Cyber Security F

Union
internationale
des
tlcommunications
Guide de la cyberscurit pour les pays en dveloppement
Guide
de la cyberscurit
pour les pays en
dveloppement
Union internationale des tlcommunications

Bureau de dveloppement des tlcommunications (BDT)
Place des Nations
CH-1211 Genve 20
Suisse
Pour plus dinformation, veuillez contacter:
Alexander NTOKO
Chef, Unit Cyberstratgies
E-mail: e-strategies@itu.int
Site Web: www.itu.int/ITU-D/e-strategies
Imprim en Suisse
Genve, 2006
Union
internationale
des
tlcommunications
Union
internationale
des
tlcommunications
Guide
de la cyberscurit
pour les pays en
dveloppement
UIT 2006
Tous droits rservs. Aucune partie du prsent rapport ne peut tre reproduite sous quelque forme que
ce soit, sans l'autorisation crite pralable de l'UIT.
Les dnominations et classifications employes dans le prsent rapport n'impliquent l'expression
d'aucune opinion de la part de l'Union internationale des tlcommunications concernant le statut
juridique ou autre de tel ou tel territoire, ni l'acceptation ou l'approbation d'une quelconque frontire.
Le terme pays utilis dans le prsent rapport dsigne un pays ou un territoire.
Dni de responsabilit
Les rfrences faites des pays, socits, produits, initiatives ou directives spcifiques nimpliquent
pas que lUIT approuve ou recommande ces pays, socits, produits, initiatives et directives, de
prfrence dautres, de nature similaire, mais dont il nest pas fait mention. Les opinions exprimes
dans cette publication sont celles de lauteur et nengagent pas lUIT.
PRFACE
Les technologies de linformation et de la communication (TIC) permettent de fournir des services de

base dans les domaines, entre autres, de la tlsant, de la tlducation, du commerce lectronique et
de la cybergouvernance aux populations des pays en dveloppement dans lesquels de nombreux
citoyens nont toujours pas accs des infrastructures physiques telles que les hpitaux, les coles ou
les services publics de ladministration.
Les transactions lectroniques entre mdecins et patients, laccs aux services publics administratifs en
ligne et lutilisation de linternet pour vendre des biens et des services des clients situs dans des
zones loignes sont dsormais possibles grce aux progrs raliss dans le domaine des technologies
de linformation et des tlcommunications. Les applications offertes par les technologies de
linformation et de la communication sont en passe de combler certaines difficults daccs aux
services de base et de donner les moyens aux pays en dveloppement de devenir des participants part
entire de la socit de linformation.
Toutefois, on ne pourra profiter de tous les avantages offerts par la socit de linformation quau prix
dun travail collectif de toutes les parties prenantes pour rsoudre des problmes tels que la prvention
de la destruction des informations et donnes, la protection des donnes, lauthentification des
transactions lectroniques et la lutte contre la menace globale que reprsente le cybercrime. Le vol
didentit, lenvoi de messages non dsirs, les techniques de phishing, les logiciels malveillants tels
que les chevaux de Troie, les vers ou les virus, se rpandent par del les frontires nationales, affectant
les ordinateurs des utilisateurs travers le monde.
Pour tirer profit des avantages offerts par la cyberscurit, les secteurs public et priv de tous les pays
doivent avoir une comprhension commune des dfis relever. Il est essentiel que la communaut
internationale poursuive ses efforts pour rduire la fracture de la connaissance entre les pays et
lintrieur de ceux-ci dans cet important domaine.
Ce guide de rfrence a t conu dans le but de fournir aux pays en dveloppement une meilleure
comprhension des principaux problmes rencontrs actuellement en matire de cyberscurit, mais
aussi pour promouvoir lchange des meilleures pratiques, prsenter des solutions mises en place dans
dautres pays et fournir des rfrences dans ce vaste domaine.
Jespre que ce guide rpondra aux besoins des utilisateurs, des responsables politiques, des
rgulateurs et des fournisseurs de services, en particulier dans les pays en dveloppement, lheure o
des solutions sont chafaudes pour profiter de tous les avantages quoffrent les tlcommunications et
les technologies de linformation et de la communication au profit du dveloppement social et
conomique.
Hamadoun I. Tour
Directeur
Bureau de dveloppement des tlcommunications
Prface
iii
AVANT-PROPOS
La Confrence mondiale de dveloppement des tlcommunications a charg le BDT, travers le
Programme cyberstratgies et cyberservices/applications, de concevoir des outils visant faciliter
lchange dinformations sur les meilleures pratiques, les technologies et les questions de politique
gnrale. Cest dans ce cadre, et afin de rpondre lune des priorits de ce Programme qui consiste
renforcer la scurit et la confiance dans lutilisation des rseaux publics pour les
cyberservices/applications, que le guide de la cyberscurit pour les pays en dveloppement a t
prpar.
Ce guide a t labor dans le but de fournir un outil aux pays en dveloppement pour leur permettre
de mieux comprendre certains enjeux lis la scurit des technologies de linformation, ainsi que des
exemples de solutions mises en place par dautres pays pour faire face ces problmes. Il cite
galement des rfrences permettant dobtenir de plus amples renseignements sur le sujet de la
cyberscurit. Ce guide ne constitue pas un document ou un rapport exhaustif sur le sujet, mais vise
souligner les principaux problmes que rencontrent actuellement les pays qui veulent bnficier des
avantages offerts par la socit de linformation.
Son contenu tient compte des besoins des pays en dveloppement et des pays les moins avancs dans
lutilisation des technologies de linformation et de la communication pour offrir des services de bases
dans diffrents secteurs, et de limportance de dvelopper la capacit locale et une conscience accrue
de toutes les parties prenantes.
Lors de llaboration du contenu et afin dviter toute duplication dans le traitement des thmes, les
travaux dj raliss par le Commission dtudes 17 de lUIT-T et les autres travaux et publications
relatifs ce domaine ont t dment pris en compte.
Ce guide a t labor par Mme Solange GHERNAOUTI-HELIE, Professeur lUniversit de
Lausanne, qui a travaill en tant quexpert UIT en collaboration troite avec et sous la supervision de
M. Alexander NTOKO, Chef de lUnit des e-stratgies du BDT.
iv
Avant-propos
RSUM
Enjeux de socit, enjeux conomiques, enjeux politiques, enjeux humains, quelle soit dnomme
scurit de linformatique et des tlcoms ou cyberscurit, la scurit informationnelle touche la
scurit du patrimoine numrique et culturel des individus, des organisations et des nations. Enjeux
complexes dont la satisfaction passe par une volont politique de dfinir et de raliser une stratgie de
dveloppement des infrastructures et services du numrique (e-services) qui intgre une stratgie
pluridisciplinaire de la cyberscurit cohrente, efficace et contrlable.
Obtenir un niveau de scurit informatique suffisant pour prvenir les risques technologique et
informationnel est primordial pour le bon fonctionnement des Etats et des organisations. En effet,
ladoption des technologies du numrique, la dpendance des organisations et des Etats ces mmes
technologies et linterdpendance des infrastructures critiques, introduisent un degr de vulnrabilit
non ngligeable dans le fonctionnement normal des Institutions. Ceci peut mettre en pril leur
prennit ainsi que la souverainet des Etats.
Lobjet de la cyberscurit est de contribuer prserver les forces et les moyens organisationnels,
humains, financiers, technologiques et informationnels, dont se sont dotes les Institutions, pour
raliser leurs objectifs. La finalit de la scurit informatique est de garantir quaucun prjudice ne
puisse mettre en pril leur prennit. Cela consiste diminuer la probabilit de voir des menaces se
concrtiser, en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour un
fonctionnement normal des cots et des dlais acceptables en cas de sinistre.
La dmarche de cyberscurit est un projet de socit dans la mesure o chacun est concern par sa
ralisation. Sa validit sera renforce si une cyberthique, un comportement cohrent vis--vis des
technologies de linformation est dveloppe et si une vritable politique de scurit stipule ses
exigences de scurit envers les utilisateurs (acteurs, partenaires, prestataires) des nouvelles technologies.
Pour mettre en place une dmarche de cyberscurit, il est important de pouvoir identifier
correctement les valeurs et les biens protger afin de circonscrire le primtre de scurit mettre en
place pour les protger efficacement. Ceci implique une approche globale, pluridisciplinaire et
systmique de la scurit. La cyberscurit nest pas compatible avec un monde libertaire, fluide et
non contrl. Il faut tablir des grands principes d'thique, de responsabilit, de transparence au travers
dun cadre lgal appropri et mettre en vigueur des rgles du jeu ralistes. Celles-ci doivent tre
applicables non seulement localement mais aussi par l'ensemble de la communaut internationale et
compatibles avec les directives internationales existantes.
Afin de ne pas contribuer favoriser le dveloppement de la criminalit, les infrastructures de tlcommunication mises en place doivent intgrer des mesures de scurit adaptes tant sur le plan
technique que juridique. Les cyberattaques prennent diverses formes prise de contrle clandestine
d'un systme, dni de service, destruction ou vol de donnes sensibles, hacking (piratage de rseau de
tlcommunication), cracking (craquage de protections logicielles des programmes), phreaking
(sabotage, prise de contrle de centraux tlphoniques), etc. et ont toutes des consquences ngatives
pour les organisations ou individus qui en sont victimes.
Considres comme un systme, les tlcommunications (infrastructures et services) rpondent une
problmatique de scurit peu diffrente de celle des ressources informatiques, dont la rsolution
rpond aux mmes impratifs techniques, organisationnels et humains. Protger les informations lors
de leur transfert est ncessaire mais ne suffit pas car ces dernires sont tout aussi vulnrables, sinon
plus, lorsquelles sont traites et mmorises. Ainsi, la cyberscurit doit sapprhender dune manire
globale. Des solutions scuritaires dordre uniquement technologique ne peuvent pas suppler un
Rsum
manque de gestion cohrente et rigoureuse des besoins, mesures, procdures et outils de la scurit. La
prolifration dsordonne doutils de scurit ne peut quentraver lusage, qualourdir lexploitation ou
encore dgrader les performances des ressources informatiques. La matrise de la scurit
informatique est une question de gestion dont les outils et les services de scurit constituent une
partie lie ladministration oprationnelle des systmes. Ainsi par exemple, chiffrer des donnes
pour les rendre incomprhensibles lors de leur transmission ne sert rien, si par la suite, elles sont
stockes de manire non scurise. De mme, la mise en place dun firewall est de peu dutilit si des
connexions peuvent stablir sans passer par ce systme.
Le dveloppement des activits bases sur le traitement de linformation permettant une rduction de
la fracture digitale passe par la mise disposition:
dinfrastructures informationnelles fiables et scurises (accessibilit, disponibilit, sret de

fonctionnement et continuit des services garanties);
de politiques dassurance;
dun cadre lgal adapt;
des instances de justice et de police comptentes dans le domaine des nouvelles technologies
et capables de cooprer au niveau international avec leurs homologues;
doutils de gestion du risque informationnel et de gestion de la scurit;
doutils de mise en uvre de la scurit qui permettent de dvelopper la confiance dans les
applications et services offerts (transactions commerciales et financires, e-sant,
e-gouvernement, e-vote, etc.) et dans les procdures qui permettent le respect des droits de
lHomme notamment pour ce qui concerne les donnes caractre personnel.
La matrise du patrimoine numrique informationnel, la distribution de biens intangibles, la

valorisation des contenus ou la rduction de la fracture numrique, sont autant de problmes dordre
conomique et social, dont la rsolution ne pourra tre rduite la seule dimension technologique de
la scurit informatique. Ainsi, en apportant une rponse adquate aux dimensions humaine, juridique,
conomique et technologique des besoins de scurit des infrastructures numriques et des utilisateurs,
la confiance pourrait sinstaurer et gnrer un dveloppement conomique profitable tous les acteurs
de la socit.
vi
Rsum
PARCOURS DE LECTURE
En guise dintroduction la cyberscurit, laccent est mis sur ce qui a chang avec les technologies
du numrique, la dmatrialisation des informations et lusage extensif des rseaux de tlcommunication. Les enjeux pour lvolution des socits sont prsents pour introduire la notion dimpratif
de scurit informatique et tlcom (cyberscurit).
La section une de ce manuel sintresse principalement aux besoins et lments de solution de la
cyberscurit. Ainsi, le contexte de la scurit des infrastructures de communication est analys la
lumire du constat de la vulnrabilit et de ltat dinscurit associ aux technologies de linformation
et des communications. En tirant partie des enseignements issus des meilleures pratiques, de la ralit
quotidienne de la scurit du monde de l'internet et de lexprience acquise par la communaut
internationale, les besoins en termes de cyberscurit pour les pays en dveloppement sont identifis.
La cyberscurit est analyse selon ses dimensions managriales, politique, conomique, sociale
juridique et technologique. Sont identifies des recommandations gnriques respecter lors de la
mise disposition dinfrastructures de tlcommunication afin de matriser les risques, quils soient
dorigine criminelle ou non, et pour contribuer dvelopper la confiance envers les e-services,
moteurs du dveloppement conomique.
La section deux adresse la problmatique de la matrise de la cybercriminalit. Elle traite des lments
qui favorisent lexpression de la criminalit afin de mettre en vidence les limites des solutions
actuelles de scurit et de lutte contre la cybercriminalit ainsi que la complexit et de lenvergure du
problme rsoudre.
Les diffrents dlits et crimes ralisables via linternet sont prsents, notamment sous langle de la
criminalit conomique. Une analyse des comportements criminels, comme le profil des
cybercriminels, ainsi que les caractristiques gnrales des cyberattaques et des programmes
malveillants illustrent cette partie. Des lignes directrices sont identifies pour se prparer la menace
dorigine cybercriminelle.
La section trois, aprs avoir rappel les fondamentaux du monde des tlcommunications, propose une
approche fonctionnelle ainsi quune mise en perspective critique des outils de la scurit des
infrastructures.
Une approche globale de la cyberscurit qui intgre les diffrents aspects du droit des nouvelles technologies ainsi que quelques perspectives de dveloppent pour la mise en place de solutions de scurit
des infrastructures de communication sont donnes en section quatre.
Un glossaire des termes de la scurit ainsi que diverses rfrences et documents concluent ce guide
de la cyberscurit.
Parcours de lecture
vii
REMERCIEMENTS
Le Bureau de dveloppement des tlcommunications de lUIT souhaite remercier Madame le

Professeur Solange GhernaoutiHlie ainsi que tous les membres de son quipe pour leur soutien,
notamment MM. Mohamed Ali Sfaxi et Igli Tashi, Mmes Sarra Ben Lagha et Hend Madhour, ainsi
que M. Arnaud Dufour (consultant en stratgie internet).
Par ailleurs, ce manuel a bnfici des informations et tudes fournies par divers organismes et tout
particulirement par le Clusif (Club de la scurit informatique franais) et le Cert (Computer
Emergency and Response Team), que nous tenons remercier.
Enfin, llaboration de ce manuel naurait pas t possible sans lexcellente coopration des membres
de lUnit e-stratgies, en particulier M. Alexander Ntoko. Nous souhaitons galement remercier
Mme Rene Zbinden Mocellin (Division de la production des publications de lUIT) et son quipe
pour la production de ce guide.
viii
Remerciements
TABLE DES MATIRES

Page
PRFACE ............................................................................................................................. iii
AVANT-PROPOS ................................................................................................................ iv
RSUM............................................................................................................................... v
PARCOURS DE LECTURE............................................................................................... vii
REMERCIEMENTS............................................................................................................ viii
SECTION I Contexte de la cyberscurit, enjeux et lments de solution .................. 1
Chapitre I.1 Cyberespace et socit de linformation.................................................... 3
Numrisation ........................................................................................................
I.1.1.1
Information numrique...............................................................................
I.1.1.2
Technologies numriques ...........................................................................
I.1.1.3
Infrastructures et contenu ...........................................................................
Rvolution informationnelle ..................................................................................
I.1.1
I.1.2
I.1.2.1
Innovation et dveloppement ............................................................................
I.1.2.2
Accompagner la rvolution informationnelle....................................................
Chapitre I.2 Cyberscurit ............................................................................................... 6

I.2.1
Contexte de la scurit des infrastructures de communication ..................................
I.2.2
Enjeux de la cyberscurit .....................................................................................
I.2.3
Constat de linscurit numrique ..........................................................................
I.2.4
Enseignements tirer ............................................................................................ 10
I.2.4.1
Diriger la scurit ...................................................................................... 10
I.2.4.2
Identifier et grer les risques ....................................................................... 10
I.2.4.3
Dfinir une politique de scurit ................................................................. 11
I.2.4.4
Dployer des solutions ............................................................................... 13
I.2.5
Point de vue managrial ........................................................................................ 13
I.2.5.1
Gestion dynamique .................................................................................... 13
I.2.5.2
Externalisation et dpendance ..................................................................... 14
I.2.5.3
Dmarche de prvention et de raction ........................................................ 14

Table des matires
ix
Page
I.2.6
Point de vue politique ........................................................................................... 15
I.2.6.1
Responsabilit de lEtat .............................................................................. 15
I.2.6.2
Souverainet des Etats................................................................................ 15
I.2.7
Point de vue conomique....................................................................................... 16
I.2.8
Point de vue social ................................................................................................ 16
I.2.9
Point de vue juridique ........................................................................................... 17
I.2.9.1
Facteur critique de succs ........................................................................... 17
I.2.9.2
Renforcer la lgislation et les moyens de lappliquer .................................... 17
I.2.9.3
Lutte contre la cybercriminalit et droit lintimit numrique: un

compromis difficile .................................................................................... 18
I.2.9.4
Rglementation internationale en matire de cybercriminalit ....................... 19
I.2.10 Fondamentaux de la cyberscurit.......................................................................... 21

I.2.10.1
Disponibilit.............................................................................................. 21
I.2.10.2
Intgrit .................................................................................................... 21
I.2.10.3
Confidentialit ........................................................................................... 22
I.2.10.4
Identification et authentification ................................................................. 22
I.2.10.5
Non rpudiation ......................................................................................... 23
I.2.10.6
Scurit physique....................................................................................... 23
I.2.10.7
Solutions de scurit .................................................................................. 23
SECTION II Matrise de la cybercriminalit ................................................................. 25

Chapitre II.1 Cybercriminalit ........................................................................................ 27
II.1.1 Notions de crime informatique et de cybercrime ..................................................... 27
II.1.2 Facteurs qui favorisent lexpression de la criminalit via l'internet ........................... 28
II.1.2.1
Monde virtuel et dmatrialisation .............................................................. 28
II.1.2.2
Mise en rseau des ressources ..................................................................... 28
II.1.2.3
Disponibilit doutils et existence de failles ................................................. 29
II.1.2.4
Vulnrabilit et dfaillance ......................................................................... 29
II.1.2.5
Difficult identifier lauteur dun dlit ...................................................... 30
II.1.2.6
Aterritorialit et paradis numriques ........................................................... 31
II.1.3 Criminalit classique et cybercriminalit ................................................................ 32

II.1.4 Cybercriminalit, criminalit conomique et blanchiment ........................................ 32
II.1.5 Banalisation de la cybercriminalit et extension de la criminalit ............................. 33
II.1.6 Cybercriminalit et terrorisme ............................................................................... 33
II.1.7 Cyberdlinquants .................................................................................................. 34
x
Table des matires
Page
II.1.8 Programmes indsirables ou malveillants ............................................................... 36
II.1.8.1
Spam ........................................................................................................ 36
II.1.8.2
Programmes malveillants ........................................................................... 36
II.1.8.3
Tendances ................................................................................................. 39
II.1.9 Principaux dlits favoriss via l'internet .................................................................. 39

II.1.9.1
Escroquerie, espionnage et activits de renseignement, trafics divers,

chantage .................................................................................................... 39
II.1.9.2
Atteintes aux personnes .............................................................................. 40
II.1.9.3
Contrefaon............................................................................................... 40
II.1.9.4
Manipulation de l'information ..................................................................... 40
II.1.9.5
Rle des institutions publiques.................................................................... 41
II.1.10
Incidents de scurit et chiffre noir de la cybercriminalit ............................. 41
II.1.11
Se prparer la menace dorigine cybercriminelle: un devoir de

protection .................................................................................................. 43
Chapitre II.2 Cyberattaques ............................................................................................ 44

II.2.1 Caractristiques des cyberattaques ......................................................................... 44
II.2.2 Appropriation de mots de passe des utilisateurs pour pntrer des systmes .............. 44
II.2.3 Attaque par dni de service.................................................................................... 44
II.2.4 Attaque par modification de page web.................................................................... 45
II.2.5 Attaques bases sur le leurre et le dtournement du mode opratoire des
protocoles ............................................................................................................ 45
II.2.6 Attaques contre les infrastructures critiques ............................................................ 46
II.2.7 Mode de droulement dune cyberattaque ............................................................... 46
SECTION III Approche technologique........................................................................... 49

Chapitre III.1 Infrastructures de tlcommunication ................................................... 51
III.1.1 Caractristiques .................................................................................................... 51
III.1.2 Principes fondamentaux ........................................................................................ 51
III.1.3 Elments constitutifs des rseaux ........................................................................... 52
III.1.3.1
Supports dinterconnexion .......................................................................... 52
III.1.3.2
Elments de connectique ............................................................................ 53
III.1.3.3
Machines spcialises et serveurs dinformation .......................................... 53
III.1.4 Infrastructure de tlcommunication et autoroute de linformation ........................... 54

III.1.5 L'internet ............................................................................................................. 54
III.1.5.1
Caractristiques gnrales .......................................................................... 54
III.1.5.2
Adresse IP et nom de domaine .................................................................... 56
III.1.5.3
Protocole IPv4 ........................................................................................... 59

Table des matires
xi
Page
Chapitre III.2 Outils de la scurit .................................................................................. 60
III.2.1 Chiffrement des donnes. ...................................................................................... 60
III.2.1.1
Chiffrement symtrique.............................................................................. 60
III.2.1.2
Chiffrement asymtrique ou cl publique .................................................. 61
III.2.1.3
Cls de chiffrement .................................................................................... 61
III.2.1.4
Infrastructure de gestion de cls .................................................................. 62
III.2.1.5
Certificat numrique .................................................................................. 62
III.2.1.6
Tiers de confiance ...................................................................................... 63
III.2.1.7
Inconvnients et limites des infrastructures de gestion de cls ....................... 64
III.2.1.8
Signature et authentification ....................................................................... 64
III.2.1.9
Intgrit des donnes.................................................................................. 65
III.2.1.10 Non-rpudiation ........................................................................................ 65

III.2.1.11 Limites des solutions de scurit bases sur le chiffrement ........................... 65
III.2.2 Protocole IP scuris ............................................................................................. 66
III.2.2.1
Protocole IPv6 ........................................................................................... 66
III.2.2.2
Protocole IPSec ......................................................................................... 67
III.2.2.3
Rseaux privs virtuels............................................................................... 67
III.2.3 Scurit des applications ....................................................................................... 67

III.2.4 Protocoles de scurit SSL (Secure Sockets Layer) et S-HTTP (Secure HTTP) ......... 68
III.2.5 Scurit de la messagerie lectronique et des serveurs de noms ................................ 68
III.2.6 Dtection dintrusion ............................................................................................ 70
III.2.7 Cloisonnement des environnements ....................................................................... 70
III.2.8 Contrle daccs ................................................................................................... 72
III.2.8.1
Principes gnraux ..................................................................................... 72
III.2.8.2
Apports et limites de la biomtrie................................................................ 73
III.2.9 Protection et gestion des infrastructures de communication...................................... 74

III.2.9.1
Protection .................................................................................................. 74
III.2.9.2
Gestion ..................................................................................................... 75
SECTION IV Approche globale ...................................................................................... 77

Chapitre IV.1 Diffrents aspects du droit des nouvelles technologies.......................... 79
IV.1.1 Protection des donnes caractre personnel et commerce lectronique ................... 79
xii
IV.1.1.1
Cybercommerce: Ce qui est illgal off-line lest aussi on-line ................ 79
IV.1.1.2
Devoir de protection .................................................................................. 79
IV.1.1.3
Respect des droits fondamentaux ................................................................ 80
IV.1.1.4
Rentabilit de la lgislation ........................................................................ 81
Table des matires
Page
IV.1.2 Cybercommerce et ralisation de contrats dans le cyberespace ................................. 81
IV.1.2.1
Question du droit applicable ....................................................................... 81
IV.1.2.2
Conclusion lectronique dun contrat .......................................................... 82
IV.1.2.3
Signature lectronique................................................................................ 83
IV.1.2.4
Droit de rvocation .................................................................................... 85
IV.1.2.5
Gestion des litiges ...................................................................................... 85
IV.1.3 Cyberespace et proprit intellectuelle ................................................................... 86

IV.1.3.1
Protection de la proprit intellectuelle par des lois ...................................... 86
IV.1.3.2
Droit dauteur et droits voisins .................................................................... 86
IV.1.3.3
Droit des marques ...................................................................................... 87
IV.1.3.4
Droit des brevets ........................................................................................ 87
IV.1.3.5
Protection intellectuelle dun site web ......................................................... 88
IV.1.3.6
Complmentarit des approches .................................................................. 88
IV.1.4 Divers aspects juridiques lis au spam .................................................................... 88

IV.1.4.1 Contexte et nuisances ................................................................................. 88
IV.1.4.2
Rponses juridiques au phnomne du spam ................................................ 89
IV.1.4.3
Rgulation du spam ................................................................................... 92
IV.1.4.4
Rponses techniques au phnomne du spam ............................................... 92
IV.1.4.5
Complmentarit technico-juridique ........................................................... 93
IV.1.5 Rcapitulatif des principaux problmes juridiques lis au cyberespace ..................... 93

IV.1.5.1
Statut juridique de linternet marchand ........................................................ 93
IV.1.5.2
Cybercontrat.............................................................................................. 93
IV.1.5.3
Document et signature lectronique ............................................................ 94
IV.1.5.4
Moyens de paiement lectronique ............................................................... 94
IV.1.5.5
Protection des noms de domaine ................................................................. 94
IV.1.5.6
Proprit intellectuelle ............................................................................... 94
IV.1.5.7
Protection de lintimit numrique .............................................................. 94
IV.1.5.8
Autres questions dordre juridique .............................................................. 95
Chapitre IV.2 Perspectives ............................................................................................... 95

IV.2.1 Eduquer former sensibiliser lensemble des acteurs la cyberscurit ................. 95
IV.2.2 Pour une nouvelle approche de la scurit .............................................................. 95
IV.2.3 Proprits dune politique de scurit ..................................................................... 96
IV.2.4 Identifier les ressources sensibles afin de les protger .............................................. 96
IV.2.5 Objectifs, mission et principes fondamentaux de la cyberscurit ............................. 96
IV.2.6 Facteurs de russite ............................................................................................... 97
IV.2.6.1
Lignes directrices en matire de stratgie..................................................... 97
IV.2.6.2
Lignes directrices lusage des internautes .................................................. 98

Table des matires
xiii
IV.2.6.3
Page
Lignes directrices pour scuriser un systme de messagerie .......................... 98
IV.2.6.4
Lignes directrices pour protger un environnement internet-intranet .............. 99
SECTION V Annexes........................................................................................................ 101

Annexe A Glossaire des principaux termes de scurit ................................................. 103
Annexe B Chapitres de la norme ISO/IEC 17799:2005, qui constitue un
document de rfrence en matire de gestion de la scurit ................................... 117
Annexe C Mandat et activits de lUIT-D concernant la cyberscurit Mandate
and activities of ITU-D in cybersecurity ................................................................... 123
Annexe D Principales questions en matire de scurit qui font lobjet de
travaux au sein de lUIT-T durant la priode 2005-2008........................................ 127
Annexe E Rfrences bibliographiques........................................................................... 131
Annexe F Les lignes directrices rgissant la scurit des systmes et rseaux
dinformation vers une culture de la scurit OCDE........................................... 133
Prface ............................................................................................................................ 133
xiv
F.1
Vers une culture de la scurit ............................................................................... 133
F.2
Buts ..................................................................................................................... 134
F.3
Principes .............................................................................................................. 134
Table des matires
SECTION I
CONTEXTE DE LA CYBERSCURIT
ENJEUX ET LMENTS DE SOLUTION
Chapitre I.1 Cyberespace et socit de linformation

I.1.1
Numrisation
Les technologies informatiques transforment notre faon de concevoir et de raliser lensemble des
activits humaines. Elles induisent des modifications structurelles importantes car tous les objets sont
devenus manipulables lectroniquement au travers de linformation les modlisant.
I.1.1.1
Information numrique
La technique de numrisation cre une image digitale ou double virtuel ou encore double numrique
des entits existantes. Quelle que soit sa nature (voix, donnes, image), toute information est
numrisable et possde une reprsentation homogne, cest--dire uniforme.
Linformation nest plus associe physiquement son contenant, cest--dire son support de
reprsentation et de stockage. Sa valeur ajoute provient directement de linformation elle-mme
(contenu ou content); en effet, les cots de diffusion et de mmorisation de linformation sont peu
levs par rapport ceux de sa conception (Figure I.1). De plus, les donnes peuvent tre localises et
traites simultanment plusieurs endroits. Ainsi, tant dupliquables linfini et de faon parfaite, la
notion de donnes originales perd son sens, ce qui peut poser des problmes relatifs la notion de
protection des droits dauteur.
Figure I.1 Dmatrialisation et information numrique
Volatilit, modification, destruction, copie, vol, etc.
Vulnrablits
INFORMATION IMMATERIELLE
reprsentation
Contenu
Vulnrablits
signification
Contenant
SUPPORT PHYSIQUE
I.1.1.2
01001
11010
00010
01011
11110
Mmoire
vive,
Disque dur,
CD-ROM,
Onde
hertzienne,
etc.
Technologies numriques
Les technologies numriques en uniformisant la production, le traitement et le transfert des donnes

permettent une continuit numrique de toute la chane dinformation. Cette convergence numrique,
associe aux techniques de compression des donnes, favorise les synergies entre linformatique, les
tlcommunications et le monde de laudiovisuel, comme le rvle le phnomne internet. On
remarque alors que la vritable rvolution technologique sest produite grce la numrisation de
linformation, dont les consquences dpassent largement le cadre des tlcommunications.
Cyberespace et socit de l'information
Toutes les disciplines, tous les domaines dactivits, tous les mtiers se trouvent affects par cette
nouvelle dimension de traitement de linformation. La dtermination de la valeur aussi bien que les
modes de production, depuis la conception des produits jusqu leur distribution, se sont ces dernires
annes progressivement modifis. Cela a conduit une rorganisation des chanes de valeur entre les
diffrents acteurs conomiques.
I.1.1.3
Infrastructures et contenu
La conqute du contrle de la chane numrique de linformation, cest--dire de linfrastructure et du

contenu, constitue dsormais lenjeu dominant du XXIIe sicle. Ce nouveau march, ouvert tous, se
caractrise par une mobilisation sans prcdent de tous les acteurs de lconomie mondiale (oprateurs
de tlcommunication, cblo-oprateurs, fabricants de matriels et logiciels, chanes de tlvision,
etc.).
La concurrence effrne et la redistribution des zones daction et des rles, afin doffrir des services
intgrs couvrant la plante, constituent le nouvel enjeu conomique des organisations actuelles.
Lorsque Gutenberg imprima son premier livre, il nimaginait pas les retombes industrielles de son
invention, lesquelles furent celles des premiers pas vers lautomatisme industriel. Il en est de mme,
lorsque vers la fin des annes 60, universitaires et militaires amricains mirent en uvre, pour des
motivations fort diffrentes et apparemment contradictoires, un rseau de communication qui donna
naissance au rseau internet. Tout comme au XVe sicle, les consquences de leur cration leur
chapprent. Aujourdhui, le cyberespace internet marque le passage de des socits lre
informationnelle.
I.1.2
Rvolution informationnelle
La rvolution informationnelle bouleverse le traitement et la conservation de linformation. Elle

modifie le mode de fonctionnement des organisations et de la socit toute entire. Bien quelle ne soit
pas la seule innovation technique de ces dernires annes, elle est particulirement importante dans la
mesure o elle touche la manipulation de linformation et donc de la connaissance. Son impact se
porte sur les mcanismes de gnration et de transmission du savoir, ce qui permet de penser la
rvolution informationnelle source dinnovation future dont les pays en dveloppement ne devraient
pas tre exclus.
Lvolution des technologies de linformation et des tlcommunications conduit une vritable
rvolution dans le mode de pense des changes tant conomiques que sociaux ou culturels. Ceci
tablit galement un nouveau modle informatique centr sur le rseau; modle dans lequel il est
ncessaire de matriser la scurit de la circulation des informations, afin dautoriser le dveloppement
de nouvelles applications qui rendront les organisations encore plus efficaces. Aucune forme de vie
conomique ne peut exister sans changes et interactions entre ses diverses composantes, aucun
change dinformation ne peut senvisager sans lassurance dun certain niveau de scurit et aucun
service ne peut tre considr sans qualit de service. Remarquons toutefois, que la russite dune
communication dpend de la capacit des interlocuteurs dominer les contraintes techniques et grer
les rites associs tout change dinformations.
I.1.2.1
Innovation et dveloppement
Seules les capacits dinnovation et dadaptation rapide, sous-tendues par un systme dinformation
performant et scuris, permettent aux organisations et aux Etats de rester prennes et de se
positionner comme acteur du nouvel environnement concurrentiel.
De nouveaux territoires dactivits se sont ouverts par la diversification des tlcommunications et les
possibilits offertes par linformatique tendue qui doivent aussi profiter aux pays en dveloppement.
Les volutions technologiques et conomiques possibles partir de dploiement dinfrastructures
informatiques fiables sont porteuses de promesses pour les peuples. En contrepartie, elles introduisent
une dimension de complexit technologique et de gestion sans prcdent. Ceci peut conduire un
risque technologique majeur quil faut savoir matriser, faute de quoi toute ide dvolution naurait
aucun sens. Un risque technologique: dfaillance des systmes de traitement de linformation et des
communications lie un dysfonctionnement accidentel ou provoqu. Au risque technologique est
corrl le risque informationnel qui exprime une atteinte la capacit dexploiter les informations de
lorganisation.
Il est important de relever que si laccs linformatique est large et en croissance, une frange non
ngligeable de la population se trouve exclue de la rvolution informationnelle. Cet tat de fait trouve
ses justifications diffrents niveaux aussi bien culturels que financiers, et peut dans certains cas tre
li des difficults de base comme lillettrisme. Dmocratiser les technologies de linformation par
des actions de formation et lducation ont, dans ce domaine plus que dans tout autre, un rle jouer
dans la lutte contre linfo-exclusion. Cela ncessite galement de repenser les interfaces de
communication afin de desservir aux mieux les populations et respecter les diversits culturelles
contextuelles. Loutil informatique doit sadapter aux environnements humains dans les lesquels il doit
sintgrer et nom imposer un nouvel ordre communicationnel.
I.1.2.2
Accompagner la rvolution informationnelle
Les technologies de linformation et de communication sont, comme toute technique, conues et mises
en uvre dans un espace temporel et gographique dtermin, rvlant normalement un certain
quilibre de la socit. Il est de la responsabilit des hommes daccompagner la rvolution
informationnelle en la dotant doutils, de procdures, de lgislation et dune thique scuritaire
satisfaisant sa ralisation, et correspondant aux attentes et aux besoins de la socit.
On ne peut que constater quil existe une multitude de rglementations incompltes relatives
lutilisation des diffrents mdias de communication, aux liberts dmission et de rception de
messages issues de lUIT (Union internationale des tlcommunications), de lUnesco, de lONU, de
lOCDE, du Conseil de lEurope, etc. Un dcalage important sest cr entre la situation actuelle
concernant le dveloppement et lusage des technologies de linformation et des communications, et
ltat des rglements. Un cadre juridique appropri doit donc tre mis en place pour tenir compte
notamment de laterritorialit des rseaux comme internet, des problmes de responsabilit, de respect
de la vie prive et de la proprit. Lvolution technologique doit tre associe une volution dordre
social, politique et juridique. Ces quelques regards jets sur lre informationnelle relvent
limportance des enjeux de sa matrise, du rle prpondrant des tlcommunications dans sa
ralisation et dun besoin de scurit qui ne doit pas tre un frein au dveloppement.
Le passage lre informationnelle rvle limportance des technologies de linformation et de leur
matrise. En considrant les dimensions nouvelles quelles introduisent sur les plans techniques et
socio-conomiques, la ncessit dassurer la scurit des systmes et infrastructures informatiques et
de tlcommunications, est devenue fondamentale. Elle souligne le caractre stratgique et critique de
la gestion et de la mise en uvre de la cyberscurit, tant pour les Etats, les organisations que pour
lindividu.
Dans la mesure o les Etats ont effectu des efforts financiers, matriels et humains importants pour
raliser leur infrastructure informatique et de tlcommunication, il est primordial quils se dotent des
moyens permettant de les scuriser, de les grer et de les contrler.
Chapitre I.2 Cyberscurit

I.2.1
Contexte de la scurit des infrastructures de communication
On assiste de nos jours une prise en considration croissante des besoins de matrise des risques
informatiques oprationnels du fait de lusage extensif des nouvelles technologies, de lexistence
dune infrastructure informationnelle globale et de lmergence de nouveaux risques.
La transformation des socits en socit de linformation autorise par lintgration des nouvelles
technologies dans toutes les activits et infrastructures accrot la dpendance des individus, des
organisations et des Etats aux systmes dinformation et aux rseaux. Cela constitue un risque majeur
qui doit tre adress comme un risque scuritaire.
Les pays en dveloppement sont confronts la problmatique de la ncessit de faire partie de la
socit de linformation en prenant en considration le risque de leur dpendance vis--vis des technologies et des fournisseurs de ces technologies et en pensant que la fracture digitale existante ne doit
pas se doubler dune fracture scuritaire encore moins dune dpendance plus forte des entits qui
contrleraient leurs besoins et moyens de scurit des technologies de linformation1.
Les infrastructures de tlcommunication et les services et activits quelles permettent de dvelopper
et de gnrer doivent tre penss, conues, mise en place et gres en termes de scurit. La scurit
est la pierre angulaire de toute activit et doit tre vue comme un service permettant de crer dautres
services et de gnrer de la valeur (e-gouvernement, e-sant, e-ducation, etc.). Au-del des technologies2. Or jusqu prsent, les outils de communication basiques mis disposition, nintgrent pas des
moyens suffisants et ncessaires la ralisation ou la garantie dun niveau minimal de scurit.
Les systmes informatiques mis en rseau sont des ressources accessibles distance et deviennent des
cibles potentielles dattaques informatiques. Cela accrot les risques dintrusion des systmes et offre
un terrain favorable la ralisation, la propagation des attaques et des dlits. Au-del des systmes
attaqus ce sont les informations quils manipulent qui sont convoites (Figure I.2). Les attaques
portent atteintes la capacit traiter, sauvegarder, communiquer le capital informationnel, aux
valeurs immatrielles et aux symboles, aux processus de production ou de dcision de ceux qui les
possdent. Les systmes informatiques introduisent un risque oprationnel dans le fonctionnement des
institutions qui les possdent.
Ainsi, les rseaux de tlcommunication et louverture des systmes posent des problmes de scurit
informatique complexes et multiformes, relativement difficiles matriser et qui peuvent avoir des
consquences et impacts critiques pour le fonctionnement des organisations et des Etats. De la
capacit matriser la scurit des informations, des processus, des systmes, des infrastructures
dpend les facteurs critiques de succs des conomies.
Linterconnexion extensive des systmes, linterdpendance des infrastructures, laugmentation de la
dpendance aux technologies du numrique, des menaces et des risques, ncessite de doter les
individus, les organisations, et les Etats de mesures, procdures et outils qui autorise une meilleure
gestion des risques technologique et informationnel. Les enjeux de la matrise des risques technologiques sont ceux du XXIe sicle et sont apprhender de manire globale au niveau internationale en
intgrant dans la dmarche scuritaire des pays en dveloppement.
1 S. Ghernaouti-Hlie: From digital divide to digital unsecurity: challenges to developp and deploy an unified e-security
framework in a multidimensional context. International cooperation and the Information Society, chapitre de l'annuaire
Suisse de politique de dveloppement. Iud publications. Genve, Novembre 2003.
2 A. Ntoko: Mandate and activities in cybersecurity ITU-D. WSIS Thematic meeting on cybersecurity. ITU Genve
28 juin 1er juillet 2005.
6
Figure I.2 Attaques des systmes et atteintes la scurit des ressources
Attaques des systmes et atteintes aux informations et services
Interception
Ecoute
Modification
Interruption
Fabrication
Deni de service
DISPONIBILITE
AUTHENTICITE
INTEGRITE
CONFIDENTIALITE
Ce nest pas suffisant de mettre disposition des points daccs aux rseaux de tlcommunication, il
est impratif de dployer des infrastructures et des services informatiques fiables, maintenables,
robustes et scuriss, en respect des droits fondamentaux des personnes et des Etats. La protection des
systmes et des valeurs informations doit tre complmentaire et en harmonie avec la protection des
individus et de leur intimit numrique (privacy)
Entrer dans la socit de linformation sans risque excessif et en tirant partie des expriences issues
des pays dvelopps, sans pour autant que la cyberscurit constitue un facteur supplmentaire
dexclusion, sont de nouveaux dfis des pays en dveloppement.
I.2.2
Enjeux de la cyberscurit
Enjeux de socit, enjeux conomiques, enjeux politiques, enjeux humains, quelle soit dnomme
scurit de linformatique et des tlcoms ou cyberscurit, la scurit informationnelle touche la
scurit du patrimoine numrique et culturel des individus, des organisations et des nations
(Figure I.3). Enjeux complexes dont la satisfaction passe par une volont politique de dfinir et de
raliser une stratgie de dveloppement des infrastructures et services du numrique (e-services) qui
intgre une stratgie de cyberscurit cohrente, efficace et contrlable. Celle-ci se doit sinscrire dans
une approche pluridisciplinaire et des solutions dordre ducative, juridique, et managrial et
technique doivent tre mise en place. Ainsi, en apportant une rponse adquate aux dimensions
humaine, juridique, conomique et technologique des besoins de scurit des infrastructures
numriques, la confiance pourrait sinstaurer et gnrer un dveloppement conomique profitable
tous les acteurs de la socit.
La matrise du patrimoine numrique informationnel, la distribution de biens intangibles, la
valorisation des contenus ou la rduction de la fracture numrique par exemple, sont autant de
problmes dordre conomique et social, dont la rsolution ne pourra tre rduite la seule dimension
technologique de la scurit informatique.
Figure I.3 Diffrents niveaux de la cyberscurit: individus, organisations, Etats

Atteinte la dignit de lindividu
Attaque smantique
Apologie de crimes contre lhumanit
Manipulation dinformation
Destruction dinformation
Incitation la haine raciale
Guerre de linformation
Atteinte aux mineurs
Atteinte au secret professionnel
Dnonciations calomnieuses
Vol didentit
Saturation
UR
RE
ER
Atteinte au respect de la vie prive
AC
CI
DE
NT
Embargo conomique
INDIVIDU
ETAT ORGANISATION
Fraude financire
Perte dintgrit
MALVEILLANCE
Chantage
Cyberterrorisme
Rupture de confidentialit
Dtournement de fonds, de biens
Diffusion de contenus illicites
Atteinte la disponibilit
Sabotage
Escroquerie
Etc.
Le dveloppement des activits bases sur le traitement de linformation permettant une rduction de
la fracture digitale passe par la mise disposition:
dinfrastructures informationnelles fiables et scurises (accessibilit, disponibilit, sret de
fonctionnement et continuit des services garanties);
de politiques dassurance;
dun cadre lgal adapt;
des instances de justice et de police comptentes dans le domaine des nouvelles technologies
et capables de cooprer au niveau international avec leurs homologues;
doutils de gestion du risque informationnel et de gestion de la scurit;
doutils de mise en uvre de la scurit qui permettent de dvelopper la confiance dans les
applications et services offerts (transactions commerciales et financires, e-sant,
e-gouvernement, e-vote, etc.) et dans les procdures qui permettent le respect des droits de
lHomme notamment pour ce qui concerne les donnes caractre personnel.
Lobjet de la cyberscurit est de contribuer prserver les forces et les moyens organisationnels,
humains, financiers, technologiques et informationnels, dont se sont dotes les Institutions, pour
raliser ses objectifs.
La finalit de la scurit informatique est de garantir quaucun prjudice ne puisse mettre en pril la
prennit de lorganisation. Cela consiste diminuer la probabilit de voir des menaces se concrtiser,
en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour un fonctionnement
normal des cots et des dlais acceptables en cas de sinistre.
La dmarche de cyberscurit est un projet de socit dans la mesure o chacun est concern par sa
ralisation. Sa validit sera renforce si une cyberthique dutilisation et de comportement vis--vis
des technologies de linformation est dveloppe et si une vritable politique de scurit stipule ses
exigences de scurit envers les utilisateurs, acteurs, partenaires et prestataires de la scurit des
nouvelles technologies.
8
I.2.3
Constat de linscurit numrique
La ralit de l'inscurit des technologies de traitement de l'information et des communications trouve

ses origines dans les caractristiques des technologies de linformation et du monde virtuel. La
dmatrialisation des acteurs, les accs distance, un relatif anonymat, les problmes de conception,
de mise en uvre, de gestion, de contrle de linformatique et des tlcoms, associs aux pannes,
dysfonctionnements, erreurs, incomptences, incohrences ou encore aux catastrophes naturelles,
confrent de facto un certain niveau dinscurit aux infrastructures informatiques (Figure I.4).
Figure I.4 Infrastructure de l'internet et multiplicit de l'origine des problmes
Malveillance
Infrastructure
logicielle, applicative
et de service
Infrastructure
rseau
Infrastructure
dexploitation
Infrastructure
environnementale
Usurpation didentit,
leurre etc.
Modification, vol,
destruction,
dtrioration
infection, etc.
Ecoutes actives
Ecoutes
passives
ACCIDENT
Modification du
routage
Effondrement, dni de
service, etc.
Incomptence, erreur,
accident, malveillance
Erreurs, incomptence, etc.
Infrastructure
matrielle
Accidents, catastrophes naturelles
Infrastructure Internet
Dans ce contexte, les possibilits dexploitation de ces vulnrabilits et de malveillance sont

nombreuses3.
La ralit de ces dernires: usurpation d'identit, leurre de systmes, accs indus, exploitation
frauduleuse des ressources, infection, dtrioration, destruction, modification, divulgation, dni de
service, vol, chantage, etc. met en vidence les limites des approches scuritaires actuelles, tout en
rvlant paradoxalement, une certaine robustesse des infrastructures.
Quelles que soient les motivations des acteurs de la criminalit informatique celle-ci engendre toujours
des consquences conomiques non ngligeables et constitue dans sa dimension de cybercriminalit,
un flau grandissant, transfrontalier et complexe.
Bien que des solutions de scurit existent, elles ne sont pas absolues et ne rpondent le plus souvent
qu un problme particulier dans une situation donne. Elles dplacent le problme de scurit ou
reportent la responsabilit de la scurit et de plus, elles ncessitent dtre scurises et gres de
manire scurise.
3 La cybercriminalit ainsi que les cyberattaques et cyberdlits sont dvelopps en section II.
Force est de constater quelles ne rpondent que peu ou prou la dynamicit du contexte dans lequel
elles doivent sintgrer. Les technologies ne sont pas stables, les cibles sont mouvantes, le savoir-faire
des malveillants voluent ainsi que les menaces et les risques. Ceci fait que la prennit des approches
scuritaires, comme le retour sur investissements de celles-ci, ne sont jamais garantis.
Il est constat, que la dmarche scuritaire est souvent limite la mise en place des mesures, de
rduction des risques pour les valeurs informationnelles des organisations par le plus souvent, une
approche technologique seule. Or, lapproche scuritaire doit sapprhender dans toutes ses
dimensions et doit galement rponde aux besoins de scurit des individus, notamment pour ce qui
concerne la protection de leur vie prive et du respect de leurs droits fondamentaux. La cyberscurit
doit tre disponible pour tous et doit prendre en considration le besoin de protection des donnes
caractre personnel.
Des solutions de scurit existent. Souvent dordre technologique, elles rpondent avant tout un
problme particulier dans une situation donne. Mais comme toute technologie, elles sont faillibles ou
contournables. Elles dplacent le plus souvent le problme de scurit et reportent la responsabilit sur
une autre entit du systme quelles sont censes protger. De plus, elles ncessitent dtre scurises
et gres de manire scurise. Elles ne sont jamais ni absolues, ni dfinitives, en raison du caractre
volutifs du contexte de la scurit du fait de la dynamicit de lenvironnement (volution des besoins,
des risques, des technologies, des savoirs-faire des dlinquants, etc.). Cela pose le problme de la
prennit des solutions mises en place. De plus, la diversit et le nombre de solutions peuvent crer un
problme de cohrence globale de l'approche scuritaire. En consquence, la technologie ne suffit pas,
elle doit tre intgre dans une dmarche de gestion.
La diversit et la pluralit des acteurs (ingnieurs, dveloppeurs, auditeurs, intgrateurs, juristes,
investigateurs, clients, fournisseurs, utilisateurs, etc.), la diversit d'intrt de visions
d'environnements, de langages, rendent difficile la cohrence globale des mesures de scurit. Or seule
une apprhension globale et systmique des risques et des mesures de scurit, une prise de
responsabilit de lensemble des acteurs et intervenants contribuent offrir le niveau de scurit
attendu pour raliser en confiance, des activits via les technologies de linformation et des
communications ainsi que la confiance dans l'conomie numrique.
I.2.4
Enseignements tirer
I.2.4.1
Diriger la scurit
Depuis le dbut des annes 2000, la prise en compte par les organisations des problmes lis la
scurit informatique sest gnralise du moins dans les grandes structures. La scurit est de moins
en moins une juxtaposition de technologies htrognes de scurit. Elle doit tre vue et gre comme
un processus continu.
Le gouvernement ou gouvernance de la scurit doit permettre de garantir que les mesures de
scurit sont optimales dans le temps et dans lespace. Cette notion rpond aux interrogations simples
suivantes:
Qui fait quoi, comment et quand?
Quels sont les acteurs qui laborent les rgles, qui les dfinissent et les valident, qui les
mettent en uvre et qui les contrlent?
I.2.4.2
Identifier et grer les risques
La prise en compte de lanalyse des risques lis linformatique, aux tlcommunications et au

cyberespace, dans un processus de gestion de risques (risk management), guide la dmarche de
scurit des infrastructures numriques. Le risque scuritaire li au technologies de linformation
(risque informatique, informationnel ou technologique, quelque soit le nom retenu) doit tre identifi,
au mme titre que tous les autres risques (risque stratgique, social, environnemental, etc.) auxquels
doivent faire face les institutions.
10
Le risque informatique est un risque oprationnel qui doit tre matris. La gestion des risques
constitue le point de dpart de lanalyse des besoins de scurit qui permet la dfinition de la stratgie
et de la politique de scurit. Plusieurs questions se posent retenons entre autres, les suivantes:
Qui est responsable de lanalyse des risques, de la gestion des risques?
Comment effectuer une telle analyse?
Quels sont les outils et mthodologies disponibles?
Quels sont leurs niveaux de fiabilit?
Quelle importance accorder aux rsultats? Combien cela cote?
Faut-il externaliser cette fonction?
Etc.
Un risque est un danger ventuel plus ou moins prvisible. Il se mesure la probabilit quil se
produise et aux impacts et dommages conscutifs sa ralisation. Un risque exprime la probabilit
quune valeur soit perdue en fonction dune vulnrabilit lie une menace, un danger.
Un compromis entre le cot du risque et celui de sa rduction permet de dterminer le niveau de
protection et les mesures de scurit mettre en uvre (Figure I.5). En tout tat de cause, il faut
identifier les valeurs protger et pourquoi en fonctions des contraintes effectives et des moyens
organisationnels, financiers, humains, techniques disponibles. Les mesures doivent tre efficaces, et
sinscrire dans une logique doptimalit / rentabilit.
Pour une organisation, la matrise des risques informatiques passe par la conception dune stratgie, la
dfinition dune politique de scurit et de sa ralisation tactique et oprationnelle.
Figure I.5 Diffrents compromis pour la matrise des risques: un choix politique
Risques
Rduire les risques

un niveau acceptable
Matrise des
risques
Cot du
Risque
Versus
Cot de
matrise du
risque
Infrastructure
Informatique
&
Tlcommunication
Besoin de protection
Versus
Besoin de production
Politique de scurit
Minimiser les pertes

Permettre un usage
efficace des
technologies
I.2.4.3
Dfinir une politique de scurit
La politique de scurit permet de traduire la comprhension des risques encourus et de leurs impacts,
en des mesures de scurit implmenter. Elle facilite ladoption dune attitude prventive et ractive
faces aux problmes de scurit et permet de rduire les risques et leurs impacts.
11
Sachant que le risque zro nexiste pas et quil difficile de prvoir toutes les nouvelles menaces, il faut
rduire les vulnrabilits des environnements et ressources protger car il est certain quune grande
partie des problmes de scurit y trouvent leur origine.
Une politique de scurit spcifie entre autres, les moyens, lorganisation, les procdures, les plans de
dfense et de raction qui permettent une vritable matrise des risques oprationnel, technologique et
informationnel.
La norme ISO 17799 propose un code de pratique pour la gestion de la scurit. Elle peut tre vue
comme un rfrentiel permettant de dfinir une politique de scurit, comme une liste de points de
risques analyser (check list), comme une aide laudit de la scurit en vue ou non dune procdure
de certification ou encore, comme point de communication sur la scurit. Diverses interprtations et
ralisations de cette norme sont possibles. Son intrt rside dans le fait que la norme aborde les
aspects organisationnel, humain, juridique et technologique de la scurit en rapport aux diffrentes
tapes de conception, de mise en uvre et de maintien de la scurit. La version 2005 de cette norme
(ISO/IEC 17799:2005)4 met laccent sur lvaluation et lanalyse des risques, la gestion des valeurs et
des biens ainsi que la gestion des incidents. On y remarque toute limportance accorde la dimension
managriale de la scurit.
Figure I.6 Grer la scurit passe par la dfinition d'une politique de scurit
Elem ent s dune

polit ique de secur it e
Que protger?
De qui? De quoi doit-on se protger?
Pourquoi?
Organisation de la scurit
Attribuer des responsabilits des
personnes comptentes possdant
lautorit et les moyens ncessaires
Quels sont les risques rellement encourus?

Ces risques sont-ils supportables?
Identifier les cibles scuritaires de

chaque domaine et composant du
systme dinformation
Dfinir les menaces
Identification des vulnrabilits
Quel est le niveau actuel de scurit de lentreprise? Quel est

le niveau que lon dsire atteindre?
Dfinir les mesures de scurit
Dfinir les comportements de scurit
Quelles sont les contraintes effectives? Quelles sont les

moyens disponibles? Comment les mettre en uvre?
Lefficacit dune politique de scurit ne se mesure pas au budget investi mais dpend de la politique
de gestion du risque et de la qualit de lanalyse des risques (Figure I.6). Les risques varient
notamment selon le secteur dactivit dune organisation, de sa taille, de son image, de la sensibilit
des systmes, de leur environnement et des menaces associes et de son degr de dpendance au
systme dinformation.
4 Les chapitres de la norme sont donns en annexe de ce document.

12
La qualit de la scurit informatique dpend, avant tout, de lidentification et de lvaluation de la

valeur du patrimoine informationnel, de la mise en uvre oprationnelle de mesures de scurit
adaptes partir dune dfinition correcte dune politique de scurit et dune gestion efficace.
I.2.4.4
Dployer des solutions
Divers types de mesures sont dployer pour contribuer scuriser des infrastructures informatiques
et tlcoms. Il sagit:
dduquer, former, sensibiliser lensemble des acteurs la cyberscurit;
de mettre en place des structures qui permettent de fonctionner comme centre dalerte et de
gestion de crise au niveau national, de fdrer les moyens mettre en uvre pour les raliser,
les partager pour un ensemble de pays, pour une rgion;
dimposer des surveillances, des contrles (par analogie aux contrles mis en place sur les
rseaux routiers);
de dvelopper les comptences dune cellule de cyberpolice pouvant contribuer une
coopration internationale dans le domaine de la poursuite et de linvestigation du crime
informatique;
de dvelopper des solutions technologiques pour ce qui concerne la gestion des identits, le
contrle daccs, lusage de plate-formes matrielle et logicielle scurises, les infrastructures
de secours, les protocoles cryptographiques, la gestion oprationnelle.
I.2.5
Point de vue managrial
I.2.5.1
Gestion dynamique5
La prise en compte de la scurit selon un processus de gestion dynamique et continu permet de faire
face au caractre dynamique du risque et lvolution des besoins par une adaptation et optimisation
continue des solutions. De la qualit de la gestion de la scurit dpend le niveau de scurit offert. La
politique de cyberscurit est dtermine au niveau de ltat major de la structure concerne. Il existe
autant de stratgies de scurit, de politiques de scurit, de mesures, de procdures ou de solutions de
scurit que dorganisations et de besoins scuritaires satisfaire un moment donn.
Pour ne prendre quun exemple de dynamicit du contexte dans lequel sinscrit la gestion de la
scurit retenons le processus de dcouverte et de correction des failles de scurit. Celui se fait avec
une publication priodique des correctifs (patches ou rustines de scurit). Les lettres dinformations
(newsletters) plus ou moins personnalises permet de se tenir informer de la dcouverte des failles et
de la manire dy remdier. Sil veut maintenir un certain de niveau de scurit, le responsable scurit
ou ladministrateur systme, doit au fur et mesure de leur publication installer les patches de
scurit. Si la connaissance des failles et vulnrabilits des systmes est indispensable au responsable
de la scurit, elle facilite galement le travail des malveillants qui peuvent les exploiter avant quelles
ne soient corriges. Il est donc impratif de donner les moyens de la ralisation dune gestion
dynamique qui contribue la mise jour des solutions de scurit et au maintien de la scurit dans le
temps.
Si un tel systme de publication des correctifs permet encore ladministrateur de contrler le
processus de mise jour (acceptation ou non de linstallation des correctifs), un mode automatis
permet de dlguer implicitement lditeur linstallation rgulire et systmatique des correctifs.
Cela pose la question du libre arbitre. Quelles sont les consquences juridiques dun refus de mise
jour, lors de la survenue de problmes dcoulant de lexploitation dune faille non corrige? Etant
donn que de nombreuses attaques exploitent ces dficiences, la question du libre arbitre et de la
responsabilit de ladministrateur de systme est pleinement pose.
5 Les points 5.1 et 5.2 sont adapts de larticle Scurit informatique, le pige de la dpendance A. Dufour,
S. Ghernaouti-Hlie, Revue Information et Systme, 2006.
13
La dimension dynamique de la scurit constitue un dfi critique tant pour les fournisseurs de
solutions ou diteurs que pour les administrateurs de systmes ou responsable scurit qui ont
rarement le temps dintgrer lensemble des correctifs proposs.
La capacit des responsables informatiques ou de la scurit et des administrateurs systme accder
toutes les ressources informatiques, implique en plus de lintgrit sans faille des procdures strictes
de surveillance et de contrle de leurs actions ( la mesure des risques quils font potentiellement
courir aux systmes quils grent), leur intgrit morale.
I.2.5.2
Externalisation et dpendance
En proposant des filtres anti-virus ou anti-spam, ces fournisseurs de service grent une partie de la
scurit de leurs clients. Si on gnralise cette dmarche, une volution de la rpartition des rles et
des responsabilits en matire de scurit est initie. La scurit est de plus en plus reporte sur le
fournisseur de services ou les intermdiaires techniques. Cette volution ne rsout pas la
problmatique scuritaire, elle ne fait que la transfrer vers le prestataire de service qui devra non
seulement garantir la disponibilit et la performance du service, mais aussi la gestion du maintien de
son niveau de scurit.
En proposant certains logiciels anti-virus, lditeur propose galement un service de mise jour
automatique. Cette adjonction dune dimension de service plaide en faveur de la location des logiciels
dans la mesure o ceux-ci doivent tre maintenus dans la dure par lditeur. Elle contribue galement
un courant plus global dexternalisation des applications dont le modle conomique est trouver.
La question de lexternalisation, de la dlgation de tout ou partie de la scurit ne relve pas de la
technologie. Elle est de nature stratgique et juridique et pose celle plus fondamentale de la
dpendance vis--vis de fournisseurs.
La stratgie dexternalisation de la scurit peut concerner la dfinition de la politique et sa mise en
uvre, la gestion des accs, de pare-feu (firewall), la tlmaintenance des systmes et rseaux, la
tierce maintenance applicative, la gestion des sauvegardes, etc. Le choix dun prestataire doit toujours
saccompagner dune dmarche de contrle qualit et peut tenir compte, par exemple, de lexprience
du prestataire, des comptences internes, des technologies utilises, du dlai de raction, du service
support, des clauses contractuelles (engagement de rsultat, etc.), ou du partage des responsabilits
lgales.
I.2.5.3
Dmarche de prvention et de raction6
La dmarche de prvention scuritaire est par dfinition pro-active. Elle touche aux dimensions
humaine, juridique, organisationnelle, conomique (ratio cot de mise en uvre/niveau de
scurit/services offerts) et technologique. Jusqu prsent, seule la dimension technologique a t
prise majoritairement en considration dans la scurisation des environnements informatiques. Cette
manire dapprhender la scurit informatique, sous un angle essentiellement technologique, qui
nglige la dimension humaine, pose un vritable problme dans la matrise du risque technologique
dorigine criminel. En effet, la criminalit est avant tout, une question de personne et non de technologie. Une rponse dordre uniquement technologique est donc inapproprie la matrise d'un risque
dorigine humaine.
L'apprhension de la criminalit informatique sinscrit, le plus souvent dans une dmarche de raction
et de poursuite. Celle-ci seffectue posteriori, cest--dire aprs la survenue dun sinistre qui traduit
ainsi la dfaillance des mesures de protection. Il est ncessaire de prvenir et de dissuader les cyberabus, en dveloppant des mcanismes de justice et dinvestigation, il est tout aussi primordial
didentifier dans les politiques de scurit, les mesures qui permettront de ragir aux attaques et den
6 Le point 5.3 est adapt du livre Scurit informatique et rseaux de S. Ghernaouti-Hlie, Dunod 2006.
14
poursuivre leurs auteurs. Pour cela, il est impratif de concevoir et de raliser des plans de secours et
de continuit qui intgrent les contraintes lies linvestigation et la poursuite de la criminalit
informatique des logiques de travail et des objectifs diffrents, dans des chelles de temps
distinctes.
I.2.6
Point de vue politique
I.2.6.1
Responsabilit de lEtat
Ltat possde des responsabilits importantes pour la ralisation dune sret numrique. Ceci est
particulirement vrai pour la dfinition dun cadre lgal appropri, cest--dire unifi et applicable. De
plus, il doit non seulement favoriser et encourager la recherche et le dveloppement en matire de
scurit mais aussi promouvoir une culture de la scurit et imposer le respect dun minimum de
normes de scurit (la scurit devrait tre intgre en natif dans les produits et services), tout en
renforant la lutte contre la criminalit. Se pose alors la question du modle financier sous-jacent ces
actions et la ralisation du partenariat entre le secteur priv et public, pour des plans d'action aux
niveaux national et international.
Au niveau stratgique, il faut assurer la prvention, le renseignement, le partage dinformation, la
gestion des alertes. De plus, il est ncessaire de faire connatre les meilleures pratiques de gestion du
risque et de la scurit. Il est galement important dassurer la coordination et lharmonisation des
systmes lgaux. Lassistance pour promouvoir la sret et la scurit, la dfinition des cooprations
ventuelles (formelle/informelle, multilatrale/bilatrale, active/passive, au niveau national et
supra-national, entre autre, sont aussi dfinir.
Il galement essentiel d'duquer, d'informer et former aux technologies de traitement de linformation
et des communications et non uniquement la scurit et aux mesures de dissuasion. La sensibilisation
aux problmatiques de scurit ne doit pas se limiter la promotion dune certaine culture de la
scurit et dune cyberthique. En amont de la culture scuritaire, il doit y avoir une culture de
l'informatique.
Il faut donner les moyens aux diffrents acteurs dapprendre grer les risques technologique,
oprationnel et informationnel qui les menacent en fonction de lusage fait des nouvelles technologies.
Dans ce contexte, l'Etat doit aussi favoriser le signalement des agressions lies au cybercrime et
instaurer la confiance entre les diffrents acteurs du monde conomiques et les services de justice et de
police.
Services de justice et police mais aussi ceux de la protection civile, les pompiers, larme ou la
Gendarmerie trouvent leur place tant au niveau tactique quoprationnel dans la lutte contre la
criminalit informatique afin de protger, poursuivre et rparer. Des centres de surveillance, de
dtection et dinformation aux risques informatique et criminel doivent tre oprationnels afin
dassurer la prvention ncessaire la matrise de ces risques.
Il est de la responsabilit des Etats de dfinir une vritable politique de dveloppement de la socit de
linformation en fonction de ses valeurs propres et de mettre disposition les moyens ncessaires pour
cette ralisation. Cela concerne galement les moyens de protection et de lutte contre la
cybercriminalit.
Une matrise globale, centralise et coordonne de la criminalit informatique ncessite une rponse
politique, conomique, juridique et technologique homogne et adoptable par les diffrents acteurs de
la chane numrique, co-partenaires de la scurit.
I.2.6.2
Souverainet des Etats
Le dfi de la simplicit et de lefficacit de la scurit soppose la complexit des besoins et des

environnements, tend favoriser les dmarches dexternalisation des services et de la scurit des
systmes et des informations de socits spcialises. Cette externalisation induit une dpendance
15
forte, quand elle nest pas totale. Cela constitue un risque scuritaire majeur. Les Etats doivent tre
attentifs ne pas tre dpendant pour leur gestion stratgique, tactique et oprationnelle de leur
scurit, dentits externes quils ne peuvent contrler.
Les Etats doivent contribuer imposer:
de pouvoir disposer de la scurit en mode natif (scurit par dfaut) et de manire conviviale,
comprhensible, transparente, contrlable et vrifiable;
dviter que les individus et Institutions se mettent en situations dangereuses (viter les
configurations permissives, les comportement risques, la dpendance excessive, etc.);
le respect des normes de scurit;
une rduction des vulnrabilits dans les technologies et dans les solutions de scurit.
I.2.7
Point de vue conomique
La scurit ne permet pas directement de gagner de largent mais vite den perdre. Sil peut paratre
relativement ais destimer ce que cote la scurit (budgets associs, cot des produits de scurit,
des formations, etc.), il est plus dlicat dvaluer la rentabilit de la scurit. De manire subjective, on
peut penser que les mesures de scurit possdent intrinsquement une efficacit passive et vitent
certaines pertes.
Toutefois, dterminer le cot de la scurit en regard des cots engendrs par les consquences
rsultants de la perte de valeurs suite des accidents, erreurs ou de la malveillance est difficile
raliser. Le cot de la scurit est fonction des exigences des organisations et dpend des valeurs
protger, du cot des prjudices conscutifs un dfaut de scurit. Aussi, il nexiste pas de rponse
prdfinie aux questions suivantes:
Comment valuer lexposition de lorganisation aux risques, notamment aux risques sriels
dus linterconnexion des infrastructures inter-organisations?
Comment estimer correctement les cots indirects de linscurit, rsultant par exemple dune
perte dimage ou de lespionnage?
Que peut rapporter la scurit pour lorganisation qui la met en uvre?
Quelle est la valeur conomique de la scurit?
Quel est le retour sur investissement de la scurit?
La valeur conomique de la scurit est apprhender dans toute sa dimension socitale et tient
compte des impacts des nouvelles technologies pour les individus, les organisations et les nations. Elle
ne peut se rduire des cots dinstallation et de maintenance.
I.2.8
Point de vue social
Il est important de sensibiliser lensemble des acteurs du monde de linternet aux enjeux de la matrise
de la scurit et aux mesures lmentaires qui si elles sont clairement nonces, dfinies et mise en
uvre intelligemment, renforceront le niveau de scurit.
Des actions dinformation et dducation civique une socit de linformation responsable, sur les
enjeux, les risques et les mesures prventives et dissuasives de scurit sont ncessaires pour duquer
lensemble des cybercitoyens adopter une dmarche scurit.
Laccent sera mis sur le devoir de scurit, sur la responsabilit individuelle et sur les mesures
dissuasives, ainsi que les consquences pnales potentielles rsultant du non-respect des obligations
scuritaires. De manire plus gnrale, il est galement ncessaire d'duquer et de former aux technologies de traitement de linformation et des communications et non uniquement la scurit et aux
mesures de dissuasion. La sensibilisation aux problmatiques de scurit ne doit pas se limiter la
16
promotion dune certaine culture de la scurit. En amont de la culture scuritaire, il doit y avoir une
culture de l'informatique ce qui correspond la notion de permis de conduire informatique, que prne
le CIGREF (Club Informatique des Grandes Entreprises Franaise)7.
Faisons de linternet un patrimoine ouvert chacun de sorte que les cybercitoyens puissent
potentiellement bnficier des infrastructures et services mis leur disposition, sans pour autant
prendre des risques scuritaires excessifs. Une thique scuritaire doit donc tre dveloppe, comprise
et respecte par tous les acteurs du cyberespace.
I.2.9
Point de vue juridique
I.2.9.1
Facteur critique de succs
Certaines lgislations nationales ou conventions internationales contraignent les organisations se

doter de mesures de scurit leur assurant la conformit juridique. Ainsi les dirigeants dune
organisation et par le biais de la dlgation de pouvoir, les responsables de scurit ont une obligation
de moyens de la scurit (mais non une obligation de rsultat). La responsabilit dune personne
morale mise en dfaut de scurit lors dune infraction tablie peut tre pnale, civile ou
administrative. Cette responsabilit est tablie sans prjudice de la responsabilit pnale des personnes
physiques ayant commis linfraction.
Une lgislation adapte en matire de traitement des donnes permet de renforcer la confiance des
partenaires conomiques envers les infrastructures dun pays. Cela participera au dveloppement
conomique de celui-ci. Ainsi, en contribuant raliser un contexte propice lchange de donnes
bas sur le respect des lgislations, ces dernires favorisent ladoption par le grand public de services
bass sur linformatique et les tlcommunications. La lgislation et la scurit, sont alors considrer
comme des leviers de lconomie nationale. Associes aux notions de confiance et de qualit, la
cberscurit constituent les pierres angulaires qui permettent de dvelopper une vritable conomie de
services.
I.2.9.2
Renforcer la lgislation et les moyens de lappliquer
A l'heure actuelle, la cybercriminalit est mal matrise comme continu de le dmontrer les chiffres
des sondages annuels du CSI8 (Computer Security Institute) ou les statistiques du CERT9 (Computer
Emergency and Response Team). Ainsi, il est constat que les mesures de scurit mises en place par
les institutions tendent protger un environnement donn dans un contexte particulier, mais ne
peuvent aucunement empcher la conduite d'activits criminelles via l'internet. Les raisons de cette
situation sont notamment lies:
aux caractristiques du cybercrime (capacit tre automatis, savoir-faire embarqu dans le
logiciel, ralisation distance);
la possibilit offerte au cybercriminel d'usurper facilement et sans risque excessif, l'identit
d'utilisateurs lgitimes, ruinant par l mme la capacit de la justice identifier les auteurs
rels d'une infraction;
la dtermination des comptences pour raliser une enqute;
la pnurie de ressources humaines et matrielles au sein des services chargs de la rpression
des crimes et dlits informatiques;
au caractre transnational de la cybercriminalit qui ncessite des recours frquents la
coopration et l'entraide judiciaire internationale. Cette dernire implique des contraintes de
temps non compatibles avec la rapidit d'excution des agressions et les besoins de reprise
immdiate des systmes informatiques concerns par les cyberattaques;
7 CIGREF: www.cigref.fr.
8 CSI: www.gocsi.com
9 CERT: www.cert.org
17
la difficult de qualifier les faits au regard de certaines lgislations pnales;

la nature mal dfinie et la volatilit de la plupart des preuves informatiques.
Pour toutes ces causes, le systme judiciaire dans le contexte de l'internet, n'est pas efficace. De plus,
de mme quil existe des paradis fiscaux, il existe des paradis lgaux. Ce n'est pas ncessairement par
absence de lois, que le crime informatique est peu ou mal rprim. Un certain nombre de crimes et de
dlits informatiques sont dj qualifis par le biais des lgislations pnales existantes.
Ce qui est illgal off-line est illgal on-line
De nouvelles lgislations, nes de la ncessit de dfinir un cadre juridique appropri lusage des
nouvelles technologies, compltent ou doivent complter la plus part des lgislations existantes qui
sont, rappelons-le, galement valides dans le cyberespace.
Renforcer la lgislation n'est pas forcment suffisant, si les moyens de l'appliquer manquent. Une loi
est de peu dutilit, si la justice n'est pas en mesure de collecter et de traiter les preuves, didentifier et
de sanctionner les auteurs de comportements criminels. Elle nest pas efficace si les malveillants ont le
sentiment d'agir en toute impunit.
I.2.9.3
Lutte contre la cybercriminalit et droit lintimit numrique: un compromis

difficile
Les moyens de lutte contre le flau grandissant et transfrontalier quest la cybercriminalit passe par la
mise disposition dun cadre lgal harmonis au niveau international et applicable et des moyens
dune vritable coopration internationale des instances de justice et police.
LEtat possde des responsabilits importantes pour la ralisation dune sret numrique. Ceci est
particulirement vrai pour la dfinition dun cadre lgal appropri, cest--dire unifi et applicable,
pour la promotion dune culture de la scurit qui respecte lintimit numrique des individus
(privacy), tout en renforant la lutte contre la criminalit.
La lutte contre la cybercriminalit doit avoir comme objectif principal la protection des individus, des
organisations et des Etats, en tenant compte des grands principes dmocratiques.
Les outils de lutte contre la criminalit informatique peuvent potentiellement mettre mal les droits de
lhomme et aller lencontre de la confidentialit des donnes caractre personnel. En effet, la
scuriser passe par la surveillance, le contrle et le filtrage des donnes. Il est impratif que des gardes
fous soient mis en place pour viter des abus de pouvoir, de situation dominante et toute sorte de
drives totalitaires afin de garantir le respects des droits fondamentaux, notamment celui du respect de
lintimit numrique et de la confidentialit des donnes personnelles.
Outre la directive europenne de 1995, remarquons que diverses lgislations nationales existent depuis
dj longtemps concernant la protection des donnes personnelles:
Allemagne:
loi du 21 janvier 1977
Argentine:
loi sur la protection des donnes personnelles 1996
Autriche:
loi du 18 octobre 1978
Australie:
loi sur la vie prive 1978
Belgique:
loi du 8 dcembre 1992
Canada:
loi sur la protection des renseignements personnels 1982
Danemark:
loi du 8 juin 1978
Espagne:
loi du 29 octobre 1992
Etats-Unis:
loi sur la protection des liberts individuelles 1974; loi sur les bases de
donnes et la vie prive 1988
Finlande:
loi du 30 avril 1987
France:
loi informatique et libert du 6 janvier 1978 modifie en 2004
Grce:
loi du 26 mars 1997
Hongrie:
loi sur la protection des donnes personnelles et la communication des
donnes publiques 1992
18
Irlande:
Islande:
Isral:
loi du 13 juillet 1988

loi relative lenregistrement des donnes personnelles 1981
loi sur la protection de la vie prive 1981, 1985, 1996; Loi sur la protection
des donnes dans ladministration 1986
Italie:
Japon:
loi sur la protection des donnes informatises caractre personnel 1988
Luxembourg:
loi du 31 mars 1979
Norvge:
loi sur les registres des donnes personnelles 1978
Nouvelle-Zlande: loi sur linformation officielle 1982
Pays-Bas:
Pologne:
loi relative la protection des donnes personnelles 1997
Portugal:
loi du 29 avril 1991
Rpublique tchque: loi sur la protection des donnes personnelles des systmes informatiss
1995
Royaume-Uni:
loi du 12 juillet 1988
Russie:
loi fdrale sur linformation, linformatisation et la protection des
informations
Slovnie:
loi sur la protection des donnes 1990
Sude:
11 mai 1973
Suisse:
loi fdrale sur la protection des donnes 1992
Taiwan:
loi sur la protection des donnes 1995
I.2.9.4
Rglementation internationale en matire de cybercriminalit
La premire rglementation internationale, contribuant apprhender la dimension internationale de la

cyber criminalit est la Convention sur la cybercriminalit10 Budapest 23 novembre 2001, adopte
sous lgide du Conseil de lEurope et entre en vigueur en juillet 2004 (ds sa ratification par au
moins 5 Etats (dont 3 au moins tre doivent du Conseil de lEurope). Cette convention aborde les
points suivants:
Disposition de droit pnal matriel concernant:
les infractions contre la confidentialit, lintgrit et la disponibilit des donnes et
systmes informatiques;
les infractions informatiques;
les infractions lies aux atteintes la proprit intellectuelle et aux droits connexes;
Disposition de droit procdural concernant:
la conservation rapide des donnes informatiques, de donnes relatives au trafic et sa
divulgation rapide lautorit comptente;
la conservation et la protection de lintgrit des donnes pendant une dure aussi longue
que ncessaire pour permettre aux autorits comptentes dobtenir leur divulgation;
linjonction de produire;
la perquisition et la saisie des donnes stockes;
la collecte en temps rel des donnes;
la protection adquate des droits de lhomme et des liberts;
Chaque Etat doit adopter des mesures lgislatives et autres qui se rvlent ncessaires pour
riger en infraction pnale, dans le respect de son droit interne:
laccs intentionnel et sans droit tout ou partie dun systme;
linterception intentionnelle et sans droit de donnes lors de transmissions non publiques,
destination, en provenance ou lintrieur dun systme;
10 www.conventions.coe.int/Treaty/FR/Treaties/Html/185.htm
19
le fait intentionnel et sans droit dendommager, deffacer, de dtriorer, daltrer ou de

supprimer des donnes;
lentrave grave intentionnelle et sans droit au fonctionnement dun systme;
la production, la vente, lobtention pour lutilisation, limportation, la diffusion ou dautres

formes de mise disposition dun dispositif conu ou adapt pour raliser une des
infractions mentionnes;
lintroduction, laltration, leffacement ou la suppression intentionnelle et sans droit de

donnes, engendrant des donnes non authentiques, dans lintention quelles soient prises
en compte ou utilises des fins lgales, comme si elles taient authentiques;
le fait intentionnel et sans droit de causer un prjudice patrimonial autrui par

lintroduction, laltration, leffacement ou la suppression de donnes, toute forme
datteinte au fonctionnement dun systme, dans lintention frauduleuse ou dlictueuse,
dobtenir sans droit un bnfice conomique pour soi-mme ou pour autrui;
la complicit en vue est rige en infraction pnale ainsi que la tentative intentionnelle
de
Les Etats doivent tablir leurs comptences lgard de toute infraction pnale lorsque cette
dernire est commise:
sur son territoire;
bord dun navire battant pavillon de cet Etat;
par un de ses ressortissants, si linfraction est punissable pnalement l ou elle a t

commise ou si linfraction ne relve pas de la comptence territoriale daucun Etat;
Rgles concernant la coopration internationale en matire:
dextradition;
dentraide aux fins dinvestigation;
de procdures concernant les infractions pnales lies des systmes et donnes

informatiques;
de recueil de preuves sous forme lectronique dune infraction pnale;
Cration dun rseau dentraide
24h/24, 7j/7;
point de contact national;
assistance immdiate pour les infractions;
Une volont rglementaire existe bien au niveau international de pouvoir matriser la cybercriminalit.
Ce nest pas toujours par absence de Lois, ou de principes directeurs comme ceux noncs par
lOCDE (Organisation de coopration et de dveloppement conomiques) Lignes directrices de
lOCDE rgissant la scurit des systmes et des rseaux vers une culture de la scurit 200211
(Figure I.7) mais ce sont la difficult et la complexit du chantier mettre en uvre et les moyens
ncessaires pour atteindre les objectifs de lutte contre non seulement la cybercrimnalit mais aussi le
crime organis, qui font que l'internet est exploit des fins malveillantes.
11 www.oecd.org/dataoecd/16/22/15582260.pdf. Les directives sont rappeles en annexe de ce document.

20
Figure I.7 Lignes directrices de l'OCDE en matire de scurit informatique (juillet 2002)
Sensibilisation
Les parties prenantes doivent tre sensibilises au besoin dassurer la

scurit des systmes et des rseaux dinformation et aux actions
quelles peuvent entreprendre pour renforcer la scurit
Responsabilit
Les parties prenantes sont responsables de la scurit des systmes et

des rseaux dinformation
Raction
Les parties prenantes doivent agir avec promptitude et dans un esprit de

coopration pour prvenir, dtecter et rpondre aux incidents de scurit
Ethique
Les parties prenantes doivent respecter les intrts lgitimes des autres
parties prenantes
Dmocratie
La scurit des systmes et des rseaux dinformation doit tre

compatible avec les valeurs fondamentales dune socit dmocratique
Evaluation des
risques
Les parties prenantes doivent procder des valuations des risques
Conception et mise
en oeuvre de la
scurit
Les parties prenantes doivent intgrer la scurit en tant quun lment

essentiel des systmes et rseaux dinformation
Gestion de la scurit Les parties prenantes doivent adopter une approche globale de la
gestion de la scurit
Rvaluation
I.2.10
Les parties prenantes doivent examiner et rvaluer les scurit des

systmes et rseaux dinformation et introduire les modifications
appropries dans leur politique, pratiques, mesures et procdures d
scurit
Fondamentaux de la cyberscurit
Les solutions de scurit doivent contribuer satisfaire les critres de base de la scurit que sont la
disponibilit, lintgrit et la confidentialit (critres DIC). A ces trois premiers critres sajoutent
ceux qui permettent de prouver lidentit des entits (notion dauthentification) et que des actions ou
vnements ont bien eu lieu (notions de non rpudiation, dimputabilit voire de traabilit)
(Figure I.8).
I.2.10.1
Disponibilit
La disponibilit des services, systmes et donnes est obtenue, dune part, par un dimensionnement
appropri et une certaine redondance des lments constitutifs des infrastructures et, dautre part, par
une gestion oprationnelle des ressources et des services.
La disponibilit est mesure sur la priode de temps pendant laquelle le service offert est oprationnel.
Le volume potentiel de travail susceptible dtre pris en charge durant la priode de disponibilit dun
service, dtermine la capacit dune ressource (serveur ou rseau par exemple). La disponibilit dune
ressource est, en outre, indissociable de son accessibilit.
I.2.10.2
Intgrit
Le respect de lintgrit des donnes, traitements ou services permet dassurer quils ne sont pas
modifis, altrs ou dtruits tant de faon intentionnelle quaccidentelle. Cela contribue assurer leur
exactitude, leur fiabilit et leur prennit.
Il convient de se prmunir contre laltration des donnes en ayant la certitude quelles nont pas t
modifies lors de leur stockage ou de leur transfert.
21
Lintgrit des donnes ne sera garantie que si elles sont protges des coutes actives qui peuvent
modifier les donnes interceptes. Cette protection pourra tre ralise par la mise en uvre de
mcanismes de scurit tels que:
un contrle daccs rigoureux;
un chiffrement des donnes;
des moyens de protection contre les virus, les vers ou les chevaux de Troie.
Figure I.8 Fondamentaux de la cyberscurit
Capacit dun systme :
Objectifs de scurit
Moyens de scurit
Pouvoir tre utilis
Disponibilit
Prennit
Continuit
Confiance
Dimensionnement
Redondance
Procdures dexploitation et de
sauvegarde
Suret de fonctionnement
Conception
Fiabilit
Performances
Durabilit
Continuit
Ergonomie
Qualit de service
Exactitude
Maintenance oprationnelle
Permettre laccs aux entits

autorises (aucun accs illicite)
Confidentialit (maintien
du secret)
Intgrit (aucune
modification)
Contrle daccs
Authentification
Contrle derreur
Contrle de cohrence
Chiffrement
Prouver des actions
Non-rpudiation
Authenticit (aucun
doute)
Aucune contestation
Certification
Enregistrement, traabilit
Signature lectronique
Mcanismes de preuve
Excuter des actions
I.2.10.3
Confidentialit
La confidentialit est le maintien du secret des informations, des flux, des transactions, services ou
actions ralises dans le cyberespace. Il sagit de la protection des ressources contre une divulgation
non autorise.
La confidentialit peut tre ralise par la mise en uvre de mcanismes de contrle daccs ou de
chiffrement.
Le chiffrement des donnes (ou cryptographie), contribue assurer la confidentialit des informations
lors de leur transmission ou de leur stockage en les transformant de faon ce quelles deviennent
inintelligibles aux personnes ne possdant pas les moyens de les dchiffrer.
I.2.10.4
Identification et authentification
Lauthentification doit permettre de ne pas avoir de doute sur lidentit dune ressource. Cela suppose
que toutes les entits (ressources matrielles, logicielles ou personnes) soient correctement identifies
et que certaines caractristiques puissent servir de preuve leur identification. Tous les mcanismes de
contrle daccs logique aux ressources informatiques ncessitent notamment de grer lidentification
et lauthentification des entits.
22
Les processus didentification et dauthentification sont mis en uvre pour contribuer raliser:
la confidentialit et lintgrit des donnes (seuls les ayant droits identifis et authentifis
peuvent accder aux ressources (contrle daccs et les modifier sils sont habilits le faire);
la non rpudiation et limputabilit (les entits identifies et authentifies ont ralises telle
action), la preuve de lorigine dun message, dune transaction (une entit identifie et authentifie effectue une mission), la preuve de la destination (une entit identifie et authentifie
est destinatrice dun message).
I.2.10.5
Non rpudiation
Dans certaines circonstances, il est ncessaire de prouver la ralisation de certains vnements (action,
transaction). A la non-rpudiation sont associs les notions de responsabilit dimputabilit, de
traabilit et ventuellement dauditabilit.
Ltablissement de la responsabilit ncessite lexistence de mcanismes d'authentification des
individus et dimputabilit de leurs actions. Le fait de pouvoir enregistrer des informations afin de
pouvoir tracer la ralisation dactions est important lorsquil sagit de reconstituer un historique des
vnements, notamment lors dinvestigations en milieu informatique pour retrouver ventuellement
ladresse dun systme partir de laquelle des donnes ont t envoyes par exemple. Les
informations ncessaires une analyse ultrieure (journalisation des informations) permettant laudit
dun systme doivent tre sauvegardes. Cela constitue la capacit des systmes tre audits (notion
dauditabilit).
I.2.10.6
Scurit physique
Les environnements qui abritent les postes de travail, les serveurs, les zones dexploitation
informatique et de logistique (air conditionn, tableaux de contrle de lalimentation lectrique, etc.)
doivent tre physiquement protgs contre des accs indus et des catastrophes naturelles (feu,
inondation, etc.). La scurit physique reprsente le contrle le plus fondamental et le plus courant des
systmes informatiques.
I.2.10.7
Solutions de scurit
A la vue des problmes scuritaires qui constituent la ralit quotidienne de la plus part des
infrastructures, constatant que les solutions de scurit ne manquent pas, et que le march de la
scurit se porte plutt bien, nous sommes en droit de nous poser les questions suivantes:
les solutions de scurit sont-elles adaptes aux besoins?
sont-elles implantes et gres correctement?
peuvent-elles sappliquer, sadapter un environnement en perptuelle mutation?
peuvent-elles pallier le pouvoir excessif accord aux administrateurs systmes?
comment peuvent-elles faire face aux problmes scuritaires dont lorigine est rechercher
dans la ngligence, lincomptence, les dfaillances lors de la conception, de la mise en uvre
ou de la gestion des technologies et des solutions de scurit?
etc.
23
SECTION II
MATRISE DE LA CYBERCRIMINALIT
Chapitre II.1 Cybercriminalit

II.1.1
Notions de crime informatique et de cybercrime
Les vulnrabilits et la matrise insuffisante des technologies du numrique leur confrent un certain
niveau dinscurit. Cet tat dinscurit est largement exploit par les acteurs du monde criminel. De
plus, chaque technologie est porteuse de potentialits criminelles et offre des opportunits pour raliser
des infractions. L'internet nchappe pas cette rgle et le monde criminel a investi le cyberespace.
LOCDE a dfini en 1983 linfraction informatique comme tant tout comportement illgal, immoral
ou non autoris qui implique la transmission et/ou le traitement automatique de donnes.
Un crime informatique (computer-related crime) est un dlit pour lequel un systme informatique est
lobjet du dlit et/ou le moyen de le raliser, cest un crime li aux technologies du numrique qui fait
partie de la criminalit en col blanc. Le cybercrime (cybercrime) est une forme du crime informatique
qui fait appel aux technologies de l'internet pour sa ralisation. Cela concerne tous les dlits raliss
dans le cyberespace.
Le monde virtuel confre au crime la capacit tre automatis, autorisant une ralisation grande
chelle (cyberpidmie), permettant dtre commis distance via les rseaux (ubiquit du criminel,
dans le temps et dans lespace) et avec ventuellement des effets retardement (Figure II.1).
Figure II.1 Caractristiques du crime informatique
Moyen de
lattaque
Systme informatique
Cible objet
de lattaque
Criminalit en col blanc

Dlit commis distance via des rseaux,
cach derrire un cran
Ubiquit du criminel dans lespace et dans le
temps
Savoir-faire criminel embarqu dans le logiciel
Commission automatise des dlits, grande
chelle
Les technologies de linternet facilitent toute sorte dinfractions (vol, sabotage dinformations,
atteintes au copyright, au droit dauteur, la violation du secret professionnel, de lintimit numrique,
de la proprit intellectuelle, dissmination de contenus illgaux, attaques concurrentielles, espionnage
industriel, atteinte aux droits des marques, diffusion de fausses informations, dnis de service, fraudes
diverses, etc.).
Cybercriminalit
27
Les vnements qui ont contribu l'volution de la perception de la menace cybercriminelle sont
outre le bug de lan 2000 qui a fait prendre conscience de la fragilit des logiciels et de la dpendance
vis--vis de linformatique, sont les attaques de dni de service contre des sites tels que Yahoo
(10 fvrier 2000) et le fameux virus I love you (du 4 mai 2000). Depuis, associ la mdiatisation
dinfections virales (virus Code red juillet 2001 ou Nimda septembre 2001) ou de dnis de services
(attaque des principaux serveurs DNS 21 octobre 2002) pour ne citer que quelques exemples, le grand
public prend plus ou moins conscience de la ralit des menaces seffectuant travers le monde de
linternet. Lactualit reste riche en nouvelles de rvlation de problmes lis linformatique.
II.1.2
Facteurs qui favorisent lexpression de la criminalit via l'internet
II.1.2.1
Monde virtuel et dmatrialisation
La dmatrialisation des transactions, les facilits de communication associes aux solutions de

chiffrement, de stganographie et danonymat, autorisent des liaisons entre criminels de diffrents
pays sans contact physique, de manire flexible et scurise en toute impunit. Ainsi, ils peuvent
sorganiser en quipes, planifier des actions illicites et les raliser soit de manire classique, soit par le
biais des nouvelles technologies. La couverture internationale du rseau internet permet aux criminels
dagir au niveau mondial, grande chelle et trs rapidement.
Outre, ces facilits inhrentes au monde numrique et aux tlcommunications, les problmes de
conception, de mise en uvre, de gestion, et de contrle de linformatique, associs aux pannes, aux
dysfonctionnements, aux erreurs, aux incomptences, ou encore aux catastrophes naturelles, comme
linterdpendance des infrastructures, confrent de facto un certain niveau dinscurit aux
infrastructures numriques.
Les possibilits dexploitation des vulnrabilits des fins malveillantes sont nombreuses.
La ralit de ces dernires:
usurpation d'identit, leurre, accs indus, exploitation frauduleuse de ressources, infection,
dtrioration, destruction, modification, divulgation, vol de donnes, chantage, extorsion,
racket, dni de service, etc.
met en vidence une matrise insuffisante du risque informatique dorigine criminelle par les
organisations et les limites des approches scuritaires actuelles.
Le cyberespace, o les actions se ralisent caches derrire un cran et distance travers un rseau,
favorise les comportements criminels. Cela facilite pour certains, le passage lillgalit sans parfois
de prise de conscience relle de la dimension criminelle des actes perptrs.
De plus, les criminels peuvent sorganiser en quipes, planifier des actions illicites et les raliser soit
de manire classique, soit par le biais des nouvelles technologies. La couverture internationale du
rseau internet permet aux criminels dagir au niveau mondial, grande chelle et trs rapidement.
II.1.2.2
Mise en rseau des ressources
La gnralisation de la mise en rseau des ressources informatiques et informationnelles, font quelles

deviennent des cibles attrayantes pour la ralisation de crimes conomiques via les nouvelles technologies. Les diffrentes formes dattaques informatiques existantes ont pour dnominateur commun
quelles font courir relativement peu de risques leur auteur et possdent des consquences ngatives
et dommages potentiels bien suprieurs aux ressources ncessaires pour les raliser. Lusurpation
didentit lectronique, les possibilits danonymat ou la prise de contrle dordinateurs par exemple,
facilitent la ralisation dactions illgales sans prise de risque excessive.
28
Cybercriminalit
II.1.2.3
Disponibilit doutils et existence de failles
La disponibilit doutils dexploitation des failles et vulnrabilit des systmes, de bibliothques

dattaques et de logiciels qui capitalisent le savoir-faire criminel dans un programme, facilite la
ralisation des attaques informatiques. Cette disponibilit associe la dmatrialisation des actions,
favorise le comportement malveillant des informaticiens qui possdent la fibre criminelle et des
criminels qui possdent des aptitudes en informatique. Le cyberespace facilite pour certains, le
passage lillgalit sans parfois de prise de conscience relle de la dimension criminelle des actes
perptrs.
II.1.2.4
Vulnrabilit et dfaillance
La criminalit tire partie des vulnrabilits et dfaillances organisationnelles et techniques de

linternet, de labsence dun cadre juridique harmonis entre les Etats et dun manque de coordination
efficace des polices. Il peut sagir de criminalit classique (commission de vieux dlits avec de
nouvelles technologies: blanchiment dargent, chantage, extorsion, etc.) ou gnrer de nouveaux types
de dlits partir des technologies du numrique: intrusion dans des systmes, vol de temps processeur,
vol de code source, de bases de donnes, etc. Dans tous les cas, ils seffectuent dans des conditions
exceptionnelles doptimalit (risques minimaux, couverture importante, profitabilit maximale).
La Figure II.2 rappelle les sources de vulnrabilits dune infrastructure internet.
Figure II.2 Principales caractristiques du monde de l'internet exploites des fins criminelles
Du point de vue des technologies internet
Du point de vue des systmes
technologie publique, ouverte

historique dvolution
nintgre pas en natif des mcanismes de scurit
conception des technologies best effort
disponibilit doutils de gestion de rseau,
danalyse de trafic, daudit, de chiffrement
disponibilit doutils dattaque
permissivit des configurations

attractivit des systmes (cible)
gestion inadapte
approche parcellaire de la scurit
Caractristiques du systme juridique

juridiction multiple
paradis digital
Internet
Caractristiques du numrique
immatriel
virtuel
dmatrialisation
Du point de vue du rseau

Du point de vue des utilisateurs
connectivit tendue
multiplicit, distribution des
lments constitutifs
absence de contrle global
dimensionnement insuffisant
diffrentes catgories
nombre important et croissant
formation et comptences variables
caractre imprvisible
comportement inadapt
thique insuffisante
mauvaise utilisation des solutions de scurit
gestion de la scurit dfaillante
Cybercriminalit
29
II.1.2.5
Difficult identifier lauteur dun dlit
Le crime informatique est un crime sophistiqu, ralis le plus souvent au niveau international avec
parfois un effet retardement. Les traces laisses dans les systmes sont immatrielles et difficiles
collecter et sauvegarder. Il sagit dinformations numriques mmorises sur toute sorte de supports:
mmoire, priphriques de stockage, disque dur, disquettes, cl USB, divers composants
lectroniques, etc. Il se pose alors la question de leurs saisies lors dune perquisition informatique. Les
questions suivantes entre autres, montrent quel point la notion de preuve numrique est difficile
tablir:
comment identifier les donnes pertinentes?
comment les localiser?
comment les sauvegarder?
comment constituer une preuve recevable auprs dun tribunal?
comment rcuprer des fichiers effacs?
comment prouver lorigine dun message?
comment remonter jusqu lidentit dune personne sur la base uniquement dune trace
numrique du fait quil est difficile dtablir une correspondance certaine entre une
information numrique et son auteur (dmatrialisation) et de lusurpation didentit
frquente?
quelle est la valeur dune trace numrique en tant que preuve contribuant tablir la vrit
auprs dun tribunal (notion de preuve numrique) sachant que les supports de mmorisation
sur lesquelles des traces ont t recueillies sont faillibles (les notions de date et dheure sont
variables dun systme informatique lautre et aisment modifiables).
etc.
Les traces informatiques sont dautant plus difficiles obtenir lorsquelles sont laisses dans des
systmes ressortissants de diffrents pays. Leur obtention relve de lefficacit de lentraide judiciaire
internationale et de la rapidit dintervention. Leur exploitation efficace pour identifier des individus
dpend de la dure de traitement de la requte dobtention qui peut mettre un certain temps et qui rend
alors toute identification impossible.
La Figure II.3 identifie diffrents types de problmes induits par la malveillance comme la destruction
physique ou le vol de matriel qui empche laccs aux systmes et donnes, comme linfection des
ressources, la compromission des processus de dcision ou de communication par des attaques de dni
de service (ou suite de lespionnage ou lintrusion dans des systmes), lappropriation illgale ou la
manipulation dinformations (endoctrination, guerre de linformation). Elle met galement en vidence
les principales caractristiques du cybercrime qui rendent difficiles lidentification des malveillants.
Par ailleurs, dans la plupart des Etats, il existe un dcalage significatif entre les aptitudes des criminels
effectuer des crimes de haute technologie et les moyens mis disposition des forces de justice et
police pour les poursuivre. Le niveau dadoption des nouvelles technologies par les instances de
justice et de police aux niveaux national et international reste faible et trs disparate dun pays
lautre.
Ce sont gnralement les moyens courants dinvestigation des crimes conventionnels auxquels ont
recours les forces de justice et police pour poursuivre les cybercriminels qui permettent de les
identifier et de les arrter.
30
Cybercriminalit
Figure II.3 Difficult identifier un malveillant

Com pr om ission
Appr opriat ion
de linf orm at ion
Endoct rinat ion
Aucun acces
Guer re de linfor m at ion

Destruction Infection
physique
Virus
Vol
Etc.
Sniffing
Hacking
Cracking
DoS
Oprations
Des processus
Surveillance psychologiques
de dcision,
Espionage et de
des
propagande
communication
Crime sophistiqu
ralis au niveau international
Effet retardement
Trace immatrielle difficile collecter
Anonymisation
Usurpation didentit
Dmatrialisation
Relais dattaques
Multiples intermdiaires
Etc.
II.1.2.6
Coopration internationale?
Identification des malveillants?
Aterritorialit et paradis numriques
Le monde criminel tire partie de laterritorialit de linternet, de linexistence dans certains Etats de
lois rprimant le crime informatique et des juridictions multiples dont relve l'internet
De manire analogue aux paradis fiscaux des paradis numriques permettent aux criminels dhberger
des serveurs, diffuser des contenus illicites ou raliser des actions illicites en toute impunit. Le fait de
pouvoir localiser des serveurs dans des Etats faibles constituent des refuges des oprations
transnationales.
Le manque de rgulation internationale et de contrle, linefficacit de la coopration internationale en
matire dinvestigation et de poursuites judiciaires font que linternet offre une couche disolation
protectrice aux criminels.
A lheure actuelle, aucune rponse correcte tant sur le plan juridique que technique est apporte pour
matriser les diffrents dlits favoriss par linternet tels que:
lindustrie parallle et trs organise de la copie la chane de logiciels, de films, de musique,

etc., qui a pris dans le cyberespace une dimension sans prcdent;
les atteintes au copyright, droits dauteur, la violation du secret professionnel, de lintimit

numrique ou de la proprit intellectuelle;
les atteintes la proprit, lappropriation illgale de la proprit dautrui, lendommagement,

la destruction de la proprit dautrui ou limmixtion dans la proprit dautrui (notion de
violation de domicile virtuel);
la dissmination de contenus illgaux;
attaques concurrentielles, espionnage industriel, atteinte aux droits des marques, diffusion de
fausses informations, dnis de service commandits par des concurrents.
Cybercriminalit
31
II.1.3
Criminalit classique et cybercriminalit
La cybercriminalit constitue le prolongement naturel de lexpression de la criminalit classique. De

nos jours, les activits criminelles seffectuent travers le cyberespace, par dautres moyens que ceux
habituellement mis en uvre, et de manire complmentaire la criminalit classique.
Non seulement l'internet offre des conditions exceptionnelles pour de nouvelles entreprises et activits
illicites, mais il autorise galement la ralisation de fraudes ou dlits habituels via loutil informatique.
L'internet offre des opportunits pour favoriser la recherche et la production de revenus, De ce fait, il
accorde de nouvelles capacits au monde criminel. Une exploitation efficace des nouvelles technologies, permet aux criminels de raliser des dlits tout en assurant la maximisation des bnfices et en
exposant un niveau de risque acceptable pour les criminels.
II.1.4
Cybercriminalit, criminalit conomique et blanchiment
Le crime conomique via l'internet nest pas uniquement rserv la criminalit organise, les outils
informatiques et tlcoms le mettent la porte dindividus isols, qui peuvent se constituer ou non, en
groupes plus ou moins importants.
Les criminels peuvent sorganiser autour de lchange dinformations grce aux technologies de
linformation. Des rseaux de personnes ou de comptences autorisent la constitution dorganisations
criminelles dmatrialises.
Le haut degr de comptence conomique et le professionnalisme ncessaire la ralisation du crime
conomique, font que celui-ci peut tre facilit par les technologies de linformation.
L'internet contribue lacquisition des informations, une meilleure connaissance des marchs, lois,
techniques, etc., ncessaires la ralisation de dlits conomiques. Il sert galement lidentification
des opportunits criminelles.
Le crime conomique est influenc par les nouvelles technologies qui deviennent un facteur de
production des organisations criminelles et place linformation au cur de leurs stratgies et processus
de dcision.
Les nouvelles technologies facilitent toute sorte de vol, modifications, sabotage dinformation ou de
fraudes. Les phnomnes de chantage, dextorsion, de racket, de demandes de ranons existent
dornavant sur l'internet.
En effet, les ressources informatiques deviennent les otages potentiels des cybercriminels. Les matreschanteurs se sont appropri le cyberespace et tout le monde peut tre la cible de tentatives de chantage,
de dsinformation ou de cyberpropagande. Par ailleurs, lexplosion du phnomne dusurpation
didentit depuis 2003, dmontre que les criminels ont bien compris lavantage quils pouvaient tirer,
non seulement des capacits danonymisation offertes par l'internet mais aussi, de lappropriation des
fausses identits afin de ne pas tre poursuivis ou tenus responsables dactions criminelles ou
terroristes. Lusurpation didentit, aisment ralisable sur l'internet, favorise la ralisation dactivits
illicites.
Comme tous les criminels qui profitent des infrastructures technologiques mises en place, les
blanchisseurs de fonds recourent de plus en plus l'internet afin de pouvoir utiliser lgalement des
capitaux gnrs par les activits criminelles telles que le trafic de drogue, la vente illgale darmes, la
corruption, le proxntisme, la pdophilie, la fraude fiscale, etc.
Bien quil soit largement sous-dclar, et le plus souvent mconnu, le blanchiment dargent via
l'internet prend de lampleur. L'internet offre un potentiel exceptionnel tant par la dmatrialisation
(anonymat, monde virtuel, rapidit de transfert) que par la non-territorialit (phnomne transnational,
conflits de comptences et de juridictions), caractristiques largement exploites par les acteurs
traditionnels du blanchiment. L'internet permet en toute impunit, la rinsertion de l'argent sale dans
les circuits conomiques par le biais de transferts de flux, dinvestissement et de capitalisation.
32
Cybercriminalit
Les placements boursiers en ligne, les casinos en ligne, le e-commerce ventes de produits et services
fictifs contre paiement rel, gnrant des bnfices justifis, de telles activits sont incontrlables et
les poursuites en justice impossibles, le e-banking, les transactions du foncier et de limmobilier via le
net, la cration de socits virtuelles cran, les porte-monnaie lectroniques sont utiliss pour
effectuer le crime des crimes quest le blanchiment. En ayant recours certains services
dmatrialiss, linternaute, peut favoriser inconsciemment le dveloppement du blanchiment
dargent. Les entreprises peuvent galement tre fortuitement impliques dans ce processus, et en
subir des consquences judiciaires et commerciales qui peuvent tre importantes. Cela constitue alors
un risque majeur pour les entreprises.
Actuellement, il existe peu de moyens efficaces pour matriser ce phnomne du blanchiment via les
nouvelles technologies.
II.1.5
Banalisation de la cybercriminalit et extension de la criminalit
La cybercriminalit se ralise le plus souvent au travers de dlits ordinaires, presque invisibles mais
trs prsents et efficaces, du fait de la mise en rseau des ressources et des personnes. Les entreprises
mais surtout leurs ressources informatiques et informationnelles deviennent des cibles privilgies
pour les organisations criminelles la recherche de profits. Il sagit alors dune menace stratgique
dans la mesure o largent se trouve dans les systmes informatiques, dans les grandes entreprises,
dans des fonds de pension, etc., et non seulement dans les banques.
Louverture de l'internet via des serveurs web, des portails, o la messagerie lectronique expose
lentreprise au risque dorigine criminel et permet le positionnement dacteurs criminels son contact.
L'internet est un outil de communication mais il est aussi un environnement chaotique, complexe,
dynamique et hostile qui peut constituer un outil de dstabilisation et de ralisation de dlits. L'internet
peut tre alors considr comme tant une zone criminalise. Or, du fait de la ncessit pour les
institutions dtre prsentes sur l'internet, nous sommes en droit de nous demander si ces dernires ne
contribuent pas dans une certaine mesure lextension de la criminalit sur l'internet.
La scurit intrieure d'un pays est aujourd'hui confronte des formes d'expression de menaces
criminelles lies l'existence des technologies de l'information. Les technologies de l'internet sont au
cur de la guerre de l'information (infoguerre infowar) dont les enjeux sont avant tout d'ordre
conomique et les impacts importants pour le bon droulement des activits. L'internet permet non
seulement la manipulation de l'information mais est aussi un outil privilgi pour rpondre des
rumeurs ou toute forme d'intoxication ou de campagne de dstabilisation. De mme, sont facilites les
activits despionnage et de renseignement, puisquil est devenu ais d'intercepter des informations
transfres sur l'internet.
II.1.6
Cybercriminalit et terrorisme
La cybercriminalit peut avoir une dimension terroriste dans la mesure ou les systmes attaqus sont
impliqus dans des infrastructures critiques. En effet, les infrastructures essentielles au bon
fonctionnement des activits dun pays (nergie, eau, transports, logistique alimentaire, tlcommunications, banque et finance, services mdicaux, fonctions gouvernementales, etc.), voient leur
vulnrabilit augmente par un recours accru aux technologies de l'internet.
Il faut souligner limportance des systmes de production et de distribution dlectricit car ils
conditionnent le fonctionnement de la plupart des infrastructures. La prise de contrle d'infrastructures
critiques semble tre un des objectifs du cyberterrorisme, la preuve en est la recrudescence de scans
(tests de systmes informatiques pour dcouvrir leurs vulnrabilits afin de pouvoir les pntrer
ultrieurement) dirigs sur des ordinateurs d'organisations grant ces infrastructures.
A ce jour, la dfinition du cyberterrorisme n'est pas claire. Le plus simple serait sans doute de
considrer le cyberterrorisme comme du terrorisme appliqu au cyberespace. Or, dans son sens
courant, le terrorisme fait rfrence l'emploi systmatique de la violence pour atteindre un but
politique.
Cybercriminalit
33
Nous sommes en droit de nous demander si l'arrt ventuel de l'internet ou d'une partie de l'internet,
suite des actes de malveillance, serait susceptible de provoquer la terreur au sein de la communaut
des internautes, de certains acteurs conomiques particuliers, de la population.
Ne s'agirait-il pas, le plus souvent, de terrorisme conomique visant porter prjudice aux
organisations qui ralisent des activits au travers de l'internet?
Il faut tre prudent quant l'usage du terme cyberterrorisme qui s'est rpandu depuis le 11 septembre 2001. En effet, souvenons-nous que les premiers dnis de services distribus (DDOS) largement
mdiatiss furent le fait d'un adolescent de 15 ans (Mafia Boy) le 10 fvrier 2000. Identifi et
apprhend plusieurs mois plus tard, bien qu'il n'ait pas rendu publique sa motivation, tout laisse
penser qu'elle n'tait pas politique.
Est-ce que cette mme attaque perptre aprs le 11 septembre 2001, n'aurait pas t aussi qualifie de
cyberterrorisme?
En l'absence d'lments concrets, sans revendication ni auteur prsum dune attaque, il est difficile de
qualifier une attaque de cyberterroriste.
Le terme de cyberterrorisme recouvre une ralit assez floue dans le rpertoire des nouvelles menaces
et il est difficile priori de supposer la motivation et les objectifs d'un agresseur ou d'un groupe
d'agresseurs inconnus. En effet il est parfois malais de distinguer en fonction de la cible uniquement,
les motivations d'un dlinquant, d'un terroriste, d'un mercenaire, d'un militant, d'un escroc ou encore
d'un immature.
Le type d'agression informatique ne suffit pas dfinir avec certitude la motivation ou les objectifs
d'un malveillant. Ceci constitue une des difficults de la lutte contre le crime informatique car il est
ncessaire de disposer d'informations complmentaires pour caractriser l'intention criminelle.
Que cela soit au travers des processus de dstabilisation conomique, par la mise en pril
d'infrastructures critiques, par la propagation d'idologies ou par de la manipulation d'information, le
cyberterrorisme constitue une nouvelle forme de menace qui est considrer de manire trs srieuse.
Au-del des systmes informatiques et du monde virtuel que symbolise l'internet, la vie peut tre
menace en portant indirectement prjudice l'intgrit des personnes.
II.1.7
Cyberdlinquants
Parvenir distinguer la motivation du cyberdlinquant, ainsi que son niveau de technicit, permet,
dvaluer la gravit dune attaque et ainsi de mieux la contrer. Scuriser un systme dinformation
ncessite de connatre contre qui lon doit se protger. De nos jours, on observe deux grands types de
cyberdlinquants savoir, dune part, les professionnels dont les activits sont directement
rmunratrices et, dautre part, les amateurs, gnralement anims par un fort besoin de
reconnaissance sociale (Figure II.4).
Les professionnels sont gnralement:
des concurrents directs de lorganisation vise;
des fonctionnaires au service de leur Etat;
des mercenaires (pouvant agir aussi bien pour le compte dinstitutions prives que publiques);
des truands de toutes sortes.
Parmi les amateurs, se reconnaissent:
les techniciens, successeurs des premiers passionns, ces hackers des premiers ges dont la
motivation essentielle tait le dsir de matriser toujours mieux les technologies;
les curieux;
les immatures: souvent appels script-kiddies ou kiddiots. Ils sont frquemment sur le
devant de la scne aprs avoir t attraps. Le fait quils soient pris par les forces de lordre ne
signifie pas ncessairement quils sont les seuls cyberdlinquants;
34
Cybercriminalit
les psychopathes;
les militants, mus par idologie ou religion, qui sont dailleurs souvent cheval entre
amateurisme et professionnalisme).
Figure II.4 Deux grandes familles de cyberdlinquants
Motivation:
Sociale Technique
Economique Idologique
Politique Religieuse
Personnelle, etc.
Gains
Revenus
Amateurs
Professionnels
Concurrents, Employes,
Fonctionnaires, Mercenaires,
Gangsters, Delinquants,
Terroristes
Mystiques
Curieux
Rebelles
Employs insatisfaits
Militants
Les motivations fondamentales de ces personnes sont relatives des composantes dordre social,
technique, politique, financire ou tatique.
La motivation sociale trouve ses racines dans le besoin de reconnaissance par ses pairs de lindividu,
li gnralement une structure de bande. Il veut prouver sa valeur au groupe en se rfrant aux
critres culturels internes. Il sagit, dun phnomne analogue celui des taggers, et qui est reli
une vision trs primaire des rapports sociaux. On le retrouve frquemment chez les immatures pour
lesquels le hacking apporte un sentiment de supriorit et de contrle dinstitutions quils estiment
subir dans leur quotidien.
La motivation technique reste rare. Elle a pour objet premier la recherche des limites de la technologie,
afin den mettre en lumire les limites et les faiblesses et den mieux comprendre les atouts.
La motivation politique consiste crer un vnement propre alerter les mdias, pour les focaliser
sur un problme grave en esprant provoquer une prise de conscience collective qui amnera sa
rsolution. Il est noter alors que la frontire avec le terrorisme peut tre tnue, au moins dun point
de vue conceptuel. On doit galement souligner que bon nombre de personnes dissimulent leur
motivation sociale derrire un objectif politique.
La motivation financire peut savrer trs forte et sous-tend beaucoup dactions illicites. Lappt du
gain, permet des criminels en col blanc de sexprimer via le rseau internet (voleurs, escrocs,
concurrents dloyaux, etc.).
Enfin, on peut distinguer une motivation gouvernementale. Quil sagisse de guerre de linformation
ou despionnage, elle concerne des services administratifs agissant pour le compte de puissances
tatiques.
Cybercriminalit
35
Les dlinquants ont su sadapter aux nouvelles technologies pour faire fructifier leurs activits
traditionnelles. On peut lgitimement sinquiter en voyant quel point ils peuvent tre cratifs
lorsquil sagit dinventer de nouveaux usages pour ces technologies.
II.1.8
Programmes indsirables ou malveillants
II.1.8.1
Spam
Le spam est un envoi massif de messages lectroniques non sollicits dont la finalit est lorigine
commerciale et publicitaire afin dinciter les internautes commander un produit ou un service.
Le spam en dpit du dploiement de moyens techniques et des sommes investies par les fournisseurs
de service pour le bloquer, malgr galement lannonce faite par les autorits de vouloir combattre ce
flau et les condamnations de spammeurs prolifiques, le spam continue tre une vritable nuisance.
En septembre 2003 le spam reprsentait 54% du trafic total des messages lectroniques changs. En
2005 aux Etats-Unis, selon IDC, le nombre de spams envoys a dpass les 12 milliards de messages,
soit 38.7% du trafic total.
Pouss lextrme, le phnomne de spam peut ressembler une attaque par bombardement,
inondation de messages (email bombing) entranant une surcharge inconsidre des serveurs de
messagerie, des botes lettres des utilisateurs et des dsagrments. Cela peut se raliser par
linscription de lutilisateur son insu des listes de diffusion dinformation (list linkink). Ce dernier
doit alors se dsabonner de ces listes ou, si cela lui semble trop fastidieux, changer dadresse
lectronique. Cette alternative, quoiquefficace est galement drangeante dans la mesure o il est
ncessaire de prvenir tous les interlocuteurs de cette modification dadresse.
Le nombre de messages non sollicits, inappropris, ou parfois contenu propre choquer en quantit
massive peut porter atteinte au respect de la sphre prive de linternaute (notion de junk email). Mais
il est constat que, de plus en plus, le spam est utilis pour propager des programmes malveillants, ce
qui lui confre un degr de nuisance sans prcdent.
II.1.8.2
Programmes malveillants
Les principaux observateurs de la scurit informatique que cela soit le CERT12, le FBI, ou encore le
Clusif, constatent dans leurs rapports annuels concernant la criminalit informatique, une
augmentation des programmes malveillants ou indsirables sexcutent linsu de lutilisateur.
Il sagit des logiciels suivants:
Les tlchargeurs et implanteurs (downloaders) qui permettent le tlchargement de donnes
(accs distance et chargement de programmes ou rcupration de donnes);
Les keyloggers qui sont des enregistreurs de frappe, renifleurs de clavier qui capturent les
informations saisies au clavier par lutilisateur. Il existe galement des priphriques
matriels, (keyloggers matriels) indtectables par les logiciels qui enregistrent les donnes;
Les bot-robots qui sont des programmes permettant la prise de contrle distance de systmes
afin de former un rseau dattaques cach. De 25-50 nouveaux robots sont dcouverts chaque
jour. Ils servent de relais de spamming, de phishing ou pour distribuer des adwares. En
octobre 2005, la police hollandaise arrte trois hommes souponns de diriger un rseau de
100 000 ordinateurs robots qui se proposaient de mener des attaques de dni de service et
sintressaient aux comptes PayPal et Ebay de leurs victimes;13
Les logiciels publicitaires (adware advertising software) qui permettent entre autres la
personnalisation des dmarches commerciales;
12 CERT: Computer Emergency Response Team; www.cert.org Statistiques 1998 2005
www.cert.org/stats/cert_stats.html
13 Source: Clusif Panorama de la cybercriminalit rapport 2005:
www.clusif.asso.fr/fr/production/ouvrages/pdf/PanoCrim2k5-fr.pdf
36
Cybercriminalit
Les logiciels espions (spyware spying software) qui, comme leur nom lindique, enregistrent
des donnes linsu de lutilisateur. Selon lditeur de logiciels Webroot INC. plus de
100 000 diffrents spywares sont prsents sur le net et plus de 300 000 sites internet hbergent
de tels logiciels. Un PC connect sur l'internet possde en moyenne 28 spywares installs
linsu de son utilisateur. Plus de 80% des ordinateurs dune entreprise contiennent au moins
un spyware. Ces programmes sont lorigine de 70% des attaques.
A ces logiciels, il faut ajouter les virus et ses drivs (vers, cheval de Troie, bombe logique).
Les virus sont des programmes malveillants introduits dans un systme linsu des utilisateurs, qui
possdent la capacit de se dupliquer soit l'identique, soit en se modifiant (virus polymorphe), de
porter atteinte aux environnements dans lequel ils sexcutent et de contaminer les autres avec lesquels
ils sont en relation. Diffrents types de virus sont distingus en fonction de leur signature, de leur
comportement, de leur type de reproduction, dinfection, de dysfonctionnements induits, etc.
Lobjet dun virus informatique, de manire analogue au virus biologique, est de se reproduire et de se
propager dun ordinateur un autre, en sattachant toutes sortes de programmes, le plus souvent
des messages lectroniques. Gnralement via une intervention humaine. Lexcution dun virus peut
porter atteinte lintgrit des ressources informatiques contamines. Certains peuvent tre juste
drangeants, dautres carrment destructeurs, conduire des pertes de disponibilit et de
confidentialit.
Le terme de virus dsigne de manire gnrique tout programme informatique capable de nuisance
(infection, destruction, dtournement de ressources, etc.), capable de se reproduire et de se propager.
Environ 50 000 nouveaux virus ont circul, en 200514. Le virus HTML_NETSKY.P par exemple,
rpertori par le World Virus Tracking Center, a infect prs de 855 244 machines dans le monde
depuis avril 2004. Le cot pour les entreprises infectes par des virus, pour lanne 2004 selon
Computer Security Institute est de lordre de 42 millions USD. Selon F-secure.com il y aurait 4000
virus par jour en circulation.
Les vers, chevaux de Troie, bombes logiques sont des codes malveillants de la famille gnrique des
virus.
Les vers sont des programmes qui se diffusent travers le rseau, le plus souvent indpendamment
dune intervention humaine et ont souvent comme finalit de consommer de manire excessive des
ressources (mmoire, bande passante) portant atteinte ainsi au critre de disponibilit ou favorisant la
prise de contrle distance des systmes infects.
Les programmes malveillants qualifis de chevaux de Troie (Troyan horse) sont introduits
subrepticement, souvent sous couvert de programmes anodins ou daide, dans des systmes pour en
prendre le contrle afin de raliser le vol de temps processeur, laltration, la modification, la
destruction des donnes et programmes, des dysfonctionnements, des coutes illicites, mais aussi pour
raliser dautres malveillances et servir de relais des attaques ultrieures.
Les bombes logicielles (logical bomb) sont des virus qui sactivent lors de la ralisation dvnements
particuliers (date anniversaire par exemple) pour porter atteinte au systme dans lequel il se trouve.
En revanche, un bogue (bug) dont le terme est dorigine anglaise illustre une erreur de programmation.
Par extension dfaut de conception ou de ralisation se manifestant par des anomalies de
fonctionnement.
En principe, les virus se propagent et sexcutent si lutilisateur les active en excutant les
programmes dans lesquels ils rsident. La majorit des virus se sont jusqu prsent propag via les
fichiers attachs aux messages lectroniques (email attachement) et activ lorsque lutilisateur double
clique dessus et les ouvre.
14 Source: IPA/ISEC Computer virus incident report.

Cybercriminalit
37
Un grand nombre de programmes malveillants existent sous couvert doutils daide la navigation,
la connexion, la personnalisation des services, etc., mais en ralit ils sont pour la plupart des outils
de capture dinformations (vol dinformations, capture de mots de passe, de trafic), dappropriation de
ressources ou dattaques. Ils permettent de diffuser et de piloter des outils dattaques en dni de
service distribu (DDoS). Plusieurs milliers sont actuellement en circulation avec comme finalit le
profit financier.
Les attaques qualifies de dni de service (DOS Denial of Service) ou de dni de service distribu
(DDoS Distributed Denial of Service) sont celles qui portent atteinte la disponibilit des ressources.
Elles sont gnralement ralises en sollicitant de manire excessive les services normalement offerts
par un serveur, mettant le systme dans limpossibilit de rendre le service pour lequel il est conu
(do le nom de dni de service). Du fait du caractre normal de la demande de service, une attaque
par dni de service est trs difficile contrer (ce qui met mal linfrastructure est le nombre considrable de requtes sollicites). Elle est dautant plus difficile contrer quelle est ralise partir de
plusieurs points ou de systmes (notion dattaque par dni de service distribu).
Les vecteurs dintroduction de logiciels malveillants peuvent tre des logiciels gratuits ou en
dmonstration, les sites pornographiques ou de jeux, mais aussi le courrier lectronique, le spam et les
forums de discussions.
Quel que soit leur mode dintroduction, mme sils sont installs aprs un consentement initial ou
accord implicite de lutilisateur, ce qui peut tre le cas des adware mais jamais des spyware, leur
usage est dtourn. Le plus souvent, ils sexcutent en labsence de consentement des utilisateurs. Ces
logiciels collectent et transfrent des donnes linsu de lutilisateur (observation des habitudes de
navigation pour des publicits cibles) et peuvent servir dintermdiaires des activits illgales
(relais de spam et de phishing par exemple) des fins denrichissement de lentit qui en est
lorigine. La dtection dsinstallation de tels logiciels est parfois difficile. De manire gnrale,
linternaute ne possde pas les comptences ou les outils ncessaires pour matriser ce risque.
Le phishing consiste utiliser la messagerie lectronique pour leurrer et inciter les internautes livrer
des informations sensibles exploites ensuite des fins malveillantes (escroquerie et/ou dtournement
dinformation). En septembre 2005 plus de 5259 sites de phishing taient actifs, ciblant prs de
110 marques selon le Journal du net 26.01.200515.
Le terme phishing est employ pour dsigner une technique qui consiste leurrer les internautes
(souvent par le biais dun message lectronique) afin de les inciter livrer des informations sensibles
ou personnelles, (gnralement en leur demandant de se connecter sur un site web qui ressemble au
site web de linstitution quils connaissent et remplir des formulaires qui sont alors disposition des
malveillants).
Les informations communiques par linternaute, notamment son identit virtuelle, seront ensuite
utilises pour raliser des malveillances escroquerie, fraudes, etc., au nom des internautes leurrs.
Par analogie la pche la ligne (fishing) qui se ralise via un hameon et un leurre, la pche
lectronique aux donnes sensibles passe par un appt qui amne lutilisateur donner de son plein gr
linformation convoite par les malveillants.
Bien que la plupart du temps les tentatives de phishing se ralisent par la rception dun message qui
semble authentique et qui est cens tre mis par une institution relle avec laquelle linternaute est en
contact (poste, banque, commerant, site de ventes aux enchres par exemple), il peut tre ralis par
tlphone ou directement par une personne ou encore via le tlphone portable ou une application de
messagerie instantane (Instant Messaging, IM).
15 www.journaldu net.com
38
Cybercriminalit
II.1.8.3
Tendances
De nos jours, les virus nont plus pour objectif principal la destruction massive et gratuite de donnes.
Ils deviennent pragmatiques et sont orients vers la recherche de gains. Leur finalit est bien plus
intelligente qu leur origine et leur capital embarqu leur permet de raliser des fraudes. Les virus
deviennent des vecteurs de ralisation de la criminalit financire au service le plus souvent, de la
criminalit organise et constituent des moyens denrichissement considrable pour leur auteur.
Pour ce qui concerne par exemple laugmentation du spam et des nuisances associes, le CLUSIF16 a
relev quAOL aurait filtr 500 milliards de messages de spam en 2003 et que le spammer le plus
prolifique du monde, rvl en dcembre 2003 par lassociation anti-spam Spamhaus17, aurait envoy
70 millions de messages lectroniques en un seul jour!
Toujours selon le CLUSIF, aux Etats-Unis, en mai 2003 le Buffalo spammer a t condamn payer
une amende de 16,4 millions USD au fournisseur de service internet Earthlink, pour avoir envoy
825 millions de messages non sollicits. Selon Ferris Research le spam aurait cot au monde des
affaires en 2003, 2.5 milliards USD aux Europens et 8.9 milliards USD aux Amricains. Ajout aux
500 millions USD investis par les fournisseurs de service pour bloquer le spam, cet usage abusif de la
messagerie lectronique devient un vritable problme que lon ne peut plus ignorer.
Outre les pertes directes conscutives une fraude, il faut considrer les cots engendrs par une
interruption de service, entranant une non continuit des oprations, une perte de volume de ventes,
les dommages collatraux, la perte dimage, de rputation, etc., ainsi que les cots relatifs la
restauration des systmes dans leur tat oprationnel. Ceci reprsente des sommes non ngligeables
pour les organisations cibles par des attaques informatiques.
Ainsi, il est remarqu que le nombre dattaques ne cesse de croitre, que les virus informatiques
constituent de vritables pandmies. Les phnomnes dusurpation didentit prennent de lampleur et
deviennent de plus en plus sophistiqus, comme dailleurs les fraudes, escroquerie et diverses formes
de chantage qui sont des ralits quotidiennes du cyberespace. Cela affecte tout le monde et touche
tous les secteurs dactivit indpendamment des barrires gographiques ou temporelles.
Touts, les systmes, toutes les plateformes matrielles et logicielles, tous les systmes dexploitation,
sont touchs sans exclure les systmes permettant la mobilit des utilisateurs (ordinateurs et tlphone
portables).
II.1.9
Principaux dlits favoriss via l'internet
II.1.9.1
Escroquerie, espionnage et activits de renseignement, trafics divers, chantage
Tous les crimes et dlits communs (racket, traitent des tres humains, escroquerie, vol, etc.) que les
organisations criminelles commettent, sont susceptibles de bnficier de l'utilisation des nouvelles
technologies de linformation et notamment de l'internet. De manire gnrale, le service de mise en
relation offert par le rseau internet favorise lensemble des trafics possibles que cela soit relatif au
trafic darmes ou celui dtres humains, aux escroqueries (atteintes contre des biens, atteintes des
systmes et infrastructures informatiques, vol de donnes, atteintes au droit dauteur, etc.).
L'internet permet aux escrocs de svir selon diverses modalits. Il y a tous ceux qui usurpent une
identit afin de bnficier de prestations sans avoir les rmunrer. Leur outil de travail est souvent le
logiciel de carding qui permet de crer de numros de carte bancaire parfaitement valides bien que
ne correspondant aucun compte rel. Il suffit ensuite d'acheter en ligne et de se faire livrer une
adresse
16 CLUSIF Club de la Scurit des Systme dInformation Franais

www.clusif.asso.fr
17 Association Spamhaus: www.spamhaus.org
Cybercriminalit
39
de complaisance que l'on utilisera une seule fois. Le cot sera support par le systme bancaire ou le
commerant. Lutilisateur final est aussi concern lorsque son numro de carte de crdit a t livr par
un pickpocket, ou un commerant indlicat, un rseau spcialis.
Une autre famille d'escrocs est constitue par tous ceux qui proposent des prestations inexistantes
(vente de diplmes, de passeports diplomatiques d'Etats imaginaires, vente aux enchres de produits
inexistants, etc.).
De mme, sont facilites les activits despionnage et de renseignement puisquil est devenu ais
d'intercepter illgalement, des informations transfres sur l'internet.
Remarquons que l'utilisation systmatique de moyens de communication et de scurit
informationnelle comme le chiffrement, par des terroristes professionnels, peuvent aussi amliorer leur
propre scurit en limitant la quantit d'information susceptible d'tre rcupre par la police.
L'internet est un puissant medium qui favorise la diffusion de mthodes permettant la ralisation de
crimes et de dlits, ce qui facilite pour certains le passage lillgalit.
II.1.9.2
Atteintes aux personnes
L'internet permet des communauts virtuelles clandestines, de se constituer autour de pratiques

rigoureusement punies par la loi. Il peut sagir de pornographie, de pdophilie, ou de snuff movies
(films montrant des scnes de violence et de torture ralises sur des victimes, pouvant conduire la
mise mort des personnes maltraites). Ce type dactivit est en gnral li la traite dtres humains
qui le plus souvent sont des femmes ou des enfants. Les changes de films ou de photos sont beaucoup
moins faciles intercepter par la police. De plus, le fait que des serveurs soient localiss dans des pays
o les forces de police sont inexistantes ou dpasses ainsi que lusage du chiffrement ou de serveurs
IRC (Internet Relay Chat) privs et actifs pendant des dures trs limites, des changes P2P (peer to
peer) accroissent la libert daction des criminels.
Ces activits illicites tombent sous le coup du droit commun. On peut alors sinterroger si leur
commission quasi industrialise et grande chelle, que l'internet ainsi que la mobilit des personnes
et biens autorisent, ne les transforment pas en de vritables crimes contre une partie de lhumanit?
Atteintes aux personnes. Pour ce qui concerne les atteintes la personnalit, retenons par exemple:
Atteinte la vie prive, la reprsentation de la personne, au secret professionnel, aux droits de la
personne rsultant des fichiers ou traitements informatiques. Pour ce qui concerne les atteintes aux
mineurs retenons la diffusion de messages pornographiques susceptibles dtre vus par des mineurs.
II.1.9.3
Contrefaon
La facilit avec laquelle l'information numrique peut tre reproduite, a contribu l'apparition d'un
march de la copie illicite. Cela reprsente un manque gagner de plusieurs dizaines de milliards
USD, pour les diffrents diteurs dans les domaines des logiciels, de la musique ou encore du film
vido par exemple.
Par ailleurs, on constate une augmentation trs importante du nombre de travaux scolaires ou
universitaires raliss par simple copie de documents existants sur le web.
Les infractions au code de la proprit intellectuelle peuvent tre nombreuses: contrefaon dune
uvre de lesprit (y compris logiciel), de dessin, dun modle, dune marque, etc.
II.1.9.4
Manipulation de l'information
La manipulation peut prendre diverses formes, comme par exemple la diffusion de documents internes
dune entreprise de manire provoquer sa dstabilisation, envois de courriers lectroniques appelant
les destinataires raliser des dons montaires sur des sites contrefaits, etc.
Linternet est un outil privilgi pour rpandre des rumeurs ou toute forme dintoxication. Il favorise
galement les infractions de presse, la provocation aux crimes et dlits, lapologie de crimes contre
lhumanit, apologie et provocation au terrorisme, provocation la haine raciale, ngationnisme,
diffamation, injure, etc.
40
Cybercriminalit
La Figure II.5 donne quelques exemples de dlits facilits par l'internet.

Figure II.5 Exemples de dlits facilits par l'internet
Crimes et dlits contre les personnes Atteintes la personnalit Atteinte la vie prive Atteinte
la reprsentation de la personne Dnonciations calomnieuses Atteinte au secret professionnel
Atteinte aux droits de la personne rsultant des fichiers ou des traitements informatiques Atteintes
aux mineurs, etc.
Crimes et dlits contre les biens Escroquerie Atteintes aux systmes informatiques
Infraction de Presse
Provocation aux crimes et dlits Apologie des crimes contre lhumanit Apologie et provocation au
terrorisme Provocation la haine raciale Ngationisme Diffamation Injures
Infraction au code de la proprit intellectuelle Contrefaon dune uvre de lesprit (y compris

logiciel)
Contrefaon dun dessin ou dun modle Contrefaon de marques
Participation la tenue dune maison de jeux de hasard (cybercasino)
II.1.9.5
Rle des institutions publiques
Les institutions publiques ont plus que jamais le besoin de jouer leur rle traditionnel de poursuite et
de rpression des fraudes et des dlits. Elles devraient aussi tre actives en matire de sensibilisation et
dinformation de la population. Il serait notamment utile de pouvoir disposer dlments de rfrence
relatifs la protection des personnes et des biens lors de lusage de linternet.
De plus, il serait dangereux de laisser les forces de police prendre un retard dans le domaine technologique. En effet, un ventuel effort de rattrapage aprs quelques annes aurait non seulement un cot
financier direct, sous forme dinvestissements dans de nouvelles infrastructures, mais aussi et surtout
un cot social par laccroissement de lemprise des structures mafieuses ou assimiles sur la socit,
avec tous les risques de dstabilisation que cela comporte.
Toutefois, laccroissement excessif de la prsence policire sur le rseau nest pas forcment la
meilleure des choses et peut entrer en conflit avec les besoins de confidentialit des changes et de
respect de la sphre prive des individus.
II.1.10
Incidents de scurit et chiffre noir de la cybercriminalit
Il convient de remarquer que peu de statistiques relatives la cybercriminalit sont disponibles. Il

sagit dun nouveau champ dexpression de la criminalit o peu daffaires sont reportes la police.
De plus, ces infractions se perptuent au niveau mondial; or les lgislations pnales sont nationales, il
est alors parfois difficile de mettre en commun des statistiques traitant de dlits dont la qualification
peut varier dun pays un autre. Ainsi par exemple lorsquun systme informatique est utilis afin de
raliser une transaction financire frauduleuse aprs usurpation des paramtres de connexion dun
utilisateur: est-ce un crime informatique ou un crime financier?
Cybercriminalit
41
Nanmoins, la mise en place par exemple, aux Etats Unis de Computer Investigation and
Infrastructure Threat Assessment (CITA) squads dcentraliss et coordonns par le National
Infrastructures Protection Center (NIPC) relve indirectement lampleur de la cybercriminalit.
Le nombre dincidents de scurit rapports au CERT18 continue de progresser depuis le dbut des
annes 2000 et le nombre dattaques dclares aux autorits judiciaires tend galement augmenter au
cours des annes, ce qui contribue une meilleure connaissance et prise en compte de la criminalit
informatique. Lanne 2003 a t marque par laugmentation significative du volume du spam, qui ne
se limite plus linternet mais touche galement les SMS, et par larrestation et la condamnation de
spammers. Des oprations de police denvergure que cela soit aux Etats Unis (opration E-Con en mai
2003, Cyber-Sweep en octobre 2003 quen Europe (Espagne, Italie, France, GB, etc.) montrent que les
autorits ragissent et sadaptent ce nouveau contexte criminel. Larrestation et la condamnation de
quelques auteurs de virus ou de spam dmontrent la volont de restreindre ces nouvelles formes de
nuisance. Toutefois, le nombre de condamnations reste trs marginal au regard de limportance
quantitative du spam et des virus circulants journellement19.
Le chiffre noir de la cybercriminalit est difficile apprhender. Seulement 12% des cybercrimes
seraient connus des instances de justice et police et du grand public20. Il existe une relle difficult
obtenir un tat des lieux raliste de la criminalit informatique, ce qui constitue un vritable obstacle
lanalyse du phnomne et contribue la mconnaissance de son ampleur.
Le manque de statistiques officielles provient en partie du fait que les organisations:
ne souhaitent pas forcment communiquer sur les malveillances subies;
ignorent quelles sont victimes dune malveillance, notamment pour toutes attaques passives
(dtournement transparent de donnes, de flux, coutes clandestines, introduction non dtecte
dans des systmes, etc.), ou en prennent conscience qu posteriori lorsque toute action de
raction devient obsolte;
ne savent pas grer une situation de crise;
nont pas une confiance suffisante dans les instances de justice et police et dans leur
comptence pour traiter ce type de problme;
prfrent faire justice elles mmes.
Lexpertise des attaquants, la sophistication et lefficacit des attaques, les botes outils, les outils
dattaques ainsi que le nombre dattaques ne cessent de crotre. Ce dynamisme induit une complexit
croissante du phnomne matriser. Sans une volont politique forte et une responsabilit de tous les
acteurs au niveau international et un partenariat efficace des secteurs privs et publics, toute mesure de
scurit, quelle soit dordre technologique ou lgislative, ne constituera quune approche insuffisante
et parcellaire de la scurit qui sera donc inefficace la matrise de la criminalit informatique.
18 CERT Coordination Center, Carnegie Mellon University (http://www.cert.org)

19 85 059 virus connus ont t recenss en dcembre 2003 par lInformation Technology Promotion Agency Information
Security Center (IPA/ISEC Japon) Computer Virus Incident Reports. 2004.
www.ipa.go.jp/security/english/virus/press/200401/virus200401-e.html
20 Vladimir Gobulev Computer crime typology January 09, 2004 Computer Crime Research Center
www.crime- research.org/articles/Golubev1203/
42
Cybercriminalit
II.1.11
Se prparer la menace dorigine cybercriminelle: un devoir de protection
Il faut se prparer la menace dorigine cybercriminelle qui un jour ou lautre se concrtisera.

Il sagit dorganiser la protection et la dfense des valeurs en prenant en considration la menace du
risque criminel lors de la dfinition de la stratgie de scurit. Il est parfois difficile didentifier les
acteurs de la cybercriminalit, leurs modalits daction et leur motivation, mais il est constat que les
organisations criminelles agissent gnralement de manire opportuniste et sattaquent plus volontiers
aux acteurs vulnrables. Ne pas devenir une cible prioritaire de la cybercriminalit pour une
organisation, est possible dans la mesure ou lorganisation protgera efficacement, c'est--dire mieux
que les autres, son infrastructure informatique et sortira de la logique ou la mise en place de la scurit
se limite avoir le mme niveau dinscurit que ses concurrents. Le risque cybercriminel est alors
transform en levier pour raliser une scurit de qualit.
En revanche si lorganisation est considre, par les acteurs classiques de la criminalit, comme tant
une source de richesse ou un symbole dtruire, elle sera lobjet dattaques cibles. La destruction par
des actes terroristes est alors envisageable pour ce qui concerne le deuxime cas. Une stratgie de
protection et de dfense appropries doit alors tre mise en place. Toutefois, les outils classiques de
lassurance et de la gestion de risques sont de peu defficacit pour le risque dorigine criminel, car
certains ne peuvent pas tre vits moins de ne pas tre connect l'internet.
Le risque criminel possde une dimension globale et touche dans leur intgralit (actionnaires,
dirigeants, personnel, outil de production, etc.) les institutions. Celles-ci doivent savoir prserver leur
intgrit face au risque criminel, comme elles savent se protger des risques de corruption par
exemple. Elles doivent tre rentables et compenser le manque gagner engendr par le risque
cybercriminel et le cot des mesures mettre en place pour le matriser. Un modle conomique doit
alors tre pens pour supporter de manire optimale le cot de la protection des infrastructures, de la
scurit des systmes, rseaux, donnes et services, ralises au dtriment du dveloppement
conomique, par ceux qui partagent la valeur que les organisations crent.
La prise de conscience de la fragilit du monde numrique et de la non-matrise totale non seulement
des technologies et infrastructures informatiques et tlcoms mais aussi des solutions de scurit commercialises, doit nous faire poser la question fondamentale de la dpendance vis--vis de technologies que nous ne matrisons pas.
Jusquo dsirons-nous tre dpendants dun fournisseur, dun pays, dun administrateur?
Le premier lment de la matrise du risque cybercriminel passe avant tout par:
repenser la relation aux nouvelles technologies et aux fournisseurs;
lexigence dune garantie de scurit;
la responsabilit de lensemble des acteurs.
Avant de mettre en place des mesures classiques de scurit par une dmarche de prvention
protection dfense, protgeons les ressources sensibles ou critiques dune organisation en repensant
tout dabord leur relation aux nouvelles technologies.
Exigeons:
des produits de qualit dont le niveau de scurit puisse tre contrlable et vrifiable;
que la scurit ne soit plus ralise dans lobscurit, quelle soit transparente;
que la scurit ne relve plus uniquement de la responsabilit des utilisateurs mais aussi des
intermdiaires techniques responsabilit juridique des professionnels (concepteurs de
programmes, fournisseurs daccs, etc.);
quun minimum de scurit soit intgr en mode natif dans les solutions technologiques
(notion de produits surs).
Au-del des proccupations des organisations, face la synergie et la convergence du crime
organis, du crime conomique et du cybercrime, une rponse complte, multilatrale et transnationale
est apporter pour renforcer la confiance des acteurs conomiques envers les technologies de
linformation et diminuer les opportunits criminelles.
Cybercriminalit
43
Cette rponse doit satisfaire aux besoins de scurit nationale, des organisations et des individus. Elle
doit contribuer limiter un niveau acceptable la cybercriminalit, tablir la confiance dans le
monde numrique, minimiser le risque de corruption et de menace des pouvoirs publics.
Chapitre II.2 Cyberattaques

II.2.1
Caractristiques des cyberattaques
Plusieurs manires de dtourner les possibilits offertes par les technologies de linternet existent.
Elles sont le plus souvent fondes sur lusurpation de paramtres de connexion, de mots de passe
dayant droits, ainsi que sur le leurre et lexploitation de failles et de vulnrabilits des technologies.
II.2.2
Appropriation de mots de passe des utilisateurs pour pntrer des systmes
Les principaux moyens qui permettent dobtenir des paramtres de connexion dayants droits pour
sintroduire dans des systmes sont les suivants:
Obtention directe: le mot de passe est vident (prnom de la personne, du conjoint, de ses
enfants, dates de naissance, etc.), le mot de passe est donn directement par lutilisateur au
malveillant.
Obtention par leurre de lutilisateur (notion de social engineering): le fraudeur se fait passer
pour un administrateur et demander pour des raisons techniques, les mots de passe des
utilisateurs qui dans la majorit des cas, les donnent.
Obtention par coute du trafic: le fraudeur intercepte, coute les donnes transmises en clair
par les protocoles de communication (coute passive (sniffing) surveillance du trafic rseau
(monitoring)).
Obtention par un logiciel: un cheval de Troie est introduit dans le poste de travail dun
usager et enregistre son insu ses paramtres de connexion des systmes distants.
Obtention par accs au fichier de sauvegarde des mots de passe.
Obtention par dchiffrage (cracker) des mots de passe chiffrs.
Obtention par observation des utilisateurs par activation des priphriques multimdia pour
enregistrer leurs paramtres de connexion.
Une fois en possession des cls dentre dans les systmes (identification du couple lutilisateur, mot
de passe), il est ais de les pntrer et deffectuer toutes sortes doprations de lecture ou dcriture.
Lenjeu pour le hacker est alors de ne pas se faire dtecter et de ne pas laisser la trace de sa prsence
dans les systmes visits.
II.2.3
Attaque par dni de service
Une attaque conduisant un dni ou refus de service peut tre ralise en sollicitant excessivement des
ressources. Ne possdant pas la capacit de traiter un tel afflux de demandes, les systmes cibls,
surchargs par un trop grand nombre de requtes, seffondrent et deviennent indisponibles. Elles
peuvent tre perptres en tirant parti des failles de leur systme dexploitation et utiliser par exemple
ses caractristiques internes, notamment celles de leur gestion de certaines zones tampon (buffer
overflow attack) entranant des dysfonctionnements graves pouvant conduire larrt des systmes.
Une attaque par inondation de messages (e-mail bombing) qui consiste submerger la bote lettres
lectronique dun utilisateur peut entraner un dni de service.
44
Cyberattaques
II.2.4
Attaque par modification de page web
Une attaque par modification de la page daccueil dun site web (defacement attack) est ralise en
substituant une page dun site par une nouvelle, dont le contenu (pornographique, politique, etc.) est
variable selon la motivation des attaquants. Une variante de ce type dattaque, consiste rediriger
lutilisateur vers un faux site, ressemblant exactement celui auquel il sest initialement connect, afin
de lui soustraire par exemple son numro de carte bancaire. Ce type dattaque est mis en uvre lors
doprations de phishing.
Les contenus de sites dinformation peuvent galement tre modifis des fins de dsinformation
(pour influencer le cours dactions, dstabiliser, manipuler lopinion publique, etc.). Ces attaques
smantiques (semantic attack) qui touchent au sens mme des informations, relvent de linfoguerre
(infowar).
II.2.5
Attaques bases sur le leurre et le dtournement du mode opratoire des

protocoles
Tous les protocoles de la famille TCP/IP (Transmission Control Protocol/Internet Protocol) peuvent
tre dtourns et mis en uvre pour porter atteinte la scurit de systmes. Il en est de mme des
protocoles et mcanismes qui contribuent lacheminement des donnes au travers du rseau. Ainsi,
par exemple, lors de session de travail entre un client et un serveur, un vol de session TCP peut exister.
En effet, le protocole TCP (Transmission Control Protocol) pour sexcuter, tablit une connexion
logique entre les deux correspondants et supporte lchange de donnes applicatif entre ces derniers.
Or, pour mettre en relation les applications distribues, TCP utilise des numros de port (port
number) ou identifiants logiques des applications. Certains sont spcifiques et rservs des
programmes particuliers et bien connus des utilisateurs; dautres sont affects dynamiquement lors de
la connexion selon un algorithme dtermin. Une attaque par numro de port TCP consiste deviner
ou prdire les prochains numros de ports affects lchange de donnes pour les utiliser la place
de lutilisateur normal et se substituer lui. Ainsi, on peut passer des firewalls et tablir une
connexion scurise entre deux entits (lentit pirate et lentit cible). Bien sr, lentit originelle
qui a t substitue ne peut pas communiquer avec lentit distante; il suffit alors, de lui transmettre un
message lui signifiant par exemple que le systme sollicit est inactif.
Le User Datagram Protocol (UDP) est un protocole de niveau 4 (Transport) sexcutant en mode non
connect. Il constitue une alternative lusage du protocole TCP pour le transfert rapide dun petit
volume de donnes. Les communications UDP ne font lobjet daucun contrle. Le protocole UDP
neffectue pas de contrle didentification, de contrle de flux et de contrle derreur, de ce fait
nimporte qui peut utiliser une adresse IP dun interlocuteur autoris se connecter un systme et
sen servir pour le pntrer. Des vols de sessions UDP peuvent galement avoir lieu sans que les
serveurs dapplication ne sen rendent compte
Par ailleurs, il est ais, quand on connat le mode opratoire des diffrents protocoles, qui est public,
de dtourner leur usage, de gnrer de faux paquets pour surcharger le rseau par exemple et linonder
pour entraner des dnis de service. Ainsi, on touche au critre de scurit relatif la disponibilit du
rseau et des services.
Les dlinquants informatiques savent trs bien tirer parti des protocoles et de leur limites pour:
paralyser le rseau;
rediriger des paquets IP vers une fausse destination (la leur par exemple);
augmenter considrablement la charge des systmes en leur faisant traiter, en vain, un grand
nombre de messages non significatifs;
empcher un metteur denvoyer des donnes;
contrler le flux dmission des paquets, ce qui a galement des consquences sur le trafic
support par le rseau et porte atteinte ses performances (fiabilit, sret de fonctionnement).
Cyberattaques
45
De manire gnrale, les attaques au niveau du routage se basent sur la mystification des routeurs, des
passerelles et des destinataires, en leur fournissant de fausses informations dadressage qui permettent
de dtourner les donnes.
En utilisant par exemple certaines facilits optionnelles du protocole IP qui permettent de dfinir la
route, cest--dire de spcifier les adresses des systmes intermdiaires par lesquels un paquet doit
passer, et en falsifiant ces adresses, un fraudeur peut aisment rediriger des paquets vers une
destination de son choix.
Outre le fait que les attaquants savent tirer partie du mode opratoire des protocoles de
communication, ils savent galement exploiter les caractristiques des systmes dexploitation et de
leur mode de fonctionnement. Ainsi, des dpassements de capacits de certaines zones tampon des
systmes (buffer overflow attack) entranent des dysfonctionnements graves pouvant conduire leur
arrt. Les cibles de ce type dattaque sont, bien entendu, tous les systmes jouant un rle important
dans la ralisation de services, que cela soit pour lacheminement des donnes comme les routeurs, ou
la gestion des noms et des adresses comme les serveurs de noms par exemple. La plupart des attaques
dont sont lobjet les sites web sont celles qui les rendent indisponibles et qui peuvent tre perptres
par lexploitation des failles de leur systme dexploitation.
II.2.6
Attaques contre les infrastructures critiques
Les infrastructures critiques essentielles au bon fonctionnement dune socit (nergie, eau, transports,
logistique alimentaire, tlcommunications, banque et finance, services mdicaux, fonctions
gouvernementale, etc.), voient leur vulnrabilit augmente par un recours accru aux technologies de
l'internet qui les rendent accessibles depuis le rseau des rseaux.
De plus, il faut souligner limportance particulire de la vulnrabilit des systmes de production et de
distribution dlectricit. Ils constituent une infrastructure vitale, donc critique, dans la mesure ou elle
conditionne le fonctionnement de la plupart des autres infrastructures. La complexit et le caractre
rparti des relations entres les diffrentes infrastructures critiques est la fois source de force et de
vulnrabilit.
Il est fondamental de scuriser les passerelles vers linternet des rseaux de gestion de ces
infrastructures et de mettre en place au niveau rgional ou national, des organismes chargs de la
protection des infrastructures critiques. Leur mission premire est de coordonner la conception et la
mise jour des plans de protection de chacune des infrastructures. En effet, la cohrence et la
compatibilit de ces plans et solutions de scurit est primordiale en cas de crise touchant
simultanment plusieurs dentre elles.
II.2.7
Mode de droulement dune cyberattaque
La Figure II.6 prsente les diffrentes phases de droulement dune attaque21.

La premire phase de collecte dinformations et de recherche de vulnrabilit dun systme cible a
pour objet de rcolter le maximum dinformations sur le systme cibl afin de les exploiter. Cela
consiste connatre les mcanismes et niveaux de scurit en vigueur concernant lidentification, lauthentification, le contrle daccs, la cryptographie, la surveillance et identifier les failles techniques,
organisationnelles, humaines de lenvironnement. Lattaquant tirera partie le plus souvent de la navet
ou de la crdulit des utilisateurs pour leur soutirer des informations facilitant la cration dune attaque
(notion de social engineering).
21 Figure issue du livre Scurit informatique et tlcoms: cours et exercices corrigs; S. Ghernaouti-Hlie; Dunod 2006.
46
Cyberattaques
Figure II.6 Phases caractristiques du droulement d'une attaque
Phase 4
Phase de social engineering

Phase 1
Exfiltration
Collecte dinformations
Recherche de vulnrabilits
Savoir-faire et exploitation
des informations
recueillies et des failles
Intrusion
Phase 2
Failles technologiques,
de conception, de
configuration, etc.
Leurres
Usurpation de
mots de passe
Phase 3
Cration dune attaque
Problmes
scuritaires
Pertes directes et indirectes
De plus, le fraudeur semploiera dtecter et exploiter les failles de scurit connues mais non encore
rpares (non patches) et utiliser les outils disponibles (notions de bibliothques dattaques ou de
boites outils dattaques) pour sintroduire dans les systmes. La phase dexfiltration a pour objectifs
principaux de faire en sorte que lattaque ne soit pas dtecte et que lattaquant ne laisse pas de trace
pouvant servir son identification. Pour contribuer cela, il semploiera rester anonyme, utiliser
des alias (pseudonymes), usurper lidentit numrique dutilisateurs, ou encore brouiller les pistes
en passant par plusieurs systmes intermdiaires ou relais.
Cyberattaques
47
SECTION III
APPROCHE TECHNOLOGIQUE
Chapitre III.1 Infrastructures de tlcommunication

III.1.1
Caractristiques
La grande couverture gographique du rseau tlphonique a fait de lui un rseau prfrentiel

desservant un grand nombre dutilisateurs. Son infrastructure permet de lutiliser aujourdhui, non
seulement pour transporter des donnes vocales, mais galement des donnes informatiques. Ainsi, il
est possible, condition de disposer des interfaces adaptes, de raccorder des ordinateurs via le rseau
tlphonique. Par ailleurs des points daccs au rseau internet se sont dvelopps ces dernires
annes, les cybercafs continuent merger et de plus en plus de pays disposent dune infrastructure
de transport plus accessible et performante. Des rseaux cbls sont parfois dploys pour assurer la
transmission de canaux de tlvision.
Aux infrastructures fixes de tlcommunication, il faut associer celles qualifies de sans fil qui
autorisent la mobilit des utilisateurs, technologies faisant appel aux infrastructures
satellitaires et spatiales et celles recourant aux infrastructures hertziennes terrestres. Ainsi,
ces dernires annes, la tlphonie mobile offre ses services dans beaucoup de pays en
dveloppement.
La norme GSM (Global System for Mobile communication) sest impose sur plusieurs
continents pour la transmission de la voix et ventuellement de petits volumes de donnes.
Cest la nouvelle gnration des rseaux mobiles, spcifie selon la norme UMTS (Universal
Mobile Telecommunication System) qui, en offrant de meilleures performances de
transmission, permet un usage plus extensif du tlphone portable multimdia. Toutefois,
lvolution des rseaux GSM, intgrant le service GPRS (General Packet Radio Service),
permet daugmenter les vitesses de transmission afin de mieux satisfaire les besoins des
applications informatiques sur des rseaux mobiles.
Par ailleurs, lirruption des technologies comme le GSM caractrise une mutation tant technologique que comportementale ou conomique. En effet, le monde des mobiles constitue un
domaine en pleine expansion, sinscrivant dans un contexte de concurrence mondiale effrne.
Il permet galement de pntrer le march des tlcommunications, jusque l rserv aux
oprateurs, par un nouveau service, le radiotlphone, tout en construisant une infrastructure
rutilisable pour tout transfert de donnes.
Quelle que soit la technologie retenue pour dployer des tlservices, les infrastructures de
tlcommunication pour les pays en dveloppement doivent permettre:
III.1.2
un interfonctionnement numrique banalis (voix, donnes, image) dun ensemble dfini

de services de base facilement ralisables, maintenables et de couverture gographique
adapte (nationale et internationale). Ceci sinscrivant dans une approche de qualit totale
(offre prenne, stable et granulaire dont le choix peut tre rversible moindre cot
technique et conomique); et de scurit optimale;
une harmonisation technique et commerciale; une protection contre une cartellisation

potentielle, pour un dveloppement harmonieux des infrastructures et services, avec une
garantie de rgulation active des abus des positions dominantes.
Principes fondamentaux
Un rseau de tlcommunication est constitu dun ensemble collaboratif de ressources informatiques

et de transmission offrant des services de communication. Ces services permettent de raliser laccs
distant et le partage des ressources informatiques interconnectes, la mise en relation des applications
et des personnes, lexcution de programmes distance ainsi que le transfert dinformations.
Disposer dune infrastructure de communication performante, reliant et autorisant la coopration de
toutes sortes dquipements, dapplications informatiques et de personnes, quels que soient la distance
couvrir, le lieu et la nature des flux dinformation transfrer, est devenu impratif pour
laccomplissement des activits conomiques.
Infrastructures de tlcommunication
51
Les rseaux se distinguent le plus souvent selon plusieurs critres parmi lesquels on peut noter la
couverture gographique, la topologie22, la technologie mise en uvre et les applications supportes,
le mode de fonctionnement, le type de support de transmission (filaire, non filaire), leur nature prive
ou publique, etc.
Historiquement, les premiers rseaux furent des rseaux grande distance23 (rseaux tlphoniques,
tlex, Transpac, internet, etc.). Cest avec larrive des micro-ordinateurs (dbut des annes 80) que
sont apparus les rseaux locaux24.
Depuis quelques annes, ces distinctions tendent sattnuer dans la mesure o les rseaux sont relis
entre eux. Un rseau local, par exemple, peut sinterconnecter dautres et devenir un rseau tendu.
Par ailleurs, les rseaux ne sont plus ddis au support dun seul type dapplication, mais permettent
de transfrer la fois de la voix, des donnes informatiques et des images vido (notion de rseau
multimdia).
Un rseau peut tre priv, propre une organisation qui sen rserve le droit exclusif dutilisation, ou
public. Dans ce cas, les services de tlcommunication sont offerts des personnes ou institutions
diffrentes, selon certaines modalits dabonnements.
Les principales technologies de transmission utilises pour raliser des rseaux grande distance sont
les technologies TCP/IP, le relais de trames (Frame Relay) ainsi que ATM (Asynchromous Transfer
Mode). Pour ce qui concerne le march des rseaux locaux dentreprise, la technologie prpondrante
est fonde sur Ethernet et ses dclinaisons haut dbit (Fast Ethernet, Ethernet commut).
Dans le domaine des tlcommunications, le transport optique et la technologie de commutation ATM
ont marqu une tape dans lvolution des infrastructures et des artres de transmission. Ils autorisent
des transferts haut dbit et de qualit, une allocation dynamique de bande passante, un dbit variable et
le multi-usage.
III.1.3
Elments constitutifs des rseaux
III.1.3.1
Supports dinterconnexion
Pour relier des ordinateurs entre eux et les mettre en rseau, des supports de transmission sont
ncessaires. Selon leur nature, on distingue les supports matriels (paires de fils torsads, cbles
coaxiaux, fibres optiques) des supports immatriels (faisceaux hertziens, ondes infra-rouges). Ces
diffrents supports ont tous des caractristiques spcifiques dterminant leur fiabilit et leur capacit
transmettre des quantits dinformation plus ou moins importantes, diffrentes vitesses.
Le dbit autoris sur un support dinterconnexion est la quantit dinformations transfre durant un
laps de temps donn. Il sexprime en kilo, mga, ou encore trabits par seconde (100 Mbit/s par
exemple). Il est proportionnel la bande passante du support de transmission (bandwith) qui exprime
la plage de frquences dun signal que le support peut laisser passer sans modification.
22 Lorganisation des liens dinterconnexion et la faon dont ils relient les lments dun rseau identifient sa topologie
23 Un rseau grande distance ou WAN (Wide Area Network) est un rseau reliant des ordinateurs rpartis sur un territoire
gographique plus ou moins vaste (suprieur 100 km), voire mondial.
24 Un rseau est qualifi de local ou LAN (Local Area Network) lorsquil relie des ordinateurs dans un environnement
gographique restreint quelques kilomtres (une dizaine). Un rseau mtropolitain ou MAN (Metropolitan Area
Network) est un rseau dinterconnexion de rseaux locaux pouvant appartenir des entits diffrentes et dont la
couverture gographique nexcde pas 100 km. Une nouvelle terminologie est en passe dmerger pour identifier les
diffrents types de ressources mises en rseau ou encore pour distinguer un domaine dapplication particulier. Ainsi, par
exemple on trouve dans la littrature spcialise les sigles suivants: HAN (Home Area Network), rseau interconnectant
dans une maison des quipements tlcommandables (four, vido, dispositifs lumineux et de chauffage, etc.), CAN (Car
Area Network), SAN (Storage Area Network), etc.
52
III.1.3.2
lments de connectique
Le type de raccordement, ou lment de connectique mettre en place entre un support de

transmission et un ordinateur pour associer ces deux lments, dpend du type de support et du mode
de transmission utiliss. Ce botier de raccordement ou interface rseau, rsout les problmes de
connectique et adapte le signal mis ou reu par lordinateur au signal transmissible sur un support.
Par exemple, modem (MOdulateur/DEModulateur) interface un ordinateur, qui est une machine
digitale traitant des signaux numriques, avec un support de transmission tel quune ligne tlphonique
analogique qui transmet des signaux sous forme continue25. Tout lment lectronique est
thoriquement connectable en rseau, sil dispose dune interface de raccordement matrielle et
logicielle approprie.
III.1.3.3
Machines spcialises et serveurs dinformation
Outre les systmes des utilisateurs qui permettent daccder un rseau et les ordinateurs ddis la
gestion et au traitement des applications (machines htes ou host et serveurs dinformations), des
ordinateurs de traitement des communications constituent linfrastructure de transport dun rseau. Ils
assurent une ou plusieurs fonctions propres la gestion et la ralisation des tlcommunications
(optimisation et partage des ressources, acheminement des donnes, gestion des adresses, des noms,
interconnexion, etc.). Ce sont, par exemple, des routeurs, multiplexeurs, concentrateurs, commutateurs
ou des passerelles dinterconnexion.
Pour communiquer, il faut transmettre linformation de manire fiable selon des modalits dchange
satisfaisantes pour les correspondants. En effet, les systmes interconnects par les rseaux de tlcommunication sont a priori diffrents. Pour quils puissent dialoguer, ils doivent utiliser le mme
rfrentiel de communication, cest--dire le mme langage et respecter des rgles dchange
communes.
Par analogie, deux individus de langue maternelle diffrente dsirant schanger des informations se
mettront daccord sur la langue employer. Lun fera peut-tre leffort de parler la langue de lautre
ou ils utiliseront une troisime langue connue des deux.
Si cette conversation initiale sintgre une tierce personne, puis une quatrime et une cinquime, etc.
parlant dautres langues, lchange de donnes risque de devenir difficile raliser sil faut traduire
une langue dans une autre pour chaque paire dinterlocuteurs. Il est alors prfrable de parler une
langue commune et adopte par lensemble des entits communicantes.
De manire similaire, les ordinateurs mis en rseau doivent respecter des protocoles de communication
identiques et suivre les mmes rgles de dialogue afin de pouvoir communiquer. Ces protocoles sont
intgrs dans des logiciels de communication. Ils permettent entre autres de raliser lacheminement
correct des donnes et linterfonctionnement des applications et des systmes distants.
Des organismes reconnus par lensemble de la communaut industrielle dfinissent des normes
internationales ou des standards de fait. LISO (International Organization for Standardization) et
lUIT (Union internationale des tlcommunications) sont des organismes internationaux de
normalisation qui proposent des normes internationales (normes de la srie X.400 par exemple).
Une norme de fait est une norme non issue de ces organismes mais qui est largement adopte par le
march. Elle devient alors une norme de rfrence, soit un standard de fait. Ainsi, tous les protocoles
provenant de la communaut internet sont des standards de fait.
25 Linformation sortant dun ordinateur, pour transiter sur un tel support, doit tre module. Linformation vhicule sous
forme analogique doit tre sa rception dmodule et prsente sous forme digitale lordinateur destinataire. Un mme
dispositif, le modem, module et dmodule linformation qui est mise et reue par un ordinateur.
53
Les normes dfinissent, entre autres, la nature des services offrir par les protocoles de
communication et spcifient la faon de les raliser. Cela permet la conception de solutions
informatiques communicantes. Ainsi, grce lutilisation des mmes types de protocoles dans des
machines diffrentes (ou htrognes), la communication entre elles est possible. Luniversalit du
rseau internet repose sur lintgration des protocoles de la famille internet dans lensemble des
machines relies.
III.1.4
Infrastructure de tlcommunication et autoroute de linformation
On appelle infrastructure de tlcommunication lensemble des moyens de transmission partir

desquels des services de communication peuvent tre dvelopps. En effet, on dissocie les voies et les
techniques dacheminement des solutions et services de tlcommunication offerts aux clients. Ainsi,
par exemple, il est possible dexploiter une infrastructure existante sans en tre propritaire et offrir
partir de cette facilit de transport des applications particulires.
La disponibilit dquipements multimdias, dinfrastructures de communication performantes, ainsi
que la convergence des mondes de laudiovisuel, de linformatique et des tlcommunications,
contribuent raliser la notion de chane dinformation entirement numrise. Celle-ci reprsente la
continuit numrique existante, tant au niveau de linfrastructure de transport quau niveau du
contenu, entre toutes les sources dinformation et ses utilisateurs.
Le concept dautoroute de linformation intgre la mise disposition du grand public, via des
infrastructures de communication performantes, dun ensemble de services dintrt gnral ou de
services marchands. Ils sont censs contribuer au bien-tre des individus et peuvent tre relatifs la
sant, lducation, la culture, lamnagement du territoire, ladministration ou la presse, par exemple.
De par la nature de certains services offerts via l'internet, ce mdia de communication peut tre
considr comme une autoroute de linformation.
III.1.5
L'internet
III.1.5.1
Caractristques gnrales
L'internet sest dploy progressivement depuis les Etats-Unis, en reliant de proche en proche, des
systmes informatiques ainsi que des rseaux dordinateurs. Ce dveloppement rticulaire se poursuit.
Il dtermine la structure du rseau qui est un rseau composs de rseaux. Il ne peut exister de contrle
global de lensemble des infrastructures mises ainsi bout bout, dans la mesure o elles sont
indpendantes et appartiennent des organisations diffrentes.
Du point de vue matriel, l'internet, comme nimporte quel rseau de tlcommunication ,est constitu
de systmes informatiques, dlments de connectique, et de supports de transmission. Parmi les
systmes informatiques, on distingue ceux qui permettent daccder au rseau et qui autorisent le
dialogue avec lutilisateur final (micro-ordinateur, tlphone portable, pager, agenda lectronique,
etc.), ceux qui supportent les applications (serveur web, serveur de bases de donnes, etc.) et ceux
ddis aux traitements rseau (routeurs, passerelles dinterconnexion, etc.).
Lchange de donnes entre ordinateurs seffectue sur les supports de transmission qui les relient
physiquement. Lorsque le point daccs linfrastructure de l'internet seffectue partir dun systme
autorisant la mobilit de lutilisateur, comme le tlphone portable par exemple, on parle dinternet
mobile.
54
Le transfert de donnes, leur acheminement ainsi que la communication entre processus informatiques
rpartis et utilisateurs humains, sont raliss par des protocoles de communication de la famille
TCP/IP26. Ces logiciels dchange, normaliss dans le monde de linternet, constituent une interface
de communication qui permet linteroprabilit de systmes de nature diffrente. Pour communiquer
dans lenvironnement internet, un ordinateur doit possder ces protocoles de communication ainsi
quune adresse IP qui lidentifie de manire unique (Figure III.1).
Figure III.1 Accs internet via un fournisseur d'accs, une suite de protocoles TCP/IP et une
adresse IP
Rseau daccs
Internet
Suite de protocoles
TCP/IP
@ IP
Fournisseur
daccs internet
Suite de protocoles
TCP/IP
@ IP
L'internet dsigne lensemble de linfrastructure de communication mise disposition du public pour

communiquer. Lorsquune organisation dsire utiliser de manire prive et restrictive cette
infrastructure, elle cre un rseau priv virtuel (VPN Virtual Private Network). Pour des besoins
internes, elle peut aussi mettre en uvre les technologies de l'internet et btir un rseau priv ou
intranet. Lorsque lintranet est galement ouvert un certain nombre de partenaires (clients,
fournisseurs, etc.), il est qualifi dextranet (Figure III.2).
Le web (World Wide Web) est, avec la messagerie lectronique, lapplication la plus importante de
linternet. A partir de la navigation web, une infinit de services a t dveloppe. La navigation web
est possible grce, un logiciel client, le navigateur (browser) implant dans le poste de travail de
lutilisateur et qui permet daccder distance des serveurs web. Celui-ci permet de rechercher,
consulter, transmettre des informations ou encore excuter des programmes. La notion de surf ou de
navigation sur le rseau provient du fait que les documents accessibles via lapplication web sont des
hyperdocuments. Cela signifie quils ont t conus, structurs et formats de manire en permettre
une lecture non squentielle, en fonction de balises et de liens dtermins leur conception. En
activant un lien, on accde une autre partie de document ou un autre document, situ ou non, sur un
ordinateur distant. Ainsi on se dplace de site en site en activant ces hyperliens.
26 TCP/IP: Transmission Control Protocol/Internet Protocol.

55
Figure III.2 Internet - Intranet - Extranet
Reseau de partenaires
Ex tranet
Reseau dentreprise
Intranet
Usage priv
Reseau public
I NTERNET
Internet
Usage public
TECHNOLOGIES
INTERNET
III.1.5.2
Adresse IP et nom de domaine
On accde au rseau internet par lintermdiaire de points daccs grs et contrls par des
entreprises spcialises dnommes fournisseur daccs internet (ISP, pour Internet Service Provider).
Chaque fournisseur daccs est lui-mme connect au rseau internet par des lignes de tlcommunication permanentes quil partage entre ses diffrents clients. Au-del de ce service de base, il offre
gnralement un service de gestion de messagerie lectronique et peut aussi hberger des sites web de
ses clients.
Pour communiquer sur l'internet, il faut disposer dune adresse internet (adresse IP). Il sagit dune
suite binaire de 32 bits, identifiant sans ambigut chaque machine qui communique sur internet27.
Une adresse IP est exprime sous sa forme dcimale, constitue par quatre nombres dcimaux spars
par des points. Par exemple, ladresse 128.10.2.30 correspond la valeur binaire
10000000.00001010.00000010.00011110. Comme il est impossible de mmoriser des suites de
nombres, mme dcimaux, on utilise des noms (plus ou moins mnmotechniques) ou adresses
logiques, pour identifier les ressources de lenvironnement internet. Ces adresses IP et ces noms
correspondants sont stocks et grs dans des annuaires lectroniques dnomms serveurs de noms,
dont limplantation est connue sous le sigle DNS (Domain Name Server).
La mise en uvre de communications dans un environnement ouvert ncessite de pouvoir attribuer un
identificateur unique dans un domaine de dnomination dtermin. Il sagit de pouvoir identifier les
partenaires de la communication (adresses, systmes, processus dapplication, entits, objets de
gestion, etc.) ainsi que les outils mis en uvre pour les raliser (protocoles). Pour assurer lunicit des
noms au niveau international, il existe des procdures denregistrement, auprs dautorits
comptentes, dont le rle est dattribuer un identificateur non ambigu et unique lobjet que lon
dsire identifier.
27 Ladresse IP est unique; elle peut tre allou de manire permanente (adresse IP fixe) ou non (adresse IP temporaire).
56
La norme ISO 9834 a spcifi des autorits denregistrement et les a organises selon une structure
hirarchique arborescente. De la racine de larbre partent trois branches aboutissant des nuds
distincts de premier niveau qui reprsente le domaine de dnomination de lUIT, de lISO, et dun
comit joint ISO-UIT qui constituent les autorits internationales denregistrement. Le niveau
immdiatement infrieur lISO autorise entre autres, lenregistrement:
des diverses normes ISO (0 standard);
des membres de lISO (member-body 2) sous lequel on trouvera lAFNOR (208), lANSI
(310);
des organisations (organization (3)) sous lequel dpendra par exemple le Dpartement de la
Dfense amricaine (DOD) (6) (Figure III.3).
Figure III.3 Autorits et arbre d'enregistrement
Racine
UIT (0)
recommandation (0)
a (1)
ISO (1)
question (1)
ISO IUT (2)

Pays
organisation (3)
Membres (2)
standard (0)
z (26)
France (250)
DOD (6)
internet (1)
directory (1)
management (2)
expermental (3)
ASN.1 (1)
Directory
Services (5)
NATO (26)
security (5)
private (4)
mib-II (1)
system (1)
sysDescr (1)
interface (2)
sysObjectID (2)
at (3)
sysUpTime (3)
ip (4)
icmp (5)
sysContact (4)
tcp (6)
sysName (5)
udp (7)
sysLocation (6)
Les noms de domaine gnriques de l'internet sont enregistrs dans cette structure logique
d'enregistrement. On ne s'intresse alors qu' la partie de l'arbre d'enregistrement dont le nud
constitue la racine des noms de domaines les plus levs qualifis de top-level domains (TLD). Ces
derniers identifient principalement des pays indiqus par deux lettres (fr, it, uk, ch, nl, de, etc.) et des
domaines fonctionnels comme:
.com
organisations commerciales;
.edu
institutions acadmiques dAmrique du Nord;
.org
organisations, institutionnelles ou non;
.gov
gouvernement amricain;
.mil
organisations militaires amricaines;
.net
oprateurs de rseaux;
.int
entits internationales;
.biz
pour ce qui concerne le monde des affaires;
.info
pour tous les usages;
.name
pour les individus;

57
.museum
.aero
.coop
.pro
pour les tablissements dans lesquels sont rassembles et classes des

collections d'objets, en vue de leur conservation et de leur prsentation au
public;
pour l'industrie air transport;
pour les coopratives;
pour les professions.
lintrieur de ces grands domaines de dsignation, se trouvent des sous-domaines, qui correspondent
de grandes entreprises ou dimportantes institutions.
LIANA (Internet Assigned Number Authority)28 bas lICANN (Internet Corporation For Assigned
Names and Numbers)29 est responsable de lattribution des noms et adresses et doit sassurer de leur
unicit. Cette responsabilit de gestion des noms peut-tre dlgue un sous-domaine qui est, d'un
point de vue hirarchique, sous son autorit.
Enregistrer un nom de domaine consiste insrer une entre dans un annuaire de dsignations. Cela
revient crer un nouvel arc dans l'arbre d'enregistrement gr par une organisation habilite. Il en
existe plusieurs au niveau international, notamment pour ce qui concerne les domaines.biz,.com,.info,
.name,.net,.org.
Pour la France, par exemple, lAFNIC30 est lautorit d'enregistrement accrdite (Accredited
Registrar Directory) par l'ICANN (Internet Corporation for Assigned Names and Numbers).
Cest une association amricaine sur territoire amricain, oprant selon la lgislation amricaine
qui possde le pouvoir de lattribution et la gestion des adresses31. Elle contrle ainsi laccs
linternet. Ceci pose un rel problme de dpendance des organisations et des Etats vis--vis dune
supra-structure trangre qui se veut ouverte sur le reste du monde mais dont le poids des
reprsentants non amricains est faible.
Le critre de scurit relatif la disponibilit (des infrastructures, services, donnes) qui passe par
laccessibilit au rseau internet ne peut tre ni contrl, ni matris par les organisations. Elles sont
tributaires pour leur accs linternet, de lattribution des adresses IP et des noms de domaine,
dentits qui leurs sont externes.
Les annuaires d'enregistrement des noms de domaine peuvent tre vus comme des bases de donnes
gres par des serveurs DNS. Une quinzaines de serveurs racine DNS (root servers) sont coordonns
par l'ICANN, la grande majorit des serveurs racine se situe sur le territoire nord amricain. Ils grent
les noms de domaine et les adresses IP de plus haut niveau (top-levels domains). Cela comprend
l'ensemble des domaines prcdemment cits (.org,.com, etc.) et aussi les 244 noms de domaine des
diffrents pays (.cn (Chine),.ga (Gabon),.lk (Sri Lanka),.pf (Polynsie franaise), etc.). Des serveurs
DNS locaux dits de rsolution (resolvers) possdent une copie des informations contenues dans les
serveurs racine. Souvent associs des points stratgiques d'accs au rseau ou lis des fournisseurs
d'accs internet (Internet Service Providers ISP), ils permettent de rpondre aux requtes des
utilisateurs relatives la traduction d'un nom de domaine en une adresse IP (Figure III.4)32.
28 IANA: www.iana.org/
29 ICANN: www.icann.org/index.html
30 AFNIC: www.nic.fr
31 Selon lICANN: The Internet Corporation for Assigned Names and Numbers (ICANN) is an
internationally organized, non-profit corporation that has responsibility for Internet Protocol (IP) address
space allocation, protocol identifier assignment, generic (gTLD) and country code (ccTLD) Top-Level
Domain name system management, and root server system management functions. These services were
originally performed under U.S. Government contract by the Internet Assigned Numbers Authority (IANA)
and other entities. ICANN now performs the IANA function .
58
Figure III.4 Arborescence de serveurs DNS

Serveurs racine
Excution de la
requte possible? OUI
Requte au DNS
de niveau suprieur
Arborescence
de serveurs DNS
Excution de la
requte possible?
NON
Requte au DNS
de niveau suprieur
Excution de la
requte possible? NON
Requte
Rsultat
Rsultat
Rsultat
Client DNS
Il est primordial que les adresses, les processus, les systmes impliqus dans la gestion des noms et
adresses, dans lacheminement des donns soient disponibles, intgres, fiables et scuriss. Il est de la
responsabilit des entits en charge des infrastructures de transport de protger et de grer
efficacement leurs environnements de communication.
III.1.5.3
Protocole IPv4
La version 4 du protocole internet (IPv4)33 qui existe depuis lorigine du rseau internet, est encore
largement utilise. Ce protocole a pour rle dencapsuler (denvelopper) les donnes transmettre
pour constituer des paquets IP qui seront achemins travers le rseau internet jusqu leur
destination. Chaque paquet contient entre autres, ladresse IP source du systme metteur et ladresse
IP du systme de destination.
Lacheminement se ralise de proche en proche chaque systme intermdiaire (routeur) travers
selon linterprtation des adresses des paquets et lalgorithme de routage des routeurs.
Le protocole IPv4 nintgre aucune fonction, aucun mcanisme permettant doffrir un service de
scurit. En effet, IPv4 ne permet pas deffectuer lauthentification de la source ou de la destination
dun paquet, ni la confidentialit des donnes quil transporte, ni la confidentialit des adresses IP
impliques lors dun transfert dinformations entre deux entits. De plus, le protocole seffectuant en
mode sans connexion, ne garantit pas:
la remise des donnes (perte possible de donnes);
la livraison de donnes au bon destinataire;
lordonnancement (squencement) correcte des donnes.
33 IPv4: RFC 0791 www.ietf.org/rfc/rfc0791.txt IPv4 et principaux protocoles de la suite TCP/IP:

TCP: RFC 0793 www.ietf.org/rfc/rfc0793.txt UDP: RFC 0768 www.ietf.org/rfc/rfc0768.txt FTP: RFC 0959
www.ietf.org/rfc/rfc0959.txt HTTP version 1.1: RFC 2616 www.ietf.org/rfc/rfc2616.txt Telnet: RFC 0854
www.ietf.org/rfc/rfc0854.txt
59
Le protocole IP de niveau 3 de larchitecture OSI, offre un service non fiable de remise de paquets IP.
Il fonctionne en mode dit de best effort, c'est--dire quil fait au mieux en fonction du contexte et la
livraison de paquets nest pas garantie. En fait, aucune qualit de service ne lest et il ny a donc pas de
reprise sur erreur. Ainsi un paquet peut tre perdu, modifi, dupliqu, fabriqu (forg) ou remis hors
squence sans que lmetteur ou le destinataire en soit inform. Le fait quune liaison logique ne soit
pas pralablement tablie entre un metteur et un destinataire, signifie que lmetteur envoie ses
paquets sans en avertir le destinataire et quils peuvent se perdre, prendre des routes diffrentes, ou
arriver dans le dsordre.
La prise en compte de ce manque de qualit de service a conduit implanter dans les systmes
dextrmit le protocole TCP (Transmission Control Protocol) qui offre un service de transport fiable
en mode connect (niveau 4 de larchitecture OSI). Le protocole TCP noffre pas de service de
scurit proprement parler.
Chapitre III.2 Outils de la scurit

Assurer la scurit des informations, des services, des systmes et des rseaux consiste raliser la
disponibilit, lintgrit, la confidentialit des ressources ainsi que la non-rpudiation de certaines
actions, ou lauthenticit dvnements ou de ressources.
La scurit des informations na de sens que si elle sapplique sur des donnes et des processus dont
on est sr de lexactitude (notion de qualit des donnes et des processus) afin quils soient prennes
dans le temps (notion de prennit des donnes et de continuit des services).
Les principales solutions de scurit se basent sur la mise en uvre de techniques de chiffrement,
disolation denvironnements, sur la redondance des ressources, sur des procdures de surveillance, de
contrle, de gestion des incidents, de maintenance, de contrle daccs ou de gestion de systmes.
La scurit informatique et des tlcoms est obtenue par une succession de barrires (les mesures de
protection) qui augmentent le niveau de difficult que de potentiels attaquants doivent franchir pour
accder aux ressources. Elles ne solutionnent pas un problme de scurit, elles le dplacent et font
porter la responsabilit de la scurit sur dautres entits. Les solutions de scurit ont besoin dtre
protges et scurises afin quelles puissent offrir un certain niveau de scurit (rcursivit de la
scurit).
III.2.1
Chiffrement des donnes.
La mise en uvre de techniques de chiffrement permet de raliser la confidentialit des donnes, de

vrifier leur intgrit et dauthentifier des entits.
Il existe deux grands types de systme de chiffrement de donnes: le chiffrement symtrique ( cl
secrte) et le chiffrement asymtrique ( cl publique).
Divers algorithmes de chiffrement existent. Quel que soit leur mode opratoire (symtrique ou
asymtrique), ils reposent sur lusage de cls. Gnralement leur degr de robustesse est li la
capacit grer les cls de chiffrement de manire scurise, la longueur de la cl (la longueur
minimale de la cl est fonction du type dalgorithme), de la scurit de la plateforme matrielle et
logicielle dans laquelle les algorithmes de chiffrement sont implants et sexcutent.
III.2.1.1
Chiffrement symtrique
Pour chiffrer ou dchiffrer un texte, il faut dtenir une cl et un algorithme de chiffrement. Sil sagit
de la mme cl pour effectuer ces deux oprations, le systme de chiffrement est qualifi de
symtrique. Lmetteur et le rcepteur doivent possder et utiliser la mme cl secrte pour rendre
confidentielles des donnes et pour pouvoir les comprendre, ceci qui pose le problme de la gestion et
de la diffusion des cls secrtes (Figure III.5).
60
Outils de la scurit
Les principaux algorithmes de chiffrement symtriques sont: DES, RC2, RC4, RC5, IDEA et AES34.
Figure III.5 Le chiffrement symtrique
Cl secrte
Emetteur
Texte
en clair
(plaintext)
Algorithme de
chiffrement symtrique DES, IDEA, AES, Blowfish, RC4, RC5, ..
Texte
chiffr
(ciphertext)
Rseau non
fiable
Texte
chiffr
Cl secrte
Destinataire
Algorithme de
chiffrement symtrique
Texte
en clair
III.2.1.2
Chiffrement asymtrique ou cl publique
Un systme de chiffrement asymtrique est bas sur lusage dun couple unique de deux cls,
calcules lune par rapport lautre. Cette bi-cl est constitue dune cl publique et dune cl prive.
Seule la cl dite publique peut tre connue de tous, tandis que la cl prive doit tre confidentielle et
traite comme un secret.
Lmetteur chiffre un message avec la cl publique du destinataire du message et le destinataire le
dchiffre avec sa cl prive (Figure III.6).
Les principaux algorithmes de chiffrement cl publique, dont le nom est celui de leurs inventeurs,
utilisent le plus souvent des cls de longueur variant de 512 1024 bits, voire 2048 bits. Les
principaux algorithmes de chiffrement sont les algorithmes: RSA35 (pour R. Rivest, A. Shamir,
L. Adelman), Diffie-Hellman36, El Gamal37.
III.2.1.3
Cls de chiffrement
Une cl de chiffrement est le secret du secret. Les cls secrtes des systmes de chiffrement, doivent
tre gres de manire confidentielle.
34 Rfrences:
35 RSA: Schneier B, Applied cryptography 1996. Deuxime edition 1996.
36 Diffie-Hellman: www.ietf.org/rfc/rfc2631.txt
37 El Gamal: Schneier B, Applied cryptography 1996. Deuxime edition 1996.
Outils de la scurit
61
La scurit du processus de chiffrement, repose en grande partie sur la confidentialit et la longueur

des cls utilises, sur la robustesse des algorithmes et sur la scurit des plates-formes matrielles et
logicielles qui les supportent.
Figure III.6 Le chiffrement asymtrique
Source
Texte
en clair
(plaintext)
Cl publique
du
destinataire
Algorithme de
chiffrement asymtrique
Bi-cl
Cl publique: pour tous les interlocuteurs
Cl prive: pour le propritaire
RSA (Rivest, Shamir et Adleman) Diffie-Hellman, El Gamal,
Texte
chiffr
(ciphertext)
Rseau non
fiable
Texte
chiffr
Cl prive du
destinataire
Algorithme de
chiffrement asymtrique
Texte
en clair
Destination
III.2.1.4
Infrastructure de gestion de cls
Une infrastructure de gestion de cls IGC, (PKI Public Key Infrastructure) permet de mettre en
uvre des systmes de chiffrement asymtrique. Les principales fonctions supportes sont:
la gnration dun couple unique de cls (cl prive cl publique), son attribution une
entit et la sauvegarde des informations ncessaires sa gestion, archivage des cls,
procdures de recouvrement en cas de perte par lutilisateur ou de demande de mise
disposition par les autorits judiciaires;
la gestion des certificats numriques, cration, signature, mission, validation, rvocation,
renouvellement des certificats;
la diffusion des cls publiques aux ressources qui la solliciteraient et qui seraient habilites
lobtenir;
la certification des cls publiques (signature des certificats numriques).
III.2.1.5
Certificat numrique
Un certificat numrique constitue, la carte didentit numrique dune entit (personne morale ou
physique) ou dune ressource informatique qui il appartient. Il contient, entre autres, lidentification
de son propritaire, la cl publique qui lui est attribue ainsi que lidentification de lorganisme qui la
dlivr.
La norme X.509 Directory authentification framework propose un cadre architectural pour la
ralisation dun service dauthentification bas sur lusage de certificats numriques et spcifie la
structure et le format dun certificat numrique. Cette structure normalise est la base de nombreuses
solutions du march (Figure III.7).
62
Outils de la scurit
Figure III.7 Principaux paramtres d'un certificat numrique selon la norme X.509v3
Version du certificat
Numro de srie
Algorithme utilis pour signer le certificat
Nom de lorganisme qui a gnr le certificat
Le couple numro de srie / nom de lorganisme doit tre unique
Priode de validit
Nom du propritaire du certificat
Cl publique du propritaire
Informations additionnelles concernant le propritaire ou les
mcanismes de chiffrement
Signature du certificat
Algorithme et paramtres utiliss pour la signature et signature proprement parl
Pour valider le certificat reu, le client doit obtenir la cl publique de lorganisme qui a cr le
certificat relatif lalgorithme utilis pour signer le certificat et dchiffrer la signature contenue. A
laide de ces informations, il calcule la valeur du condens (rsum ou hash) et compare la valeur
trouve avec celle contenue dans le dernier champ du certificat, si les deux valeurs correspondent, le
certificat est authentifi. Ensuite, il sassure que la priode de validit du certificat est correcte.
Le contrle daccs bas sur les certificats numriques permet la connexion dun nombre important
dutilisateurs un serveur donn. Le contrle est bas sur les informations contenues dans le certificat
numrique du client. Le serveur fait alors confiance la vracit des certificats et la faon dont ils
sont mis, ce qui constitue une brche dans la scurit des systmes, vu quil est possible de corrompre
un serveur de certification ou mme de crer un certificat numrique falsifi. En outre, le contrle de
validit dun certificat est difficile raliser. En effet, la rvocation des certificats reste une tche trs
ardue puisque linformation doit tre transmise tous les partenaires et inscrite dans le CRL
(Certificate Revocation List). Cette rvocation doit tre ralise ds quun changement dans le contenu
dun certificat survient (lorsque par exemple les informations du certificat deviennent obsoltes, la cl
prive de lutilisateur a t corrompue, lutilisateur ne fait plus partie de lentreprise, etc.). La
consultation systmatique de cette base de donnes accentue la lourdeur du contrle daccs et rduit
la disponibilit des serveurs mme pour les utilisateurs autoriss.
III.2.1.6
Tiers de confiance
Quelle que soit son appellation, tiers de confiance, autorit denregistrement ou autorit de
certification, lorganisme qui met en place une infrastructure cl publique, a pour fonction principale
de produire des certificats tablissant la valeur de la cl publique, attribue une entit (notion de
certificats clients).
Outils de la scurit
63
Un client, met une demande denregistrement (demande de certification) auprs dune Autorit de
certification (inscription du client via un service web). Des preuves de lidentit du client peuvent tre
demandes par le serveur denregistrement selon les procdures didentification et dauthentification
mises en place par lautorit. Aprs validation des donnes, le serveur de certification gnre les cls
de chiffrement et construit un certificat numrique au nom du client, signe avec sa cl prive le
certificat (certification du certificat numrique) et envoie le certificat au client. Ce dernier utilisera la
cl publique de lautorit pour sassurer que le certificat est bien produit par lautorit en question.
Une Autorit de certification est un tiers de confiance qui dlivre des certificats numriques et qui
permet de vrifier la vracit de certaines informations.
III.2.1.7
Inconvnients et limites des infrastructures de gestion de cls
La multiplicit des autorits de certification pose le problme de leur reconnaissance mutuelle, de leur
interoprabilit, de la compatibilit des certificats et du champ de leur validit. Toutefois, il nest pas
souhaitable de ne disposer que d'une seule autorit mondiale de certification, du fait du pouvoir tendu
et excessif qui lui serait de facto confr, et du fait de limportance de linfrastructure mettre en
place. Il existe un rel manque de confiance des utilisateurs dans les autorits de certification qui sont
le plus souvent trangres (valeur des certificats? garantie de scurit? protection des donnes
personnelles?, etc.).
Les limites inhrentes aux infrastructures de gestion de cls rsident dans:
la complexit, le cot du dploiement et de la gestion dune infrastructure;
le haut niveau de scurit ncessaire la ralisation des services des infrastructures de gestion
de cls;
la validit, la dure de vie, la rsiliation des certificats.
Parmi les points relatifs la mise en uvre de services offerts par une infrastructure de gestion de cls
qui peuvent poser problme, retenons:
Problme politique: la majorit des infrastructures PKI Autorits de certification, appartient
des entits amricaines (USA). Cela soulve la question de la performance et la question de
la confiance dans ces entits qui du fait des services offerts: cration, sauvegarde, distribution
des cls prives et publiques, des donnes didentification, notarisation des vnements; du
manque de garantie de lusage non abusif des donnes, de la neutralit dans les changes, de
moyens de recourt en cas de litige avec lautorit de certification;
Problme technologique: les systmes de chiffrement classiques peuvent tre casss, certains
certificats numriques nont aucune valeur scuritaire et ne garantissent rien, des fraudes sont
possibles, la scurit des infrastructures est assures par des moyens classiques de scurit qui
peuvent tre contourns. De plus, lusage dune infrastructure de gestion de cls dplace le
problme de la scurit des changes mais ne le rsout pas proprement parler.
Problme organisationnel: interoprabilit des infrastructures, dploiement, gestion,
maintenance, scurit, complexit, etc.
III.2.1.8
Signature et authentification
Un metteur chiffre avec sa cl prive un message. Toute entit connaissant la cl publique de cet
metteur dchiffrera le message, ce qui validera le fait quil a bien t cr laide de la cl prive
correspondante.
Un document peut tre sign lectroniquement (notion de signature numrique) via un algorithme de
chiffrement cl publique. Les actions suivantes sont alors ralises:
cration dun message de dclaration didentit qui est la signature (ex. Je mappelle Alpha
Tango Charlie) qui est chiffre avec la cl prive de lmetteur et associe au message
transmettre;
le message et sa signature sont chiffrs avec la cl publique du destinataire et transmis;
le destinataire dchiffre le message avec sa cl prive et dtache la signature quil dchiffre
avec la cl publique de lmetteur.
64
Outils de la scurit
Attention, rien nempche de rutiliser la signature numrique dun message en lieu et place de
lmetteur rel, on peut galement constituer une signature numrique la place dun partenaire aprs
lui avoir vol sa cl prive.Pour augmenter le niveau de scurit de la signature numrique, celle-ci
est construite partir du contenu du message ce qui permet de raliser lintgrit et lauthentification
de lmetteur dun message.
III.2.1.9
Intgrit des donnes
Vrifier que les donnes nont pas t modifies lors de leur transfert est possible en y associant un
rsum (condens) qui est mis en mme tant que les donnes. Celui-ci est le rsultat dune fonction
de calcul applique aux donnes. Le destinataire recalcule avec la mme fonction la valeur du rsum
partir de donnes reues. Si la valeur obtenue diffre, il en dduit que les donnes ont t modifies.
Le rsum peut tre lui-mme chiffr avant que les donnes ne soient mises ou stockes.
Lun comme lautre, les systmes de chiffrement cl symtrique ou asymtrique permettent de savoir
si des donnes transmises ont t modifies, car leur dchiffrement devient alors impossible. Cela
contribue raliser un contrle dintgrit, mais ne permet pas de sassurer que des donnes nont pas
t compltement dtruites.
Pour un contrle dintgrit plus performant, on applique au message original une fonction le
transformant en une petite suite alatoire de bits qui constitue en quelque sorte son empreinte digitale
(digest rsum condens).
Une fonction dite fonction digest (ou one-way hash function), gnre un message digest, cest--dire
son empreinte digitale, plus courte que le message original et incomprhensible. Celle-ci est ensuite
chiffre avec la cl prive de lmetteur et associe au message transmettre. Sur rception du
message et de son empreinte, le destinataire dchiffre cette dernire avec la cl publique de lmetteur
puis, recalcule partir du message reu avec la mme fonction hash, lempreinte et la compare ensuite
avec celle reue. Si le rsultat est identique, le destinataire a ainsi vrifi lidentit de lmetteur et est
assur de lintgrit du message. En effet, si le message est altr, mme lgrement, son empreinte est
alors considrablement modifie.
Par une utilisation conjointe des techniques de chiffrement, de signature et dempreinte digitales, on
peut estampiller les messages pour garantir lintgrit des donnes. Ces procdures sont
consommatrices de temps processeur et ralentissent de faon non ngligeable les performances dun
environnement dexcution.
III.2.1.10 Non-rpudiation
Le service de non-rpudiation consiste prvenir le refus, le dmenti quun message ait t mis ou
reu ou quune action, transaction ait eu lieu. Cela permet de prouver par exemple quune entit est
lie une action ou un vnement.
La non-rpudiation est base sur une signature unique ou sur une identification qui prouve qui a cr
le message. Pour assurer ce service, on peut faire appel un algorithme de chiffrement cl publique.
On peut galement avoir recours un tiers de confiance pour lui faire jouer un rle de cybernotaire.
III.2.1.11 Limites des solutions de scurit bases sur le chiffrement
La confiance envers les solutions de chiffrement commercialises ne peut tre que toute relative, dans
la mesure ou aucune garantie, aucun moyen de vrification ne sont offerts (existence de portes
drobes (back door) dans les logiciels?, cls secrtes dupliques, divulgues? ect.). Par ailleurs,
aucune preuve nest donne quand au fait que les algorithmes actuellement rputs fiables le seront
encore dans un futur proche.
Outils de la scurit
65
III.2.2
Protocole IP scuris
La prise en compte des besoins de scurit ont conduit la rvision de la version 4 du protocole
internet. Cest galement afin de pouvoir, dune part, disposer dune plage dadresses plus importante
et augmenter le nombre dadresses internet disponibles et dautre part, pour pouvoir faire une
allocation dynamique de bande passante pour supporter des applications multimdias, que le protocole
IP a fait lobjet dune refonte connue sous le nom dIPnG (Internet Protocol next Generation) ou IP
version 6 (IPv6)38.
III.2.2.1
Protocole IPv6
En 199439 lIAB (Internet Activity Board)40.adressait les besoins de scurit du protocole IP. La
version 6 du protocole IP (IPv6) inclut des facilits dauthentification et de confidentialit.
Les principales volutions dIPv6 par rapport IPv4 portent sur les points suivants [RFC 2460]:
le support dun adressage tendu et hirarchis; les adresses sont codes sur 128 bits
(16 octets) et non plus sur 32 bits (4 octets); la reprsentation des adresses seffectue en
nombres hexadcimaux41 spars par des deux points tous les 2 octets et non plus en notation
dcimale pointe; (exemple: 0123:4567:89ab:cdef:0123:4567:89ab:cdef);
la possibilit de pouvoir faire de lallocation dynamique de bande passante pour le support

dapplications multimdias;
la capacit crer des rseaux IP virtuels;
le support de procdures dauthentification et de chiffrement, via des en-tte options;
la simplification des en-ttes des paquets afin de faciliter et acclrer le routage.
Ladoption dIPv6 impose entre autres, la modification du schma dadressage, de gestion des
adresses42, la mise en place dans tout lenvironnement internet de systmes supportant IPv6, des
systmes fonctionnant avec les deux versions, la synchronisation grande chelle de la migration des
versions, etc.
Pour toutes ces raisons, la version 6 spcifie en 1995 nest actuellement toujours pas largement
implante et aucune incitation gouvernementale ou recommandation internationale ne semble pouvoir
imposer ladoption de la version 6 du protocole sur lensemble du rseau. Seules quelques
infrastructures prives intgrent IPv6.
La mise en uvre du nouveau protocole internet (IPv6) intgrant en natif des fonctions de scurit
nest pas courante, aussi, pour rpondre aux besoins de scurit du rseau, une solution intermdiaire
dnomme IPSec43, compatible avec IPv6 et IPv4, a t dveloppe et adopte par la communaut
internet. LIETF (Internet Engineering Task Force)44 a tabli en 1995 plusieurs documents (RFC
1825 1829) spcifiant les manires de scuriser une infrastructure internet.
38 IPv6: RFC 1883 en 1995, remplace en dcembre 1998 par la RFC 2460 www.ietf.org/rfc/rfc2460.txt
39 RFC 1636: Report of IAB Workshop on Security in the Internet Architecture. February 8-10, 1994.
40 www.iab.org/
41 Alphabet d'un systme de numration hexadcimal (base 16): 0 1 2 3 4 5 6 7 8 9 A B C D E F
42 RFC 1886 a identifie en 1995 les modifications a effectuer dans les DNS pour supporter IPv6.
43 RFC 2401 www.ietf.org/rfc/rfc2401.txt
44 IETF: www.ietf.org
66
Outils de la scurit
III.2.2.2
Protocole IPSec
IPSec permet de rendre confidentiel le contenu des paquets vhiculs par le protocole. IPSec propose
des services de confidentialit et dauthentification des donnes au niveau de leur transfert par le
protocole IP, via limplantation de len-tte dextension dauthentification (Authentication Header
[AH]) ou de len-tte de confidentialit authentification (Encapsulating Security Payload Header
[ESP]).
Chaque application, quelle que soit la nature du trafic quelle gnre, peut utiliser ces services de
scurit sans tre modifie. IPSec fonctionne en mode point point (on scurise les donnes entre un
metteur et un rcepteur via une association de scurit).
Len-tte dauthentification (AH) offre des services dauthentification et dintgrit des paquets IP.
Cela permet de garantir que les donnes nont pas pu tre modifies lors de leur transfert et que
ladresse source est bien celle qui figure sur le paquet.
Len-tte dEncapsulating Security Payload (ESP) permet la ralisation de mcanismes de chiffrement
(chiffrement symtrique comme DES, Triple DES, RC5 ou IDEA) et propose des services dauthentification similaires ceux proposs par lAuthentication Header (AH).
Les algorithmes de chiffrement utilisent des cls qui sont gnrer et diffuser. La gestion des cls de
chiffrement est donc une tche importante raliser lors de la mise en uvre de solutions bases sur
IPSec. Parmi les protocoles dchange de cls citons: Oakley Key Determination protocol45 est bas
sur lalgorithme dchange de cls Diffie-Hellman [RFC 2412]; ISAKMP (Internet Security
Association and Key Management Protocol) [RFC 2408]; IKE (Internet Key Exchange) [RFC 2409].
III.2.2.3
Rseaux privs virtuels
Limplantation du protocole IPSec au niveau des points daccs au rseau internet permet de crer
entre ces points, un canal de communication dont les extrmits sont authentifies (Figure IIII.8).
Ces extrmits se trouvent dans des systmes de lorganisation et donc physiquement protges. Selon
loption retenue, les donnes vhicules sur cette connexion pourront tre chiffres. Ainsi on sait
tablir un chemin scuris entre deux points dune infrastructure de rseau non fiable (notion de rseau
priv virtuel). Notons que le terme rseau dans lexpression rseau priv virtuel est abusif
puisque seule une connexion logique (virtuelle) est cre.
III.2.3
Scurit des applications
La plus part des applications possdent une version scurise qui permet le plus souvent de raliser
lauthentification des correspondants et le chiffrement des donnes transmises.
Une alternative limplantation de nouvelles versions scurises des protocoles dapplication, consiste
implanter un mcanisme commun de scurit, offrant des services gnriques de scurit toutes les
applications. Le logiciel SSL (Secure Sockets Layer) est couramment utilis lheure actuelle,
notamment pour raliser des transactions commerciales sur l'internet.
Lusage extensif de documents hypertextes comme le tlchargement de contenus actifs ou non posent
de nombreux problmes de scurit concernant entre autre: leur origine, leur auteur, leu authenticit,
leur caractre nuisible ou non, etc. Des lments de rponses cette nouvelle dimension de la scurit
des systmes dinformation, commencent merger: techniques de signature de documents XML, de
tatouage, de gestion des droits lectroniques, afin de confrer la scurit une certaines persistance.
Un niveau donn de scurit doit pouvoir tre conserv, mme si lobjet concern par la scurit, sort
des frontires physiques de lenvironnement dans lequel sa scurit est habituellement gre.
45 Oakley Key determination protocol: RFC 2412 www.ietf.org/rfc/rfc2412.txt

Outils de la scurit
67
Figure III.8 Constitution d'un rseau priv virtuel par un canal de communication IPsec
Tunnel IPsec
Canal de communication protg
Routeur
IPsec
Internet
Routeur
IPsec
Rseau y
Rseau X
Priv
Priv
Public
III.2.4
Protocoles de scurit SSL (Secure Sockets Layer) et S-HTTP (Secure HTTP)
SSL (Secure Sockets Layer) est un logiciel assurant la scurit des changes applicatifs, qui est
dailleurs support par la majorit des navigateurs web du march.
Les deux entits communicantes dune connexion SSL sauthentifient en faisant appel une procdure
de certification et un tiers de confiance. Elles ngocient ensuite le niveau de scurit appliquer au
transfert. Les donnes transmises sont alors chiffres pour cette communication via SSL (Figure III.8).
Limplantation de SSL a un fort impact du ct du serveur du fait de la ncessaire certification. Cela
implique un dialogue avec une autorit de certification reconnue et demande galement que les relais
applicatifs des firewalls supportent le mode de fonctionnement de SSL. La certification est parfois
considre comme un frein au dploiement de cette solution.
Lextension au protocole HTTP (Secure HTTP, S-HTTP) est une solution alternative dveloppe par
lassociation CommerceNet. S-HTTP offre les mmes facilits de scurit que SSL, avec les mmes
contraintes de certification, mais ne supporte que les flux de donnes du protocole HTTP. Cette
solution est peu adopte.
III.2.5
Scurit de la messagerie lectronique et des serveurs de noms
Les risques de scurit encourus, relatifs lusage dun systme de messagerie, sont lis :
68
la perte, linterception, laltration, la destruction de messages;
linfection des systmes par le biais de messages contenant des virus, vers ou cheval de Troie;
lharclement: inondation de messages, junk mail, messages non sollicits (spam) des
personnes dont ladresse email est utilise sans leur accord pralable et avec lesquelles
lexpditeur (le spammeur) na jamais eu de contact. Le spam par envoie massif de messages
infects peut contribuer la propagation rapide de virus (spam + virus), des moteurs de
messagerie sont embarqus dans le code des virus afin quils puissent sauto-diffuser;
Outils de la scurit
lusurpation didentit des utilisateurs (un intrus se fait passer pour quelquun dautre, un
lment du systme met, coute, intercepte des messages qui ne lui sont pas destins, etc.);
des messages peuvent tre introduits, rejous, mlangs, supprims, retards;
un refus de service par dfection dun lment de la chane du systme de messagerie;
la divulgation dinformations confidentielles;
la rpudiation (un acteur du systme nie avoir envoy ou reu un message).
Figure III.8 Architecture SSL (Secure Socket Layer)
Client
Serveur
APPLICATION
APPLICATION
Connexion SSL
Flux applicatifs scuriss
SSL
SSL
Internet
TCP
IP
TCP
4
IP
3
LIAISON
LIAISON
PHYSIQUE
PHYSIQUE
A ceux-ci on associe galement toutes les menaces lies aux rseaux et leurs modes de
fonctionnement (attaques au niveau du routage, des serveurs de noms, etc.).
Pour pallier ces limites scuritaires inhrentes au mode de fonctionnement de la messagerie, les
nouvelles versions de ces logiciels intgrent des facilits de chiffrement pour assurer confidentialit,
intgrit et authenticit des informations changes et des correspondants.
Les impratifs de scurit des systmes de messagerie sexpriment en termes:
de confidentialit et dintgrit (dun message ou dune squence de messages);
de non-rpudiation (preuve de lmission, preuve de la rception, signature, certification des

messages);
dauthentification de lidentit de tous les acteurs du systme de messagerie (utilisateurs,

lments intermdiaires, mmoire de messages, agents de transfert de messages, etc.).
Le risque le plus important est sans doute celui li lintroduction de virus, vers ou cheval de Troie
via un message. Une parade mettre en place consiste installer un anti-virus sur chaque systme afin
de dceler la prsence dun virus et si possible de le dsinfecter. Un anti-virus ne dtecte que les virus
pour lesquels il a t conu et ne protge pas contre de nouvelles formes dinfection et leur ncessaires
mise jour demandent un effort de gestion non ngligeable.
Outils de la scurit
69
Une mesure complmentaire revient mettre en place un serveur de messagerie de dsincubation qui
examine systmatiquement tous les messages et leurs pices jointes. Plusieurs anti-virus peuvent alors
sexcuter simultanment et augmenter ainsi la probabilit de dtection dun message infect.
Le protocole initial de messagerie SMTP (Simple Mail Transfer Protocol) de lenvironnement internet
sest vu enrichi au cours du temps pour supporter, dune part, des contenus de message multimdia et
dautre part, pour intgrer des mcanismes de scurit. Plusieurs sont disponibles actuellement. Parmi
eux citons: Secure Multipurpose Internet Mail Extensions Secure MIME (S/MIME), Privacy
Enhanced Mail (PEM) et Pretty Good Privacy (PGP).
Toutes les applications du monde internet font appel directement ou non, aux services offerts par un
serveur DNS (Domain Name Server) (gestion de la relation entre un nom logique et une adresse IP
correspondante). Les DNS contribuent activement la ralisation de lacheminement correcte des
informations. Ainsi, ils constituent des points sensibles de larchitecture de communication et sont
donc des serveurs protger. La mise en place de mcanismes de scurit (contrle daccs, dauthentification, de trace, de duplication, de cohrence, chiffrement des requtes et de leurs rponses, etc.)
permettront dviter que des personnes mal intentionnes ne modifient la valeur des informations qui y
sont stockes pour un routage des informations vers des destinataires diffrents que ceux prvus
initialement (dtournement), ne les submergent de requtes inutiles pouvant occasionner des dnis de
service lindisponibilit des ressources, leffondrement du rseau, ne crent de faux serveurs de
noms afin dobtenir des rponses errones conduisant des erreurs de transmission ou des intrusions.
III.2.6
Dtection dintrusion
Intrusions, incidents, anomalies doivent tre dtects et identifis au plus tt de leur survenue et faire
lobjet dune gestion rigoureuse afin dassurer le fonctionnement normal des systmes et leur
protection.
Un incident est un vnement qui survient inopinment. Il est le plus souvent sans gravite en luimme mais il peut engendrer des consquences graves. Une anomalie est une exception, elle peut
induire un fonctionnement anormal du systme dinformation pouvant conduire une violation de la
politique de scurit en vigueur. Elle peut tre dorigine accidentelle (par exemple une erreur de
configuration) ou volontaire (une attaque cible du systme dinformation). Une intrusion est
caractristique dune attaque et peut tre considre comme un incident ou une anomalie.
La dtection dintrusion est lensemble de pratiques et de mcanismes utiliss afin de dtecter des
erreurs qui pourraient conduire des violations de la politique de scurit et de diagnostiquer les
intrusions et les attaques (sont inclus la dtection danomalies et lusage abusif des ressources)46.
Un systme de dtection dintrusions (IDS Intrusions Detection System) se compose de trois blocs
fonctionnels essentiels: la collecte des informations, lanalyse des informations rcupres, la
dtection des intrusions et les rponses donner la suite dune intrusion dcele.
III.2.7
Cloisonnement des environnements
La sparation et le masquage dun environnement priv vis--vis de linternet public repose sur
linstallation dun ou plusieurs systmes pare-feu (firewalls).
46 Alessandri, D. et Al. Towards a taxonomy of intrusion detection systems and attacks

www.domino.watson.ibm.com/library/cyberdig.nsf/papers/5FA980EB952E09D085256AC600535997/$File/rz3366.pdf
70
Outils de la scurit
Un firewall est un systme qui permet de bloquer et de filtrer les flux qui lui parviennent, de les
analyser et de les autoriser sils remplissent certaines conditions, de les rejeter dans le cas contraire. Le
cloisonnement dun rseau permet de constituer des environnements IP disjoints, en rendant
physiquement indpendants les accs des rseaux que lon dsire sparer. Cela permet
dinterconnecter deux rseaux de niveaux de scurit diffrents (Figure III.9)47.
Fonction de:
filtre
relais
masque
Mcanismes:
dauthentification
didentification
de chiffrement
Processus:
de gestion
de surveillance
dalarme
daudit actif
de statistique
Accs au rseau Internet
Accs au rseau priv
Figure III.9 Structure fonctionnelle d'un firewall
Internet
Rseau priv
1
Selon la nature de lanalyse et des traitements effectus par un firewall, diffrents types de firewalls
existent. Ils se distinguent le plus souvent en fonction du niveau de filtrage des donnes auquel ils
oprent: niveau 3 (IP), niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP, etc.) du modle OSI.
Un firewall applicatif encore dnomm proxy (serveur proxy, firewall proxy) joue un rle de relais
applicatif. Il tablit en lieu et place de lutilisateur le service invoqu par celui-ci. Lobjectif dun
systme qualifi de proxy est de raliser un masquage dadresse par relais applicatif, et de rendre
transparent lenvironnement interne de lorganisation. Il est cens constituer un point de passage
oblig pour toutes les applications qui ncessitent un accs internet. Cela suppose quune application
relais soit installe sur le poste de travail de lutilisateur et sur le firewall.
Limplantation et la configuration dun firewall rsultent dun choix darchitecture de rseaux pour
rpondre aux besoins de scurit et de contrle demandes de connexion aux systmes.
Le firewall constitue un des outils de ralisation de la politique de scurit et nest quun des
composants matriel ou logiciel de sa mise en uvre. En effet, un firewall ne suffit pas bien protger
le rseau et les systmes dune organisation. Il doit tre galement accompagn doutils, de mesures et
de procdures rpondant des objectifs de scurit pralablement dtermins par la politique de
scurit. Lefficacit dun firewall dpend essentiellement de son positionnement par rapport aux
systmes quil doit protger, de sa configuration et de sa gestion.
Si les systmes firewall ou de dtection dintrusion, contribuent raliser certains services de scurit,
ils ne suffisent pas eux seuls accomplir la protection des ressources informationnelles.
Outils de la scurit
71
III.2.8
Contrle daccs
III.2.8.1
Principes gnraux
Un mcanisme de contrle daccs logique aux ressources informatiques est bas sur lidentification
des personnes, leur authentification et sur les permissions ou droits daccs qui leurs sont accords
(Figure III.10).
Figure III.10 Les bases des lments du contrle d'accs logique
1
IDENTIFICATION
Dsignation
de
lentit
Gestion des identits

2
AUTHENTIFICATION
AUTORI SATI ON
Confirmation de
lidentit
Gestion des
preuves didentit
Autorisations pralablement
tablies en fonction du profil
de lutilisateur et de ses besoins
Acces
accorde
ou refuse
Cont r ole dacces

Gestion des autorisations
Sur la base dune identification authentifie, le mcanisme de contrle daccs accorde, en fonction du
profil de lutilisateur, laccs aux ressources sollicites. Cela suppose que lidentification de lusager
(Gestion des identits Identity management), que les preuves de son identit (gestion des preuves de
lidentit Identity proof management) et que ses droits daccs, soient correctement grs (gestion
des autorisations Authorization management).
Le profil de lusager (user profile) regroupe toutes les informations ncessaires aux dcisions
dautorisation daccs. Il doit tre dfini avec soin et rsulte de la dfinition de la politique de gestion
des accs.
Lauthentification permet de lier la notion didentit une personne. Les autorisations daccs
permettent de filtrer slectivement les demandes daccs aux ressources et aux services offerts via le
rseau afin den accorder laccs quaux seules entits habilites.
Le service dauthentification a pour objectif de vrifier la vracit de lidentit (notion de preuve de
lidentit). Cela dpend gnralement dun ou de plusieurs des facteurs suivants:
72
dun secret quune entit dtient (ce quelle sait), mot de passe ou numro didentification
personnel (PIN Personal Identification Number);
de ce quelle possde (carte, jeton, etc.);
de ce quelle est (empreinte digitale, vocale, rtinienne, etc.).
Outils de la scurit
La vrification de lidentit dpend dun scnario o le demandeur daccs donne son identit et une
preuve quil est cens tre le seul connatre ou possder (mot de passe, cl confidentielle,
empreinte). Le service dauthentification procde une comparaison de ces informations avec des
donnes pralablement enregistres dans un serveur dauthentification.
Un serveur dauthentification doit tre hautement protg et scuris par des mcanismes adhoc de
contrle daccs, de gestion scurise de systmes et par le chiffrement des donnes quil stocke. Un
serveur dauthentification ne doit pas tre dfaillant ou vulnrable car de sa robustesse dpend le
niveau de scurit globale de linfrastructure informatique et tlcoms.
III.2.8.2
Apports et limites de la biomtrie
Lindividualisation biomtrique est une mthode dindividualisation partir de donnes biomtriques,

qui peut servir contrler lidentit dun individu afin de raliser un contrle daccs des locaux ou
dans le cadre dun contrle judiciaire (police, etc.).
Lapplication de la biomtrie au contrle daccs aux ressources informatiques permettrait de se
soustraire de lusage de mot de passe en les substituant par une caractristique physique dont on
pourrait aisment extraire une donne binaire.
Afin dutiliser des caractristiques physique des personnes pour les identifier et valider leur
identification, il est ncessaire dextraire et denregistrer au pralable les caractristiques biomtriques
des individus (notion de gabarit). Ces enregistrements doivent tre raliss dune manire fiable et
sauvegards de faon scurise (Figure III.11).
Figure III.11 Contrle d'accs biomtrique
Extraction dune donne biomtrique

Capteur
biomtrique
Demande daccs
Empreinte digitale
Empreinte vocale
Visage
Oreille
Forme de la main
Rtine
Iris
Sauvegarde du gabarit
Signature biomtrique
Element de rfrence
Comparaison
tenant compte de la variabilit des donnes biomtriques
La dure du processus dauthentification peut tre long car la phase de comparaison doit tenir compte
des variations inhrentes la caractristique vivante de la donne teste. Un chantillon vocal par
exemple nest jamais strictement le mme. La comparaison est base sur un traitement statistique et
probabilistique de la donne biomtrique. Cette part de flou introduit dans le systme dauthentification ne permet davoir des rsultats dauthentification avec un degr dexactitude certain Le
systme ne peut pas certifier 100% quil sagisse de la personne x. Le taux derreur de ces
systmes reste encore lev, ce qui ne permet pas de garantir un haut niveau de scurit. Associ des
mcanismes dauthentification classiques bas sur des mots de passe, (notion de double contrle), la
biomtrie renforce le niveau de scurit de ces derniers.
Outils de la scurit
73
De plus, lusage tendu du biomtrique soulve de nombreux problmes dthique et dergonomie

mais aussi dordre conomique, juridique et technologique. Pour nen citer que quelques uns, retenons:
la confidentialit de donnes biomtriques qui peuvent tre considres comme prives;
la possibilit de ne pas avoir des donnes biomtriques uniques (cas des vrais jumeaux);
les capteurs de donnes biomtriques sont souvent perus comme tant intrusifs, et sont rejets
par la majorit des utilisateurs sils en ont la possibilit et le choix! Ils constituent galement
une menace pour la libert individuelle dans la mesure ou il pourrait exister une prolifration
de capteurs comme des camras vido par exemple, dissmins dans des environnements
publics, qui agiraient linsu des citoyens;
les cas dusurpation ou dusages abusifs, frauduleux de donnes biomtriques.
Associs leur manque de prcision et aux cots dacquisition, de dploiement et de contrle qui
demeurent levs, les solutions de contrle daccs bases sur lusage de donnes biomtriques ne sont
pas communment adoptes.
Rcapitulatif des limites de lusage de donnes biomtriques pour le contrle daccs:
1 les donnes biomtriques contribuant identifier un individu varient au cours du temps;
2 les donnes biomtriques doivent tre saisies pour constituer un chantillon de rfrence qui
sera sauvegard dans une base de donnes. En devenant numriques ses donnes deviennent
fragiles (et donc modifiables), elles devront tre protges de manire optimale. A chaque
demande daccs, les donnes biomtriques de lutilisateur devront tre captes. Ceci pose un
problme dacceptation de la mthode de saisie, le sentiment dintrusion est souvent mal
tolr;
3 la technique de contrle daccs base sur lusage du biomtrique nest pas sre 100%, du
fait de la variabilit de lchantillon humain dont le processus dauthentification doit tenir
compte. Selon les systmes, la probabilit davoir des faux positifs ou des faux ngatifs peu
tre importante. Cette probabilit dpend de la technique et de la qualit denregistrement des
donnes biomtriques.
III.2.9
Protection et gestion des infrastructures de communication
III.2.9.1
Protection
La couche 1 ou physique peut, contribuer la scurit des transmissions en effectuant du brouillage de

ligne, cest--dire, en envoyant de linformation non significative pour masquer un flux de donnes
pertinentes dans un flux ininterrompu de donnes sans importance. Toutefois, sil fallait protger les
transmissions contre des coutes passives ralises par capture des rayonnements lectromagntiques
induits par le signal vhicul sur les supports de transmission, il faudrait isoler compltement ces
derniers dans des cages de Faraday. On comprend quune telle mesure de protection ne sera ralise
quen cas de ncessit.
La scurit physique des supports de transmission, des botiers de raccordement et des quipements de
connectique doit tre assure correctement.
Linfrastructure de transmission est protger contre dventuels rayonnements qui pourraient
compromettre la transmission des donnes et contre des attaques passives (coute des donnes) ou
actives (modification, destruction, cration de donnes).
Il est impratif de savoir protger les raccordements des utilisateurs. Pour cela, il faut les identifier
qui sont les usagers?, les localiser o sont-ils? et connatre leurs besoins quels sont les flux
applicatifs transports?. En rpondant la question gnrale consistant savoir qui fait quoi et o?
on distingue les diffrents besoins scuritaires du rseau de transport.
Scuriser le transfert de donnes, revient intgrer les processus de scurit au niveau de
linfrastructure de communication qui doit donc tre mme de la supporter dans son intgralit. Cela
ncessite le plus souvent la mise jour de lensemble des routeurs, pouvant parfois conduire des
problmes dinteroprabilit de ceux-ci et de gestion du changement.
74
Outils de la scurit
De plus, chiffrer les donnes au niveau rseau gnre des paquets de donnes de taille suprieure
des paquets non chiffrs; leur transfert monopolise donc plus de bande passante et de ressources de
communication. Associes au fait que le processus de chiffrement augmente le temps de traitement
des paquets, les performances du rseau peuvent considrablement tre affectes par la mise en uvre
de la scurit ce niveau.
Lavantage principal du chiffrement au niveau de linfrastructure du rseau, rside dans
lindpendance de lapplication et des mcanismes de chiffrement lis au transfert qui sont alors
compltement transparents pour lutilisateur.
En revanche, la scurit des transactions au niveau applicatif (chiffrement des donnes au plus prs de
lapplication qui les manipule) modifie lapplication elle-mme et les donnes sont chiffres avant
dtre livres au protocole de rseau qui en effectuera leur acheminement. Elles sont ensuite
dchiffres par le serveur dapplication destinataire. Cest lors de la phase dtablissement du dialogue
entre des entits applicatives (un client et un serveur par exemple) que lon ralise lauthentification et
la ngociation dune cl de session. La complexit de cette phase peut varier et demande un dlai
dtablissement lui aussi variable. Une fois ralis, le chiffrement est en gnral assez rapide. Il est
indpendant de la plate-forme dexcution et de linfrastructure de communication.
La protection au niveau de la sphre de travail de lutilisateur qui met en uvre une application
distribue, ne dpend plus du transporteur de donnes, ni du rseau, mais bien de lenvironnement
direct de lusager. La difficult de la protection des applications rside dans le fait quil faille protger
tout lenvironnement applicatif, le poste de travail de lutilisateur (et non plus seulement lapplication
elle-mme) et par extension son environnement physique (accs aux locaux, etc.).
Protger les applications revient garantir le droit des individus par rapport aux postes de travail, aux
applicatifs, la zone gographique dans laquelle elles sintgrent.
Les fonctions de base du systme dexploitation du poste de travail de lutilisateur jouent un rle
prpondrant dans cette protection (impossibilit de prendre la main lors dune session, dconnexion
automatique aprs un certain temps, etc.). Cela passe galement par la protection des cartes rseaux,
par le support de protocoles dapplication en mode scuris (transmission de fichiers protgs,
messagerie scurise, etc.), par des oprations de mirroring et de duplexing (protection des
informations en les dupliquant sur des disques, redondance des oprations dcriture et des
quipements).
Scuriser linfrastructure de transport ou scuriser lapplication revient traiter, des niveaux
diffrents, un mme problme:
les processus et les utilisateurs doivent tre authentifis;
lmetteur et le rcepteur utilisent un algorithme de chiffrement/dchiffrement identique;
chaque entit communicante doit avoir connaissance de lalgorithme et des cls de

chiffrement/dchiffrement;
les cls de chiffrement/dchiffrement doivent tre gres;
les donnes doivent tre formates pour tre transfres.
III.2.9.2
Gestion
Les activits de gestion de systmes et de rseaux lorsquelles sont menes correctement, permettent
doffrir les niveaux de disponibilit et de performance ncessaires la ralisation de la scurit. De
plus, elles intgrent les tches de surveillance du rseau, de dtection des anomalies ou incidents
(comme les intrusions par exemple), qui contribuent grandement la scurit globale du rseau et du
systme dinformation quil dessert.
Une bonne gestion de rseaux contribue rendre les infrastructures, services et donnes disponibles et
de cela de manire performante. Par la gestion de rseau, notamment par les fonctions de gestion des
configurations, des performances et des incidents, les objectifs de scurit que sont la disponibilit et
lintgrit, peuvent tre atteints.
Outils de la scurit
75
De plus, la dimension de gestion de rseaux qui fait rfrence la gestion comptable permet de
disposer de toutes les donnes ncessaires non seulement la facturation des usagers mais aussi la
ralisation des fonctions de surveillance et daudit qui sont de premire importance en matire de
scurit. Cela peut permettre une certaine vrification des actions des fins de preuve ou de nonrpudiation.
La gestion de rseau contribue galement raliser lobjectif de confidentialit dans la mesure elle
assure quil ny ait pas dcoutes clandestines ou des accs non autoriss aux donnes. La ralisation
de la fonction de contrle daccs aux ressources qui fait partie de la gestion de rseau, est
fondamentale la mise en uvre oprationnelle de la scurit.
Cest de la qualit de gestion des routeurs, des facilits dadaptation de leur dcision de routage en
fonction de ltat du rseau et des demandes dacheminement du trafic, que dpendent en grande partie
les performances, la qualit de service, la disponibilit et la fiabilit dun rseau. La mise jour des
tables de routage des grands rseaux est un vrai casse-tte oprationnel pour les administrateurs de
rseaux, dans la mesure o les diffrentes modifications des valeurs des tables doivent tre
synchronises pour viter les dysfonctionnements et les pertes de donnes en transit. Les protocoles de
gestion de rseau permettent, entre autres, de mettre jour les tables de routage. Ladministration de
rseau peut contribuer la scurisation des routeurs en y effectuant des accs scuriss lors de leur
configuration, en gnrant des alarmes lors de tentative dintrusion, et en scurisant les centres de
gestion et de supervision des routeurs.
Il est donc crucial de savoir la protger en empchant tout un chacun de laltrer en prvenant ou
dtectant, entre autres, les actions suivantes:
modification des adresses contenues dans les tables de routage, dans les paquets IP, etc.;
modification des routes, copies illicites des donnes transportes;
surveillance des flux;
dtournement, modification et destruction de paquets de donnes;
dni de service, effondrement des routeurs, inondation du rseau, etc.
Il est important de pouvoir scuriser les processus dacheminement des donnes au travers des rseaux
de tlcommunication. Les fournisseurs de service rseau doivent protger toutes les entits qui
interviennent dans ce processus notamment les routeurs et les serveurs de noms afin que la qualit du
service dacheminement satisfasse les critres de scurit de disponibilit (le service est oprationnel),
de confidentialit (les donnes sont dlivres aux bons destinataires) et dintgrit (les donnes ne sont
pas modifies lors de leur transfert).
La livraison de donnes aux ayants droits nest pas garantie par un service rseau. En effet, le service
de livraison correcte ne vrifie pas que les donnes dlivres la bonne adresse le sont aux entits
habilites les recevoir. Cela ncessite un contrle supplmentaire de type contrle daccs. De
plus, si les donnes sont vhicules en clair et si elles sont coutes, elles sont comprhensibles des
tiers non autoriss. Sil sagit de donnes sensibles il est ncessaire de les chiffrer pour les rendre
inintelligibles.
La surveillance dun rseau informatique consiste observer le fonctionnement de ce dernier et ceci
dune manire continue. La surveillance du rseau vise non seulement sassurer que la qualit de
service du rseau soit acceptable mais aussi dceler les problmes, incidents, erreurs et les anomalies
qui dgradent les performances du rseau et qui pourraient porter atteinte la scurit des ressources
afin de rpondre au plus vite et de manire adapte aux disfonctionnements. La fonction de
surveillance du rseau permet la traabilit des actions et des vnements afin de les journaliser pour
les analyser (notion daudit). La surveillance du rseau, contribue galement sassurer de la
disponibilit des ressources en vrifiant que le rseau fonctionne dune manire correcte. Ainsi, il
sagit dune fonction cruciale de la gestion de rseau puisquelle contribue raliser la gestion des
performances, des incidents, des configurations, des utilisateurs et de la scurit
76
Outils de la scurit
SECTION IV
APPROCHE GLOBALE
Chapitre IV.1 Diffrents aspects du droit des nouvelles technologies

IV.1.1
Protection des donnes caractre personnel et commerce lectronique48
Ce paragraphe aborde la protection des donnes personnelles concernant notamment le

cybercommerce et identifie, partir de la situation en France et en Suisse, les principales lgislations
dont les administrateurs systmes et responsables scurit doivent avoir connaissance lors que leur
organisations met en ligne des services de commerce lectronique. Ainsi, peuvent tre extrapols et
adapts aux pays en dveloppement, les principes gnraux qui pourraient adopts pour conduire des
affaires dans le cyberespace.
IV.1.1.1
Cybercommerce: ce qui est illgal off-line lest aussi on-line
Lorsque lon aborde la question du commerce lectronique (e-commerce), on peut envisager la

problmatique sous les angles du commerce lectronique avec les consommateurs (business-toconsumer (B2C)), ou du commerce lectronique inter-entreprise (business-to-business (B2B)). On
classera galement dans la mme catgorie les variantes associes par exemple la
cyberadministration. Il sagit alors de commerce lectronique avec le citoyen et dautres institutions
publiques ou prives. Cette distinction est importante au niveau juridique puisque le droit commercial
diffrencie en gnral les transactions inter-entreprises de celles opres avec le consommateur.
Dans tous les cas, la scurit, conjugue des dmarches appropries de marketing et de vente sur
l'internet, respectant un cadre lgal appropri, constitue la pierre angulaire du cybercommerce.
Raliser un contexte favorable lchange de donnes par le biais de linstauration de la confiance
bas sur les outils de la scurit et le respect des lgislations, favorise ladoption par le grand public de
services bass sur linformatique et les tlcommunications et permet galement de dvelopper une
vritable conomie de services.
De nouvelles lgislations, nes de la ncessit de dfinir un cadre juridique appropri lusage des
nouvelles technologies, viennent complter la plus part des lgislations existantes qui sont galement
valides dans le cyberespace. En tout tat de cause, ce qui est illgal off-line lest aussi on-line! Le
cyber espace est un espace international et transfrontalier. De ce fait, la notion du for est trs difficile
cerner pour pouvoir rgler les problmes juridiques du commerce lectronique. Ainsi, lors de
transactions effectues par le biais du Net il est ncessaire de mentionner la limite de loffre et de
donner une information exacte quant au for considrer en cas de litige.
IV.1.1.2
Devoir de protection
La protection des donnes personnelles est un aspect important du commerce lectronique. Le

consommateur doit tre inform de la nature des informations collectes, utilises et communiqus par
lannonceur ou le commerant en ligne. Le consommateur doit tre inform lavance quant
lutilisation, la communication, laccs par les tiers des informations le concernant. Il doit tre
galement inform des prcautions prises pour protger les informations le concernant. Une relle
politique de protection des donnes prives (privacy policy) doit tre clairement exprime, disponible,
visible, facilement accessible et comprhensible au moment o est entreprise transaction commerciale.
La politique doit tre notamment disponible sur le site web du commerant.
De plus, cela ncessite de la part de lentreprise fournisseur de service de mettre en uvre les moyens
de scurit suffisants pour protger les donnes des clients collectes et traites. Lentreprise doit
prendre soin de sassurer que les services tiers impliqus dans les changes commerciaux disposent
des niveaux de scurit apte satisfaire les impratifs de scurit.
48 Ce point t labor en collaboration avec Igli Taschi, assistant diplm de lUniversit de Lausanne.
Diffrents aspects du droit des nouvelles technologies
79
IV.1.1.3
Respect des droits fondamentaux
La confidentialit des donnes caractre personnel et celui du respect de lintimit numrique

relvent du respect des droits fondamentaux de lHomme.
Exemple de la directive europenne
Outre la directive europenne de 1995, remarquons que diverses lgislations nationales existent depuis
le dbut des annes 70 concernant la protection des donnes personnelles et le contrle de lutilisation
des fichiers publics contenant des informations nominatives afin de prvenir des risques de fichage
inconsidr.
Exemple de la France
La Loi Informatique et libert publie en janvier 1978 est un exemple de ce type dinitiative
juridique pour la France qui a t modifie par la nouvelle Loi informatique et libert publie en aot
2004 et immdiatement applicable. Celle-ci introduit des concepts juridiques adapts aux nouvelles
formes de traitements issus de la socit de l'information et de l'conomie numrique. Elle transpose la
directive communautaire 95/46/CE d'octobre 1995. Son objet est de renforcer les droits et protections
reconnus aux personnes physiques et daugmenter le niveau d'obligations incombant aux responsables
de traitements.
Sont gnralement abords dans ces lois les questions relatives la dfinition dune information
nominative ou caractre personnel; au droit daccs, dopposition et de rectification aux donnes; la
finalit du traitement; la collecte dinformation;la conservation et la mise jour; la scurit des
fichiers nominatifs; la commercialisation des fichiers: le contrle des flux transfrontaliers.
Dautres lois viennent le plus souvent complter ces lgislations comme par exemple pour la France la
loi sur la scurit quotidienne du 15.11. 2001 qui oblige effacer et rendre anonyme les donnes
relatives une communication lectronique sauf celles concernant la facturation des communications.
Les donnes dites indirectes (URL visits, les adresses IP des serveurs consults, les intituls des
messages, etc.) doivent tre galement effacs.
Exemple de la Suisse
En Suisse la loi fdrale sur la protection des donnes date de 1992 (Allemagne: loi du 21 janvier
1977, Belgique: loi du 8 dcembre 1992, Canada: loi sur la protection des renseignements personnels
1982S, Etats-Unis: loi sur la protection des liberts individuelles 1974; loi sur les bases de donnes
et la vie prive 1988)
La protection des donnes en Suisse est en premier lieu assure par lart. 13 al. 2 de la nouvelle
Constitution fdrale, entre en vigueur le 1er janvier 2000, en vertu duquel toute personne a le droit
dtre protge contre lemploi abusif des donnes qui la concernent.
Les textes les plus importants sur le plan fdral sont la loi fdrale sur la protection des donnes
(LPD) du 19 juin 1992 et lordonnance dexcution du 14 juin 1993. Son application ne dpend pas
d'un support particulier ou d'une technique spcifique de rcolte et de traitement des donnes. Elle
s'applique aussi bien aux personnes prives qu' l'administration publique, aux personnes physiques et
aux personnes morales, quel que soit le type de traitement vis. Larticle 3, lettre a) de la LPD prcise
qu'il faut entendre par donnes personnelles toutes les informations qui se rapportent une personne
identifie ou identifiable. Des rgles particulires sappliquent aux donnes sensibles et aux profils de
la personnalit, notions galement dfinies par la loi.
La notion de traitement est large puisqu'elle inclut toute opration relative des donnes
personnelles quels que soient les moyens et procds utiliss notamment la collecte, la
conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de
donnes. L'art. 2 al. 2 LPD rserve pourtant un certain nombre de situations particulires dans
lesquelles la loi n'est pas applicable. Cest par exemple le cas pour des procdures judiciaires
pendantes ou dans lhypothse de donnes personnelles qu'une personne physique traite pour un
usage exclusivement personnel et qu'elle ne communique pas des tiers (litt. a). Dans un arrt du
5 avril 2000, le Tribunal fdral a considr que la messagerie lectronique tait couverte par le secret
80
des tlcommunications. L'art. 43 de la Loi fdrale sur les tlcommunications (LTC) contient
galement une obligation de maintien du secret: Il est interdit toute personne qui a t ou qui est
charge d'assurer un service de tlcommunication de donner des tiers des renseignements sur les
communications des usagers; de mme, il lui est interdit de donner quiconque la possibilit de
communiquer de tels renseignements des tiers. L'article 44 LTC, complt par les articles 6 11 de
l'Ordonnance du Conseil fdral sur le service de surveillance de la correspondance postale et des tlcommunications du 1er dcembre 1997 (RS 780.11), met en place la procdure et dtaille les
conditions auxquelles une surveillance peut intervenir.
La rglementation suisse sur la protection des donnes personnelles sur l'internet est similaire bien
des gards celle de la Directive communautaire en la matire.
IV.1.1.4
Rentabilit de la lgislation
La lgislation en matire de traitement des donnes caractre personnel et de protection de la vie

prive dans le secteur des communications lectroniques, est un facteur qui pousse les institutions
bien grer leur scurit informatique et rseau (donnes des utilisateurs, surveillance des
communications et des employs, gestion des sauvegardes, traitement automatis de donnes
caractre personnel, etc.).
Les organisations se doivent de se doter de moyens suffisants de scurit et de contrle.
La valeur conomique des investissements ncessaires assurer le seuil minimal de scurit
(protection physique et juridique) est fonction des pertes matrielles et aussi des risques de rputation
et dimage potentiellement encourus par lorganisation. La lgislation devient donc un facteur
endogne de prise en compte de la scurit.
IV.1.2
Cybercommerce et ralisation de contrats dans le cyberespace49
Ce paragraphe aborde diffrents aspects de la notion de contrat associe aux transactions

commerciales ralises dans le cyberespace et identifie les principaux textes de lois existants en Suisse
et au niveau europen, qui les rgissent. A partir de lexemple juridique de la Suisse, et des principales
directives europennes, divers principes de base peuvent tre identifis et adapts en fonction des pays
et des lgislations nationales.
IV.1.2.1
Question du droit applicable
La premire problmatique juridique qui concerne le commerce lectronique est pose par la
dfinition de la notion gographique de la ralisation du commerce lectronique. Les caractristiques
de linternet (couverture internationale, technologies du numrique, mode de fonctionnement)
abolissent la notion de frontires gographiques des tats et les flux informationnels ne sarrtent pas
aux frontires des pays.
Donnes et services sont accessibles et ralisables distance, indpendamment de la localisation des
internautes et des serveurs. Trs souvent le commerant et le client interagissent depuis des pays
diffrents. Ainsi la notion du droit applicable devient trs importante en cas de litige ventuel et
constitue un point capital concernant la planification de loffre. Dans ce sens lors des transactions fait
par le biais du Net il faut mentionner la limite de loffre et donner une information exacte quant au
for50 considrer en cas de litige.
Le droit applicable et le for peuvent tre convenus par les parties au contrat. Si une telle clause
nexiste pas, il faut dterminer si le contrat tombe dans le champ dapplication dune convention
internationale telle que celle des Principes Unidroit relatifs au contrat du commerce international
(1994) autrement dit la Netiquette ou bien la Convention de la Haye du 15 juin 1955 par exemple.
49 Ce point t labor en collaboration avec Igli Taschi, assistant diplm de lUniversit de Lausanne.
50 For: En droit international, dsigne la loi du pays dans lequel le procs doit se drouler. On parle galement de lex fori.
Rgle de procdure internationale
81
Toutefois, les conventions internationales nont pas une force contraignante sauf dans le cas o elles
sont expressment intgres dans le contrat.
Si aucune de ces deux solutions nest envisageable, se sont les rgles de droit rgissant le contrat qui
seront celles applicables.
En droit suisse par exemple, il sagit de la loi fdrale sur le droit international priv de 1987 (LDIP),
dont larticle 1 stipule:
Art. 1
1
La prsente loi rgit, en matire internationale:
a. la comptence des autorits judiciaires ou administratives suisses;

b. le droit applicable;
c. les conditions de la reconnaissance et de lexcution des dcisions trangres;
d. la faillite et le concordat;
e. larbitrage.
2
Les traits internationaux sont rservs.
Le principe de base est le suivant: on applique le droit de lEtat avec lequel le contrat prsente les liens
les plus troits (117/1 LDIP). Gnralement, il sagit du fournisseur des biens et services pour autant
quil inclut cela dune manire explicite dans les conditions gnrales avec une exception, larticle
120/2 LDIP qui concerne les Contrats conclus avec des consommateurs et qui stipule que:
Les contrats portant sur une prestation de consommation courante destine un usage personnel ou
familial du consommateur et qui nest pas en rapport avec lactivit professionnelle ou commerciale
du consommateur sont rgis par le droit de lEtat de la rsidence habituelle du consommateur:
a. si le fournisseur a reu la commande dans cet Etat;
b. si la conclusion du contrat a t prcde dans cet Etat dune offre ou dune publicit et que
le consommateur y a accompli les actes ncessaires la conclusion du contrat, ou
c. si le consommateur a t incit par son fournisseur se rendre dans un Etat tranger aux fins
dy passer la commande.
2
Llection de droit est exclue.
Le contenu du site comme par exemple le langage utilis ou les devises proposes peuvent donner une
indication sur le march vis par le commerant et ventuellement sur le droit applicable.
Concernant le for, dans le cas ou il nest pas dtermin par un accord des parties, le dpt dune
plainte au lieu de rsidence ou le sige du dfendeur est possible.
IV.1.2.2
Conclusion lectronique dun contrat
Les rgles applicables en la matire, sont en gnral les mmes que celles applicables pour les contrats
dits classiques. Un contrat est conclu lorsque les deux parties ont chang une offre et une acceptation
doffre.
Directive Europenne
La directive 97/7/CE du Parlement europen et du Conseil de lEurope du 20 mai 1997 traite de la
problmatique de la vente distance et de celle du e-commerce, prcise que linformation pralable
la conclusion dun contrat doit comprendre les lments suivants:
identit du fournisseur et, dans le cas de contrat ncessitant un paiement anticip, son adresse;
caractristiques essentielles du bien ou du service;
prix du bien ou du service, toutes taxes comprises;
frais de livraison, le cas chant;
modalits de paiement, de livraison ou d'excution;
82
existence d'un droit de rtractation, sauf dans les cas viss l'article 6, paragraphe 3 de cette
directive;
cot de l'utilisation de la technique de communication distance, lorsqu'il est calcul sur une
base autre que le tarif de base;
dure de validit de l'offre ou du prix;
dure minimale du contrat dans le cas de contrats portant sur la fourniture durable ou
priodique d'un bien ou d'un service.
Le point le plus important concernant la conclusion de contrat concerne la dfinition de ce qui

reprsente loffre et de ce qui reprsente lacceptation de loffre. La marchandise expose sur un site
internet avec les indications de prix, les informations dordre publicitaire associes, ne constituent pas
une offre, mais plutt un appel doffre au sens du Code des Obligations suisse, qui stipule dans son
article 7: Art. 7 2 Lenvoi de tarifs, de prix courants, etc., ne constitue pas une offre de
contracter.
Lenvoi dun message lectronique ou dun formulaire de commande est galement considr comme
un appel doffre.
Cest lacceptation ou le clic jachte de la part de lacheteur qui permet de constituer loffre ferme
et le contrat. La simple consultation dun site ne peut pas exprimer la volont de consommer comme
lest dailleurs de pntrer dans un magasin. En revanche, la prsentation des marchandises sur un site
web peut constituer une offre seulement dans le cas ou le stock de marchandise est indiqu de la part
de loffreur et suite une commande il diminue, ou bien dans le cas ou la nature de la marchandise est
telle que le marchand a toujours la capacit de honorer la commande.
Le contrat est conclu quand le destinataire du service, donc le consommateur dsirant acheter la
marchandise expose, a reu par voie lectronique de la part du prestataire, laccus de rception de
lacceptation uniquement si ces deux documents sont envoys dans les meilleurs dlais. Concernant la
notion de dlais il faut faire la distinction entre un contrat entre absents ou entre prsents.
Contrat conclu entre absents, oui mais
Le contrat conclu via l'internet est considr comme tant un contrat conclu entre absents, ce qui
implique que loffre doit tre accepte dans des dlais raisonnables, comme le prcise larticle 5 du
Code des Obligations suisse:
Art. 5:
b. Entre absents
1
Lorsque loffre a t faite sans fixation de dlai une personne non prsente, lauteur de loffre reste
li jusquau moment o il peut sattendre larrive dune rponse expdie temps et rgulirement.
2
Il a le droit dadmettre que loffre a t reue temps.
Si lacceptation expdie temps parvient tardivement lauteur de loffre, et que celui-ci entende
ne pas tre li, il doit en informer immdiatement lacceptant.
Toutefois, si lchange de donnes concernant le contrat seffectue via un forum de discussion, chat,
messagerie instantane ou par de la tlphonie sur internet, cela sera considr comme tant un contrat
conclu entre les prsents et lacceptation doit tre immdiate. Ainsi larticle 4/1 du Code des
Obligations suisse fixe: Lorsque loffre a t faite une personne prsente, sans fixation dun dlai
pour laccepter, lauteur de loffre est dli si lacceptation na pas lieu immdiatement.
IV.1.2.3
Signature lectronique
La mise en uvre dun systme de chiffrement asymtrique permet de vrifier lintgrit dun
message afin de sassurer que le message nait pas t modifi lors de son transfert et dtre sre de
son metteur, ainsi, lmetteur ne pourra pas nier avoir envoy ce message (notion de
non-rpudiation). On utilise pour raliser ces services de scurit informatique, un certificat numrique
qui permet de signer un document numrique. Par analogie la signature manuscrite, on ralise
ainsi une signature numrique des donnes (notion de signature lectronique). Sont associs aux
83
notions de signature et de certificat numriques, celles de cls de chiffrement (cls prives, cls
publiques) et dorganisme de certification (galement dnomm tiers de confiance ou autorit de
certification).
Pour que la signature lectronique puisse tre considre comme une transposition dans le monde
numrique de la signature manuscrite dun document papier, la signature lectronique doit tre lie
uniquement au signataire, permettre de lidentifier et doit tre cre par des moyens la possession
exclusive du signataire.
En droit suisse, la signature lectronique est reconnue par la loi comme ayant la mme porte que la
signature manuscrite. Larticle 14/2bis du Code des Obligations dfinit la signature: Art. 14: c.
Signature
1
La signature doit tre crite la main par celui qui soblige.
2bis
La signature lectronique qualifie, base sur un certificat qualifi manant dun fournisseur de
services de certification reconnu au sens de la loi du 19 dcembre 2003 sur la signature lectronique
est assimile la signature manuscrite. Les dispositions lgales ou conventionnelles contraires sont
rserves.
Tandis que la signature lectronique est rgie par la Loi fdrale sur les services de certification dans
le domaine de la signature lectronique (SCSE) du 19 dcembre 2003. Cest dans cette loi quest
dfinie la signature lectronique ainsi que ses diffrentes formes et les divers acteurs de la mise en
uvre du mcanisme de signature et de certificats numriques.
Art. 2 Dfinitions
Au sens de la prsente loi, on entend par:
a. signature lectronique: donnes lectroniques jointes ou lies logiquement dautres donnes
lectroniques et qui servent vrifier leur authenticit;
b. signature lectronique avance: signature lectronique qui satisfait aux exigences suivantes:
1. tre lie uniquement au titulaire,
2. permettre didentifier le titulaire,
3. tre cre par des moyens que le titulaire peut garder sous son contrle exclusif,
4. tre lie aux donnes auxquelles elle se rapporte de telle sorte que toute modification ultrieure
des donnes soit dtectable;
c. signature lectronique qualifie: signature lectronique avance fonde sur un dispositif scuris de
cration de signature au sens de lart. 6, al. 1 et 2, et sur un certificat qualifi valable au moment de
sa cration;
d. cl de signature: donnes uniques telles que des codes ou des cls cryptographiques prives que le
titulaire utilise pour composer une signature lectronique;
e. cl de vrification de signature: donnes telles que des codes ou des cls cryptographiques
publiques utilises pour vrifier une signature lectronique;
f. certificat qualifi: certificat numrique qui remplit les conditions de lart. 7;
g. fournisseur de services de certification (fournisseur): organisme qui certifie des donnes dans un
environnement lectronique et qui dlivre cette fin des certificats numriques;
h. organisme de reconnaissance: organisme qui, selon les rgles de laccrditation, est habilit
reconnatre et surveiller les fournisseurs
Signature lectronique et directive europenne
84
La Directive CE 1999/93 du 13 dcembre 1999 relative un cadre communautaire pour la signature

lectronique distingue trois types de signature lectronique selon le degr dintgration des
mcanismes de chiffrement et les niveaux de scurit offerts.
Plusieurs variantes existent pour raliser une signature lectronique. Premirement, il est juste possible
de signer un message sans que la signature dpende du contenu du message (notion de signature
lectronique proprement parl). Ainsi nimporte qui peut dtacher la signature dun message et la
rutiliser en lieu et place du propritaire de la signature. Pour pallier cet inconvnient, il est possible,
par la mise en uvre dune fonction cryptographique, de rendre la signature dpendante du contenu
signer et de pouvoir valider sa rception, lauthenticit de lmetteur et lintgrit du message
(notion de signature lectronique avance).
Enfin la directive envisage la signature lectronique certaine qui doit tre base sur les dispositifs de
scurit de lannexe II concernant les prestataires de service de certification dlivrant des certificats
qualifis51.
IV.1.2.4
Droit de rvocation
La facilit avec laquelle il est possible deffectuer des achats sur l'internet peut favoriser des
comportements de consommation relevant dune dcision irrflchie. Dans ce contexte, le droit de
rvocation prend une grande importance.
En suisse, larticle 9 du Code des Obligations rgit le droit de rvocation. Son principe est le suivant:
le retrait de loffre sera valable, pour autant quil parvienne au destinataire de loffre avant celle-ci.
Le mme mcanisme est utilis pour le retrait de lacceptation.
Droit de rvocation et directive europenne
Au niveau europen cest la directive 1997/7 du 20 mai 1997 qui rgit le droit de rvocation. Il est
stipul que pour tout contrat distance, le consommateur dispose d'un dlai d'au moins sept jours
ouvrables pour se rtracter sans pnalits et sans indication du motif. Au cas o le fournisseur n'a pas
rempli les obligations vises l'article 5, notamment les modalits du droit de rtraction, le dlai est de
trois mois.
IV.1.2.5
Gestion des litiges
Ds lors quun contrat est valablement conclu, la question de la preuve se pose lors de litige, quil
sagisse de linternet ou non: il est ncessaire dapporter des preuves. Ainsi, il est toujours judicieux de
garder des traces de la transaction comme par exemple une copie dun message lectronique ou encre
une copie dcran.
En France larticle 109 du Code de consommation considre la preuve comme tant libre concernant
le B2B. Le message lectronique est donc admis comme moyen de preuve, de la mme faon quun
document papier. En revanche, pour tout ce qui se rapporte au commerce avec le consommateur, une
preuve crite est exige partir dune certaine somme engage. Cela dans le but de protger le
consommateur moyen qui na pas la capacit et les moyens juridiques de se dfendre dans le cas dun
litige face une entreprise commerciale.
Toutefois, lutilisation des messages lectroniques pourrait galement tre possible comme moyen de
preuve linstar de la loi sur la signature lectronique. Cela signifie quun message lectronique sign
lectroniquement sera considr comme une preuve valable si les dispositions dcrites ci-dessus
concernant la signature lectronique sont respects.
51 www.foruminternet.org/documents/textes_europeens/lire.phtml?id=34
85
Conditions gnrales
Trs souvent les contrats conclus distance comportent des conditions gnrales qui font aussi partie
du contrat. Ces conditions gnrales doivent tre facilement accessibles, consultables en ligne et le
client doit tre clairement inform quelles font partie du contrat, pour les valoir en cas de litige.
On-line Dispute Resolution
Lors de litige et compte tenu du caractre international du e-commerce, dautres moyens que les
tribunaux classiques sont disposition des intresss pour rsoudre les diffrends. Le concept dODR
(On-line Dispute Resolution) est issu de cette volont de trouver des solutions immdiates des
conflits lis au non respect de contrats passs via l'internet. Ce type de rsolution des litiges se base sur
la conciliation qui fait appel la ngociation, la mdiation et larbitrage52. Plus rapide, plus
accessible financirement et convivial pour les utilisateurs. En revanche, du fait que cela se base sur
des codes de conduite ou des recommandations qualifies de soft law (comme par exemple Uniform
Domain-Name Dispute Resolution Policy de lICANN), leur force contraignante est limite.
IV.1.3
Cyberespace et proprit intellectuelle53
IV.1.3.1
Protection de la proprit intellectuelle par des lois
La proprit intellectuelle est protge par plusieurs lois dont essentiellement:

loi sur les marques;
loi sur le droit dauteur;
loi sur les brevets;
loi sur les dessins et modles;
loi sur la protection des obtentions vgtales;
loi sur les topographies de semi-conducteurs;
loi sur les armoiries publiques et autres signes publics.
De plus, la proprit intellectuelle est aussi concerne par la loi contre la concurrence dloyale.
IV.1.3.2
Droit dauteur et droits voisins
Il sagit dune loi qui protge les:

auteurs duvres littraires et artistiques;
artistes interprtes, producteurs de phonogrammes ou de vidogrammes ainsi que des
organismes de diffusion.
Une uvre est une cration de lesprit, littraire ou artistique, qui a un caractre individuel et ce
indpendamment de sa valeur ou sa destination.
Les crations de lesprit incluent:
les uvres recourant la langue quelles soient littraires, scientifiques, ou autres;
les uvres musicales et autres uvres acoustiques;
les uvres des beaux-arts, en particulier, les sculptures et les uvres graphiques;
les uvres contenu scientifique ou technique, tels que les dessins, les plans, les cartes ou les
ouvrages sculpts ou models;
les uvres darchitecture;
les uvres des arts appliqus;
52 Ce mcanisme de rsolution de conflit a fait l'objet d'un rglement type de la Commission des Nations Unies pour le droit
commercial international (CNUDCI).
53 Ce point a t labor en collaboration avec le professeur Sarra Ben Laggha, Ecole Polytechnique de Tunis, charg de
cours lUniversit de Lausanne.
86
les uvres photographiques, cinmatographiques et les autres uvres visuelles ou

audiovisuelles;
les uvres chorgraphiques et les pantomimes;
les programmes dordinateurs (logiciels);
les projets, titres et parties duvres qui ont un caractre individuel.
Le droit dauteur accorde lauteur de luvre (la personne physique qui a cr luvre) ou son
auteur prsum (la personne qui a fait apparatre luvre tant que lauteur nest pas dsign) des droits
moraux et des droits patrimoniaux.
Le dpt de luvre auprs dun office ou lenregistrement des droits nest pas ncessaire. Le dpt
lgal est cependant pratiqu dans certaines lgislations. Par ailleurs, les ides ne peuvent tre protges
que si elles sont fixes puisque seule la forme dune uvre est protgeable.
Les droits moraux concernent essentiellement la reconnaissance de la qualit dauteur et le fait de
dcider si, quand, de quelle manire et sous quel nom son uvre sera divulgue.
Les droits patrimoniaux concernent lutilisation de luvre (confection et vente dexemplaires,
prsentation, mise en circulation, diffusion, etc.).
Le transfert de la proprit de luvre, quil sagisse de loriginal ou dune copie, nimplique pas celui
de droits dauteurs. Ceux-ci sont par ailleurs cessibles et transmissibles par succession.
Les droits voisins concernent les droits des artistes interprtes (personnes physiques qui excutent une
uvre ou qui participent sur le plan artistique lexcution dune uvre), les droits de producteurs de
phonogrammes ou de vidogrammes ainsi que les droits des organismes de diffusion.
IV.1.3.3
Droit des marques
La marque a pour fonction de distinguer les produits et/ou services du titulaire de ceux dautres
entreprises. La marque a pour fonction didentifier un objet (et non pas un sujet de droit identifi
plutt par un nom ou une raison de commerce).
Pour tre susceptible de protection la marque ne doit pas correspondre aux:
signes appartiennent au domaine public;
formes qui constituent la nature mme du produit et celles qui sont rendues ncessaires par la
fonction de lobjet vis;
signes propres induire en erreur;
signes contraires au droit en vigueur ou aux bonnes murs.
Pour tre protge, une marque doit tre dpose. Une marque enregistre peut faire lobjet dune
opposition si:
elle est identique une marque dj enregistre pour des produits identiques;
elle est identique ou similaire une marque dj enregistre pour des produits et/ou services
identiques ou similaires lorsquil en rsulte un risque de confusion.
IV.1.3.4
Droit des brevets
Les brevets dinvention sont dlivrs pour les inventions nouvelles utilisables industriellement.
Les brevets dinventions ne peuvent tre dlivrs ni pour ce qui dcoule dune manire vidente de
ltat de la technique, ni pour les varits vgtales ou les races animales, ni pour les procds
essentiellement biologiques dobtention danimaux ou de vgtaux; cependant les procds
microbiologiques et les produits obtenus par ces procds sont brevetables.
Le brevet est accord (sous certaines conditions) celui qui dpose la demande (inventeur, son ayant
cause ou un tiers qui linvention appartient un autre titre).
Si la mme invention a t faite par plusieurs personnes de faon indpendante, le brevet appartient
celui qui peut invoquer un dpt antrieur ou un dpt jouissant dune priorit antrieure.
87
IV.1.3.5
Protection intellectuelle dun site web
Sur l'internet et particulirement pour les sites web, il faut recourir plusieurs droits pour protger la
proprit intellectuelle dun site web54:
Pour ce qui concerne le nom du domaine:
Lenregistrement du nom de domaine ne confre en tant que tel aucun droit exclusif
spcifique son titulaire.
Pour protger un nom de domaine il faut se tourner du ct des bases lgales que sont:
le droit des marques;
le droit des raisons de commerce;
le droit au nom;
le droit de la concurrence;
Pour ce qui concerne le contenu du site:
La diffusion des uvres sur l'internet:
le contenu cre spcialement pour le site, il est protg par le droit dauteur;
la numrisation dune uvre existante et sa diffusion en ligne est une forme de
reproduction qui ne peut se faire sans le consentement de lauteur de luvre initiale;
les liens vers dautres sites: la simple utilisation dun lien hypertexte ne lse aucun
droit exclusif puisquelle nentrane aucune reproduction; la question est plus dlicate
pour les liens profonds (qui permettent darriver une page sans passer par la page
principale dun site). Elle pose la question de savoir si la page en question est une
uvre ou pas! En gnral ce genre de litige se rgle par le droit de la concurrence avec
comme critre dterminant la manire dont les liens hypertextes sont utiliss, la
loyaut de cet usage apparat alors comme une notion centrale.
IV.1.3.6
Complmentarit des approches
Pour assurer le respect des droits dauteurs, des mesures techniques se mettent en place. Les
lgislations les soutiennent en interdisant de les contourner.
Ainsi il a la protection lgale, la protection technique et la protection lgale de la protection technique.
IV.1.4
Divers aspects juridiques lis au spam55
IV.1.4.1
Contexte et nuisances
Au sens large, le spam56 dsigne lenvoi de messages lectroniques non sollicits. Il se caractrise
ainsi:
les messages non sollicits sont envoys de manire massive et rpte;
le message poursuit un objectif commercial ou est ralis des fins malveillantes (phishing,
prise de contrle de lordinateur, introduction de programme malveillant (virus, adware,
spyware));
les adresses sont souvent obtenues linsu du propritaire (en violation des rgles relatives
la protection des donnes caractre priv);
le spam possde souvent un contenu illgal, trompeur ou prjudiciable.
54 Issu de Philippe Gilliron; Proprit intellectuelle et Internet livre CEDIDAC 53, Universit de Lausanne 2003.
55 Ce point t labor en collaboration avec Igli Tashi, assistant diplm de lUniversit de Lausanne.
56 Le terme SPAM est lorigine une marque dpose de la compagnie Hormel, et nest autre que lacronyme de Spiced
Pork and Meat, une sorte de corned-beef qui accompagnait les soldats amricains durant la dernire guerre mondiale. Il
semble que les Monty Python aient inspir lassociation de cet aliment avec la pratique denvoi de courriels non sollicits.
Ceux-ci, dans un de leurs clbres sketches, se mettent chanter Spam Spam Spam Spam... pour vanter les mrites du
produit, de faon trs rptitive et si fort que cela couvre les propos des autres protagonistes.
88
Lutilisation de spam dans certaines circonstances compte tenu de son caractre non sollicit peut tre
considre comme une politique de vente ou de publicit agressive.
De nos jours le phnomne du spam ne se limite pas seulement la messagerie lectronique via
l'internet mais aussi aux tlphones portables travers les SMS ou aux nouveaux quipements
multimdias comme les pockets PC.
Le spam gnre des cots pour tous les usagers de linternet. Ces cots sont gnralement lis au
temps de traitement des messages, lacquisition de diffrents outils pour se protger contre ce
phnomne sans compter le cot social c'est--dire une perte de confiance de la part des utilisateurs,
une baisse de productivit des organisations, etc.
Selon une tude de la socit Clerswift publie par le Journal du Net le 13 septembre 2005, la
rpartition du spam selon les catgories suivantes est:
Types de spam juin 2005

Sant
43.86%
Produits
37.65%
Finance
9.06%
Pornographie
5.32%
Phishing
1.41%
Pari
0.1%
Autres
2.32%
Le spam peut prendre la forme de diverses escroqueries dont une des plus communes est celle dite
escroquerie nigrienne ou Nigerian letter57. Le phishing consiste envoyer un message semblant tre
mis par une institution connue comme une banque par exemple, qui invite sous divers prtextes,
linternaute se connecter sur un site contrefait dune institution vise et donner ses codes daccs et
informations sensibles, qui seront utilises ultrieurement son insu.
Outre les escroqueries et le phishing, le spam peut aussi tre envoy dans un but destructeur et de
blocage de la messagerie du destinataire occasionnant ainsi indisponibilit et dni de service des
ressources. Le bombardement de messages peut prendre diverses formes: envoi de messages de
grandes tailles gnrant des problmes au niveau du traitement ou du stockage temporaire, envoi de
grands nombres de messages ou envoie un nombre trs important de destinataires dans le but
dinonder le serveur, ou encore, usurpation de ladresse de lmetteur.
IV.1.4.2
Rponses juridiques au phnomne du spam
Le spam relve de plusieurs domaines juridiques, notamment, la protection des donnes, la

concurrence dloyale mais aussi le domaine pnal.
57 Lmetteur du spam se prsente comme lhritier dun riche notable, parfois dans un pays lointain, rcemment dcd. Le
soi-disant hritier prtend avoir des difficults pour faire valoir ses droits et propose la victime dutiliser le compte en
banque de cette dernire et lui propose en change une rmunration importante pour la gne occasionne. Cette dernire
doit avancer les frais relatifs la transaction. Ce sont invariablement des tentatives descroquerie.
89
Exemple suisse
En Suisse, aucune norme juridique suisse ne rgle explicitement la question du spam.
Dun point de vue de la protection des donnes, selon le Prpos Fdral la Protection des donnes et
son document Aide-mmoire concernant les messages publicitaires indsirables diffuss par courrier
lectronique (spams)58 prcise que les adresses lectroniques constituent des donnes personnelles
permettant d'identifier une personne. Conformment l'art. 12, al. 3, de la loi fdrale suisse, sur la
protection des donnes (LPD, RS 235.1), En rgle gnrale, il ny a pas atteinte la personnalit
lorsque la personne concerne a rendu les donnes accessibles tout un chacun et ne sest pas
oppose formellement au traitement.. Le traitement d'adresses lectroniques par un spammeur
constitue un dtournement du but premier si on considre lart. 4, al. 3, LPD, commis l'insu art. 4, al.
2, LPD et sans le consentement art. 13, al. 1, LPD de la personne concerne. Il s'agit donc bien d'une
atteinte la protection des donnes.
Art. 4 Principes
1
Toute collecte de donnes personnelles ne peut tre entreprise que dune manire licite.
Leur traitement doit tre effectu conformment aux principes de la bonne foi et de la
proportionnalit.
Les donnes personnelles ne doivent tre traites que dans le but qui est indiqu lors de leur collecte,
qui est prvu par une loi ou qui ressort des circonstances.
La loi sur la protection des donnes donne aux personnes concernes la possibilit d'agir en justice art.
15 LPD bas sur lart. 28 ss du CC.
Directive europenne
Au niveau europen la directive 95/46/CE du 24 octobre 1995 relative la protection des personnes
physiques lgard du traitement des donnes caractre personnel donne les standards minimaux ne
matire de constitution de fichiers et de traitement de donnes. Lart. 10 de cette directive impose que
le titulaire connaisse la finalit de la collecte et lidentit du contrleur.
En France. La loi informatiques et liberts a insr dans le Code pnal franais linfraction des
atteintes au droit de la personne rsultant des fichiers ou des traitements informatiques. Cette loi datant
de 1978 a t revue en 2004 en introduisant 14 nouveaux articles durcissant les peines concernant les
donns caractre personnel.
Exemple des Etats-Unis
Les Etats-Unis tant le premier pays gnrateur du spam, sest dot dun texte de loi spcifique
concernant le spam, permettant de poursuivre les spammers, le CAN SPAM Act du 1er janvier 2004.
La collecte des adresses sur des sites web est interdite et sont prohibs les programmes qui gnrent
des adresses en combinant alatoirement des lettres et des chiffres.
Le spam pose aussi un problme du point de vue de la concurrence dloyale du fait que le spam soit
utilis dans un but publicitaire.
Spam, publicit et concurrence dloyale
La publicit sur l'internet ne dispose pas d'un cadre lgal spcifique. Elle se rfre au droit de la
publicit en gnral. En novembre 2001, la Commission suisse pour la loyaut avait rendu un avis
relatif au spamming, le considrant comme une mthode de vente particulirement agressive.
Lutilisation dune telle mthode vu sous langle de la publicit doit respecter quelques aspects
importants que ce soit dans le cadre du commerce classique aussi bien que dans celui du
e-commerce.
58 Site: www.edsb.ch/f/doku/merkblaetter/spam.htm
90
Cela concerne:
la protection des jeunes internautes;
le respect de la personne humaine;
le respect d'une publicit loyale, vridique et honnte;
le respect de lintimit juridique des internautes;
le confort de la navigation.
Le lgislateur suisse dans sa loi fdrale contre la concurrence dloyale stipule larticle 3, lettre b, c,
d,: Agit de faon dloyale celui qui, notamment:
b. Donne des indications inexactes ou fallacieuses sur lui-mme, son entreprise, sa raison de
commerce, ses marchandises, ses uvres, ses prestations, ses prix, ses stocks, ses mthodes de vente
ou ses affaires ou qui, par de telles allgations, avantage des tiers par rapport leurs concurrents;
c. Porte ou utilise des titres ou des dnominations professionnelles inexacts, qui sont de nature faire
croire des distinctions ou capacits particulires;
d. Prend des mesures qui sont de nature faire natre une confusion avec les marchandises, les
uvres, les prestations ou les affaires dautrui.
Mais cest notamment dans sa lettre h quil touche le cur de la problmatique du spam en stipulant
que:
Agit de faon dloyale celui qui, notamment:
h. Entrave la libert de dcision de la clientle en usant de mthodes de vente particulirement

agressives
Utilis dans un but commercial avec lintensit de lenvoi observ, lutilisation du spam peut tomber
sur le coup de cet article.
Spam et intention criminelle
Lorsque les spammeurs agissent avec une intention criminelle, cette dernire peut tre place sur le
plan du droit pnal. Mme si les messages peuvent revtir un caractre commercial, le contenu peut
faire objet de poursuites.
Spam et pornographie
La majorit des messages de spams invitent visiter des sites pornographiques. Cette action est
rprime par lart. 197 du CPS (Code pnal suisse), notamment le fait de rendre accessible ce genre de
contenu des personnes qui nen veulent pas (art.197, al.2) et aux personnes qui ont moins de 16 ans
(art.197, al.1).
Spam, escroquerie, virus et vente de produits prohibs
Lescroquerie est rprime par lart. 146 du Code pnal suisse. Il sagit du fait dobtenir de la victime
et dans un dessein denrichissement un avantage pcuniaire. Ce raisonnement peut tout fait tre
appliqu dans le cas de la lettre nigrienne.
Le spam est parfois le meilleur moyen dintroduire des virus dans les machines destinataires. En droit
suisse lintroduction de virus serait considre comme une dtrioration de donnes et rprim ainsi
par lart.144bis du Code pnal, pour autant que ce virus ait provoqu des dgts (modification,
effacement ou mise hors usage des donnes) chez linternaute touch.
Le fait dutiliser les spam dans un but de vente des mdicaments est aussi une pratique prohibe par la
loi suisse. La loi sur les mdicaments et les dispositifs mdicaux (LPTh) et son art. 32 prohibe la
publicit pouvant inciter un usage excessif, abusif ou inappropri de mdicaments ou la publicit
pour les mdicaments qui ne peuvent tre mis sur le march en Suisse et qui ne peuvent tre remis que
sur ordonnance.
91
IV.1.4.3
Rgulation du Spam
Deux visions s'opposent pour la rgulation du spam: l'opt-in et l'opt-out.

L'opt-in, galement appele permission marketing, est la plus respectueuse de l'internaute dans la
mesure o elle consiste ne lui envoyer des publicits cibles que s'il y a explicitement consenti. Le
choix de recevoir des messages publicitaires peut tre propos sous forme de case cocher, dcocher
ou encore tre induit. Dans ce dernier cas, le visiteur doit tre clairement prvenu du caractre
commercial et des consquences exactes de son inscription.
La notion d'opt-out fait rfrence la dsinscription et consacre l'existence d'un droit d'opposition a
posteriori de recevoir des courriers lectroniques. A cet effet, chaque message publicitaire envoy doit
offrir la possibilit de se dsinscrire du fichier. Les fichiers opt-out peuvent aussi bien tre constitus
de manire lgale (par exemple d'un achat d'un fichier opt-in) qu'issus d'une collecte sauvage.
Le lgislateur suisse et amricain ont opts pour la solution de opt-out tandis que la dmarche
communautaire europenne penche plutt vers la solution de opt-in se basant la directive
2002/58/CE concernant le traitement des donnes caractre personnel et la protection de la vie
prive dans le secteur des communications lectroniques (directive vie prive et communications
lectroniques.
Etant donn que le spammeur agit souvent sous le couvert de l'anonymat ou depuis l'tranger, la
poursuite en justice se rvle onreuse et complique et implique la plupart du temps le recours un
avocat.
IV.1.4.4
Rponses techniques au phnomne du spam
Techniques bases sur la limitation des ressources

En limitant les ressources comme le nombre de destinataires par message, le nombre de messages par
source et par unit de temps pourrait limiter limpact du spam.
Liste noire
Le principe est de qualifier le courrier en fonction de la rputation du serveur qui la mis.
La rputation dun serveur de courrier qui a mis du spam rcemment est entache, dans la mesure o
lon suppose quil pourrait nouveau en mettre. Le serveur metteur est identifi par son adresse IP.
Filtre base de mots cls
Il sagit de filtrer les messages selon certains mots cls. Cette technique est insuffisante, car il est trs
ais pour un spammeur davoir un contenu de messages qui contourne les filtres mots cls.
Filtre empreinte
Dans la mesure ou le spam consiste en lenvoi massif de messages tous identiques, un filtre
empreinte calcule une signature du contenu dun courriel et le compare une base de donnes
dempreinte de messages considrs comme du spam.
Politique de lutte contre les logiciels malveillants
De plus en plus de logiciels malveillants (virus, chevaux de Troie, bot,...) installent un serveur de
messagerie sur la machine quils ont compromise. Cette fonctionnalit des outils malveillants est
destine faciliter la propagation du spam. Lutter contre le spam, passe aussi par la chasse aux
logiciels malveillants.
Lutilisation des logiciels anti-spams au niveau des serveurs de messagerie contribuent limiter la
propagation du spam en le bloquant, ne sont pas toujours efficaces. En effet, les messages qui ne sont
pas des spams ne parviennent pas aux destinataires (notion de faux ngatifs) ou encore, les messages
rellement de spam sont considrs comme normaux (notion de des faux positifs).
92
De plus, le comportement de linternaute peut avoir aussi un rle important dans la lutte anti-spam.
Ainsi par exemple, ladoption dun comportement averti de la messagerie (sensibilisation au risque
dusurpation didentit, contrle pralable de lusage qui sera fait de son adresse lectronique avant de
le confier un formulaire en ligne, lutilisation de plusieurs adresses lectroniques, viter certains
sites, ne pas ouvrir de message dont on ne connat pas lorigine, supprimer des messages de spam sans
les lire, ne jamais rpondre, ne jamais cliquer sur les liens hypertextes que ces messages
comportent) contribue limiter lampleur du spam.
IV.1.4.5
Complmentarit technico-juridique
Dans la mesure o le volet juridique a un impact limit sur la pratique du spam, une solution dordre
technologique simpose. Seule la complmentarit des approches technico-juridiques permet de lutter
contre le phnomne du spam. Un spammeur de moins, dcourag par une rgle de droit ou empch
efficacement par une solution technique, prsente toujours des millions et des millions de spams non
envoys.
IV.1.5
Rcapitulatif des principaux problmes juridiques lis au cyber espace59
IV.1.5.1
Statut juridique de l'internet marchand
Le statut juridique de linternet marchand concerne la dfinition des statuts des outils utiliss dans le
cadre de lutilisation des technologies de linformation.
Pour ce qui concerne la messagerie lectronique: des questions se posent concernant le contenu des
messages, ladresse de messagerie, la problmatique de lidentification travers cette adresse:
usurpation didentit, dun signe distinctif, dune raison sociale dune entreprise. Cela relve du droit
civil des pays.
Pour ce qui concerne un site web: la notion duvre, sa qualification audiovisuelle ou non, soulvent
des problmes lis au droit dauteur. Un lien hypertexte renvoie au problme de son contenu, de la
responsabilit, de la qualification protge ou non et soulve galement des problmes lis aux
moteurs de recherche.
IV.1.5.2
Cybercontrat
Raliser des contrats dans le cyberespace ne pose pas uniquement un problme dordre juridique. En
effet, cela ncessite entre autre, la mise en place de mcanismes techniques qui permettent de le
raliser (outils et procds utiliss (globalit, incorporalit, dlocalisation)).
Dun point de vue juridique, retenons:
loffre; qualification ( distance ou pas), acceptation;
la publicit et le dmarchage, le spam etc.
lexcution de contrat;
lacceptation de loffre on line et lexpression informatique de lacceptation;
le droit de rtractation;
la dtermination de la loi applicable ainsi que des juridictions comptentes
Diverses directives europennes y sont relatives, savoir:
le Rglement de CE 44/2001 du 22 dcembre 2000 concernant la comptence juridictionnelle,

la reconnaissance des dcisions en matire civile et commerciale);
la Directive CE 2000/31 sur le commerce lectronique;
59 Ce point t labor en collaboration avec Igli Taschi, assistant diplm lEcole des HEC de lUniversit de Lausanne.
93
La Directive 98/34/CE qui prvoit une procdure dinformation dans le secteur des normes et
des rglementations techniques;
La Directive 97/7/CE du Parlement europen et du Conseil, du 20 mai 1997, concernant la

protection des consommateurs en matire de contrats distance
De plus, il faut tenir compte de la loi de CNUDCI sur le commerce lectronique 1996, des
declarations on the global Electronic Commerce 1998, du Joint EU-US statement on Electronic
commerce
IV.1.5.3
Document et signature lectronique
Le document lectronique sign lectroniquement soulve le problme de sa valeur. Lobjectif tant de

pouvoir garantir la valeur juridique de la signature appose sur un document afin didentifier lauteur
et de constater la volont dapposer la signature et donc dassumer la responsabilit du contenu du
document.
Rappelons la Directive CE 93/1999 du 13 dcembre 1999 relative une cadre communautaire pour les
signatures lectroniques et en Italie, la loi du 15 mars 1997 n 59, aux USA, Electronic Signatures in
Global et National Commerce Act du 30 juin 2000 ainsi quen Grande-Bretagne par exemple
Electronic Communication Act du 25 mai 2000.
IV.1.5.4
Moyens de paiement lectronique
Les moyens de paiement lectronique, cartes de crdit, chques ou monnaie lectronique peuvent
induire une utilisation abusive de la part de tiers qui arrivent intercepter linformation associe, lors
par exemple de la communication entre fournisseurs et destinataires de service.
La Directive CE 2000/46 sur la monnaie lectronique
IV.1.5.5
Protection des noms de domaine
Un nom de domaine constitue un nouveau bien incorporel qui peut possder une valeur commerciale
considrable. La problmatique associe au nom de domaine relve des points suivants:
Marques et noms de domaine
Signes distinctifs et noms de domaine
Nom commerciaux et noms de domaine
A part les lois nationales sur le marques, les noms, les brevets, retenons aux Etats-Unis la loi
Anticybersquatting Consumer Protection Act (ACPA)
IV.1.5.6
Proprit intellectuelle
La proprit intellectuelle sur internet relve des problmatiques lies aux droits dauteur, aux maques
et aux brevets. Retenons par exemple: le trait de lOMPI sur les droits de lauteur, le trait de lOMPI
sur les interprtations, excutions et phonogrammes, au niveau europen le livre vert sur le droit
dauteur et les droits connexes dans la socit de linformation de 1995 ainsi que la directive du
parlement europen et du conseil sur lharmonisation de certains aspects du droit dauteur et du droit
connexe dans la socit de linformation.
IV.1.5.7
Protection de lintimit numrique
Dans le contexte de la protection de lintimit numrique, le spamming est prohib (Cf. Directive
EU 97/7 sur la protection des consommateurs dans les contrats conclus distance, Directive CE 97/66
sur la protection des personnes lgard des donnes personnelles dans le domaine des tlcommunications interdit le direct marketing du spam).
94
IV.1.5.8
Autres questions dordre juridique
Sans vouloir tre exhaustif, de nombreuses autres questions juridiques doivent tre prises en
considration lors que lon sintresse la dfinition dun cadre lgal appropri lusage de linternet.
Parmi elles retenons toutes celles qui touchent:
la notion dantitrust (Cf. les directives amricaines Antitrust guidelines for collaboration
among competitors davril 2000);
la responsabilit des fournisseurs et intermdiaires techniques (quelles responsabilits pour

le fournisseur concernant les activits de linternaute, les activits criminelles, la pedopornographie etc.);
au secret des correspondances.
Chapitre IV.2 Perspectives

IV.2.1
Eduquer former sensibiliser lensemble des acteurs la cyberscurit
Il est important de sensibiliser lensemble des acteurs du monde de linternet aux enjeux de la matrise
de la scurit et aux mesures lmentaires qui si elles sont clairement nonces, dfinies et mise en
uvre intelligemment renforceront la confiance des utilisateurs envers les technologies de traitement
de linformation et de la communication dont fait partie l'internet. Faisons de ce dernier, un patrimoine
ouvert chacun et non au bnfice exclusif de la criminalit.
La diffusion dune certaine culture et approche pluridisciplinaire de la scurit et de la matrise du
risque informatique dorigine criminel est obligatoire. Possder une vision stratgique de ces
problmatiques est devenue une ncessit pour les organisations comme pour les Etats.
Par ailleurs, il galement ncessaire d'duquer, d'informer et former aux technologies de traitement de
linformation et des communications et non uniquement la scurit et aux mesures de dissuasion. La
sensibilisation aux problmatiques de scurit ne doit pas se limiter la promotion dune certaine
culture de la scurit. En amont de la culture scuritaire, il doit y avoir une culture de l'informatique. Il
faut aussi donner les moyens aux diffrents acteurs dapprendre grer les risques technologique,
oprationnel et informationnel qui les menacent en fonction de lusage fait des nouvelles technologies.
La dimension virtuelle de linternet, son ct ludique, peut occulter notamment pour un public jeune,
ou non initi linformatique la capacit de nuisance de ces attaques. Elle est considrable et peut
savrer dramatique tant pour les organisations (entreprise, administration, collectivit), que les
individus qui en sont victimes. Toutefois, la matrise des risques technologiques ne se rsume pas la
chasse aux hackers, ni la mise en place de barrire technologiques. Les dgts les plus graves ont
parfois pour origine une simple ngligence, qui peut relever de lincomptence, des dfaillances lors
de la conception ou de la mise en uvre des technologies, des pouvoirs excessifs accords aux
administrateurs systmes, dune gestion dfectueuse, etc.
IV.2.2
Pour une nouvelle approche de la scurit
La prise de conscience de la fragilit du monde numrique et de la non matrise totale non seulement
des technologies et infrastructures informatiques et tlcoms mais aussi des solutions de scurit commercialises, doit soulever un questionnement srieux quand la dpendance vis--vis dune technologie difficilement matrisable. La prise en otage des donnes par des solutions informatiques est une
ralit quil ne faut pas occulter.
Il est illusoire de penser que des solutions dordre technologiques ou juridiques viendront suppler les
erreurs de conception et de gestion de linformatique et des tlcoms, que cela soit au niveau
stratgique, tactique ou oprationnel. De plus, les mesures classiques de scurit ne pourront protger
correctement les ressources sensibles ou critiques des personnes, des organisations et des Etats,
uniquement si elles sont ralises de manire transparente, vrifiables et contrlable.
Perspectives
95
Mettre en place une dmarche complte de scurit qui intgre des phases de prvention, de
protection, de dfense et de raction, passe par ladoption de moyens humains, juridiques, technologiques, conomiques permettant de les raliser.
IV.2.3
Proprits dune politique de scurit
De manire gnrale, une bonne politique de scurit rsulte dune analyse des risques et est dfinie de
manire complte et cohrente, afin de rpondre prcisment aux besoins de scurit dans un contexte
donn.
La dfinition de la politique doit tre:
simple et comprhensible;
adoptable par un personnel pralablement sensibilis, voire form;
aisment ralisable;
de maintenance facile;
vrifiable et contrlable.
Une politique de scurit ne doit pas tre statique. Elle doit tre priodiquement value, optimise et
adapte la dynamique du contexte dans lequel elle sinscrit. Elle doit tre configurable et
personnalisable selon des profils dutilisateurs, selon les flux, en fonction du contexte et de la
localisation des acteurs en jeu. Une politique de scurit varie en fonction de lespace et du temps.
Une politique de scurit peut tre structure en diffrentes politiques de contrle daccs, de
protection, de gestion de crise, de suivi et doptimisation, dassurance.
IV.2.4
Identifier les ressources sensibles afin de les protger
La ralisation dun inventaire complet et prcis de toutes les ressources et acteurs de la chane
scuritaire, contribue la connaissance des environnements ainsi qu leur protection. Lidentification
des valeurs et la classification des ressources pour dterminer leur degr de sensibilit (ou degr de
criticit) permet de diffrencier ce qui doit tre imprativement trescuris. Ce dernier indique leur
importance en cas de perte, daltration ou de divulgation des donnes. Plus les consquences sont
graves pour lorganisation, plus la ressource est sensible et possde de la valeur.
Chaque ressource peut tre perue comme une cible de scurit pour laquelle, il faut identifier les
risques et leurs scnarios possibles (erreur dutilisation, de paramtrage, accidents, malveillance,
sabotage, attaque logique, etc.), les mcanismes de scurit inhrents et applicables (configuration,
paramtres, etc.), ainsi que les contraintes techniques et organisationnelles afin de dterminer la
faisabilit technique et organisationnelle de la politique de scurit pour chaque cible.
IV.2.5
Objectifs, mission et principes fondamentaux de la cyberscurit
Les objectifs de la cyberscurit sont:

la confidentialit (aucun accs illicite): maintien du secret de linformation et accs aux seules
entits autorises;
lintgrit et lexactitude (aucune falsification, aucune erreur): maintien intgral et sans
altration des donnes et programmes;
la disponibilit (aucun retard): maintien de laccessibilit en continu sans interruption, ni
dgradation;
la prennit (aucune destruction): les donnes et logiciels existent et sont conservs le temps
ncessaire;
la non-rpudiation et limputabilit (aucune contestation): garantie de lorigine, de la source,
de la destination, de la vracit dune action;
le respect de lintimit numrique;
lauthentification (aucun doute sur lidentification dune ressource).
96
Perspectives
Les activits dune mission peuvent se dcliner selon les axes suivants:
concevoir un plan de scurit en fonction d'une analyse pralable des risques;
dfinir le primtre de vulnrabilit li lusage des nouvelles technologies;
offrir de manire continue un niveau de protection adapt aux risques encourus;
mettre en uvre et valider lorganisation, les mesures, les outils et les procdures de scurit;
effectuer un suivi, auditer, contrler, faire voluer le systme d'information et sa scurit;
optimiser la performance du systme dinformation en fonction du niveau de scurit requis;
aligner les besoins avec les risques et les cots.
Les principes fondamentaux auxquels doit se rfrer toute action entreprise au nom de la ralisation de
la cyberscurit sont les suivants:
principe de vocabulaire. Ncessit de saccorder sur un langage commun de dfinition de la

scurit;
principe de cohrence. La cyberscurit rsulte de lintgration harmonieuse des outils,

mcanismes et procdures lis la prvention, la dtection, la protection et la correction
des sinistres relatifs des fautes, la malveillance ou des lments naturels;
principe de volont directoriale. Il est de la responsabilit des dirigeants de librer les moyens
ncessaires la mise en uvre et la gestion dun plan de cyberscurit;
principe financier. Le cot de la scurit, des mesures de contrle, doit tre en rapport avec le
risque;
principe de simplicit, duniversalit et de discrtion. Les mesures de scurit doivent tre

simples, souples, comprhensibles pour les internautes. Les solutions et mesures de scurit ne
doivent pas tre provocantes afin de ne pas tenter un attaquant potentiel;
principe de dynamicit et de continuum. La scurit doit tre dynamique pour intgrer la

dimension temporelle de la vie des systmes et de lvolution des besoins et des risques. Les
systmes doivent tre oprationnels de manire permanente;
principe dvaluation, de contrle et dadaptation afin dassurer ladquation du niveau de

scurit aux besoins rels.
IV.2.6
Facteurs de russite
IV.2.6.1
Lignes directrices en matire de stratgie
Les conditions de succs de la ralisation dune stratgie scuritaire sont:
une volont stratgique
une politique de scurit simple, prcise, comprhensible et applicable;
la publication de la politique de scurit;
une gestion centralise de la scurit et une certaine automatisation des processus de scurit;
un niveau de confiance et dintgrit des personnes, des systmes, des outils impliqus;
des procdures denregistrement, de surveillance et daudit;
la volont dviter de mettre les ressources en situation dangereuse;
un cadre lgal applicable au niveau national et international;
le respect des contraintes lgales.

Perspectives
97
IV.2.6.2
Lignes directrices lusage des internautes
Voici quelques lignes directrices lintention des internautes qui constituent des mesures simples,
conomiques et relativement efficaces, que si elles sont adoptes par les utilisateurs, contribueront
renforcer la scurit de leur ressources et e-activits60:
Lordinateur lorsquil nest pas utilis doit tre teint;
Linternaute ne doit pas ouvrir les mails dont il ne connat pas la provenance;
Linternaute doit avoir un antivirus mis jour rgulirement afin dassurer une scurit
minimale;
Linternaute ne doit pas divulguer ses mots de passe et il doit les changer rgulirement;
Linternaute ne doit pas divulguer de donnes personnelles le concernant lui ou les autres sur
l'internet;
Linternaute ne doit pas permettre une autre personne dutiliser son compte pour surfer sur
l'internet;
Linternaute doit utiliser les systmes de chiffrement lorsquil veut protger ses donnes;
Linternaute ne doit pas aller sur des sites caractre choquant, tlcharger des programmes
ou fichiers illgaux ou encore les faire circuler;
Ce que linternaute ne fait pas dans la vie relle, il ne doit pas le faire sur le web sous peine
dtre punissable (diffamation, escroquerie, etc.);
Linternaute ne doit pas se sentir plus protg quil ne lest rellement;
Linternaute doit garder prsent lesprit que derrire chaque activit sur linternet se cache
un individu qui, limage de la vie courante, nest pas forcment honnte.
IV.2.6.3
Lignes directrices pour scuriser un systme de messagerie
Voici quelques lignes directives lmentaires qui contribuent protger un systme de messagerie.
Du ct du serveur:
implanter un logiciel anti-virus;
filtrer les messages sur certains critres paramtrables (taille, fichiers attachs, etc.);
configurer correctement le serveur;
effectuer une gestion efficace pour en assurer la disponibilit;
viter les comptes de maintenance par dfaut;
assurer une protection physique du serveur.
Du ct de lutilisateur:
installer, grer et imposer lusage de logiciels anti-virus;
dfinir des rgles dutilisation de la messagerie (ne pas ouvrir des fichiers excutables, etc.);
sensibiliser suffisamment les utilisateurs aux risques encourus;
faire sengager les utilisateurs sur un usage appropri des ressources informatiques;
configurer correctement le poste de travail de lutilisateur et son application de messagerie;
implanter des versions de messagerie scurises;
utiliser des procdures de chiffrement pour les messages confidentiels et raliser lauthentification des sources.
60 Issues du travail de mmoire de DEA en Droit, Criminalit et Scurit des nouvelles technologies. Sentiment de scurit
sur Internet Anne-Sophie Perron, sous la direction de S. Ghernaouti-Hlie Lausanne 2005.
98
Perspectives
IV.2.6.4
Lignes directrices pour protger un environnement internet-intranet
Voici quelques lignes directives lmentaires qui contribuent protger un environnement internetintranet, via un systme pare-feu (firewall):
un firewall doit tre protg et scuris contre des accs non autoriss (notion de systme de
confiance possdant un systme dexploitation scuris);
tous les trafics (entrants et sortants) doivent passer par le firewall;
seul le trafic dfini par la politique de scurit comme tant valide et autoris peut traverser le
firewall;
configurer le firewall de telle sorte que tout ce qui nest pas explicitement autoris est interdit;
un firewall ne peut galement tre le serveur Web de lentreprise;
si les donnes du rseau interne sont vraiment sensibles, il faut alors accder l'internet par
des machines dtaches du rseau interne;
un firewall ne peut pas protger lenvironnement scuriser contre des attaques ou des accs
illicites qui ne passent pas par lui. Il nest daucune efficacit en ce qui concerne des dlits
perptrs lintrieur de lentreprise;
Un firewall nest pas un anti-virus. Il faut donc le protger de manire complmentaire contre des
infections virales. Dans labsolu, un anti-virus devrait rsider sur tous les systmes offrant un service
de connectivit (serveurs de messagerie, serveur de communication, etc.) et sur toutes les machines
supportant des donnes (serveur darchivage, de bases de donnes, etc.), ainsi que sur les postes de
travail des utilisateurs.
Perspectives
99
SECTION V
ANNEXES
Annexe A Glossaire des principaux termes de scurit61

Accident (accident)
Elment fortuit, imprvisible portant atteinte une entit.
Administrateur de la scurit (security administrator)

Personne responsable de la dfinition ou de la ralisation de tout ou partie dune politique de scurit.
Algorithme cryptographique (cryptographic algorithm)

Algorithme utilis pour le chiffrement des donnes afin de les rendre confidentielles, il est bas sur
une fonction mathmatique et une cl de chiffrement.
Algorithme de cryptographie asymtrique (asymmetric cryptographic algorithm)

Algorithme bas sur lusage dune bi-cl, lune servant au chiffrement des donnes, lautre au
dchiffrement.
Analyse de risque (risk analysis), valuation des risques (risk assessment)

Processus didentification et dvaluation des risques (estimation de leur probabilit d'occurrence et de
leurs impacts).
Analyse du trafic (traffic analysis)

Observation et tude des flux dinformation entre entits source et destination (prsence, absence,
volume, direction, frquence, etc.).
Anonymat (anonymity)
Caractristique dune entit dont on ignore le nom, ou qui ne fait pas connatre son nom, proprit
permettant une entit dutiliser des ressources sans tre identifie (incognito). Il devrait tre possible
de respecter la volont de certains utilisateurs qui peuvent avoir une raison valable de ne pas rvler
leur identit lorsquils font des dclarations sur l'internet afin de ne pas restreindre de manire
excessive leur libert dexpression, favoriser l'expression libre d'informations et d'ides et d'assurer
une protection contre les surveillances en ligne non autorise par des entits publiques ou prives. En
revanche, les instances de justice et de police devraient avoir la possibilit dobtenir des informations
sur les personnes responsables dactivits illicites, dans les limites fixes par le droit national, la
Convention europenne des Droits de lHomme, et les autres traits internationaux comme la
Convention sur la cybercriminalit.
Antivirus
Programme de dtection de virus.
Attaque (attack)
Offensive, agression, action contre des personnes ou des biens leur portant atteinte. Il existe diffrents
types dattaques informatiques.
61 Issu et adapt du glossaire du livre Scurit informatique et rseaux, cours et exercices corrigs; S. Ghernaouti-Hlie,
Dunod 2006.
Annexe A
103
Attaque active (active attack)

Attaque qui modifie les ressources cibles par lattaque (atteinte aux critres dintgrit, disponibilit,
confidentialit).
Attaque passive (passive attack)

Attaque qui naltre pas sa cible (coute passive, atteinte la confidentialit).
Atteinte (breach)
Effet ou dgradation rsultant dune agression, dune attaque qui peut avoir des impacts tangibles
(altration physique et matrielle, dysfonctionnement logique, dsorganisation des procdures...); des
impacts logiques (non-disponibilit, perte dintgrit, perte de confidentialit de linformation); des
impacts stratgiques (notamment sur le plan financier, frais supplmentaires dhbergement, de
transport, de tlcommunications, dintervention dexperts, dachat/location de matriel et progiciels,
de personnels, et de sous-traitance, pertes dexploitation (pertes de marge, de trsorerie, de clientle),
de fonds ou de biens, etc.).
Audit de scurit (security audit)

Examen mthodique de toutes les composantes et acteurs de la scurit, politique, mesures, solutions,
procdures et moyens mis en uvre par une organisation, pour scuriser son environnement, effectu
des fins de contrle de conformit, dvaluation de ladquation des moyens (organisationnel,
technique, humain, financier) investis au regard des risques encourus, doptimisation, de rationalit et
de performance.
Auditabilit (auditability)
Proprit pour un environnement, de permettre lenregistrement des actions, dvnements qui
occurrent afin de laisser une trace exploitable des fins danalyse et daudit.
Auditeur (auditor)
Personne ralisant un audit.
Authenticit (authenticity)
Caractre de ce qui est authentique. Capacit permettant d'attester, de certifier conforme ... . Souvent
associ au fait quune information, ou quun vnement nait pas t altr, modifi, contrefait et quil
ait t produit par l'entit qui revendique les avoir raliss.
Authentification (authentication)
Action dauthentifier. L'authentification sert confirmer (ou non) quune action, dclaration,
information est authentique (originale, vraie). Processus mis en uvre notamment pour vrifier
l'identit d'une entit et sassurer que lidentit fournie correspond lidentit de cette entit
pralablement enregistre.
Autorisation (authorization)
Action dautoriser, de permettre, dhabiliter. Fait de recevoir la permission raliser certaines actions,
daccorder des droits, dobtenir le droit daccs un service, des informations, un systme, etc.
Autorit (authority)
104
Annexe A
Organe du pouvoir. Fait rfrence le plus souvent une entit responsable de l'mission des certificats
numriques.
Autorit de certification (CA, Certification Authority)

Tierce partie de confiance pour la gnration, la signature et la publication des certificats de cls
publiques.
Besoin de scurit (security need)

Pour un environnement protger, identification et expression des niveaux de disponibilit, d'intgrit
et de confidentialit associs aux ressources et valeurs faisant lobjet de la protection.
Bien, valeur (asset)

Entit qui a un prix et qui reprsente pour celui qui la possde un capital, un patrimoine (notion de
bien sensible). En matire de scurit il est important de dterminer les valeurs et de les classifier en
fonction de leur importance, afin de mettre en place les mesures de protection ncessaires et
suffisantes afin dviter de les perdre ou du moins de minimiser les impacts ngatifs conscutifs leur
perte ventuelle.
Bogue (bug)
Terme dorigine anglaise qui illustre une erreur de programmation. Par extension dfaut de conception
ou de ralisation se manifestant par des anomalies de fonctionnement (J. O. 19 fvrier 1984).
Bombe logique (logical bomb)

Programme malveillant qui sactive lors de la ralisation dvnements particuliers (date anniversaire
par exemple) pour porter atteinte au systme dans lequel il se trouve.
Certificat (certificate), certificat de cl publique (public-key certificate)

Ensemble des donnes mises par une autorit de certification (tiers de confiance) qui permet de
raliser des services de scurit (confidentialit, authentification, intgrit). Un certificat dit numrique
fait rfrence la mise en uvre du chiffrement cl public. En effet, dans un certificat se trouve
entre autres la valeur de la cl publique de son propritaire qui est atteste par le fait que le certificat
est sign par lautorit de certification mettrice.
Charte dutilisation (user charte)

Document tabli par une organisation prcisant les droits, les devoirs et la responsabilit de ses
employs au regard de lutilisation des ressources informatiques et tlcoms quelle met leur
disposition, sign par les parties concernes.
Cheval de Troie (Troyan horse)

Programme malveillant introduit subrepticement dans des systmes pour en prendre le contrle (vol de
temps processeur, altration, modification, destruction des donnes et programmes,
dysfonctionnements, coutes illicites, etc.).
Annexe A
105
Chiffrement, cryptage, encodage (encipherment, encryption)

Le chiffrement est une transformation cryptographique des donnes (cryptogramme) afin den assurer
la confidentialit. Cela consiste rendre les donnes incomprhensibles tous ceux qui ne
dtiendraient pas la cl de dchiffrement. Un texte en clair est chiffr laide dun algorithme et dune
cl de chiffrement, afin dobtenir un texte chiffr, qui pourra tre dchiffr laide dune cl de
dchiffrement correspondante (sauf dans le cas o le chiffrement est irrversible). Le dchiffrement
(decipherment, decryption) est lopration inverse au chiffrement.
Cl (key)
Cl de chiffrement ou de dchiffrement, il sagit gnralement dune valeur mathmatique fournie
un algorithme de chiffrement. Sauf sil sagit dune cl publique, une cl de chiffrement est grer
comme un secret. Ainsi, il faut protger un secret (la cl) qui permet de protger un autre secret
(linformation qui a t chiffre pour tre confidentielle).
Cl prive (private key)

Cl utilise dans les mcanismes de chiffrement asymtrique (ou chiffrement cl publique) qui
appartient une entit et qui doit tre secrte.
Cl publique (public key)

De manire gnrale, en cryptographie asymtrique, la cl publique dune entit doit tre rendue
publique aux interlocuteurs qui souhaitent lui envoyer des donnes chiffres afin quelle puisse les
dchiffrer avec sa cl prive correspondante.
Clef de session (Session key)

Cl secrte gnre via un systme de chiffrement asymtrique, par les correspondants lors de
ltablissement dune session de travail, dont la dure de vie est limite cette session, servant
chiffrer des gros volumes dinformations avec un algorithme de chiffrement symtrique.
Code (cipher)
Algorithme de chiffrement qui permet de transformer un texte clair en un texte chiffr.
Condensat, rsum, digest (digest)

Rsultat sous forme de chane de caractres, de lapplication dune fonction de hachage sur une suite
dinformation.
Confiance (trust)
Assurance de celui qui se fie quelquun, quelque chose (critre qualitatif, suggestif, trs relatif).
Confidentialit (confidentiality)
Maintien du secret des informations et des transactions. Caractre de ce qui est secret. Objectif de
scurit raliser afin de prvenir la divulgation non autorise dinformations des tiers qui doit
permettre leur protection contre des lectures, coutes, copies illicites dorigines intentionnelle ou
accidentelle durant leur stockage, traitement et transfert (notion de confidentialit de donnes (data
confidentiality)).
106
Annexe A
Conformit (compliance)
Caractre de ce qui est conforme, qui est en concordance, qui ressemble ..., conformit certaines
normes.
Contre-mesure (counter measure)

Fonction, mesure, procdure ou mcanisme ddi la scurit dun systme afin den rduire le
niveau de vulnrabilit et de contrer une menace avant quelle ne se ralise en action malveillante.
Contrle d'accs (access control)

Mcanisme permettant de prvenir de l'utilisation non approprie ou non autorise d'une ressource
(services, systmes, donnes, programmes).
Cookies
Fichiers envoys sur le poste de travail des internautes leur insu, lors de laccs certains sites web,
qui rcoltent des informations les concernant pour en principe, la personnalisation des services web
offerts.
Correctif de scurit (patch)

Rustine de scurit dun logiciel pour en supprimer une vulnrabilit qui a t identifie aprs son
installation.
Cryptanalyse (cryptanalysis)
La cryptanalyse comprend lensemble des moyens qui permet danalyser une information
pralablement chiffre, afin de la dchiffrer. Plus un systme de chiffrement est robuste, plus sa
cryptanalyse est difficile.
Cryptogramme (cryptogram, cyphertext)

Donnes ayant subi une transformation cryptographique, donnes chiffres, texte ou message chiffr.
Donnes obtenues par chiffrement.
Cryptographie (cryptography)
Application des mathmatiques permettant dcrire de linformation de manire la rendre
inintelligible ceux ne possdant pas les capacits de la dchiffrer. Voir Chiffrement.
Cryptographie cl publique (public key cryptography)

Systme de chiffrement asymtrique qui utilise un couple de cls appel bi-cl, compose dune cl
prive secrte et dune cl publique, publiable. Ces deux cls sont complmentaires et indissociables.
La relation mathmatique qui les relie ne permet pas de retrouver la cl secrte partir de la cl
publique.
Cryptopriode (cryptographic period)

Priode de temps pendant laquelle les cls d'un systme restent inchanges.
DDoS (Distributed Denial of Service)

Attaque par saturation (ou dni de service) lance simultanment partir de plusieurs systmes.
Annexe A
107
Dni de service (DoS, Denial of Service)

Attaque par saturation dune entit afin quelle seffondre et ne puisse plus raliser les services
attendus delle.
Disponibilit (availability)
Critre de scurit permettant que les ressources soient accessibles et utilisables selon les besoins (pas
de refus d'accs autoris aux systmes, services, donnes, infrastructures, etc.).
Dissuasion (dissuasion)
Mesure destine persuader par intimidation, un malveillant renoncer effectuer une attaque ou en
le persuadant que la valeur de l'enjeu qu'il convoite est infrieure celle des dommages que le systme
menac pourrait lui infliger.
Efficacit (efficiency)
Caractre de ce qui produit leffet attendu, des rsultats utiles. Proprit des mesures de scurit qui
assure leur pertinence et leur capacit rellement bien protger une ressource.
Empreinte numrique (digest) Voir Condensat

Ethique (ethics)
Qui concerne les principes de la morale. Ensemble de rgles morales adoptes par une communaut.
Fiabilit (reliabiliy)
Aptitude dun systme fonctionner sans incident pendant un temps donn.
Flaming
Technique qui consiste, pour affecter la crdibilit dun groupe de discussions, y envoyer un grand
nombre de messages peu pertinents.
Flooding
Type de moyen dintrusion dans des systmes et qui est bas sur le cassage de mots de passe des
utilisateurs.
Floudeur (flooder)
Programme malveillant servant ralentir les communications entre un fournisseur d'accs et un
internaute ou dconnecter ce dernier.
Fonction de hachage (hash function)

Dans le contexte du chiffrement, cette fonction est qualifie galement de fonction digest. Elle permet
de gnrer, partir de donnes qui lui sont fournies en entre, leur rsum (sorte dempreinte
numrique (digest)), plus court que le message original et incomprhensible. Ce rsum peut tre
ensuite chiffr avec la cl prive de lmetteur et associe au message transmettre. Sur rception du
message et de son empreinte, le destinataire dchiffre cette dernire avec la cl publique de lmetteur
puis, recalcule partir du message reu avec la mme fonction hash, lempreinte et la compare ensuite
avec celle reue. Si le rsultat est identique, le destinataire a ainsi vrifi lidentit de lmetteur et est
assur de lintgrit du message. En effet, si le message est altr, mme lgrement, son empreinte est
alors considrablement modifie.
108
Annexe A
Fonction de hachage sens unique (one-way hash function)

Fonction permettant de calculer l'empreinte de donnes, mais pas d'engendrer des donnes qui ont une
empreinte particulire. Cette fonction ne doit pas produire des collisions, c'est--dire quune mme
empreinte puisse tre gnre partir de diffrents messages.
Gravit de l'impact (impact gravity)

Apprciation du niveau de gravit dun incident, pondr par sa frquence d'apparition. Il est
important de pouvoir quantifier ce critre dimpact afin didentifier au mieux les impratifs de scurit
et les degrs durgence de la prise en considration de ces impratifs (exemple de quantification:
impact de gravit insignifiante: (0) sans gravit, (1) peu grave, (3) trs grave, (4) extrmement grave).
Hacker, hackeur (hacker)

Action consistant sintroduire de manire illicite dans un systme. Personne qui quelle que soit sa
motivation, pntre sans autorisation et de manire illgale, dans un systme appartenant un tiers.
Hacking
Ensemble des oprations permettant une intrusion dans un systme informatique
Identification (identification)
Processus qui permet de reconnatre une entit pralablement identifie.
Identit (identity)
Information qui permet de dsigner et de distinguer, si possible de manire unique et non ambigu,
une entit l'intrieur d'un domaine de nommage.
Impact (impact)
Exprime le niveau des consquences produites par une atteinte (impact financier, financial impact),
cot de latteinte; impact logique (logical impact) atteinte aux critres de disponibilit, d'intgrit, de
confidentialit, impact stratgique (strategical impact) prjudiciable la survie dune organisation;
impact tangible (tangible impact) atteinte que lon peut directement constater, rel.
Imputabilit (imputability)
Proprit qui permet dimputer de faon certaine une opration un utilisateur un moment donn.
Fait de pouvoir identifier un responsable en cas de violation du rglement.
Infrastructure de gestion cls (IGC ou PKI, Public Key Infrastructure)

Infrastructure de support la ralisation de la mise en uvre du chiffrement asymtrique ( cl
publique) offrant entre autres des services de gestion et de distribution de cls de chiffrement et de
certificats numriques.
Infrastructure de management des privilges (PMI, Privilege Management infrastructure)

Infrastructure capable de supporter la gestion des privilges, permissions ou habilitations.
Annexe A
109
Ingnierie sociale (social engeneering)

Techniques, procdures et moyens utiliss par des malveillants profitant le plus souvent de la crdulit
des utilisateurs, pour entre autres, soutirer leurs mots de passe et leurs paramtres de connexion,
usurper leur identit numrique, afin de leurrer les systmes et les pntrer en se faisant passer pour les
personnes habilites.
Innocuit (safety)
Qualit de ce qui nest pas nuisible.
Intgrit (integrity)
Etat dune chose qui est demeure intacte. Critre de scurit, qui sil est ralis, permet de sassurer
quune ressource na pas t altre (modifie ou dtruite) d'une faon non autorise.
Intranet (Intranet)
Rseau interne, rseau priv une organisation, utilisant les technologies de l'internet et gnralement
isol de l'internet par des systmes firewall.
IPSec (Internet Protocol Security)

Version du protocole IP qui offre des services de scurit. IPSec permet de crer un canal logique de
communication (tunnel IP), au travers de linternet public, entre deux correspondants. Les extrmits
du tunnel sont authentifies et les donnes qui y transitent peuvent tre chiffres (notion de canal
chiffr ou de rseau virtuel).
IPv6 (Internet Protocole version 6)

Evolution de la version 4 du protocole IP, qui entre autres, intgre en mode natif des mcanismes
permettant de raliser des services de scurit (authentification des entits source et destination,
confidentialit des donnes transmises).
Logiciel espion (spyware)

Programme qui envoie un malveillant des informations sensibles depuis l'ordinateur compromis.
Logiciel malveillant (malware)

Terme gnrique dsignant un programme de type virus, ver, cheval de Troie, etc. ou toute autre forme
de logiciel d'attaque qui agit de manire plus ou moins autonome.
Malveillance (maleovolence)
Actions caractre hostile pouvant porter atteinte aux ressources dune organisation qui peuvent tre
commises directement ou indirectement par des personnes internes ou externes celle-ci (vol de
matriels, de donnes, divulgation dinformations confidentielles, intrusions illicites, etc.).
Management des cls (key management)

Gestion des cls de chiffrement, gnration, distribution, archivage, destructions des cls en fonction
de la politique de scurit.
110
Annexe A
Management du risque, gestion des risques (risk management)

Processus continu d'valuation des risques encourus par une organisation afin de les matriser, de les
rduire un niveau acceptable. Permet de dterminer la politique de scurit la plus adapte la
protection des valeurs de lorganisation.
Mascarade (masquerade)
Type dattaque base sur le leurre des systmes.
Menace (threat)
Signe, indice qui laisse prvoir un danger. Action ou vnement susceptible de se produire, de se
transformer en agression contre un environnement ou des ressources et de porter prjudice leur
scurit.
Mesures de scurit (security measures)

Ensemble de moyens technologiques, organisationnels, juridiques, financiers, humains, procduraux et
d'actions permettant datteindre les objectifs de scurit fixs par le politique de scurit. Les mesures
sont gnralement classifies selon leur rle fonctionnel (ex.: mesure de prvention, de protection, de
dissuasion, etc.).
Mot de passe (password)

Information confidentielle que doit produire un ayant droit afin de prouver son identit lors dune
procdure dauthentification dans le cadre dune demande daccs une ressource.
Non-rpudiation (non-repudiation)
La capacit de prvenir le fait qu'un expditeur dmente plus tard avoir envoy un message ou effectu
une action. Assure la disponibilit de preuves qui peuvent tre prsentes un tiers et utilises pour
prouver que tel type d'vnement ou daction a eu lieu. Preuve qu'un message a t envoy par une
personne prcise un moment prcis, sans avoir t modifi depuis son envoi. Cette preuve devrait
pouvoir tre vrifie tout moment par un tiers. Sans la non-rpudiation, des metteurs et des
rcepteurs d'informations pourraient nier les avoir reues ou envoyes.
No-opt
Service dans lequel les clients n'ont pas le choix sur la faon dont les informations les concernant sont
utilises (possibilit datteinte la protection des donnes prives).
Notarisation (notarization)
Enregistrement de donnes des fins de preuve.
Panne (failure)
Dysfonctionnement, arrt de fonctionnement entranant lindisponibilit d'une ressource.
Pare-feu (firewall)
Matriel ou logiciel permettant de raliser lisolement, le masquage des ressources, le filtrage des
donnes, le contrle des flux, contribuant la protection des environnements informatiques privs
dune organisation connects linternet.
Annexe A
111
Perte de service essentiel (lost of essential services)

Indisponibilit ou dysfonctionnement total ou partiel de ressources ncessaires au bon fonctionnement
dun systme, dune organisation.
Pertes directes (direct losses)

Pertes identifiables directement conscutives un dfaut de scurit.
Pertes indirectes (indirect losses)

Pertes gnres indirectement par un dfaut de scurit.
Phreak
Utilisation illgale ou dtournement, aux dpens dun individu ou dun oprateur, des services de tlcommunication, par un phreaker (notion de phreaking).
Pirate, malveillant, attaquant (hacker)

Personne qui sintroduit illgalement dans des systmes afin de raliser des attaques passives ou
actives.
Plan de gestion de crise (emergency plan)

Ensemble des moyens techniques et organisationnels prvus pour rpondre optimalement un incident
grave affectant la bonne marche des oprations et prjudiciable lorganisation.
Plan de secours (backup plan)

Ensemble des moyens techniques et organisationnels prvus pour assurer la prennit des informations
et la continuit des activits quels que soient les problmes rencontrs.
Politique de scurit (security policy)

Rfrentiel de scurit tabli par une organisation, refltant sa stratgie de scurit et spcifiant les
moyens de la raliser.
Porte drobe (backdoor, trap door)

Fait le plus souvent rfrence un morceau de code intgr dans des logiciels permettant des entits
non autorises, la prise de contrle des systmes, la copie dinformation, etc. linsu de leur
propritaire.
Prvention (prevention)
Ensemble de mesures prises pour prvenir dun danger, dun risque, qui tend empcher la ralisation
de menaces, rduire la frquence des incidents dans une optique de protection.
Profil d'utilisateur (user profile)

Liste des attributs concernant un utilisateur contribuant effectuer la gestion du rseau et des systmes
auquel il se connecte (paramtres didentification, dauthentification, droits daccs, permissions et
toutes autres informations utiles, des fins de contrle daccs, de facturation, etc.).
112
Annexe A
Protection (protection)
Action, fait de protger. Se dit dune mesure de scurit qui contribue dtecter, neutraliser ou
diminuer les effets dune agression.
Protection des donnes prives et de lintimit numrique (privacy protection)

Mesures de protection qui permettent d'assurer que les informations, les activits des internautes, ne
soient pas rvles d'autres parties que celles voulues et ne soient pas utilises des fins contraires
celles consenties par leur propritaire. Cela fait rfrence au droit des individus de contrler les
informations les concernant qui peuvent tre collectes soit directement, soit indirectement par
observation de leur comportement de navigation et sites visits.
Rpudiation (repudiation)
Fait de nier davoir particip des changes, totalement ou en partie.
Rseau priv virtuel (RPV ou VPN, Virtual Private Network)

La notion de rseau priv virtuel fait rfrence lusage du protocole IPSec afin de crer un canal de
communication scuris usage priv, au travers dun rseau public non scuris. Souvent mis en
uvre par une organisation, pour connecter ses diffrents sites via l'internet afin dassurer la
confidentialit des donnes changes.
Rvocation (revocation)
Annonce qu'une cl prive a perdu son intgrit. Le certificat de la cl publique correspondante ne doit
plus tre utilis.
Risque (risk)
Danger plus ou moins probable manant d'une menace et pouvant se traduire en terme de probabilit
d'apparition et de niveau d'impact.
RSSI (Responsable de la Scurit du Systme d'Information)

Personne charge de la scurit se rapportant aux systmes d'information.
Sabotage
Action malveillante, vandalisme, dtrioration intentionne tendant empcher le fonctionnement
normal dune organisation, dune infrastructure, dun service, dune ressource pouvant conduire un
sinistre.
Scurit (security)
Situation dans laquelle quelquun, quelque chose nest expos aucun danger. Mcanisme destin
prvenir un vnement dommageable, ou en limiter les effets. Ainsi par exemple, la scurit
physique (physical security) est relative aux mesures permettant doffrir une protection physique,
matrielle des environnements, tandis que la scurit logique (logical security) fait rfrence aux
procdures et moyens logiciels de protection.
Sensibilit (sensitivity)
Caractristique d'une entit qui indique sa valeur ou son importance.
Annexe A
113
S-http
Version scurise du protocole http permettant la scurit des changes entre un client et un serveur
web.
Signature numrique (digital signature)

Par analogie la signature manuelle, la signature numrique obtenue par un algorithme de chiffrement
asymtrique permet dauthentifier lmetteur dun message et den vrifier lintgrit.
Sniffer
Logiciel destin raliser des coutes passives des donnes transitant dans un rseau.
Sniffing
Action consistant raliser des coutes passives afin de rcuprer des paramtres de connexion qui
seront par la suite utilises linsu de leurs propritaires lgitimes afin de commettre des intrusions
non autorises.
Spammer
Personne qui ralise le spamming.
Spamming
Technique qui consiste envoyer des messages non dsirs sur une messagerie lectronique.
Spoofer
Personne qui pratique le spoofing.
Spoofing
Usurpation dadresses IP des fins dintrusion.
SSL (Secure Sockets Layer)

Logiciel assurant la scurit des changes sur l'internet, dvelopp par Netscape et support par la
majorit des navigateurs web du march.
Stganographie (Steganography)
Technique permettant de dissimuler une information dans une autre afin de la transmettre ou de la
stocker clandestinement. Le marquage de document, le tatouage (watermarking), est une application
de la stganographie qui consiste marquer une image de faon indlbile.
Systme de dtection d'intrusion (IDS, Intrusion Detection System)

Systme permettant de dtecter des incidents qui pourraient conduire des violations de la politique
de scurit et permettant de diagnostiquer des intrusions potentielles.
Test de pntration (penetration test)

Tests pratiqus pour analyser et tester le degr de protection des systmes et la robustesse des
mcanismes de scurit.
114
Annexe A
Virus (virus)
Programme malveillant introduit, linsu des utilisateurs, dans un systme. Il possde la capacit de se
dupliquer (soit l'identique, soit en se modifiant (virus polymorphe)), de porter atteinte aux
environnements dans lequel il sexcute, et de contaminer les autres utilisateurs avec lesquels il est en
relation. Diffrents types de virus sont distingus en fonction de leur signature, de leur comportement,
de leur type de reproduction, de linfection, des dysfonctionnements induits, etc. Les vers, chevaux de
Troie, bombes logiques sont des codes malveillants de la famille gnrique des virus.
Vulnrabilit (vulnerability)
Dfaut de scurit qui pourrait se traduire soit intentionnellement soit accidentellement par une
violation de la politique de scurit.
115
Annexe B Chapitres de la norme ISO/IEC 17799:2005 qui constitue un

document de rfrence en matire de gestion de la scurit
Introduction
0.1 Qu'est-ce que la scurit de l'information?
0.2 Pourquoi la scurit de l'information est-elle ncessaire?
0.3 Comment tablir les besoins de scurit
0.4 Evaluer les risques de scurit
0.5 Slectionner les contrles
0.6 Point de dpart en scurit de l'information
0.7 Facteurs de succs critiques X
0.8 Dvelopper vos propres directives
1
Porte
Terminologie et dfinitions
Structure de la prsente norme.

3.1 Clauses
3.2 Principales catgories de scurit
Evaluation des risques et traitements

4.1 Evaluation des risques de scurit
4.2 Traitement des risques de scurit
Politique de scurit
5.1 Politique de scurit de l'information
5.1.1 Document de politique de scurit de l'information
5.1.2 Examen de la politique de scurit de l'information
Organisation de la scurit de l'information

6.1 Organisation interne
6.1.1 Engagement de la direction dans la scurit de l'information.
6.1.2
Coordination de la scurit de l'information
6.1.3 Attribution des responsabilits pour la scurit de l'information
6.1.4 Processus d'autorisations pour les quipements de traitement de l'information
6.1.5 Accords de confidentialit
6.1.6 Contact avec les autorits
6.1.7 Contact avec des groupements d'intrt spcifique
6.1.8 Examen indpendant de la scurit de l'information
6.2 Parties externes
6.2.1 Identification des risques lis aux parties externes
6.2.2 La scurit en ayant affaire avec des clients
6.2.3 La scurit dans les accords avec des tiers
Gestion des biens et des valeurs

7.1 Responsabilits des valeurs
7.1.1 Inventaire des valeurs
7.1.2 Proprit des valeurs
7.1.3 Utilisation acceptable des valeurs
7.2 Classification de l'information
7.2.1 Directives de classification
7.2.2 Marquage (tiquetage) et manipulation de l'information
Annexe B
117
Scurit des ressources humaines

8.1 Avant l'emploi
8.1.1 Rles et responsabilits
8.1.2 Annalyse
8.1.3 Modalits et conditions d'embauche
8.2 Durant l'emploi
8.2.1 Responsabilits de la direction
8.2.2 Prise de conscience, sensibilisation, ducation, et formation la scurit de
l'information
8.2.3 Mesures disciplinaires
8.3 Arrt ou changement d'emploi
8.3.1 Responsabilits de l'arrt
8.3.2 Restitution des valeurs
8.3.3 Elimination des droits d'accs
Scurit physique et environnementale

9.1 Zones de scurit
9.1.1 Primtre de scurit
9.1.2 Contrles d'accs physique
9.1.3 Scuriser les bureaux, les salles et les quipements
9.1.4 Protection contre les menaces externes et environnementales
9.1.5 Travailler dans des zones scurises
9.1.6 Secteurs d'accs public de livraison et de chargement
9.2 Scurit des quipements
9.2.1 Situation et protection des quipements
9.2.2 Support des utilits
9.2.3 Scurit du cblage
9.2.4 Maintenance des quipements
9.2.5 Scurit des quipements en dehors des frontires de lorganisation
9.2.6 Scurit des quipements abandonns ou rutiliss
9.2.7 Suppression des quipements
10 Gestion des communications et des oprations

10.1 Procdures oprationnelles et responsabilits
10.1.1 Modes opratoires documents
10.1.2 Gestion du changement
10.1.3 Sgrgation des fonctions
10.1.4 Sparation des facilits lies au dveloppement, aux tests et aux oprations
10.2 Gestion de la livraison de services offerts par des tiers
10.2.1 Livraison de services
10.2.2 Surveillance et contrle des services fournis par des tiers
10.2.3 Gestion des changements dans les services offerts par des tiers
10.3 Planification et acceptation de systmes
10.3.1 Gestion de la capacit
10.3.2 Tolrance des systmes
10.4 Protection contre les codes malicieux et mobiles
10.4.1 Contrles contre le code malicieux
10.4.2 Contrles contre les codes mobiles
118
Annexe B
10.5 Back-up /secours

10.5.1 Back-up des informations
10.6 Gestion de la scurit des rseaux
10.6.1 Contrle du rseau
10.6.2 Scurit des services rseau
10.7 Manipulation de supports
10.7.1 Gestion des supports amovibles
10.7.2 Destruction des supports
10.7.3 Procdures de manipulation de donnes
10.7.4 Scurit de la documentation des systmes
10.8 Echange d'informations
10.8.1 Politiques et procdures d'change d'information
10.8.2 Accords d'change
10.8.3 Supports physiques en transit
10.8.4 Messagerie lectronique
10.8.5 Systmes d'information
10.9 Services de commerce lectronique
10.9.1 Commerce lectronique
10.9.2 Transactions en ligne
10.9.3 Information accessible au public
10.10 Surveillance
10.10.1 Audit des journaux (logs)
10.10.2 Surveillance de l'utilisation du systme
10.10.3 Protection des informations journalises
10.10.4 Journaux des administrateurs et oprateurs
10.10.5 Journalisation des erreurs et incidents
10.10.6 Synchronisation des horloges
11 Contrles d'accs
11.1 Impratifs de lorganisation (besoins du business) en matire de contrle d'accs
11.1.1 Politique de contrle d'accs
11.2 Gestion des accs des utilisateurs
11.2.1 Enregistrement des utilisateurs
11.2.2 Gestion des privilges
11.2.3 Gestion des mots de passe des utilisateurs
11.2.4 Examen des droits d'accs des utilisateurs
11.3 Responsabilits des utilisateurs
11.3.1 Utilisation des mots de pass
11.3.2 Equipements des utilisateurs sans surveillance
11.3.3 Politique concernant les bureaux et crans clairs
11.4 Contrle de l'accs au rseau
11.4.1 Politique sur l'utilisation des services de rseau
11.4.2 Authentification des utilisateurs pour les connexions externes
11.4.3 Identification des quipements dans les rseaux
11.4.4 Protection des ports de tldiagnostique et de tlconfiguration
11.4.5 Sgrgation dans les rseaux
11.4.6 Contrle de la connexion rseau
11.4.7 Contrle du routage rseaux
Annexe B
119
11.5 Contrle d'accs aux systme d'exploitation

11.5.1 Procdures de connexion scurises
11.5.2 Identification et authentification des utilisateurs
11.5.3 Systme de gestion des mots de passe
11.5.4 Utilisation des utilitaires systme
11.5.5 Dlai de session (time-out)
11.5.6 Limitation du temps de connexion
11.6 Contrle d'accs aux applications et aux informations
11.6.1 Restriction de l'accs aux informations
11.6.2 Isolation des systmes sensibles
11.7 Mobilit en informatique et tltravail
11.7.1 Mobilit et communications
11.7.2 Tltravail
12 Acquisition, dveloppement et maintenance des systmes d'information
12.1 Besoins de scurit pour les systmes d'information
12.1.1 Analyse et spcification des besoins de scurit
12.2 Exactitude des traitements applicatifs
12.2.1 Validation des donnes saisies
12.2.2 Contrle du traitement interne
12.2.3 Intgrit des messages
12.2.4 Validation des rsultats
12.3 Controles du chiffrement
12.3.1 Politique de contrle de l'usage de la cryptographie
12.3.2 Gestion des cls
12.4 Scurit des fichiers systmes
12.4.1 Contrle des logiciels oprationnels
12.4.2 Protection des donnes de tests du systme
12.4.3 Contrle d'accs au code source des programmes
12.5 Scurit dans le dveloppement et le support des processus
12.5.1 Procdures de contrle du changement
12.5.2 Examen technique des applications aprs modification du systme d'exploitation
12.5.3 Restrictions des changements dans les suites logicielles
12.5.4 Fuite d'information
12.5.5 Dveloppement externalis des de logiciels
12.6 Gestion des vulnrabilits techniques
12.6.1 Contrle des vulnrabilits techniques
13 Gestion des incidents de scurit de l'information
13.1 Notification des vnements et des faiblesses de scurit de l'information
13.1.1 Notification des vnements de scurit de l'information
13.1.2 Notification des faiblesses de scurit
13.2 Gestion des incidents et des amliorations de la scurit de l'information
13.2.1 Responsabilits et procdures
13.2.2 Enseignement tirer des incidents de scurit
13.2.3 Collecte de preuves
120
Annexe B
14 Gestion de la continuit des affaires

14.1 Aspects scuritaires de la gestion de la continuit des affaires
14.1.1 Inclure la scurit de l'information dans le processus de gestion de la continuit des
affaires
14.1.2 Continuit des affaires et valuation des risques
14.1.3 Dvelopper et implementer des plans de continuit intgrant la scurit de
l'information
14.1.4 Cadre de planification de la continuit des activits
14.1.5 Test, maintenance et r-valuation des plans de continuit
15 Conformit
15.1 Conformit aux exigences lgales
15.1.1 Identification de la lgislation applicable
15.1.2 Droits de la proprit intellectuelle
15.1.3 Protection des enregistrements de lorganisation
15.1.4 Protection des donnes et intimit numrique
15.1.5 Prvention du dtournement des facilits de traitement de l'information
15.1.6 Rglementation des contrles de cryptographie
15.2 Conformit avec les normes et politiques de scurit et conformit technique
15.2.1 Conformit avec les politiques et les de scurit
15.2.2 Contrle de la conformit technique
15.3 Considrations sur l'audit des systmes d'information
15.3.1 Contrle des audits des systmes d'information
15.3.2 Protection des outils d'audit des systmes d'information
Bibliographie et Index
Annexe B
121
Annexe C Mandat et activits de l'UIT-D dans le domaine de la

cyberscurit
Pour tout complment d'information, veuillez consulter le site:
http://www.itu.int/ITU-D/e-strategy/e-security
La correspondance quasi parfaite entre les priorits du Programme sur la cyberscurit et le
Plan d'action du SMSI (Genve) illustre la forte synergie entre ces deux documents.
Conformment l'Agenda de Tunis de 2005, l'UIT a t dsigne coordonnateur et
modrateur pour les initiatives lies la mise en oeuvre du Plan d'action de Genve en ce qui
concerne l'tablissement de la confiance et de la scurit dans l'utilisation des TIC. A l'UIT-D,
la cyberscurit pour les applications TIC est l'un des six domaines prioritaires du
Programme 3 du Plan d'action d'Istanbul.
Plan d'action du SMSI

Dcembre 2003
Programme 3 du Plan
d'action d'Istanbul
CMDT mars 2002
C5) Etablir la confiance et la scurit dans

l'utilisation des TIC 12. La confiance et la scurit
sont au nombre des principaux piliers de la socit
de l'information.
Renforcer la scurit et la confiance dans l'utilisation

des rseaux publics pour les
cyberservices/applications.
b) En coopration avec le secteur priv, les pouvoirs

publics devraient prvenir et dtecter la
cybercriminalit et l'utilisation abusive des TIC et y
remdier ...
e) Prendre des mesures appropries contre le spam
aux niveaux national et international.
Fournir une assistance aux Etats Membres en vue de

l'laboration de lois et d'une lgislation type
concernant les cyberservices/applications, la
prvention de la cybercriminalit, la scurit, les
questions thiques et la confidentialit des donnes.
f) Renforcer le cadre de scurit et de confiance en

adoptant des initiatives complmentaires et
synergiques dans les domaines de la scurisation de
l'utilisation des TIC ...
Dterminer les besoins en matire de scurit et

proposer des solutions pour le dveloppement des
infrastructures IP sr, qui permettent d'assurer des
cyberservices/applications dans diffrents types de
rseau l'aide des technologies pertinentes.
g) Echanger les meilleures pratiques dans le domaine

de la scurit de l'information et de la scurit des
rseaux d'information et encourager leur utilisation
par toutes les parties concernes.
Concevoir des outils visant faciliter l'change des

meilleures pratiques concernant la scurit, et les
questions juridiques associes au domaine d'activit
de ce programme.
i) Encourager la poursuite de l'laboration

d'applications sres et fiables pour faciliter les
transactions en ligne.
Il est ncessaire d'examiner ces questions de scurit,

afin de mettre profit les possibilits qu'offrent les
rseaux publics pour la fourniture de
cyberservices/applications valeur ajoute
financirement accessibles.
Activits de l'UIT-D dans le domaine de la scurit et de la confiance
Dans le cadre du Programme 3 du Plan d'action d'Istanbul de la CMDT-02, l'UIT aide les pays en
dveloppement mettre en oeuvre leurs projets, leur donne des avis pour l'laboration de leurs
politiques et de leurs stratgies, ainsi que d'une lgislation approprie encourageant le dveloppement
et l'utilisation de la cyberscurit et de la confiance pour la ralisation de transactions critiques dans
des domaines comme la sant, l'ducation et le commerce et les communications entre administrations
et fonctionnaires publics.
Annexe C
123
Projets visant offrir des services garantissant scurit et confiance pour les applications TIC
Des projets utilisant des technologies volues garantissant scurit et confiance, bases sur une
infrastructure cls publiques (PKI) (techniques de l'authentification biomtrique, des cartes
intelligentes, des certificats numriques et des signatures numriques UIT-T X.509) ont t mis en
oeuvre et sont oprationnels en Bulgarie, au Burkina Faso, en Cte d'Ivoire, au Cambodge, en
Gorgie, au Prou, au Sngal, au Paraguay et en Turquie (secteur priv). Pour la priode 2004-2005,
des activits sur les techniques de cyberscurit et les applications TIC sont actuellement en cours ou
ont t menes bien en Afghanistan, en Barbade, au Bhoutan, en Bulgarie (Phase III), au Cameroun,
en Jamaque, au Rwanda, en Turquie (tlsant et administration publique en ligne) et en Zambie
(signatures lectroniques).
Grce l'UIT, plusieurs pays en dveloppement ont, pour la premire fois, particip activement la
mise en place et l'utilisation de services visant tablir la confiance et la scurit. Ainsi les TIC ont
des retombes bnfiques non seulement dans le secteur du commerce mais aussi au niveau de la
socit tout entire, qu'il s'agisse de l'administration publique ou de la sant.
Des projets utilisant des technologies volues de scurit et de confiance, bases sur une
infrastructure cls publiques (PKI) (techniques de l'authentification biomtrique, des cartes
intelligentes, des certificats numriques et des signatures numriques UIT-T X.509), ont t mis en
oeuvre ou sont en cours de mise en oeuvre en Barbade, au Bhoutan, en Bulgarie, au Burkina Faso, au
Cambodge, au Cameroun, en Cte d'Ivoire, en Gorgie, en Jamaque, au Prou, au Sngal, au
Paraguay, en Turquie et en Zambie.
En Gorgie, l'UIT propose des solutions rentables pour scuriser la transmission et le traitement des
documents numriss des administrations publiques et l'accs ces documents, ce qui permettra
d'amliorer l'efficacit et la transparence des services publics. Les fonctionnaires de haut niveau du
Ministre des transports et des communications de la Gorgie bnficieront en effet de systmes
permettant d'automatiser les flux de travail, de signer et de diffuser numriquement les documents
officiels, remplaant les mthodes "papier" lentes et assez coteuses. Il sera possible d'obtenir un accs
autoris des documents sensibles grce des systmes de scurit et de confiance qui permettront
d'tablir l'identit des fonctionnaires autoriss au sein du Ministre.
Au Paraguay, l'UIT a fourni une assistance pour la mise en oeuvre d'une plate-forme fournissant un
mcanisme internet de scurit et de confiance que les oprateurs et les fournisseurs de services
pourront utiliser pour changer des informations sensibles (par exemple les dclarations de revenus)
en format lectronique avec l'Autorit nationale de rglementation. Les outils TIC sont utiliss pour
rationaliser le processus d'octroi de licences aux oprateurs de tlphonie publics et pour accrotre
l'efficacit des oprations commerciales du rgulateur.
Une assistance a t fournie pour dfinir le cadre d'une politique nationale sur l'utilisation des
certificats numriques et le fonctionnement des autorits de certification. L'UIT a galement apport
une assistance pour l'laboration des spcifications techniques et a fourni des avis de politique
gnrale pour mettre en place en Jamaque et en Barbade une plate-forme pour la publication et la
gestion des certificats numriques, offrant ainsi des services d'authentification robuste et assurant
scurit et confiance pour les transactions en ligne de l'administration publique ou les transactions de
commerce lectronique.
Au Cameroun, le projet de l'UIT permet de scuriser la transmission sur l'internet de documents
sensibles de l'administration publique et d'offrir des services administratifs en ligne aux citoyens
vivant dans des zones urbaines ou isoles o il n'y a aucune infrastructure administrative physique.
L'authentification robuste, la confidentialit des donnes, l'intgrit des donnes et la non-rpudiation
de l'information, autant de systmes bass sur les techniques de cryptage et de signature lectronique
permettent de rgler certains problmes de scurit, notamment l'usurpation d'identit.
124
Annexe C
En Bulgarie, l'assistance fournie par l'UIT pour la mise en oeuvre d'une plate-forme de cyberscurit
permet d'assurer des communications extrmement fiables entre le Ministre des transports et des
communications, le Ministre des finances, le Conseil des ministres et la Commission charge de la
rglementation des communications (CRC), en utilisant une infrastructure cls publiques (PKI) et
des applications compatibles PKI. Cette plate-forme permet une interaction scurise, efficace et
rentable entre les hauts fonctionnaires du gouvernement, en complment des runions "physiques" et
amliore la productivit. Toutes les donnes changes entre les fonctionnaires sont scurises,
signes numriquement grce l'utilisation des techniques de confidentialit des donnes, de nonrpudiation de l'information, d'intgrit des donnes et d'authentification robuste.
L'objectif stratgique du projet est d'amliorer les services de soins de sant en Turquie en mettant en
place un support d'information sur la sant scuris qui permet aux prestataires de soins de sant (soins
de sant primaires et secondaires), aux professionnels de la sant et aux citoyens d'avoir accs
facilement et de faon sre, des informations dans le domaine de la sant en utilisant les TIC les plus
rcentes.
Les lments essentiels de ce programme sont l'laboration de systmes d'information pour les soins
de sant primaires en complment du rseau des mdecins de famille, la mise en place de dossiers
mdicaux lectroniques et le dveloppement de systmes interoprables entre les fournisseurs de
services de soins de sant, notamment les centres de soins de sant primaires, les hpitaux et les
socits d'assurance publiques et prives.
Politiques et stratgies nationales et rgionales
Un atelier a t organis l'intention de 128 pays afin de partager les informations et les meilleures
pratiques sur les technologies de scurit et de confiance et sur les politiques applicables au commerce
lectronique.
L'UIT a organis des ateliers et des sminaires sur les stratgies relatives aux techniques de
cyberscurit dans un certain nombre de pays (par exemple, Azerbadjan, Cameroun, Chili (pour les
pays du Mercusor), Mongolie, Pakistan, Paraguay, Roumanie, Seychelles, Rpublique arabe syrienne
et Ouzbkistan). La scurit et la confiance ont t parmi les principaux thmes abords au Colloque
rgional organis par l'UIT en novembre 2004 sur l'administration publique en ligne et le protocole
internet l'intention des Etats de la rgion arabe. Ce colloque a abouti la Dclaration de Duba,
laquelle souligne qu'il est ncessaire que l'UIT poursuive ses activits dans le domaine de la
cyberscurit pour les cyberapplications et les cyberservices.
Un manuel sur la cyberscurit est actuellement en cours d'laboration afin d'aider les pays en
dveloppement et les pays les moins avancs renforcer leurs capacits locales et mieux connatre
certains des problmes essentiels que pose la scurit pour la socit de l'information. Ce manuel
donnera des explications sur certains des grands problmes comme le spam, les logiciels furtifs
nfastes ou malware (virus, vers, chevaux de Troie), le caractre confidentiel des donnes, l'absence
d'authentification, la ncessit de la confidentialit et de l'intgrit des donnes. D'autres sujets ont t
abords lors de ce colloque, qui devait se terminer en novembre 2005, notamment l'laboration de
lignes directrices et de meilleures pratiques sur une lgislation relative la cyberscurit et des
exemples de mthodes utilises pour protger les infrastructures critiques ont t donns. En 2005,
l'UIT-D a organis les manifestations suivantes:
1
UIT/Union europenne (ENISA) - Sminaire rgional sur la cyberscurit pour la CEE, les
pays de la CEI et les Etats baltes.
Sminaire sous-rgional sur la cyberscurit pour les rseaux d'information et de

communication.
Runion thmatique du SMSI sur la cyberscurit organise par l'UIT-D, l'UIT-T et le

Secrtariat gnral.
Annexe C
125
Assistance fournie pour l'laboration d'une lgislation approprie
L'utilisation des applications TIC suppose l'existence d'un environnement juridique et politique
appropri pour rgler des questions comme le caractre confidentiel des donnes, la prvention du
cybercrime, la scurit, les problmes d'thique, les signatures lectroniques, les autorits de
certification et les contrats lectroniques pour susciter la confiance, protger les droits et encourager
l'utilisation des applications TIC.
L'UIT a fourni une assistance aux pays suivants pour l'laboration d'un modle de lgislation couvrant
des domaines comme le commerce lectronique, la protection des donnes, les transactions en ligne, la
certification, l'authentification et le cryptage numriques: les Etats Membres de l'ASETA (Bolivie,
Colombie, Equateur, Prou et Venezuela), le Burkina Faso, le Cap-Vert, la Mauritanie, la Mongolie et
la Tanzanie.
Dans le cadre des efforts qu'elle dploie pour fournir aux pays en dveloppement des lignes directrices
et des tudes de cas consacres l'laboration d'une lgislation sur la confidentialit des donnes, les
applications TIC, la prvention du cybercrime, l'UIT a publi un rapport bas sur des recherches ainsi
qu'une analyse contenant des exemples concrets illustrant comment certains pays ont labor une
lgislation sur la prvention du cybercrime. Ce travail a t fait par Mme Michela Menting Yoell de
l'Universit d'Essex (Angleterre) dans le cadre d'un stage de trois mois l'Unit E-strategies de
l'UIT/BDT pour l'obtention de son diplme LLM en technologies de l'information, mdia et commerce
lectronique. Une version PDF de ce rapport peut tre tlcharge l'adresse suivante: Recherche sur
la lgislation relative au caractre confidentiel des donnes, la scurit et la prvention du
cybercrime.
126
Annexe C
Annexe D Principales questions en matire de scurit qui font lobjet de

travaux au sein de lUIT-T durant la priode 2005-2008
Issu du site
http://www.itu.int/ITU-T/studygroups/com17/questions.html
Questions attribues la Commission dtudes 17 de lUIT-T (priode dtudes 2005-2008)

Commission dtudes 17: Scurit, langages et logiciels de tlcommunication
Question 2/17 Services d'annuaire, systmes d'annuaire et certificats d'attributs et de cls
publiques
2.1
Services d'annuaire
a) Quelles dfinitions et quels profils de services nouveaux faut-il adopter pour tirer parti de
techniques d'annuaire aussi rpandues que X.500 et LDAP, par exemple?
b) Quelles modifications faut-il apporter aux Recommandations des sries E et F et/ou quelles
nouvelles Recommandations faut-il laborer pour spcifier les amliorations apporter aux
dfinitions et profils de services d'annuaire existants et pour en corriger les dfauts?
2.2
Systmes d'annuaire
Quelles amliorations faut-il apporter l'annuaire afin de l'adapter aux besoins des utilisateurs
actuels et potentiels, par exemple obtention d'une meilleure homognit des informations
d'annuaire dans les sites o elles sont recopies, opration de prise en charge des informations
ajoutes aux attributs d'annuaire par les utilisateurs, amlioration de la qualit de
fonctionnement lors de l'extraction d'un nombre lev de rponses ou solutions proposes pour
rgler les cas de confusion lie la dtention sous des noms identiques d'informations
diffrentes par plusieurs fournisseurs de services d'annuaire?
Quelles autres amliorations faut-il apporter l'annuaire pour autoriser l'interfonctionnement
avec des services mis en oeuvre l'aide de la spcification LDAP de l'IETF, y compris
l'utilisation ventuelle de XML pour l'accs aux annuaires, ainsi que leur prise en charge?
Quelles autres amliorations faut-il apporter l'annuaire et aux certificats d'attributs et de cls
publiques pour permettre leur utilisation dans des environnements limits en ressources, par
exemple, les rseaux hertziens et les rseaux multimdias?
Quelles autres amliorations faut-il apporter l'annuaire pour en amliorer l'intgration dans
des domaines tels que les services de rseau intelligent, de rseaux de tlcommunication et
d'annuaire publics?
Quelles modifications faut-il apporter aux Recommandations de la srie X.500 et/ou quelles
sont les nouvelles Recommandations laborer pour mieux dfinir les amliorations de
l'annuaire et pour trouver des solutions ses imperfections?
L'tude consacre aux systmes d'annuaire sera ralise en coopration avec le JTC 1 de
l'ISO/CEI dans le cadre du travail qu'il consacre l'extension de la norme ISO/CEI 9594, texte
commun aux Recommandations X.500-X.530. Une liaison et une troite coopration seront en
outre maintenues avec l'IETF, en particulier dans les domaines du LDAP.
a)
b)
c)
d)
e)
2.3
Certificats d'attributs et de cls publiques

a) Quelles autres amliorations faut-il apporter aux certificats d'attributs et de cls publiques pour
permettre leur utilisation dans des environnements limits en ressources, par exemple, les
rseaux hertziens et les rseaux multimdias?
b) Quelles autres amliorations faut-il apporter aux certificats d'attributs et de cls publiques pour
accrotre leur utilit dans des domaines tels que la biomtrie, l'authentification, la commande
d'accs et le commerce lectronique?
Annexe D
127
c) Quelles modifications faut-il apporter la Recommandation X.509 pour mieux dfinir les
amliorations de la Recommandation X.509 et pour trouver des solutions ses imperfections?
L'tude consacre aux certificats d'attributs et de cls publiques sera ralise en coopration
avec le JTC 1 de l'ISO/CEI dans le cadre du travail qu'il consacre l'extension de la norme
ISO/CEI 9594-8, texte commun la Recommandation X.509. Une liaison et une troite
coopration seront en outre maintenues avec l'IETF, en particulier dans les domaines de la
PKI.
Question 4/17 Projet relatif la scurit des systmes de communication
(Suite de la Question G/17)
Le domaine de la scurit est vaste et couvre de nombreux sujets. La scurit peut tre applique la
quasi-totalit des aspects des technologies des tlcommunications et de l'information. Pour spcifier
les exigences de scurit, il est possible de choisir entre deux mthodes:
La mthode ascendante, en vertu de laquelle les experts du domaine laborent des mesures de
scurit visant renforcer et protger le domaine du rseau qui leur incombe, par exemple,
biomtrie, cryptographie, etc. Cette mthode est la plus rpandue mais l'tude de la scurit,
telle qu'elle est effectue dans les diffrentes organisations, est fragmente.
La mthode descendante offre une vision stratgique et de haut niveau de la scurit. Dans
cette mthode, il est indispensable d'avoir un aperu gnral de la situation. Cette mthode est
aussi la plus complexe car il est plus difficile de trouver des experts qui possdent une
connaissance dtaille de chaque partie du rseau et de leurs exigences de scurit, que des
experts du sujet qui possdent, quant eux, une connaissance spcifique d'un ou deux
domaines.
Une autre solution consiste combiner les deux mthodes prcites, tant entendu qu'elle
suppose une coordination indispensable. Cette faon de procder a souvent pos de nombreux
problmes, en raison des diffrents intrts et programmes dont il faut tenir compte.
La prsente Question vise fixer de grands principes mais aussi assurer la coordination et
l'organisation de toute la gamme des activits dployer dans le domaine de la scurit des
communications l'UIT-T. La mthode descendante sera utilise en collaboration avec
d'autres Commissions d'tudes et d'autres organisations de normalisation. Ce projet vise
mettre en place une mthode plus cible au niveau des projets et des stratgies.
Questions
a) Quels sont les rsultats attendus du projet relatif la scurit des systmes de communication?
b) Quels sont les processus, sujets d'tude, mthodes de travail et dlai prvoir pour obtenir les
rsultats attendus dans le cadre du projet?
c) Quels recueils de textes et quels manuels sur la scurit devront tre labors et mis jour par
l'UIT?
d) Quels ateliers sur la scurit faudra-t-il organiser?
e) Quelles mesures faut-il prendre pour nouer des relations efficaces avec d'autres organisations
de normalisation en vue de progresser dans le domaine de la scurit?
f) Quels sont les principales tapes et les critres dterminants du succs?
g) Comment stimuler l'intrt des Membres du Secteur et des administrations et les encourager
poursuivre les efforts engags dans le domaine de la scurit?
h) Comment faire en sorte que les fonctions de scurit retiennent davantage l'attention du
march?
i)
128
Comment bien faire comprendre aux gouvernements qu'il est indispensable et urgent de
protger les intrts conomiques au niveau mondial, qui dpendent d'une infrastructure
robuste et scurise des tlcommunications?
Annexe D
Question 5/17 - Architecture et cadre gnral de la scurit
Compte tenu des dangers qui menacent la scurit du secteur de la communication et des progrs
raliss dans le domaine des contre-mesures de protection, il convient d'explorer les nouveaux besoins
en matire de scurit ainsi que leurs solutions.
Il convient d'tudier la fois la scurit applicable aux nouveaux types de rseaux et la scurit
applicable aux nouveaux services.
2
Questions
a) Comment faut-il dfinir une solution complte et cohrente en matire de scurit de
communication?
b) Quelle architecture faut-il appliquer pour une solution complte et cohrente en matire de
scurit de communication?
c) Quel est le cadre d'application de l'architecture de scurit pour laborer une nouvelle solution
de scurit?
d) Sur quel cadre d'application de l'architecture de scurit faut-il s'appuyer pour valuer (et donc
amliorer) une solution de scurit existante?
e) Quelles sont les bases architecturales de la scurit?
i) Quelle est l'architecture de scurit des technologies mergentes?
ii) Quelle est l'architecture pour la scurit de bout en bout?
iii) Quelle est l'architecture de scurit pour l'environnement mobile?
iv) Quelles architectures de scurit technique sont ncessaires? Par exemple:
a) Quelle est l'architecture de scurit pour les systmes ouverts?
b) Quelle est l'architecture de scurit pour les rseaux IP?
c) Quelle est l'architecture de scurit pour le rseau NGN?
f) Comment convient-il de modifier les Recommandations sur les modles de scurit des
couches suprieures et infrieures afin de les adapter l'volution de l'environnement et
quelles nouvelles Recommandations peuvent tre ncessaires?
g) Comment faut-il structurer les normes
Recommandations existantes sur la scurit?
architecturales
en
ce
qui
concerne
les
h) Comment convient-il de modifier les Recommandations dfinissant le cadre de scurit pour

les adapter aux technologies mergentes et quelles nouvelles Recommandations peuvent tre
ncessaires?
i)
Comment interviennent les services de scurit pour proposer des solutions de scurit?
Question 6/17 Cyberscurit
De nombreux mcanismes de protection et de dtection ont t mis en oeuvre: pare-feux et systmes

de dtection d'intrusion (IDS), mais la plupart d'entre eux privilgient uniquement les aspects
techniques. S'il est vrai que ces solutions techniques sont importantes, il est ncessaire d'tudier plus
avant la cyberscurit du point de vue de la normalisation sur le plan international.
2
Questions
Il convient d'tudier les domaines ci-aprs de la cyberscurit:
processus de distribution, de partage et de divulgation de l'information sur la vulnrabilit;
procdure normalise des oprations de traitement des incidents dans le cyberespace;
stratgie de protection de l'infrastructure critique du rseau.

Annexe D
129
Question 7/17 - Gestion de la scurit
Questions
a) Comment faut-il dfinir et grer les dangers qui menacent les systmes de tlcommunication?
b) Comment faut-il dterminer et grer les actifs en matire d'information des systmes de
tlcommunication?
c) Comment faut-il identifier les questions qui concernent en particulier la gestion des entreprises
de tlcommunication?
d) Comment faut-il construire correctement des systmes de gestion de la scurit de
l'information (ISMS) pour les oprateurs de tlcommunication, conformment aux normes
actuelles en matire d'ISMS?
e) Comment faut-il traiter et grer les incidents de scurit dans les tlcommunications?
Question 8/17 Tlbiomtrie

(Suite de la Question K/17)
2
a)
b)
c)
d)
e)
f)
Questions
Comment peut-on amliorer l'identification et l'authentification des utilisateurs par l'utilisation
de mthodes scurises de tlbiomtrie?
Comment la nouvelle partie de la Norme CEI 60027 Sous-ensemble physiologique
sera-t-elle utilise l'UIT-T pour fournir les lments d'un modle appropri de classement
des dispositifs scuriss de tlbiomtrie?
Comment utiliser les systmes de rfrenciation des niveaux de scurit pour incorporer les
solutions de tlbiomtrie dans un ordre hirarchique?
Comment faut-il identifier les technologies d'authentifications biomtriques pour les
tlcommunications?
Comment faut-il identifier les spcifications des technologies d'authentifications biomtriques
pour les tlcommunications partir de la technologie de cryptographie comme
l'infrastructure PKI?
Comment faut-il identifier le modle et la procdure des technologies d'authentifications
biomtriques pour les tlcommunications partir de la technologie de cryptographie comme
l'infrastructure PKI?
Question 9/17 - Services de communication scuriss

(Suite de la Question L/17)
2
a)
b)
c)
d)
e)
f)
g)
h)
130
Questions
Comment faut-il identifier et dfinir les services de communication scuriss dans les services
de communications mobiles ou les services du web?
Comment faut-il identifier et prendre en charge les menaces qui psent sur les services de
communication?
Quelles sont les technologies de scurit qui permettent de prendre en charge les services de
communication scuriss?
Comment maintenir une interconnectivit scurise entre les systmes de communication?
Quelles techniques de scurit sont ncessaires pour offrir des services de communication
scuriss?
Quelles techniques et quels protocoles de scurit sont ncessaires pour les nouveaux services
scuriss du web?
Quels protocoles d'application scuriss faut-il appliquer aux services de communication
scuriss?
Quelles sont les solutions de scurit globales applicables aux services de communication
scuriss et leurs applications?
Annexe D
Annexe E Rfrences bibliographiques

Texte de rfrence prsentant de manire pdagogique les normes de la scurit du monde des
tlcommunications labores par lUIT-T:
Security in telecommunications and information technology: an overview of issues and the
deployment of existing ITU-T Recommendations for secure telecommunication. ITU T;
October 2004 Site web: http://www.itu.int/itudoc/itu-t/86435.html
Quelques ouvrages de rfrence
Anderson Ross, Security Engineering, A Guide To Building Dependable Distributed Systems, Wiley,
2001, ISBN 0-471-38922-6
Bishop Matt, Computer security: art and science, Addisson-Wesley, 2002, ISBN 0-201-44099-7
Black Uyless, Internet Security Protocols, Protecting IP Traffic, Pentice Hall, ISBN 0-13-014249-2
Denning Dorothy E., Information Warfare and Security, Addison-Wesley, 1999, ISBN 0-201-43303-6
Dufour Arnaud, Ghernaouti-Hlie Solange; Internet PUF, Que sais-je? N 3073 ISBN: 2-13053190-3
Ferguson Niels, Schneier Bruce, Practical Cryptography, Wiley, 2003, ISBN 0-471-22357-3
Ghernaouti-Hlie Solange; Internet & Scurit PUF Que sais-je? N 3609 ISBN: 2-13-051010-8
Ghernaouti-Hlie Solange; Scurit informatique et rseaux, cours et exercices corrigs Dunod
2006.
Panko Raymond, Scurit des systmes dinformation et des rseaux, Pearson Education (version
franaise), 2004
Poulin Guillaume, Soyer Julien, Trioullier Marc-ric, Scurit des architectures Web, ne pas prvoir
c'est dj gmir, Dunod, 2004.
Schneier Bruce, Beyond Fear, Thinking Sensibly About Security In An Uncertain World, Copernicus
Books, 2003, ISBN 0-387-02620-7
Schneier Bruce, Secrets et mensonges, la scurit numrique dans un monde en rseau, Vuibert,
(version franaise) 2001, ISBN 2-711786-846
Schneier Bruce, Cryptographie Applique, Algorithmes, protocoles et codes source en C, 2me dition,
Vuibert, 2001, ISBN 2-7117-8676-5 version franaise de Schneier Bruce, Applied Cryptography,
Protocols, Algorithms and Source Code in C, Second Edition, Wiley, 1996, ISBN 0-471-11709-9
Singh Simon, Histoire des codes secrets, JC Latts, 1999, ISBN 2-7096-2048-0
Stallings William, Cryptography And Network Security, principles and practice, Prentice Hall, 1999,
ISBN 0-13-869017-0
Stallings William, Network And Internetwork Security, principles and practice, Prentice Hall, 1995,
ISBN 0-13-180050-7
Stallings William, Network Security Essentials, applications and standards, Prentice Hall, 2000, ISBN
0-13-016093-8
Sites de rfrences
Sites en franais:
Site du Premier Ministre (F): http://www.premier-ministre.gouv.fr

Voir particulirement la rubrique Technologie de l'information dans la thmatique: communication.
Site http://www.internet.gouv.fr: site consacr au dveloppement de la socit de l'information
Annexe E
131
Portail de l'administration franaise: http://www.service-public.gouv.fr. A partir de ce site, on peut

retrouver tous les services en ligne, et particulirement sous la rubrique se documenter
Site du service public relatif au droit: http://www.legifrance.gouv.fr
Site de la direction de la documentation franaise: http://www.ladocfrancaise.gouv.fr
Site http://www.foruminternet.org/: Espace d'information et de dbat sur le droit de et sur l'internet et
des rseaux
Site de la Commission nationale de l'informatique et des liberts (F): http://www.cnil.fr
Site de l'Office central de lutte contre la criminalit lie aux technologies de l'information et de la
communication (F): http://www.interieur.gouv.fr/rubriques/c/c3_police_nationale/c3312_oclctic
Observatoire de la scurit des systmes d'information et des rseaux: http://www.ossir.org
Site du Clusif: www.clusif.asso.fr. Panorama de la cybercriminalit:
https://www.clusif.asso.fr/fr/production/ouvrages/
Autres sites
Site du CERT: www.cert.org

Site du NIST: http://www.nist.gov; site du National Institute of Standards and Technology (NIST) aux
Etats-Unis
Site de la NSA: http://www.nsa.gov; site de la National Security Agency aux Etats-Unis
Site du CSE: http://www.cse.dnd.ca; le Centre de la Scurit des Tlcommunications au Canada
Site du CESG: http://www.cesg.gov.uk; de la National Technical Authority for Information Assurance
en Grande-Bretagne
Site du BSI: http://www.bsi.bund.de. Le BSI est lOffice Fdral de la Scurit de l'Information en
Allemagne. Ce site est en anglais et allemand
Site du DSD: http://www.dsd.gov.au; site du Defence Signals Directorate prsente en Australie et
Nouvelle Zlande. Ce site est ddi la veille numrique et la scurit de l'information
The National White Collar Crime Center: IFCC Internet fraud complaint Center:
http://www1.ifccfbi.gov/index.asp; Internet Fraud Crime Report 2004
http://www1.ifccfbi.gov/strategy/2004_IC3Report.pdf
News Letters
cryptogram de Bruce Schneier [schneier@COUNTERPANE.COM]

CRYPTO-GRAM-LIST@LISTSERV.MODWEST.COM
Info lettre du Forum des droits sur l'internet
infolettre@listes.foruminternet.org
US-CERT Security Bulletins [security-bulletins@us-cert.gov]
security-bulletins@us-cert.gov
La lettre d'information de cyber police http://cyberpolice.over-blog.com/
cyberpolice.over-blog.com [newsletter@over-blog.com]
132
Annexe E
Annexe F Les lignes directrices rgissant la scurit des systmes et

rseaux dinformation vers une culture de la scurit OCDE
Prface
Le degr dutilisation des systmes et rseaux dinformation et lenvironnement des technologies de
linformation dans son ensemble ont volu de faon spectaculaire depuis 1992, date laquelle
lOCDE a rendu publiques ses Lignes directrices rgissant la scurit des systmes dinformation. Ces
volutions constantes offrent des avantages significatifs mais requirent galement que les
gouvernements, les entreprises, les autres organisations et les utilisateurs individuels qui dveloppent,
possdent, fournissent, grent, maintiennent et utilisent les systmes et rseaux dinformation (parties
prenantes), portent une bien plus grande attention la scurit.
Des ordinateurs personnels toujours plus puissants, des technologies convergentes et la trs large
utilisation de linternet ont remplac ce qui tait autrefois des systmes autonomes aux capacits
limites, dans des rseaux essentiellement ferms. Aujourdhui, les parties prenantes sont de plus en
plus interconnectes et les connexions franchissent les frontires nationales. De surcrot, linternet est
le support dinfrastructures vitales telles que lnergie, les transports et les activits financires et joue
un rle majeur dans la faon dont les entreprises conduisent leurs activits, dont les gouvernements
assurent des services aux citoyens et aux entreprises et dont les citoyens communiquent et changent
des informations. La nature et le type des technologies constituant linfrastructure des communications
et de linformation ont galement sensiblement volu. Le nombre et la nature des dispositifs daccs
cette infrastructure se sont multiplis et diversifis pour englober les terminaux daccs fixes, sans fil
et mobiles et une proportion croissante des accs seffectue par lintermdiaire de connexions
permanentes. Par voie de consquence, la nature, le volume et le caractre sensible de linformation
change ont augment de faon significative.
Du fait de leur connectivit croissante, les systmes et rseaux dinformation sont dsormais exposs
un nombre croissant et un ventail plus large de menaces et vulnrabilits, ce qui pose de nouveaux
problmes de scurit. Les prsentes lignes directrices sadressent donc lensemble des parties
renantes la nouvelle socit de linformation, et suggrent le besoin dune prise de conscience et
dune comprhension des questions de scurit accrues, ainsi que la ncessit de dvelopper une
culture de la scurit.
F.1
Vers une culture de la scurit
Ces lignes directrices rpondent un environnement en constante volution en appelant au

dveloppement dune culture de la scurit ce qui signifie porter une attention trs grande la
scurit lors du dveloppement des systmes dinformation et des rseaux et adopter de nouveaux
modes de pense et de comportement lors de lutilisation des systmes et rseaux dinformation et
dans le cadre des changes qui y prennent place. Les lignes directrices marquent une rupture nette
avec un temps o la scurit nintervenait que trop souvent de faon incidente dans la conception et
lutilisation des rseaux et systmes dinformation. Les parties prenantes sont de plus en plus
tributaires des systmes dinformation, des rseaux et des services qui leur sont lis, lesquels doivent
tous tre fiables et scuriss. Seule une approche prenant dment en compte les intrts de toutes les
parties prenantes et la nature des systmes, rseaux et services connexes peut permettre dassurer une
scurit efficace.
Chaque partie prenante a un rle important jouer pour assurer la scurit. Les parties prenantes, en
fonction de leurs rles respectifs, doivent tre sensibilises aux risques lis la scurit ainsi quaux
parades appropries, doivent assumer leurs responsabilits et prendre des mesures de nature
amliorer la scurit des systmes et rseaux dinformation.
Annexe F
133
Linstauration dune culture de la scurit ncessitera la fois une impulsion et une large participation
et devrait se traduire par une priorit renforce donne la planification et la gestion de la scurit,
ainsi que par une comprhension de lexigence de scurit par lensemble des participants. Les
questions de scurit doivent tre un sujet de proccupation et de responsabilit tous les niveaux du
gouvernement et des entreprises et pour lensemble des parties prenantes. Les prsentes lignes
directrices offrent un fondement aux efforts en vue dinstaurer une culture de la scurit dans
lensemble de la socit. Les parties prenantes seront ainsi mme dagir pour que la scurit
devienne partie intgrante de la conception et de lutilisation de tous les systmes et rseaux
dinformation. Les lignes directrices proposent que toutes les parties prenantes adoptent et
encouragent une culture de la scurit qui guide la rflexion, la dcision et laction concernant le
fonctionnement des systmes et rseaux dinformation.
F.2
Buts
Lobjet des lignes directrices est de:
Promouvoir parmi lensemble des parties prenantes une culture de la scurit en tant que
moyen de protection des systmes et rseaux dinformation.
Renforcer la sensibilisation aux risques pour les systmes et rseaux dinformation, aux
politiques, pratiques, mesures et procdures disponibles pour faire face ces risques, ainsi
qu la ncessit de les adopter et de les mettre en uvre.
Promouvoir parmi lensemble des parties prenantes une plus grande confiance dans les
systmes et rseaux dinformation et dans la manire dont ceux-ci sont mis disposition et
utiliss.
Crer un cadre gnral de rfrence qui aide les parties prenantes comprendre la nature des
problmes lis la scurit, et respecter les valeurs thiques dans llaboration et la mise en
uvre de politiques, pratiques, mesures et procdures cohrentes pour la scurit des systmes
et rseaux dinformation.
Promouvoir parmi lensemble des parties prenantes, la coopration et le partage

dinformations appropris pour llaboration et la mise en uvre des politiques, pratiques,
mesures et procdures pour la scurit.
Promouvoir la prise en considration de la scurit en tant quobjectif important parmi toutes

les parties prenantes associes llaboration et la mise en uvre de normes.
F.3
Principes
Les neuf principes exposs ci-aprs se compltent et doivent tre considrs comme un tout. Ils
sadressent aux parties prenantes tous les niveaux, y compris politique et oprationnel. Aux termes
des lignes directrices, les responsabilits des parties prenantes varient selon le rle qui est le leur.
Toutes les parties prenantes, peuvent tre aides par des actions de sensibilisation, dducation, de
partage dinformations et de formation de nature faciliter une meilleure comprhension des questions
de scurit et ladoption de meilleures pratiques en ce domaine. Les efforts visant renforcer la
scurit des systmes et rseaux dinformation doivent respecter les valeurs dune socit
dmocratique, en particulier le besoin dune circulation libre et ouverte de linformation ainsi que les
principes de base de respect de la vie prive des individus62.
62 Outre les prsentes lignes directrices sur la scurit, lOCDE a labor une srie de recommandations complmentaires
concernant des lignes directrices relatives dautres aspects importants de la socit mondiale de linformation. Celles-ci
visent la vie prive (Lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de
caractre personnel, OCDE, 1980) et la cryptographie (Lignes directrices rgissant la politique de cryptographie,
OCDE, 1997). Les prsentes lignes directrices sur la scurit doivent tre lues en parallle avec ces autres lignes
directrices.
134
Annexe F
1) Sensibilisation
Les parties prenantes doivent tre sensibilises au besoin dassurer la scurit des systmes et
rseaux dinformation et aux actions quelles peuvent entreprendre pour renforcer la scurit.
La sensibilisation aux risques et aux parades disponibles est la premire ligne de dfense pour assurer
la scurit des systmes et rseaux dinformation. Les systmes et rseaux dinformation peuvent tre
exposs des risques tant internes quexternes. Les parties prenantes doivent comprendre que les
dfaillances de scurit peuvent gravement porter atteinte aux systmes et rseaux sous leur contrle
mais aussi, du fait de linterconnectivit et de linterdpendance, ceux dautrui. Les parties prenantes
doivent rflchir la configuration de leur systme, aux mises jour disponibles pour ce dernier, la
place quil occupe dans les rseaux, aux bonnes pratiques quelles peuvent mettre en uvre pour
renforcer la scurit, ainsi quaux besoins des autres parties prenantes.
2) Responsabilit
Les parties prenantes sont responsables de la scurit des systmes et rseaux dinformation.
Les parties prenantes sont tributaires de systmes et rseaux dinformation locaux et mondiaux
interconnects. Elles doivent comprendre leur responsabilit dans la scurit de ces systmes et
rseaux et en tre, en fonction du rle qui est le leur, individuellement comptables. Elles doivent
rgulirement examiner et valuer leurs propres politiques, pratiques, mesures et procdures pour
sassurer quelles sont adaptes leur environnement. Celles qui dveloppent, conoivent et
fournissent des produits et services doivent prendre en compte la scurit des systmes et rseaux et
diffuser des informations appropries, notamment des mises jour en temps opportun de manire ce
que les utilisateurs puissent mieux comprendre les fonctions de scurit des produits et services et
leurs responsabilits en la matire.
3) Raction
Les parties prenantes doivent agir avec promptitude et dans un esprit de coopration pour prvenir,
dtecter et rpondre aux incidents de scurit.
Du fait de linterconnectivit des systmes et rseaux dinformation et de la propension des dommages
se rpandre rapidement et massivement, les parties prenantes doivent ragir avec promptitude et dans
un esprit de coopration aux incidents de scurit. Elles doivent changer leurs informations sur les
menaces et vulnrabilits de manire approprie et mettre en place des procdures pour une
coopration rapide et efficace afin de prvenir et dtecter les incidents de scurit et y rpondre.
Lorsque cela est autoris, cela peut impliquer des changes dinformations et une coopration
transfrontires.
4) Ethique
Les parties prenantes doivent respecter les intrts lgitimes des autres parties prenantes.
Les systmes et rseaux dinformation sont omniprsents dans nos socits et les parties prenantes
doivent tre conscientes du tort quelles peuvent causer autrui par leur action ou leur inaction. Une
conduite thique est donc indispensable et les parties prenantes doivent sefforcer dlaborer et
dadopter des pratiques exemplaires et de promouvoir des comportements qui tiennent compte des
impratifs de scurit et respectent les intrts lgitimes des autres parties prenantes.
5) Dmocratie
La scurit des systmes et rseaux dinformation doit tre compatible avec les valeurs
fondamentales dune socit dmocratique.
La scurit doit tre assure dans le respect des valeurs reconnues par les socits dmocratiques, et
notamment la libert dchanger des penses et des ides, la libre circulation de linformation, la
confidentialit de linformation et des communications, la protection adquate des informations de
caractre personnel, louverture et la transparence.
Annexe F
135
6) Evaluation des risques

Les parties prenantes doivent procder des valuations des risques.
Lvaluation des risques permet de dceler les menaces et vulnrabilits et doit tre suffisamment
large pour couvrir lensemble des principaux facteurs internes et externes, tels la technologie, les
facteurs physiques et humains, les politiques et services de tierces parties ayant des implications sur la
scurit. Lvaluation des risques permettra de dterminer le niveau acceptable de risque et facilitera la
slection de mesures de contrles appropries pour grer le risque de prjudices possibles pour les
systmes et rseaux dinformation compte tenu de la nature et de limportance de linformation
protger. Lvaluation des risques doit tenir compte des prjudices aux intrts dautrui ou causs par
autrui rendus possibles par linterconnexion croissante des systmes dinformation.
7) Conception et mise en uvre de la scurit
Les parties prenantes doivent intgrer la scurit en tant quun lment essentiel des systmes et
rseaux dinformation.
Les systmes, rseaux et politiques doivent tre conus, mis en uvre et coordonns de faon
approprie afin doptimiser la scurit. Un axe majeur, mais non exclusif, de cet effort doit tre la
conception et ladoption de mesures de protection et solutions appropries afin de prvenir ou limiter
les prjudices possibles lis aux vulnrabilits et menaces identifies. Les mesures de protection et
solutions doivent tre la fois techniques et non techniques et tre proportionnes la valeur de
linformation dans les systmes et rseaux dinformation de lorganisation. La scurit doit tre un
lment fondamental de lensemble des produits, services, systmes et rseaux et faire partie
intgrante de la conception et de larchitecture des systmes. Pour lutilisateur final, la conception et la
mise en uvre de la scurit consistent essentiellement slectionner et configurer des produits et
services pour leurs systmes.
8) Gestion de la scurit
Les parties prenantes doivent adopter une approche globale de la gestion de la scurit.
La gestion de la scurit doit tre fonde sur lvaluation des risques et tre dynamique et globale afin
de couvrir tous les niveaux dactivits des parties prenantes et tous les aspects de leurs oprations. Elle
doit inclure galement, par anticipation, des rponses aux menaces mergentes et couvrir la
prvention, la dtection et la rsolution des incidents, la reprise des systmes, la maintenance
permanente, le contrle et laudit. Les politiques de scurit des systmes et rseaux dinformation, les
pratiques, mesures et procdures en matire de scurit doivent tre coordonnes et intgres pour
crer un systme cohrent de scurit. Les exigences de la gestion de la scurit sont fonction du
niveau de participation, du rle de la partie prenante, des risques en jeu et des caractristiques du
systme.
9) Rvaluation
Les parties prenantes doivent examiner et rvaluer la scurit des systmes et rseaux
dinformation et introduire les modifications appropries dans leurs politiques, pratiques, mesures
et procdures de scurit.
Des vulnrabilits et menaces nouvelles ou volutives sont constamment dcouvertes. Toutes les
parties prenantes doivent continuellement revoir, rvaluer et modifier tous les aspects de la scurit
pour faire face ces risques volutifs.
136
Annexe F
Recommandation du Conseil concernant les lignes directrices regissant la securit des systmes et
rseaux dinformation vers une culture de la securit
LE CONSEIL,
Vu la Convention relative lOrganisation de Coopration et de Dveloppement Economiques, en
date du 14 dcembre 1960, et notamment ses articles 1 b), 1 c), 3 a) et 5 b);
Vu la Recommandation du Conseil concernant les Lignes directrices rgissant la protection de la vie
prive et les flux transfrontires de donnes de caractre personnel, en date du 23 septembre 1980
[C(80)58(Final)];
Vu la Dclaration sur les flux transfrontires de donnes adopte par les gouvernements des pays
Membres de lOCDE le 11 avril 1985 [C(85)139,Annexe];
Vu la Recommandation du Conseil relative aux Lignes directrices rgissant la politique de
cryptographie, en date du 27 mars 1997 [C(97)62/FINAL];
Vu la Dclaration ministrielle relative la protection de la vie prive sur les rseaux mondiaux, en
date des 7-9 dcembre 1998 [C(98)177/FINAL, Annexe];
Vu la Dclaration ministrielle sur lauthentification pour le commerce lectronique, en date des 7-9
dcembre 1998 [C(98)177/FINAL, Annexe];
Reconnaissant que les systmes et rseaux dinformation sont de plus en plus utiliss et acquirent une
valeur croissante pour les gouvernements, les entreprises, les autres organisations, et les utilisateurs
individuels;
Reconnaissant que le rle toujours plus important que jouent les systmes et rseaux dinformation
dans la stabilit et lefficience des conomies nationales et des changes internationaux, ainsi que dans
la vie sociale, culturelle et politique, et laccentuation de la dpendance leur gard imposent des
efforts particuliers pour protger et promouvoir la confiance qui les entoure;
Reconnaissant que les systmes et rseaux dinformation et leur expansion lchelle mondiale se sont
accompagns de risques nouveaux et en nombre croissant;
Reconnaissant que les donnes et informations conserves ou transmises sur des systmes et rseaux
dinformation sont exposes des menaces du fait de divers moyens daccs sans autorisation,
dutilisation, dappropriation abusive, daltration, de transmission de code malveillant, de dni de
service ou de destruction, et exigent des mesures de protection appropries;
Reconnaissant quil importe de sensibiliser davantage aux risques pesant sur les systmes et rseaux
dinformation ainsi quaux politiques, pratiques, mesures et procdures disponibles pour faire face
ces risques, et dencourager des comportements appropris en ce quils constituent une tape
essentielle dans le dveloppement dune culture de la scurit;
Reconnaissant quil convient de revoir les politiques, pratiques, mesures et procdures actuelles pour
aider faire en sorte quelles rpondent de faon adquate aux dfis en constante volution que posent
les menaces auxquelles sont exposs les systmes et rseaux dinformation;
Reconnaissant quil est de lintrt commun de promouvoir la scurit des systmes et rseaux
dinformation par une culture de la scurit qui encourage une coordination et une coopration
internationales appropries en vue de rpondre aux dfis poss par les prjudices que des dfaillances
de la scurit sont susceptibles de causer aux conomies nationales, aux changes internationaux, ainsi
qu la participation la vie sociale, culturelle et politique.
Reconnaissant en outre que les Lignes directrices rgissant la scurit des systmes et rseaux
dinformation: vers une culture de la scurit, figurant en annexe la prsente Recommandation, sont
dapplication volontaire et naffectent pas les droits souverains des Etats;
Annexe F
137
Et reconnaissant que lobjet de ces lignes directrices nest pas de suggrer quil existe une solution
unique quelconque en matire de scurit, ou que des politiques, pratiques, mesures et procdures
particulires soient adaptes une situation donne, mais plutt de fournir un cadre plus gnral de
principes de nature favoriser une meilleure comprhension de la manire dont les parties prenantes
peuvent la fois bnficier du dveloppement dune culture de la scurit et y contribuer;
PRCONISE lapplication de ces Lignes directrices rgissant la scurit des systmes et rseaux
dinformation: vers une culture de la scurit par les gouvernements, les entreprises, les autres
organisations et les utilisateurs individuels qui dveloppent, possdent, fournissent, grent,
maintiennent et utilisent les systmes et rseaux dinformation;
RECOMMANDE aux pays Membres:
Dtablir de nouvelles politiques, pratiques, mesures et procdures ou de modifier celles qui existent
pour reflter et prendre en compte les Lignes directrices rgissant la scurit des systmes et rseaux
dinformation: vers une culture de la scurit en adoptant et promouvant une culture de la scurit,
conformment auxdites lignes directrices;
Dengager des actions de consultation, de coordination et de coopration, aux plans national et
international, pour la mise en uvre des lignes directrices;
De diffuser les lignes directrices dans lensemble des secteurs public et priv, notamment auprs des
gouvernements, des entreprises, dautres organisations et des utilisateurs individuels, pour promouvoir
une culture de la scurit, et encourager toutes les parties intresses adopter une attitude
responsable et prendre les mesures ncessaires en fonction des rles qui sont les leurs;
De mettre les lignes directrices la disposition des pays non membres, le plus rapidement possible et
de manire approprie;
De rexaminer les lignes directrices tous les cinq ans, de manire promouvoir une coopration
internationale sur les questions lies la scurit des systmes et rseaux dinformation;
CHARGE le Comit de la politique de linformation, de linformatique et des communications de
lOCDE dapporter son soutien la mise en uvre des lignes directrices.
La prsente Recommandation remplace la Recommandation du Conseil concernant les lignes
directrices rgissant la scurit des systmes dinformation du 26 novembre 1992 [C(92)188/FINAL].
Historique de la procdure
Les lignes directrices sur la scurit ont t acheves en 1992 puis rexamines en 1997. Lexamen
actuel a t entrepris en 2001 par le Groupe de travail sur la scurit de linformation et la vie prive
(GTSIVP), dans le cadre dun mandat donn par le Comit de la politique de linformation, de
linformatique et des communications (PIIC), et acclr suite la tragdie du 11 septembre.
La rdaction a t entreprise par un Groupe dexperts du GTSIVP qui sest runi Washington, DC,
les 10 et 11 dcembre 2001, Sydney les 12-13 fvrier 2002 et Paris les 4 et 6 mars 2002. Le
GTSIVP sest runi les 5-6 mars 2002, les 22-23 avril 2002 et les 25-26 juin 2002.
Les prsentes Lignes directrices de lOCDE rgissant la scurit des systmes et rseaux
dinformation: vers une culture de la scurit ont t adoptes sous la forme dune Recommandation
du Conseil de lOCDE lors de sa 1037e session, le 25 juillet 2002.
138
Annexe F
Union
Imprim en Suisse
Genve, 2006
internationale
des
tlcommunications
Union
internationale
des
tlcommunications
Guide
de la cyberscurit
pour les pays en
dveloppement
Union internationale des tlcommunications

Bureau de dveloppement des tlcommunications (BDT)
Place des Nations
CH-1211 Genve 20
Suisse
Pour plus dinformation, veuillez contacter:
Alexander NTOKO
Chef, Unit Cyberstratgies
E-mail: e-strategies@itu.int
Site Web: www.itu.int/ITU-D/e-strategies
Imprim en Suisse
Genve, 2006

Cyber Security F

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cyber Security F

Transféré par

Droits d'auteur :

Formats disponibles

Union

Guide de la cyberscurit pour les pays en dveloppement

Union internationale des tlcommunications

Les technologies de linformation et de la communication (TIC) permettent de fournir des services de

dinfrastructures informationnelles fiables et scurises (accessibilit, disponibilit, sret de

dun cadre lgal adapt;

doutils de gestion du risque informationnel et de gestion de la scurit;

La matrise du patrimoine numrique informationnel, la distribution de biens intangibles, la

Le Bureau de dveloppement des tlcommunications de lUIT souhaite remercier Madame le

Guide de la cyberscurit pour les pays en dveloppement

TABLE DES MATIRES

Technologies numriques ...........................................................................

Infrastructures et contenu ...........................................................................

Rvolution informationnelle ..................................................................................

Innovation et dveloppement ............................................................................

Accompagner la rvolution informationnelle....................................................

Chapitre I.2 Cyberscurit ............................................................................................... 6

Contexte de la scurit des infrastructures de communication ..................................

Enjeux de la cyberscurit .....................................................................................

Constat de linscurit numrique ..........................................................................

Enseignements tirer ............................................................................................ 10

Diriger la scurit ...................................................................................... 10

Identifier et grer les risques ....................................................................... 10

Dfinir une politique de scurit ................................................................. 11

Dployer des solutions ............................................................................... 13

Point de vue managrial ........................................................................................ 13

Gestion dynamique .................................................................................... 13

Externalisation et dpendance ..................................................................... 14

Dmarche de prvention et de raction ........................................................ 14

Guide de la cyberscurit pour les pays en dveloppement

Point de vue politique ........................................................................................... 15

Responsabilit de lEtat .............................................................................. 15

Souverainet des Etats................................................................................ 15

Point de vue conomique....................................................................................... 16

Point de vue social ................................................................................................ 16

Point de vue juridique ........................................................................................... 17

Facteur critique de succs ........................................................................... 17

Renforcer la lgislation et les moyens de lappliquer .................................... 17

Lutte contre la cybercriminalit et droit lintimit numrique: un

Rglementation internationale en matire de cybercriminalit ....................... 19

I.2.10 Fondamentaux de la cyberscurit.......................................................................... 21

Identification et authentification ................................................................. 22

Non rpudiation ......................................................................................... 23

Solutions de scurit .................................................................................. 23

SECTION II Matrise de la cybercriminalit ................................................................. 25

Monde virtuel et dmatrialisation .............................................................. 28

Mise en rseau des ressources ..................................................................... 28

Disponibilit doutils et existence de failles ................................................. 29

Vulnrabilit et dfaillance ......................................................................... 29

Difficult identifier lauteur dun dlit ...................................................... 30

Aterritorialit et paradis numriques ........................................................... 31

II.1.3 Criminalit classique et cybercriminalit ................................................................ 32

Table des matires

Guide de la cyberscurit pour les pays en dveloppement

Programmes malveillants ........................................................................... 36

II.1.9 Principaux dlits favoriss via l'internet .................................................................. 39

Escroquerie, espionnage et activits de renseignement, trafics divers,

Atteintes aux personnes .............................................................................. 40

Manipulation de l'information ..................................................................... 40

Rle des institutions publiques.................................................................... 41

Incidents de scurit et chiffre noir de la cybercriminalit ............................. 41

Se prparer la menace dorigine cybercriminelle: un devoir de

Chapitre II.2 Cyberattaques ............................................................................................ 44

SECTION III Approche technologique........................................................................... 49