrôle qui, relevant l’attaque, lancera l’alerte et représentera les informations pertinentes sur l’interface homme-machine illustrée plus haut. Source : Sitevisor (version commerciale de Daedalus) 85 Un système militaire de visualisation multidatatype : CIAP Un article40 datant de 2010 de Philippe Lagadec présentait deux projets de l’OTAN en développement : CIAP (Consolidated Information Assurance Picture) et DRA (Dynamic Risk Assessment). Le projet CIAP a pour objectif de rassembler les données issues des différents outils employés en matière de cybersécurité : IDS (système de détection d’intrusion), SIEM (système de gestion et de corrélation des évènements et des informations de sécurité), scanners de vulnérabilités, etc. L’ambition du projet est de rendre ces outils interopérables en s’appuyant sur des standards afin de pouvoir centraliser les données collectées dans un système unifié. Celui-ci aurait alors vocation à représenter visuellement ces données sous la forme de topologies réseaux et de vues géographiques. Architecture du prototype de 2007 de CIAP 40 https://www.sstic.org/media/SSTIC2010/SSTIC-actes/CyberDefense/SSTIC2010-Article-CyberDefense-lagadec.pdf 86 Plusieurs types de visualisations avaient alors été expérimentés : - Une vue réseau à plat, qui mettrait en évidence à l’aide d’un code couleur des anomalies, des vulnérabilités ou des compromissions de machines ou de sousréseaux. Cette solution est adaptée à des réseaux de relativement petite taille. - Une vue réseau hiérarchique, afin de naviguer de sous réseaux en sous réseaux et ainsi de remonter facilement à la source de l’anomalie - Une vue radiale, plaçant les objets sur des cercles concentriques, plus adaptée à de grands réseaux. - Une vue de type Treemap, afin de permettre un affichage compact des grands réseaux. - Une vue géographique qui ferait la corrélation entre le cyberespace et l’espace physique. Notons que toutes ces visualisations n’envisagent qu’une représentation du cyberespace en deux dimensions. En complément du projet CIAP, le projet DRA a pour objectif d’exploiter les informations centralisées par CIAP afin de suggérer des réponses aux incidents relevés. 87 Annexe 3 : Gouvernance étatique de la cybersécurité 88