Weitere ähnliche Inhalte Ähnlich wie Cybercriminalité: comment agir dès aujourd'hui (20) Cybercriminalité: comment agir dès aujourd'hui2. 2• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Marion Couturier est manager chez Solucom.
Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la
mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et
d’exercices de gestion de crise. Elle dispose également d’une large expertise sur les volets
communication et sensibilisation.
marion.couturier@solucom.fr
Gérôme Billois est senior manager chez Solucom.
Diplômé de l’INSA Lyon, il conseille depuis plus de 10 ans les DSI et RSSI dans l’évaluation
et la mise en place de leur gouvernance sécurité et projets de sécurisation de l’information.
Il accompagne nos clients dans la préparation et la gestion de crises réelles.
gerome.billois@solucom.fr
Chadi Hantouche est manager chez Solucom.
Diplômé de l’ENSIMAG, il conseille nos clients dans la transformation de leurs modèles
de sécurité, leurs stratégies de sécurité en mobilité et la mise en oeuvre de mécanismes de
sécurité.
chadi.hantouche@solucom.fr
Marion Couturier
Chadi Hantouche
Gérôme Billois
3. Octobre 2013 - Les Synthèses © Solucom 3•
ÉDITO
La cybercriminalité au cœur de l’entreprise numérique
Avec le développement du numérique dans les entreprises et les administrations,
les risques liés à la cybercriminalité augmentent à grande vitesse. Et ce n’est pas
seulement de la science-fiction !
Dorénavant, le sujet est présent quotidiennement dans l’actualité : atteinte à la pro-
tection des données personnelles, dénis de service, vols de données… les angles
d’attaques ne manquent pas pour des cybercriminels qui usent de moyens de plus
en plus sophistiqués. Au-delà de ce que l’on peut lire dans la presse, nous l’avons
nous-même constaté chez plusieurs clients qui ont été les cibles d’attaques complexes
et à très fort impact.
La bonne nouvelle, c’est que la prise de conscience commence à se faire. Les états
s’emparent du sujet, augmentent leurs effectifs dans ce domaine et imposent des
pratiques plus strictes dans la gestion des infrastructures vitales. Les Directions géné-
rales des entreprises s’interrogent et demandent des réponses aux Responsables des
risques et de la sécurité des SI.
Mais ces réponses ne sont pas si simples : impossible en effet de tout protéger et de
garantir une défense impénétrable contre les attaques.
Il s’agit donc plutôt de construire un plan d’ensemble combinant gestion de crise
efficace, polices d’assurance, organisation et mesures techniques. Un plan raisonné,
orienté vers une protection ciblée des actifs sensibles et vers un entraînement plus
poussé à la gestion de crise et à la communication associée.
En effet, en cas d’incident, vous serez jugé autant sur votre capacité à rétablir le
service ou à limiter le vol de données que sur la manière dont vous gérerez votre
communication vers vos clients et vos actionnaires.
Bonne lecture à tous !
Laurent Bellefin,
directeur associé du cabinet Solucom
directeur de la publication
4. 4• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
La menace explose et s’organise
La cybercriminalité connaît une
croissance démesurée. Elle évolue à
un rythme effréné, suivant une dyna-
mique similaire à celle de l’utilisation
des systèmes d’information au sein
de la société. Cette criminalité revêt
de multiples formes et comporte
de nombreuses dimensions que les
grandes entreprises doivent com-
prendre et considérer en fonction de
leurs activités.
Des motivations très variées
Même s’il est parfois difficile d’établir
une limite claire entre les différentes
motivations des cybercriminels, nous
pouvons en distinguer 4 majeures :
• L’idéologie vise à défendre une
conviction (par exemple poli-
tique ou religieuse) à travers des
attaques dont le but est d’inter-
rompredesservicesàdiffuserdes
messages partisans, ou à divul-
guerlesdonnéesd’uneentreprise
pour nuire à son image.
• Les gains financiers directs : il
s’agit par exemple du vol de
données bancaires (en parti-
culier des numéros de cartes),
de données personnelles, mais
aussi de données critiques de
l’entreprise comme les secrets
industriels ou les informations
concernant sa stratégie. Elles
seront revendues par la suite
ou utilisées pour réaliser des
fraudes.
• La déstabilisation entre États ou le
cyberterrorisme visent à détruire
des systèmes ou à voler des
données stratégiques afin de
nuire au bon fonctionnement
des services critiques ou vitaux
des États.
• Par ailleurs, l’obtention de capa-
cités d’attaques est une moti-
vation qui se développe. Elle
consiste à voler les secrets des
mécanismes de sécurité (mots
de passe, certificats, failles de
sécurité, etc.) ou à attaquer les
SI des fournisseurs (infogérants,
opérateurs de télécom, fournis-
seurs de solutions de sécurité)
de sociétés qui seront visées
ultérieurement. Ces éléments
sont utilisés plus tard pour lan-
cer la véritable attaque.
Peu importe la motivation, les cyber-
criminels ne se fixent plus aucune
limite dans la réalisation de leurs
desseins. De nos jours, ces attaques
peuvent toucher n’importe quelle
entreprise, quel que soit son secteur
d’activité, comme l’a récemment
montré l’actualité.
Denouveauxscénariosd’attaques
à prendre en compte
Les scénarios d’attaques les plus clas-
siques sont souvent connus et maîtri-
sés par lesgrandes entreprises. Ils’agit
par exemple de l’ingénierie sociale par
messagerie (phishing) ou téléphone,
les dénis de service et les attaques sur
les sites web.
Les motivations des cyberattaquants et quelques exemples d’états ou entreprises qui ont été ciblés
5. Octobre 2013 - Les Synthèses © Solucom 5•
programme visait à collecter des don-
nées bancaires auprès des internautes
dont l’ordinateur avait été compro-
mis. Un autre cas, encore plus ciblé,
concerne un site dédié aux person-
nels et sous-traitants du ministère de
l’énergie aux USA ayant travaillé dans
le secteur du nucléaire.
Les attaques destructrices sont réelle-
ment apparues en 2011. Elles visent
à rendre inopérante une partie du
système d’information en détruisant
logiquement les postes de travail et
les serveurs. Ce scénario commence
souvent par une intrusion silencieuse
qui permet de prendre le contrôle des
éléments centraux du SI et ainsi de
pouvoir déployer rapidement sur l’en-
semble des postes de travail un code
malicieux qui détruira les données pré-
sentes sur le disque dur. La Corée du
Sud a connu des vagues successives
d’attaques destructrices visant des
grandes banques et des chaînes de
média. En utilisant un malware spé-
cifique capable de se multiplier et en
détournant les systèmes de télédistri-
bution, les attaquants ont pu détruire
logiquement plus de 30 000 postes
de travail.
Les grandes entreprises doivent enfin
être attentives aux attaques de tiers
et / ou de partenaires métiers. Dans ce
cas, les attaquants visent un fournis-
seur ou un partenaire clé plus facile à
attaquer que la cible finale. Face à ces
attaques, les sociétés visées sont sou-
ventdépourvuesdemoyensderéponse
rapides et efficaces. Par ailleurs, les
problèmes de responsabilités et d’en-
gagements contractuels complexifient
la gestion de crise. RSA a ainsi subi en
Mais de nouvelles formes de cyberat-
taques apparaissent tous les jours et il
est nécessaire de se préparer à lutter
contre elles.
Les attaques ciblées avec des e-mails
piégés se développent. Également
connue sous la dénomination spear
phishing, ce type d’attaque prend
la forme d’un message électronique
qui semble émaner d’une personne
ou d’une entreprise réputée et de
confiance. Mais en réalité, il s’agit
d’un message piégé qui permet de
prendre le contrôle de l’ordinateur de
la personne ciblée en contournant les
mécanismes de sécurité présents à la
fois sur la messagerie et sur le poste
de travail. Ces attaques sont actuel-
lement à l’origine de la majorité des
incidents graves. Des cybercriminels
ontparexempletentédedétournerdes
fonds des entreprises Quick et Scor en
usurpant l’identité des PDG auprès du
service comptabilité. Heureusement,
les versements frauduleux n’ont pas
étéréalisés,maisceuniquementgrâce
à la vigilance des services comptables.
Le spear phishing aurait également été
utilisé avec succès contre des struc-
tures comme le ministère de l’écono-
mie et des finances et a conduit à une
intrusion sur son réseau.
Un autre type d’attaque est en vogue,
le waterholing. Ce terme vient d’une
analogie avec les points d’eau où les
prédateurs attendent patiemment des
proiesvenuesboire.Ilconsisteàpiéger
unsitewebparticulier,connupourêtre
visité fréquemment par les personnes
ciblées. L’attaquant réalise une intru-
sion discrète lui permettant d’ajouter
uncodemalicieuxsurlesite.Envisitant
ce site, habituellement de confiance,
la personne verra son ordinateur com-
promismalgrélesprotectionsenplace.
À titre d’exemple, des pirates sont
parvenus à compromettre le site de la
chaîne de télévision américaine NBC
en diffusant auprès des visiteurs un
cheval de Troie bancaire, Citadel. Ce
2011 une attaque visant à récupérer
les informations concernant leur sys-
tème d’authentification forte nommé
SecurID, pour ensuite attaquer les
systèmes du constructeur américain
Lockheed Martin.
Enfin, il est important de prêter atten-
tion aux attaques qui visent vos clients
sans pour autant attaquer vos SI. Des
cas d’usurpations d’identités croi-
sées sont de plus en plus courants.
Par exemple, les attaquants utilisent
l’image d’un service public pour voler
les coordonnées bancaires.
Une difficulté à évaluer les
impacts de ces attaques
Il est aujourd’hui difficile d’estimer
de manière fiable les pertes engen-
drées par la cybercriminalité. De très
nombreux chiffres circulent, allant
jusqu’à comparer cette forme de cri-
minalité avec le trafic de drogue en
termes de gains.
La raison de ce flou est simple : les
entreprises ne communiquent pas
sur les incidents qu’elles rencon-
trent. La plupart du temps, elles
ne réalisent pas non plus d’analyse
post-mortem pour évaluer les pertes
directes (arrêt du SI, jours / hommes
perdus, etc.) comme les pertes
indirectes (contrats perdus, pro-
priété intellectuelle dérobée, etc.).
Cependant, nos observations sur le
terrain montrent que des incidents
cybercriminels importants entraînent
des coûts directs liés à la gestion de
crise et de remédiation dont le mon-
tant varie généralement de 5 à 30 M€
par évènement.
« Les coûts directs liés à la gestion de
crise varient généralement de 5 à 30 M€
par évènement »
6. 6• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Face aux nouvelles menaces de la
cybercriminalité, les États réagissent
pour protéger les citoyens et les sys-
tèmes cruciaux pour leurs activités.
Devant cet enjeu militaire et écono-
mique récent, des actions ont été
lancées partout dans le monde. Un
mouvementgénéralqui,malgrélacrise
et les réductions de budget, trahit l’im-
portance accordée au sujet : la cyber-
défense tout comme la cybersécurité
sontaujourd’huidevenuesdespriorités
politiques. Pour les entreprises, ces
démarches sont autant des opportu-
nités que des contraintes.
Protéger les entreprises en cas
d’atteinte à leur SI
En France, de nombreuses lois ont
progressivement intégré la com-
posante sécurité de l’information.
Parmi les plus marquantes, nous
pouvons citer :
• La loi Godfrain qui sanctionne
les intrusions dans les systèmes
informatiques ;
• La loi sur le secret des
affaires : 2012 a vu l’adoption
en première lecture d’un texte
qui n’est pas encore allé plus
loin dans le processus législa-
tif. Inspiré du Cohen Act des
États-Unis mais aussi d’autres
textes européens, cette loi défi-
nit la notion « d’informations
protégées relevant du secret
des affaires d’une entreprise »
et introduit le délit de divul-
gation de ces informations.
Jusqu’ici, en cas de fuite, les
responsabilités pouvaient être
recherchées pour vol, abus de
confiance ou encore violation
de propriété intellectuelle. Il
est difficile de faire reconnaître
des délits « virtuels » touchant
des données immatérielles non
reconnues par le code pénal.
Les peines prévues dans ce
nouveau texte sont largement
plus dissuasives : 3 ans de pri-
son et 375 000€ d’amendes.
Dans ce nouveau cadre, les
entreprises auront intérêt à iden-
tifier les données concernées,
les marquer et mettre en place
les mesures de sécurité ad hoc
pour assurer la recevabilité d’une
plainte devant un tribunal.
Néanmoins, ce mouvement d’accom-
pagnement aux entreprises reste en
retrait par rapport à d’autres textes de
loi, qui leur imposent de nombreuses
exigences en matière de protection
des données.
Protéger les données à caractère
personnel et la vie privée
En France, la loi Informatique et
Libertés de 1978 a été modifiée en
2004, renforçant les pouvoirs de la
CNIL et les obligations d’information.
Le projet de règlement européen sur
la protection des données à caractère
personnelprévupour2014-2015amè-
nera de nombreuses nouveautés pour
renforcer la protection de la vie privée
numérique.
Tout d’abord, il allègera les formalités
administrativesenpassantd’unrégime
déclaratif à l’obligation de nommer un
délégué à la protection des données.
Cette mesure s’accompagnera d’un
alourdissementdessanctions:jusqu’à
1 M€ d’amende ou 2% du CA. Elles
prendront donc une dimension autre
quesymboliquepourlesgéantsduweb
comme Google ou Amazon…
Enfin, l’obligation de notifier toute
violation d’un traitement de données
à caractère personnel sera élargie
à toutes les entreprises. Le Paquet
Telecoms impose déjà depuis 2011
auxopérateursdetélécommunications
de prévenir les autorités, puis si besoin
lespersonnesconcernéesparunefuite
de données à caractère personnel.
Demain, ce sont toutes les entreprises
qui seront concernées, quel que soit
leur secteur.
Les États contre-attaquent
Trois axes de réglementation
Trois axes de règlementation
7. Octobre 2013 - Les Synthèses © Solucom 7•
En parallèle, l’Europe propose
une directive sur la sécurité des
réseaux et de l’information qui va
dans le même sens que cette loi
en élargissant le dispositif à une
coopération européenne.
Des textes à la pratique :
ressources humaines et
matérielles se voient renforcées
Afin de franchir une nouvelle étape
dans sa capacité de protection, l’État
français lance des actions sur d’autres
axes.
Le premier est celui des ressources
humaines. Il s’agit de développer
les compétences dans ce domaine
et de former des experts à même
de répondre à ces nouvelles situa-
tions. Si le Ministère de la Défense
va voir ses effectifs diminuer de
plus de 34 000 emplois (-12,5%)
d’ici 2019, certaines entités vont
au contraire être renforcées. Ainsi,
l’entité « Maîtrise de l’informa-
tion » de la DGA (DGA-MI) va recru-
ter 200 personnes d’ici à 2017
(+17%) et l’ANSSI encore près de
140 personnes d’ici 2015 (+39%).
Cette dernière devrait compter près
de 500 personnes 6 ans après sa
création.
Au-delà de spécialistes, il est néces-
saire de faire de la sécurité de l’in-
formation un incontournable de tout
cursus de formation informatique afin
de développer les compétences, mais
aussi l’appétence, des informaticiens
de demain sur ces sujets. En outre, la
volonté de constitution d’une réserve
de spécialistes de la cyberdéfense est
affichée.
Le second axe veut favoriser l’inves-
tissement dans des produits de sécu-
rité maîtrisés ce qui, complété par un
renforcement des politiques d’achats,
devrait permettre à l’État d’avoir toute
confiance en ses fournisseurs. Les cré-
dits consacrés aux études amont sont
ainsi en train d’être triplés, passant de
10 à 30 M€ par an.
Le troisième et dernier axe s’attache
aux comportements humains. Il
s’agit de sensibiliser les employés
des entreprises, pour prévenir au
maximum les incidents, mais aussi
plus largement tous les utilisateurs
d’internet qui peuvent être ciblés
par la cybercriminalité au travers de
phishing, waterholing, etc.
Protéger les services essentiels
de l’État
En cours d’adoption, la loi de
programmation militaire imposera
la notification des atteintes à la
sécurité de leur SI aux Opérateurs
d’importance vitale (OIV),
les entreprises et organismes
névralgiques du pays dans les
différents secteurs (santé, énergie
et transport notamment). Elle
donne à l’ANSSI des responsabilités
associées : il s’agit ainsi d’imposer
des mesures de protection, de
détection et traitement des incidents
touchant les systèmes sensibles. De
nombreuses entreprises publiques
et privées sont concernées sur leur
périmètre d’importance vitale et
devront mettre en place les mesures
définies par l’ANSSI sous peine de
sanctions pénales.
Le champ d’action défensif de
l’ANSSI sera également renforcé, lui
permettant « d’accéder à un serveur
informatique à l’origine d’une attaque
afin d’en neutraliser les effets ». Des
dispositifs juridiques sont prévus
pour que ces actions ne rentrent pas
dans le champ des articles 323-1,2
et 3 du code pénal qui répriment des
actions de ce type.
8. 8• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Évaluer votre attractivité pour organiser
efficacement votre réponse
Les États ne pourront pas résoudre
tous les problèmes liés à la cybercri-
minalité. C’est la raison pour laquelle
il est indispensable que les entre-
prises se dotent de moyens pour agir
contre ce phénomène. Ces mesures
ne pourront être efficaces sans la
mise en place de plans d’actions
coordonnés et soigneusement réflé-
chis. Et ces plans doivent être adap-
tés aux enjeux métiers de chaque
entreprise pour être plus pertinents
et efficaces.
Identifier ce qui pourrait motiver
les cybercriminels…
Première étape d’une démarche
de lutte contre la cybercriminalité,
l’évaluation de l’attractivité consiste
à évaluer quel serait l’intérêt pour un
cybercriminel d’attaquer l’entreprise.
Pour cela, il est nécessaire d’évaluer
à la fois les menaces qui peuvent
peser sur l’entreprise et ce que les
attaquants chercheraient à obtenir.
Le secteur d’activité et le positionne-
ment sur le marché sont des éléments
déterminants. À titre d’exemple, le
secteur de la finance reste une cible
privilégiée pour les vols de données
clients ou les fraudes. Ces attaques
sont plutôt réalisées par des cyber-
criminels opportunistes qui visent
les entreprises les moins bien pro-
tégées. Le secteur de l’industrie est,
lui, visé majoritairement pour ses
données stratégiques et la propriété
intellectuelle. Les attaquants auront
la volonté de prendre le contrôle
du système d’information et de s’y
installer dans la durée pour voler les
données stratégiques au fil de l’eau.
…afin de mieux cibler
les réponses à apporter
Suite à cette analyse de la menace,
il est nécessaire de procéder à une
identification rapide des actifs clés de
l’entreprise. Cette action, menée avec
les métiers, permettra d’identifier les
périmètres géographiques et tech-
niques potentiellement les plus ciblés.
Loin de viser une analyse exhaustive, il
s’agit à ce niveau d’identifier les 10 ou
15 périmètres les plus sensibles. Il
est en effet illusoire de tout protéger.
Habituellement, les systèmes de vente
en ligne, les centres de R&D, les popu-
lationsCOMEXsontdespérimètresqui
ressortent des analyses.
Au-delà de données internes, les
relations entretenues avec certains
partenaires et / ou clients peuvent
augmenter l’attractivité de l’en-
treprise aux yeux d’attaquants.
C’est particulièrement vrai pour les
grands fournisseurs informatiques
qui détiennent de très nombreuses
données et des accès multiples aux
SI de leurs clients.
Les impacts tels que les pertes finan-
cières et les pertes de savoir-faire ou
avantage concurrentiel seront bien
entendu au cœur de la réflexion. Mais
les problématiques liées à l’image de
l’entreprise vis-à-vis de son écosys-
tème et / ou de ses clients sont aussi
à prendre en compte.
Cette évaluation doit s’inscrire dans
une revue régulière des risques avec
les métiers. En effet, les périmètres
de risques peuvent très largement
changer : acquisitions, lancement
de projets innovants, communica-
tion externe sur de nouveaux projets,
etc. Tout peut être l’occasion pour les
cybercriminels de lancer une cam-
pagne d’attaques. L’évaluation doit
donc être inscrite dans la démarche
de gestion des risques globale.
Une fois cette analyse effectuée, il
faut choisir les meilleurs moyens de
réponse, qu’ils soient organisation-
nels ou techniques.
La cybercriminalité touche tous les secteurs d’activité
Répartition des incidents de cybercriminalité par secteur d’activité
9. Octobre 2013 - Les Synthèses © Solucom 9•
Les assurances dédiées à la couverture
des risques liés à la cybercriminalité
(communément appelées cyberassu-
rances) sont une solution permettant
deréduirelesimpactssurdeuxaxes.Le
premier correspond au recouvrement
des coûts lié à une attaque cybercri-
minelle, tandis que le second vise à
diminuer l’impact de l’incident par
un apport d’expertise. Cela permet de
gagnerenréactivitéetenmaîtrisegrâce
àdesspécialistesfinancésoumobilisés
par l’assureur.
Aujourd’hui, ces assurances peuvent
apparaître comme une solution de
protection miracle à l’évolution de la
cybercriminalité et comme un outil
pour répondre à l’évolution de la règle-
mentation sur la notification en cas de
fuitededonnéesàcaractèrepersonnel.
Ces futures obligations font augmen-
ter les coûts de gestion des incidents
mais aussi la probabilité de recours
des clients auprès de l’entreprise...
Choisir une assurance en
fonction de votre exposition
Si elle ne peut empêcher les inci-
dents, la cyberassurance est une
des composantes à étudier et inté-
grer le cas échéant à la réponse
face à la cybercriminalité. Elle
n’est cependant pas une solu-
tion adaptée à tous les contextes.
Elle doit être considérée en particu-
lier si l’entreprise est dans l’un des
cas suivants :
• Les attaques potentielles ont
des conséquences mesurables
et donc remboursables (par
exemple la perte de chiffre
d’affaires sur un site de e-com-
merce) ;
• L’entreprise dispose d’un SI for-
tement exposé sur internet où
elle gère de nombreuses don-
nées personnelles. Ces deux fac-
teurs augmentent la probabilité
d’une attaque et donc l’intérêt
d’une assurance ;
• Elle dispose d’un manque d’ex-
pertise sur le sujet de la cybercri-
minalité et souhaite pouvoir dis-
poser d’une capacité de réaction
rapide. Elle s’intéressera alors
aux offres packagées des cybe-
rassureurs, qui lui apporteront
en cas de sinistre des experts
dans plusieurs domaines (juri-
dique, communication, gestion
de crise, forensics, etc.).
Bien souscrire pour bien vous
protéger.........................
Le processus de souscription consti-
tue le pilier fondateur d’un transfert
de risques réussi. En premier lieu, le
client doit confronter les risques à
couvrir avec ceux déjà couverts par
les assurances déjà souscrites. Pour
ce faire, une analyse de risques et
un bilan assurantiel impliquant
toutes les parties de l’entreprise sont
nécessaires.
Dans un second temps, il convient de
choisir le courtier le mieux à même
de répondre aux attentes. Il sera jugé
sur son expertise cyber, sa capacité à
offrir une couverture multi-assureurs
et les modalités d’accompagnement
au cours de la vie du contrat. Courtier
et client échangent alors sur la nature
même des risques à traiter, ainsi que
sur la maturité du client. Le courtier
identifie ensuite, grâce à sa connais-
sance poussée du marché, les assu-
reurs les plus à même de répondre
au besoin. Il sera alors temps d’en-
tamer les négociations sur les critères
classiques des assurances : montant
de couverture, prime et franchise.
Une réunion de marché permettra
aussi aux assureurs de comprendre
le risque pris en échangeant sur les
mesures de sécurité en place.
Une fois le contrat en place, il faudra
informer régulièrement l’assureur et
le courtier des évolutions du péri-
mètre et mettre en place les proces-
sus de déclaration et d’utilisation des
services prévus. Une revue régulière
permettra également en théorie
d’ajuster le montant de la prime.
Une solution émergente :
la cyberassurance
Les chiffres clés de la
cyberassurance
• Capacité du marché (montant
maximum de couverture) : +/-
20 M€ par assureur, possibilité
d’aller jusqu’à 100 à 150 M€ en
contrat multi-assureurs.
• Prime : 1 à 5% du montant
annuel garanti;
• Franchise : de 200 K€ à plus
de 1 M€ pour les grands comptes
(à partir de 5 K€ pour les PME).
Frais couverts par les cyberassurances
10. 10• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Adapter votre gestion de crise
à la cybercriminalité avancée
Aujourd’hui, les entreprises dispo-
sent de processus de gestion des
incidents à même de traiter des
situations classiques (virus ou indis-
ponibilités). Ces moyens ne sont pas
adaptés aux nouveaux scénarios de
crise, et en particulier aux attaques
ciblées.
A contrario, le dispositif de gestion de
crise est conçu et mis en place pour
adresser des événements « disrup-
tifs » majeurs qui interrompent ou
modifient le fonctionnement au
quotidien de l’organisation. C’est
un dispositif avant tout managérial,
qui repose sur plusieurs briques
complémentaires :
• Des mécanismes d’alerte ;
• Des personnes capables d’ana-
lyser et qualifier les alertes
remontées par les processus de
l’entreprise ;
• Des personnes capables de réa-
gir, traiter opérationnellement et
prendre des décisions.
Faire face à une menace discrète
et évolutive : 8 conseils éprouvés
pouradaptervotregestiondecrise
Plusieurs enseignements issus du
traitement de crises récentes chez des
grandscomptesfrançaissontàprendre
en compte dès maintenant pour faire
évoluer le dispositif de crise et se pré-
parer à une attaque ciblée.
1. Prendre du recul face aux inci-
dents unitaires........................
Les incidents de sécurité font la
plupart du temps l’objet d’un traite-
ment unitaire. Résolus un par un, il
est difficile d’établir un éventuel lien
entre eux. Il faut donc prendre le recul
nécessaire afin de détecter des com-
portements dangereux qui se cachent
derrière plusieurs anomalies d’appa-
rence bénigne, sans exclure la pos-
sibilité d’actes de diversion (attaque
de manière visible sur des éléments
finalement peu sensibles, durant les
périodes d’inactivité comme la nuit,
etc.).
2. Mobiliser les métiers................
Il faut absolument éviter de considérer
de telles crises comme des incidents
purement informatiques : il s’agit en
réalité d’incidents métiers, puisque ce
sont principalement eux qui en subis-
sent les impacts. Les métiers doivent
donc être en première ligne avec des
équipes capables d’identifier les sys-
tèmes et données critiques.
3. Mettre en place une organisation
en miroir des attaquants....................
Les retours d’expérience de crises
majeures des dernières années ont
montré que les attaquants sont de plus
en plus structurés autour de profils dis-
tincts avec des expertises variées.
Le pilote de l’attaque est le « cerveau »
qui a la compréhension des enjeux, de
la cible et la connaissance de l’infor-
mation recherchée. Les équipes d’in-
trusion sontspécialisées dansl’infiltra-
tion : leur rôle est d’enfoncer les portes
du SI. Elles disposent potentiellement
de compétences techniques avancées
et ont pour but de maintenir leur pré-
sence le plus longtemps possible. Les
données sont ensuite extraites par
une troisième équipe, souvent moins
compétente et qui peut parfois réaliser
deserreurstrèsutilespourcomprendre
l’objectif de l’attaque et les moyens
mis en œuvre.
Ilfautdoncs’organiserenconséquence.
Les métiers doivent mettre en place
des équipes de réaction dédiées pour
identifier les systèmes et données cri-
tiques. Côté SI, les équipes forensics
ont pour tâche de comprendre le fonc-
tionnement des attaques et donner les
Les attaques ciblées, un nouveau défi pour la gestion de crise
Les attaques ciblées ont pour spécificité de viser des informations et systèmes sensibles dans une entreprise. Ses
auteurs sont mandatés pour viser une cible avec un objectif clair : voler ou altérer des données confidentielles,
détruire le SI, etc. Le niveau de technicité et les moyens disponibles peuvent s’élever drastiquement.
Ces crises, qui amènent à une prise de contrôle généralisée du SI dans la durée, sont à la fois les plus redoutées,
celles qui peuvent causer le plus de dégâts dans l’entreprise, mais aussi celles auxquelles les entreprises sont
aujourd’hui le moins préparées. En effet, peu d’entre elles les ont intégrées à leurs scénarios de crise. Il s’agit
souvent d’une succession d’attaques silencieuses : prises unitairement, leurs effets sont bénins, mais leur articu-
lation amène à une large compromission. C’est également la raison pour laquelle leur existence est généralement
détectée bien après leur démarrage : en moyenne, presque un an.
« Les incidents de cybercriminalité sont per-
çus à tort comme des problèmes informa-
tiques alors qu’il s’agit de crises métier »
11. Octobre 2013 - Les Synthèses © Solucom 11•
sieurs mois, dont il est parfois délicat
de discerner le début et la fin.
Eneffet,unefoislesattaquesjugulées,
les efforts sont loin d’être terminés :
des actions de reconstruction sont
nécessaires. Il faut recréer des zones
de confiance, en privilégiant d’abord
les fonctions les plus sensibles de l’en-
treprise. Il faut également mettre sous
surveillance ces zones assainies.
6. Éviter le phénomène de la « pyra-
mide inversée »......................
Enfin, attention à ne pas subir un
phénomène de « pyramide inversée »
créant des équipes à deux vitesses : les
acteurs décisionnels de la gestion de
crise en sureffectif par rapport à des
acteurs opérationnels du SI, eux sub-
mergés. Ceux-ci, seuls à disposer de la
connaissance pour réaliser les actions
techniques sur le SI, reçoivent souvent
trop d’ordres contradictoires dans un
faible intervalle de temps.
7. Penser des solutions SI dégra-
dées indépendantes...........
Il est parfois nécessaire d’innover
durant ce type de crise, et passer s’il
le faut par des mesures exception-
nelles, comme l’utilisation de moyens
informatiques alternatifs. Il s’agit par
exemple de postes de travail décon-
nectés du SI compromis, et donc hors
de portée des attaques, ou encore
d’adresses e-mail externes à l’abri des
regards des attaquants en utilisant des
services demessagerieCloudougrand
public.
8. Prévoir les interactions externes
Un contact en mesure de conserver
les informations relatives à la crise
confidentielles doit être identifié au
préalable chez chacun des acteurs
extérieurs impliqués dans une crise
cybercriminalité – forces de l’ordre,
assureurs, autorités de contrôle.
éléments techniques d’identification,
tandis que les équipes de réaction SI
doiventpenserlareconstructiondansla
durée, afin de ne plus subir à nouveau
ce type d’intrusion.
Au cœur du dispositif, il est nécessaire
qu’une cellule de pilotage coordonne
l’ensemble de ces acteurs. Notons que
de nombreuses fonctions transverses
doivent être impliquées : la direction
juridique, la communication, la rela-
tion client ont notamment un rôle
important à jouer durant la crise.
4. Se doter de compétences forensics
et d’un outillage adapté pour com-
prendre l’attaque.........................
Comprendre la succession d’évène-
ments nécessite des équipes dédiées
avec des compétences de foren-
sics (investigation numérique). Ces
équipes doivent disposer de moyens
techniques, outils d’analyse de traces,
accès aux journaux, plate-forme de
stockagedesélémentstechniques,etc.
5. Anticiper dès maintenant une
crise au long cours........................
L’un des aspects importants des com-
promissions avancées est leur durée :
il s’agit alors de gérer des crises de plu-
Adapter sa structure de gestion de crise à l’attaque
12. 12• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
selon une étude Ponemon Institute
en 2012, 83% des victimes d’une
fuite de données pensent que l’en-
treprise n’est pas digne de confiance.
Il s’agit donc de réagir de manière à
minimiser cette perception en com-
muniquant de manière adaptée.
Identifierlesscénariosredoutéspour
préparer la notification aux clients
Pour initier la démarche, l’entreprise
doit se positionner sur les scénarios
de risques qu’elle souhaite couvrir, en
identifiant les scénarios redoutés les
plus critiques, de par leur probabilité
ou leur impact. Par exemple, un site
de vente en ligne sera plus exposé à
un vol de données clients par le web
qu’un hôpital qui redoutera plutôt une
attaque en profondeur sur le SI pour
collecter des données médicales.
Plusieurs actions devront être réa-
lisées en amont : cartographie des
données à caractère personnel,
évaluation du degré de protection
Vous préparer à la notification des fuites
de données à caractère personnel
Les exigences de notification
des incidents se renforcent peu
à peu. Demain, c’est l’ensemble
des incidents de sécurité que les
OIV en particulier devront notifier
à l’ANSSI sous peine d’amende.
Une nécessaire coordination devra
donc être mise en place entre les
différents acteurs concernés. En
attendant, le sujet le plus urgent
à traiter est celui de la notifica-
tion relative aux clients car il a
un impact direct et visible sur
l’image de marque de l’entreprise.
De nouvelles obligations liées
aux données à caractère per-
sonnel pour les entreprises
Les obligations sont doubles : d’un
côté, il s’agit de notifier aux autorités
compétentes (la CNIL en France) la
violation du traitement de données
à caractère personnel, et de l’autre
de notifier l’incident aux personnes
concernées s’il représente un risque
d’atteinte à leur vie privée.
La notification devra se faire sous
24h à partir du moment où l’atteinte
aux données est découverte. S’il
peut s’avérer compliqué de donner
les détails nécessaires sur l’incident
dans les premières heures de la crise
(nombre de personnes touchées,
nature de l’incident, etc.), il est
préférable de réaliser tout de même
la notification dès que possible.
Des compléments d’informations
pourront par la suite être remis à
l’autorité (dans les 3 jours).
Et si l’obligation réglementaire de
notification aux personnes ne touche
aujourd’hui qu’une poignée d’entre-
prises, nombre sont celles qui le font
déjà dans un souci de transparence
ou sont contraintes de fait de réali-
ser cette notification : une fois l’in-
formation ébruitée par les médias,
elle devient inévitable. La remise
en cause de la confidentialité des
données des clients conduit à une
perte de confiance dans la relation :
Coordonner les différentes notifications aux autorités
Si la notification aux personnes concernées nécessite de manière évidente une bonne maîtrise de la commu-
nication, il ne faut pas sous-estimer la notification aux autorités et mettre en place des procédures efficaces.
Des fuites de données à caractère personnel…
L’interlocuteur en charge des notifications de violation de traitements de données à caractère personnel doit être
connu et identifié par les équipes qui détectent les incidents et gèrent la crise, et intégré dans les communica-
tions de crise SI. Il s’agit bien souvent du correspondant habituel de la CNIL pour les formalités déclaratives et
les contrôles, en support du service juridique.
…qui sont des incidents de sécurité
D’autres autorités comme l’ANSSI ou certains services de l’État peuvent être à inclure dans la démarche de
notification.
Il sera donc nécessaire de capitaliser sur les acteurs impliqués et les processus mis en place pour les fuites de
données à caractère personnel pour assurer la fluidité et la cohérence des notifications aux différents organismes :
cohérence des informations et des mises à jour, simultanéité des notifications, etc.
Attention, les enjeux de notification peuvent parfois s’opposer. Entre transparence et confidentialité, un juste
équilibre devra être trouvé conjointement avec les autorités.
13. Octobre 2013 - Les Synthèses © Solucom 13•
actuel (en particulier existence de
chiffrement pour limiter le risque
de devoir notifier les clients) mais la
grande nouveauté vient des réflexions
sur la notification en elle-même et sur
les impacts dans l’entreprise.
Au-delà du risque pour elle, elle doit
également analyser ceux du point de
vue de l’individu et placer la vie privée
comme enjeu premier afin de préve-
nir la fraude financière, l’usurpation
d’identité, etc. Les questions clés à
se poser pour qualifier le risque d’at-
teinte à la vie privée seront donc les
suivantes :
• À quand remonte l’incident ?
• Quelles sont les données
concernées par l’incident au
sein du SI ?
• Quels types de données sont
concernés (identification, mode
de vie, etc.) ?
• Qui est concerné par les données
atteintes (collaborateurs, clients,
etc.) ?
• Quel est le nombre de personnes
affectées ?
• Et surtout, quel usage mal-
veillant peut-il en être fait
avec des conséquences
néfastes pour les individus
(sécurité des personnes,
réputation, financier, etc.) ?
- De par leur nature : don-
nées médicales, opinions, etc.
- De par l’usage : données ban-
caires, état civil, etc.
Le résultat de cette analyse doit
permettre de définir le contenu de
la communication mais aussi si
la personne concernée doit elle-
même réaliser une action pour
réduire le risque, par exemple,
un changement de mot de passe.
Construire le plan de réponse
d e m a n i è r e a n t i c i p é e
Cadrer en amont les grandes lignes
d’un plan de réponse permet d’être
plus réactif le jour où un incident sur-
vient, car l’ensemble des acteurs à
mobiliser (relation client, marketing,
RSSI, juristes, etc.) aura déjà tra-
vaillé ensemble. Les canaux de com-
munication doivent être identifiés et
sélectionnés en fonction des canaux
utilisés avec les clients : courrier,
email, appel téléphonique, agence,
etc. Identifier les solutions logistiques
associées à la communication permet-
tra une réactivité plus importante le
jour J : capacité à contacter les clients
(connaissance des adresses postales
et électroniques), redimensionnement
des capacités du CRC, impression de
courriers en masse, assistance aux
clients victimes de fraude.
Pour éviter des effets désastreux, le
contenu de la notification doit égale-
ment être travaillé pour maximiser la
perception positive de la communica-
tion. Une étude Ponemon Institute a
montré que 61% des destinataires de
notifications les trouvent trop compli-
quées à comprendre : la part à appor-
ter aux explications et à la vulgarisa-
tion des concepts techniques parfois
compliqués prend toute son impor-
tance ! Il est également nécessaire
de présenter les risques identifiés et
de rassurer sur les actions mises en
œuvre pour protéger les données et
éviter que l’incident ne se reproduise.
La description des actions à réaliser,
les ressources complémentaires (tuto-
riels, etc.) et les contacts sont impor-
tants à mentionner pour permettre aux
clients d’en savoir plus.
Une étude menée par AllclearID a en
effet montré que 20% des personnes
notifiées cherchent à contacter l’en-
treprise pour avoir plus d’éléments et
passent entre 5 et 20 minutes avec le
service clients, ce qui peut entraîner
en plus une paralysie des canaux de
vente. Il s’agit donc bien là de bonnes
pratiques indispensables à prendre en
compte pour préserver la relation avec
les clients.
« 83% des victimes d’une fuite de données
pensent que l’entreprise concernée n’est pas
digne de confiance »
1 2 3
Les étapes préalables à la notification
14. 14• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Repenser votre modèle de sécurité pour
l’adapter aux nouvelles menaces
L’objectif a longtemps été pour les
entreprises d’empêcher des intrusions
sur leur SI. Cette approche, si elle a
de nombreuses vertus, est dépassée
par des attaques qui contournent
facilement les mesures de sécurité
usuelles (correctifs, antivirus, etc.). Il
faut aujourd’hui accepter le caractère
inévitable des intrusions, et donc se
préparer à y faire face. Pour cela, le
modèle de sécurité doit répondre à
un objectif de protection ciblée, de
détection et de réaction large.
Protéger les périmètres sensibles
Il faut dans un premier temps identi-
fier et « sanctuariser » les périmètres
les plus sensibles : les applications
métier vitales, les données critiques
ainsi que les collaborateurs qui les
manipulent, ou encore les infras-
tructures informatiques dont la
compromission pourrait avoir un effet
désastreux (système de gestion du SI,
outils d’administration, etc.).
Cette protection passe par la construc-
tion de bastions sécurisés. Ils seront
particulièrement surveillés grâce à
des équipes et des moyens dédiés
(annuaire spécifique, pare-feux,
mécanismes de chiffrement, outils
de surveillance, alerte sur modifica-
tion, etc.). Il s’agit de les considérer
comme des îlots indépendants du SI.
Il sera aussi essentiel d’adopter une
approche de sécurisation drastique
des postes de travail concernés.
D’autre part, dans l’objectif de
rapprocher les protections au plus
près des données, la mise en place
d’une cellule de sécurité applicative
est une bonne pratique encore peu
répandue. Son rôle est d’agir sur la
robustesse des applications internes,
tant au moment de leur conception
que durant leur cycle de vie (correc-
tifs, mises à jour, etc.). Cette ini-
tiative doit aussi être portée par les
équipes internes mais aussi étendue
à l’ensemble des prestations exter-
nalisées (développement, héberge-
ment, Cloud, etc.).
En particulier, les applications métiers
les plus exposées pourront faire l’ob-
jet de mesures spécifiques : ana-
lyse temps réel des transactions,
alerte et blocage de flux en cas de
fraudes, authentification basée sur
les risques, contrôle d’intégrité, etc.
Mettre en place des disposi-
tifs techniques ciblés...........
Se préparer à lutter contre des
attaques cybercriminelles passe
aussi par l’utilisation de solutions
innovantes dédiées à ces nouvelles
menaces. Sans prétendre à l’ex-
haustivité, nous vous proposons
quelques approches qui peuvent
s’avérer efficaces pour lutter contre
certaines catégories de cybercrimina-
lité. Attention, pour bien fonctionner,
ces solutions technologiques devront
toujours être accompagnées d’un dis-
positif humain adapté.
Se protéger contre les DDoS.......
Les DDoS, attaques par saturation
d’un système afin de le rendre indis-
ponible, sont devenues très cou-
rantes. L’approche classique pour
s’en protéger consistait à réagir avec
l’opérateur télécom concerné en cas
d’attaques : une solution longue à
déclencher et très impactante.
De nouvelles méthodes consistent à
placer des mécanismes permettant
de surveiller les tentatives de déni
de service. Si une attaque est détec-
tée, le trafic réseau est dévié auprès
d’un fournisseur Cloud ou chez un
opérateur. Disposant de l’outillage
nécessaire pour nettoyer le trafic en
isolant la partie malveillante puis en
routant uniquement les flux légitimes
vers l’entreprise. Une fois l’attaque
passée, le trafic reprend son chemin
normal.
Mettre en place des « bacs à sable »
d’analyse des fichiers.................
Les antivirus fonctionnent depuis
longtemps à l’aide de signatures : si
un fichier ou une attaque répond à un
certain nombre de critères précis, il
est détecté comme malveillant. Cette
approche montre chaque jour un peu
plus ses limites avec les failles dites
0-day (encore non divulguées publi-
quement). Une méthode aujourd’hui
plus efficace est de simuler dans un
« bac à sable » l’exécution de tout
fichier circulant sur le réseau. Si le
fichier a un comportement suspect,
le système de protection peut alors
le bloquer.
Séparerlesusagesselonleursensibilité...
Les utilisateurs traitent souvent
sur le même ordinateur des infor-
mations sensibles, des documents
bureautiques, ou encore des fichiers
personnels.
Si l’utilisation de machines diffé-
rentes pour chaque niveau de sen-
sibilité est toujours difficile pour des
raisons bien évidentes de coûts et de
complexité d’usage, la virtualisation
peut être une réponse technique à ce
besoin. Sur un même poste, il exis-
terait alors plusieurs environnements
(confidentiel, bureautique, person-
nel, etc.) étanches et disposant cha-
cun du niveau de sécurité idoine.
Réduire les privilèges des admi-
nistrateurs...........................
Un chantier de diminution des droits
administrateurs doit également être
engagé. Trop souvent, les comptes se
démultiplient et les pratiques d’ad-
ministration sont dangereuses (utili-
sation de poste connecté à internet
par exemple). Au-delà de l’utilisation
de postes dédiés, des plates-formes
de rebond doivent être utilisées pour
tracer les actions d’administration.
15. Octobre 2013 - Les Synthèses © Solucom 15•
Se doter d’un dispositif de
détection et de réaction élargi
Les entreprises doivent être en mesure,
lorsqu’une attaque survient, de la
détecter, de l’analyser et de réagir
correctement.
Renforcer ou créer un SOC / CERT...
Avant même d’envisager le déploie-
ment de solutions techniques à large
échelle, il est nécessaire de se doter
des compétences en interne pour coor-
donner la détection des incidents et
les réactions avec le recul nécessaire.
Un centre des opérations sécurité
(aussi appelé SOC, CERT ou encore
CSIRT) devra être créé ou renforcé.
Ses activités s’articulent autour de
trois axes :
• La prévention des attaques,
à travers des actions de
veille et de gestion des vul-
nérabilités informatiques ;
• La surveillance du SI et d’inter-
net, à travers la détection d’inci-
dents et le suivi d’indicateurs de
compromission mais aussi pour
suivre et détecter les usages
malicieux de votre identité
(phishing, noms de domaines,
réseaux sociaux) ;
• La gestion de crise : il sera le
pilote technique des crises de
cybercriminalité, apportant
l’expertise permettant de com-
prendre les incidents et réduire
leurs impacts.
Lors d’une attaque, il peut être le
maître d’œuvre de réaction plus
« active » (demande de fermeture des
sites utilisés pour l’exfiltration, envoi
de fausses informations, etc.) interve-
nant en dehors du SI de l’entreprise
concernée.
Renforcer les opérations de détection
enprofitantdelapuissancedu Cloud...
En parallèle de cette structure, il est
nécessaire de renforcer l’outillage de
surveillance du système d’information.
Mise en place de politique de journa-
lisation et centralisation des journaux
des équipements de sécurité et des
serveurs les plus sensibles sont les
premières actions à réaliser. D’autres
plus avancées peuvent être envisagées,
comme par exemple l’externalisation de
cette surveillance auprès d’un MSSP
(Managed Security Service Provider),
ou encore le recours à des outils de cor-
rélation des journaux, voire en utilisant
des approches Big data.
Par ailleurs, les éditeurs de solutions
de sécurité proposent de plus en plus
d’outils s’appuyant sur une approche
Cloud, dont le principe est d’envoyer
les données à analyser à l’éditeur plutôt
que de reposer entièrement sur un outil
déployé en interne. Il est ainsi possible
de profiter de l’expérience acquise par
le fournisseur au cours d’attaques pré-
cédentes (notamment au sein d’autres
entreprises) et de faire intervenir des
experts en sécurité pour une analyse
en temps réel.
Connaître le
niveau de
vulnérabilités
du SI
Rôles et activités du CERT
16. 16• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Conclusion
Les États investissent, les entreprises doivent emprunter le même chemin
Aujourd’hui, l’État a compris les enjeux de la cybersécurité et investit fortement dans ce domaine. En regard, les
grandes entreprises adoptent une approche encore trop timorée et réductrice face à l’évolution des menaces. Et si
certaines ont su avancer, c’est bien souvent après avoir été durement touchées par un incident. Les directions générales
commencent à prendre conscience des risques mais les investissements restent largement en retrait - souvent car il
est difficile d’avoir une idée claire de la stratégie à suivre face à une menace en constante évolution.
Changer de posture : allier protection, détection et réaction
Au vu du niveau d’expertise des cybercriminels et de la faiblesse, par construction, des systèmes d’information, il est
impossible d’empêcher toutes les attaques de réussir. Une nouvelle posture doit être adoptée, alliant une protection
avancée des périmètres les plus sensibles et une forte capacité de détection et de réaction aux attaques.
Cet équilibrage passe par une évaluation de l’attractivité de l’entreprise pour les cybercriminels et par la définition
d’une cible parmi la profusion de solutions techniques, organisationnelles et juridiques adressant la cybercriminalité.
Aucune solution ne répond intégralement au problème, la bonne approche se trouve dans une articulation de ces
différentes solutions.
Construire sa stratégie face à une profusion de solutions
À réaliser en priorité, un exercice de gestion de crise sur un ou plusieurs scénarios pertinents pour les métiers permettra
de prendre conscience du degré de préparation de l’entreprise. Il sera structurant pour définir les chantiers à court
terme, telle que la cyberassurance ou les solutions techniques ciblées (lutte contre les dénis de service, protection
des VIP, surveillance d’actifs sensibles, etc.). La préparation aux notifications des incidents aux clients et la mise en
place ou le renforcement du SOC et son outillage devront également être envisagés dès aujourd’hui pour porter leurs
fruits à moyen terme.
8
Une mobilisation transverse nécessaire
17. Octobre 2013 - Les Synthèses © Solucom 17•
Lutter contre la cybercriminalité, c’est combiner l’ensemble des compétences de l’entreprise
Le programme de lutte contre la cybercriminalité demande une mobilisation transverse au sein de l’entreprise, y com-
pris d’acteurs encore éloignés de ces problématiques aujourd’hui. L’animateur de ce programme est le plus souvent le
Responsable de la sécurité de l’information. Le Risk manager et / ou le DSI doivent aussi jouer des rôles déterminants,
voire porter le sujet dans certains contextes. Vu la diversité des thèmes, l’ampleur des changements et les impacts
potentiels pour les entreprises, il sera souvent nécessaire de mettre en place une structure transverse. Celle-ci regrou-
pera des acteurs de la direction générale, du juridique, de la gestion des risques, de la DSI, de la communication, des
principaux métiers : en particulier de la relation client.
Ce comité existe déjà dans les entreprises les plus matures. Il suivra l’avancement des projets liés à la cybercrimina-
lité. Il participera et animera également le processus de gestion de crise. Un reporting régulier devra être réalisé à la
Direction générale sous forme d’indicateurs de risques.
Une fenêtre d’opportunité sans précédent pour agir
Aujourd’hui, la multiplication des attaques, des révélations et des actions des États offre une opportunité sans pareil
pour adresser le sujet de la cybercriminalité en profondeur. Les fonctions dirigeantes des entreprises ne sont plus à
sensibiliser, elles sont souvent en attente ! Il est grand temps de leur apporter une démarche claire et simple pour
protéger les clients et le patrimoine de l’entreprise dans la durée.
18. 18• Les Synthèses © Solucom - Octobre 2013
Cybercriminalité
Glossaire
ANSSI ............................
L’Agence Nationale de la Sécurité
des Systèmes d’Information, elle
assure la mission d’autorité nationale
en matière de sécurité des systèmes
d’information. A ce titre elle est char-
gée de proposer les règles à appli-
quer pour la protection des systèmes
d’information de l’État et de vérifier
l’application des mesures adoptées.
Dans le domaine de la défense
des systèmes d’information, elle
assure un service de veille, de
détection, d’alerte et de réaction
aux attaques informatiques, notam-
ment sur les réseaux de l’État.
APT ...........................................
Advanced Persistent Threats, caté-
gorie de cyberattaques vidant des
informations sensibles et précises
dans l’organisation et dont le niveau
de complexité est adapté à la cible.
Authentification forte ...............
Procédure d’identification qui
requiert l’utilisation d’au moins deux
facteurs d’authentification de nature
distinctes afin de rendre la tâche plus
compliquée à un éventuel attaquant.
Certificat ...............................
Carte d’identité numérique, il est
utilisé principalement pour identifier
une entité physique ou morale, mais
aussi pour chiffrer des échanges. Il
est signé par un tiers de confiance
qui atteste du lien entre l’identité
physique et l’entité numérique.
Cheval de Troie.(Trojan)............
Logiciel d’apparence légitime, conçu
pour exécuter des actions à l’insu de
l’utilisateur. En général, il utilise les
droits appartenant à son environ-
nement pour détourner, diffuser ou
détruire des informations. Les trojans
sont programmés pour être installés
de manière invisible, notamment
pour corrompre l’ordinateur hôte.
DDoS ................................
Distributed Denial of service attack
(attaque distribuée par deni de ser-
vice), attaque visant à rendre indis-
ponible pendant un temps indéter-
miné les services ou ressources d’une
organisation. Il s’agit la plupart du
temps d’attaques à l’encontre des
serveurs d’une entreprise, afin qu’ils
ne puissent être utilisés et consultés.
Faille 0-day ..............................
Attaque exploitant une vulnérabilité
inconnue jusqu’à ce jour dans une
application, ce qui signifie que l’at-
taque a lieu au « jour zéro » de détec-
tion de la vulnérabilité.
Forensics ..............................
Ensemble des connaissances et
méthodes qui permettent de collec-
ter, conserver et analyser des preuves
issues de supports numériques en
vue de les produire dans le cadre
d’une action en justice.
Ingénierie sociale.............
Escroquerie où des individus mal
intentionnés utilisent leurs connais-
sances (et leur audace) pour se faire
passer pour quelqu’un d’autre. Ils
vont tenter d’abuser de la confiance
de l’utilisateur, ou de sa crédulité
dans le but de lui soutirer un service
ou des informations clés.
Logs / traces ........................
Enregistrement séquentiel dans un
fichier ou une base de données de
tous les événements affectant un pro-
cessus particulier (application, acti-
vité d’un réseau informatique, etc.).
M S S P. . . . . . . . . . . . . . . . . . . . . .
Managed Security Service Provider,
infogérant proposant aux entre-
prises d’externaliser la gestion
de leur sécurité Informatique.
OIV...........................
Opérateurs d’importance vitale, ins-
tallations physiques, technologies
de l’information, réseaux, services
et actifs qui, en cas d’arrêt ou de
destruction, peuvent avoir de graves
incidences sur la santé, la sécurité ou
le bien-être économique des citoyens
ou encore le travail des gouverne-
ments des États.
Phishing .........................
Technique utilisée par des fraudeurs
pour obtenir des renseignements
personnels dans le but de perpétrer
une usurpation d’identité. La tech-
nique consiste à faire croire à la
victime qu’elle s’adresse à un tiers
de confiance afin de lui soutirer des
renseignements personnels. Elle peut
se faire par courrier électronique,
par des sites web falsifiés ou autres
moyens électroniques.
SOC / CSIRT / CERT© .................
Security operation center / com-
puter security incident response
team / computer emergency res-
ponse team : organismes chargés
d’assurer des services de prévention
des risques et d’assistance aux trai-
tements d’incidents. Ces organismes
sont des centres d’alerte et de réac-
tion aux attaques informatiques,
destinés aux entreprises et / ou aux
administrations.
Waterholing..................
Attaque se référant à un prédateur
qui se terre près d’un point d’eau
dans l’espoir qu’une proie s’y déplace
pour boire. De la même façon, un
hacker (le prédateur) utilisant cette
technique n’attaque pas directement
sa cible mais va plutôt compromettre
un site (le point d’eau) pour que
celui-ci infecte ses visiteurs.
19. Octobre 2013 - Les Synthèses © Solucom 19•
À propos de Solucom
Solucom est un cabinet indépendant
de conseil en management et
système d’information.
Ses clients sont dans le top 200
des grandes entreprises et
administrations. Pour eux, le cabinet
est capable de mobiliser et de
conjuguer les compétences de plus
de 1200 collaborateurs.
Sa mission ? Porter l’innovation au
cœur des métiers, cibler et piloter les
transformations créatrices de valeur,
faire du système d’information
un véritable actif au service de la
stratégie de l’entreprise.
Solucom est coté sur NYSE Euronext
et a obtenu la qualification entreprise
innovante décernée par OSEO
Innovation.
Découvrez SolucomINSIGHT, le
magazine en ligne de Solucom :
www.solucominsight.fr
Imaginé sous forme de « club », et porté par deux directeurs du cabinet, l’Atelier Solucom est un rendez-vous
bimestriel auquel sont conviés sur invitation une douzaine de clients. Certains sujets adressent les DSI, d’autres les
directions métiers. L’objectif ? Identifier et réfléchir avec eux aux challenges de demain et s’y préparer. Quelques
mois après chaque Atelier, la Synthèse associée est mise en ligne sur notre site internet.
Quelques thèmes récents d’Ateliers :
• L’entreprise face au risque cybercriminalité : think global !
• DSI, et si vous deveniez Cloud broker ?
• Oser la rupture dans les relations DSI / Métiers pour accélérer les transformations du SI
• Le pilotage économique : 1ère
priorité du DSI !
• Smart - au-delà du buzzword, préparez la transformation !
Pour en savoir plus sur le programme, ateliersolucom@solucom.fr
20. Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8
92042 Paris La Défense Cedex
Tél. : 01 49 03 25 00 Fax. : 01 49 03 25 01
www.solucom.fr
CopyrightSolucom-ISBN978-2-918872-18-4EAN978291872184-Responsabledelapublication :LaurentBellefin