Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité numérique et sécurité économique : retours d’expériences pour les entreprises et les collectivités territoriales

juillet 2018 par Emmanuelle Lamandé

Déstabilisation, espionnage, sabotage… De plus en plus d’entreprises et de collectivités territoriales sont victimes d’attaques pouvant affecter leur image, leur fonctionnement et leurs emplois. Pour aider ces acteurs à faire face à ces nouveaux défis, l’ANSSI, le SISSE et Brest métropole, avec le soutien de la CCIMBO, ont organisé deux évènements SecNumeco les 19 et 20 juin à Brest, animés par Alexandre Colomb, Directeur de CCI Innovation Bretagne : le premier ouvert au grand public, le second réservé aux professionnels.

Les entreprises et les collectivités territoriales vivent aujourd’hui de profondes mutations : globalisation de l’économie, transformation numérique, évolutions du cadre réglementaire, etc. Ces changements sont sources de nombreuses opportunités, mais également de nouveaux dangers. La méconnaissance de ces évolutions et des risques associés peut avoir des conséquences dramatiques pour l’économie et l’emploi de nos territoires : captation illégale d’innovations, entrave à l’activité économique, fermeture d’entreprises, perte de compétitivité, rachat des fleurons économiques, perte de souveraineté. Autant d’exemples qui illustrent la nécessité pour les organisations de toutes tailles de relever les défis de la sécurité du numérique et de la protection économique.

L’anthropologie culturelle et sociale : un facteur à prendre en compte pour comprendre le contexte d’attaque

Le monde est effectivement en perpétuelle mutation et de plus en plus transversal, expliquent Michel Buzaré et Romuald Degeraud, Ministère des Armées. Dans cette évolution, l’anthropologie culturelle et sociale est un facteur essentiel à prendre en compte, notamment pour comprendre le contexte d’attaque entre les uns et les autres. Les forces armées sont souvent utilisées comme solution en cas de conflit entre deux cultures, surtout quand chacune d’entre elles veut asseoir son pouvoir ou assurer sa subsistance. Cependant, la guerre est polymorphe, et les armes à disposition dans notre société « moderne » sont variées. Le cyberespace en est une, et représente d’ailleurs aujourd’hui le 5ème espace de guerre pour l’armée. Cet environnement s’avère très complexe, et en perpétuelle mutation. De cette évolution découle une nouvelle terminologie, dont la cybersécurité fait partie. La cybersécurité englobe les capacités d’une organisation à pouvoir se protéger, savoir se défendre, mais aussi être en mesure de se reconstruire en cas d’attaque, et donc d’assurer sa cyber résilience.

Toutefois, dans les esprits, la cyberguerre semble moins dangereuse que la guerre « traditionnelle » puisqu’on ne la voit pas, elle fait moins de bruit et moins de morts, du moins en direct. Pourtant, dans la réalité, même s’il est effectivement moins visible, le cyber a bien souvent un rôle déterminant dans les conflits. D’ailleurs, « on ne gagne pas la guerre avec le cyber, mais on peut la perdre ».

Les cyberattaques se construisent en fonction de la cible et de la culture de la nation visée (type d’attaque, charge utile, complexité, nom…). Elles sont, de plus, parfois pensées et mises en œuvre sur le long terme. Pour mener à bien leurs attaques, les cybercriminels exploitent en outre toutes les vulnérabilités possibles, qu’elles soient d’origines organisationnelles, informatiques, environnementales, réglementaires ou humaines. Pour se prémunir de ce type d’attaques, il faut aller plus loin que le simple déploiement d’une solution de protection, expliquent-ils. Il est primordial de bien connaître, en premier lieu, son système d’information, à travers une analyse de risques. Il est essentiel de savoir qui fait quoi, et de mettre en œuvre différentes mesures de prévention. En effet, une cyberattaque est à l’image d’un incendie : ce n’est pas une fois qu’il y a le feu qu’on va se demander comment faire pour l’éteindre.

Tous les subterfuges sont bons pour atteindre LA cible

La typologie des cyberattaques se répartit comme suit aujourd’hui :
 Dans 90% des cas, on recense des cyberattaques de masse, qui ciblent tous les utilisateurs de la planète, avec comme principal objectif l’appât du gain. Pour ce faire, les attaquants utilisent principalement des virus, ransomwares, spam, phishing, Hoax, DDoS…
 Dans 9% des cas, on retrouve des cyberattaques ciblées et des cas d’espionnage industriel, via entre autres des chevaux de Troie… Les cibles sont principalement les entreprises et entités institutionnelles.
 Le 1% restant revient aux cyberarmées et cas de guerre ou lutte d’influence entre États. Ces attaques ciblent notamment les organisations étatiques et les OIV.

Il ne faut pas perdre de vue que les attaquants, surtout ceux qui ont une cible bien précise en tête, sont prêts à utiliser tous les subterfuges pour parvenir à leurs fins : récupération d’informations, identification d’individus cibles au sein de votre organisation, appel de vos collaborateurs, analyse de risques de votre entreprise réalisée par leurs soins, vol d’ordinateur ou de téléphone, infiltration dans vos locaux… Ils iront toujours du plus simple au plus compliqué, en exploitant au maximum la crédulité des utilisateurs. Les cas de vol d’ordinateurs portables restent aujourd’hui les plus répandus. On observe également de nouveaux types d’attaques qui se généralisent depuis quelques temps, comme les rançongiciels. Ils ont d’ailleurs démontré la facilité avec laquelle un attaquant peut exfiltrer par ce biais les données d’une entreprise en toute discrétion et paralyser complètement son activité. En se faisant passer pour le dirigeant d’une entreprise, l’attaquant envoie par exemple un mail important à sa secrétaire contenant un fichier malveillant. L’adresse mail étant la même que celle du dirigeant, la secrétaire ne se méfie pas et ouvre ce fichier contenant, dans ce cas précis, un rançongiciel. Tous les fichiers sont alors chiffrés et l’activité de l’entreprise paralysée.

Méfiez-vous des points d’accès Wi-Fi gratuits !

Michel Buzaré et Romuald Degeraud ont également démontré à quel point il était simple de prendre le contrôle à distance d’un smartphone, via le téléchargement d’une fausse application par l’utilisateur par exemple. Cette simple action a suffi pour que le pirate obtienne la mainmise sur le téléphone, sans que l’utilisateur ne s’en rende compte. Ensuite, l’attaquant n’a plus qu’à faire ce qu’il veut avec : copier, modifier ou supprimer les documents, les photos…, activer le micro et écouter les conversations, etc. Ils ont également mis en garde contre les faux points d’accès Wi-Fi, que l’on trouve notamment dans les lieux publics, les hôtels… Les utilisateurs, malheureusement, sont friands des réseaux Wi-Fi gratuits, sans mots de passe, que l’on trouve à disposition quasiment partout dans les espaces publics aujourd’hui… une véritable aubaine pour les pirates, d’autant que ces réseaux attirent bon nombre d’utilisateurs. Par ce biais, les attaquants vont pouvoir récupérer tout un tas d’informations, comme par exemple les identifiants/mots de passe de comptes de réseaux sociaux ou de sites bancaires. Comme ils l’expliquent, un réseau Wi-Fi n’est jamais gratuit, il profite certainement à quelqu’un. Donc, méfiez-vous, surtout quand c’est gratuit ! De plus, face à ces risques, il est essentiel au sein de votre entreprise d’interdire et d’autoriser de manière explicite les choses qui peuvent être faites ou non sur les ordinateurs et smartphones de vos collaborateurs.

Cybermalveillance.gouv.fr : plus de 14 200 victimes assistées depuis le lancement du dispositif

L’État a conscience que les cyberattaques touchent de plus en plus d’entreprises, quelles que soient leurs tailles, et de particuliers, souligne Jérôme Notin, Directeur général du dispositif national d’assistance Cybermalveillance.gouv.fr. C’est d’ailleurs de ce constat qu’est né cybermalveillance.gouv.fr, le dispositif d’assistance aux victimes de cybermalveillance. « Ce dispositif a trois principales missions :
 L’assistance aux victimes d’actes de cybermalveillance : pour chaque cas, un parcours « victime » va être établi en fonction du profil et du contexte. Selon le besoin, la victime pourra être mise en relation avec un prestataire de proximité susceptible de l’assister techniquement, ou redirigée vers la plateforme adéquate (PHAROS, Signal Spam…). Les victimes peuvent également trouver sur cybermalveillance.gouv.fr des fiches réflexes. Nous les incitons, en outre, à aller déposer plainte.
 Une mission de prévention et de sensibilisation à la sécurité numérique : nous venons d’ailleurs de lancer le premier volet de notre kit de sensibilisation, à disposition des entreprises, collectivités et associations. Ce kit est téléchargeable sur le site cybermalveillance.gouv.fr. L’objectif est de sensibiliser, via ce canal, le maximum de collaborateurs, qui pourront par la suite mettre en place les bonnes pratiques de sécurité du numérique, tant pour leurs usages personnels que professionnels. Ce premier volet comprend un ensemble d’outils pédagogiques, axés sur quatre thèmes : le hameçonnage (phishing), les bonnes pratiques en matière de mots de passe, les bons usages des smartphones, ainsi que la distinction entre usages professionnels et personnels. Chaque thématique est déclinée sous différents formats (infographies, vidéos, fiches pratiques, fiches réflexes, posters...) et niveaux de sensibilisation. Des campagnes de sensibilisation sur le modèle de la sécurité routière sont également prévues.
 Le dispositif cybermalveillance.gouv.fr a également en charge une mission importante d’observatoire de la menace numérique. En effet, les parcours renseignés par les victimes sur le site, ainsi que les rapports d’interventions et informations fournies par les prestataires de proximité vont nous permettre de mieux connaître et de faire connaître l’état de la menace actuelle en France.

Pour porter ces missions, nous avons créé un groupement d’intérêt public, le GIP ACYMA. Ce GIP regroupe un collège étatique (rassemblant l’ANSSI, le Ministère de l’Intérieur, le Ministère de la Justice, le Ministère de l’Économie et des Finances et le secrétaire d’État en charge du numérique), un collège d’utilisateurs (regroupant principalement des associations de victimes, associations de consommateurs et associations professionnelles), un collège de prestataires de services informatiques, ainsi qu’un collège d’offreurs de solutions et de services.

Depuis le lancement du dispositif, nous avons référencé 1 500 prestataires de proximité. Près de 14 200 victimes ont également été assistées. Nous avons d’ailleurs remarqué de nombreux cas d’arnaque aux faux supports techniques (appel de numéros surtaxés, installation de logiciels malveillants sur les machines…). Près de 4 500 entités s’étaient pré-inscrites pour recevoir le premier volet du kit de sensibilisation. Plus de 5 000 téléchargements ont été observés depuis son lancement. L’objectif aujourd’hui est de faire connaître ce dispositif le plus largement possible et que le kit de sensibilisation soit diffusé au plus grand nombre. Enfin, la préinscription pour recevoir gratuitement le second volet du kit de sensibilisation dès qu’il sera disponible est possible dès à présent sur notre site à l’adresse suivante : https://www.cybermalveillance.gouv.fr/inscription-sensibilisation/.

L’innovation œuvre pour une sécurité « by design »

Outre ce dispositif, plusieurs autres piliers sont indispensables afin de renforcer la protection des systèmes d’informations et du patrimoine économique de l’ensemble des entreprises, à commencer par la recherche, l’innovation et la formation. En effet, les systèmes de sécurité utilisés aujourd’hui ont pour la plupart germé dans des laboratoires de recherche. Bien que ces systèmes soient par la suite amenés à évoluer pour être commercialisés, les idées comme l’innovation sont avant toute chose le fruit de la recherche. Les chercheurs en cybersécurité, comme les laboratoires, sont nombreux en France, et œuvrent chaque jour pour tenter de renforcer la résilience de nos systèmes. Ces recherches ne pourraient toutefois pas voir le jour sans financement et structures favorisant l’innovation et l’entreprenariat. En voici quelques exemples.

Le Lab-STICC est le Laboratoire des Sciences et Techniques de l’Information, de la Communication et de la Connaissance, explique Gilles Coppin, Directeur du Lab-STICC, IMT Atlantique. Cette Unité de recherche inter-établissements (CNRS, IMT Atlantique, UBO, UBS, ENIB, ENSTA Bretagne) regroupe aujourd’hui près de 550 personnes, et réunit des compétences en communications numériques, traitement du signal, micro-ondes, systèmes embarqués, informatique, sciences de la connaissance… En matière de sécurité numérique, les chercheurs travaillent notamment sur les architectures robustes, le codage homomorphe, la cybersécurité et les infrastructures critiques, les communications sécurisées, la gestion de crise ou encore la security by design. Le Lab-STICC met également au cœur de ses recherches des aspects plus génériques, transverses à ces différents thèmes, comme les facteurs organisationnels et humains (FOH). L’objectif est de renforcer la cybersécurité en s’appuyant sur les comportements individuels et collectifs, ainsi que les FOH, mais aussi de développer des organisations apprenantes, dans lesquelles la cybersécurité serait intégrée « by design ». Les outils développés au sein des laboratoires de recherche permettent de rendre les process plus sécurisés et certifiés « secure by design ». L’objectif sera donc à terme de les intégrer dès la conception des systèmes et technologies.

De son côté, la Chaire de cyberdéfense des systèmes navals favorise l’innovation dans le domaine maritime et des systèmes navals. Cette Chaire industrielle sur la cybersécurité des systèmes navals (civils et militaires), créée en 2014, réunit l’École navale, l’IMT Atlantique, Naval Group, Thales, la région Bretagne et le Pôle d’Excellence Cyber, explique David Brosset, maître de conférences à l’École navale. Cette Chaire a vocation à créer de l’innovation et des POC, visant à rendre les systèmes les plus résilients possibles. Pour lutter contre les cyberattaques, ces systèmes, et les données qui y transitent, doivent effectivement être protégés dès leur conception.

Thierry Berthier, Chaire St Cyr, Hub France IA, œuvre pour sa part dans le domaine de l’intelligence artificielle. La France a désormais pris conscience des enjeux de l’IA en tant que premier vecteur stratégique, accélérateur économique, civil et militaire. Outre le rapport de synthèse « France Intelligence Artificielle » et, plus récemment, la mission Villani, un hub a aussi été créé : le Hub France IA. Ce Hub a pour objectif de créer une filière française de l’Intelligence Artificielle en mobilisant tout l’écosystème dédié (grands groupes, ETI, PME, startups, écoles et universités, instituts de recherche…). « Tous les domaines de l’IA y sont représentés, y compris la cybersécurité, au sein d’un groupe de travail dédié que je co-pilote avec Eric Hazane, délégué à la sécurité numérique pour la région Bretagne de l’ANSSI. Ce groupe de travail, en train de se mettre sur pied, adresse à la fois les apports de l’IA dans le domaine de la cybersécurité, mais aussi les risques et vulnérabilités. Au vu de l’évolution de l’IA dans notre société aujourd’hui, il est en effet essentiel d’adresser ces problématiques sous tous les angles. »

Pour favoriser l’innovation et l’entreprenariat, la French Tech Brest+ est, quant à elle, à l’origine de nombreuses initiatives dans la région et organise différents évènements pour accompagner les entreprises dans leur développement et mise en relation, comme l’explique Frédéric Nicolas, délégué général de la French Tech Brest+. Parmi eux, on retrouve par exemple « Ticket to pitch », qui réunira le 13 octobre prochain startups, ETI et PME à Roscoff le temps d’une journée sur un ferry. Ou encore l’évènement « Unlock your Brain, Harden your System » qui réunira le 17 novembre à Brest les professionnels de la cybersécurité autour de conférences dédiées et d’un challenge CTF. Ce type d’évènements contribue à sensibiliser les utilisateurs aux risques et bonnes pratiques.

Internet : la mémoire dans la peau !

Toutefois, le chemin à parcourir pour sensibiliser les utilisateurs est encore long ! Déjà faudrait-il leur faire comprendre que toutes les informations qui sont publiées en ligne le sont à jamais, comme le démontre Gawen Delume, expert en sécurité économique. En effet, Internet a la mémoire dans la peau. Quand on publie une information sur la Toile ou sur les réseaux sociaux, on ne peut plus revenir en arrière, car même si on essaie de la supprimer à un endroit, il en restera toujours des traces quelque part. Du coup, ces réseaux s’avèrent une véritable mine d’or pour toute personne malintentionnée à la recherche d’informations sur telle entreprise ou tel collaborateur. Il préconise, de plus, de se méfier de toutes les demandes de mise en relation sur les réseaux sociaux de personnes que vous ne connaissez pas, car il peut s’agir de faux contacts, pour ne pas dire de pièges.

Pour que les utilisateurs adoptent ces réflexes et bonnes pratiques, et en fassent au final des habitudes, rien de mieux que la formation et l’entraînement. Les premières questions à se poser, explique Anne-Charlotte Lecat, DG du Pôle d’Excellence Cyber, sont : pourquoi je forme et qui est-ce que je forme ? « La cybersécurité c’est la protection de vos biens essentiels, c’est-à-dire les biens, données et ressources qui ont de la valeur pour votre entreprise. Si l’on prend une métaphore footballistique, protéger son bien essentiel reviendrait à protéger sa cage de but sur un terrain, avec comme objectif d’empêcher la balle de rentrer. Toutefois, bien qu’il y ait un gardien de but, ce n’est pas avec une seule personne qu’on protège sa cage de but. On va effectivement venir créer plusieurs lignes de défense, de manière à pouvoir défendre sa cage de but même si le goal est défaillant. Il faut de plus former tous les joueurs, pas seulement les défenseurs. Car nous avons pu le voir précédemment parfois l’attaque ciblera en premier lieu la ou le secrétaire d’un dirigeant… »

« Nous devons garder la maîtrise de la balle et former nos joueurs »

« La formation démarre par de la sensibilisation, concernant l’utilisation des mots de passe et des clés USB, l’hygiène vis-à-vis de la messagerie, des téléchargements… », explique-t-elle. « Ces bonnes pratiques contribuent à la sécurité informatique de vos systèmes. Les administrateurs doivent, quant à eux, être formés en profondeur à la sécurité : gestion des mises à jour, gestion des accès et privilèges, paramétrage, développement d’architectures sécurisées, etc. Ces différents aspects nécessitent un apprentissage et un entraînement régulier. Pour pouvoir faire un choix éclairé, un dirigeant doit de plus savoir ce qui se passe sur le terrain. Chacun doit, en outre, être conscient de l’impact (financier, en termes d’image…) de ses choix en matière de cybersécurité. Il est évident pour tout le monde qu’on ne participe pas à un match de football professionnel sans s’être entraîné auparavant, ni avoir effectué au préalable des mises en situation réelles. Il en est de même en matière de cybersécurité. L’entraînement ne s’improvise pas et doit évoluer en permanence. En conclusion, l’objectif est donc de garder la maîtrise de la balle et de former nos joueurs ».
Pour accompagner les différents acteurs dans leur démarche de formation, le Pôle d’Excellence Cyber a publié une feuille de route dédiée, et a mis sur pied un groupe de travail relatif à la formation continue. Un catalogue regroupe également plus d’une centaine de formations. Vingt nouvelles formations ont d’ailleurs été créées en deux ans pour répondre aux besoins actuels.

Ne laissez jamais vos appareils sans surveillance… surtout pas dans un train !

De son côté, Diateam a mis sur pied des salles d’entraînement cyber et de gestion de crise, justement pour favoriser la pratique, expliquent Guillaume Prigent, Président de Diateam, et Adrien Barchapt Perrot, Pentester chez Diateam. Un entraînement efficace repose, pour eux, sur du réalisme, une variété des oppositions, de la régularité et une bonne maîtrise des outils de défense, ainsi qu’une bonne connaissance de la menace. Il est essentiel de se former, mais aussi de s’entraîner régulièrement pour adopter à terme les bonnes pratiques. D’autant que les comportements à risques sont encore beaucoup trop fréquents. Il suffit de prendre le train pour s’en rendre compte. Nombreux sont les usagers qui laissent leurs ordinateurs ou téléphones sans surveillance. Même si vous partez seulement aux toilettes, sachez qu’il suffit juste de quelques secondes à une personne malveillante pour pirater vos appareils. Et même, si vos voisins de voyage ont une « bonne tête », ne vous fiez pas aux apparences, on ne sait jamais qui est assis à côté de soi…

Cependant, changer ses habitudes ne se fait pas du jour au lendemain ! Cela nécessite du temps, de la formation et de l’entraînement. En outre, il est essentiel que chaque acteur sache ce qu’il est essentiel de protéger au sein de son entreprise, et comprenne pourquoi.

En matière de sécurité numérique, la prévention et la sensibilisation de tous les acteurs sont effectivement primordiales. Il est essentiel de sensibiliser et d’initier l’ensemble des entreprises, y compris les TPE et PME, aux bonnes pratiques. Pour traiter ces problématiques, la CCIMBO, en partenariat avec Brest Métropole, Captronic, la French Tech Brest+ et l’ANSSI a mis sur pied une charte de bonnes pratiques informatiques, ainsi qu’un groupe de travail dédié. L’objectif est de fédérer un maximum de prestataires autour de cette charte, et d’arriver à terme au développement d’un label. Cette initiative finistérienne est un très bon exemple de réussite collaborative et intéresse d’ailleurs aujourd’hui les autres régions.

Sécurité économique : comment protéger vos actifs et savoir-faire ?

Outre la sensibilisation et la formation des acteurs, d’autres dispositifs existent en France, visant à accompagner les entreprises dans la protection de leurs actifs et savoir-faire. Par exemple, « le SISSE (Service de l’information stratégique et de la sécurité économiques) est un service à compétence nationale au sein de la Direction générale des entreprises (DGE) du ministère de l’Economie et des Finances », explique Jérôme Lainé, délégué au Service de l’information stratégique et de la sécurité économiques, DIRECCTE Bretagne. Créé en 2016, le SISSE agit en faveur de la promotion et de la protection du patrimoine économique et stratégique de la Nation. En effet, chaque entreprise est source de valeur et détient des informations stratégiques. Son développement économique, notamment à l’international, est source de nombreuses menaces pour son activité, dans la mesure où il s’inscrit le plus souvent dans une logique de prédation : débauchage, atteinte de la concurrence ou de tiers, acquisitions… sans compter le risque de cyberattaques. Avec la transformation numérique et la globalisation des échanges, cela complexifie effectivement la donne et accroît les sources de menaces potentielles. Chaque entreprise, quelle que soit sa taille, peut donc aujourd’hui être attaquée pour sa valeur et son caractère innovant. L’objectif du SISSE est de protéger ce savoir-faire innovant.

Pour ce faire, l’activité du SISSE s’articule notamment autour des missions suivantes :
 Identifier les secteurs, les technologies et les entreprises concernés par ce dispositif et les sensibiliser sur ces sujets ;
 Concourir à l’élaboration de la position du gouvernement en matière d’investissements étrangers ;
 Informer les autorités de l’État sur les personnes, entreprises et organismes présentant un intérêt ou représentant une menace pour les intérêts stratégiques ;
 Veiller à la bonne application de la loi relative au Secret des Affaires.
Ce dispositif français est novateur et inspire d’ailleurs les autres pays européens dans leurs perspectives d’évolutions futures.

Le dispositif de Protection du Potentiel Scientifique et Technique de la Nation (PPST) vise également à protéger les savoirs et savoir-faire des entreprises et à éviter leur détournement ou captation, explique Claire Couzi, SGDSN - PPST. Ce dispositif vise à protéger la recherche française et à assurer la préservation de l’innovation et de la compétitivité nationales. Le dispositif conventionnel de la zone à régime restrictif (ZRR) est également prévu par le décret n°2011-1425 du 2 novembre 2011 relatif à cette PPST. Il s’agit d’une zone protégée au sein d’une organisation, dans laquelle vous allez pouvoir filtrer et gérer les accès, afin de limiter les risques. Une fois la zone à régime restrictif créée, des règles précises doivent venir encadrer ce dispositif, ainsi qu’une signalétique dédiée. Chaque personne qui travaille au sein de ces ZRR fait, de plus, au préalable l’objet d’une enquête interministérielle, qu’il s’agisse d’un employé opérant directement au sein de cette zone, d’un stagiaire, d’un agent d’entretien ou de nettoyage… Concernant les visiteurs, une autorisation préalable du chef d’entreprise est nécessaire à chaque visite, et une liste répertoriant l’ensemble des visiteurs sur l’année doit être envoyée à la DIRECCTE. Toute personne qui pénètre dans une zone à régime restrictif sans autorisation encourt 6 mois d’emprisonnement et 7 500 euros d’amende (article 413-7 du Code pénal). Les sanctions sont encore beaucoup plus lourdes si la personne qui a pénétré dans une ZRR créé une compromission. Cette démarche nécessite donc une bonne sensibilisation des employés en amont, ainsi qu’un certain nombre de mesures, toutefois elle s’avère un bon moyen de protection contre les vulnérabilités et les intrusions.
Ce dispositif, relativement jeune puisque les premières mises en place datent de 2013, connaît actuellement une forte croissance. On recense aujourd’hui plus de 500 zones à régime restrictif en France, dont plus de 50 en Bretagne. En outre, un guide, élaboré en collaboration avec l’ANSSI, est sorti fin mai, visant à renforcer la sécurité de ces zones sensibles.

La protection des actifs immatériels (brevets, marques, dessins, modèles, droits d’auteur…) et de la propriété intellectuelle est également essentielle pour une entreprise, souligne Thierry Lucas, délégué général adjoint de l’INPI. Parmi les bons réflexes à adopter, il recommande notamment de :
 Dater les créations, les tracer et les formaliser ;
 Organiser la confidentialité autour de tous ses développements ;
 Encadrer les relations par des contrats ;
 Consulter les bases de données relatives à la propriété intellectuelle pour s’assurer que rien de similaire n’a déjà été déposé par d’autres auparavant ;
 Faire le dépôt du titre de propriété intellectuelle ;
 Rester vigilant sur la titularité des droits ;
 Mais aussi surveiller et agir (renouvellement, faire attention à la contrefaçon…).

Une anomalie est souvent le premier pas vers une attaque

Outre la protection des systèmes d’information et des actifs immatériels, il faut également assurer la protection des bâtiments et des accès physiques, car ce sont aussi des points d’entrées vers vos outils de production, vos SI et les informations qu’ils contiennent, explique Benoît Minoux, Ministère de l’Intérieur. « Notre rôle est d’informer les entreprises, mais aussi de les aider à identifier leurs failles et de leur proposer des solutions visant à renforcer leur niveau de sécurité. » Les vulnérabilités généralement identifiées sont à la fois techniques, organisationnelles et humaines. Les collaborateurs ont, en effet, encore souvent des comportements à risque : accès de prestataires ou de tiers dans les locaux sans surveillance, portes de sécurité laissées ouvertes, postes informatiques non verrouillés, informations laissées sur les paperboard ou tableaux dans les salles de réunion… Il est donc essentiel que chaque entreprise sensibilise ses collaborateurs aux bonnes pratiques à adopter en matière de protection bâtimentaire, et vérifie ses process et son organisation.

La sécurité numérique, tout comme la sécurité physique, nécessite aussi une culture et une éducation, souligne le Chef d’Escadron Audenis, Gendarmerie nationale - Bureau de Rennes. Les entreprises doivent en effet être éduquées sur certaines marches à suivre en cas d’incident ou de piratage. Elles sont encore trop peu à oser porter plainte. Pourtant, le dépôt de plainte nous permet d’avoir une meilleure vision de la criminalité. Il nous aide aussi à recouper certaines affaires entre elles et donc à identifier des phénomènes sériels, et à remonter plus facilement jusqu’à l’auteur. Un autre problème fréquent : une entreprise piratée va reprendre rapidement son activité et va par là même écraser les traces et les données qui pourraient aider les enquêteurs à remonter aux attaquants. De plus, on remarque souvent a posteriori en entreprise, en discutant avec les collaborateurs, qu’ils ont vu ou fait des choses sans avoir conscience qu’il s’agissait d’une anomalie. Il est essentiel d’élaborer des process en entreprise permettant de mettre en relief et de signaler ces anomalies, mais aussi d’encourager les débriefings afin de favoriser la communication. En outre, tracer les anomalies permet de renseigner les services d’ingérence ou de délinquance économique et/ou numérique. En effet, une anomalie est souvent le premier pas vers une attaque, d’où l’intérêt de la détecter le plus tôt possible.

L’ANSSI et le SISSE aux côtés des entreprises dans leurs démarches

Afin d’accompagner les acteurs dans leurs démarches de sécurité numérique et économique, le SISSE et l’ANSSI ont élaboré une plaquette regroupant les différents outils et ressources à leur disposition, répartis en 4 grands thèmes : Se former - Appliquer - Evaluer - Réagir. Ce document est l’aboutissement d’une collaboration de politiques et services interministériels, expliquent Eric Hazane et Jérôme Lainé. Vous pouvez retrouver ce document en ligne sur le site de l’ANSSI à l’adresse suivante : https://www.ssi.gouv.fr/uploads/2014/10/secnumeco_depliant_anssi.pdf.

La réglementation pousse les entreprises à s’inscrire dans un cercle vertueux

Comme nous avons pu le voir, les entreprises bénéficient aujourd’hui d’un arsenal relativement large pour renforcer leur niveau de sécurité globale. Outre la protection de leurs actifs essentiels et donc de leur développement économique, il ne faut pas perdre de vue que cette mise à niveau en matière de sécurité s’inscrit également, pour ne pas dire avant tout, dans une logique de mise en conformité avec des règlementations de plus en plus drastiques sur ces sujets. « Le monde est désormais numérique et nous sommes en train de bâtir notre univers autour de la donnée. Ce phénomène doit donc être encadré par la loi », souligne Ronan Pichon, vice-président de Brest Métropole.

Certaines règlementations, comme par exemple le RGPD (Règlement général européen pour la protection des données), incitent de plus les entreprises à s’inscrire dans une démarche vertueuse de montée en compétences et d’amélioration de leur niveau de protection. Pour Jérôme Lainé, l’adoption de la conformité est, en outre, un levier pour assurer leur développement en France, comme à l’international.

RGPD : un mois plus tard… quel premier bilan ?

Près d’un mois après la mise en application du RGPD, quel premier bilan pouvons-nous faire ? Depuis la mise en application du RGPD, la CNIL a reçu plus de 25 000 appels au standard, constate Matthieu Grall, Chef du service de l’expertise technologique, CNIL. Le FAQ de la CNIL a, quant à lui, été visité plus de 35 000 fois, et le nombre de plaintes a augmenté de 77% par rapport à l’an passé. L’onglet « besoin d’aide » sur le site de la CNIL permet, de son côté, de capitaliser les questions les plus fréquentes des individus et de les inclure ensuite dans le FAQ. Afin d’accompagner les entreprises dans leurs démarches, la CNIL propose de nombreux outils, à disposition sur son site Internet : www.cnil.fr. Elle vient également de publier un nouveau guide, réalisé en partenariat avec BPI, à destination des PME. Afin de faciliter leur mise en conformité, Matthieu Grall recommande, en outre, aux entreprises de planifier et de formaliser cette démarche, mais aussi de recenser en priorité les actifs et données sensibles qu’elles ont au sein de leurs organisations.

« La première étape est de prendre conscience du règlement, mais aussi de le comprendre. Cela peut prendre du temps », explique Loïc Hénaff, Président du directoire de l’entreprise Hénaff. « Notre entreprise a pris conscience des obligations du règlement, et nous sommes actuellement en cours de mise en conformité. Nous avons décidé de nous faire aider par le cabinet de conseil juridique Fidal sur la partie audit et cartographie, ainsi que pour la formation du COMEX et des managers. Cette étape nous a permis de découvrir des données sensibles dans des endroits que nous ne soupçonnions pas, mais aussi qu’il y avait beaucoup de passerelles dans les systèmes de management de l’entreprise. Cette cartographie a donc été l’opportunité pour l’entreprise d’optimiser ses systèmes et processus afin d’utiliser au maximum ce qui existait déjà, et de ne pas rajouter des systèmes sur des systèmes quand cela n’est pas utile. Nous souhaitons de plus rattacher à terme cette conformité RGPD à nos process et systèmes de management de la qualité et de la sûreté. »

De son côté, Brest Métropole est conscient que chaque citoyen est propriétaire de ses données à caractère personnel et que les collectivités sont amenées à manipuler ces données sensibles, souligne Bernadette Abiven, vice-présidente de Brest Métropole. En matière de données, les collectivités présentent certaines spécificités par rapport à des entreprises « classiques ». Elles traitent des données d’identité des citoyens de leur vie à leur mort, et doivent les sauvegarder, les conserver et les protéger. De plus, un large spectre de données à caractère personnel sont utilisées dans les collectivités pour assurer la multitude de services proposés aux usagers (données sociales, familiales…). Les collectivités doivent donc protéger un grand nombre de données extrêmement sensibles.
Créée en 1974, la Communauté urbaine de Brest, devenue métropole le 1er janvier 2015, regroupe huit communes fondatrices, soit environ 212 000 habitants. Afin d’assurer la protection de ses données et la mise en conformité avec la réglementation, Brest Métropole a désigné un CIL (Correspondant Informatique et Libertés) dès 2006, et s’appuie également dans sa démarche sur tous les outils et services proposés par la CNIL. « Nous avons mis en place un plan d’action que nous sommes en train de mettre en œuvre aujourd’hui. Au sein de Brest Métropole, le RGPD nous permet d’être tous sensibilisés sur ces enjeux de protection. Il va permettre de plus d’établir un cadre commun, partagé par tous, quant à la circulation des données au sein de l’administration. L’objectif est d’amener chaque agent à se comporter de manière responsable face aux données. La notion de confiance est primordiale dans la relation collectivités/citoyens. Nous souhaitons que notre administration incarne cette confiance. »

La transformation numérique doit se faire en toute confiance

« Nous sommes tous humains, toutefois nous avons souvent tendance en entreprise à oublier que nous traitons des données humaines », souligne Matthieu Grall. Le RGPD reflète la justesse du traitement européen en matière de sécurité des données et de protection de la vie privée par rapport aux valeurs défendues par l’Europe. Ces valeurs représentent la clé de la confiance des utilisateurs.

La transformation numérique, déjà engagée aujourd’hui, doit effectivement se faire en toute confiance, conclut Cyril Cuvillier, sous-directeur adjoint de l’ANSSI pour les relations extérieures et la coordination. La prise de conscience est amorcée, mais beaucoup de chemin reste à parcourir pour que les entreprises comme les citoyens aient conscience des dangers inhérents au numérique, et perçoivent la sécurité comme essentielle. Pour ce faire, il est important de moins parler aujourd’hui des coûts liés à la sécurité, et plus des investissements. La mise en conformité et en confiance est, en effet, un investissement, pas un coût. Nous sommes, de plus, en train de rattraper aujourd’hui notre retard dans notre compréhension et gestion du risque. Toutefois, nous ne pouvons pas appréhender la surface d’attaque actuelle en gérant les menaces d’hier. C’est pourquoi il faut apprendre à gérer les menaces en temps réel, mais aussi apprivoiser les menaces futures. Le numérique évolue tellement vite, et les risques inhérents aussi, que la défense ne peut pas se permettre d’avoir toujours un train de retard. L’État souhaite en ce sens mettre en place les capacités organisationnelles et structurelles lui permettant de prendre de la vitesse. L’objectif est de chercher à se prémunir au maximum des risques en renforçant le niveau de sécurité globale de tous les acteurs. Cela passe notamment par une logique éprouvée d’analyse de risques, un cadre réglementaire et normatif, ainsi qu’une bonne hygiène informatique. L’amélioration des capacités de détection et de réponse aux incidents est également indispensable, d’où la qualification (PDIS et PRIS) des prestataires de sécurité dédiés. Sans oublier bien sûr la sensibilisation et la formation des acteurs, qui restent deux axes majeurs à développer. Les évènements SecNumeco s’inscrivent d’ailleurs dans cette logique. C’est cette roue vertueuse dans son ensemble qui devrait à terme permettre de rattraper le temps d’avance de l’attaque sur la défense.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants