Vous êtes sur la page 1sur 149

fdration e-commerce et vente distance

octobre 2016

livre blanc

Cyberscurit et
e-commerce
MAITRISER LES RISQUES,
SENSIBILISER SUR LES ENJEUX

Avec le soutien de

Livreblanc - octobre 2016

PRFACE

Le march du e-commerce devrait franchir un nouveau cap cette anne avec


plus de 70 milliards deuros en 2016. Ce dveloppement est rvlateur de
la place prise par le numrique qui imprgne et irrigue progressivement
non seulement tous les secteurs de lconomie mais aussi tous nos comportements de consommateur et de citoyen (ducation, communication, mdias,
Marc LOLIVIER
DLGU GNRAL
DE LA FEVAD

loisirs ).
Mais nous voyons paralllement se dvelopper de nouveaux paradigmes

de criminalits qui eux aussi investissent ces nouveaux espaces. Les acteurs du e-commerce qui ont la
responsabilit des donnes personnelles qui leur sont confies par leurs clients, sont naturellement
particulirement attentifs ce phnomne. Car lenjeu est pour eux vital. Il y va de la confiance des consommateurs et donc de leur avenir. Car sans confiance, le-commerce ne peut prosprer.
Pour se protger de ces menaces, de nombreuses solutions techniques voient le jour en rponse
limagination et la crativit de la cyber-dlinquance. Ces solutions sont souvent utiles mais certainement
pas suffisantes pour prmunir les entreprises contre les risques quelles encourent. La scurit informatique est aussi une question de mobilisation interne des entreprises. Ce sujet ne peut plus tre confi au
seul responsable des systmes dinformation. Il doit tre partag par tous, au sein des entreprises !
Car si en matire de scurit le risque zro nexiste pas, il peut tre matris par cette prise de conscience
indispensable et la mise en place de moyens techniques et humains appropris.
Mais la rponse se doit aussi dtre collective. Le succs, le dveloppement et la prennit de lconomie
numrique, et notamment du e-commerce, en dpendent car ils reposent sur la confiance. Or lcho
mdiatique donn quelques affaires rcentes, souvent entretenu par les vendeurs de services ou de
solutions, brouille la vision densemble et le cap tenir. Et la faillite dun acteur, en cornant la confiance
du public peut parfois suffire affecter lactivit de tout un secteur.
Cest la raison pour laquelle la Fevad, organisation reprsentative des acteurs du e-commerce, sest empare de longue date du sujet, notamment travers les travaux mens par sa Commission Paiements et
Scurit qui permettent aux professionnels dchanger, de partager et au final de progresser ensemble.
Cette nouvelle tude sinscrit dans cette dmarche de dialogue et de progrs. Elle vise sensibiliser les
dirigeants dentreprises, montrer ce que ralisent un certain nombre dentre eux qui tmoignent ici,
et proposer une dmarche, des outils, des rfrences pour lensemble des acteurs du secteur.

Livreblanc - octobre 2016

PRFACE

Ce Livre Blanc ne sadresse pas des spcialistes IT mais plus prioritairement aux chefs dentreprises et
aux responsables mtiers qui souhaitent matriser ces risques et protger leur activit dans la dure.
Il est fond sur des interviews ralises chez des e-commerants, auprs de praticiens qui vivent au
quotidien ce quest la cyberscurit dans un site de e-commerce. Nous les remercions pour la sincrit de
leurs tmoignages et de leffort de vulgarisation quils ont d faire vraisemblablement pour nous expliquer
en quoi consistait leur mtier. Il est enrichi de contributions de spcialistes (prestataires, institutionnels,
juristes) offrant chacun dans leur domaine des points de vue et des cls de comprhension complmentaires aux enjeux de la cyberscurit.
Ce Livre Blanc est donc un ouvrage collectif: il tmoigne de la capacit des adhrents de la FEVAD se
mobiliser autour dun enjeu majeur. Il nous renforce galement dans notre conviction que les solutions
au flau que constitue la cybercriminalit seront forcment collectives et ncessiteront la mobilisation de
comptences les plus nombreuses et varies.
Enfin, ce Livre Blanc, loin dtre un aboutissement, doit trouver des prolongements nombreux la Fevad
(ateliers, commissions) et dans les entreprises. Il doit alimenter le ncessaire dialogue entre techniciens
et mtiers, entre obligations rglementaires (ou techniques) et dveloppement de lactivit, entre entreprises et autorits en charge de la prvention et de la lutte contre la cybercriminalit
Cest ce quoi nous allons dsormais nous employer. Car plus que jamais, la cyberscurit est devenue
laffaire de tous!

Je vous souhaite une trs bonne lecture.

Marc LOLIVIER
DLGU GNRAL DE LA FEVAD

Livreblanc - octobre 2016

SYNTHSE

LES CYBER-ATTAQUES: UN PHNOMNE


QUI A PRIS BRUTALEMENT DE LAMPLEUR
Si certains e-commerants que nous avons rencontrs dans le cadre de llaboration de ce Livre Blanc
tiennent rappeler que le phnomne nest pas en soit nouveau (postrieur au boom du e-commerce),
ils sont unanimes pour considrer que les cyber-attaques qui les visent sont maintenant plus nombreuses,
de plus en plus cibles et de plus en plus sophistiques.
Tous les e-commerants rencontrs dans le cadre de llaboration de ce Livre Blanc sont unanimes :
les cyber-attaques qui les visent sont : plus nombreuses, de plus en plus cibles et de plus en plus
sophistiques. Aux attaques tout azimuth, les sites de e-commerce doivent maintenant aussi faire face
des attaques par dni de services des ransomware qui ncessitent la mise en place de vritables
stratgies de dfense.

MAINTENIR ET DVELOPPER LA CONFIANCE


DU CONSOMMATEUR, UN ENJEU ESSENTIEL
POUR LE E-COMMERCE
On loublie parfois, mais un site de e-commerce est aussi une entreprise comme une autre!
ce titre, les sites e-commerce ont d faire face lmergence de nouvelles menaces et de nouveaux
risques cyber au mme titre que nimporte quelle autre entreprise (ouverture des systmes dinformation,
recours de plus en plus frquent au cloud, apparition de nouvelles faons de travailler Bring Your
Own Device)
Mais, videmment, les sites e-commerce ont des spcificits propres qui les exposent encore plus que
nimporte quelles autres entreprises aux risques cyber. Pour des commerants distance, la confiance
de leurs clients dans les systmes qui enregistrent et qui traitent leurs donnes personnelles et
financires est absolument vitale ! La responsabilit des e-commerants est engage. La lutte contre
la cybercriminalit est donc un enjeu essentiel pour le e-commerce.

LES ATTAQUES NE VIENNENT PAS QUE DE LEXTRIEUR,


LES SOLUTIONS NE SONT PAS QUE TECHNIQUES
Focalises sur les risques venant de lextrieur, les premires mesures prises consistent souvent
dresser une ligne Maginot, des lignes de dfense entre le site et les potentielles attaques extrieures.
Les rsultats sont souvent probants.
Mais, alors que des solutions souvent technologiquement volues sont dployes pour se protger de
lextrieur, on occulte compltement que la menace peut aussi, malheureusement, venir de lintrieur!

Livreblanc - octobre 2016

SYNTHSE

Cest le tristement clbre Post it sur lequel sont inscrits les identifiants donnant laccs au Back Office
clients, qui reste affich sur lcran de lordinateur. Cest aussi la gestion peu rigoureuse des autorisations
daccs au systme: un mme identifiant pour lensemble de lquipe de dveloppement (parce que cest
plus pratique et que a fait gagner du temps) ou bien encore la non suppression des accs de ceux qui
quittent lentreprise. Or, de tels manquements peuvent avoir des consquences dramatiques avec lusage
de plus en plus rependu de solutions disponibles dans le cloud.

LA CYBERSCURIT, UNE QUESTION DE CULTURE


DENTREPRISE
Les interviews sont particulirement loquentes sur ce point: mettre en place une politique de gestion du
risque cyber ne se fait pas du jour au lendemain. Elle rsulte dun processus, plus ou moins long selon
les organisations, qui doit beaucoup la culture de lentreprise. Aucune des entreprises que nous avons
interviewes ne possdaient cette culture de la gestion du risque cyber de faon inne. Toutes ont
d lacqurir. Cet apprentissage na rien eu de spontan. lorigine, on trouve souvent un incident cyber
dont les consquences auraient pu tre dsastreuses.

QUI DOIT SE DCLINER OPRATIONNELLEMENT


Le tout nest pas davoir conscience des enjeux de la cyberscurit (et parfois de ses propres faiblesses),
encore faut-il pouvoir engager lorganisation vers la matrise du risque cyber. Or, les difficults pour y
parvenir peuvent tre multiples. Cela ncessite trs souvent des choix darbitrage parfois compliqus.
Un interview nous a dcrit combien il mesurait limportance des enjeux de la cyberscurit (lors dun
tour de table, lun de ses investisseurs stait dailleurs fait fort de le lui rappeler). Mais, dans une
start-up comme la sienne, la priorit absolue reste spontanment la croissance de lactivit qui accapare
lessentiel des ressources.

LA SCURIT EST LAFFAIRE DE TOUS


Comment dvelopper une culture de la cyberscurit au sein dune organisation ; car finalement,
nest-ce pas la mission principale de toute quipe de cyberscurit?
Compte tenu du rythme dinnovation quimpose le e-commerce et le trs grand nombre de projets qui
sont lancs en parallle, les sites les plus matures ont compris quil tait illusoire de vouloir concentrer la
responsabilit de la cyberscurit sur une seule entit. La scurit doit tre laffaire de tous!; oui, mais
comment pratiquement transforme-t-on ce mantra en une ralit concrte?
Les interviews dcrivent comment ils parviennent, au travers dactions de sensibilisation et de formation,
faire natre, crotre puis entretenir au jour le jour une prise de conscience collective autour des enjeux
de la cyberscurit. Car, en matire de cyberscurit, lattention ne peut jamais se relcher. Aucune
position nest jamais dfinitivement gagne!

LE RISQUE ZRO NEXISTE PAS. UN PRALABLE:


LA CARTOGRAPHIE DES RISQUES
Si en matire de cyberscurit, le risque zro nexiste pas, alors il sagit de concentrer ses forces sur
les points o les enjeux business sont les plus forts. Pour cela, le croisement dune vision business
et dune vision technique est indispensable.

Livreblanc - octobre 2016

SYNTHSE

Il apparat clairement, dans les propos des praticiens de la cyberscurit que nous avons rencontrs, que
le vritable point de bascule entre une gestion ractive du risque cyber et sa vritable matrise est la
mise en place dune dmarche de cartographie des risques.
cet gard, on lira avec intrt les tmoignages de RSSI de voyages-sncf.com, accordhotels.com ou fnac.
com qui dcrivent comment cet exercice est pratiqu dans leur organisation respective.

LE RSSI, ACTEUR INCONTOURNABLE LA CROISE


DES MTIERS ET DE LA TECHNO
Quel positionnement doit adopter lquipe cyberscurit vis vis du reste de lorganisation au sein dun
site de e-commerce? Contrleurs-censeurs, Experts, Animateurs, Diffuseurs de la bonne parole?
Certes, un peu de tout a la fois, mais des nuances existent au sein des organisations que nous avons
interviewes.
Les interactions entre lquipe cyberscurit et le reste de lentreprise sont multiples. Cest dailleurs vraisemblablement laune de la frquence et de la qualit de ces interactions que lon peut mesurer la maturit dune entreprise sur la cyberscurit.

CONCILIER BUSINESS ET CYBERSCURIT:


UNE APPROCHE PAR LES RISQUES
Faire du business, cest assumer une part de risque. Et le risque cyber fait partie de ces risques nous
a dclar un interview.
De faon assez franche, certains RSSI nous ont confi quils avaient vcu la poursuite effrne vers la
fluidification des parcours clients (particulirement le fameux achat en one click) comme un retour
en arrire en matire de bonnes pratiques de cyberscurit. Mais tous ont compris que le RSSI qui dit
systmatiquement non appartenait au pass!
Une volution trs profonde du mtier de RSSI est-elle en train de se produire? Un interview a eu cette
formule loquente : je me considre dabord comme un commerant avant dtre un spcialiste de
la cyberscurit.

COMBINER SOLUTIONS TECHNIQUES


ET ORGANISATIONNELLES
Mais, il y a aussi une bonne nouvelle dans cette course lchalote: les solutions de cyberscurit elles
aussi progressent et elles ne sont pas que techniques.
Nous avons notamment interview des spcialistes des Bug Bounties: luberisation des tests dintrusion
(mme Apple sy est mis !). Nous avons aussi rencontr des assureurs qui proposent maintenant une
gamme large de produits. Mme si, aux dires dune spcialiste: les produit dassurance cyber continuent
figurer parmi les plus complexes qui soient.
La cyberscurit a videmment un cot. Mme au sein des entreprises les plus matures, ce cot est
dailleurs trs difficile chiffrer avec prcision. Mais, loin des ides reues selon lesquelles les investissements en cyberscurit seraient comme le tonneau des Danades, les spcialistes qui ont contribu cet
ouvrage rappellent que le niveau de protection contre les cyber-attaques nest pas strictement proportionnel aux investissements consentis. Une dose de bon sens combin des investissements raisonnables
permettent dj de se protger contre un nombre important dattaques en masse.

Livreblanc - octobre 2016

SYNTHSE

LES ENJEUX JURIDIQUES:


DU PARTAGE DE RESPONSABILIT AVEC
SES PRESTATAIRES, LA PRISE EN COMPTE
DU NOUVEAU RGLEMENT EUROPEN SUR
LA PROTECTION DES DONNES
La cyberscurit revt aussi une dimension juridique, particulirement en ce qui concerne le partage de
la responsabilit entre le site de e-commerce et ses prestataires.
La lecture des tmoignages nous renseigne sur limportance quaccordent les entreprises matures en
cyberscurit la rdaction des clauses contractuelles relatives, par exemple, la correction des failles
de scurit. Mais, comme le rappellent certains RSSI interviews, le tout nest pas de se border
juridiquement, il faut tre en mesure de tester rgulirement les solutions du prestataire.
Par ailleurs, Le Rglement europen [RGPD], adopt le 27 avril dernier et qui entrera en application
compter du 25 mai 2018, place la scurit des traitements au cur des principes de protection
des donnes personnelles. On se rfrera avec intrt aux points de vue du juriste que nous avons dissmins tout au long de ce Livre Blanc.

CYBERSCURIT:
FAUT-IL EN PARLER AUX CLIENTS ET COMMENT?
Quel discours tenir aux clients vis vis de la cyberscurit? Il faut bien le reconnatre, la rponse est loin
dtre vidente.
On sent chez tous les interviews une grande rserve communiquer sur un sujet jug hautement
sensible. Les enjeux sont bien sr trs importants en termes dimage. Mais, les pratiques qui se
dveloppent outre atlantique pourraient faire voluer les choses.

EN MATIRE DE CYBERSCURIT,
LUNION FAIT LA FORCE!
Les RSSI en conviennent, il ny a pas, sur ces sujets, denjeux concurrentiels. Lensemble du secteur a
intrt serrer les rangs contre les cybermenaces.
Les Pouvoirs Publics jouent un rle actif dans cette lutte. Dans cet ouvrage, lANSSI donne des recommandations sur la mise en place dune dmarche dhomologation de scurit en 9tapes.
Des associations ou groupements existent et jouent eux-aussi un rle essentiel; nous en avons sollicit
certains (CESIN, CLUSIF) qui ont accept de nous donner leurs clairages. Dans un encart, le prsident
du CLUSIF rappelle que la cyberscurit ne concerne videmment pas que les grandes entreprises mais
galement les PME.

Livreblanc - octobre 2016

SYNTHSE

WHATS NEXT EN MATIRE DE CYBERSCURIT?


Les RSSI que nous avons rencontrs ont deux chantiers majeurs qui souvrent devant eux: la gnralisation de lusage du cloud pour stocker et traiter la data et la protection des donnes personnelles.
Avec le recours de plus en plus frquent aux services disponibles dans le cloud, il nest pas exagr
de dire que linformatique vit une vritable rvolution. Mais, toute rupture technologique de cette ampleur
ne saccompagne pas forcement de bienfaits immdiats! Elle peut aussi avoir des effets pervers, particulirement en matire de cyberscurit. Nous avons demand aux RSSI que nous avons rencontrs si
le cloud ntait pas pour eux: leur pire cauchemar ou leur prochain salut!
Indubitablement, la protection des donnes personnelles sera le prochain grand chantier de tous les
RSSI de sites de e-commerce dans les prochaines annes. Dailleurs certains sy prparent dj avec
la perspective de lentre en application compter du 25 mai 2018 du Rglement europen sur la
protection des donnes [RGPD], adopt le 27avril dernier, qui place la scurit des traitements au cur
des principes de protection des donnes personnelles.
Tous ont compris que limpact serait fort sur leur activit et leur organisation.

Bonne lecture,

Mathieu SEN Bertrand PINEAU


OCTOBRE 2016

Livreblanc - octobre 2016

10

Livreblanc - octobre 2016

LES CONTRIBUTEURS
AU LIVRE BLANC

Ce Livre Blanc est un travail minemment collectif qui a mobilis de trs nombreuses personnes aux
comptences trs varies; cela fait la richesse de ce document. Que toutes les personnes ayant contribu
ce document soient chaleureusement remercies ! Nhsitez pas les contacter, ce sont tous des
passionns de leurs sujets de prdilection!

COORDINATION DU PROJET:
Bertrand Pineau (FEVAD)
Dans le cadre de ce Livre Blanc, Bertrand avait la responsabilit du projet pour le compte
de la Fevad. Il a assur la communication du projet auprs des adhrents et collabor avec
Mathieu chaque tape de sa ralisation.
Il avait prcdemment assur ces mmes fonctions dans le cadre de la ralisation du Livre Blanc de
la Fevad sur La scurisation des moyens de paiements sur internet.
Bertrand est en charge la Fevad de linnovation, la veille et le dveloppement. Il coordonne galement les
commissions Paiement/Montique/ Fraude et Logistique de la Fevad.
Mathieu Sen (Praxton Consulting)
Dans le cadre de ce Livre Blanc, Mathieu a assur la direction du projet, la coordination
avec lensemble des contributeurs et le pilotage de leurs contributions pour couvrir
lobjectif attendu. Il a men les interviews avec les e-commerants et en a extrait la
substantifique moelle.
Pour la Fevad, Mathieu Sen avait dj coordonn llaboration dun prcdent Livre Blanc sur La scurisation des moyens de paiements sur internet.
Mathieu Sen dispose de plus de 20ans dexprience dans le conseil stratgique et oprationnel. Il est
spcialiste du cadrage et du lancement doffres de services radicalement innovantes.
En 2011, Mathieu Sen cre Praxton Consulting (www.praxton.fr) une structure de conseil ddie aux
Directeurs Gnraux ou Directeurs Oprationnels. leurs cts, Praxton Consulting pilote la
concrtisation dopportunits business (nouveaux services) en mobilisant lintelligence collective.

Livreblanc - octobre 2016

11

LES CONTRIBUTEURS AU LIVRE BLANC

AVEC LE SOUTIEN DE:


NBS SYSTEM
NBS System est le leader franais de linfogrance de sites de e-commerce, particulirement dans
le domaine de la haute scurit. La socit hberge plusieurs milliers de serveurs, sur ses propres
datacenters ou Amazon Web service, sur de multiples technologies Magento, Hybris, Drupal
La socit a t fonde en 1999et proposait originalement des tests dintrusion et audits, ce
quelle fait toujours, en plus de son activit dhbergement de trs haute scurit, valide PCI/
DSS de niveau 1(version 3). Elle hberge ce jour de nombreux sites de e-commerce et institutionnels et compte parmi ses clients des rfrences comme IPH, Lafuma, Vivarte, Amer
Sport, Chantelle, Zadig et Voltaire, I24tlvision, Made Design, Interflora, le groupe Brady et
de nombreux autres.
NBS System a rejoint le groupe Oceanet Technology en janvier 2016, groupe qui pse
dsormais 25M pour un total de 140salaris. Philippe Humeau dite galement le benchmark
des solutions e-commerce, qui tudie en dtail 15solutions afin daider les e-commerants
choisir la meilleure solution pour leur activit, dj lu par plus de 60000personnes dans
le monde.
Nous contacter:
contact@nbs-system.com

0158566080
https://www.nbs-system.com

AKAMAI

Leader mondial des services de rseau de diffusion de contenus (CDN), Akamai offre
ses clients des performances internet rapides, fiables et scurises. Les solutions avances
dAkamai en matire de performances Web, performances mobiles, scurit dans le cloud et
diffusion multimdia rvolutionnent la faon dont les entreprises optimisent les expriences
des internautes, des entreprises et du divertissement sur tous les terminaux, partout dans
le monde.
QUELQUES FAITS
Dploiement rseau :
Akamai dtient le rseau de diffusion de contenus (CDN) haute distribution le plus fiable,
avec plus de 220000 serveurs rpartis dans 127 pays et dploys sur 1580 rseaux.
Akamai offre des performances prouves :
Akamai dlivre chaque jour un volume de trafic Web atteignant plus de 30 trabits
par seconde;
Akamai achemine chaque jour plus de 2millemilliards dinteractions sur internet.
Akamai assure la diffusion de contenus pour plus de 30millions de sites :
les 60 plus grands sites internationaux de-commerce;
les 30 plus grandes socits du secteur mdias et du divertissement;
les 10 plus grandes banques;
six des 10 principaux constructeurs automobiles europens.
Contact : Adlane Belahouel
mbelahou@akamai.com
12

Livreblanc - octobre 2016

01 56 69 52 87
https://www.akamai.com/fr

LES CONTRIBUTEURS AU LIVRE BLANC

BOUNTYFACTORY PAR YESWEHACK

AMLIORE LA SCURIT IT DE VOTRE ENTREPRISE


Reposez-vous sur une communaut dexperts, dont notre quipe ddie, pour renforcer en
continu votre primtre IT et dtecter les vulnrabilits avant quelles ne soient exploites.
Bounty Factory est la premire plate-forme europenne de Bug Bounty. Elle permet de mettre
les comptences de centaines de chercheurs et dexperts en scurit des systmes dinformation, par la voie de la crowd security, au service des entreprises:
de manire prive, team prive YesWeHack, de 1 50personnes;
ou publique, ouverture monde plus de mille personnes.
Le concept du Bug Bounty est simple: il sagit pour une entreprise de rcompenser tous ceux
qui trouvent des failles de scurit sur les services et primtres soumis (site Web, applications, API) dans le cadre du programme quelle rdige au pralable cette fin.
Cela permet dtre proactif sur son volet scurit et dprouver ses primtres de manire
continue dans le temps, en sappuyant sur une communaut dexperts rassemble sur
BountyFactory.io.
Le Bug Bounty instaure galement une manire innovante de communiquer vos clients que
vous intgrez la scurit dans votre entreprise.
Dcouvrez Bounty Factory en vido sur notre site:
https://bountyfactory.io
Si vous souhaitez en savoir plus, nous serons ravis dchanger avec vous, de rpondre vos
questions et de vous accompagner pour amliorer le niveau de scurit de votre entreprise
grce nos outils.
Nous contacter:
contact@yeswehack.com
https://bountyfactory.io/ | https://yeswehack.com/ | https://firebounty.com

CONTRIBUTEURS AU LIVRE BLANC:

Pascal Agosti (Caprioli & Associs), Jean-Christphe Baptiste (Sysdream), Anthony Baube (Sysdream), Lionel
Benao (Grand Thorton), Franck Boniface (vestiairecollective.com), Alain Bouill (CESIN), Thomas Brault
(Gras Savoie), ric Caprioli (Caprioli & Associs), Damien Cazenave (vente-privee.com), Caroline Chalindar-Gin (APCO worldwide), Ilne Choukri (Caprioli & Associs), Alexandre Cognard (vestiairecollective.
com), Emmanuel Cordente (voyages-sncf.com), CyrilleTesser (ANSII), Ely de Travieso (Bug Bounty Zone),
Philippe Humeau (NBS System), Korben (YesWeHack), Franois Lecomte-Vagniez (Lobary), Marc Le Guennec
(RAJA), Matthieu Le Louer (accorhotels.com), Laura Letteron Filitov (Grand Thorton), Emmanuel Mac
(Akamai), Florian Nivette (Sysdream), Corinne Nol (fnac.com), Lazaro Pejsachowicz (CLUSIF), Marie-Astrid
Pirson (Hiscox), Vincent Richir (APCO worldwide), Arnaud Treps (accorhotels.com).

Livreblanc - octobre 2016

13

14

Livreblanc - octobre 2016

SOMMAIRE

PARTIE 1
TMOIGNAGES: LA GESTION DU RISQUE CYBER
AU QUOTIDIEN VUE PAR LES E-MARCHANDS 19
1.

Prsentation des interviews 19

2.

Perception des interviews sur lvolution des cyber menaces 23


2.1 Un phnomne qui nest pas nouveau mais qui prend
brutalement de lampleur en voluant profondment 23
2.2 Qui sont les hackers? 30

3.

 rincipes causes de vulnrabilit aux cyber


P
risques identifies par les interviews 33
3.1 Point commun: des sites qui nont pas t conus nativement pour la scurit 33
3.2 La maintenance des sites: indispensable mais souvent neglige 34
3.3 La cyberscurit: un sujet parmi tant dautres priorits, elles aussi vitales! 34
3.4 La ncessit de faire voluer en permanence la politique
de scurit avec la taille de lentreprise 35
3.5 Une succession rapide de rvolutions intgrer pour les e-marchands 37

4.

 ense et dveloppement dune politique de gestion


G
des risques cyber chez les interviews 39
4.1 La ligne maginot et les talons dachille 39
4.2 Faire face dans lurgence aux ppins petits ou gros: la dmarche ractive 39
4.3 voluer vers une politique de pilotage du risque cyber 40
4.4 Une mise sous contrle du risque cyber plus ou moins longue
et laborieuse qui repose sur des prrequis 41
4.5 La cartographie des risques: point de dpart de toute
dmarche de matrise du risque cyber 43
4.6 Grer plutt que subir le risque cyber: une ncessit 44
4.7 Conformit et scurit, deux notions ne pas confondre! 45

Livreblanc - octobre 2016

15

SOMMAIRE

5.

 a gestion du risque cyber: un enjeu organisationnel


L
pour les entreprises de e-commerce 48
5.1 Lquipe cyberscurit 48
5.2 Dvelopper une culture de la cyberscurit 60
5.3 Limportance de la scurit fonctionnelle 63
5.4 Quel partage des responsabilits entre les parties prenantes internes? 63
5.5 tre prt affronter la crise 64

6.

Comment concilier e-business et scurit? 65


6.1 Fluidification du parcours client: retour en arrire
ou mouvement inluctable? Jusquo aller? 65
6.2 Les dveloppements agiles sont-ils compatibles
avec la scurit? 66
6.3 Le RSSI: intgrer la dimension business pour faire progresser la cyberscurit 67
6.4 Vis vis des clients: quel discours tenir sur la cyberscurit? 68
6.5 Quelles relations entretenir avec lcosystme pour lutter contre les cyber-attaques? 70

7.

 e whats next en matire de cyberscurit pour


L
les sites de e-commerce: le pire est-il devant? 72
7.1 Le cloud: cauchemar absolu ou prochain salut pour le rssi? 72
7.2 Lenjeu de la protection des donnes personnelles est aussi organisationnel 75

PARTIE 2
TAT DES LIEUX CLS DE LECTURE 77
1.

Introduction: quelques cls de comprhension 77


1.1 Le e-commerce:
un secteur forcment attractif pour les cyber-pirates 77
1.2 Motivations et modes opratoires des pirates 78
2. volutions de la nature et de la typologie des cyber-attaques 83

2.1

Lindustrialisation des attaques 83


2.2 Attaques multi-vecteurs 84
2.3 Les bots, une menace de plus en plus prsente 84

3.

Les risques cyber pour les e-marchands 86


3.1 Les risques cyber vus par les assureurs 86
3.2 Les consquences financires du risque cyber:
exemples chiffrs 87

16

Livreblanc - octobre 2016

SOMMAIRE

PARTIE 3
COMMENT METTRE EN UVRE ET RENFORCER
UNE VRITABLE POLITIQUE DE CYBERSCURIT
POUR UN SITE DE E-COMMERCE 91
1.

 utils de diagnostic permettant de situer la maturit


O
dun site de e-commerce en matire de cyberscurit 91

2.

Principales tapes de la dmarche de mise sous contrle du risque cyber93


2.1 Lhomologation de scurit en 9tapes 93
2.2 La protection contre les cyber-attaques
nest pas le privilge des grandes entreprises! 96
2.3 Offre globale dvaluation 360 du risque cyber
pour les e-commerants 98

3.

Panorama des solutions techniques et organisationnelles 101


3.1 Panorama des solutions techniques 101
3.2 Le waf, la premire ligne de dfense du e-commerant 103
3.3 Les cyber-assurances 104
3.4 Cyber-incident: comment grer la communication? 111
3.5 Les bugs bounties 117
3.6 Lanalyse de risque123
3.7 Le test dintrusion 127
3.8 Lanalyse inforensique 133

4.

 ots conomiques de la mise en uvre dune politique


C
de cyberscurit pour un site e-marchand140

Partie 4
ANNEXES 143
1.

Recommandations anssi 143


1.1 Recommandations relatives la protection des sites
contre les dfigurations 143
1.2 Recommandations relatives la protection des sites
contre les attaques en dni de service  144

2.

Ressources utiles 147


2.1 Guide des bonnes pratiques 147
2.2 tudes / donnes de rfrence 148
2.3 Solutions & prestataires 148
2.4 Organismes publics 148
2.5 Associations 149
2.6 Autres 149
2.7 Formations 149

Livreblanc - octobre 2016

17

18

Livreblanc - octobre 2016

PARTIE 1| 1. PRSENTATION DES INTERVIEWS

PARTIE 1
TMOIGNAGES: LA GESTION
DU RISQUE CYBER AU QUOTIDIEN
VUE PAR LES E-MARCHANDS

1. PRSENTATION DES INTERVIEWS


ACCORHOTELS.COM
Lensemble des rservations gr par le systme central du groupe ACCORHOTELS (qui comprend en
plus des rservations purement internet des sites ACCORHOTELS, les rservations issues des platesformes de rservation externes de type booking) reprsentent 60 % du chiffre daffaires du groupe.
Les rservations purement e-commerce (rservations passes sur les sites ACCORHOTELS) avoisinent les
80000rservations par jour, soit un tiers du chiffre daffaires.
Arnaud TREPS est directeur adjoint de la scurit informatique du groupe
ACCORHOTELS.
Aprs quelques annes en tant que dveloppeur et administrateur de rseaux, il rejoint
lunivers de la scurit informatique en tant que penetration tester. Depuis 10ans dans
les quipes scurit informatique ACCORHOTELS, lui et ses quipes accompagnent
les grands projets du groupe. Il participe notamment aux travaux du CLUSIF sur la scurit des applications Web.
Matthieu LE LOUER est directeur des systmes de paiement client.
Aprs une quinzaine danne dans le monde de la rservation htelire et la distribution
e-commerce, directe comme indirecte, Matthieu a rejoint lunivers du paiement
e-commerce en 2012. Il est aujourdhui en charge des systmes de paiement de proximit,
de paiement en ligne, et de gestion de la fraude.

VOYAGES-SNCF.COM
Voyages-sncf.com emploie plus de 1000 collaborateurs, rpartis sur plusieurs sites (Paris, Madrid,
Bruxelles). Le groupe a ralis un volume daffaires de 4,32milliards deuros en 2015.
Lquipe scurit compte aujourdhui sept personnes. Selon Emmanuel Cordente, la taille de cette quipe
sinscrit dans la norme. Au-del de lquipe lintgration du volet scurit dans les missions de chaque
collaborateur est fondamentale. Lquipe scurit est rattache au directeur gnral de lentit VSC
Technologies. En plus dtre la DSI de Voyages-sncf.com, cette entit est galement ditrice et fournisseur
de solutions pour le compte de clients externes au sein de la galaxie SNCF. VSC Technologies gre par
exemple le site sncf.com ou les applications mobiles. Elle prend en charge galement des infrastructures
Big data pour la SNCF.

Livreblanc - octobre 2016

19

PARTIE 1| 1. PRSENTATION DES INTERVIEWS

Le primtre de lquipe de scurit stend tous les sujets traitant de la malveillance, lexception des
sujets relatifs la fraude au paiement. Ces sujets sont traits par une quipe ddie, en raison de leur
caractre trs spcifique.
Emmanuel Cordente est Responsable de Scurit des Systmes dInformation (RSSI).
Depuis 6ans chez Voyages-sncf.com et passionn par la technique, Emmanuel a eu loccasion dvoluer au travers des diffrents mtiers du logiciel (dveloppement, architecture,
gestion de projet) et des infrastructures systmes et tlcoms, avec un attrait important
pour les sujets scurit.
Il participe la formation des futurs talents, en enseignant les mthodes de dveloppement scuris
lcole des Mines de Nantes.
Emmanuel est le fondateur du Cercle des RSSI du Web, qui rassemble les RSSI des principaux sites
de-commerce franais.

FNAC.COM
Le Groupe FNAC est une entreprise de distribution de biens culturels, de loisirs et de produits techniques.
Leader en France et acteur majeur dans les pays o il est prsent (Espagne, Portugal, Brsil, Belgique,
Suisse, Maroc, Qatar, Cte dIvoire), le Groupe FNAC dispose fin juin 2016dun rseau multi-format de
205magasins (dont 125magasins en France), des sites marchands avec notamment fnac.com, positionn
3me site de e-commerce en termes daudience en France (prs de 10millions de visiteurs uniques/mois).
Acteur omni-canal de rfrence, le Groupe FNAC a ralis en 2015 un chiffre daffaires consolid
de 3,876milliards deuros et emploie 14100collaborateurs.
Corinne Nol occupe la fonction de RSSI de la Fnac.
ce titre, ses missions portent, entre autres, sur la dfinition et la communication de la
politique de scurit du SI, sur la gestion et sur lactualisation de la cartographie des risques
pour lensemble du groupe. Son primtre couvre la fois les magasins physiques et le
on line, en France et linternational.
Avec la gnralisation du digital, la cybercriminalit est une menace relle qui prend de nombreuses
formes travers les attaques informatiques (virus, attaque DDOS, tentative dusurpation didentit ).
Il revient Corinne Nol de sassurer que les moyens de protections mis en uvre sont adquats et efficaces.

VESTIAIRE COLLECTIVE
Vestiaire Collective a t lanc en octobre 2009avec lintention doffrir une plate-forme communautaire
sur laquelle les membres pourraient acheter et vendre, dans les meilleures conditions, des vtements et
accessoires de mode haut de gamme et luxe doccasion. Le catalogue est compos des pices les plus
inspirantes provenant de garde-robes de centaines de milliers dutilisatrices dans le monde. Prs de
100 000 nouvelles personnes sinscrivent chaque mois, et rejoignent une communaut internationale
de 4millions de membres. Ceux-ci sont lorigine de plus de 3millions dinteractions chaque mois. ce
jour, 180personnes sont employes par la start-up et rparties dans les bureaux de Paris, NYC, Londres,
Berlin et bientt Milan et Madrid.
Alexandre Cognard est lun des cofondateurs de Vestiaire Collective.
Il en est aujourdhui le CTO.
ce titre, il a la responsabilit de lensemble des quipes techniques qui administrent
et font voluer la plate-forme technique. La scurisation du systme informatique rentre
galement dans son primtre.
20

Livreblanc - octobre 2016

PARTIE 1| 1. PRSENTATION DES INTERVIEWS

Franck Boniface est vice prsident excutif de Vestiaire Collective.


Il se prsente comme une pice rapporte laventure originelle de Vestiaire Collective.
la demande du conseil, il est venu soutenir lquipe il y a trois ans et demi, la moiti
de son histoire. Franck a en charge la partie administrative, financire, juridique mais
galement la Business Intelligence.
La connaissance des comportements clients est une dimension essentielle du business modle de
Vestiaire Collective. Cest la raison pour laquelle Vestiaire Collective attache une attention particulire
au stockage et lexploitation des donnes clients.

VENTE-PRIVEE.COM
Spcialiste depuis plus de 20ans du dstockage dans lunivers de la mode et de la maison, vente-privee.
com organise des ventes vnementielles de produits de grandes marques dans tous les domaines :
prt--porter, accessoires de mode, quipement de la maison, jouets, articles de sport, high-tech, gastronomie Une relation directe avec plus de 3 000 marques partenaires dans toute lEurope permet de
proposer des prix fortement dcots.
Damien CAZENAVE a t nomm CISO dans le groupe vente-privee.com en mai 2016.
Dbutant chez Cdiscount il y a 15ans, Damien CAZENAVE a dabord intgr lquipe Rseau
et Systme au sein de la DSI avant den prendre la responsabilit. En 2009, il est nomm
Directeur de la Scurit SI du groupe Cdiscount/Cnova. Damien se considre comme
un touche--tout de linformatique avec un got personnel prononc pour la scurit
informatique. Il est galement co-organisateur de la Sthack, un vnement annuel ddi la scurit
informatique avec des confrences sur des travaux de recherche en scurit.

RAJA.FR
Le groupe Raja, cr il y a 60ans, est une entreprise familiale. Le groupe Raja compte plus de 500000clients
en Europe qui il propose une large gamme de produits demballage (10 000 produits disponibles).
Lactivit principale de Raja est la distribution de cartons, demballage, de calage Le groupe ambitionne
dtre, pour toutes les entreprises clientes, le partenaire privilgi pour leurs achats de consommables et
dquipements demballage. Le groupe est implant aujourdhui dans 15pays europens au travers de
18socits. Il a ralis un chiffre daffaires de 475millions deuros en 2015. Il compte 1600collaborateurs.
Marc Le Guennec est le DSI du groupe RAJA.
La direction informatique compte 30personnes (production, tude, dveloppements, et
exploitation). Sur un certain nombre de domaines fonctionnels, les filiales du groupe Raja
disposent de leur propre SI indpendant du reste du groupe. Le site internet en revanche,
fait partie des briques mutualises. Il est administr techniquement par les quipes SI du
groupe et fonctionnellement par la Direction marketing Web. Le site cur est dclin en 16 versions
diffrentes pour chaque pays. Lquipe Web compte une quinzaine de personnes. Il existe une grande
proximit entre les quipes SI et Web.

SITEDEECOMMERCE.COM
Ce site de e-commerce, interview dans le cadre de ce Livre Blanc, a souhait que son tmoignage reste
anonyme. Il sera nomm SiteDeEcommerce.com dans la suite du document et la personne interviewe:
Charles.

Livreblanc - octobre 2016

21

PARTIE 1| 1. PRSENTATION DES INTERVIEWS

SiteDeEcommerce.com existe depuis le dbut des annes 2000. La socit emploie environ
500personnes et a ralis un chiffre daffaires suprieur 250millions deuros. Le groupe est prsent
linternational.
Charles travaille depuis plusieurs annes chez SiteDeEcommerce.com. Il fait partie des
quipes mtier qui travaillent quotidiennement avec la DSI.
La capacit de SiteDeEcommerce.com innover ajoute lavantage concurrentiel quil tire
de la technologie sont, selon Charles, deux facteurs qui exposent plus particulirement
SiteDeEcommerce.com au risque de cyber-attaques.
Assez rcemment, SiteDeEcommerce.com a t victime dune attaque par dni de service. Fort heureusement, seuls certains serveurs ont t atteints. Pendant quelques heures, certaines commandes nont pas
pu tre prises, ce qui sest traduit par une perte de chiffre daffaires.

LES ENCADRS
POINTS DE VUE DU JURISTE
qui jalonnent ce Livre Blanc donnent un clairage juridique sur la
rglementation en vigueur concernant la cyberscurit. Ils ont t
rdigs par le cabinet Caprioli & Associs que nous remercions
chaleureusement.

Le droit au service de la confiance numrique.


Cabinet fond en 1995 par Matre ric Caprioli, (avocat la Cour et membre de la dlgation
franaise lONU sur le commerce lectronique), lquipe, base Paris et Nice, est entirement
ddie au droit de linformatique, du numrique et des proprits intellectuelles. Le cabinet
accompagne des grands comptes, des PME innovantes dans le dveloppement de leurs projets
technologiques et de transformation digitale. Il les assiste dans la mise en conformit de leurs
donnes personnelles et dans leurs ngociations contractuelles. Lquipe sillustre galement
dans la gestion des contentieux et arbitrages technologiques, commerciaux et de proprits
intellectuelles. Lapproche suivie se fonde sur une longue et riche expertise reconnue sur la place.
Le cabinet a dvelopp des mthodologies spcifiques dans tous ses domaines dactivit. Fort de
sa connaissance approfondie des lments techniques et scurit ainsi que des mtiers, le cabinet
apprhende les besoins client afin de dterminer les solutions juridiques optimales en correspondance avec la stratgie de lorganisation (LegalMix ).
Lesprit du cabinet se caractrise par : ouverture, coute, agilit, pluridisciplinarit, rigueur et
originalit.
ric A. CAPRIOLI, avocat la Cour de Paris, Docteur en droit
Pascal AGOSTI, avocat associ, Docteur en droit
Ilne CHOUKRI, avocat associ, Docteur en droit

22

Livreblanc - octobre 2016

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

2. PERCEPTION DES INTERVIEWS SUR LVOLUTION


DES CYBER MENACES
2.1 UN PHNOMNE QUI NEST PAS NOUVEAU MAIS QUI PREND
BRUTALEMENT DE LAMPLEUR EN VOLUANT PROFONDMENT
Les cybers-attaques:
Toujours plus loin, toujours plus vite, toujours plus sophistiques
Lensemble des interviews est unanime sur ce point: les cyber-attaques se sont multiplies au cours des
deux dernires annes mme si comme le souligne Alexandre Cognard (vestiairecollective.com), qui avant
de crer Vestiaire Collective a travaill dans une agence Web, le sujet de la cybercriminalit ne peut pas
tre, en lui-mme, considr comme nouveau.
Emmanuel Cordente (voyages-sncf.com) a la sensation que la menace augmente danne en anne: a va
toujours plus loin, a va toujours plus vite, cest de plus en plus sophistiqu rsume-t-il. Cest dautant plus
vrai pour les grosses entreprises comme la ntre qui sont par dfinition plus exposes. On est attaqu en
permanence dclare-t-il.
Mais, le constat de la recrudescence des cyber-attaques nest videmment pas lapanage des trs gros
e-commerants; il est partag quelle que soit la taille de lentreprise.
Marc Le Guennec (raja.fr) constate lui aussi un accroissement fort des cyber-attaques: Nous sommes
quotidiennement la cible dattaques virales. Elles sont heureusement bloques par les antivirus que nous
avons dvelopps dclare-t-il.
Ce constat, certes bien rel, est trs largement amplifi par le traitement mdiatique dont il fait lobjet.
Pour Alexandre Cognard (vestiairecollective.com), les cyber-attaques sont devenues un sujet grand public.
La recrudescence des attaques cibles
Alexandre Cognard (vestiairecollective.com) confirme que Vestiaire Collective, comme les autres sites
de-commerce, fait face deux types dattaques: des attaques non-cibles - les plus nombreuses et qui ne
requirent pas de comptences pointues pour les hackers - et dautre part des attaques cibles.
Arnaud Treps (accorhotels.com) rsume ainsi la situation vcue par lensemble des interviews: Pendant
longtemps, la majorit des attaques tait non cibles. Les sites taient attaqus du seul fait quils gnraient du trafic. Les pirates procdaient de faon alatoire. Ils ciblaient les sites tout azimut. Et, finalement,
ctaient les sites les plus vulnrables qui taient attaqus en priorit. Lobjectif poursuivi par les pirates
ntait pas forcment le vol de donnes. Aux yeux des hackers, seul comptait le trafic gnr par le site
pour pouvoir dtourner trafic ou diffuser un virus. Le rsultat nen restait pas moins dsastreux en termes
dimage pour les sites touchs. Maintenant, nous devons faire face au dveloppement dattaques cibles.
Si elles russissent, certaines dentre-elles peuvent avoir un retentissement mdiatique trs fort.

Livreblanc - octobre 2016

23

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

Lattaque par dni de service


Lattaque par dni de service nest pas non plus un phnomne nouveau mais lui aussi tend se dvelopper de manire proccupante. Elle consiste pour un hacker isol ou une organisation plus structure
menacer sa cible de faire tomber le site si cette dernire ne sacquitte pas dune somme souvent libelle
en bitcoins.
Arnaud Treps (accorhotels.com) constate que ces chantages sont de plus en plus frquents ces derniers
temps, mme si, fort heureusement ils ne sont que trs rarement suivis deffet.
Marc Le Guennec (raja.fr) indique que le site a t rcemment lobjet dune attaque de ce type. Une adresse
IP base ltranger a tent de rendre indisponible le site en envoyant massivement des requtes, pendant une dure de 48heures. Fort heureusement, cela na pas provoqu lindisponibilit complte du site,
uniquement un certain ralentissement qui a dur le temps ncessaire pour reprer ladresse IP et pour la
Black lister.
Si le chantage au dni de service se dveloppe, pour Arnaud Treps (accorhotels.com) : il reste hors
de porte du premier venu. Il repose essentiellement sur le bluff.
Le chantage par dni de service ncessite en effet des moyens techniques et financiers. Le pirate doit
pouvoir sappuyer sur un nombre consquent dordinateurs. Soit le pirate dcide de se constituer
lui-mme son pool dordinateurs asservis et cela lui prendra du temps, soit il dcide de louer des
ordinateurs asservis des organisations qui oprent des botnets et cela lui cotera de largent.
Les botnets sont des rseaux de machines infectes. Il y a une vingtaine dannes, lorsquun ordinateur
tait infect, lordinateur ne marchait plus. Aujourdhui, les virus se comportent comme des chevaux de
Troie. Ils sont physiquement prsents sur les machines. Ils sont connects au serveur du pirate duquel
ils reoivent des ordres.
Pour constituer le rseau, les oprateurs de botnet ciblent prioritairement les sites fort trafic partir
desquels il est possible dinfecter en masse un nombre trs important dordinateurs.
Selon Damien Cazenave (vente-privee.com), lattaque par dni de service est incontestablement un sujet
majeur, qui peut avoir des consquences financires trs importantes pour une entreprise, mais sur
lequel elle ne peut adopter quune dmarche dfensive. En effet, contrairement dautres sujets de
scurit sur lesquels lentreprise peut agir en actionnant un certain nombre de leviers, en ce qui concerne
le dni de service, lentreprise ne peut sappuyer que sur des protections externes sur lesquelles elle a
moins de matrise directe. Toujours selon Damien Cazenave (vente-privee.com), des solutions existent
contre ce type dattaques, mais elles sont encore trs perfectibles.
Suite lattaque dont a t victime le site raja.fr, une solution logicielle sur les serveurs a t mise en place.
Elle permet notamment de contrler le nombre daccs aux serveurs et le nombre daccs effectus
partir dune mme adresse dans un mme laps de temps en vue, le cas chant, de pouvoir black lister
une adresse IP suspecte. Des sondes ont galement t installes. Elles permettent de dtecter toute
volution anormale du trafic (hausse du nombre de requtes).

24

Livreblanc - octobre 2016

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

LE POINT DE VUE DU JURISTE


LES ATTAQUES DOS (DENIAL OF SERVICES)
ET DDOS (DISTRIBUTED DENIAL OF SERVICES)
Les cyber-attaques de toutes sortes (ransomware, man in the middle et autres anglicismes vocateurs) se gnralisent. Lattaque
par dni de service (ou son anglicisme denial of
services) bien quexistant depuis les dbuts de
linformatique en rseau en reste lexemple le
plus emblmatique. Ce type dattaque consiste
envoyer un nombre trs important de requtes un site afin de le rendre indisponible,
partir dune mme adresse IP (attaque DoS
classique) ou de plusieurs serveurs (attaque
DDoS).
Les attaques DDoS sont les moyens daction prfrs des Anonymous. Certains types
dactivits sont davantage touchs que dautres
tels que le e-commerce et les institutions financires. ce titre, lANSSI prconise de prendre
un certain nombre de mesures techniques et
organisationnelles afin danticiper les risques.
Ces attaques sont trs souvent lourdes de
consquences (pertes financires, matrielles).
Cependant, les contrer semble parfois illusoire
dans la mesure o les serveurs ne sont pas toujours suffisamment scuriss.
Dans un guide publi en mars 2015 Comprendre et anticiper les attaques DDoS,
lAgence donne les cls essentielles sur les mesures prendre. Aprs avoir dtaill les diffrents types dattaques et les parades mettre
en uvre (filtrage, segmentation du rseau,
moyens humains, mthodes de dtection),
elle rappelle lobligation de notification des
failles de scurit qui pse sur les Oprateurs
dImportance Vitale ainsi que la possibilit de
dposer une plainte pour atteinte aux Systmes
de Traitement Automatis de Donnes (STAD)
conformment larticle 323-1du Code pnal
(Le fait daccder ou de se maintenir, frauduleusement, dans tout ou partie dun systme
de traitement automatis de donnes est puni
de deux ans demprisonnement et de 60000
damende). Or, un site internet est un STAD.
Pour quune infraction pnale soit caractrise,

il faut runir un lment matriel et un lment


moral. Ici, llment matriel est constitu
par le fait daccder (ou de se maintenir)
dans un systme automatis de donnes,
voir den altrer le fonctionnement.
Ainsi, dans le cadre dune attaque par
DDoS, lattaquant reste en priphrie du
serveur. Il ne fait que contacter le serveur
par un moyen normal. En aucun cas il ne
pntre le serveur au sens daccder des rpertoires, donnes ou interfaces scurises. Un
tel procd revient ce que des milliers de
personnes frappent quasi simultanment
la porte du serveur. Le site internet ne peut
pas accueillir toutes ces demandes: il sature et
devient incapable de rpondre dautres utilisateurs et peut alors tre totalement et durablement bloqu. Llment matriel de linfraction ne semble donc pas rellement constitu
faute daccs ou de maintien dans le serveur.
Larticle 323-2 du Code pnal semble plus
adapt en ce quil sanctionne le fait dentraver
ou de fausser le fonctionnement dun systme
automatis de donnes. Llment moral de
cette infraction tient dans lintention dentraver le fonctionnement. En revanche, il
nest pas ncessaire de prouver une intention
de nuire. Or, ce genre dattaque a pour objectif de paralyser le fonctionnement dun site, de
le mettre hors service. Ds lors, la dmonstration de lintention dentraver sera grandement
facilite par les constats matriels prouvant
le montage du dispositif spcifique ncessaire
pour mener bien lattaque. Llment matriel renvoie un acte positif de la part du
pirate. Cependant, il est ncessaire de vrifier
si les agissements du pirate constituent une
entrave au systme automatis de donnes
puisque ce nest qu cette condition que son
comportement pourra tre sanctionn par ce
texte (5ans demprisonnement et 150.000euros damende).

Livreblanc - octobre 2016

25

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

Le dveloppement du ransomware
Le chantage au vol de donnes est une autre possibilit de chantage. Dans ce cas, le matre chanteur
exhibe quelques donnes sensibles quil a t en mesure de subtiliser et tente de faire chanter sa cible en
la menaant de divulguer lintgralit de la base de donnes.
Les attaques de type ransomware sont apparues assez rcemment chez raja.fr. Marc Le Guennec (raja.
fr) constate que gnralement ce type dattaques est difficile contrer car, dans le cas des ransomware,
le virus nest pas propag de lextrieur mais de lintrieur, au moyen dune simple cl USB par exemple.
Face ce type dintrusion, on est relativement dmunis dplore Marc Le Guennec. Interdire lintroduction de tout support externe sur le rseau interne de lentreprise nest plus possible de nos jours. Fort
heureusement, Marc Le Guennec constate que les consquences de ces attaques sont restes mineures
chez Raja. Il a t possible de restaurer les donnes grces aux sauvegardes rgulirement effectues.

LE TRAITEMENT MDIATIQUE DES VOLS DE DONNES


LES PLUS SPECTACULAIRES DFORMENT LA RALIT DU TERRAIN
selon Alain Bouill, prsident du CESIN
Lenqute mene par le CESIN (*) montre quen matire dattaques, les entreprises se sentent
particulirement exposes au vol ou la fuite dinformations ou de donnes et aux attaques
virales. Mais dans les faits, lattaque la plus frquente est la demande de ranon (ransomware).
Ce dcalage entre perception et ralit sexplique, selon Alain Bouill, par labondant traitement mdiatique dont ont fait lobjet les cas de vol de donnes les plus spectaculaires.
Forcment, ce traitement amplifie loccurrence de ce type dincidents dans limaginaire des
responsables de la scurit.
Selon Alain Bouill, avec le ransomware, on est revenu la propagation de virus semi-cible;
lpoque o un grand nombre de personnes recevait le mme virus au mme moment, mme
si avec le ransomware, ce nest pas exactement le mme virus mais souvent des variantes qui
sont propages. En sappuyant sur des moyens informatiques devenus trs accessibles techniquement et conomiquement, le but poursuivi est de rcuprer quelques centaine deuros
jusqu plusieurs milliers, en ciblant le plus largement possible y compris les particuliers.
Pour Alain Bouill, la meilleure parade contre les ransomware, reste les sauvegardes
frquentes et dconnectes du SI!
(*) Sondage ralis par OpinionWay pour le CESIN, auprs de 125membres du CESIN, du 8au 22dcembre 2015.

26

Livreblanc - octobre 2016

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

Alain Bouill est le directeur de la scurit des systmes dInformation du Groupe Caisse des Dpts. Il est en charge de llaboration de la politique de scurit du Groupe, de la coordination et
du pilotage de sa mise en uvre dans les entits du Groupe et du
contrle de son efficacit.
Jusquen 2001, Alain Bouill tait RSSI du Groupe La Poste o il
exerait des fonctions similaires.
Alain BOUILL
PRSIDENT DU CESIN

Il a auparavant t en charge du programme scurit du systme


dinformation chez JPMorgan pour les rgions Europe et Afrique.
Il prside depuis juillet 2012le Club des Experts de la Scurit de
lInformation et du Numrique (CESIN) regroupant plus de 270RSSI
de grandes entreprises. Il est galement membre du CLUSIF,
du club R2GS, du CIGREF et du Cercle Europen de la Scurit et
est certifi CISM.

LE CESIN
Le CESIN (Club des Experts de la Scurit de lInformation et du Numrique) est une association loi 1901, cre en juillet 2012, avec des objectifs de professionnalisation, de promotion
et de partage autour de la scurit de linformation et du numrique.
Le CESIN est un lieu dchanges de connaissances et dexpriences qui permet la coopration
entre experts de la scurit de linformation et du numrique et entre ces experts et les
pouvoirs publics.
Le Club conduit des ateliers et groupes de travail, mne des actions de sensibilisation et
de conseil, organise des congrs, colloques, ou confrences.
Il participe des dmarches nationales dont lobjet est la promotion de la scurit de linformation et du numrique. Il est force de proposition sur des textes rglementaires, guides
et autres rfrentiels.
Le CESIN runit plus de 250 membres issus de tous secteurs dactivit publics et privs :
des membres actifs, responsables de la scurit de linformation dans leur organisation,
des membres associs, reprsentants de diverses autorits en charge de Scurit de
lInformation au plan national, des juristes experts de la scurit IT.

Livreblanc - octobre 2016

27

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

Les logins et les mots de passe plus prcieux


que les 16chiffres dune carte bleue?
En tudiant le nombre de tentatives de connexion sur un site, AccorHotels a pu constater une hausse
significative des tentatives didentification sur lespace client. Pour Arnaud Treps (accorhotels.com), la
raison est simple: les tentatives de connexion partir de listes didentifiants et de mot de passe rcuprs
partir de sites pirats et qui sont essays en masse sur le site dAccorHotels.
Au cours dune journe standard, accorhotels.com dnombre 2,5millions de tentatives dauthentification,
parmi lesquelles plus de 2millions sont bloques. Cela donne un bon ordre dide de lampleur du phnomne! Le faible taux de succs de ces tentatives sexplique principalement par le faible taux de recouvrement entre les bases de clients pirats et la base des clients dAccorHotels.
Ce constat fait dire Arnaud Treps: les bases de donnes contenant des adresses e-mails sont maintenant aussi attaques que celles contenant des numros de carte de crdit.
Les cas de vols massifs de donnes bancaires, particulirement aux tats-Unis, sont abondamment relays dans la presse. Mais, il ne faut pas oublier que le systme de protection des cartes bancaires est trs
diffrent du ntre en Europe. Selon Arnaud Treps, objectivement, avec les 16chiffres dune carte de crdit
les possibilits de fraude en Europe restent limites. Lauthentification du porteur de la carte grce au
procd 3D Secure est de plus en plus utilise par les sites de e-commerce. En Europe, le paiement
de proximit ncessite une carte puce, contrairement aux tats-Unis o la bande magntique, beaucoup
moins scurise, est encore largement utilise.
Mais, il en va tout autrement pour un compte client, qui donne accs un certain nombre dinformations
que les hackers peuvent plus facilement exploiter quun numro de carte bancaire.
Arnaud Treps prvient: un e-mail ou laccs un historique dachats peuvent avoir autant de valeur que
le numro 16chiffres dune carte de crdit pour un pirate averti. Lorsque les pirates disposent des deux
la fois, les consquences peuvent tre dsastreuses pour le client dun site de e-commerce!
Damien Cazenave (vente-privee.com) confirme quil existe un vrai business de la vente des identifiants
clients. Il prcise que la valeur dun identifiant peut tre indexe sur le scoring du client. Les hackers mesurent le scoring dun client en tentant des commandes portant sur des petits montants.
Une base de donnes vole contenant des e-mails clients peut servir alimenter des campagnes de
spams parfois trs personnaliss et dont la vracit de lmetteur est trs difficile mettre en doute.
Arnaud Treps en donne ci-aprs des illustrations qui montrent bien ltendue du risque.
Illustration de lutilisation frauduleuse dune adresse e-mail avec des donnes
provenant dun historique de clients dans le tourisme en ligne.
Dans le monde du voyage, les cas de fraude reposant sur lutilisation par les hackers de lhistorique dachats
dun client sont connus. Un cas classique est celui dun client qui ayant achet un billet davion ou une nuit
dhtel, se verra proposer au moyen dun mail phishing, une prestation additionnelle en lien avec ses
achats prcdents. Il aura, de ce fait, moins tendance se mfier.
Par exemple, le message du mail damorage pourra tre ainsi formul : vous avez command une
chambre dhtel de telle date telle date: pour vous faciliter le transfert aroport, nous vous proposons
notre service de voiturier. Pour en bnficier et gagner du temps lors de votre check out vous pouvez
souscrire ds maintenant en ligne ce service. Le paiement de la prestation ira directement alimenter
le compte de lorganisation criminelle lorigine de cette arnaque.
Des acteurs majeurs du tourisme parmi lesquels booking.com et expedia.com ont t victimes de ce genre
darnaques. Souvent, sans mme veiller les soupons de ces hteliers qui ne se rendaient compte de
28

Livreblanc - octobre 2016

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

rien, les hackers avaient russi se procurer les logins et les mots de passe dhteliers affilis ces platesformes de rservation, grce une premire vague de campagnes de phishing cibles.
Munis de logins et de mots de passe, les hackers pouvaient se logger aux plates-formes de rservation via
linterface ddie aux hteliers. Certes, cela ne leur permettait pas daccder aux donnes bancaires des
clients mais, ils disposaient par ce moyen dun accs complet lhistorique des clients. Pour les spcialistes, ce type dattaques est connu sous le nom de Spear Phishing, ou Phishing en deux coups, qui
dsigne en scurit informatique une variante de lhameonnage paule par des techniques dingnierie
sociale. On le voit; on est bien loin du mail envoy laveugle rempli de fautes dorthographe!
Ce type dattaques sest dvelopp il y a deux ans peu prs. Il pose bien entendu un problme majeur
aux plates-formes comme expedia.com et booking.com. Les enjeux sont mondiaux. La coopration entre
ces plates-formes et accorhotels.com est complte. Elle a notamment permis lmergence de solutions
comme lauthentification renforce des hteliers se connectant la plate-forme en ajoutant la vrification
des caractristiques des ordinateurs ou de la connexion internet par lesquels transite la connexion.
Les consquences dun vol didentifiant et de mot de passe peuvent tre particulirement dsastreuses
pour les clients des sites qui proposent lachat en un clic. Mais, les clients de sites qui ne proposeraient
pas cette fonctionnalit ne seront pas pour autant pargns. Ces clients peuvent tre cibls par des
campagnes de phishing qui exploitent opportunment les informations rvles par lhistorique des
commandes.
Le groupe dispose galement dun dispositif sur lequel il veut rester discret et qui lui permet de monitorer
finement les tentatives de connexion anormales.
Ce type de dispositif est complexe mettre en place et ncessite dtre constamment fine tunn. Inutile
de prciser que le blocage des connexions au-del dun nombre maximum de tentatives sur un compte
est ici totalement inadapt ce type dattaques. Les pirates testant une une les combinaisons identifiant-mot de passe figurant sur leur liste, passent au compte suivant en cas dchec.
Mme si elles restent infructueuses, ces tentatives en masse ont un impact certain sur la sollicitation des
systmes.
Damien Cazenave (vente-privee.com) confirme quil existe maintenant un certain nombre doutils plus ou
moins sophistiqus pour endiguer ce type dattaques. Mais, Damien Cazenave insiste sur limportance de
la scurit fonctionnelle. En cas de Brute Force, des tentatives en masse de connexion aux comptes
clients, rien de tel que les captcha pour stopper les tentatives automatises!
La protection des logins et des mots de passe:
le b.a.-ba de la protection des donnes clients!
On sait bien que les internautes ont la fcheuse tendance utiliser le mme mot de passe quel que soit
le site utilis. Les consquences de cette pratique peuvent tre dsastreuses quand lun de ces sites est
pirat, comme ce fut rcemment le cas pour les utilisateurs du rseau professionnel LinkedIn.
Pour Arnaud Treps (accorhotels.com), il a t intressant de constater que, dans la foule de lannonce
faite par LinkedIn sur le vol de mots de passe dont il avait t victime, certains acteurs importants du net
comme Facebook ont trs rapidement pris contact avec leurs propres utilisateurs. Ils ont attir leur
attention sur le risque quils encouraient utiliser un mot de passe qui avait pu tre pirat sur un autre
site que le leur.
Arnaud Treps prvient: pour lutter contre le spam certains clients trs pointilleux utilisent des adresses
e-mails spcifiques pour chaque site de e-commerce quils utilisent. En cas de spam, il leur est trs facile
didentifier partir de quel site leurs coordonnes ont t indment utilises ; les sites dficients sur
ce point sont prvenus!
Livreblanc - octobre 2016

29

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

Enfin, Arnaud Treps souligne que la dficience de protection des mots de passe sur certains sites de
e-commerce et les vols que cela peut provoquer constitue un point de vigilance particulier pour la CNIL.

2.2 QUI SONT LES HACKERS?


Finalement, les e-commerants interrogs ont une vision assez floue de leurs assaillants. Cest un peu
comme sils avaient plusieurs visages; de lamateur du dimanche qui cherche une distraction au hacker
chevronn dont les motivations peuvent tre trs varies.
Pour Alexandre Cognard (vestiairecollective.com), une information facilement disponible et des investissements trs limits font de la cybercriminalit une activit accessible au plus grand nombre. Cest indubitablement devenu un phnomne mondial qui revt un incontestable attrait pour certains pays en particulier.

LE POINT DE VUE DU JURISTE


ATTEINTES AU SYSTME DINFORMATION,
VOLS DE DONNES ET FUITE DINFORMATIONS:
INFRACTIONS ET SANCTIONS
Danne en anne, les risques lis aux donnes
nont cess de se dvelopper. Il est ainsi devenu courant pour une entreprise dtre victime
de vols et de fuites dinformations numriques
comme le rappelle laffaire Orange (cf. Fiche
Cyber Assurance).
Ds 1988(Loi Godfrain), le lgislateur a rprim les auteurs de telles attaques, mme si les
jurisprudences en la matire sont peu nombreuses. Pendant longtemps, la question de
savoir si le dlit de vol sappliquait au vol de
donnes sest pose.
Le vol sentend comme la soustraction frauduleuse de la chose dautrui (article 311-1du
Code pnal). Ainsi, pour pouvoir admettre quil
y a eu vol, encore faut-il runir deux lments:
un lment intentionnel et une soustraction de
la chose qui suppose la disparition des donnes, ce qui nest pas le cas pour les donnes
informatiques. Or, on est plutt dans lhypothse dun vol par reproduction des donnes.
Or, la loi du 13novembre 2014qui vise renforcer les dispositions relatives la lutte contre
le terrorisme, est ainsi venue modifier larticle
323-3 du Code pnal en ce quil sanctionne
dsormais latteinte aux donnes, cest--dire
le fait dextraire, de dtenir, de reproduire, de

30

Livreblanc - octobre 2016

transmettre frauduleusement les donnes


contenues dans un systme dinformation. Cet
article rprime les fuites dinformations. Ainsi,
le dbat quant lapplication de larticle 3111du Code pnal pour les vols de donnes est
rvolu. Depuis la loi du 24juillet 2015relative
aux renseignements, linfraction vise larticle
323-3est dsormais puni de cinq ans demprisonnement et de 150.000euros damende.
Larticle 323-1, al. 1du Code pnal sanctionne
quant lui le fait daccder ou de se maintenir
frauduleusement dans tout ou partie dun systme de traitement automatis de donnes,
ce qui implique lintention coupable dans la
ralisation de ces actes. La chambre criminelle
de la Cour de cassation sest prononce sur la
distinction entre ces deux infractions (accs et
maintien frauduleux) affirmant quelles taient
dissociables. La Cour relaxe le prvenu du chef
de lintroduction frauduleuse car le systme
en cause ntait pas protg, alors quelle dclare le prvenu coupable de maintien frauduleux dans un tel systme et de vol de donnes.
Aprs avoir dcouvert que celui-ci tait protg, [le prvenu] a soustrait des donnes quil a
utilises sans le consentement de leur propritaire (en les publiant sur linternet) (Cass. crim.
20mai 2015).

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

Matthieu le Louer (accorhotels.com) souscrit ce point de vue. Pour Matthieu le Louer, des facteurs lis
lenvironnement socio-conomique peuvent indubitablement expliquer la recrudescence de la fraude:
On a constat que, dans certains pays subissant un ralentissement de leur activit conomique, la fraude
tait devenue une activit palliative pour des individus disposant dun bon niveau de formation mais
ne trouvant pas semployer.
Aux antipodes de ce hacking du tout-venant, il existe bel et bien un hacking dhyper spcialistes.
Pour Arnaud Treps (accorhotels.com) la mise en place dun systme de piratage efficace ncessite la mobilisation de comptences trs diverses. Arnaud Treps parle de comptences en chane. Ainsi, les comptences ncessaires pour pntrer un systme informatique ne sont pas les mmes que celles ncessaires au recel, sur un march parallle, des donnes voles. Existe-t-il des organisations qui rassemblent
lensemble de des comptences ncessaires ou a-t-on faire des organisations de taille rduite et
adoptant un mode de fonctionnement dcentralis? Arnaud Treps na pas davis dfinitif sur ce sujet.

LE POINT DE VUE DU JURISTE


LA SCURIT DES DONNES CARACTRE
PERSONNEL (DCP) SUR LES SITES:
MANQUEMENT AUX OBLIGATIONS DE SCURIT
DFINITION DES DONNES
PERSONNELLES
Article 2Loi n78-17du 6janvier 1978
Constitue une donne caractre personnel
toute information relative une personne
physique identifie ou qui peut tre identifie,
directement ou indirectement, par rfrence
un numro didentification ou un ou plusieurs
lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient
de considrer lensemble des moyens en vue
de permettre son identification dont dispose
ou auxquels peut avoir accs le responsable du
traitement ou toute autre personne.

RGLEMENT EUROPEN QUI


VA RENTRER EN VIGUEUR
LE 25MAI 2018
Toute information se rapportant une personne physique identifie ou identifiable (ciaprs dnomme personne concerne) est
rpute tre une personne physique identifiable une personne physique qui peut tre
identifie, directement ou indirectement, no-

tamment par rfrence un identifiant, tel


quun nom, un numro didentification, des
donnes de localisation, un identifiant en ligne,
ou un ou plusieurs lments spcifiques
propres son identit physique, physiologique,
gntique, psychique, conomique, culturelle
ou sociale.
Quentend-on par scurit des donnes? Larticle 34 de la loi de 1978 modifie relative
lInformatique, aux fichiers et aux Liberts fait
rfrence lensemble des prcautions utiles,
au regard de la nature des donnes et des
risques prsents par le traitement que doit
prendre le responsable de traitement afin
dempcher que les donnes ne soient dformes, endommages, ou que des tiers non
autoriss y aient accs. Lobligation de scurit
est tendue au sous-traitant, cest--dire tout
organisme qui traite des donnes sous les instructions du responsable de traitement (article
35de la loi).
En cas de manquement la scurit ou la
confidentialit des donnes, le responsable de
traitement sexpose des sanctions pnales
[pouvant atteindre 1500000euros damende
/

Livreblanc - octobre 2016

31

PARTIE 1| 2. VOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES

/
pour les entreprises en application de larticle
226-17 du Code pnal] et/ou des sanctions
administratives (sanctions prononces par
la CNIL du type avertissement, injonction de
cesser le traitement ou sanction pcuniaire) qui
sont susceptibles dtre publies.
La CNIL a toujours t trs soucieuse du respect
de cette obligation et les nombreuses dcisions
de sanctions quelle a adoptes permettent de
mieux en apprhender les contours.
titre dillustration, la CNIL a considr que
le manquement la scurit des donnes
personnelles tait caractris par la faiblesse
des mots de passe (5chiffres au lieu de 16) et
par labsence de politique de scurit [Dlibration n 2013-139 du 30 mai 2013 / sanction pcuniaire de 10000euros confirme par
le Conseil dtat]. Elle a galement sanctionn
labsence de politique de gestion des mots de
passe (accs aux comptes clients et aux postes
des salaris) et leur vulnrabilit (robustesse
insuffisante) [Dlibration n 2015-379 du
5 novembre 2015 / sanction pcuniaire de
50 000 euros]. Enfin, la CNIL a prononc des
avertissements publics afin de sanctionner des
dfauts de scurit constats dans le cadre de
la sous-traitance, tels labsence daudit de scurit des sous-traitants, lutilisation de moyens
de communication non scuriss, linsuffisance
des mentions contractuelles [Dlibration
n2014-298du 7aot 2014/ avertissement].
Enfin, dernirement, dans le cadre dun rcent
avertissement public faisant suite un contrle
de la CNIL ralis en ligne [Dlibration de la
formation restreinte n 2016-108 du 21 avril
2016], La CNIL a rappel que lexistence dune
sous-traitance (hbergement et gestion du
site) nexonrait pas la socit responsable
de traitement de ses obligations lgales telles

32

Livreblanc - octobre 2016

qunonces larticle 34de la loi.


Le Rglement europen [RGPD], adopt le
27 avril dernier et qui entrera en application
compter du 25 mai 2018, place la scurit
des traitements au cur des principes de protection des donnes personnelles. Selon larticle
32du RGPD, diffrents critres doivent tre pris
en compte par le responsable de traitement
et le sous-traitant pour dterminer le niveau
de scurit adopter (contexte du traitement,
probabilit et gravit du risque). linstar de
la rglementation actuelle, la logique est donc
dadapter les mesures de scurit aux risques
identifis, notamment dans le cadre de lanalyse dimpact (Privacy Impact Assessment)
qui doit tre mene pralablement la mise
en uvre des traitements risque (dont : les
traitements de donnes sensibles grande
chelle, la surveillance systmatique grande
chelle et le profilage).
Le RGPD livre un certain nombre de mesures
susceptibles dtre utilises par le responsable
de traitement en fonction du niveau de risque
prsent par le traitement (recours la pseudonymisation et au chiffrement des donnes,
adoption de moyens permettant de garantir
la confidentialit, lintgrit, la disponibilit et
la rsilience des systmes).
Les mesures choisies afin de garantir la scurit du traitement devront tre documentes et
communiques lautorit de contrle premire demande.
Un traitement qui ne disposerait pas de
garanties suffisantes au regard du risque
prsent pourra exposer le responsable
de traitement ou le sous-traitant en cause aux
sanctions prvues par larticle 83-4 du RGPD
(amende jusqu 10000000euros, et pour les
entreprises, jusqu 2% du CA mondial).

PARTIE 1| 3. VULNRABILITES PERUES FACE AUX ENJEUX DE LA CYBERSCURIT

3. PRINCIPES CAUSES DE VULNRABILIT AUX CYBER


RISQUES IDENTIFIES PAR LES INTERVIEWS
3.1 POINT COMMUN:
DES SITES QUI NONT PAS T CONUS NATIVEMENT POUR LA SCURIT
la question: considrez-vous que votre systme dinformation ait t conu ds lorigine pour rsister
aux cyber-attaques?, Marc Le Guennec (raja.fr) rpond en deux temps. En ce qui concerne linfrastructure, la rponse est clairement oui. En termes de scurit daccs et de redondance, lensemble du
systme a t pens et conu pour rsister aux attaques externes. Notre confiance dans notre capacit
matriser le risque cyber tient pour beaucoup la qualit de notre infrastructure technique sur laquelle
nous avons normment travaill. Elle a t conue par des personnes qui comprenaient les contraintes
lies la scurit et qui ont t capables de les intgrer. En revanche, en ce qui concerne la partie
applicative, il faut reconnatre que la dimension scurit na pas t intgre ds le dpart. Notre matrise
du risque sur la partie applicative est encore dvelopper.
Damien Cazenave (vente-privee.com) partage lopinion selon laquelle les start-ups du e-commerce ne sont
gnralement pas Security native. En revanche, et cela a t le cas pour les entreprises dans lesquelles
il a travaill, certaines dentre elles parviennent intgrer assez tt dans le dveloppement, et tout
le moins dans les phases charnires de leur transformation, la dimension scurit. Dailleurs, pour Damien
Cazenave, la manire dont une entreprise gre son risque cyber peut tre considre comme un bon
indicateur de son niveau de maturit globale.
Un dficit de formation des dveloppeurs
Les interviews constatent que, mme si le recours des progiciels pour laborer des solutions de e-commerce se dveloppe (cf. lexemple de raja.fr), la majorit des sites a t (et reste) construite partir de
dveloppements spcifiques. Or, la prise en compte des exigences de scurit par les dveloppeurs est
encore trs rcente. Ce nest pas tonnant car, jusqu peu, les notions de base sur la scurit ne figuraient
mme pas au programme des formations de dveloppeurs. Arnaud Treps (accorhotels.com) constate:
les dveloppeurs ont tous appris le langage SQL qui permet dinterroger une base de donnes distance.
Mais le risque dune faille de scurit par injection SQL ntait, jusqu peu, jamais abord dans le cadre
de leur formation.
Ainsi, pour Arnaud Treps (accorhotels.com), bon nombre de sites internet ont t dvelopps par des
dveloppeurs nayant trs peu, voire aucune notion de scurit. Selon lui, lnorme dficit de formation
qui prvalait lpoque de lexplosion du e-commerce peut expliquer un nombre trs lev de failles de
scurit qui sont rvles aujourdhui. Ce dficit de formation commence se rsorber, notamment grce
la formation continue que reoivent maintenant les dveloppeurs.
Arnaud Treps constate quil nexiste pas ou peu dcole du hacking. Il ny a pas dautre choix que celui de
lautoformation.
Damien Cazenave (vente-privee.com) en est certain, la scurit ne figure pas encore dans le cursus gnral
de la formation dun dveloppeur Web. En revanche, commencent apparatre des cursus entirement
ddis la scurit.
Damien Cazenave dresse ce constat svre sur les C.V dtudiants quil reoit: le niveau gnral est assez
faible! Les meilleurs sont ceux qui, en plus du cursus de formation, travaillent sur des projets personnels
de scurit.

Livreblanc - octobre 2016

33

PARTIE 1| 3. VULNRABILITES PERUES FACE AUX ENJEUX DE LA CYBERSCURIT

La dimension scurit largement sous-estime, au dbut,


par les diteurs de logiciels
Pour Arnaud Treps, la responsabilit de la situation actuelle nest videmment pas imputer uniquement
aux dveloppeurs. Elle est semble-t-il, aussi partage par les diteurs de solutions. Pour Arnaud Treps
(accorhotels.com), il est ainsi cocasse de se replonger dans la littrature spcialise vieille dune dizaine
dannes seulement pour sapercevoir que, la faon prconise lpoque par un diteur comme
Microsoft, pour construire une page Web partir de leur technologie ASP, tait prcisment le recours
une injection SQL!

3.2 LA MAINTENANCE DES SITES:


INDISPENSABLE MAIS SOUVENT NEGLIGE
Les interviews convergent pour considrer que la maintenance permanente dun site est dautant plus
cruciale que ce site utilise des composants standards du march dont certains peuvent tre open source
comme par exemple la solution Magento.
Or, les solutions open source senrichissent des apports varis de communauts de dveloppeurs.
La mise niveau de ces solutions dun point de vue scurit a lieu trs souvent de faon incrmentale et
progressive. Des failles de scurit sont rgulirement dcouvertes et de nouvelles releases permettent
de les corriger. Souvent dailleurs, ces failles de scurit font lobjet dune abondante documentation, trs
facilement disponible par une simple recherche sur internet.
Ds lors, la seule manire pour un site de e-commerce de se prmunir contre ces failles est de mettre
jour rgulirement la dernire version du ou des composants quil utilise.
Or, si le donneur dordre na pas prvu ni budgtairement ni contractuellement ces mises jour, cela peut
lui coter trs cher sur le long terme! Il nest pas rare en effet que la prise en compte des dernires mises
jour puisse avoir un impact significatif sur les dveloppements spcifiques initialement raliss.
Ainsi, les responsables du site peuvent rapidement se trouver face au dilemme de soit passer la
dernire version du composant et de devoir dvelopper tout ou une partie du site, soit de rester
la version prcdente et de sexposer un risque significatif de failles.

3.3 LA CYBERSCURIT:


UN SUJET PARMI TANT DAUTRES PRIORITS, ELLES AUSSI VITALES!
Franck Boniface (vestiairecollective.com) rsume bien ltat desprit dun startupper dans le-commerce
confront aux enjeux de cyberscurit: nous sommes parfaitement conscients des enjeux lis la cyberscurit. Mais, dans une start-up comme la ntre, il faut bien comprendre que nous arbitrons en permanence entre les priorits! Dans notre contexte, le savoir-faire primordial des dirigeants, cest de choisir les
bons sujets sur lesquels concentrer son nergie. Lorsque je travaillais dans une entreprise classique,
javais limpression de faire 60 70% de ce qui devait tre fait. Dans une start-up, ce ratio descend 50%!
Notre gestion du risque cyber nchappe malheureusement pas cette rgle. Nous faisons le minimum
pour pouvoir couvrir lessentiel des risques. Nous avons une approche par les risques qui est exacerbe.
Mme impression chez SiteDeEcommerce.com. Charles rsume la situation par cette formule: pour des
entreprises comme la ntre, le principal ennemi, cest lnergie que lon met dans notre activit quotidienne et dans la gestion de la croissance. En permanence dans leffervescence, nous prouvons
beaucoup de difficults nous poser et prendre le recul qui serait ncessaire la dfinition et la
conduite dune politique de cyberscurit. En attendant, on finit par penser que les cyber-catastrophes ne
peuvent arriver quaux autres.

34

Livreblanc - octobre 2016

PARTIE 1| 3. VULNRABILITES PERUES FACE AUX ENJEUX DE LA CYBERSCURIT

Combien de temps le comit de direction de Vestiaire Collective consacre-t-il aux sujets lis la cyberscurit? La rponse de Frank Boniface et dAlexandre Cognard peut paratre abrupte mais elle a le mrite
dtre franche: 0!
En fait, cela na rien dtonnant. Dans une petite structure comme la ntre les sujets sont forcment
dispatchs entre nous, en fonction de nos primtres de responsabilit respectifs. Chez nous, la cyberscurit nest pas un sujet de comit de direction. Cest une srie dactions oprationnelles mettre
en uvre prcise Franck.
Lembauche dun RSII nest pas dactualit chez Vestiaire Collective. Dautres fonctions cls pour le
dveloppement de lentreprise doivent tre pourvues avant.
Mme pour les sites de plus grande taille, les arbitrages en faveur des projets de scurit, au dtriment de
projets business, restent compliqus. Avec une certaine malice, Corinne Nol (fnac.com) constate que les
investissements sur la scurit sont parfois plus facilement consentis quand ils ont un impact direct sur
le taux de disponibilit du site!

3.4 LA NCESSIT DE FAIRE VOLUER EN PERMANENCE LA POLITIQUE


DE SCURIT AVEC LA TAILLE DE LENTREPRISE
Pour Franck Boniface (vestiairecollective.com): avec la croissance des effectifs, les risques directs lis la
malveillance du personnel saccrot invitablement. Les risques indirects saccroissent galement. Il nest
pas vident de grer en parallle le dveloppement trs fort de lactivit et la sensibilisation ncessaire du
personnel sur les problmatiques de scurit. Un employ qui on aura vol son ordinateur portable aura
davantage en tte les consquences de ce vol sur son activit quotidienne plutt que le risque bien plus
important que ce vol fera courir pour son entreprise.
Un exemple souvent donn par les interviews est la matrise du processus dhabilitation. Tant dun point
de vue technique quorganisationnel, la gestion des habilitations qui donne accs aux diffrentes composantes du systme dinformation en fonction du profil de lutilisateur, ne peut pas se faire du jour au lendemain. Les interviews ont souvent dcrit la situation de la faon suivante: au dmarrage dune start-up,
chaque collaborateur dispose de son identifiant personnel. Il arrive couramment que cet identifiant donne
laccs lensemble des fonctions du back office. ce stade du dveloppement de lentreprise, les clients
ntant pas prsents en masse, les consquences dune faille de scurit sont gnralement limites.
Assez frquemment, ce mode de fonctionnement, qui repose sur la confiance et la responsabilit que
partagent les premiers participants laventure entrepreneuriale, perdure jusqu ce que surviennent
les premiers incidents de scurit. Ces incidents font alors prendre conscience lquipe dirigeante,
parfois brutalement, des risques cyber auxquels lentreprise est expose.
Alexandre Cognard (vestiairecollective.com) rsume ainsi: 20personnes dans lentreprise, tout le monde
se sent concern par les consquences quaurait une faille de scurit sur lavenir de lentreprise. plus
de 20, les efforts permanents de sensibilisation deviennent indispensables.

Livreblanc - octobre 2016

35

PARTIE 1| 3. VULNRABILITES PERUES FACE AUX ENJEUX DE LA CYBERSCURIT

VICTIME DUN RANSOMWARE (1)


Tmoignage de Franois Asselin, prsident de la CGPME
Lors dune confrence organise par la CGPME en novembre dernier, sur le thme de
TPE-PME et cyberscurit, son prsident, Franois Asselin a livr un tmoignage difiant sur
les problmatiques auxquelles les PME sont confrontes.
Franois Asselin a relat la msaventure qui a failli aboutir la perte de son entreprise familiale installe dans les Deux-Svres, qui compte 147salaris, avec des serveurs sur trois sites.
Franois Asselin raconte que tout est parti dun mail contenant une pice jointe, qui semblait
reprendre un fichier dentreprise. En fait, il sagissait dun malware, qui a rendu tous les
fichiers de lentreprise inaccessibles et ainsi que lensemble des serveurs. Un message envoy
sur le site de lentreprise ne laisse aucune ambigut sur la nature de lattaque dont lentreprise est la victime : une attaque par ranongiciel (ramsonware) : il faut verser X milliers
deuros en quivalent bitcoins pour rcuprer la cl de dverrouillage des fichiers illgalement mis sous squestre.
Franois Asselin dcide alors de porter plainte au commissariat de Thouars (sige social
de lentreprise) o il se rend muni de son ordinateur avec des copies dcran.
Je me souviens de laccueil de la fonctionnaire: Hey chef, venez voir!
Ah bah a alors! sexclame le chef.
Oui je viens porter plainte, poursuit Franois Asselin.
Cest compliqu: comment on qualifie la plainte, sinterroge le suprieur.
Aprs ce vaudeville numrique, le niveau de la discussion remonte avec la prfecture des
Deux-Svres contacte. Un interlocuteur tait parfaitement au courant dj lpoque de
ce genre de msaventures.
La situation aurait pu se transformer en catastrophe: nous navions plus aucun accs aux
logiciels : devis des clients, paie des salaris, facturation des fournisseurs Cela aurait pu
devenir une vraie catastrophe si nous navions pas sauvegard les informations. a a sauv
la bote, sincrement.
Car la socit Asselin SAS avait pris le soin de recourir depuis quelques annes une petite
socit de services informatiques pour assurer linfogrance de lentreprise.
La rponse ce souci de cyberscurit, cest la qualit de la sauvegarde. Il a fallu 34heures
pour r-installer les fichiers en place. On a perdu presquune journe de travail mais ce nest
pas dramatique.
(1) Source adapt de: http://www.itespresso.fr/

36

Livreblanc - octobre 2016

PARTIE 1| 3. VULNRABILITES PERUES FACE AUX ENJEUX DE LA CYBERSCURIT

3.5 UNE SUCCESSION RAPIDE DE RVOLUTIONS INTGRER


POUR LES E-MARCHANDS
Mme si les sites de e-commerce peuvent tre priori tous considrs comme des entreprises jeunes,
elles ont dj eu intgrer plusieurs volutions majeures (voire mme des rvolutions) qui ont parfois
eu des impacts trs importants sur leur systme dinformation, mais aussi sur leur organisation interne.
Au premier rang de ces volutions majeures, tous les interviews citent louverture des systmes dinformation. Cest videmment le propre dun site de e-commerce dtre ouvert sur lextrieur. Pour Emmanuel Cordente (voyages-sncf.com): depuis une dizaine dannes, les systmes dinformation sont devenus
de plus en plus ouverts et leur exposition aux risques est devenue de plus en plus grande. Le dveloppement des interconnexions entre leurs e-commerants et lensemble des partenaires avec lesquels ils
travaillent constituent pour nimporte quelle quipe en charge de la cyberscurit de vrais challenges.
Si les sites de e-commerce sont particulirement concerns par le phnomne de louverture des
systmes dinformation, comme toutes les autres entreprises classiques, ils sont galement impacts par
dautres volutions. On peut citer par exemple le phnomne du Bring your own device (apportez vos
appareils personnels en franais une pratique qui consiste utiliser ses quipements personnels
(tlphone, ordinateur portable, tablette lectronique) dans un contexte professionnel) ou bien encore
le shadow IT (les systmes dinformation et de communication raliss et mis en uvre directement par
les collaborateurs sans que la DSI nait donn son aval, phnomne qui sest dvelopp avec lavnement
des applications et services en mode SaaS notamment), les mthodes de dveloppement agiles, qui
rduisent les dlais de mise en production des nouvelles volutions, mais qui peuvent du mme coup
augmenter les risques de laisser passer des failles de scurit.

LOUVERTURE DES SYSTMES DINFORMATION:


NOUVEAU PARADIGME DE LA SCURIT INFORMATIQUE
Alain Bouill considre que louverture des systmes dinformation vers internet qui sest
produit partir de la fin des annes 90 et le dbut des annes 2000 est lorigine des
changements profonds qua connus rcemment la scurit informatique.
Avant, le fichier client tait disponible partir du datacenter interne lentreprise. Le fichier
ntait consultable que par des utilisateurs internes dment habilits. Maintenant, le fichier
client est stock chez un prestataire, lextrieur de lentreprise. Il est disponible en ligne
aux utilisateurs internes mais galement, potentiellement en fonction de la robustesse de la
scurit du SI du prestataire, lensemble des 4 milliards dutilisateurs dinternet dans
le monde. Pour Alain Bouill, nous nous situons dans un nouveau paradigme dans lequel de
plus en plus dinformations sont stockes, avec des moyens de connexion ces donnes
de plus en plus nombreux.
Lextrme diversit des moyens de connexion
aux systmes dinformation
Pour Alain Bouill, lusage trs gnralis des smartphones dans les entreprises pose de
nouveaux enjeux en matire de scurit pour les entreprises. Il sonne le glas de lespoir
de tout RSSI de pouvoir un jour matriser la scurit des postes de travail.

/
Livreblanc - octobre 2016

37

PARTIE 1| 3. VULNRABILITES PERUES FACE AUX ENJEUX DE LA CYBERSCURIT

/
Schmatiquement, une entreprise se trouve face au choix suivant: soit elle choisit de grer
une flotte de tlphones dentreprises ce qui lui permet de matriser un peu mieux une
scurit souvent perfectible, soit elle nimpose pas de restriction au choix des collaborateurs,
et elle devra alors grer lextrme diversit des modles disponibles sur le march. Mais, dans
un cas comme dans lautre, le RSSI devra trs vraisemblablement tenir compte des failles de
scurit du systme dexploitation dANDROID en particulier, souvent considr comme
vulnrable par beaucoup de spcialistes. Ainsi, mme si une entreprise dispose de sa propre
flotte de terminaux, elle nest jamais assure 100% de linvulnrabilit des terminaux utiliss
par ses collaborateurs.
En ce qui concerne les sites de-commerce, la problmatique de la scurit des terminaux
mobiles est dautant plus critique quune entreprise de e-commerce na aucune matrise
du terminal qui se connecte son site.
Le dveloppement des objets connects aura un impact majeur
sur la scurit des systmes dinformation
Aprs louverture des systmes dinformation, et lextrme htrognit des devices
de connexion aux SI, le dveloppement des appareils connects apparat aux yeux dAlain
Bouill comme le troisime phnomne majeur prendre en considration pour envisager
lvolution de la cyberscurit.
La majorit des objets connects actuellement commercialiss se situent encore dans
la sphre des usages personnels locaux. Ils nont pas, ou trs peu dinteractions, avec des
systmes dinformation externes. Mais, dans un futur qui peut tre relativement proche selon
lui, les objets connects permettront le dveloppement de nouveaux services qui reposeront
sur lchange dinformations entre un client (lobjet connect) et un serveur (le systme
dinformation du fournisseur de services). Des services de ce type sont dores et dj proposs par certaines mutuelles. Or, pour Alain Bouill, ces objets nont pas t crs en tenant
compte des problmatiques de scurit. Il est ds lors craindre quils puissent servir un jour
de passerelle pour permettre des hackers datteindre les systmes dinformation avec
lesquels ces objets connects communiquent.

38

Livreblanc - octobre 2016

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

4. GENSE ET DVELOPPEMENT
DUNE POLITIQUE DE GESTION
DES RISQUES CYBER CHEZ LES INTERVIEWS
4.1 LA LIGNE MAGINOT ET LES TALONS DACHILLE
Certains interviews en conviennent; ils ne disposent pas encore dune gestion globale du risque cyber.
Or, comme le souligne Alexandre Cognard (vestiairecollective.com) en matire de cyberscurit, il est
impratif dadopter un regard 360 en vitant de se focaliser sur un point prcis au risque sinon
de laisser des failles bantes tout ct.
Alexandre Cognard (vestiairecollective.com) prend lexemple du protocole de scurit SSL sur lequel les
pouvoirs publics ont abondamment communiqu. Il constate que parvenir exploiter une faille de ce type
ncessite un niveau de comptence dj trs lev alors que le piratage dun compte client peut
tre beaucoup plus simple et aboutir au mme rsultat.
Charles reconnat un certain paradoxe dans la faon dont sont traits les sujets de scurit chez
SiteDeEcommerce.com. Si SiteDeEcommerce.com est extrmement paranoaque vis--vis des attaques
qui pourraient survenir de lextrieur de lentreprise, Charles constate que le niveau de vigilance est bien
moindre en ce qui concerne les risques qui pourraient venir de lintrieur. Certains interviews ont ainsi
limpression de se trouver protgs du Web par une ligne Maginot mais, ils sont en mme temps
conscients que des chevaux de Troie existent encore dans leur dispositif qui le rendent contournable.
Par exemple, Charles constate quen thorie laccs des tls-conseillers internet est restreint une liste
blanche de sites dment rpertoris. Mais, dans les faits, les contrles devraient tre plus nombreux pour
tre rellement efficaces. Il existe donc un risque quun poste de tl-conseiller puisse tre infect par un
virus. Le sujet est connu en interne. Mais, les mesures tardent tre prises, car la socit souhaite faire
confiance linterne et ne pas imposer de mesures coupant les collaborateurs du monde extrieur.
Autre exemple : la scurit des accs internes au rseau par les collaborateurs. Mme si la culture de
lentreprise est fonde sur la confiance et le partage (le recours lopen source est monnaie courante),
Charles le concde: laccs au rseau interne pourrait tre renforc.

4.2 FAIRE FACE DANS LURGENCE AUX PPINS PETITS OU GROS:


LA DMARCHE RACTIVE
Quelle que soit leur taille, les interviews admettent que cest trs souvent la survenue dincidents (gros ou
petits) qui forcent leur organisation ragir face aux risques cyber. Ainsi, on peut considrer que les
entreprises auxquelles les interviews appartiennent sont toutes passes par une phase ractivecurative avant, pour certaines, de sengager dans une phase pro-active de gestion du risque cyber.
La mise en place, chez voyages-sncf.com, dune dmarche structure de lutte contre la cyberscurit date
de cinq ans environ. Elle a fait suite la dcouverte dune faille de scurit dont la presse stait faite lcho
(Canard enchan). Emmanuel Cordente (voyages-sncf.com) en convient: cet incident a t un vritable
catalyseur pour renforcer la scurit et crer une quipe ddie la cyberscurit.
Charles rsume ainsi la situation de SiteDeEcommerce.com sur les questions de cyberscurit : nous
sommes encore souvent dans le curatif. Cest confronte aux incidents que lentreprise est capable de se
mobiliser. Par exemple, suite la premire attaque dont a t victime le site, des mesures de bon sens
ont t prises comme notamment le blocage de certaines adresses IP localiss dans des pays dans
lesquels le potentiel de vente tait trs limit.

Livreblanc - octobre 2016

39

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

Les informations personnelles dans les comptes clients tant des donnes sensibles, il a fallu sadapter
aux nouvelles rgles trs strictes de protection des donnes personnelles, et revoir notamment la
politique de cryptage des mots de passe et des informations contenues dans les comptes clients, comme
celles relatives au paiement.
En labsence de politique scurit encore clairement formalise, SiteDeEcommerce.com sorganise de
faon pragmatique. Les responsabilits en cas dincidents de cyberscurit tant assez peu dfinies, nous
sommes en train de mettre en place une gestion collgiale des problmes. Charles souligne la difficult
de mettre en place une coordination transverse sur ce type de sujet dans une entreprise en croissance.
On constate que les quipes apprennent de la rsolution des incidents prcdents.
Progressivement, une nouvelle organisation sera mise en place chez SiteDeEcommerce.com. Elle
comprend une premire quipe dont la responsabilit est la supervision du rseau. Une seconde dont
la mission est de sassurer que les nouveaux projets ninduisent pas de failles de scurit. Enfin, une
troisime quipe prendra en charge la scurisation des processus internes.
Arnaud Treps (accorhotels.com) voque galement le traumatisme interne que peut gnrer la dcouverte dune faille de scurit sur un site internet. Elle peut stopper net tout projet dinnovation chez un
e-commerant, en application du fameux principe de prcaution.

4.3 VOLUER VERS UNE POLITIQUE DE PILOTAGE DU RISQUE CYBER


Passer dune situation ractive dans laquelle lentreprise sefforce de corriger souvent dans lurgence les
failles dcouvertes suite un incident une relle politique pro-active de gestion du risque est un vrai
challenge que vivent au quotidien les interviews.
VOYAGES-SNCF.COM
Emmanuel Cordente constate que la matrise par lentreprise des sujets de cyberscurit est le rsultat
dun processus continu. Au dpart, il a fallu repartir des basiques comme par exemple llaboration de
chartes informatiques ou llaboration dune politique de scurit. Un des premiers chantiers raliss a
consist dfinir les responsabilits. Il fallait pouvoir rpondre sans ambigut la question: qui soccupe
de quoi sur les sujets scurit?.
ACCORHOTELS
La gestion des risques est traite au niveau global du groupe par le comit de gestion des risques.
Ce comit gre lensemble des risques y compris les risques cyber.
Lanalyse globale du risque au niveau IT est mene par lquipe scurit directement. Elle a lieu tous
les ans. Pour se conformer aux exigences rglementaires et normatives, cette analyse est maintenant
formalise.
Cette analyse couvre les risques perus, leurs impacts, leur probabilit, et les mesures qui sont prises
pour attnuer le risque rsiduel. Cette revue de risques permet de dfinir les priorits et de dfendre les
budgets associs.
Cette analyse macro des risques est complte par une analyse micro au niveau de chaque projet. Les
mmes questions sont systmatiquement poses : quelles consquences auraient un vol de donnes,
que se passerait-il si certaines donnes taient modifies ou carrment supprimes? Procder de la sorte
permet lquipe de scurit et aux quipes de dveloppement de sassurer quelles partagent bien
la mme vision des risques.
Cette pratique sinspire de mthodologies classiques danalyses comme par exemple EBIOS et MEHARI,
des mthodologies franaises danalyse de risque.
40

Livreblanc - octobre 2016

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

RAJA
Lexemple donn par raja.fr est intressant car il illustre le cas de figure du recours, par un e-commerant,
une solution progicielle pour grer le site internet. Le site a t dvelopp partir du progiciel
Intershop.
Chez raja.com, les dveloppements du site sont pris en charge par lintgrateur. Cet intgrateur suit les
prconisations produites par lditeur du progiciel (Intershop).
Marc Le Guennec (raja.fr) dclare: nous travaillons en troite confiance, depuis des annes, avec le mme
intgrateur. Aussi, nous sommes sereins sur sa capacit raliser les dveloppements spcifiques que
nous lui commandons dans lesprit du progiciel et ainsi de nous prmunir contre des risques dincompatibilit avec les nouvelles versions du progiciel.
Ces montes de version, si elles ne sont pas systmatiques, sont rgulires. Chaque mise en production
se fait selon les rgles de lart: une nouvelle version est systmatiquement teste sur plusieurs environnements, dclare Marc Le Guennec.
Si les rsultats daudits rcemment raliss ont rassur Raja sur la qualit des dveloppements, en
revanche, la vigilance reste de mise pour les dveloppements qui sont raliss en interne par lquipe
Web. Il est arriv que la DSI refuse la mise en ligne dun site temporaire dvelopp en PHP, qui manipulait
des donnes clients et qui prsentait de trop gros risques de failles de scurit. Marc Le Guennec reconnat: en la matire, nous navons pas de vritable politique de scurit. Nous agissons au coup par coup.

4.4 UNE MISE SOUS CONTRLE DU RISQUE CYBER PLUS OU MOINS LONGUE ET
LABORIEUSE QUI REPOSE SUR DES PRREQUIS
Pas de stratgie de contrle des risques cyber sans une DSI mature. Damien Cazenave (vente-privee.
com) insiste sur le niveau de maturit minimum quune DSI doit atteindre pour pouvoir mettre une
politique de scurit efficace.
Concrtement, la mise jour de serveurs Windows par exemple, est un travail la fois trs fastidieux et
trs compliqu. Ce que lon appelle le Patch management est une activit primordiale dans la gestion
de la scurit dune entreprise. Or, pour Damien Cazenave (vente-privee.com): dexprience, on saperoit
que si la DSI ne matrise pas suffisamment ses processus cls, il est quasiment impossible de mener bien
une politique de scurit.
Damien Cazenave dcrit ainsi le point qui permet une DSI de franchir le cap: le moment o la DSI nest
plus en mesure de grer manuellement loutil informatique. De la phase artisanale dans laquelle la
gestion de la croissance prime sur toute autre considration, elle doit passer la phase industrielle pour
fiabiliser ses processus et pour matriser ses cots.
Pour Damien Cazenave: une DSI mature, cest une DSI qui sait prendre du recul et se poser les bonnes
questions pour amliorer ses processus de fonctionnement sur le long terme.
Charles (SiteDeEcommerce.com) souligne limportance du profil du DSI pour mener bien la mise en place
dune culture de la scurit, tant au niveau des infrastructures que des procdures. Charles constate que
le profil des DSI a beaucoup chang au cours des dernires annes. Avant, les DSI taient souvent
danciens dveloppeurs. Ils taient souvent issus de grosses entreprises informatiques. Leurs comptences taient trs axes sur les gros systmes. Leur comprhension dinternet tait limite. Le phnomne open source leur tait assez tranger. Beaucoup dentre eux nappartenaient pas la gnration
internet.

Livreblanc - octobre 2016

41

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

DANS LES ORGANISATIONS DE TAILLE IMPORTANTE:


ARCHITECTURE DE SCURIT MREMENT RFLCHIE
OU SIMPLE MILLEFEUILLE DE SOLUTIONS?
Alain Bouill, prsident du CESIN, constate que, dans les organisations de grande taille
disposant de moyens importants allous la scurit informatique, il y a souvent un empilement de solutions de scurit; une sorte de sdimentation des solutions mises en place les
unes aprs les autres, pour rpondre de manire ponctuelle lapparition dune nouvelle
menace, sans rflexion densemble et encore moins selon une architecture mrement
rflchie.
Pour Alain Bouill, ce millefeuille est en lui-mme porteur de risques pour la scurit
informatique dune entreprise. En effet, la cohrence densemble dun tel systme est trs
complexe maintenir.

Cest ainsi que larchitecture de SiteDeEcommerce.com avait t btie autour dun progiciel cur. Tous
les systmes priphriques en dpendaient. Et, videmment, si ce cur tait attaqu, cest lensemble
du systme qui tait en danger.
La transition vers un systme intgrant les fondements dinternet a t une rvolution ncessaire mais
complexe mener, selon Charles.
Larrive de nouveaux profils plus jeunes et levs dans la culture du Web a permis de repenser de faon
substantielle larchitecture du systme dinformation de SiteDeEcommerce.com. Ce travail a conduit
un cloisonnement de chaque partie sensible du SI. Maintenant, lattaque dune partie du systme
dinformation pourrait tre cloisonne beaucoup plus facilement. Les systmes se construisent prsent
dans la logique de la block-chain.
Compte tenu des enjeux, repenser aussi substantiellement larchitecture du systme dinformation nest
jamais un choix facile pour une direction gnrale. La tentation est en effet forte de vouloir contrler les
systmes et ne pas confier cette tche un prestataire ; ce qui soulve de nouveau des questions de
scurit des donnes.
Or, redessiner tout le systme informatique dune entreprise ncessite forcment la mobilisation de
ressources prcieuses la production. Pour Charles: il sagit dun arbitrage parfois extrmement difficile
oprer.
Chez SiteDeEcommerce.com, une analyse de risque a t mene au niveau global de lentreprise. Mais,
selon Charles, cette analyse est reste au niveau de la direction gnrale: le travail de redescente dans
les quipes reste mener. Lucide, Charles constate: date, on ne peut pas encore dire que la scurit
fasse partie des priorits quotidiennes des mtiers hors direction technique. La rapidit et la ractivit
priment sur la vrification de la mise en place des procdures de scurit. Ce qui est logique compte tenu
de nos objectifs de croissance.
Lorsque toute lorganisation est tendue vers sur la ralisation dobjectifs de croissance, il est relativement
difficile de se placer dans une dmarche danticipation des risques constate Charles. On le constate au
travers de linitiative prise par la direction financire de mettre en place un contrat de cyber-assurance.

42

Livreblanc - octobre 2016

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

Il ny a pas de difficult dcrire les scnarios dincidents qui sont dj arrivs. En revanche, se projeter
dans des scnarios de risques non encore avrs est beaucoup plus complexe.

4.5 LA CARTOGRAPHIE DES RISQUES:


POINT DE DPART DE TOUTE DMARCHE DE MATRISE DU RISQUE CYBER
Voyages-sncf.com sest engag dans une dmarche danalyse du risque en sinspirant des principes de la
norme ISO 27001. Cette analyse du risque constitue le fondement de la dmarche que voyages-sncf.com
a mise en place.
Chaque anne, voyages-sncf.com procde une analyse de risque scurit des systmes dinformation.
Elle consiste dans un premier temps, pour les quipes scurit, rencontrer les mtiers.
Par mtiers, il faut entendre ici la business unit France, les business units spcialises sur les marchs
europens, ou bien encore les entits ddies lactivit htels, vols ou la gestion de la publicit. En
somme, toutes les entits qui ont des objectifs business remplir, y compris la structure interne en charge
de dvelopper des applications pour SNCF, mme si les risques sont ici de nature un peu diffrente.
Pour Emmanuel Cordente (voyages-sncf.com), ces rencontres entre lquipe scurit et les mtiers sont
essentielles: nous allons voir les mtiers, et nous leur demandons ce qui les empche de dormir. Nous
identifions avec eux les scnarios quils redoutent le plus Bien sr les scnarios majeurs les plus courants
reviennent danne en anne. Nanmoins, ces scnarios de base, sajoutent toujours de nouvelles
variantes.
Pour alimenter la rflexion, lquipe scurit dresse un aperu des diffrences tendances ou phnomnes
quils ont observs lextrieur de lentreprise. Lquipe scurit dcrit les nouveaux scnarios apparus au
cours de lanne, ainsi que les nouvelles attaques qui se sont produites et dont la presse spcialise
(ou plus grand public) sest faite lcho. Lquipe scurit mne un travail de veille constant. Il peut prendre
des formes trs diffrentes ; changes entre RSSI, participation des forums, veille sur internet ou
tout bonnement la presse. Le Clusif fournit des donnes intressantes mme si elles ne concernent pas
spcifiquement le e-commerce.
Lensemble des mtiers de lentreprise est interrog.
Ensemble, les mtiers et lquipe scurit valuent limpact de chaque scnario: valuation des pertes
qui pourraient rsulter dun incident de scurit, limpact en termes dimage, impact juridique, impact
business
Une fois la liste des scnarios les plus redouts tablie et les impacts potentiels identifis, lquipe
scurit sollicite les quipes SI pour en valuer la probabilit. Avec elles, lquipe scurit value ltat
de vulnrabilit de chaque brique du SI, lefficacit des mesures de scurit en place et cherche identifier
les briques ou les vnements qui pourraient provoquer les scnarios redouts par les mtiers.
Lensemble de la dmarche dure environ un mois. Elle aboutit ltablissement dune cartographie des
risques, qui elle-mme dbouche sur un plan dactions qui sera suivi tout au long de lanne.
Pour Emmanuel Cordente (voyages-sncf.com), la dmarche danalyse de risque a deux bnfices principaux.
Dabord, elle garantit lquipe scurit de ne pas passer ct dun risque important cause dune mconnaissance des spcificits propres chaque mtier. Car, forcment, les conditions de march voluent danne en anne, avec louverture de la concurrence. Il est noter que ces volutions ne modifient
pas forcment la nature du risque. En revanche, elles peuvent en modifier limpact.
Le deuxime bnfice de cette dmarche est dentretenir une sensibilisation permanente des mtiers

Livreblanc - octobre 2016

43

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

sur la scurit. Cette dmarche a donc galement des vertus pdagogiques, et pas uniquement auprs
des mtiers dailleurs. Lanalyse de risque est aussi prsente la direction gnrale.
Enfin, pour Emmanuel Cordente (voyages-sncf.com), cette dmarche permet galement de focaliser
les efforts bon escient et viter de faire de la sur scurit l o cela nest pas ncessaire. En effet,
la scurit peut tre un puits sans fond. Il rsume ainsi: au lieu dune quipe de six personnes, on pourrait tre 50 ! Et on trouverait nous occuper pendant des annes. Mais, mme avec une quipe
plthorique, il serait impossible de rduire le risque nant.
Bref, une dmarche engage il y a cinq ans qui porte aujourdhui pleinement ses fruits.
Pour affiner la cartographie des risques, Corinne Nol (fnac.com) procde galement des interviews
internes. Elles lui permettent dvaluer prcisment limpact quaurait une indisponibilit de lIT sur les
mtiers. Dans le cadre de ces interviews, Corinne Nol (fnac.com) interroge galement des oprationnels de lIT. Elle a en effet constat un certain dcalage de perception des risques entre les niveaux
dcisionnels de lentreprise et les niveaux oprationnels. Pour Corinne Nol, ces interviews lui permettent
daffiner normment la cartographie des risques.

4.6 GRER PLUTT QUE


SUBIR LE RISQUE CYBER:
UNE NCESSIT
Rpondre aux attentes des
parties prenantes et notamment des investisseurs
Franck Boniface (vestiairecollective.com)
souligne le rle dterminant des partenaires financiers pour accompagner et
souvent inciter un site de e-commerce
sengager rsolument dans une dmarche
de gestion pro-active des risques cyber.
Frank se souvient dentretiens auxquels il
a d se plier, dans le cadre de Due diligence, qui taient spcifiquement ddis
la scurit.
Franck Boniface se rappelle : nos futurs
partenaires souhaitaient mesurer concrtement notre niveau de maturit sur la
gestion du risque cyber, dun point de vue
technique mais aussi managriale. Pour
cela, nous avons t amens leur fournir
les mmos et les plans dactions relatifs
un incident que nous avions eu grer
deux ans auparavant.
Pour Franck Boniface, cette exigence est
parfaitement lgitime de la part dinvestisseurs qui sont eux-mmes soumis de
fortes attentes de la part de leurs propres
actionnaires.

44

Livreblanc - octobre 2016

LA PRISE DE CONSCIENCE
DES ENJEUX DE
CYBERSCURIT NEST PAS
GNRATIONNELLE
Alain Bouill ne voit pas de perception radicalement diffrente sur la cyberscurit
entre les utilisateurs de la gnration Y (les
Digital Natives) et les autres utilisateurs; les
premiers seraient beaucoup plus vigilants
sur les aspects de cyberscurit tandis que
les deuximes adopteraient des comportements irresponsables par rapport aux
cyber-risques. Pour Alain Bouill, la prise de
conscience est transgnrationnelle.
Selon lui, le foss de gnration se situe davantage au niveau des ractions des utilisateurs appartenant des gnrations diffrentes face lergonomie de certaines
applications. Alain Bouill fait le constat que
les dveloppeurs qui appartiennent la
jeune gnration nont pas forcment les
mmes rflexes en matire dergonomie
que les utilisateurs plus gs. Cela peut
aboutir des manipulations non prvues,
qui elles-mmes peuvent tre lorigine de
dysfonctionnements voire de failles de scurit de lapplication.

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

Rpondre aux attentes des Digital Native


Damien Cazenave (vente-privee.com) anticipe que les clients Digital Native, ns avec internet et donc
priori plus conscients que leurs ans des risques cyber, sont dj et seront encore plus lavenir attentifs
aux mcanismes de protection des donnes personnelles que mettront en place les sites auxquels ils
accorderont leur confiance.

4.7 CONFORMIT ET SCURIT, DEUX NOTIONS NE PAS CONFONDRE!


Arnaud Treps (accorhotels.com) insiste sur la diffrence quil voit entre conformit dune part et dautre
part scurit
Il y a videmment des recoupements, mais la conformit une norme ne dit rien sur le niveau de scurit
rellement atteint par lentreprise. La conformit une norme dmontre que lentreprise respecte un
instant T un certain nombre de rgles, rgles dont la pertinence par rapport au contexte spcifique
de lentreprise peut varier. Dailleurs, les rgles dfinies au sein dune norme ne sont pas forcment
exhaustives par rapport aux risques quelles sont censes couvrir.
Son collgue chez accorhotels.com, Matthieu Le Louer prcise que la dmarche de mise en conformit
et de mise en place dune dmarche de scurit sont deux approches qui peuvent diffrer fortement.
Chez ACCORHOTELS, on se rend conformes la norme PCIDSS et, on dploie par ailleurs notre propre
politique de scurit.
Cette distinction dapproche dans la gestion des risques a aussi une dimension culturelle.
Au travers de ses changes avec ses partenaires anglo-saxons, Matthieu Le Louer peroit quils attachent
parfois autant dimportance la conformit la norme, que la recherche defficacit des mesures de
scurit. Pour Matthieu le Louer: lapproche anglo-saxonne donne parfois limpression que le ddouanement de la responsabilit (que permet la conformit la norme) est parfois aussi important que la mise en
place des mesures qui empcheraient la survenue des incidents. Il rsume ainsi: nous, nous cherchons
avant tout viter que le problme ne survienne. Eux cherchent savoir qui portera la responsabilit
si lincident se produit.
Arnaud Treps (accorhotels.com) souligne que la mise en conformit une norme peut coter trs
cher. Sengager dans une dmarche de mise en conformit doit rsulter dune politique dinvestissements
rflchie. Sinon, lentreprise qui sest lance dans la dmarche peut finalement sapercevoir quelle a puis sa capacit dinvestissements avant davoir touch au but. Et elle dcouvre un peu tard, quelle ne
dispose plus des ressources financires ncessaires pour mettre en place les mesures de scurit
requises sur son environnement technique ! Il prvient : la certification ncessite, pour lentreprise,
de mettre en uvre des processus spcifiques afin de remplir aux exigences de la norme et notamment
des processus de traabilit et dhistorisation.
ACCORHOTELS a choisi de sinspirer de certaines normes, notamment ISO 27001. Mais ACCORHOTELS
trouve peu de valeur ajoute la certification en elle-mme. Avec la norme PCIDSS, cest diffrent.
La question ne se pose pas: la certification est, dans les faits, obligatoire prcise Arnaud Treps.

Livreblanc - octobre 2016

45

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

DIFFRENCES DANS LA GESTION DU RISQUE EN FRANCE


PAR RAPPORT AUX PAYS ANGLO-SAXONS
par Grant Thornton
Dans son approche, la gestion du cyber-risque prsente quelques diffrences entre la France
et le monde anglo-saxon.
Dans le monde anglo-saxon, trs tt, lpe de Damocls du rgulateur et ses consquences
ont conduit la mise en place dune approche pragmatique et structure du risque. Pour nen
citer quelques-unes autour de la conformit PCI-DSS, SOX, ou sous langle industriel (HIPAA,
HITECH, SEC, FFIEC) ou encore sous lgide gouvernementale (NIST, FTC, CMS). Il est
prciser quil nexiste pas de rglementation fdrale unique aux US. Le leadership et la production de rfrentiels associs sont la charge des agences gouvernementales ou des organisations professionnelles rgissant un secteur conomique. En rgle gnrale, la politique
des tats-Unis repose en grande partie sur la bonne volont du secteur priv qui met place
diffrents protocoles, raisonnables et raisonns, sur la scurit des donnes, et quil est dans
lintrt des entreprises concernes dimplmenter. Ces rgles et exigences corporatives et/
ou rglementaires strictes sur la protection des donnes, ont dvelopp une conscience
et une sensibilisation prcoce au cyber-risque, notamment quand certaines imposent une
notification de la part des entreprises en cas dincident avr.
LEurope adopte une approche gouvernementale et centralise sur la question de la scurit
des donnes. Ainsi, lUnion Europenne, et de ce fait la France, sest lance en 2012dans un
chantier portant sur la mise en place dun cadre de rgulation harmonis, qui permettra de
structurer la dfense contre le risque cyber en Europe (General Data Protection Directive /
Network and Information Security Directive). Dautre part, on assiste un transfert de responsabilit dj vu dans les pays anglo-saxons par le biais de lapparition de cyber-assurances. Ce
qui est constat en Europe dun point de vue rglementaire et assurantiel prsente des similitudes avec ce qui est en place dans les pays anglo-saxons depuis 5et 6ans.
LInternational Business Report (IBR) de Grant Thornton, sondage annuel ralis en 2015
auprs de 2500capitaines dindustrie dans 36secteurs conomiques sur le middle-market
(50-499employs, US$20m - US$2bn), apporte un second clairage sur la perception et la
gestion du risque cyber. Les informations cls de cette tude nous indiquent que:
sur le sujet des cyber-attaques, lchantillon dtudes permet de constater que 21% des
entreprises franaises ont fait lobjet dune cyber-attaque, contre 21 % du ct
anglo-saxon. Dans les faits, lexposition au risque cyber des entreprises franaises est
donc sensiblement identique celui des entreprises anglo-saxonnes. Mais on constate
par la suite que linterprtation, la prise en compte et les moyens mis en uvre autour du
cyber-risque ne sont pas les mmes. Le cyber-risque est bien global, mais les actions
mises en uvre varient dun continent un autre.
43% des entreprises franaises interroges considrent les cyber-attaques comme une
menace majeure, contre 34% pour les entreprises anglo-saxonnes. Pour expliquer cette
diffrence, Grant Thornton avance que le processus destimation des pertes est
beaucoup plus prsent et mature aux USA (transparence, attentes fortes des clients /
actionnaires / partenaires). Souvent les entreprises franaises sont moins outilles pour
le faire ou ne lont pas inclus dans leur cycle de gestion du risque cyber ou
communiquent trs peu sur ces lments.
46

/
Livreblanc - octobre 2016

PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS

/
18% des entreprises de la zone euro de lchantillon indiquent que les cyber-attaques
ont eu un impact sur la perte de leurs revenus. 40% des entreprises nord-amricaines
reconnaissent une incidence sur leur chiffre daffaires.
Concernant la mise en place dune stratgie cyber, 52% des entreprises anglo-saxonnes
ont mis en place une stratgie contre 39% entreprises franaises.
Les facteurs cls de la mise en place de politiques de scurit sont galement spcifiques
en fonction des rgions:

- En zone euro, le premier facteur sont les exigences rglementaires (47 %), suivi en
second par la demande / les attentes des clients (35 %) et en troisime position
lutilisation de nouvelles technologies digitales et numriques (31%).

- Aux USA, le premier facteur est la demande / les attentes des clients (62%), les deux
autres facteurs cls sont quivalents (49%): lutilisation de nouvelles technologies digitales et numriques et la rduction des cots long terme.

En termes de gouvernance, le directeur des risques dispose dune responsabilit plus
forte aux USA. Selon Grant Thornton, la gestion du risque et de la conformit est une
discipline trs ancre aux USA de par les contraintes rglementaires entre autre cause.
Cette fonction est donc stratgique dans le cadre de la stratgie et du pilotage des risques
des entreprises aux USA, avec cette crainte de sanctions financires trs fortes en cas de
manquement leurs obligations.

- La cyberscurit en France est la charge 25 % du DSI, et 4 % du directeur


de risques et dans 37% la charge dautre fonction (DAF, RSSI, RSI).

- Aux USA, la cyberscurit est la charge 22% du DSI, 26% du directeur de risques
et dans 30% la charge dautres fonctions.

Livreblanc - octobre 2016

47

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

5. LA GESTION DU RISQUE CYBER:


UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES
DE E-COMMERCE
5.1 LQUIPE CYBERSCURIT
Positionnement du dpartement cyberscurit
vis--vis du reste de lentreprise
ACCORHOTELS.COM
Lquipe cyberscurit dAccorHotels compte 20personnes. Elle est rattache au DSI.
Pour Matthieu Le Louer (accorhotels.com), lquipe scurit sert avant tout daiguillon pour la communaut de dveloppeurs. Il insiste sur la ncessaire agilit dont lquipe scurit doit faire preuve.
Dans un projet informatique, cest bien souvent la Matrise dOuvrage qui est le mieux mme dvaluer
limpact dune faille de scurit.
Mais, sur certains projets considrs comme sensibles, il arrive que lquipe scurit intervienne trs
en amont du projet pour relire et donner son avis sur les spcifications fonctionnelles. Ce fut notamment
le cas lors de la mise en place du one click. Avant mme que le sujet narrive dans les quipes IT,
lquipe scurit est intervenue pour valuer limpact dun vol de mot de passe par exemple. Dans ce cas,
lquipe scurit intervient directement au niveau de la direction du programme.
Il arrive parfois que les dveloppeurs sadressent lquipe de scurit de faon spontane pour avoir
un avis dexpert sur la faon dont une faille potentielle a pu tre corrige.
Chez AccorHotels, a t mis en place un SDLC: Secure Development Life Circle un cycle de dveloppement scuris, mthodologie dveloppe par Microsoft.
Arnaud Treps (accorhotels.com) recommande la lecture dun document intitul La scurisation des
applications Web rdig par le Clusif, dat de 2009 mais dont les principes mis en exergue restent
encore dactualit.
VOYAGES-SNCF.COM
La mission de lquipe scurit est de piloter globalement la dmarche scurit au sein de voyages-sncf.
com et de lanimer. Elle est en charge dexpliquer les enjeux, de conseiller des solutions, dapporter de
lexpertise. Elle a galement un rle didentification des dysfonctionnements lors des recettes scurit
ou des audits quelle ralise. Cest ce quEmmanuel Cordente (voyages-sncf.com) appelle les boucles de
rattrapage. Lquipe scurit propose alors des actions correctives. Mais, ce sont toujours les entits
mtiers qui restent, in fine, responsables.
Selon Emmanuel Cordente (voyages-sncf.com), le service scurit sefforce dtre peru par les mtiers
plus comme une aide que comme un censeur. Dans tous les cas, lobjectif poursuivi nest certainement pas
dajouter des contraintes de scurit des contraintes business. Mais il ajoute aussi: voyages-sncf.com
est une grosse entreprise avec normment de projets. Aussi, les efforts de sensibilisation et de formation
restent indispensables au succs de la dmarche pour que ce soit les projets qui sollicitent deux-mmes
lquipe scurit.
On connat beaucoup dexemples dentreprises dans lesquelles, le service de scurit est repli dans son
bunker et se trouve trs isol des autres quipes. Cest prcisment ce que lon veut viter chez voyagessncf.com. Notre objectif est dtre proche des quipes, davoir des relais un peu partout, pour que la
scurit soit omniprsente dans lactivit de chacun rsume Emmanuel Cordente.
48

Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

FNAC.COM
En tant que RSSI, Corinne Nol est rattache la direction gouvernance et stratgies au sein de la DSI et
son rle est plus fonctionnel quoprationnel. Aujourdhui au sein de la FNAC, la gestion de la scurit
se traite comme un incident de production. Cest le dpartement en charge de lexploitation qui traite
les incidents de scurit. Corinne Nol constate que les quipes FNAC en charge de la production et les
quipes en charge de la scurit agissent des niveaux diffrents.
Des interactions multiples entre le dpartement cyberscurit
et le reste de lentreprise
Quelle proximit et quelles interactions entre lquipe
scurit et la DSI?
Pour Damien Cazenave (vente-privee.com), il est indispensable que le dpartement scurit soit hberg
au cur de lIT, cest--dire dans le racteur mme de tout site de e-commerce! Il est ncessaire que
lIT et le dpartement scurit puissent travailler en troite collaboration pour identifier ensemble
des solutions.
La scurit doit pouvoir intgrer les contraintes du systme dinformation. Mme sil sait que cette
question peut faire dbat, Damien Cazenave (vente-privee.com) considre quun mme rattachement
hirarchique entre les deux entits peut faciliter grandement les choses, et particulirement dans le
e-commerce o 90 % des projets sont des projets dimension IT. Aujourdhui, chez vente-privee.com,
Damien Cazenave reporte la fois au directeur gnral et au DSI.

QUELLE EST LA BONNE PLACE DUN RSSI


DANS UN ORGANIGRAMME?
Pour Alain Bouill, la bonne place dun RSSI sur un organigramme, cest: lendroit o il sera
le plus efficace!.
Selon les statistiques du CESIN, dans 70% des cas le RSSI est rattach la DSI. Mais, est-ce
forcment la DSI quun RSSI est le plus efficace: certainement pas, rpond Alain Bouill!
Les 30% restants correspondent au cas o les RSSI dpendent dune direction des risques
ou dune direction de la sret par exemple. Ces cas de figure ncessitent une organisation
particulire de lentreprise. Des relais scurit au sein de la DSI seront toujours ncessaires
pour superviser les aspects scurit du rseau ou des infrastructures. Cela ncessite aussi de
mettre en place des rgles de gouvernance. Selon Alain Bouill: Il y a quilibre de pouvoir
trouver.
Pour lui, la question nest pas tant celle du rattachement hirarchique du RSSI que celle de la
proximit que doit avoir le RSSI avec le business. Il doit sortir de son bureau et se caler
la stratgie digitale de lentreprise. Le RSSI qui dit non nexiste plus!
Comment mesurer la maturit du e-commerce par rapport aux enjeux de cyberscurit ?
Pour Alain Bouill, un bon indicateur peut-tre le nombre de RSSI nomms par les entreprises du secteur!

Livreblanc - octobre 2016

49

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

Quand et comment lquipe cyberscurit doit-elle intervenir


dans le cycle de dveloppement SI?
Pour Damien Cazenave (vente-privee.com), la scurit est un processus continu. La scurit ne peut pas
arriver en bout de chane et se contenter dapposer un sceau sur les projets. Au contraire, elle doit tre
prsente ds la rdaction des spcifications techniques. Et, Damien Cazenave de constater, force de
travailler trs en amont avec les quipes IT, la scurit devient une partie intgrante de chaque projet.
La qualit devient une dimension prpondrante pour les dveloppements. Laccroissement du nombre
de directions de la qualit au sein des directions informatiques en atteste. Pour Damien Cazenave (venteprivee.com), il ne fait aucun doute que la scurit fera trs bientt partie intgrante de toute dmarche
de qualit.
Chez AccorHotels, il y a une release majeure par trimestre. Une personne du service scurit passe deux
semaines temps plein avant chaque mise en production pour vrifier sa permabilit aux intrusions.
Les failles mineures ne remettent pas en cause la mise en production. Elles seront monitores et
les corrections seront faites lors des futures releases.
ce propos, Arnaud Treps (accorhotels.com) prcise que souvent, ce nest pas une faille isole qui pose
problme, cest souvent une combinaison de failles mineures qui peut devenir un risque majeur. En cas
de dtection de failles majeures, il peut arriver que lquipe scurit demande lajournement de la mise
en production. Dans les faits, cela arrive assez rarement.
Veiller la bonne couverture des aspects lis la cyber scurit dans les contrats
passer avec les prestataires: un rle cl pour les quipes scurit
Pour fnac.com, Corinne Nel confirme que sassurer que tous les aspects scuritaires sont correctement
couverts par les contrats passs avec les prestataires figure parmi ses missions essentielles en tant
que RSSI.
Emmanuel Cordente (voyages-sncf.com) indique que, depuis plusieurs annes maintenant, les contrats
liant voyages-sncf.com et ses prestataires incluent systmatiquement une annexe plan dassurance
scurit.
Cette annexe est toujours spcifique en fonction du primtre couvert par le prestataire. Les changes
entre le dpartement juridique et le dpartement scurit sont donc frquents. Ils visent sassurer que
toutes les exigences lies la scurit sont bien reprises dans les contrats. Cest un lment essentiel du
travail de sensibilisation queffectue le dpartement scurit auprs des mtiers. Car, pour gagner du
temps dans la contractualisation, la tentation est souvent forte de sous-estimer les aspects scurit dans
les contrats.
Or, les consquences peuvent tre trs prjudiciables. Si, une faille est dtecte chez un prestataire dans
le cadre dun audit une fois le contrat sign et, que la correction de cette faille nest pas prvue au contrat,
il peut tre difficile (voire coteux) de contraindre, le prestataire corriger cette faille potentielle quil aura
tendance considrer comme bnigne.
Emmanuel Cordente se flicite que, jusqu prsent, voyages-sncf.com ait toujours russi par lentremise
de ses contrats partager la responsabilit avec ses prestataires. Nanmoins voyages-sncf.com est parfaitement conscient quen cas dincident de scurit majeure, cest le site et non pas son prestataire qui aura
dplorer le plus gros prjudice.
Le plan dassurance scurit rpond galement un autre objectif: celui de sensibiliser le prestataire sur
les questions de scurit. Le plan dassurance scurit est dailleurs repris systmatiquement dans les
appels doffres. La compltude avec laquelle le prestataire sy conforme figure parmi les critres de slec-

50

Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

tion utiliss par VSC. Les rponses que fournissent les prestataires la quarantaine de questions que
contient le plan dassurance scurit sont un bon indicateur de la maturit des prestataires sur cette
question.
Un autre bnfice de ce document est de cadrer les audits que voyages-sncf.com sera en droit de mener
auprs de son futur prestataire.
Mais, comme le fait remarquer Charles (SiteDeEcommerce.com), le tout nest pas seulement de prvoir
toutes les clauses ncessaires dans les contrats, encore faut-il avoir la capacit de vrifier leur mise
en application. Charles reconnat : nous grons nos relations contractuelles avec nos prestataires de
faon paradoxale. Nous leur imposons des conditions contractuelles draconiennes concernant notamment lchange de nos donnes (cela se justifie pleinement compte tenu du volume de donnes que nous
pouvons changer avec certains dentre eux). Mais, force est de constater que cela reste bien souvent
thorique.
Peut-tre un jour effectuerons nous des tests dintrusion chez nos prestataires. Mais, pour linstant, on
en est encore au stade de les mettre en place chez nous Marc Le Guennec (raja.fr).
Le dpartement cyberscurit mis contribution dans la ngociation
des contrats de cyber-assurance
Depuis deux ou trois ans, Emmanuel Cordente (voyages-sncf.com) constate que les assureurs se sont
empars du sujet et quils investissent dans ce nouveau march. Lorsque voyages-sncf.com avait instruit
ce sujet pour la premire fois, les courtiers prsents sur le march pouvaient se compter sur les doigts
de la main. Aujourdhui, il y a plthore.
En toute logique, lquipe scurit est mise contribution sur les tudes des polices dassurance spcifiques aux cyber-risques. Elle doit rpondre la demande de lassureur de pouvoir mesurer concrtement
la matrise du risque cyber par lentreprise.
Pour Emmanuel Cordente (voyages-sncf.com), il est encore trop tt pour se forger une opinion sur les
produits de cyber-assurance disponibles sur le march.

Livreblanc - octobre 2016

51

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

LE POINT DE VUE DU JURISTE


LA SCURIT DES DONNES CARACTRE
PERSONNEL (DCP) SUR LES SITES:
RESPONSABILIT DU SOUS-TRAITANT/PRESTATAIRE
DU SITE AUJOURDHUI ET DEMAIN
Mon site est hberg chez XX, la maintenance
est assure par YY, jai aussi externalis la
scurit de lensemble chez ZZ alors qui est
responsable en cas datteinte la scurit des
donnes?
Sous la loi de 1978 modifie relative
lInformatique, aux fichiers et aux Liberts :
le responsable de traitement doit empcher
que les donnes personnelles ne soient dformes, endommages, ou que des tiers non
autoriss y aient accs (article 34). Il nest
jamais dcharg de cette obligation de scurit et de confidentialit, y compris en cas de
sous-traitance (article 35). Le responsable
de traitement est donc tenu de sassurer des
garanties prsentes par ses sous-traitants tant
dun point de vue juridique (dans le contrat)
que dun point de vue technique (mesures
et procdures de protection mises en uvre).
Actuellement et au regard de la loi Informatique et Liberts, il nest fait aucune allusion
la responsabilit du sous-traitant et seul le
responsable de traitement est passible dune
sanction pnale et/ou dune sanction administrative en cas de manquement lobligation de
scurit. Notons que la CNIL a dj sanctionn
plusieurs responsables aprs avoir constat
labsence daudit de scurit des sous-traitants, linsuffisance des mentions contractuelles [Dlibration n2014-298 du 7 aot
2014 / avertissement] mais galement, pour
des manquements directement imputables
au sous-traitant telles lutilisation de moyens
de communication non scuriss ou lapplication cre par un prestataire lorigine de la
diffusion des donnes des clients sur internet via leur adresse IP [Dlibration n2014238du 12juin 2014]. La CNIL a rappel que
lexistence dune sous-traitance (hbergement
et gestion du site) nexonrait pas la socit

52

responsable de traitement de ses obligations


lgales telles qunonces larticle 34 de la
loi [Dlibration de la formation restreinte
n2016-108du 21avril 2016].
Un des problmes majeurs de la sous-traitance
actuellement est li au lieu dimplantation
des sous-traitants (en particulier des prestataires de cloud), souvent situs dans des tats
tiers (qui ne garantissent pas un niveau de
protection jug quivalent celui de lUnion
Europenne). Ds lors, tout transfert de
donnes personnelles vers ces sous-traitants
doit faire lobjet dun encadrement spcifique (Clauses Contractuelles Type ou Binding
Corporate Rules).
Le Rglement europen [RGPD], adopt le
27 avril dernier et qui entrera en application
compter du 25 mai 2018, introduit des
changements trs importants et pourrait
permettre de rgler (en partie) le problme
des transferts internationaux de donnes
inhrents la sous-traitance.
Dune part, le sous-traitant, cest--dire toute
entit qui traite des donnes caractre
personnel pour le compte du responsable de
traitement (article 4-8), est soumis de nouvelles exigences. Notamment, il devra tenir
un registre des activits de traitement (article
30), cooprer avec lautorit de contrle (article 31), garantir la scurit des traitements
(article 32), notifier toute violation de donnes au responsable de traitement (article
33) Tout manquement grave et avr du
sous-traitant ses obligations lexpose des
sanctions administratives trs lourdes allant de
10000000deuros damende [ou 2% du CA
mondial pour une entreprise] un maximum
de 20000000deuros [ou 4% du CA mondial
pour une entreprise].

/
Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

/
Dautre part, le RGPD nonce de faon trs prcise lensemble des conditions applicables la
relation de sous-traitance. Ainsi, lexigence dun
contrat (ou de tout autre acte juridique) est
reprise mais trs largement complte en ce
qui concerne les dispositions prvoir telles

linformation et lautorisation pralables du


responsable de traitement en cas de recrutement de sous-traitant ultrieur, la documentation des mesures prises par le sous-traitant
des fins de conformit au RGPD, la possibilit
daudits ou dinspections.

Comment aborder le sujet de la cyberscurit avec


le comit de direction?
Charles (SiteDeEcommerce.com) constate un cart important, au plus haut niveau des entreprises, entre
la prise en compte des enjeux de paiement et celle lies aux enjeux de scurit.
Avec laide de la direction financire, il est relativement ais dintresser une direction gnrale aux
enjeux lis la matrise de la fraude aux paiements. Une direction gnrale comprend gnralement assez
facilement les risques lis la dtention de numros de cartes bancaires. Cest beaucoup plus compliqu
en revanche de sensibiliser sur les risques lis la dtention de donnes caractre personnel de
nos clients. Pour Charles, il est possible que la mise en application de la directive europenne sur les
donnes personnelles puisse aider cette prise de conscience au mme titre que la norme PCIDSS pour
les paiements.
Il y a trois mois, Marc Le Guennec (raja.fr) a prsent les rsultats des audits scurit qui venaient dtre
raliss devant le comit de direction. Ctait la premire fois que le sujet des risques cyber tait mis
lordre du jour. Selon Marc Le Guennec (raja.fr), laccueil fut trs bon: la cyber criminalit figure parmi
ces sujets dont tous les dirigeants ont forcment dj entendu parler titre personnel. Transposs au
contexte professionnel, des cybers-attaques peuvent porter atteinte au capital mme de lentreprise.
Il parat naturel que ces sujets proccupent nimporte quel dirigeant.
Pour Marc Le Guennec (raja.fr), face un risque qui peut apparatre anxiogne, il est important de montrer
que des actions peuvent tre prises et que des solutions peuvent tre trouves.
Cette prsentation a galement permis douvrir une rflexion sur la pertinence de constituer une entit
ddie la scurit qui nexiste pas pour linstant au sein de lentreprise. Pour linstant, une seule personne
au sein de la DSI est directement en charge daspects lis la scurit informatique. Mais cela concerne
uniquement la scurit du rseau.
Pour linstant, notre approche de la scurit est trs informatique. Or, nous avons bien conscience que le
sujet de la scurit doit tre embrass de faon beaucoup plus large. Au fond, la question principale est
de savoir quelles donnes, quels assets doivent tre scuriss et de quelle manire.

Livreblanc - octobre 2016

53

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

quel point faut-il internaliser


ou externaliser lexpertise en
cyberscurit?
Pour Alexandre Cognard (vestiairecollective.com): il nest pas forcment vident
dexercer un contrle en continu sur le
code produit par lquipe de dveloppement, sur sa robustesse aux failles de scurit. Dabord, pa ce que le niveau des
comptences en scurit peut tre trs
variable dun dveloppeur lautre. Et
dautre part, par ce que la faillibilit dune
ligne de code ne saute pas forcment aux
yeux ! Pour ces raisons, Vestiaire Collective mandate des prestataires pour
raliser des audits de scurit. Lobjectif
est toujours double : identifier les failles
bien sr, mais galement apprendre aux
dveloppeurs comment les corriger. Cet
aspect de formation est essentiel.

AVNEMENT DU DIGITAL:
ON NE FERA PAS DE DIGITAL
SANS FAIRE DE SCURIT
Pour Alain Bouill, un nouveau paradigme
est apparu au sein des entreprises avec
lavnement du digital. Autant, linformatique
pouvait tre considre prcdemment
comme faisant partie de lintendance, autant avec lavnement du digital, linformatique est maintenant considre par un
grand nombre de directions gnrales
comme un pilier stratgique du dveloppement des entreprises. Alain Bouill martle
ladage selon lequel on ne fera pas de digital
sans faire de scurit. Ainsi, il prdit que de
plus en plus les directions gnrales
seront amenes accorder une place prpondrante aux problmatiques de scurit
si elles ont des ambitions de dveloppement
de leur activit dans le digital.

Une des particularits de lquipe scurit


dAccorHotels, cest quelle accueille, en
son sein, des gentils hackers ! Cinq
personnes travaillent temps plein sur la
dtection des failles pour lensemble du
groupe. Ils ralisent prs de 150 tests
dintrusion par an, soit la quasi-totalit des
tests raliss. Pas tous les test dintrusion toutefois, car certains des partenaires dAccorHotels, particulirement les anglo-saxons, imposent que les tests dintrusion soient spcifiquement pratiqus par des tiers
extrieurs lentreprise.
Pour AccorHotels, lenjeu nest pas tant dans la dtection des failles que dans la capacit de lentreprise
les corriger. Arnaud Treps rsume: un rapport de tests dintrusion ne sert rien si les failles ne sont
pas corriges.
Lquipe scurit a recours des prestataires extrieurs en rgie. Cela permet damener du sang neuf.
Selon Arnaud Treps lui, ces prestataires apprcient dtre intgrs non seulement la partie de dtection
des failles mais galement de prendre une part active la correction des failles.
En attendant, AccorHotels sest adjoint les services dun cabinet spcialis qui scrute les forums du
Dark Web et analyse les changes qui concernent le groupe.
ses dbuts, Damien Cazenave (vente-privee.com) avait majoritairement recours lexternalisation pour
raliser les tests dintrusion. Ce nest plus autant le cas aujourdhui. En effet, il considre que les micro pen
tests gagnent tre raliss en interne: cela permet de rduire les cots, et davoir plus de ractivit,
mme si lon sait que nous naurons jamais le niveau des spcialistes dont cest le cur dactivit.
Damien Cazenave (vente-privee.com) souligne un autre avantage internaliser une partie des tests
dintrusion: cela permet de disposer de ressources suffisamment pointues en interne pour pouvoir faire
des dmonstrations et de la sensibilisation en interne. Ce type dactions bnficie grandement limage
de comptence du dpartement scurit.

54

Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

Il partage lavis selon lequel le tout nest pas de dtecter la faille mais dtre capable de lexpliquer et de
donner les moyens aux dveloppeurs de la corriger rapidement. Cest un bnfice indniable du recours
des prestataires extrieurs. Limportant, cest quune spirale positive puisse se crer. Plus la DSI devient
mature sur la matrise des failles, moins elle en cre.
Damien Cazenave (vente-privee.com) insiste sur le point crucial que constitue la capacit de la DSI
pouvoir corriger rapidement la faille qui a t dtecte. Mais l encore, les choses ne sont pas forcment
binaires. La rsolution ou non dune faille peut faire lobjet dun arbitrage. Dans certains cas, la correction
dune faille peut tre considre comme trop coteuse ou devoir ncessiter trop de temps vis--vis du
risque. Il peut tre dcid de la mettre sous observation.
Pour linstant, la FNAC a recours aux services de socits spcialises pour raliser ses tests dintrusion.
La slection des prestataires est particulirement rigoureuse. Ils doivent tous possder une excellente
rputation. Les audits sont confis tour de rle, des prestataires diffrents, afin de bnficier de la
varit des mthodes quils utilisent.
Tests dintrusion: on ne devient bon quen sentranant
Damien Cazenave (vente-privee.com) fait le constat suivant : les entreprises en pointe en matire de
scurit font gnralement un usage extensif des tests dintrusion. Ils peuvent reprsenter une charge
de 150jours homme par an. Il poursuit: on apprend normment des tests. Et, il ny a pas de mystre,
on ne devient bon quen sentranant.
Tests dintrusion: comment choisir son prestataire?
Pour Damien Cazenave (vente-privee.com), les tests dintrusion externes sont indispensables. Ils doivent
tre faits rgulirement. Mais encore faut-il choisir les bonnes personnes pour les effectuer: plus votre
niveau de maturit augmente, et plus il devient indispensable dtre slectif dans le choix des prestataires
avec lesquels lentreprise travaille.
Selon lui, toutes les entreprises spcialises utilisent globalement les mmes mthodologies: ce qui fait
la diffrence, cest la comptence individuelle des consultants. Un bon consultant en scurit est trs
souvent un passionn, pour qui consacrer pas mal de son temps personnel se former nest pas un
problme.
Ds lors, Damien Cazenave reconnat que le choix dune socit peut se faire en fonction des personnes
quil connat personnellement. Mais, au-del du choix des personnes, limportant, reste le rsultat : la
pertinence des failles quun prestataires externe est capable de dtecter.
Pour Damien quel que soit le choix du prestataire, limportant est den changer rgulirement. Il en change
chaque anne: cela permet dviter un certain confort avec le prestataire et de conserver en permanence
un il neuf.
Les audits de scurit: mettre en place une fois acquise une certaine maturit
sur les enjeux de cyberscurit
Raja vient de raliser deux audits de scurit.
Le premier audit tait purement technique. Il a consist donner lensemble des plages IP utilises
par lentreprise un auditeur externe pour quil procde des tests dintrusion. 60points dentre ont t
tests par lauditeur qui a ensuite formalis des recommandations.
Le deuxime audit a concern plus spcifiquement le site internet. Un autre prestataire extrieur a
t charg de tester la vulnrabilit du site : nous ne leur avons donn aucune limite dclare Marc

Livreblanc - octobre 2016

55

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

Le Guennec (raja.fr). Finalement, nous avons t rassurs par les rsultats. Une seule faille rellement
problmatique (une injection possible de scripts SQL) a t dtecte. Il sagissait dune erreur de
paramtrage du progiciel.
Lancs il y a huit mois, les deux types daudit (technique et du site lui-mme) ont vocation tre reconduits
rgulirement. Marc Le Guennec dclare : cela faisait dj un certain temps que nous envisagions de
raliser ces tests. Mais, jusqu prsent, nous estimions ne pas avoir la maturit suffisante.

LE POINT DE VUE DU JURISTE


LAUDIT JURIDIQUE DUN SITE DE VENTE SUR
INTERNET, UN PRREQUIS INDISPENSABLE
Lors de la cration dun site internet de vente
en ligne, il convient tout particulirement
de sinterroger sur sa conformit juridique.
Quelles sont les rgles juridiques qui lui sont
applicables? En matire de commerce lectronique? En matire de protection des donnes
caractre personnel ? En matire ddition
de site ? Quelle responsabilit (responsabilit
de plein droit de larticle L.221-15du Code de
la consommation)?
Chaque site internet doit veiller respecter des
obligations lgales au risque de se faire sanctionner. Laudit juridique est ainsi un prrequis
indispensable dans la mesure o il permet
danalyser les risques mais aussi les opportunits juridiques par rapport au Business Model dvelopp. Tant le Code civil, le Code pnal,
le Code de la proprit intellectuelle que le
Code de la consommation sont des rfrences
essentielles lors du dveloppement dun site.
Les mentions lgales permettent tout dabord
didentifier les responsables du site (article 19de
la loi du 21juin 2004pour la confiance dans
lconomie numrique, LCEN). Elles doivent
galement respecter un certain nombre dobligations numres larticle L. 111-1 4e du
Code de la consommation (cordonnes postales, tlphoniques, lectroniques, activits).
Ainsi, en cas de non respect de ces mentions,
lauditeur pourra aussitt apporter des modifications afin dtre en totale conformit avec
la lgislation actuelle.

Le e-commerce impose la rdaction de conditions gnrales de vente. Laudit juridique


vrifiera ainsi le respect dobligations telles
que cites larticle L. 113-3 du Code de la
consommation ou encore larticle L.441-6 du
Code de-commerce, notamment laune des
nouvelles versions des Codes civil et de la
consommation. Laudit juridique du site doit
donc tre organis de manire priodique.
Par ailleurs, le contrle de la conformit lgale
des donnes caractre personnel collectes,
traites et archives est devenu incontournable
depuis la loi du 6aot 2004, modifiant la Loi
Informatique et Liberts et bientt le Rglement europen RGPD applicable en mai 2018.
Le renforcement des peines et amendes lies au
non respect des exigences en matire de donnes caractre personnel, lattribution dun
pouvoir de sanction la CNIL (ex.: 45000euros damende une banque pour entrave
son action, 5000euros damende une tude
dhuissier) dmontre la volont dassurer une
parfaite transparence dans le cadre de leurs
pratiques tant commerciales que simplement
techniques. Un audit, dans ce cas, permettrait
de mettre le site en conformit en termes de dclarations, autorisations, procdures mettre
en place et ventuellement des conditions
de licit des traitements mis en place.
Sagissant des cookies, laudit juridique valuera la ncessit davoir une politique dutilisation des cookies. Si tel est le cas, des exigences
juridiques simposeront encore au responsable
du site quil conviendra de respecter.
/

56

Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

/
Enfin, concernant les droits de proprit
intellectuelle, outre les droits sur les contenus
publis (dessins, signes distinctifs, textes, photos), il convient de ne pas omettre dvaluer
un certain nombre de risques juridiques lis
lutilisation de licences de logiciels dits libres,
la titularit des droits ainsi que les mesures
prises pour la protection des droits.

Enfin, laudit doit aussi avoir pour objet danalyser tous les contrats de lentreprise avec ses
partenaires publics et privs afin de dtecter
les risques potentiels: licences, accords de R/D
L encore, une attention particulire devra tre
porte sur les cessions de droits et concessions
(voir notamment larticle L. 111-1du CPI).

Les Bug Bounties: vraie opportunit?


Lopinion de Corinne Nol sur les Bug Bounties est, pour linstant assez catgorique: le recours ventuel
aux Bug Bounty nest pas dactualit chez fnac.com. Les enjeux de confidentialit sur les sujets de scurit
apparaissant incompatibles avec ce modle.
Alexandre Cognard (vestiairecollective.com) semble partager cette rticence. Il dclare : la relation qui
lie une entreprise avec un Ethical Hackers qui lui a signal spontanment une faille est par essence
ambigu.
Pour lui, il existe forcement une asymtrie de comptence entre une quipe de professionnels en charge
de la scurit dun site de e-commerce et nimporte quel hacker en herbe. Cela peut conduire une
apprciation trs diffrente des deux parties sur la criticit dune faille de scurit.
Alexandre a dj expriment cette situation. Un hacker avait signal une faille de scurit. Aprs analyse,
les quipes de scurit avaient dtermin que limpact de cette faille tait trs limit. Vestiaire Collective
sest alors trouve confronte au dilemme de rcompenser le hacker, au risque de susciter des vocations,
ou de ne pas le rcompenser et de sexposer des formes de reprsailles dont les rpercussions sont
toujours difficiles prvoir.
Le hacker a mme propos Vestiaire Collective de contractualiser en passant par une plate-forme de
Bug Bounty Pas forcment la meilleure manire pour un site de e-commerce de se laisser convaincre par
les bnfices de ce type de plate-forme!
Alexandre Cognard (vestiairecollective.com) en reconnat lintrt mais pour les sites de e-commerce qui
ont dj atteint un stade lev de maturit dans la matrise de leurs risques cyber.
Pour lui, les Bug Bounties sont un moyen incrmental de sassurer de la fiabilit dun site, une fois que
lensemble des mthodes traditionnelles de dtection et de corrections des failles ont t mises en uvre.
Pour Franck Boniface (verstiairecollective.com), lannonce rcente par le gouvernement amricain du recours des hackers pour cracker le code dun iPhone marque le franchissement dun cap symbolique.
Cest la reconnaissance du hacking en tant que pratique courante qui peut mme revtir un caractre
lgal quand elle est utilise par les pouvoirs publics.
Arnaud Treps (accorhotels.com) est du mme avis quAlexandre Cognard : recourir au Bug Bounty
ncessite davoir atteint la maturit absolue sur la gestion du risque cyber. Selon lui, cela ncessite en
effet davoir pralablement mis en place une organisation capable de traiter les bugs de scurit, de
faon trs ractive pour ne pas crer de frustration et de dception auprs de la communaut.
Linternalisation de la dtection des failles de scurit permet lentreprise de garder le contrle sur

Livreblanc - octobre 2016

57

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

le rythme de correction des failles. Nanmoins, Arnaud Treps (accorhotels.com) peroit bien les avantages
offerts par les Bug Bounties. Il nest pas exclu quAccorHotels puisse un jour y recourir.
Pour Emmanuel Cordente (voyages-sncf.com), recourir aux Bug Bounties est indniablement intressant:
ce que lon constate avec les dmarches daudit traditionnelles, cest que, au bout dun moment, on ne
trouve plus rien! Dune part, parce quon corrige nos erreurs, et que notre niveau samliore sans cesse.
Dautre part, parce quen cherchant toujours de la mme manire, on ne trouve logiquement plus rien.
Voyages-sncf.com cherche donc maintenant diversifier ses mthodes. Le but est de se rapprocher au
maximum de la dmarche quutiliserait un hacker malveillant.
Un intrt non ngligeable que voit Emmanuel Cordente (voyages-sncf.com) dans les Bug Bounties est
leur dure. Un Bug Bounty peut schelonner sur plusieurs annes. Cest une diffrence fondamentale
avec les audits dont la dure est forcment limite.
Emmanuel Cordente fait galement le constat quun certain nombre de failles peut provenir des composants utiliss par voyages-sncf.com. Or, un composant peut demeurer intgre pendant une trs longue
priode avant quune faille ne soit finalement repre. Une fois la faille publie, les attaques peuvent se
multiplier trs rapidement.
En ayant recours aux Bug Bounties, voyages-sncf.com dispose dun pool de testeurs qui se tiennent informs en permanence des dcouvertes de nouvelles failles, et en particulier celles affectant les composants
dont ils savent quils sont utiliss par voyages-sncf.com. Ils peuvent dclencher lalerte trs rapidement.
Ce cas de figure ne peut pas tre couvert par nos audits traditionnels.
Damien Cazenave (vente-privee.com) considre quil peut faire sens de lancer un Bug Bounty sur un primtre sur lequel lentreprise considre avoir atteint un certain niveau de maturit. Incontestablement
pour Damien Cazenave (vente-privee.com), les Bug Bounties peuvent faire passer un palier supplmentaire une entreprise.
Pas trop dillusions avoir pour autant sur la baisse des cots que pourrait reprsenter le recours au
Bug Bounty. Pour attirer les meilleures pointures, un programme de Bug Bounty doit tre bien dot.
On nattire pas les mouches avec du vinaigre!
Damien Cazenave (vente-privee.com) met une alerte avec le dispositif contractuel propos par les Bug
Bounties. Comment lentreprise peut-elle avoir la garantie quun hacker ne sera pas tent de monnayer
la dcouverte de sa faille ailleurs, si lentreprise nest pas suffisamment ractive pour la corriger rapidement?
loppos du spectre, les Bug Bounties peuvent prsenter un rel intrt pour les start-ups qui ne
disposent pas encore dquipe scurit interne.
Zro tolrance pour les dysfonctionnements des outils de scurit
qui pourraient affecter les systmes en production!
La disponibilit des systmes est lexigence numro un de tout responsable mtier dun site de
e-commerce. Ds lors, tout dysfonctionnement doutils de scurit qui pourrait affecter les systmes en
production est vcu comme un ala insupportable par la majorit des responsables de sites!
Pour Arnaud Treps (accorhotels.com): les outils informatiques assurant la scurit nont pas le droit de
tomber en panne ! Autant, il peut exister une certaine comprhension pour les incidents qui affectent
les systmes de production, autant les dysfonctionnements qui seraient provoqus par les quipements
de scurit ne bnficient daucune clmence.
Or, pour Arnaud Treps, force est de constater que les produits de scurit sont rarement exempts
de bugs. Normal, il suffit de crier au loup pour quils se vendent! prcise-t-il.
58

Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

PENDANT QUE LES DITEURS DE SOLUTIONS SONT OCCUPS


FUSIONNER ENTRE EUX, LINNOVATION EST AU POINT MORT:
PAS LINGNIOSIT DES HACKERS
Pour Alain Bouill, les produits de scurit du march ne sont plus en phase avec les
nouveaux enjeux de la scurit.
Le march des solutions de cyberscurit est en pleine concentration. Pour Alain Bouill, les
diteurs de solutions passent leur temps se racheter les uns les autres ; soit pour tuer
la concurrence, soit pouvoir afficher commercialement une couverture exhaustive des risques
de cyberscurit.
Cela conduit Alain Bouill considrer quil y a un vrai problme de recherche et dveloppement chez les fournisseurs de solutions, qui sont manifestement sous la pression de leurs
investisseurs financiers. Dans un contexte de bulle financire, ces entreprises privilgient le
rachat dun concurrent pour tenir leurs objectifs de croissance plutt que les dpenses en
R et D. Mais, pendant ce temps, les hackers ont le champ libre.
Alain Bouill observe le creusement dun foss entre dune part les fournisseurs de solutions
qui ninnovent plus et dautre part une kyrielle de petits diteurs qui inventent des solutions
pertinentes mais qui reste de taille trop rduite pour tre dploye grande chelle.

Piloter lactivit cyberscurit


Quel budget affecter la cyberscurit?
Aucun des interviews ne sest bien sr aventur donner une rponse prcise cette question! Tous,
ont le sentiment peu ou prou quil est la hausse, mais de combien prcisment, cela reste trs difficile
estimer.
Pour Emmanuel Cordente, le budget que consacre voyages-sncf.com la scurit est clairement la
hausse. Cette augmentation sexplique par la croissance de lentreprise; en lespace de cinq ans le nombre
de collaborateurs qui constituent lentreprise est pass de 300 1000.
Voyages-sncf.com ne dispose pas encore dune valuation prcise de lensemble des dpenses lies la
cyberscurit mais y travaille. Lexercice reste trs compliqu car la scurit est prsente de faon trs
diffuse dans lentreprise. Lvaluation doit intgrer aussi bien les cots de personnel que les investissements matriels et immatriels.
Pas de pilotage de lactivit cyberscurit
sans indicateurs
Pour Corinne Nol (fnac.com), la mise en place dune quipe ddie la scurit doit aller de pair avec
la mise en place dindicateurs de pilotage de la menace cyber. Lun ne peut aller sans lautre. Pour elle:
disposer dindicateurs sans personne pour pouvoir les exploiter et en tirer des enseignements ne sert
rien. Mais comment dfinir ces indicateurs ? Cest trs li lactivit du e-commerant rpondent de
faon un peu nigmatique les interviews.

Livreblanc - octobre 2016

59

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

Pour faire face cette menace permanente, voyages-sncf.com dispose de ses


propres datacenters et de ses propres
quipements de scurit. Sur lensemble
de ses systmes, voyages-sncf.com
dispose dquipements qui lui permettent
dobserver les grandes tendances
dattaques dont il fait lobjet. Ces rapports
alimentent la rflexion sur lexposition
au risque. Lentreprise recourt galement
des services externes.

5.2 DVELOPPER UNE CULTURE


DE LA CYBERSCURIT
Limportance de la sensibilisation de tous les collaborateurs.
La prise de conscience doit
tre collective.
VESTIAIRE COLLECTIVE

QUEL OUTIL DE PILOTAGE


DU RISQUE CYBER?
Selon Alain Bouill, prsident du CSESIN: le
Graal de tout RSSI, cest de parvenir mettre
au point un tableau de bord qui soit rellement connect avec les priorits business
de lentreprise.
Ce tableau de bord est forcment propre
chaque entreprise en fonction de la stratgie
quelle dploie.
Il faut tre en mesure de dterminer les
indicateurs pertinents pour dterminer le niveau rel dexposition au risque. Mais, le
pilotage de cette exposition au risque ncessite la mise en place de systmes de supervision de la scurit dont la plupart des entreprises sont aujourdhui dpourvues.

Pour Alexandre Cognard, adopter une


attitude de cyber-vigilance passe dabord
par le respect de pratiques de bon sens!
Par exemple, ne pas laissait traner de
post-it aux vues de nimporte quel visiteur extrieur sur lesquels figureraient des logins et mots de passe.
Pour Alexandre: cest potentiellement dangereux, et peut-tre facilement assimilable par nimporte quel
visiteur se rendant dans les locaux un manque de considration porte par lentreprise aux enjeux de
scurit.
Il nous appartient de transmettre cette vigilance aux quipes grce aux moyens les plus adquats.
La scurit est laffaire de tous. Autant le message semble complment intgr en ce qui concerne la
scurit physique; autant en ce qui concerne la cyberscurit les efforts de sensibilisation doivent tre
poursuivis. Il nous faut encore dvelopper lappropriation collective de ces sujets dclare Franck Boniface,
le secrtaire gnral de Vestiaire Collective.
Vestiaire Collective dispose dun comit de scurit. Mais, il traite essentiellement de sujets lis la
scurit physique. Franck Boniface prcise que les sujets lis la cyberscurit noccupent que 30% de
son temps. Il est le premier reconnatre que ce ratio est tonnant pour une entreprise ce point
prsente sur internet. Mais: on a beau tre dans le digital toute la journe, a reste plus facile dimaginer
les consquences dune effraction dans nos locaux que les consquences dun vol de donnes.
ACCORHOTELS.COM
Dans le groupe, la sensibilisation des collaborateurs aux enjeux de la cyberscurit se fait trois niveaux.
Pour le top management, il sagit dexpliquer quels peuvent tre les impacts dune faille de scurit,
et comment elles peuvent se produire.
Au niveau des chefs de projet, laccent est mis sur les diffrentes formes de dtournement possibles
dune application. Arnaud Treps constate assez frquemment que les chefs de projet ont parfois certaines

60

Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

difficults imaginer que les fonctionnalits quils mettent en place puissent tre utilises des fins diffrentes de celles pour lesquelles elles sont conues.
Pour illustrer son propos, il donne lexemple suivant: si on ajoute 5objets 10 et -5objets 10 dans
un panier de commande, le total payer pour le client sera de 0plus les frais de port. Si le cas nest pas
prvu, il peut arriver quau niveau logistique les 5objets soient effectivement livrs et que lordre denvoyer
-5objets soit rejet par le systme informatique. Or, si le code nest pas suffisamment scuris, il peut tre
relativement simple pour un hacker denvoyer la valeur -5au serveur. Mais, encore faut-il que le chef de
projet puisse imaginer que de tels dtournements puissent tre possibles
Pour les dveloppeurs, le service scurit a cr un serious game: une application qui recense toutes les
failles possibles et imaginables. Dans un premier temps, les dveloppeurs sont invits prendre la place
des hackers et pntrer lapplication en identifiant ses failles. Puis, la phase dintrusion, succde
la phase de correction qui permet aux dveloppeurs de comprendre comment coder de faon robuste.
FNAC.COM
Chez fnac.com, la sensibilisation des quipes internes aux problmatiques lies la scurit, passe par
des campagnes de communication internes visant mettre en avant la politique globale de scurit de
lentreprise. Elles se succdent un rythme quasi mensuel. Elles exploitent tous les canaux disponibles:
de lintranet aux crans communicants Chaque campagne est par ailleurs adapte en fonction des
spcificits de chaque pays dans lequel la FNAC est prsent. Lorchestration de ces campagnes rentre
dans le domaine de comptence de la cellule RSSI.
En tant que RSSI, Corinne Nol prend une part active la mise jour du guide des bonnes pratiques
informatiques ainsi que du plan de crise (IMC: Internal Management Crisis).
RAJA.FR
Les incidents cyber rcents auxquels a fait face lentreprise Raja ont t loccasion dune communication
interne sur lhygine que doit adopter tout utilisateur. Marc Le Guennec raconte:
Suite ces incidents, il a t dcid de diffuser trs officiellement la charte informatique nouvellement
cre. Cette charte informatique est disponible sur support papier pour pouvoir tre annexe au contrat
de travail des collaborateurs concerns et pour quelle puisse tre signe par eux. Certaines parties ont
t dclines en fonction de lexposition du personnel au risque cyber : il sagit du personnel qui est
amen manipuler des donnes clients, des donns fournisseurs, ou des donnes comptables. Ces
collaborateurs signent un avenant spcifique. Il en va de mme pour les collaborateurs utilisateurs de
postes informatiques nomades.
SITEDEECOMMERCE.COM
La prise de conscience interne sur les enjeux de la cyberscurit est, de lavis de Charles: relativement
rcente chez SiteDeEcommerce.com. Des premires mesures de sensibilisation du personnel sur les
enjeux de la cyberscurit viennent dtre mises en uvre.
Dans la pratique, les procdures basiques de scurit doivent encore tre rappeles rgulirement.
Il y a quelque temps encore, en labsence de procdure tablie, la suppression des accs des collaborateurs qui quittaient lentreprise ntait pas immdiate.
Charles constate : grce aux nouvelles technologies mobiles, les collaborateurs peuvent paramtrer
eux-mmes leur tlphone mobile pour accder leur messagerie interne. Pour autant, ils ne sont pas
forcment conscients des risques que cela pourrait reprsenter pour lentreprise, si leur tlphone
portable tait vol.

Livreblanc - octobre 2016

61

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

Limportance de la formation
ACCORHOTELS.COM
Arnaud Treps relativise: trouver des failles nest pas si compliqu que cela. Il suffit de se former. Lquipe
dhackers internes au groupe suit rgulirement des formations. Arnaud Treps considre que cela
constitue dailleurs un bon lment de motivation de lquipe.
Il arrive galement que lquipe de scurits invite des experts sur des sujets bien prcis.
Les cots de formation ne sont donc pas ngligeables. Chez AccorHotels, la formation initiale dun dveloppeur nouvellement recrut dure une journe et demie. Cette formation initiale est suivie par une
formation annuelle de rappels.
Arnaud Treps dclare: dailleurs tout le monde suit les mmes formations! Nos hackers internes assistent
aux mmes confrences que les salaris des entreprises spcialises.

LES RISQUES CYBER:


UNE PRISE DE CONSCIENCE INDIVIDUELLE, QUI TENDANCE
PARFOIS SARRTER AUX PORTES DES ENTREPRISES
Alain Bouill constate que la prise de conscience individuelle sur les dangers lis la cyberscurit progresse rgulirement du fait de la couverture mdiatique des plus gros incidents.
Mais, Alain Bouill fait une distinction entre les comportements des utilisateurs dans le cadre
dusages personnels et leur comportement dans le cadre professionnel. Autant les
internautes peuvent adapter leurs comportements pour tenir compte des risques cyber (en
tant par exemple attentif la prsence du petit cadenas dans la barre de navigation
au moment dun achat en ligne), autant ces mmes individus, en tant que collaborateurs
continuent considrer que la scurit reste du ressort exclusif de lentreprise.
Alain Bouill cite lexemple dun collaborateur qui avait volontairement cliqu sur une
pice jointe, dont il suspectait quelle puisse contenir un malware, car il prfrait raliser
lexprience son bureau plutt que chez lui!

VOYAGES-SNCF.COM
Lquipe scurit dveloppe des modules de sensibilisation et de formation pour lensemble des collaborateurs. Ces modules sont spcifiquement adapts par typologie de population laquelle ils sadressent.
Ces formations peuvent prendre diffrentes formes comme par exemple linclusion dun module de
sensibilisation sur la scurit lors de la journe daccueil des nouveaux embauchs, une communication
hebdomadaire sur lintranet, des jeux, des concours orients autour de la scurit
Pour les populations spcifiques (dveloppeurs, exploitants), des modules renforcs ont galement t
crs. Chez VSC, tous les dveloppeurs suivent un module de formation de deux jours ddi la scurit
dans les dveloppements.

62

Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

Comment instiller une culture de la scurit chez les dveloppeurs internes?


Damien Cazenave (vente-privee.com), fait part de son exprience : dans les entreprises en pointe en
matire de scurit, les contrles sont automatiss. Chaque matin, les dveloppeurs reoivent le
compte-rendu des failles dtectes pendant la nuit. Mais, ce type de dispositif ne sert rien si un cadre
mthodologique et un accompagnement ne sont pas mis en place. Cet accompagnement doit se faire sur
la dure. Il ny a que trs peu dillusions se faire sur lefficacit dune demi-journe de formation et de
sensibilisation. Le rle dun dpartement scurit doit tre la fois de contrler mais surtout dexpliquer
continuellement.
Constituer puis animer des rseaux internes de correspondants scurit
Chez voyages-sncf.com, il existe des rfrents scurit dans chacune des directions. Ces rfrents
scurit assurent le lien avec lquipe scurit. Ils sont chargs danimer la dmarche scurit au sein de
leur direction respective.
On saperoit quau sein de lentreprise, normment de collaborateurs ont dj une fibre scurit sans
pour autant que la scurit en tant que telle soit au cur de leur activit dclare Emmanuel Cordente
(voyages-sncf.com). Une fois reprs, ces collaborateurs peuvent servir dambassadeurs. Le dpartement
scurit se fait fort dentretenir des relations privilgies avec eux. Ces personnes sont souvent trs
volontaires et viennent spontanment voir le service scurit.

5.3 LIMPORTANCE DE LA SCURIT FONCTIONNELLE


Pour Damien Cazenave (vente-privee.com), une politique de scurit efficace passe aussi par le dploiement de petits mcanismes qui constituent ce que Damien Cazenave appelle la scurit fonctionnelle.
Par exemple, penser demander lancien mot de passe avant de mettre jour le nouveau. Tout lart
consiste les mettre en place sans quils constituent un frein pour le business.

5.4 QUEL PARTAGE DES RESPONSABILITS ENTRE LES PARTIES


PRENANTES INTERNES?
FNAC.COM
la question en cas dincident de scurit majeure qui au sein de votre organisation en porterait la
responsabilit? Corinne Nol rpond: tout le monde, mais en premier lieu la RSSI.
Car, notamment dans le cadre des audits qui sont mens, il revient au RSSI davertir sur les risques potentiels identifis, mme si, in fine, la disponibilit des systmes dinformation reste bien la responsabilit
exclusive du dpartement exploitation. Corinne Nol, souligne que la priorisation des moyens sur les
sujets de scurit ne dpend pas de la RSSI. Larbitrage revient au DSI et dpend plus globalement de la
stratgie de lentreprise.
VOYAGES-SNCF.COM
Chez voyages-sncf.com, Il a t clairement tabli que chaque direction devait rester responsable des
problmatiques de scurit. Par exemple, au sein de la DSI, la direction technique qui gre lensemble
de la production est responsable de la bonne scurisation de ses systmes.
Ds le dbut, le choix a t fait de ne pas mettre en place une quipe dont la fonction aurait t de
centraliser lensemble de la problmatique scurit pour lentreprise. Lentreprise ne voulait pas que les
sujets ayant trait la scurit puissent tre tiquets comme relevant de la responsabilit exclusive
du service scurit. Au contraire, la scurit devait tre porte par chacune des directions; bien sr par
les directions mtiers et les directions SI, mais aussi par la direction juridique ou par la direction des
Ressources Humaines.
Livreblanc - octobre 2016

63

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

VENTE-PRIVEE.COM
Est-ce une consquence du lien de confiance que Damien Cazenave (vente-privee.com) sest toujours
efforc de dvelopper avec ses interlocuteurs internes, en tous les cas, il ne sest jamais trouv dans
une situation o les responsabilits dun incident de scurit auraient eu tre prcises.

POUR RDUIRE LE RISQUE CYBER, MISER SUR LHUMAIN!


Mme si le chiffre a t divis par 10en 10ans, on dnombre aujourdhui 100000bugs par million de lignes de code (pour rappel, Microsoft office 2013comptait 48millions de lignes de codes).
Pour Alain Bouill, le salut en matire de cyberscurit viendra de la mise en uvre du
concept de Security Inside ; cest--dire, dvelopper en intgrant ds lorigine la scurit.
Et, Alain Bouill de considrer que dvelopper de faon scurise, cest la porte de tout le
monde condition de recevoir les bonnes formations!.
Pour Alain Bouill, la matrise du risque cyber ne se rduit pas uniquement une question de
budget. Cest aussi une question de culture dentreprise et une gouvernance dentreprise qui
doit tre la hauteur des enjeux.
On dit souvent : la scurit cest laffaire de tous. Mais, pour Alain Bouill, il faut bien le
reconnatre, cest souvent laffaire de certains.
Il faut arrter de croire que la scurit, cest laffaire dun RSSI log au fin fond dune DSI,
qui lui seul va pouvoir rsoudre le problme!. Cest avant toute une affaire de culture dentreprise, dorganisation, voire de rseau dans le cas des entreprises de taille importante.
Il devrait se dvelopper de vraies organisations scurit avec des correspondants chaque
point nvralgique de lorganisation, des relais, des comitologies. Ainsi, la scurit deviendrait
une proccupation constante des organisations et pas uniquement un sujet de crise lorsque
survient un incident.
La dimension humaine reste prpondrante, et ce tous les niveaux. Au niveau de
lutilisateur, quand ce dernier a le rflexe de ne pas cliquer sur un lien qui lui apparat comme
suspicieux. Au niveau des dveloppeurs pour quils conoivent leurs codes en intgrant la
dimension scurit. Au niveau de lexploitant, pour quil dploie les applications de manire
scurise. Au niveau des dirigeants, pour quils accordent au sujet de cyberscurit le bon
niveau de priorit et quils allouent les moyens adquats aux personnes en charge de
la cyberscurit.

5.5 TRE PRT AFFRONTER LA CRISE


Emmanuel Cordente confirme quun plan de crise est prt chez voyages-sncf.com. Depuis quelques
mois, la gestion du plan de crise de lentreprise a t repris par le dpartement scurit. Tous les aspects
de la gestion de crise sont inclus, y compris la communication interne et externe. Le principe de base de
construction du plan de crise est la quasi-certitude de la survenue dincidents. Le plan de crise inclut un
volet formation du personnel, avec notamment des mises en situation.
Pour Emmanuel Cordente (voyages-sncf.com), la gestion dune crise cyber ne diffre pas fondamentalement de la gestion dune crise classique. La partie coordination, logistique, conduite mthodologique
de la crise est identique quelle que soit la crise. Hormis quelques nuances sur la confidentialit, lensemble
des cas de crise est finalement gr de la mme faon.
64

Livreblanc - octobre 2016

PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE

6. COMMENT CONCILIER E-BUSINESS ET SCURIT?


6.1 FLUIDIFICATION DU PARCOURS CLIENT: RETOUR EN ARRIRE
OU MOUVEMENT INLUCTABLE? JUSQUO ALLER?
La question rcurrente que se pose Corinne Nol (fnac.com) en tant que RSSI est: comment concilier
la fluidit de lacte dachat pour le consommateur avec la mise en place dun dispositif adquat de contrle
et de scurit pour lentreprise?. Elle rappelle quil en va de la scurisation des donnes personnelles
des comptes clients.
Or, Corinne Nol constate que, sous leffet de la pression concurrentielle, on en vient faire machine
arrire sur certaines mesures de scurit lmentaires que lon avait russi imposer. Par exemple :
la limitation du temps de connexion 15 minutes. Les mtiers ont demand au dpartement scurit
de lever la contrainte.
Ce phnomne est dautant plus paradoxal que, paralllement, Corinne Nol (fnac.com) constate une
prise de conscience croissante des mtiers sur les enjeux de scurit. Mais, encore une fois, la pression
concurrentielle est telle que si un acteur du march va dans la direction dune simplification du parcours
client, il devint trs difficile de ne pas lui emboter le pas mme si cela peut avoir une incidence ngative
sur la scurit.
ces contraintes sajoutent celles lies au respect des exigences nationales du droit la consommation.
Or, Corinne Nol (fnac.com) observe que certains leaders internationaux du e-commerce se sentent moins
contraints que les acteurs nationaux par le respect de ces rgles, ce qui cre, selon elle, des distorsions de
concurrence.
Le Graal pour tout RSSI est de parvenir mettre en place une scurit transparente pour le consommateur. Quelquun laurait-il trouv?
Dans tous les cas, pour Damien Cazenave (vente-privee.com): le one click est un super outil business.
Il faut quon fasse avec.

LA CYBERSCURIT DOIT CONTRIBUER


LENCHANTEMENT CLIENT
Par Franois Lecomte-Vagniez (Lobary.com),
consultant, spcialiste des parcours clients digitaux
Lenchantement client repose dabord sur la confiance. Mais instaurer la confiance est une
posture parfois contradictoire avec la surveillance tatillonne des comportements et des
systmes Il importe donc de trouver le juste quilibre entre une attitude bienveillante et un
regard souponneux! Comme la confiance nexclue pas le contrle, lquilibre se cre entre
lattitude responsable de lentreprise et de ses collaborateurs, perceptible avec la symtrie
des attentions, et les moyens protecteurs visibles ou invisibles dans le parcours clients qui
dissuadent les fraudeurs. Ainsi la cyberscurit devient un lment de rassurance qui ne
bloque pas les changes.
Les clients sont aussi sensibles aux valeurs de lentreprise, portes par lensemble des
collaborateurs, et exprimes publiquement par la plate-forme de marque. Lattitude responsable des collaborateurs permet souvent, avec bon sens, de reprer les situations suspectes.
/
Livreblanc - octobre 2016

65

PARTIE 1| 6. COMMENT CONCILIER E-BUSINESS ET SCURIT?

/
Lentreprise doit aussi sengager protger les donnes de ses clients aussi srieusement
quun secret affectif. Et si malgr toutes ses prcautions, lentreprise est victime de fraude, la
transparence et lendossement des responsabilits sont les seules attitudes possibles :
les dcideurs doivent avoir conscience de ces enjeux pour prendre les mesures prventives
et curatives.
Le dernier lment denchantement li la cyberscurit vient de lcosystme lui-mme.
Le client ne doit pas tre drout par des mesures quil ne comprend pas. Collectivement,
les acteurs de lcosystme appliquent des standards communs de protection et, par un
usage rcurrent, ils deviennent familiers et rassurants.
Ainsi, travers une srie de mesures de rassurance, appliques individuellement ou
collectivement par les e-commerants, et une posture commerciale adapte la ralit du
risque peru, il est possible de transformer les contraintes cyberscuritaires en facteurs
denchantement des clients.
Pour russir, il convient de dcomposer chaque tape du parcours client pour adapter les
protections aux profils du consommateur et aux risques cyber - rels ou perus - et valoriser
la ralit de ces efforts autour dune communication adapte

6.2 LES DVELOPPEMENTS AGILES SONT-ILS COMPATIBLES


AVEC LA SCURIT?
Depuis quelques annes, Emmanuel Cordente (voyages-sncf.com) observe lengouement pour le
dveloppement des projets en mode agile. Pour Emmanuel, ce phnomne impacte trs fortement
la manire de grer la scurit sur les projets.
Les projets mens selon le mode agile se caractrisent par la taille rduite des quipes qui les mnent et
la vitesse de dveloppement. Les quipes sont gnralement trs autonomes. Les itrations sont trs
rapides. Les temps de cycle entre le dveloppement et la production sont trs courts. Ainsi, la grande
diffrence de ce qui se passait avec les mthodes de dveloppement classiques, les projets en mode
agile peuvent rapidement passer en production sans que les quipes scurit naient eu le temps
de donner leur aval.
Pour Emmanuel Cordente (voyages-sncf.com), la seule faon de concilier les impratifs de rapidit et
de scurit sur des projets agiles, cest que la dimension scurit soit porte par chaque membre de
lquipe comme cest le cas chez voyages-sncf.com. Ceci implique de sensibiliser et de former ces quipes
la scurit.
Il faut galement veiller outiller les quipes et automatiser de nombreux contrles scurit(2).
Pour Arnaud Treps (accorhotels.com), il serait erron de considrer que les dveloppements agiles sont
incompatibles avec la mise en place de contrles de scurit. Par dveloppements agiles, on entend
gnralement de petites modifications effectues de faon rapide. Or, selon lui, cela nexclut pas la
possibilit de procder des contrles, intervalles plus longs mais de faon rgulire.
Arnaud Treps (accorhotels.com) met lui aussi en avant les possibilits offertes par les outils dautomatisation. Il existe maintenant sur le march des outils permettant de faire certains contrles de scurit
de faon automatise. Ces outils sont capables de simuler des intrusions ou de dtecter des failles la

66

(2) outils SAST et/ou DAST

Livreblanc - octobre 2016

PARTIE 1| 6. COMMENT CONCILIER E-BUSINESS ET SCURIT?

lecture de lignes de codes, et dmettre des alertes en cas de suspicion de failles(3).


Mme si lutilit de ces outils est indniable, et AccorHotels les utilise beaucoup dans le cas des releases
mineures, ce nest pas non plus la panace selon Arnaud Treps. En effet, ce type doutil ncessite un
paramtrage prcis et constamment mis jour pour viter de dclencher des alertes trop frquentes et
insuffisamment justifies ou au contraire des faux ngatifs qui laisseraient passer des failles de scurit.

6.3 LE RSSI: INTGRER LA DIMENSION BUSINESS POUR FAIRE PROGRESSER LA CYBERSCURIT
Pour Arnaud Treps (accorhotels.com), le rle de lquipe scurit nest videmment pas de dire systmatiquement non. Son rle, cest dexposer les risques au propritaire du risque afin quil puisse prendre
une dcision claire. Mais Arnaud Treps (accorhotels.com) rappelle: faire du business, cest assumer
des risques. Et, le risque cyber fait partie de ces risques. Comme je le dis souvent, je me considre dabord
comme un commerant sur internet avant dtre un spcialiste de la scurit.
Pour Damien Cazenave (vente-privee.
com), il est primordial, pour assurer le
succs dun projet scurit, dtre capable
den dmontrer lapport business. Tous
mes projets taient sous-tendus par un
argumentaire business. Je me suis trs
vite aperu que pour justifier des engagements de dpenses sur un projet scurit,
je devais parler disponibilit du site,
impact en termes dimage pour le client,
de conformit rglementaire ou bien
encore problme daltration de commandes. Il ne faut pas non plus ngliger
limpact dune dmonstration ou le rsultat de tests pour emporter une dcision. Il
mest mme arriv de craquer le code de
scurit quatre chiffres dun tlphone
portable. Devant les yeux interloqus de
mes interlocuteurs dcisionnaires, il ne
ma fallu que 20 minutes pour trouver
la combinaison.
Pour Damien, il est aussi important de formuler des demandes raisonnables et qui
soient en adquation avec la maturit de
lentreprise. Rien ne sert de rclamer des
budgets relatifs des projets de scurit
qui ne correspondraient pas la maturit
de lentreprise. Pour Damien, Il y a toujours un ratio garder en tte.
Selon Damien Cazenave (vente-privee.
com), Il faut savoir choisir ses combats.
On ne peut pas se battre sur tout. Il y a

LE POSTE DE RSSI EST APPEL


VOLUER TRS FORTEMENT
DANS LES PROCHAINES ANNES
Avec lessor du digital, Alain Bouill croit
beaucoup lapparition dune nouvelle sorte
de RSSI, le RSSI Digital qui travaillerait en
troite collaboration avec le CDO.
Pour Alain Bouill, il y a aujourdhui une
vraie question autour de la formation des
RSSI. Le CESIN sen est rcemment saisit :
il nexistait pas jusqu prsent de formation
spcifique pour devenir RSSI.
Sil existe bon nombre de formations qui
permettent dacqurir des comptences en
scurit et notamment en scurit informatique, ces formations donnent avant tout un
bagage technique. Or, les enjeux auxquels
sont confronts les RSSI ncessitent la mobilisation de comptences qui vont bien au-del dun savoir-faire technique. Ils ncessitent
des comptences larges notamment dans le
domaine juridique, la formation et la communication interne, la comprhension de la
stratgie de dveloppement business, le management transverse Bref, pour Alain
Bouill, on cherche le mouton cinq
pattes!

(3) voir le magic quadrant du Gartner sur Application Security Testing

Livreblanc - octobre 2016

67

PARTIE 1| 6. COMMENT CONCILIER E-BUSINESS ET SCURIT?

certains sujets que les interlocuteurs internes ne sont pas prts entendre. Dans ce cas,
il ne sert rien dinsister. La vision interne de certains sujets peut voluer avec le temps ou avec les
incidents qui ne manqueront pas de se produire! Et Damien Cazenave cite un cas concret: le chiffrement
du contenu des ordinateurs portables qui na pas t mis en place jusqu ce quun vol ait eu lieu.
Il considre que la russite dun RSSI dans le-commerce passe par une bonne vision du business et
assume lui aussi sa part du risque. Ainsi, un RSSI doit garder en tte que les consquences dun risque
identifi un jour pourront tre trs largement compenses par le business additionnel futur que la prise
de risque aura permis.
Les changes entre le dpartement scurit et les mtiers portent souvent sur les points de friction
quimpose la scurit sur la fluidit des parcours clients. Damien Cazenave part du principe quen
informatique, il existe toujours des solutions. Ma philosophie, cest de ne jamais dire non!.
Une dmarche pragmatique de mise en uvre dune politique de scurit passe toujours par des
compromis. En adoptant cette attitude, le RSSI acquiert une image positive auprs de ses interlocuteurs
mtiers. Il devient la fois crdible et audible lorsquil met en avant les risques cyber des projets.

6.4 VIS VIS DES CLIENTS: QUEL DISCOURS TENIR SUR LA CYBERSCURIT?
Pour Emmanuel Cordente (voyages-sncf.com), la communication externe sur la scurit est un sujet
complexe. Chez voyages-sncf.com, on veut rester prudent. Emmanuel Cordente constate que les mtiers
expriment assez frquemment le souhait de pouvoir communiquer sur le niveau de scurit atteint par
voyages-sncf.com. Lobjectif est comprhensible: il faut rassurer le client. Mais, dans le mme temps, il faut
selon lui se garder de fanfaronner: car, on sait que personne nest labri. Et, fanfaronner, cest le meilleur
moyen de sattirer des problmes ! On reste donc trs modeste, mme si, nous savons que nous
dployons de gros efforts en matire de cyberscurit.
Selon Damien Cazenave (vente-privee.com) un intrt du Bug Bounty peut tre le bnfice dimage
que peut esprer retirer une entreprise auprs du public. linstar de ce qui se fait dj aux tats-Unis
notamment, il peut tre valorisant pour une socit de communiquer sur le fait davoir atteint un niveau
de scurit tel quelle peut soumettre son site la dextrit de hackers extrieurs.
Damien Cazenave a eu loccasion dvoquer ce sujet avec la direction gnrale de son prcdent
employeur. lpoque lintrt tait fort. Pouvoir apparatre comme une start-up technologique au mme
titre que Facebook ou que Google tait considr comme assez valorisant. la connaissance de Damien
Cazenave (vente-privee.com), aucun site de e-commerce en France na pour linstant franchi le pas.

68

Livreblanc - octobre 2016

PARTIE 1| 6. COMMENT CONCILIER E-BUSINESS ET SCURIT?

LE POINT DE VUE DU JURISTE


LA SCURIT INFORMATIQUE DANS LES
CONDITIONS GNRALES DUTILISATION (CGU)
Qui lit les conditions gnrales dun site internet? Peu de personnes sans doute. Toutefois,
lopposabilit de ce document contractuel est
ncessaire. dfaut, le site internet pourrait
tre dmuni si un de ses clients (ou abonns)
venait droger aux rgles fixes dans les
conditions gnrales.
Ainsi dans un arrt de la 1re chambre civile de
la Cour de cassation du 31 octobre 2012 (1).
Le pourvoi de la socit Mtropole tlvisions
avait t rejet au motif (entre autres) que lon
ne peut opposer un internaute des Conditions Gnrales dUtilisation (CGU) dun site sur
lequel il a un accs libre et direct aux pages
consultes sans prise de connaissance ni acceptation pralable (sous-entendu par un acte
positif) de celles-ci(2). Leur simple mise en ligne
ne suffit pas mettre la charge des utilisateurs des services proposs une obligation de
nature contractuelle.
Les Conditions Gnrales dUtilisation dun site
internet restent un outil de prvisibilit et de scurit juridique des relations entre un commerant et son client.
De plus, de nombreuses affaires judiciaires
ont dfray la chronique en ce qui concerne
la scurit des donnes caractre personnel des abonns dun site internet, cet aspect
tant avant tout celui que retiennent les PME
pour penser leurs mesures de scurit informatique. Ainsi Ricard a-t-elle fait les frais dun
contrle en ligne de son site Web par la CNIL.
Cette dernire a prononc un avertissement
public lencontre de la socit Ricard aprs
avoir constat que lexistence dune sous-traitance (hbergement et gestion du site) nexo-

nrait pas ladite socit de ses obligations


lgales lies la scurit et la confidentialit
des donnes(3). Cette dlibration qui se fonde
sur larticle 34de la Loi Informatique et Liberts
impose, en effet, la scurit et la confidentialit
des donnes en ce quil dispose que le responsable du traitement est tenu de prendre toutes
prcautions utiles, au regard de la nature des
donnes et des risques prsents par le traitement, pour prserver la scurit des donnes
et, notamment, empcher quelles soient dformes, endommages, ou que des tiers non
autoriss y aient accs. Tout manquement
ces obligations pourra tre sanctionn par
la CNIL et mme pnalement conformment
larticle 226-17 du Code pnal qui dispose
que le fait de procder ou de faire procder
un traitement de donnes caractre personnel sans mettre en uvre les mesures prescrites
larticle 34 de la loi n 78-17 du 6 janvier
1978prcite est puni de cinq ans demprisonnement et de 300000euros damende.
On notera enfin que les Conditions Gnrales
dUtilisation du site intgrent frquemment des
clauses relatives laccs au compte (lorsquun
tel compte est cr). Dans cette hypothse,
lutilisation du service ncessite une inscription
pralable (login, mot de passe, adresse e-mail).
Le rdacteur des conditions gnrales devra,
de ce fait, veiller recommander linternaute
dutiliser un mot de passe dune longueur suffisante et avec des caractres diffrents (signes
spciaux, majuscules, chiffres) et de le conserver de manire secrte. Toute utilisation non
autorise de ce mot de passe pouvant tre
impute au client.

(1) N pourvoi: 11-20480, Indit. Disponible sur le site www.legifrance.gouv.fr.


(2) Attendu que larrt, aprs avoir rappel quil incombait la socit M6Web dtablir que la socit SBDS avec laquelle elle avait nou une relation de partenariat, aurait
consenti respecter les restrictions dusage quelle lui reproche davoir transgresses, et constat que laccs la page daccueil des sites m6replay et w9replay, aux menus
et aux programmes revoir tait libre et direct et ne supposait ni prise de connaissance ni acceptation pralable des conditions gnrales dutilisation, retient exactement,
sans encourir les griefs du moyen, que la simple mise en ligne de ces dernires, accessibles par un onglet demi dissimul en partie infrieure de lcran, ne suffit pas mettre
la charge des utilisateurs des services proposs une obligation de nature contractuelle, et que la lettre de mise en demeure que la socit M6Web a adresse la socit
SBDS davoir respecter ces conditions gnrales dutilisation, ne fait pas natre la charge de cette dernire une obligation contractuelle de sy conformer; que le moyen
nest fond en aucune de ses branches.
(3) Dlibration n2016-108 du 21 avril 2016, disponible ladresse https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf.

Livreblanc - octobre 2016

69

PARTIE 1| 6. COMMENT CONCILIER E-BUSINESS ET SCURIT?

6.5 QUELLES RELATIONS ENTRETENIR AVEC LCOSYSTME


POUR LUTTER CONTRE LES CYBER-ATTAQUES?
Lunion fait la force: en matire de lutte contre la cybercriminalit:
on a tout gagner partager!
Voyages-sncf.com est lorigine, il y a trois ans, de la cration du club les RSSI du Web, un cercle assez
restreint qui regroupe 7RSSI du top 10de le-commerce franais. Il sagit dun cercle priv, sans cadre
formel. Les rencontres ont lieu tous les trois ou quatre mois. Les participants sont coopts et la taille
du club doit rester rduite pour conserver un niveau de confiance leve entre les participants. Selon
Emmanuel Cordente (voyages-sncf.com), ces changes permettent aux participants de constater quils
partagent une approche de la scurit finalement assez similaire. Sur les sujets lis la scurit, il y a
consensus parmi les participants pour considrer quil ny a pas denjeu de concurrence mais quau
contraire le bnfice est grand partager dclare Emmanuel Cordente.
Voyages-sncf.com est galement membre du CESIN qui regroupe rgulirement des assembles de 60
80 participants. Mais, pour Emmanuel Cordente (voyages-sncf.com), devant une telle assemble, il est
difficilement possible pour les participants de rentrer dans le dtail des problmatiques rencontres.
Avec les autorits judiciaires, il nest pas toujours simple de trouver le bon contact
Ct pouvoirs publics, Emmanuel Cordente (voyages-sncf.com) constate que les interlocuteurs, qui traitent
des sujets en lien avec la cybercriminalit sont nombreux. Ds lors, la difficult est de trouver le bon
interlocuteur, sachant que la communication entre ces diffrents services nest pas forcment assure.
En ce qui concerne les dpts de plaintes, Emmanuel Cordente (voyages-sncf.com) considre que les
retours sont mitigs.
Pour lui, cela sexplique par la difficult trouver la bonne personne et dautre part leffet volume: pour
faire face au volume, laction publique doit obligatoirement se concentrer sur les cas les plus importants.
Pour Emmanuel Cordente (Voyages-sncf.com), lANSI peut tre une aide prcieuse en ce qui concerne
les gros incidents.
La CNIL: une action fonde qui ne nuit pas au business
Damien Cazenave (vente-privee.com) peut attester de la ralit des contrles effectus par la CNIL.
Chez son ancien employeur, il lui est mme arriv den subir trois en lespace dun mois. Mme sils nont
rien dagrables, ces contrles apparaissent aux yeux de Damien comme parfaitement fonds. Les prconisations de la CNIL lui semblent aller effectivement dans le sens dune meilleure protection des donnes
des clients. Le droit loubli, la scurisation des mots de passe, sont des sujets minemment importants
qui mritent dtre pris en compte leur juste niveau dclare Damien Cazenave. Il ne voit pas de contraintes
business particulires tre conforme la CNIL: leurs recommandations sont souvent du bon sens!
indique-t-il.

70

Livreblanc - octobre 2016

PARTIE 1| 6. COMMENT CONCILIER E-BUSINESS ET SCURIT?

TPE/PME ET CYBERSCURIT
Interview de Ely de Travieso prsident du Clusir Paca (Club professionnel regroupant
les Responsables de la Scurit des Systmes dInformation de la rgion Paca), nomm
en 2011, lu en charge de lconomie Numrique la CGPME des Bouches du Rhne
Les TPE et les PME doivent comprendre quelles sont autant vulnrables que les grandes
entreprises franaises. De par le fait quelles sont devenues une porte dentre sur les grands
groupes, elles doivent comprendre quelles sont devenues la cible privilgie des cybercriminels et cela mme si elles continuent dtre attaques pour les mmes raisons que les grandes
entreprises (vol dinformations sensibles, escroquerie).
Dotes de moyens de protection faibles, leur productivit en est de fait menace.
Nombreuses sont les attaques qui ont conduit des entreprises dposer le bilan. Le tribunal
de commerce de Niort a prononc en 2016, la liquidation de BRM Mobilier, une PME des
Deux-Svres, victime lt dernier dune escroquerie au faux prsident qui lui a cot 1,6million deuros. Lentreprise spcialise dans lamnagement de bibliothques, qui employait
44salaris, ne sest jamais remise de cette escroquerie et a d cesser son activit.
Daprs la gendarmerie nationale, la fraude au prsident, le piratage du standard tlphonique, les ransonwares sont les trois attaques les plus susceptibles de pousser des entreprises mettre la cl sous la porte.
Une des origines du manque de considration des risques informatiques repose sur lattitude
des dirigeants mlangeant un manque de comprhension des enjeux de la transition numrique une mauvaise comprhension des risques cyber. De part un emploi du temps
surcharg et en sous-effectif constant, ces entreprises doivent prioriser leurs investissements
comme leurs projets. ce titre, il est clair quune TPE pense plus vendre ou se dvelopper
qu se doter de moyens efficaces pour amliorer la protection des systmes dinformation.
Cet tat desprit est plus que regrettable.
Lindustrie de la cyberscurit face au march des TPE/PME est en train de se rinventer.
Depuis quelques annes, les entreprises ont opt pour des services cls en main de type
services manags (cloud, Soc) ou encore ont adopt des offres de cyber-assurance venant
renforcer leur capacit rpondre un incident de scurit informatique.
Outre lutilisation des solutions de services, la sensibilisation des utilisateurs du systme
dinformation reste un lment fondamental dune amlioration continue de la scurit informatique des entreprises. Il est important dans ce sens dindiquer aux utilisateurs dans un
document administratif (contrat de travail, charte, rglement intrieur), les bonnes pratiques
dune hygine informatique faisant la distinction entre un usage professionnel et un usage
personnel dun systme dinformation. Cest dans ce sens que la CGPME a publi en collaboration avec lANSSI, le guide des bonnes pratiques informatiques, recueil dinformation
permettant aux chefs dentreprise daccder simplement un premier niveau de scurit.

Livreblanc - octobre 2016

71

PARTIE 1| 6. COMMENT CONCILIER E-BUSINESS ET SCURIT?

7. LE WHATS NEXT EN MATIRE DE CYBERSCURIT


POUR LES SITES DE E-COMMERCE:
LE PIRE EST-IL DEVANT?
7.1 LE CLOUD: CAUCHEMAR ABSOLU OU PROCHAIN SALUT POUR LE RSSI?
Pour Arnaud Treps (accorhotels.com), le recours de plus en plus frquent au mode SaaS et plus
globalement aux services cloud posent un nouveau type de problmatique de scurit.
Le cloud nous oblige repenser compltement nos modes de travail. Cela peut paratre droutant dclare Damien Cazenave (vente-privee.com). Il constate: beaucoup de mcanismes de scurit qui existaient jusqu prsent nexistent plus dans le cloud. Pour lui : le cloud nest pas encore mature. Cest
linformatique dil y a quelques annes, en termes de maturit sur la scurit.
Mais, pour Damien, les choses voluent trs vite: en lespace dun an et demi, ce que je pouvais considrer comme aberrant du point de vue scurit a t rsolu.
Avis partag par (accorhotels.com): jusqu prsent, on avait une vision primtrique de la scurit. Les
efforts en matire de scurit avaient beaucoup port sur la scurisation de laccs aux ressources de
lentreprise depuis internet. En revanche, la scurisation des accs internes tait considre comme moins
prioritaire. Mme si le risque de fraude interne a t largement exploit par lditeur de solutions, dans les
faits, on constatait quelle reprsentait un enjeu finalement assez marginal et assez facilement matrisable.
Il suffisait de mettre en place une gestion assez rigoureuse des droits daccs au serveur interne et de
ne pas oublier de supprimer le compte dune personne qui quittait lentreprise. Tant que le systme
dinformation de lentreprise restait hberg dans ses murs, le risque tait finalement limit.
Pour Arnaud Treps, Il en va tout autrement quand les serveurs sont hbergs chez des prestataires
extrieurs comme Amazon. Il suffit que le mot de passe tombe dans des mains indlicates pour mettre
en pril lensemble dun site.
Pour lui, la gestion de lauthentification et des identits pour accder aux services cloud est une question
particulirement dlicate. Il a le sentiment quelle est, pour linstant, encore trs sous-estime par les
entreprises. Dautant plus, ajoute-il, avec la tendance de la consumrisation de lIT.
Arnaud Treps (accorhotels.com) constate: de nos jours, nimporte quel patron de lactivit e-commerce
peut souscrire des services informatiques cloud et ouvrir des comptes sans que les quipes IT en soient
informes. Et, quand un employ quitte lentreprise, si l Active Directory qui contient les droits daccs
utilisateur dans lentreprise est bien mis jour, quand est-il de ces services cloud?.
Arnaud donne un autre exemple pour illustrer son propos: celui de GitHub, un service Web dhbergement et de gestion de dveloppement de logiciels trs connu et apprci par les dveloppeurs. Pour faire
simple, cest une plate-forme qui permet un dveloppeur de stocker son code sur une plate-forme
partage et centralise. Le service permet galement de grer les versions. Ainsi, il est possible de flaguer
ltat du dveloppement qui sera mis en production. Cest un gestionnaire de code source.
Encore rcemment, ce type doutils tait hberg au sein des entreprises. Avec lmergence des services
cloud, ils sont maintenant disponibles en mode SaaS. Ce mode dutilisation apporte des gains de productivit et de rapidit indniables. Il facilite les modes de travail collaboratif entre lentreprise et ses prestataires. Notamment, ces derniers ne sont plus contraints de se connecter au rseau de lentreprise. Mais,
ces nouvelles fonctionnalits ne sont pas sans risque dun point de vue scurit. En effet, si les droits
daccs ne sont pas bien grs, nimporte quel hacker pourra avoir accs non seulement au code des
applications de lentreprise mais galement serait en mesure de le modifier. Et Arnaud Treps (accorhotels.
com) rpte: un mot de passe est facile voler.

72

Livreblanc - octobre 2016

PARTIE 1| 7. LE WHATS NEXT EN MATIRE DE CYBERSCURIT POUR LES SITES DE E-COMMERCE: LE PIRE EST-IL DEVANT?

Les pistes pour limiter ce risque ne sont pas videntes mettre en uvre. Il existe des technologies telles
que les Cloud Access Security Broker qui permettent de monitorer lusage de ces services cloud.
Associs une gouvernance forte, la visibilit offerte par ces outils peut aider les directions IT reprendre
le contrle. Mais Arnaud prvient: face la varit des services cloud et la vitesse laquelle ceux-ci
voluent, il faut se prparer encaisser une forte charge de travail pour ne pas freiner linnovation et
ralentir les projets.
En ce qui concerne la problmatique des mots de passe, la solution passe selon Arnaud, par une vraie
approche de la gestion des identits. Les utilisateurs devront sauthentifier ces services cloud non plus
par le biais dune base de comptes pour chaque application laquelle ils accdent, mais grce une plateforme de gestion des identits. Pour Arnaud, cela va aussi passer par un recours plus systmatique
lauthentification renforce. Elle consiste mettre en place des couples didentifiants, entre par exemple,
un login et un mot de passe associs lidentit du matriel qui permet daccder aux services cloud. Selon
Arnaud: bien quils voluent positivement, ces systmes dauthentification entranent forcment davantage de friction et un ralentissement des processus daccs. La solution sans contrainte reste inventer.
Pour Damien Cazenave (vente-privee.com), il ne faut pas non plus tomber dans la tentation de mettre sur
le dos du cloud des contraintes lies la scurit qui existaient avant lui. La seule diffrence, cest que la
facilit dutilisation quoffre le cloud dmultiplie les problmatiques de scurit.
Par ailleurs, il conviendrait selon
lui, que les entreprises sinterrogent objectivement sur les
niveaux de scurit respectifs
atteints par les solutions maison, comparativement celui
atteint par les solutions dacteurs
majeurs comme Microsoft, qui
traitent les enjeux de scurit
proportionnellement la taille de
leur entreprise.

Livreblanc - octobre 2016

73

PARTIE 1| 7. LE WHATS NEXT EN MATIRE DE CYBERSCURIT POUR LES SITES DE E-COMMERCE: LE PIRE EST-IL DEVANT?

LE POINT DE VUE DU JURISTE


LA NOTIFICATION DES VIOLATIONS DE DONNES PERSONNELLES
Violation de donnes, quoi cela correspond-il ? Qui doit notifier ? qui ? Quand et
comment? Autant de questions qui correspondent de fait un vrai risque (sanction de la
CNIL notamment) et surtout, dun point de vue
oprationnel, la mise en uvre anticipe de
mesures de procdures idoines.
Sous la loi de 1978modifie relative lInformatique, aux fichiers et aux Liberts : lobligation de notification des violations de donnes personnelles est faite exclusivement aux
fournisseurs de services de communications
lectroniques (article 34bis). Par dfinition, la
violation des donnes doit entraner accidentellement ou de manire illicite la destruction,
la perte, laltration, la divulgation ou laccs non autoris des donnes caractre
personnel faisant lobjet dun traitement. De
fait, il sagit dune violation de scurit. Le principe est celui dune premire notification la
CNIL puis aux personnes concernes en labsence de mesures de protection appropries
mises en uvre par le fournisseur afin de
rendre les donnes incomprhensibles toute
personne non autorise y avoir accs.
Le Rglement europen [RGPD], adopt le
27avril dernier et qui entrera en application
compter du 25mai 2018, tend le principe de
notification des violations tout responsable
de traitement, quel que soit le secteur dactivit. Avec une dfinition similaire pose par
larticle 4, la notion de violation de donnes
couvre un primtre large (action intentionnelle ou non, perte/destruction) et doit engendrer un risque pour les droits et les liberts des
personnes physiques. lvidence, la question
de la notification doit tre apprcie en amont
cest--dire du point de vue de la scurit du
site qui devra tre frquemment teste. Pour
rappel, la CNIL et la DGCCRF peuvent procder
des contrles en ligne et collaborer cette fin.
Le RGPD pose certaines conditions
formelles. Du point de vue du dlai, la
notification dune violation de donnes
personnelles devra parvenir lautorit de
74

Livreblanc - octobre 2016

contrle (CNIL) dans la limite de 72H aprs


que le responsable en ait pris connaissance.
Au-del des 72H, une justification du retard
est ncessaire (article 33du RGPD). La communication la personne concerne doit se
faire dans les meilleurs dlais (article 34du
RGPD), ds lors que la violation est susceptible dengendrer un risque lev au titre de
sa vie prive, sauf si:
le responsable de traitement a mis en uvre
les mesures de protection techniques et organisationnelles appropries et les a appliques
aux donnes concernes par la violation
(dont chiffrement);
le responsable de traitement a pris des mesures ultrieures afin dempcher que la violation ne se reproduise;
la communication la personne concerne
exige des efforts disproportionns (communication publique possible).
Du point de vue de la documentation, la notification doit contenir plusieurs mentions
obligatoires, parmi lesquelles: la nature de la
violation, le nombre de personnes concernes,
les consquences de la violation et les mesures
dj prises ou prendre. Ces mentions reprsentent certainement le point central de la notification puisquelles viennent attester des diligences du responsable de traitement.
Le sous-traitant est galement tenu de notifier
au responsable de traitement toute violation
de donnes dont il aurait connaissance. Pour
autant, aucune information quant aux mentions obligatoires de la notification, au dlai
et aux exceptions possibles nest cite dans le
RGPD.
Un soin particulier doit tre apport cette
obligation. Labsence de notification pourra
entraner de lourdes sanctions (civiles et pnales). Mais attention, le respect de cette obligation de notification nexonrera en rien le
responsable de traitement de sa responsabilit
quant aux dommages causs aux personnes
suite la violation de leurs donnes.

PARTIE 1| 7. LE WHATS NEXT EN MATIRE DE CYBERSCURIT POUR LES SITES DE E-COMMERCE: LE PIRE EST-IL DEVANT?

7.2 LENJEU DE LA PROTECTION DES DONNES PERSONNELLES


EST AUSSI ORGANISATIONNEL
Emmanuel Cordente (Voyages-sncf.com) confirme que les quipes de Voyages-sncf.com travaillent sur
limpact du nouveau rglement europen (voir page prcdente: le point de vue du juriste): Il nous faut
dfinir la bonne organisation.
Lanalyse de limpact de ce rglement sur la protection des donnes personnelles figure parmi les dossiers
que Vestiaire Collective entend investiguer prochainement, selon Franck Boniface.
Damien Cazenave (vente-privee.com) confirme quun projet a bien t identifi au sein de vente-privees.
com pour prendre en compte les impacts organisationnels du prochain rglement europen sur la protection des donnes personnelles.
Damien Cazenave (vente-privee.com) est convaincu de la ncessit de mettre en place un poste de
responsable de la donne client. Pour lui, au sein des grosses entreprises, il sagirait bel et bien dun
poste temps plein. Cette personne aurait pour responsabilit de sassurer de la conformit avec la loi;
une sorte de CNIL interne. Damien Cazenave fait le pronostique suivant: les entreprises de e-commerce
porteront bientt la mme attention au SAV quau traitement des donnes clients.
Marc Le Guennec (raja.fr) constate: la prise de conscience sur le risque li la manipulation des donnes
clients est assez rcente chez nous. Marc Le Guennec (raja.fr) fait rfrence un autre contexte professionnel, en B2C, quil a vcu chez un vpciste de premier plan. lpoque, dit-il, lorganisation des donnes avait t dfinie de telle manire que les donnes personnelles des clients (nom, prnom, adresse)
ne figuraient pas sur le mme fichier que les vnements clients comme lhistorique des commandes par
exemple. Une cl de correspondance hautement scurise permettait de faire le lien entre les deux
fichiers. Dans lentreprise, personne ntait habilit attaquer de front les deux fichiers simultanment.
En consquence, les traitements marketing de ciblage ou dtude RFM aboutissaient uniquement un
fichier cod didentifiants clients sans valeur intrinsque.
Cette rflexion sur lurbanisation des donnes qui doit tre la rgle en B2C doit encore tre mene chez
Raja, mme si elle peut apparatre comme moins critique en B2B dclare Marc.
Du point de vue de leur criticit respective, la protection des secrets industriels passe finalement
aprs la protection des donnes clients.
Emmanuel Cordente (voyages-sncf.com) note que le monde du e-commerce est relativement rduit et que
le turnover peut tre important. Les mmes personnes dotes de comptences pointues peuvent
facilement passer dune entreprise lautre. Ds lors, la notion de secrets industriels doit tre relativise.
Pour Emmanuel Cordente (voyages-sncf.com), une faille de donnes personnelles aurait des
consquences bien plus importantes que le vol du plan stratgique.

Livreblanc - octobre 2016

75

76

Livreblanc - octobre 2016

PARTIE 2| 1. INTRODUCTION: QUELQUES CLS DE COMPRHENSION

PARTIE 2
TAT DES LIEUX
CLS DE LECTURE
1. INTRODUCTION:
QUELQUES CLS DE COMPRHENSION
1.1 LE E-COMMERCE:
UN SECTEUR FORCMENT ATTRACTIF POUR LES CYBER-PIRATES
On trouve profusion des chiffres sur le dveloppement des cyber-attaques. Des dizaines dtudes sont
produites tous les mois sur le sujet, la plupart de ces tudes tant menes (et finances) par les fournisseurs de solutions eux-mmes. Certaines de ces tudes restent extrmement pertinentes et conduites
avec tout le srieux ncessaire (cf. rfrences des tudes incontournables en annexes de ce document).
Mais, force est de constater quelles sont souvent difficiles dcrypter pour le lecteur qui ne possde pas
de solides bases techniques. La vision business de limpact de la cybercriminalit est difficile cerner
avec prcision, au niveau national (les tudes tant souvent ralises par des acteurs globaux et les rsultats consolids), et secteur par secteur (a fortiori pour le secteur du e-commerce qui apparat comme
transverse aux secteurs figurant dans les tudes).
Il nen reste pas moins une vidence que le e-commerce est un secteur particulirement touch par
la cyberscurit. Selon le Global security report, du fournisseur de solution Trustwave datant de 2013,
48% des cyber-attaques auraient vis des sites de vente en ligne.

QUELQUES CHIFFRES:
UNE CYBER-ATTAQUE TOUTES LES 8MINUTES
Une perte de donnes toutes les 6h30
23000donnes voles par attaques en moyenne
Une DDoS cote entre 7et 40K / heure au site vis
31 % des retailers ayant enregistr des attaques en 2014 ont galement perdu des
donnes
60% des attaques qui aboutissent des compromissions sont effectues en quelques
minutes (automatises)
En moyenne, une faille PHP prsente dans un framework nest patche que 129jours
plus tard
En 3ans, il y a eu une augmentation de 67% du vol de donnes
Un retailer est, en moyenne, en risque 328jours / an sur son site Web
Le cot annuel de la cybercriminalit dpass les 400Md$ en 2013
Les volumes CB, cest 4trilliards de $ de transaction en 2013
61% du trafic Web est ralis par des robots.

Livreblanc - octobre 2016

77

PARTIE 2| 1. INTRODUCTION: QUELQUES CLS DE COMPRHENSION

1.2 MOTIVATIONS ET MODES OPRATOIRES DES PIRATES


Contribution de Philippe Humeau, CEO de la socit NBSSystem
et Emmanuel Mac de la socit Akamai

NBS SYSTEM
NBS System est une socit fournissant des services de cloud priv infogrs et scuriss.
La socit se revendique comme leader de linfogrance Magento et Hybris en France.
Philippe Humeau est diplm de lEPITA en 1999. Il cre NBS System la sortie de ses
tudes, socit dont il occupe toujours le poste de Directeur Gnral, en charge du business
development. Au fur et mesure des annes, Philippe a dvelopp un fort intrt pour le
e-commerce et a crit plusieurs ouvrages dans ce domaine, dont le Benchmark des
solutions e-commerce, qui a touch plus de 60000lecteurs dans le monde.

AKAMAI TECHNOLOGIES
Akamai est le leader des services de diffusion de contenu (CDN). Les CDN sont largement
rpandus dans le paysage internet actuel. Ils amliorent la diffusion dun pourcentage
considrable du trafic internet mondial. Un rseau de diffusion de contenu (CDN) est une
plate-forme de serveurs hautement distribue qui traite directement les demandes des utilisateurs finaux en contenu Web. Elle sert dintermdiaire entre un serveur de contenus,
galement appel serveur dorigine, et ses utilisateurs finaux, ou clients.
Akamai propose des solutions en matire de performances Web, performances mobiles,
scurit dans le cloud et diffusion multimdia qui optimisent les expriences des internautes
sur tous les terminaux, partout dans le monde.
Emmanuel Mac est Security Product Line Director chez Akamai Technologies. Il fait partie
de lquipe en charge du dveloppement, du dploiement et du support des solutions de
scurit au sein dAkamai. Sa mission est de dfinir et de supporter la stratgie des solutions
de scurit, afin que celles-ci sadaptent aux spcificits du march europen.

Pour contrer efficacement un ennemi, il faut le connatre au mieux prconisait le stratge Sun Tzu. Mme
si la cybercriminalit est protiforme, Philippe Humeau (NBS System) dcrit ci-aprs les motivations
principales des cyber pirates et dcrit les grands principes de leurs modes opratoires.

78

Livreblanc - octobre 2016

PARTIE 2| 1. INTRODUCTION: QUELQUES CLS DE COMPRHENSION

Comprendre lintrt des pirates


Les motivations dun cyber-pirate pour compromettre un site sont multiples. Ce qui est montisable ou
exploitable dans un serveur pourrait se classifier comme suit:
Le serveur en lui-mme.
Il peut servir crer des dnis de service (DDoS) grce sa capacit rseau, casser des mots de passe
chiffrs ou miner des bitcoins grce sa capacit de traitement ou encore servir de base de
commande pour faire partie ou pour piloter des rseaux de machines pirates (botnet).
Les identifiants des utilisateurs
(en gnral e-mail et mot de passe) sont souvent utiliss par ceux-ci sur plusieurs services diffrents. Rcuprer ces identifiants sur un site de e-commerce peut par exemple, permettre un pirate de tester ces
mmes identifiants sur la majorit des grands sites, comme Amazon, eBay et passer des commandes
grce aux identifiants dun internaute vol sur un autre site. De plus, les couples questions/rponses
requis pour la rcupration dun mot de passe par linternaute sont souvent les mmes sur plusieurs sites
diffrents. Mme si le mot de passe est diffrent, le pirate pourra alors le rinitialiser grce ces questions
de scurit dont il connat alors les rponses.
Les bases didentits,
qui dans le e-commerce sont trs compltes et contiennent en gnral des informations exactes (ne
serait-ce que pour tre livr de la marchandise commande) peuvent tre exploites pour commettre
des vols didentits qui seront utilises par les pirates pour prendre des crdits, ouvrir des lignes
tlphoniques
Dans le cas du e-commerce, la marchandise vendue par le site a videmment une valeur et peut tre
utilise par le pirate ou revendue.
Et bien entendu, des numros de CB de clients, complets ou partiels, quand ils sont stocks dans les bases
de donnes ou dans les logs du site constituent videmment le Graal pour tout hacker.
Quels modes opratoires pour les hackers?
Philippe Humeau (NBS System) donne ci-aprs un mode opratoire possible pour un cyber-pirate.
Si le pirate dispose de quelques comptences techniques, il pourra utiliser par exemple une machine
relie un Wifi pirat qui ne permettra pas de le localiser gographiquement, si possible le Wifi dun
commissariat, dun fast-food, dun htel ou dun voisin suffisamment loign avec une antenne forte
sensibilit.
En quelques minutes, un hacker expert pourra prendre le contrle dun accs Wifi et deviendra par lmme trs peu traable. Il pourra ensuite rebondir par un VPN ou Tor ou un autre serveur pirat, dans
un autre pays, pour brouiller encore un peu plus les pistes et rendre trs complexe une action juridique
qui deviendrait internationale.
Depuis cette base fortifie, il peut ensuite attaquer potentiellement nimporte quel site. Lextraction de la
donne convoite na bien sr de valeur que si elle trouve un client. Loffre et la demande se rencontrent
gnralement sur un march noir trs structur. Il existe plthore de sites o donnes bancaires ou
personnelles peuvent tre revendues. Selon Philippe Humeau, le pirate qui vole les donnes nest
dailleurs, en gnral, pas celui qui les exploite par la suite pour en tirer un profit, il se contente de les
vendre en gros.

Livreblanc - octobre 2016

79

PARTIE 2| 1. INTRODUCTION: QUELQUES CLS DE COMPRHENSION

Le montant dun cyber-piratage peut aller de quelques dollars plusieurs centaines selon la compltude
des informations. Selon leur type, les numros de cartes bancaires voles se vendent au volume de gros,
de 5 100$.
Philippe Humeau rappelle que ce type de criminalit est finalement assez attractif compar dautres,
du fait de son faible risque et du niveau rduit dinvestissement quelle ncessite. Pour lui, compromettre
un applicatif Web est beaucoup plus simple quun dispositif physique, un algorithme de chiffrement ou un
logiciel compil propritaire. La barrire dentre technique est tellement basse que de nombreux pirates
en herbe, parfois mineurs, y accdent facilement aprs quelques heures ou jours de consultation
des techniques sur Youtube par exemple.
Les cyber-pirates tiennent aussi leurs bases de donnes jour!
Sur internet, une adresse IP qui hberge un site (de e-commerce ou non), est en moyenne scanne
plusieurs dizaines de fois par jour, rappelle Philippe Humeau.
Des scanners cherchent en permanence identifier des cibles vulnrables et rpertorier les logiciels (et
leurs versions) qui tournent sur ces machines. Nul doute que ces scans automatiques occupent une place
importante parmi le nombre des requtes gnres automatiquement par les machines entre-elles
(scripts et programmes), qui reprsentent aujourdhui 60% du trafic sur internet.
Ainsi les attaquants se constituent des bases de donnes de machines dores et dj vulnrables ou
qui pourraient le devenir si une faille de scurit tait dtecte sur un des logiciels quelles utilisent.
Les systmes aujourdhui dans un tat de scurit satisfaisant peuvent devenir demain vulnrables quand
une faille sur un logiciel est dcouverte rappelle Philippe Humeau.
Quand les scanners dtectent une vulnrabilit, lattaque automatique est lance par injections SQL
ou Cross Site Scripting (XSS). Les compromissions ont lieu en quelques secondes en gnral, quelques
minutes tout au plus. La dcouverte de la compromission par le e-marchand pourra prendre, quant elle,
plusieurs jours voire plusieurs semaines!
Des attaques beaucoup plus cibles peuvent se concentrer sur un site. Dans ce cas, les cyber-attaquants
dbrayent le mode automatique. Le site vis nest alors pas choisi au hasard (par exemple Adobe ou
Sony), le temps investi est plus grand, les mthodes utilises sont galement plus pointues. Et, il arrive
parfois que le rsultat soit la hauteur de linvestissement en temps pass, quand le butin est de
plusieurs dizaines de millions de comptes utilisateurs ou de numros de cartes bancaires.
Une injection SQL, a ressemble quoi?
Phillipe Humeau donne ci-aprs un exemple trs clbre dinjection SQL, dune simplicit enfantine, qui ne
marche quasiment plus jamais de nos jours. Mais cet exemple illustre bien le principe dune injection
SQL et les dommages quelle peut produire!
Dans le champ login et mot de passe le pirate saisit:
Login: admin or 1=1
Password: <vide>
La requte sera alors retranscrite la machine de la faon suivante:
SELECT * FROM members WHERE username = admin OR 1=1 AND password =password
Cette requte retournera TRUE car mme si le mot de passe ne correspond pas, 1est bien gal 1,
et comme la requte demande si le password est le bon ou si 1=1, lensemble de la proposition est
considr comme vraie et le site autorisera laccs.

80

Livreblanc - octobre 2016

PARTIE 2| 1. INTRODUCTION: QUELQUES CLS DE COMPRHENSION

LE CAS SHELL SHOCK


Dcouvert en septembre 2014, Shellshock (CVE-2014- 6271) est une vulnrabilit dans le
Shell Bash (linterprteur de commandes dans la plupart des systmes Linux et Mac OS) qui
permet lexcution distance de commandes systmes, via linterprteur vis.
Peu de temps aprs sa dcouverte, un patch de protection a t mis en ligne pour que
les entreprises puissent combler cette faille et ainsi se prmunir de nombreuses attaques
utilisant cette vulnrabilit.
Deux ans aprs la dcouverte de cette vulnrabilit, des hackers tentent toujours dexploiter
cette faille. Au premier trimestre 2015, cela reprsentait encore 20% des attaques dtectes
par la plate-forme Akamai.
Le graphique ci-dessus reprsente la rpartition des attaques dtctes par lAkamai Intelligent Platform au cours du premier trimestre
2016.
Bien que dcroissantes, les tentatives dexploitation de la vulnrabilit Shell Shock reprsentent 20% des tentatives.

38,11 %

30,85 %

Autre
PHPi*
RFI*

0,86 %
1,14 %
1,65 %
7,15 %

XSS*
Shellshock*
SQLi*
LFI*

* voir p. 103
types dattaques applicatives

Quentend-on par vulnrabilit dun systme


Dans le monde de la scurit sur internet, il est important de comprendre la diffrence entre une vulnrabilit et une attaque. Philippe Humeau revient sur les diffrences fondamentales entre ces deux notions.
La vulnrabilit est une faille dun systme (logiciel ou matriel) pouvant entraner sa compromission.
Gnralement un patch suffit pour combler cette faille. La gestion des vulnrabilits est une vraie course
contre la montre. Lorsquune faille est dtecte et quelle est rendue publique, les systmes concerns
doivent tre patchs avant que des hackers puissent lexploiter.
Il nest pas rare que dans les heures qui suivent la publication dune vulnrabilit sur un systme,
on constate une recrudescence de lactivit des robots qui testent la vulnrabilit sur un trs grand nombre
de machines.
Ds lors, la mise jour des patchs de scurit est essentielle, afin dassurer la bonne protection dune
infrastructure.
Une attaque quant elle est une action intentionnelle de la part dune personne malveillante visant
compromettre un systme afin den tirer un bnfice. Ce bnfice peut tre financier, personnel ou encore
professionnel.
Les attaques exploitent gnralement des vulnrabilits ou des limitations dun systme. En fonction du
type dattaques, diffrentes protections sont possibles. La connaissance des vulnrabilits dun systme
dinformation est donc la premire tape dans le processus de mise en place dune protection globale.

Livreblanc - octobre 2016

81

PARTIE 2| 1. INTRODUCTION: QUELQUES CLS DE COMPRHENSION

Par ailleurs, le processus danalyse des systmes est une opration qui doit tre renouvele rgulirement, afin de sassurer que les protections mises en place sont en adquation avec les potentiels points
de faiblesse du systme.
Parmi les attaques les plus rpandues, il y a les attaques gnrant beaucoup de charge (rseau et/ou machine) ce sont les attaque DoS ou DDoS, dont le but est de saturer linfrastructure et ainsi perturber le bon
fonctionnement des systmes. Dautres attaques, plus avances, comme les injections SQL ou le Cross Site
Scripting (XSS) permettent de manipuler directement les donnes prsentes dans les systmes. La liste
non exhaustive des attaques sur internet est dtaille dans le chapitre suivant.
Depuis quelques annes, on voit apparatre un nouveau type menace, le Ransomware. Le principe
est simple, il sagit dun chantage la cyber-attaque visant une entreprise (ou plusieurs dans un secteur
donn) contre une somme dargent, gnralement en Bitcoin, pour ne pas tre attaqu.
Plusieurs groupes en ont fait leurs spcialits, comme DD4BC, comprenez DDoS For Bitcoin.

82

Livreblanc - octobre 2016

PARTIE 2| 2. VOLUTIONS DE LA NATURE ET DE LA TYPOLOGIE DES CYBER-ATTAQUES

2. VOLUTIONS DE LA NATURE ET DE LA TYPOLOGIE


DES CYBER-ATTAQUES
Emmanuel Mac (Akamai) dresse le constat suivant: en matire de cyber-attaques, nos statistiques sont
loquentes: elles sont toujours plus nombreuses, de plus en plus vloces, de plus en plus sophistiques
et de plus en plus brutales. Il existe de nombreuses tudes sur les cyber-attaques, aussi Emmanuel Mac
a choisi de dtailler ci-aprs trois phnomnes qui lui semblaient particulirement emblmatiques
de lvolution rcente des cyber-attaques.

2.1 LINDUSTRIALISATION DES ATTAQUES


Avec lmergence de frameworks de dveloppement et des systmes de gestion de contenus (CMS) Web
ddis chaque industrie, les attaquants ont dvelopp de nouvelles mthodes de ciblage visant systmatiquement lensemble des acteurs dun mme secteur.
Le principe est de trouver une vulnrabilit sur un systme fortement utilis dans une industrie (CMS,
quipement rseau) et dautomatiser la tche pour que lexploitation de cette faille soit systmatique
dans lindustrie donne.
Attaques DDOS suprieurs 100Gbps
au premier trimestre 2016(source Akamai)
Le graphique ci-contre est une observation des Mega attaques DDoS (dont la taille est suprieure
100Gbps) sur le premier trimestre 2016 et met en vidence cette notion de campagne cible. Les
diffrents secteurs sont reprsents par couleur. Il apparat que ces Mga attaques sautent dindustrie
en industrie, comme des nuages de criquets.
Les premires campagnes de ce genre sont apparues il y a 3 ans et ont t popularises par certains
groupes dhacktivistes.
En 2012, lopration Ababil, une des premires campagnes de genre, a durement frapp lensemble
du secteur financier durant plus de 10mois. Le slogan du groupe dhacktivistes tait le suivant: none of
the U.S banks will be safe from our attacks.
Depuis, le phnomne de campagnes prend de lampleur. Il est donc important pour les acteurs dune
mme industrie de sorganiser et de partager leurs expriences afin de ragir en cas de campagne cible.

Jan. 15

112

Jan. 15

101

Jan. 29

105
32 Mpps

Jan. 30

267

Jan. 30

224

Feb. 1

133

Feb. 6

130

Feb. 10

103

Feb. 17

174

Feb. 21

36 Mpps

289

Feb. 21

184

Feb. 22

124

Feb. 24

51 Mpps

Feb. 26

44 Mpps

132
133

Financial Sercices

Mar. 12

230

Mar. 19

Gaming

124

Mar. 20

Internet & Telecom

114

Mar. 22

Media & Entertainment


134

Mar. 23

Software & Technology

114
0

50

100

150

200

250

Livreblanc - octobre 2016

83

PARTIE 2| 2. VOLUTIONS DE LA NATURE ET DE LA TYPOLOGIE DES CYBER-ATTAQUES

2.2 ATTAQUES MULTI-VECTEURS


Depuis le dbut de notre dcennie, un nouveau phnomne prend de lampleur, ce sont les attaques
Multi-Vecteurs.
On dit quune attaque est Multi-Vecteurs lorsque la personne malveillante utilise plusieurs techniques
pour arriver ses fins.
Cela se traduit, par exemple, par lutilisation dattaques visant la fois les DNS ainsi que les serveurs Web.
Un autre cas classique dutilisation dune attaque Multi-Vecteurs, est dutiliser une attaque fort volume
(DDoS) pour masquer le vol dinformations via une attaque applicative de type injection SQL.
Pour les entreprises, les principales consquences de ce type dattaques sont la mise en place de
stratgies de dfenses intgrant la possibilit dattaques Multi-Vectorielles, et galement la mise en place
de moyens techniques de dtection, de corrlation et de remdiation adapts aux diffrentes
combinaisons dattaques.
volution des attaques multi-vecteurs sur une anne
Le graphique ci-dessus montre lvolution des attaques Multi-Vecteurs durant un an. Le nombre dattaque
Mono-Vecteur dcroit de faon permanente pour ne reprsenter plus que 41% des attaques observes
sur la plate-forme Akamai au premier trimestre 2016.
Cette augmentation sexplique notamment par la popularisation doutils ddis type Booster, capables
de lancer plusieurs attaques simultanes contre une seule cible.
Dans tous les cas, ce type dattaques reflte une stratgie, une ou plusieurs cibles, et une relle analyse
des moyens techniques et humains de la cible, avant lattaque.
Laspect humain doit tre pris en compte. Bien quabsent de ce graphique, le Social Engineering fait
partie intgrante des vecteurs dattaques. La formation des employs doit tre prise en compte dans une
politique de scurit.
4%
5%
9%

3%
4%
11%

26%

5%
13%

Two Vectors
Four Vectors

51%
Q3 2015

Single Vector
Three Vectors

32%

56%
Q2 2015

2%
3%
12%

3%

Q4 2015

Five to Eight Vectors

35%

42%

45%

41%
Q1 2016

2.3 LES BOTS, UNE MENACE DE PLUS EN PLUS PRSENTE


Les robots ou Bots sont des programmes automatiss permettant lexcution de tches rptitives
comme lindexation de contenus Web, la dtection de vulnrabilits ou encore lindexation dans les
moteurs de recherche. Il est important de garder lesprit que derrire chaque rseau de Bots, il y a une
personne rmunre pour la tche quil effectue.
Le trafic gnr par les Bots crot de mois en mois et peut aujourdhui atteindre plus de 60% du trafic dun
site de e-commerce. Mme si la plupart des actions gnres par les Bots ne sont pas directement lies

84

Livreblanc - octobre 2016

PARTIE 2| 2. VOLUTIONS DE LA NATURE ET DE LA TYPOLOGIE DES CYBER-ATTAQUES

une cyber-attaque, la part du trafic que cela reprsente gnre un bruit pouvant perturber le business.
De plus, lagrgation de contenus de certains Bots peut aller lencontre de la stratgie de lentreprise.
Il est donc important de prendre ce trafic au srieux, tant dun point de vue technique que mtier.
Afin de bien comprendre les diffrents Bots agissant sur internet, voici une infographie reprsentant 24h
danalyse de trafic des Bots sur la plate-forme dAkamai.
Source: Akamai

Activits des Bots au premier trimestre 2016


Snapshot de lactivit des Bots sur la plateforme Akamai pendant 24 heures

Part du trac gnrs par les Bots

Rpartition des Bots

30 %
En moyenne, le trac gnr
par les Bots reprsente 30 %
du trac dun site web.
Ce nombre peut atteindre
plus de 60 % dans certains
secteur comme le retails.

Bots dclars (SEO, Partenaires)

40 %

Bots dclars de part leur comportement

50 %

Autres types de Bots

10 %

Dtails des Bots dclars /


40 % du trac gnr par les Bots

50%

Web search enginers & indexers


Media aggregators (social media, news, RSS)
Commercial aggregators (price comparisons,
enterprise data aggregators, scraping enterprise services)

5%
3%

Analytics & research bots (advertising, SEO analysers,


audience analytics, business intellignce)

15%

Web monitoring services


(performances & health, link checkers)
Other declared bots

23%
4%

Dtails des Bots ddtectspar leur comportement /


50 % du trac gnr par les Bots

55%
30%
7%
Other detected web scrapers
Development frameworks

8%

Search-engine impersonators
Web-browser impersonators

Livreblanc - octobre 2016

85

PARTIE 2| 3. LES RISQUES CYBER POUR LES E-MARCHANDS

3. LES RISQUES CYBER POUR LES E-MARCHANDS


Qui de mieux plac quun courtier en assurances pour caractriser les risques cyber encourus par les
e-commerants? Le courtier Gras Savoye donne ici sa vision du risque cyber. Les principaux risques cyber
vus par un assureur.

3.1 LES RISQUES CYBER VUS PAR LES ASSUREURS


Les principaux risques cyber peuvent tre catgoriss de la manire suivante:
Vol et violation de la confidentialit des donnes
Toutes les entreprises, quelle que soit leur taille et leur secteur dactivit, sont exposes aux cyber-risques
parce quelles dtiennent des donnes caractre personnel ou des donnes confidentielles. Aujourdhui,
97% des donnes sensibles vises lors dune cyber-attaque sont des donnes personnelles de particuliers (tat civil, informations bancaires ou de SEPA2, dossier mdical). La violation de la confidentialit des
donnes (donnes personnelles, commerciales, bancaires) peut rsulter dun acte de malveillance
externe (commis par un hacker) ou interne (par un employ) ou par la simple perte dun ordinateur
ou dun smartphone.
Indisponibilit du rseau informatique
Toutes les entreprises sont dpendantes de leur systme informatique. Quil sagisse dun rseau partag
avec ses filiales dans le monde, ou que celui-ci soit propre chaque entit, cest la colonne vertbrale de
lentreprise. Lindisponibilit du rseau peut tre la consquence dune attaque par dni de service (DoS),
mais galement la consquence dun virus informatique, avec des impacts majeurs sur les rsultats
financiers de lentreprise, tels que les pertes dexploitation et/ou les frais supplmentaires conscutifs.
Risques mdiatiques pour lentreprise
Lutilisation des mdias sociaux par les entreprises est un phnomne croissant. Les informations postes
sur les rseaux sociaux ou dvoiles inopinment ou intentionnellement, gnrent des rclamations de
plus en plus nombreuses.
Latteinte la rputation de lentreprise est une consquence non ngligeable dune cyber-attaque, que ce
soit vis--vis des clients finaux, des partenaires commerciaux, ou encore des investisseurs. Cest dailleurs
une situation facilement comprhensible: qui aurait envie de faire affaire et donc de confier son argent
ou ses donnes personnelles une entreprise dont lexprience tendrait montrer quelle nest pas en
mesure den assurer la pleine et entire scurit? Peu importe cet gard quil savre impossible dassurer une scurit absolue des donnes: il existera toujours un sentiment ngatif lgard de lentreprise
victime dun incident, qui sera automatiquement considre comme responsable de la faille de scurit de
son systme dinformation. Par exemple, suite lattaque du PlayStation Network en 2011, la presse du
monde entier a voqu les millions de victimes de Sony et non les millions dabonns de Sony victimes
des cyber-pirates problmatique qui sera plus cruciale encore lorsquentrera en vigueur la nouvelle
rglementation europenne sur les donnes personnelles, qui obligera les entreprises rendre publiques
(voir section juridique) toutes les attaques dont elles feront lobjet.
Or, lexplosion du Web 2.0 a rendu les e-commerants plus vulnrables aux commentaires ngatifs
de leurs clients voire de leurs concurrents. Ils doivent donc dsormais ragir trs rapidement en cas datteinte leur image, pour sassurer le contrle de leur e-rputation. En effet, un consommateur victime
hsitera retourner sur le site et le fera savoir sur des forums ou des rseaux sociaux, qui sont des mdias
extrmement rapides et trs utiliss de diffusion de linformation.

86

Livreblanc - octobre 2016

PARTIE 2| 3. LES RISQUES CYBER POUR LES E-MARCHANDS

Cyber-extorsion
La menace dune attaque informatique ou la demande de ranon pour empcher la divulgation dinformations deviennent monnaie courante. Il existe plusieurs typologies de cyber-extorsion dont les plus rpandues sont la menace dattaque par dni de service (DoS) et la demande de ranon contre la remise dune
cl pour dcrypter des donnes. Le hacker va exiger le paiement dune ranon contre la cl qui permettra
de dcrypter les donnes.
La mise en cause personnelle du dirigeant
Les dirigeants de site de e-commerce peuvent tre mis en cause titre personnel par la CNIL, ou des tiers,
pour non respect de la rglementation sur les donnes personnelles ou sensibles.

3.2 LES CONSQUENCES FINANCIRES DU RISQUE CYBER:


EXEMPLES CHIFFRS
Source: Gras Savoye
Exemples de sinistres cyber standards
Perte dordinateur portable
Contexte

Assurance

Un prpos de lassur a oubli


son ordinateur portable contenant des
donnes confidentielles non cryptes.

Prise en charge des frais


dexpert informatique, de
restauration des donnes et
dassistance juridique.

Montant du sinistre
25000

Vol chez un prestataire externe


Contexte

Assurance

Le disque dur et le serveur de messagerie


sont drobs alors quils taient chez un
prestataire externe.

Prise en charge des frais


dexpert informatique,
dassistance juridique, frais
de notification, consultant
en gestion de crise.

Montant du sinistre
35000

Menace dextorsion
Contexte

Assurance

Aprs la constatation que le rseau tait


lent, des crans rouges avec un symbole
de cadenas demandant un paiement sous
96h est apparu. Le virus a empch
le fonctionnement normal de la socit
en bloquant le systme de communication
interne et de facturation.
ce stade, nous navons pas constat de
vol de donnes.

Prise en charge des frais


dexpert informatique,
remboursement de la ranon.

Montant du sinistre
75000

Livreblanc - octobre 2016

87

PARTIE 2| 3. LES RISQUES CYBER POUR LES E-MARCHANDS

Exemples concrets de cyber-attaque pour un site de e-commerce


Contexte

Montant du sinistre

Une employe dun site de e-commerce a revendu


45000donnes commerciales et personnelles de clients
quelle avait voles. Lassureur a fait surveiller par un
organisme pour 300000 les numros de carte bleue
pendant un an. Lassureur a pris en charge les frais de
notification hauteur de 57000 et les frais des agences
de presse qui slevaient 50000 pour prserver
limage de la marque.

Frais de surveillance: 

300000

Frais de notification: 

57000

Frais de communication: 

50000

Contexte

Montant du sinistre

Un site de vente en ligne de voyages a vu son site bloqu


pendant 3jours cause dun piratage par dni de service
(inaccessibilit momentane du site). Les experts IT sont
intervenus mais le site a d rester ferm pendant 3jours.
Limpact financier sur les ventes du site a t couvert par
lassureur hauteur de 180000.

3jours de pertes de revenus:  150000

Contexte

Montant du sinistre

Un e-commerant se fait voler 2millions de donnes


bancaires clients via un piratage de son systme en ligne
pourtant trs scuris.

Pertes de revenus lies


la fermeture du site Web: 2000000

Montant total du sinistre:  407000

Frais dexperts IT: 

30000

Frais de communication
de crise: 

10000

Montant total du sinistre:  180000

Frais davocats:

250000

Expertise IT et frais
de notifications:

500000

Frais dagences de
communication:

250000

Montant total du sinistre: 3000000

Contexte

Montant du sinistre

Un e-commerant est attaqu


par un malware qui sest introduit dans le systme
informatique
et a permis le dtournement
des donnes de paiement de 100000clients.

Frais lgaux: 

15000

Frais de notification: 

50000

Call Center: 

75000

Scurit informatique: 

100000

Veille internet: 

75000

Gestion de crise: 

27000

Montant total du sinistre:  318000

88

Livreblanc - octobre 2016

Livreblanc - octobre 2016

89

90

Livreblanc - octobre 2016

PARTIE 3| 1. OUTILS DE DIAGNOSTIC PERMETTANT DE SITUER LA MATURIT DUN SITE EN MATIRE DE CYBERSCURIT

PARTIE 3
COMMENT METTRE EN UVRE
ET RENFORCER UNE VRITABLE
POLITIQUE DE CYBERSCURIT
POUR UN SITE DE E-COMMERCE
1. OUTILS DE DIAGNOSTIC PERMETTANT DE
SITUER LA MATURIT DUN SITE DE E-COMMERCE
EN MATIRE DE CYBERSCURIT
Les outils permettant dtalonner la maturit dune organisation face aux risques cyber sont nombreux.
Philippe Humeau (NBS System) propose ci-aprs un quiz rapide qui permet dj de procder une
premire valuation.

20QUESTIONS
POUR SAVOIR O EN EST VOTRE SCURIT
source: NBS System

QUESTIONNAIRE
1. Votre socit dispose-t-elle un RSSI
en interne?
2. Existe-t-il une politique de scurit
crite?
3. Si vous avez des donnes concernant
des particuliers, ont-elles fait lobjet
dun dpt CNIL?
4. Votre personnel a-t-il t sensibilis
la scurit et/ou au phishing?
5. Existe-t-il une procdure de
rvocation systmatique des accs
informatiques des personnes ne
travaillant plus dans lentreprise?
6. Disposez-vous dun Plan de
Reprise dActivit (PRA) et dun Plan
de Continuit (PCA)?

7. La RC Pro (la vtre ou celle de votre


hbergeur) vous couvre-t-elle un
niveau suffisant en cas de perte
dexploitation du site e-commerce?
8. Vos serveurs sont-ils redonds dans
deux salles gographiquement
spares dau moins 20Km?
9. Vos sauvegardes sont-elles dportes
hors du lieu dhbergement des
serveurs en cas dincendie?
10. Votre hbergeur dispose-t-il dune
certification PCI/DSS?
11. Votre hbergeur vous fournit-il une
protection contre les DDoS de plus
de 20Gb/s?
12. Votre hbergeur a-t-il mis en place un
/
Livreblanc - octobre 2016

91

PARTIE 3| 1. OUTILS DE DIAGNOSTIC PERMETTANT DE SITUER LA MATURIT DUN SITE EN MATIRE DE CYBERSCURIT

/
Firewall protgeant laccs aux ports
de vos serveurs hors 80et 443(http/
https)?
13. Votre hbergeur a t-il mis en place
Reverse proxy pour vous protger?
14. Votre hbergeur a-t-il mis en place un
Web Application Firewall pour vous
protger?
15. Effectuez-vous rgulirement des
tests dintrusion (au moins une fois
par an)?
16. Auditez-vous la scurit du code
source des applicatifs sensibles avant
mise en production?
17. Avez-vous une politique de mot de
passe empchant techniquement
lusage de mots de passe simples
(mots, hors dictionnaire, dau moins
9caractres dont un spcial) et

imposant un changement rgulier


de ceux-ci?
18. Si les mobiles et tablettes personnels
des collaborateurs se connectent au
rseau dentreprise, est-il spar de
votre rseau de production?
19. Les postes de travail sont-ils tous
quips dun antivirus de qualit et
jour et leurs applicatifs sont-ils mis
jour de manire automatique (Java,
Office, Flash, Adobe )?
20. Votre rseau est-il quip, minima,
des lments de scurit suivants:
un Firewall (spar de celui de

la box ou du routeur de votre
oprateur tlcom)?
Un Antispam efficace pour viter

spam, phishing, virus, scams?

Un Proxy pour protger vos
connexions Web?

BARME
Compter un point par question o vous avez rpondu oui.
0 10 Votre scurit est trs insuffisante en comparaison des enjeux de votre site
de e-commerce et dune manire plus gnrale de votre activit dentreprise, il faut agir
rapidement.
11 13 La scurit vous proccupe mais vous en tes au dbut de la dmarche. Essayez de
dporter les points cls que votre socit ne peut couvrir chez un hbergeur de confiance,
spcialis dans la scurit, cela vous permettra de finaliser vos dmarches en interne avec
un primtre couvrir plus restreint.
14 17 Votre socit peut progresser, mais globalement vous allez dans la bonne direction
et la scurit est une proccupation importante dans votre entreprise. Il serait intressant de
mener un audit ou un test dintrusion pour identifier les points qui vous feraient progresser
rapidement.
17 20 Votre socit a acquis les bonnes pratiques et vos utilisateurs et clients sont entre
de bonnes mains, ne relchez pas vos efforts, la scurit demande de la constance.

92

Livreblanc - octobre 2016

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

2. PRINCIPALES TAPES DE LA DMARCHE DE MISE


SOUS CONTRLE DU RISQUE CYBER
2.1 LHOMOLOGATION DE SCURIT EN 9TAPES
Par Cyrille Tesser (ANSSI)

ANSSI
LAgence Nationale de la Scurit des Systmes dInformation a mission dautorit nationale en matire de
scurit et de dfense des systmes dinformation. Pour ce faire, elle dploie un large panel dactions
normatives et pratiques, depuis lmission de rgles et la vrification de leur application, jusqu la veille,
lalerte et la raction rapide face aux cyber-attaques - notamment sur les rseaux de ltat.
Cyrille Tesser (ANSSI) possde un DESS ainsi quun Master en SSI de lUniversit de technologie de Troyes.
Il dispose galement du titre dexpert en SSI (ESSI et BESSSI) quil a acquis au cours dun parcours professionnel au sein du ministre de la Dfense, de 1996 2013. Il a t, durant ces annes, RSSI, charg
dtude, formateur SSI et auditeur. En plus de ses activits, il est galement expert judiciaire la
Cour dAppel de Paris depuis une dizaine danne.
Il a intgr lANSSI en 2013en tant que coordinateur du secteur de lindustrie. Il est depuis 2015le rfrent
de lANSSI pour la rgion le de France.

Dans le e-commerce comme dans les autres domaines, le risque zro nexiste pas. Lors de la mise en place
dun site de e-commerce, il est indispensable que la direction de lentreprise comprenne les enjeux
de scurit et accepte les risques associs. Dans cet objectif, lAgence Nationale de la Scurit des Systmes dInformation (ANSSI) recommande dadopter une dmarche dhomologation de scurit. Il sagit
dun processus interne dinformation et de responsabilisation des dcideurs, qui aboutit une dcision
de mise en service en toute connaissance de cause.
La dmarche dhomologation comportera une analyse formalise et partage des risques en jeu sur
le projet de site e-commerce, ainsi quun plan de traitement des risques, adapt et accept par la direction.
Celle-ci pourra aisment sapproprier les grandes dcisions qui en dcoulent. Aussi surprenant que
cela puisse paratre, ce mode de fonctionnement peut parfois dboucher sur des rallonges financires
et/ou RH
Pour mettre en place et suivre ce processus dhomologation de scurit, il est recommand dutiliser le
guide de lANSSI Lhomologation de scurit en 9tapes simples dont les grandes lignes sont reprises
ci-dessous. Ce guide est en libre tlchargement sur le site Web de lANSSI, ainsi que tous les documents
types afin daccompagner tout au long de la dmarche: stratgie dhomologation, dcision dhomologation, suivi des risques rsiduels, plan dactions
Recommande par lANSSI, la dmarche dhomologation dun systme dinformation est un pralable
linstauration de la confiance que lon peut trouver dans un site Web de e-commerce et dans son exploitation.
Lobjectif de cette dmarche dhomologation est de trouver un quilibre entre le risque acceptable et les
cots de scurisation, puis de faire arbitrer cet quilibre, de manire formelle, par le plus haut responsable
qui a autorit pour le faire, gnralement au niveau de la direction.
Lhomologation de scurit permettra la direction, en sappuyant sur lavis des experts, de sinformer et
dattester aux utilisateurs internes et externes du site Web de e-commerce que les risques cyber qui
psent sur eux, sur les informations quils manipulent et sur les services rendus, sont connus et matriss
de manire active, prventive et continue.
Livreblanc - octobre 2016

93

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

Il sagit dun processus dinformation et de responsabilisation qui aboutit une dcision, prise par les
responsables de lorganisation. Lhomologation de scurit est dlivre par une de ces personnes qui a le
titre dautorit dhomologation pour tout ou partie du site de e-commerce.
La dcision dhomologation constitue un acte formel par lequel il:
atteste de sa connaissance du systme dinformation et des mesures de scurit (techniques,
organisationnelles ou juridiques) mises en uvre.
Accepte les risques qui demeurent, quon appelle risques rsiduels.
Lhomologation permet didentifier, datteindre puis de maintenir un niveau de risque de scurit acceptable pour tout ou partie du site de e-commerce.
La dcision dhomologation sappuie sur lensemble des documents gnrs lors des tapes du processus
dhomologation et que le responsable estime ncessaires et suffisants sa prise de dcision.
La dmarche dhomologation doit tre adapte aux enjeux de scurit du systme, notamment au contexte
demploi, la nature des donnes contenues, ainsi quaux utilisateurs:
dans les cas de systmes complexes ou fort enjeu de scurit, il est souhaitable que le responsable
sentoure dexperts techniques et fonctionnels (la commission dhomologation). Il peut dlguer la
prise de dcision lun de ses reprsentants qui prsidera ce comit dexperts.
Dans le cas de systmes simples, le responsable peut mettre en place des procdures simplifies associant un nombre plus limit dacteurs.
La dmarche dhomologation doit sintgrer dans le cycle de vie du systme dinformation. Elle comprend
plusieurs tapes cls, rsumes dans les 9 tapes ci-dessous. Il est ncessaire de les suivre en mme
temps que les phases de dveloppement du systme : opportunit, faisabilit, conception, ralisation,
validation, exploitation, maintenance et fin de vie. En outre cette dmarche doit tre lance suffisamment
tt, afin de pouvoir dterminer les exigences de scurit qui seront intgres dans les cahiers des charges
de dveloppement ou dacquisition.
Les questions poses lors de ces neuf tapes permettent de constituer un dossier, sur lequel lautorit
dhomologation sappuie pour prendre sa dcision.
La dcision dhomologation est le rsultat du processus. Son objet est de vrifier que le responsable
a analys les risques de scurit et a mis en uvre les dispositifs adapts la menace.
Le terme homologation recouvre donc deux notions distinctes:
la dmarche dhomologation, avant tout destine faire connatre et faire comprendre aux responsables les risques lis lexploitation dun systme dinformation. Elle se conclut par une dcision,
soutenue par la constitution et lanalyse dun dossier de scurit.
La dcision formelle dhomologation (galement appele attestation formelle).
Se lancer dans une dmarche dhomologation est relativement simple: il sagit de vrifier que la scurit
na pas t oublie avant la mise en place du systme dinformation et dappliquer les mesures de scurit
ncessaires et proportionnes.
Les neuf tapes prsentes dans le guide de lANSSI permettront un chef de projet ou un comit de
pilotage SSI de prparer un dossier dhomologation et de le prsenter au responsable, dsign autorit
dhomologation.
Le guide Lhomologation de scurit est disponible en libre tlchargement sur le site Web de lANSSI
www.ssi.gouv.fr, ainsi que de nombreux cas pratiques et documents types afin de vous aider drouler
entirement la dmarche.

94

Livreblanc - octobre 2016

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

LHOMOLOGATION DE SCURIT EN 9TAPES


source: Cyrille Tesser, ANSSI
Dnition de la stratgie dhomologation
tape

tape

tape

tape

Objectif et primtre du systme homologuer

Diagnostiquer les besoins de scurit et adaptation de la dmarche

Identier les acteurs, dnir les rles et les responsabilits

Organisation du dossier dhomologation avec planning

Quel systme dinformation dois-je homologuer et pourquoi?


Dnir le rfrentiel rglementaire applicable et dlimiter le primtre du systme homologuer.

Quel type de dmarche dois-je mettre en uvre?


Estimer les enjeux de scurit du systme et en dduire la profondeur ncessaire
de la dmarche mettre en uvre.

Qui contribue la dmarche?


Identier les acteurs de lhomologation et leur rle (dcisionnaire, assistance, expertise technique ).

Comment sorganise-t-on pour recueillir et prsenter les informations?


Dtailler le contenu du dossier dhomologation et dnir le planning.

Matrise des risques


tape

tape

tape

Analyse de risque et identication des mesures de scurits

Mesure dcart entre lanalyse de risque et la partique (contrle)

Plan dactions pour amener les risques un niveau acceptable

Quels sont les risques pesant sur le systme?


Analyser les risques pesant sur le systme en fonction du contexte et de la nature de
lorganisme et xer les objectifs de scurit.

La ralit correspond-elle lanalyse?


Mesurer lcart entre les objectifs et la ralit.

Quelles sont les mesures de scurit supplmentaires mettre en uvre pour couvrir ces risques?
Analyser et mettre en uvre les mesures ncessaires la rduction des risques pesant sur
le systme dinformation. Identier les risques rsiduels.

Prise de dcision
tape

Dcision dhomologation
Comment raliser la dcision dhomologation?
Accepter les risques rsiduels: lautorit dhomologation signe une attestation formelle
autorisant la mise en service du systme dinformation, du point de vue de la scurit.

Suivi a posteriori
tape

Amlioration continue et maintien en conditions de scurit


Quest-il prvu pour maintenir la scurit et continuer de lamliorer?
Mettre en place une procdure de rvision priodique de lhomologation et un plan dactions
pour traiter les risques rsiduels et les nouveaux risques qui apparatraient.

Livreblanc - octobre 2016

95

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

2.2 LA PROTECTION CONTRE LES CYBER-ATTAQUES


NEST PAS LE PRIVILGE DES GRANDES ENTREPRISES!
Par Lazaro Pejsachowicz, prsident du CLUSIF
Introduction
Pendant presque quarante ans, nous avons feint de croire que les enjeux de la scurit des systmes
dinformation taient presque exclusivement rservs aux grandes entreprises. Il sagissait en fait dun
besoin pragmatique plus que dune vrit: les dmarches de protection avaient un cot important et les
risques devaient tre proportionnels ce dernier.
Il tait par ailleurs plus simple pour les offreurs de produits et de services de scurit des systmes
dinformation de communiquer avec les grands comptes, qui avaient non seulement la capacit financire
dacheter, mais qui pouvaient galement tre reprsents par un acteur spcialis: le RSSI.
Mais tout ceci, lpoque cyber, est aujourdhui totalement rvolu.
Les cybercriminels et la petite entreprise
Il faut reconnatre que ce sont les criminels qui ont pouss la dmocratisation du concept de la cyberscurit, en tendant leur champ de bataille vers les usagers de linformatique familiale avec des scnarios
dattaque bien plus labors que les bons vieux virus, mais surtout, avec des bnfices montaires bien
plus importants que ce que nous pouvions constater il y a encore une dizaine dannes. Ce constat est
notamment lune des conclusions que nous tirons de ce que le CLUSIF prsente, anne aprs anne, lors
de son Panorama de la Cybercriminalit.
Les petites entreprises ont dabord t atteintes de manire presque involontaire, par ces attaques
destines initialement au grand public.
Mais si les armes destines attaquer les petites entreprises (et parfois les grandes) sont similaires, il est
toutefois possible de mettre en avant trois points diffrenciateurs:
premirement, les dommages sont bien plus importants pour une PME que pour un particulier (par
manque de mesures de contention et de raction, les consquences dune attaque peuvent mme
tre, hlas, plus importantes que pour une grande entreprise).
Deuximement, la cyber-escroquerie de type Cryptolocker ou autre, est bien plus
profitable que chez un particulier (ce type dattaque peut par ailleurs se combiner avec dautres visant
typiquement les grandes entreprises, comme par exemple la fraude au PDG).
Troisimement, les petites entreprises sont attaques pour atteindre les grandes avec lesquelles elles
sont en relation: lattaquant suppose, avec raison hlas, que les PME, moins protges, constituent un
excellent point dentre vers les informations et/ou linformatique des grandes entreprises
(voir, par exemple:https://www.cnil.fr/fr/la-societe-orange-sanctionnee-pour-defaut-de-securite-desdonnees-dans-le-cadre-de-campagnes).
Vers une lutte contre le cybercrime dans les PME
Heureusement, ces diffrents constats ont engendrs de nombreuses ractions, dorigine et de nature
diverses, permettant dempcher que la petite entreprise soit la proie facile de cybercriminels.
Citons tout dabord les volutions rglementaires, que ce soit au niveau europen (et au-del par des
accords), au niveau national ou encore dordre priv.

96

Livreblanc - octobre 2016

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

Aprs lvolution de la Loi Informatique et Libert et les nouvelles attributions de la CNIL,


le nouveau Rglement Europen sur la Protection des Donnes Personnelles est rcemment entr en vigueur. La mise en conformit par rapport ce Rglement est par exemple un dfi majeur pour les entreprises de commerce en ligne, quelle que soit leur taille (noublions pas quen tant que victime de fuites
dinformations, ce secteur a t parmi les plus touchs, avec de nombreux cas comme celui de Dominos
Pizza, dont les donnes de connexions sont encore diffuses sur le Deep Web).
La norme PCI DSS est quant elle la plus importante des rglementations prives en termes de scurit:
cette dernire est notamment indispensable pour les entreprises de commerce en ligne qui acceptent les
paiements par carte bancaire (VISA et/ou MasterCard). Si la premire version de cette norme ressemblait
plus un catalogue de solutions mettre en uvre, le Groupement sest bien repris depuis et les
versions suivantes guident aujourdhui vers une mise en uvre globale de la SSI. Pour ceux qui se sont mis
en conformit avec cette norme et surtout pour ceux qui ne lon pas encore fait, je recommande vivement
la lecture des deux documents labors par le Groupe de Travail PCI DSS du CLUSIF (ces documents sont
en accs libre et gratuit sur le site de lassociation).
Et pour tous les petits commerces en ligne qui ne grent pas directement les paiements par carte (et
mme pour ceux qui le font), des initiatives prises par ltat franais et les associations travaillant sur le
sujet de la scurit de linformation sont l pour les aider btir leur propre protection contre la cybercriminalit.
LANSSI a ainsi fait de la protection des PME lune de ses priorits: dune part en publiant un Guide de
bonnes pratiques, en partenariat avec la CGPME; et dautre part en dployant une prsence rgionale,
avec la dsignation progressive dun de ses membres dans chacune des rgions de France (une premire
runion a par exemple eu lieu en Rhne-Alpes, anime par lANSSI et le CLUSIR Rhne-Alpes). LAgence a
galement collabor avec le CIGREF pour la sortie dune remarquable srie de vidos parfaitement adaptes aux employs de petites entreprises de e-commerce: la srie Hack Academy.
Signalons enfin que cette collaboration en rgion CLUSIR/ANSSI est stratgique pour le CLUSIF, dont
la protection des PME fait partie des priorits. Inscrire les rgions et les PME dans les objectifs de lassociation a dailleurs eu un effet inattendu mais finalement logique chez nos membres Offreurs: celui dune
prise de conscience de limportance des PME et de la consquente ncessite proposer des solutions et
des services mieux dimensionns pour ce secteur.
En conclusion
Si les cybercriminels continueront toujours nous surprendre, la prise de conscience et les initiatives
prises par les acteurs de la lutte contre la cybercriminalit donnent aux petites entreprises, et donc celles
du commerce lectronique, les lments ncessaires pour amliorer la matrise de leurs risques cyber.
Pour certaines dentre elles, il reste nanmoins un pas franchir: comprendre dune part limportance de
lvaluation des risques lis au SI, et dautre part que cette valuation, ainsi que la mise en place de protections, doit tre guide par des professionnels de la Scurit de lInformation, internes et/ou externes
lentreprise.

Livreblanc - octobre 2016

97

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

LE CLUSIF: changer et agir ensemble pour la confiance dans le numrique


Le CLUSIF (Club de la Scurit de lInformation Franais) est un club de professionnels ouvert toutes les
entreprises et collectivits. Rassemblant plus de 550membres issus de tous les secteurs de lconomie, le
CLUSIF a pour objectif principal de favoriser les changes dides et de retours dexpriences travers
diffrentes activits en relation avec la scurit des systmes dinformation ou la mise disposition de
documents de rfrence, notamment:

les groupes de travail, dont la finalit est la publication de documents de type recommandation,
mthodologie ou encore tat de lart.
LEspace RSSI, rserv exclusivement aux Responsables de la Scurit des Systmes dInformation
dentreprises prives et du secteur public (hors fournisseur de solutions ou de services de scurit).
Les confrences thmatiques, organises tout au long de lanne afin de sensibiliser les dirigeants,
responsables ou organismes et pouvoirs publics limportance de la scurit de linformation.

Une base documentaire gratuite et accessible tous.


Deux annuaires, lun des formations en scurit de linformation et le second des fournisseurs de
solutions ou services de scurit membres de lassociation sont galement prsents au public titre
de service gratuit, dans le but doffrir une source dinformation unique.

2.3 OFFRE GLOBALE DVALUATION 360 DU RISQUE CYBER


POUR LES E-COMMERANTS
Par Grant Thornton

Le risque cyber nest pas et ne sera jamais limit une problmatique technique ou technologique :
cest avant tout et surtout une problmatique mtier. Le e-commerce et les appareils connects au cyberespace offrent les mmes possibilits et avantages aux rseaux de criminels que ceux quils proposent
aux entreprises lgitimes. Cependant, lordre des priorits de la ralit oprationnelle est le suivant :
en premier lieu vient la satisfaction client, puis les rsultats financiers et enfin le risque cyber.
Panorama de la cyberscurit

Qui ?

Crime organis
tats/Nations

Hacktivistes

Collaborateur
Interne Tiers

Hacker isol

Rseau cyber Criminel

Comment ?

Spam
Spear Phishing
Sosial Engineering

Dni de service :
Botnets or Zombies

Code malicieux :
Malwares,
Advanced Persistant
Threats et
ZeroDays attacks

Sites Web
Compromis

Internet
Vecteurs
dattaques
externes
Vecteurs
dattaques
internes

Consquences

98

Infrastructure
des partenaires
commerciaux

Portail
Internet / Web

Accs
clients

BEYOND /
quipements
mobiles

E-mail

Accs distant
collaborateur

Accs Wi-Fi

Systme dinformation
Collaborateur
malveillant

Vol/Perte
de donnes

Livreblanc - octobre 2016

Collaborateur
ngligent

Vol
didentit

Accs
non autoris

Fournisseur(s) et
sous-traitants(s)

Vol
dtournement
de fonds

Accs
non autoris

Systme
indisponible

Destruction
de donnes

Invits
et visiteurs

Altration
de limage
de la marque

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

Les entreprises deviennent encore plus sensibles aux attaques mesure que leur empreinte numrique
se dveloppe pour intgrer, en plus de leurs clients, leur chane dapprovisionnement (y compris les
prestataires et la sous-traitance), lutilisation de services et technologies externaliss, tierces ou connects.
La cyberscurit na pas de prix, mais elle a un cot! Les organisations ne peuvent pas prtendre tre
compltement protges contre les cyber-attaques. Nous pensons que les stratgies de cyberscurit
doivent tre adaptes afin de rpondre aux besoins oprationnels et culturels des organisations, en
tenant compte des exigences rglementaires et en se concentrant sur ce qui doit tre protg en priorit,
plutt que doffrir une couverture globale. chouer consolider
ses cyber-dfenses peut tre coteux et, au pire, menacer la
Changer
valuer et amliorer
survie de lentreprise.
Lexprience Grant Thornton dmontre que les stratgies
qui fonctionnent sont construites autour de trois piliers : les
individus, les processus et la technologie. Lorsque votre ennemi
est insaisissable, la dfense est la meilleure forme dattaque ;
cest le point de dpart dune stratgie de cyberscurit robuste.
Dans la mthodologie Grant Thornton, les actions de scurit
couvrent quatre domaines dinterventions. Ces domaines
adressent lensemble des problmatiques scurit conformment au cycle vertueux damlioration continu de la scurit au
sein dun Systme dInformation:

la stratgie, les objectifs,


les priorits

Prparer
Protger
Ragir

Lobjectif de cette mthodologie est daccompagner nos clients pour leur permettre dlaborer pas pas
une dmarche de scurit cyber-pragmatique, proactive et proportionnelle aux risques, ses actifs et leur
criticit, aux investissements et aux ressources. Il sagit daccompagner nos clients :
La prparation
Prendre conscience de la menace et identifier son contexte de risques, identifier ses forces, mais aussi et
surtout ses faiblesses:
lidentification des priorits pour la protection commence par une valuation des risques et lanalyse
des failles : identifier vos actifs essentiels et les vecteurs dattaques, identifier les risques et les
menaces sur ces actifs, btir les scnarios de cyber-attaques.
Laudit cyber est un diagnostic de la scurit du systme dinformation et ses processus associs.
Il doit intgrer les fondamentaux techniques et organisationnels, afin dobtenir un tat des lieux
complet, pragmatique et simple exploiter au sein des entreprises, quel que soit leur taille. Ce
diagnostic est complt par une solution de gestion des vulnrabilits qui analyse les rseaux
informatiques et dtecte les quipements mal configurs et les dfaillances de scurit. Cette prestation agile et non intrusive a un triple objectif: valuer, identifier, agir. Laudit cyber propose une vision
globale et dtaille, des risques intrusifs potentiels et leurs consquences sur les donnes
stratgiques, des risques lis linfrastructure, de son exploitation et de son organisation interne, des
enjeux lis aux obligations juridiques incluant les aspects mtier et les forces et faiblesses globales
du systme dInformation.
Une nouvelle zone de risque est apparue, celle issue de la dlgation de la gestion, de
la maintenance, de lexploitation, de la surveillance et de la supervision du systme dinformation de
lentreprise auprs de tiers: lhbergement externe. Les rseaux criminels exploitent aussi les nouvelles technologies mergentes - telles que le cloud computing et les plates-formes de mdias sociaux,
les rseaux anonymes en ligne et les systmes de monnaie virtuelle. La particularit de ces infrastructures est quelles ne sont plus la proprit de lentreprise, mais celle de socits tierces offrant ces
services et avec leur propre conception et gestion du risque cyber. Ces nouveaux outils et moyens de
production, dchanges, de partage et de communication exigent de nouvelles mesures pour suivre le

Livreblanc - octobre 2016

99

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

rythme de lre numrique. Lobjectif est de rpondre aux questions suivantes: quelles sont les exigences de scurit que vous imposez vos prestataires / fournisseurs cls? Quelles sont vos applications prsentes sur le cloud? Quels sont les engagements de vos fournisseurs cet gard? Qui peut
tre intress par lide de percer votre coffre-fort informatique? Est-ce que je respecte mes obligations rglementaires? quand remonte le dernier incident de scurit du SI du tiers? Quel a t son
impact? Comment sorganise le tiers en cas dindisponibilit de votre informatique? Laudit de scurit de tiers devient une priorit quand votre outil de production principal, votre systme dinformation,
est externalis.
La matrise des cots et la gestion assurancielle du risque cyber sont des domaines mergeants, mais
extrmement structurants dans la gestion du risque cyber.
La protection
Lvolution, la redfinition, la scurisation de larchitecture globale de vos systmes dinformation pour en
amliorer la rsilience.
valuer le niveau de maturit de la scurit par des audits de conformit, de limplmentation et
lexploitation du SI aux regards de la lgislation ou des bonnes pratiques / standards / rfrentiels, des
audits de vulnrabilits, des tests dintrusion, des revues de code
Implmenter un rseau dentreprise sous contrle et rsilient (visibilit, supervision, gestion, valuation, traabilit).
Mettre en place des outils et la configuration adquate pour vous protger des menaces ciblant vos
actifs critiques.
La raction
La gestion oprationnelle de la scurit et de ses vnements et consquences.
Disposer des comptences internes ou externes et avoir des quipes capables de traiter les vnements.
Gnrer des alertes pertinentes pour faciliter la tche des quipes et rsoudre les incidents.
Le changement
La gouvernance permettant de structurer, de dfinir, doptimiser et de piloter la stratgie cyber par la mise
en place des programmes de scurit, de sensibilisation, de formation adquats et de suivi dindicateurs
de risques, de performance.
Identifier et piloter les investissements technologiques et organisationnels.
Identifier les comptences et interactions humaines ncessaires sa cyberdfense.

GRANT THORNTON
Grant Thornton, 6e groupe leader dAudit et de Conseil dans le monde avec 4,6Md$ de CA, regroupe plus
de 42 000 collaborateurs et 3 000 associs sur 5 mtiers : Audit, Expertise Conseil, Conseil Financier,
Conseil Oprationnel & Outsourcing et Conseil Juridique et Fiscal.
Grant Thornton accompagne les entreprises dynamiques (socits cotes, entreprises publiques et
prives) pour leur permettre de librer leur potentiel de croissance, grce lintervention dassocis
disponibles et impliqus, pauls par des quipes dlivrant une expertise trs haute valeur ajoute.
En France, Grant Thornton est prsent dans 23 bureaux. Avec 163,6 M de CA, le cabinet compte
1700collaborateurs et 117associs.
Laura Letteron Filitov: Senior Manager, responsable de loffre Gestion Globale des Risques au sein de
Grant Thornton.
Lionel Benao: 11ans dexprience professionnelle en Conseil & audit de la scurit des SI.

100

Livreblanc - octobre 2016

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

3. PANORAMA DES SOLUTIONS TECHNIQUES


ET ORGANISATIONNELLES
3.1 PANORAMA DES SOLUTIONS TECHNIQUES
Pour mieux comprendre le vocable employ dans ce livre et les diffrentes mthodes ou outils
disposition, ainsi que la menace laquelle ils rpondent, Philippe Humeau (NBS System) et Emmanuel
Mace (Akamai) dressent ci-aprs un rapide tour dhorizon des solutions techniques de cyberscurit.
Le firewall
cest probablement llment le plus connu de scurit. Il interagit principalement sur les adresses IP et les
ports pour dterminer quel trafic est autoris ou non vers un serveur et ventuellement lun des services
quil hberge. Contrairement son confrre le WAF, il ne comprend (en gnral) pas le contenu des
requtes qui sont formules auprs du serveur, mais applique une politique de filtrage fonde
uniquement sur lorigine et la destination des paquets IP.
Le firewall rputation dIP
cest un firewall classique mais il embarque en supplment un systme de notation dynamique des
adresses IP. Si une adresse a t repre comme ayant un comportement offensif, le firewall dynamique
peut dcider de la bannir et ventuellement de protger tout son parc de serveurs contre celle-ci. Cest
la nouvelle gnration avance de firewall capable, comme un systme immunitaire humain, dadapter
ses rglages en fonctions des attaques.
Le Reverse proxy
une de ses fonctions principales est dacclrer la dlivrance des pages et des objets statiques (images,
css, js). Mais, le Reverse proxy a galement une fonction de scurit. Il constitue un sas entre internet
et le serveur Web, se situant entre les deux. Cest souvent cet endroit quest install le WAF, qui participe
la scurit de la plate-forme (voir ci-dessous).
Le Web Application Firewall (ou WAF)
un WAF permet de filtrer les requtes HTTP et HTTPS envoyes vers un serveur Web. Cest un lment de
scurit crucial et indispensable, qui empche notamment la plupart des requtes malveillantes, visant
rcuprer la base de donnes du site, de compromettre le backoffice (injection SQL) ou encore dinfecter
les utilisateurs du site (XSS).
Les limiteurs de sessions (ou dappel de pages)
bien souvent, quand toutes les attaques chouent, lultime tentative dun pirate peut tre dessayer de
bloquer le site par une DDoS ou une DoS. Les dnis de service (DoS) peuvent se faire parfois en appelant
volontairement une page lourde, impliquant de nombreux traitement, de manire provoquer une pnurie de ressources sur le serveur pour le bloquer. Parfois aussi, tout naturellement sous la charge de travail,
un serveur peut se trouver dbord. Un limiteur de session autorise un certain nombre de requtes
ou dutilisateurs et met les autres en attente, le temps que le serveur soit de nouveau disponible.
Les anti-DDoS
ces systmes se placent en amont de la connexion rseau des serveurs, pour filtrer les paquets quils
auront traiter. Si ces paquets sont rptitifs et envoys massivement, un trafic anormal est dtect et
une signature est mise au point pour slectionner les bons paquets (ceux des clients rels) des mauvais
(ceux envoys massivement par les pirates) afin de ne laisser passer que les premiers.

Livreblanc - octobre 2016

101

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

Les connexions scurises (VPN / fibre prives, HTTPS, MPLS)


les connexions un serveur sont des points potentiels de vulnrabilit, qui peuvent par exemple tre
couts. Afin de lempcher, deux schmas sont possibles (et cumulables); le chiffrement et la liaison
prive (qui ne passe pas par internet). HTTPS est aussi une obligation pour la connexion au backoffice,
si ce nest dailleurs sur tout le site.
Les anti-malwares
les serveurs permettent parfois de tlcharger (uploader) des images, vidos ou mme parfois du code
source. Afin dviter de rcuprer un malware et une backdoor par ce biais, il existe des outils (comme PHP
malware finder par exemple) qui dtectent ce type de risque et les liminent, la manire dun anti virus.
Laudit de code source
cest une tape essentielle de tout projet. Il sagit danalyser le code source du site afin de voir si sa configuration, les lments de codes ajouts par les dveloppeurs, les connexions tierces, les API ne prsentent pas de risques de scurit.
Le monitoring
la confiance nexclut pas le contrle et exercer une surveillance constante des performances et de la
scurit est un point essentiel de toute plate-forme. Par ailleurs, si un problme survient un jour (piratage,
clients douteux), ces logs et traces constitueront des lments prcieux.
3D Secure
de nos jours, la plupart des connecteurs de paiement proposent un 3D Secure dbrayable, qui ne se met
en route que si plusieurs facteurs incitent penser que la transaction est dangereuse.
Les Vlans
il convient de sassurer que les serveurs disposent de leurs propres sous rseaux ddis. Chez certains
fournisseurs de cloud, si un serveur voisin du vtre est compromis, lattaquant toute visibilit sur le vtre
et peut lattaquer depuis lintrieur du rseau. Ce risque est trs fortement diminu par lusage de Vlans,
virtual lans, qui permettent disoler les serveurs des clients les uns des autres.
Virtual patching
dans le cas o la correction du code ou la mise en place de patchs ne peuvent se faire rapidement, le
virtual patching offert par certains hbergeurs de haute scurit permet de mettre en place une rustine
temporaire sur la faille, pour quelle ne puisse pas tre exploite, laissant ainsi plus de temps la socit
pour patcher et mettre jour son systme.
La politique de mot passe
cest la base mais force est de constater quelle nest toujours pas suffisamment comprise ou applique
dans la majorit des cas. Avoir un seul mot de passe faible un seul endroit sensible peut compromettre
lensemble du systme. Un mot de passe, doit comporter au minimum 9 caractres, dont un spcial
(*^`) et qui ne se trouve pas dans le dictionnaire. Avoir une phrase est encore mieux, par exemple
Un Km Pied ca Use 3n0rmement.
LAntispam
il permet de capturer quelques-uns des phishing et des spams. Cest un rempart de tout premier niveau
mais qui peut tout de mme tre utile, si ce nest pour la scurit, tout au moins pour la productivit.
102

Livreblanc - octobre 2016

PARTIE 3| 2. PRINCIPALES TAPES DE LA DMARCHE DE MISE SOUS CONTRLE DU RISQUE CYBER

3.2 LE WAF, LA PREMIRE LIGNE DE DFENSE DU E-COMMERANT


Paragraphe co-rdig avec Philippe Humeau (NBS System).

Contre les menaces applicatives (voir inventaire ci-aprs), la premire ligne de dfense sappelle un WAF,
un Web Application Firewall. Un firewall classique (pare-feu en Franais) se charge de filtrer les accs aux
adresses IP et ports de serveurs sur lesquels repose linfrastructure e-commerce. Cependant, ils ne sont
pas conus pour filtrer spcifiquement des accs Web. partir du moment o le site accepte du trafic sur
son port 80(HTTP) ou 443(HTTPS), le firewall devient quasiment inutile car le principe dun serveur Web
est dtre, en gnral, accessible tous.
Le WAF a un rle complmentaire en fournissant une couche de comprhension des requtes Web (HTTP)
que la plate-forme excute. La fonction dun WAF est ainsi danalyser le contenu dun champ de saisie sur
un formulaire pour vrifier que ce champ contient effectivement un nom ou une adresse et pas une commande dangereuse pour la base de donnes.
Les WAF les plus couteux ne sont pas forcment les plus performants. Il existe tout type doutils dans ce
domaine. titre dexemple le WAF opensource N.A.X.S.I. est gratuit et protge dj le 3me plus grand site
sur internet (en termes de bande passante). Ce dispositif constitue un filet de scurit incontournable
pour les sites de e-commerce, tout fait abordable et indispensable.
Les bnfices de la mise en place dun WAF ne sont plus dmonter: quand 8failles de scurit ont t
dtectes en un an sur la solution Magento, les sites qui disposaient dun WAF nont eu qu mettre jour
une ou deux rgles, tandis que ceux qui nen disposaient pas ont d corriger le code source, ce qui leur
a pris plusieurs semaines, pendant lesquelles leur site tait expos des attaques automatises.

RSUM DES TYPES DATTAQUES APPLICATIVES


Par Philippe Humeau (NBS System) et Emmanuel Mace (Akamai)
SQLi / Le but de linjection SQL est de manipuler (ajouter/modifier/lire/supprimer) la base de
donnes de la cible en insrant directement les requtes SQL via des paramtres.
RFI / Remote File Inclusion est une attaque o la personne malveillante trompe le systme de
tlchargement de fichiers, disponible sur de nombreux Framework Web afin de charger du
code malicieux sur lapplication Web de la victime.
PHPi / PHP injection est une attaque o la personne malveillante injecte du code PHP
directement dans la requte afin que celui-ci soit excut par linterprteur PHP.
MFU / Malicious File Upload (ou Unrestricted File Upload) est une attaque consistant pour
une personne mal intentionne envoyer vers le serveur un fichier pig, soit pour quil soit
consult par un tiers dans le but de le compromettre, soit directement pour lutiliser comme
porte drobe et ainsi pouvoir prendre le contrle du serveur.
CMDi / Command Injection est une attaque qui sappuie sur une vulnrabilit applicative.
Cette vulnrabilit autorise lexcution de commandes Shell sur le systme vis.
LFI / Local File Inclusion est une attaque qui consiste, pour une personne malveillante accder en lecture des fichiers non autoriss sur un serveur Web.
JAVAi / Java injection est une attaque qui consiste injecter du code Java en abusant de
lOGNL (Object Graph Navigation Language). Cette attaque est devenue populaire depuis

Livreblanc - octobre 2016

103

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

/
les failles rcemment dcouvertes dans le framework Struts, qui utilise OGNL, notamment
pour la manipulation de cookies et de paramtres dans les URLs.
XSS / Cross site scripting, cette attaque consiste injecter du code source Javascript dans les
champs de formulaires ou les paramtres HTTP qui ne devraient pas les accepter. Avec cette
mthode, il est parfois possible de rendre son injection persistante, cest--dire quelle
durera aprs que lattaquant ou sa victime se dconnecte et reprendra lors de sa prochaine
connexion. Avec un niveau dexcution suffisant, il devient alors possible pour lattaquant
dexcuter toute une panoplie dattaques avec le navigateur de sa victime comme par exemple
de lire, modifier ou transmettre des donnes sensibles par son entremise.
CSRF / Cest une attaque assez complexe parer puisque le serveur nest pas la source du
problme. En gnral, le but pour le pirate est dattirer un utilisateur sur un site quil contrle,
pour infecter son navigateur et se servir de sessions o il sest dj authentifi, comme par
exemple un backoffice de site ou un service bancaire.
Applicative DoS / Un dni de service applicatif consiste appeler continuellement une page
du site, une API ou une fonction quelconque, qui est particulirement lourde traiter pour
les serveurs, dans le but dpuiser ses ressources.
Bruteforce de mot de passe / Cest le fait de tenter de multiples authentifications, sur un
systme ne limitant pas le nombre de tentatives dauthentification. Cela est particulirement
utilis sur les accs au backoffice en gnral dans le cadre du e-commerce, mais cette technique marche aussi pour des transactions de carte de crdit (CCV2), pour le SSH ou encore
les e-mails. Cette vulnrabilit existe dans Bash depuis 1989, mais na t que rcemment
rvle. La forte utilisation de cet interprteur a rendu cette attaque trs populaire.

3.3 LES CYBER-ASSURANCES

Interview de Astrid-Marie Pirson, HISCOX

HISCOX ET SES ACTIVITS


HISCOX est une socit dorigine anglaise. Elle est lune des manations du syndicat des Lloyds de Londres.
La socit est implante depuis plusieurs annes en France, Paris, mais galement dans certaines villes
de province (Lyon, Bordeaux, Marseille). Lentreprise emploie une centaine de personnes sur le territoire.
Historiquement, la socit sest dveloppe partir de son activit dassureur priv pour une clientle
aise. Puis, lactivit de la socit sest progressivement tendue lassurance des risques spcifiques
(HISCOX est notamment un acteur reconnu de lassurance dans le tourisme pour les tours oprateurs).
Aujourdhui, la principale activit de HISCOX est la couverture des risques en responsabilit civile.
La capacit dHISCOX assurer des risques trs spcifiques est inscrite dans son ADN. Ainsi, HISCOX
prsente la singularit de figurer parmi les trois premiers assureurs au monde en ce qui concerne les
risques lis aux kidnappings des salaris avec demande de ranon.

104

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Astrid-Marie Pirson travaille depuis quatre ans et demi chez HISCOX France. Elle a rejoint il y a trois ans,
le dpartement sinistres sur les lignes technologies, mdias, et cyberscurit, avant den prendre la
direction technique il y a un an. Avant dintgrer HISCOX, Astrid-Marie Pirson a exerc pendant six ans, en
tant quavocate, dans un cabinet davocats au conseil dtat et la Cour de cassation.

La confiance des clients, un enjeu majeur pour les e-commerants


Une tude ralise par HISCOX il y a 18mois, a montr que la proportion des internautes qui ne finalisera
pas un achat sur un site ayant t victime dune faille de scurit se situe entre 70et 80%.
Or, Astrid-Marie Pirson rappelle que trs prochainement, il deviendra obligatoire pour les sites qui auront
t victimes dune cyber-attaque de se dclarer auprs de la CNIL. Et, avec la mise en uvre du paquet
europen sur la protection des donnes personnelles, les sites victimes dune cyber-attaque auront
lobligation de prvenir individuellement les internautes dont les donnes personnelles auraient fait lobjet
dune cyber-attaque.
Des assurances cyber encore mal connues des responsables de sites e-commerce
Thomas Brault, charg de clientle chez le courtier dassurance Gras Savoye avec lequel travaille HISCOX,
estime que si ses clients e-commerants sont globalement bien informs des risques lis la cybercriminalit, en revanche ils le sont beaucoup moins des produits dassurance qui leur permettraient den limiter
le risque.
Selon Astrid-Marie Pirson, si lensemble des acteurs du e-commerce a maintenant pris conscience des
risques lis la cybercriminalit, tous nont pas encore opt pour une dmarche assurancielle, et ce pour
au moins deux raisons principales:
la connaissance des e-commerants sur les produits dassurance cyber est encore limite,
lattention dun certain nombre dacteurs du secteur est toujours focalise sur la gestion de la croissance et de la rentabilit. Pour ces acteurs, la dmarche assurantielle (hors assurances obligatoires),
et en particulier la couverture de ce type de risques ne rentre pas encore dans le primtre de leurs
proccupations immdiates.
Force est de constater quactuellement, le principal lment dclencheur pour la plupart des e-commerants, pour souscrire ce type dassurance, est la survenue dun incident. Astrid-Marie Pirson rsume ainsi
la situation: en ce qui concerne les risques cyber, la dmarche assurancielle est aujourdhui plus ractive
que proactive.
Pour autant, Astrid-Marie Pirson constate que la situation volue rapidement, sous laction conjugue de
plusieurs phnomnes.
Les dmarches assurantielles commencent tre intgres de plus en plus dans les phases de fort
dveloppement des entreprises de e-commerce. Dans le cas des deals structurs de type LBO, lvaluation
de lexposition de la cible au risque de cyber-attaques - et sa couverture face ce risque - sont maintenant
couramment intgrs aux dmarches de due diligence.
Certes, en France, ce phnomne reste pour linstant limit aux entreprises de taille dj relativement
importante (au-del de 30 millions de chiffres daffaires). Mais, Astrid-Marie Pirson constate quoutreatlantique, les entreprises de e-commerce recourent de manire quasi systmatique des assurances
pour couvrir leurs risques cyber, ne serait-ce que parce que leurs partenaires et fournisseurs de services
bancaires le leur demandent. Il est par ailleurs intressant de constater que le risque couvert nest pas tant
la perte de chiffre daffaires que les risques lis la collecte et la dtention de donnes clients.
Depuis deux ou trois ans, Astrid-Marie Pirson observe que les contrats dassurance dentreprises nord-amricaines incluent maintenant quasi-systmatiquement un volet li la protection des donnes personnelles.

Livreblanc - octobre 2016

105

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Selon elle, un autre phnomne se dveloppe et contribue au dveloppement des dmarches assurancielles pour couvrir les risques cyber : la pression que commence exercer entre eux les secteurs
du march pour se prmunir mutuellement contre ces risques.
Quand elle nest pas impose dans les contrats entre clients et fournisseurs, une assurance cyber, peut
mme devenir un argument de vente pour certains acteurs. Ainsi, certains acteurs prenant des assurances cyber ne le font pas tant en raison de risques avrs que pour rpondre une pratique qui tend
se gnraliser. Cela peut aussi devenir un critre important pour convaincre des investisseurs dinjecter
du capital dans leur socit.
Un rapport de force dsquilibr entre les sites de e-commerce et les hbergeurs
Astrid-Marie Pirson souligne que le rapport de force entre les hbergeurs et les e-commerants est rarement en la faveur de ces derniers. Dans la plupart des cas, les e-commerants se voient imposer les conditions de scurit dfinies par les hbergeurs. Trs gnralement, leurs marges de ngociation sont
rduites. Les e-commerants sont contraints daccepter les clauses de renonciations recours qui
figurent dans les contrats standards des hbergeurs.
Elle espre larrive prochaine dune jurisprudence qui remette en cause laspect lonin de certains
contrats dhbergement. Pour le compte des assurs Hiscox, Astrid-Marie Pirson a trait de nombreux
cas pour lesquels la dfaillance de scurit venait objectivement de lhbergeur. Mais sa responsabilit
ne pouvait tre invoque du fait de clauses de renonciation aux recours figurant dans les contrats que les
clients dHiscox avaient signs.
Assez couramment, la responsabilit de lhbergeur ne peut tre mise en cause au-del du montant
annuel du contrat dhbergement (parfois moins dune centaine deuros). Et, dans le cas o la responsabilit de lhbergeur peut tre invoque, le primtre de cette responsabilit est souvent trs restrictif.
Il exclut en particulier les dommages indirects comme par exemple la perte de chiffre daffaires ou de
clientle pour le e-commerant.
Astrid-Marie Pirson cite plusieurs initiatives europenne (Cyspa Alliance) ou franaises (Cloud Confidence),
majoritairement constitues dhbergeurs et de prestataires de services de cloud, qui cherche dfinir
des rgles de partage de responsabilit plus quilibres. Lexercice reste extrmement compliqu.
De fait, les e-commerants sont obligs dabandonner une partie de leur systme dinformation des
acteurs extrieurs, alors mme que leur responsabilit reste entire sur lensemble de leur systme. Car,
les titulaires de lobligation de scurisation des donnes personnelles les responsables de traitement
viss par la CNIL restent les e- commerants qui les donnes ont t confies par les individus, et non
les hbergeurs qui leur hbergement est sous-trait.
Ainsi, les termes du contrat liant un e-commerant son hbergeur, (en tenant compte des ventuelles
clauses de renonciation un recours) constituent un lment trs important dont le contrat dassurance
tiendra compte.
Des attentes diffrentes en fonction de la taille du e-commerant
Pour Astrid-Marie Pirson, le march du e-commerce pour les assureurs ncessite une approche
diffrencie en fonction de la taille des e-commerants. Si les acteurs de taille importante recherchent
principalement une garantie financire contre la survenue dun sinistre potentiel, bon nombre dacteurs
du march, de taille souvent plus modeste, cherchent avant tout tre dbarrasss du problme, pour
pouvoir continuer focaliser leurs efforts sur dautres domaines que le domaine de la cyberscurit.

106

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Pour rpondre cette attente, il revient lassureur de proposer une palette de services permettant
de rpondre lensemble des cas de figures qui peuvent survenir. En quelque sorte, lassureur permet
ses clients doutsourcer le risque li la cybercriminalit.
Les produits dassurance cyber figurent parmi les produits dassurance les plus
complexes
Pour Astrid-Marie Pirson, les produits dassurance contre les risques engendrs par la cybercriminalit
comptent parmi les produits dassurance les plus techniques qui soient, en raison de la souscription de ce
type de contrat qui possde trois caractristiques spcifiques:
la technicit des facteurs dclenchant des sinistres gnrs par une cyber-attaque est trs largement
suprieure celles des sinistres quun assureur traite habituellement (manquements contractuels ou
les fautes professionnelles). Dans le cas des contrats dassurance cyber, lassureur devra traiter des
cas de dnis de service ou autres ransomwares.
Lvaluation du risque est souvent trs complexe; elle doit intgrer des paramtres techniques comme
par exemple la manire dont un firewall a t mis en uvre ou bien encore le niveau de
protection dont bnficie spcifiquement son client e-commerant au sein du datacenter dans lequel
il hberge ses donnes.
La spcificit et parfois la technicit des rponses incidents que lassureur doit mettre en uvre
pour le compte de ses clients.
Ainsi pour Astrid-Marie Pirson, couvrir un risque li la cybercriminalit peut constituer pour un assureur
traditionnel une vraie sortie de sa zone de confort habituelle.
lments qui rentrent dans lvaluation dun risque cyber pour un assureur
Le lieu dhbergement du site internet, le nom du fournisseur de services informatiques auxquels les
e-commerants ont recours, les outils de CRM utiliss et leur localisation (hbergement en interne
ou utilisation en mode SaaS) Les lments qui sont pris en compte pour valuer un risque cyber sont
multiples. Mais, globalement, la souscription dune assurance cyber va dpendre de deux facteurs
principaux, les donnes un couvrir par le contrat dassurance et le primtre du systme dinformation
assurer.
Or, la comprhension du primtre prcis du systme dinformation assurer est probablement llment
le plus difficile cerner aujourdhui. En effet, la caractristique des entreprises de e-commerce est de
recourir massivement lexternalisation de leur systme dinformation, et, bien souvent aussi lexternalisation des solutions logicielles quils utilisent. Selon Astrid-Marie Pirson, de tous les produits dassurance,
lassurance contre les risques cyber est probablement celle qui ncessite, pour lassureur, dentrer le plus
dans la comprhension du systme dinformation de son client.
La contractualisation dun contrat dassurance cyber
La procdure habituelle pour contractualiser un contrat dassurance consiste remplir un questionnaire
standard. Pour les risques qui dpassent une certaine taille ou une certaine complexit, lassureur peut
mandater un expert informatique pour procder une valuation dtaille: un audit technique qui est
ensuite traduit en risques assuranciels.

Livreblanc - octobre 2016

107

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Astrid-Marie Pirson indique quun contrat dassurance est constitu de trois parties principales:
Partie 1 : les frais pris en charge par lassurance : la palette de services que lassureur mettra la
disposition de lassur pour faire face lincident (frais de gestion de crise, de communication,
consutants).
Partie 2 : la couverture des dommages subis par lentreprise assure (frais de notification, pertes
dexploitation).
Partie 3 : la couverture des dommages causs des tiers par une cyber-attaque dont lentreprise
assure aura t la victime (rclamations de tiers pour rparation du prjudice subi). Cest un point
de diffrence avec les contrats dassurance en responsabilit civile classiques car, dans le cas
des contrats dassurance cyber, il nest pas question dune faute de lassur ni dune mauvaise
ralisation de ses prestations contractuelles.
En ce qui concerne la partie 1, Astrid-Marie Pirson insiste sur limportance doffrir lassur une palette
de services larges et de qualit, quelle que soit la taille de lassur. Cela lui permet davoir accs aux
comptences adquates pour faire face la crise.
En effet, une cyber-attaque ncessite la mobilisation de comptences trs diverses qui ne sont pas que
techniques. Par exemple, HISCOX peut mettre la disposition de ses clients les comptences dexperts
forms la ngociation pour grer des situations de cyber-extorsion, ou encore les services dune agence
spcialise dans la communication de crise et la gestion de la e-rputation.
Souscrire un contrat dassurance cyber prsente lavantage pour le e-commerant daccder trs rapidement aux bonnes ressources un cot forfaitis.
En partenariat avec ITrust, entreprise spcialise dans la cyberscurit qui accompagne nos assurs en
cas de sinistre, HISCOX travaille llaboration dun mmo de bonnes pratiques destination de ses clients
mettre en uvre en cas de dtection dun incident.
Parmi les dommages subis par lentreprise gnralement couverts par un contrat dassurance cyber
(partie 2), on trouve principalement:
la perte de revenus. Elle peut tre conscutive une interruption du site ou plus globalement
lensemble du systme dinformation. Mais, elle peut aussi tre due une cyber-extorsion (ransomware), un phnomne qui se dveloppe de plus en plus en France et qui explique notamment
pourquoi la France a rejoint le hit-parade des pays les plus exposs la cybercriminalit dans le
dernier rapport de SYMANTEC (internet Security Threat Report 2016).
La cyber-extorsion.
Le cot des enqutes et le cot des sanctions administratives.
Les frais de notification des individus et des rgulateurs en cas de violation de donnes personnelles.
Sur option, peut tre propose la couverture de la cyber-fraude (par exemple, une fraude au
Prsident ralise via le piratage de la messagerie du dirigeant dentreprise) ou des consquences
dun piratage de ligne tlphonique.
Parmi les dommages causs des tiers par une cyber-attaque dont lentreprise assure aura t la victime
(partie 3), un contrat cyber couvre gnralement:
la prise en charge des dommages et intrts auxquels une socit peut tre condamne suite une
perte de donnes personnelles, cause par une cyber-attaque ou une dfaillance de lentreprise.
Les dommages et intrts conscutifs la violation de donnes sensibles dautres entreprises ou
organismes et qui sont dtenues par lassur.

108

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Les incidents lis lexistence virtuelle de lentreprise, sur internet: par exemple, les cas de prise
en main du site internet dune entreprise par un pirate qui diffuserait des propos interdits par la loi
(diffamation, apologie du terrorisme).
Critres de fixation de la prime dassurance dun contrat cyber
Le montant de la prime dassurance est un pourcentage du chiffre daffaires. Nanmoins, le chiffre
daffaires nest pas le seul critre qui rentre en ligne de compte. Les autres critres peuvent tre, par
exemple, la nature de lactivit de lentreprise, la part du chiffre daffaires ralises ltranger, la qualit de
la gestion de la cyberscurit par lentreprise, la nature et la quantit des donnes personnelles collectes
et stockes par lentreprise.
Le risque de dfaut de respect de ses obligations lgales
Astrid-Marie Pirson rappelle que la fonction de la CNIL est de sassurer de la bonne protection des
donnes personnelles. Ainsi, la CNIL sattache vrifier que les donnes personnelles sont collectes,
traits, manipules. conformment aux prescriptions de la loi de 1978et ses avis ultrieurs.
En cas de fuite de donnes, la CNIL peut procder un audit ex post pour vrifier si lentreprise a effectivement respect ses obligations (cest ce quelle a fait chez Orange). La CNIL a galement le pouvoir de
procder des contrles inopins. La DGCCRF est galement habilite, lors de ses contrles, recueillir
les informations concernant dventuelles violations de la loi Informatique et Liberts, et les transmettre
la CNIL pour action.
Les ventuelles sanctions prononces par la CNIL lencontre dun site de e-commerce sont-elles
assurables ? cette question, Astrid-Marie Pirson apporte lclairage suivant : si, dans certains pays
europens ce type de sanction nest effectivement pas assurable, en France, en ltat actuel de la jurisprudence, rien ne linterdit, sauf lorsque lamende sassimile vritablement une condamnation pnale.

Livreblanc - octobre 2016

109

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

LE POINT DE VUE DU JURISTE


LA CYBER-ASSURANCE, UN PRREQUIS POUR
LES ENTREPRISES AYANT PIGNON SUR WEB!
Le 28 avril 2016, la Cour dappel de Lyon a
refus dindemniser, au titre de la police dassurance tous risques sauf, un souscripteur
ayant subi une perte de donnes informatiques
dans la mesure o cette perte survenue dans le
cadre dune panne ou dun dysfonctionnement
ne saurait tre assimile un bris de machine
ou un bris informatique. cette fin, la Cour
relve, dune part, que le sinistre est intervenu
au moment de lexcution du script de sauvegarde selon la mthode prconise par IBM et,
dautre part, que ce sinistre ne constitue pas
un vnement accidentel et soudain en raison
des messages dalerte qui ont prcd la survenance du sinistre.
Cette dcision constitue une illustration du
fait que les contrats dassurance classiques
savrent souvent inappropris pour indemniser une socit des pertes de donnes informatiques subies loccasion dun dysfonctionnement informatique ou dune faille de scurit.
Avec le dveloppement des nouvelles formes de
prestations (comme le cloud computing ou les
Big Data) et lintensification du recours aux outils lectroniques (ex.: courriers lectroniques,
tweets), le cyber-risque devient un phnomne proccupant (ransomware, atteinte la
rputation, hameonnage, dni de service).
Pour ce faire, les sites internet doivent intgrer
la dimension assurantielle dans leurs prrequis juridiques, au mme titre que la rdaction de Conditions Gnrales de Services, la
mise en uvre des traitements de donnes
caractre personnel cette fin, il est important pour ces derniers danalyser les risques
auxquels ils pourraient tre confronts (ex. :
vol de donnes caractre personnel de leurs
clients, dfacement du site, effets dun bad buzz
mensonger). Cette analyse de risques (les vulnrabilits) engendrera la caractrisation et la
qualification des vnements que devra couvrir
la police dassurance mais aussi les mesures de
scurit que devront prendre les sites internet
pour tre couverts (ex.: politique de scurit ou
une charte pour des PME).
Dsormais, le plus frquemment, dans ces
cyber-assurances, les risques peuvent tre
couverts et peuvent ainsi tre pris en compte
110

Livreblanc - octobre 2016

financirement par les compagnies dassurance qui pourront rembourser, selon la police
dassurance retenue, les sanctions pcuniaires
prononces par la CNIL du fait dune perte de
donnes personnelles, les frais de notification
relatifs aux failles de scurit ou aux violations
de donnes caractre personnel, les frais et
pertes lis la violation de la vie prive, les
frais juridiques de dfense devant la CNIL et les
pertes dexploitation.
Sagissant des sanctions pcuniaires, une rserve doit tre mise. La prise en charge par
lassureur des sanctions prononces par les
autorits administratives a fait lobjet de
discussions. En effet, le 14fvrier 2012, la Cour
dappel de Paris a considr que le rle de
lAutorit des Marchs Financiers est de protger lordre public boursier. Elle souligne que
ces sanctions poursuivent le mme objectif que
les amendes pnales, savoir la rpression
dune infraction ayant port atteinte lordre
public et leffet dissuasif (1). La Cour dappel
de Paris considre donc que lassurabilit de
ces amendes est contraire lordre public. Or,
il est clairement dispos larticle 6 du Code
civil (article dailleurs expos dans la dcision)
que l on ne peut droger, par des conventions
particulires, aux lois qui intressent lordre
public et les bonnes murs. Il convient en
consquence de rester vigilant quant lassurabilit des sanctions prononces par la CNIL
qui pourrait tre contraire lordre public.
La donne assurantielle est dsormais incontournable pour les sites internet.
Mais la contrepartie de la couverture de ce
risque consiste frquemment en la mise en
place en interne de mesures de scurit adaptes la structure de lassur (ex.: politique de
scurit des systmes dinformation, charte utilisateur).
Le Risk manager a l un rle particulirement
important dans la notion de cyber risque,
puisquil va au pralable valuer et anticiper
les risques encourus par sa socit, afin de
les limiter au maximum dans le cadre de la
gestion de son systme dinformation.
(1) CA Paris, 14fvrier 2012, ple 2, ch 5numro Jurisdata: 2012-001924

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

3.4 CYBER-INCIDENT: COMMENT GRER LA COMMUNICATION?


Contribution rdige par APCO Worldwide

APCO WORLDWIDE ET SES ACTIVITS


APCO Worldwide est un rseau international de conseil en affaires publiques et en communication
stratgique.
Paris, 30consultants mettent profit leurs expertises et expriences au service dentreprises et de fdrations professionnelles franaises et trangres pour les accompagner notamment dans la gestion dincidents sensibles et de situations de crise. APCO conseille de nombreux acteurs du e-commerce et leaders
du secteur des nouvelles technologiques, aussi bien en France qu linternational. La scurit des rseaux
informatiques et la protection des donnes font partie des sujets qui sont suivis en permanence par sa
pratice Digitale.
Caroline Chalindar-Gin, directrice chez APCO Paris
Caroline Chalindar-Gin possde plus de plus de 10ans dexprience dans le conseil en
communication stratgique. Ses terrains dintervention privilgis sont les programmes
de relations publiques forts enjeux de rputation ou dadhsion, les relations avec les
mdias (presse dinfluence, accompagnement de directions gnrales ou accompagnement de grandes confrences internationales), la communication de marque dans un contexte sensible
ou de crise et la communication corporate (campagnes 360ou CSR).
Au sein du bureau parisien dAPCO Worldwide, elle a eu loccasion de travailler sur des missions dans les
secteurs de le-commerce, des nouvelles technologies, de lagro-alimentaire, de la sant, des transports
et des services.
Elle anime rgulirement des formations (simulations de communication de crise, mdia-trainings).
Elle est galement intervenante lcole de communication de Sciences Po Paris.
Vincent Richir, consultant chez APCO Paris
Vincent Richir est consultant au sein du bureau parisien dAPCO Worldwide avec prs
de 4ans dexprience en affaires publiques ainsi quen communication stratgique.
En tant que co-responsable de la practice Digitale dAPCO Paris, Vincent conseille
de grandes entreprises du secteur des nouvelles technologies dans leurs relations avec les pouvoirs publics franais. Il travaille notamment de faon approfondie sur les enjeux lis la scurit des systmes
informatiques et la cyberscurit.
Vincent accompagne galement de nombreuses organisations du secteur du tourisme dans la gestion
dincidents sensibles et dans les stratgies de communication mettre en uvre.

Mise en situation
Commenons par une situation que vous pourriez avoir grer prochainement puisque selon un rcente
tude, 77% des cyber-attaques ciblent aujourdhui les PME .
Lentreprise ecommerce.fr, base proximit de Lille, a t victime dune cybe-rattaque engendrant le vol
des donnes personnelles de 40000clients en ligne, essentiellement dans la rgion. Le DSI de lentreprise
prend connaissance de la faille et en informe le PDG et le responsable communication, alors que lentreprise est en train de lever des fonds. Le PDG dcide de garder cet incident secret. Mais, un employ dcide

Livreblanc - octobre 2016

111

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

de partager cette information sur Twitter, puis efface ce tweet, prenant conscience aprs coup de leffet
que peut produire cette information. Un journaliste de La Voix du Nord (audience: 1004000personnes)
a cependant pris connaissance du tweet pendant ce laps de temps et appelle le PDG de lentreprise pour
obtenir davantage dinformations.
Le PDG reste sur sa posture de no comment, ce qui nempche pas le journaliste de publier un article
Ecommerce.fr fait 40000victimes en ligne. Lu 150000fois, partag par 10000personnes sur Twitter et
Facebook, cette information incite un journaliste de lmission Capital sur M6 (audience de la chane :
51 741 000 personnes) contacter lentreprise pour alimenter le reportage Cyberscurit des PME :
nos donnes bancaires sont-elles en scurit ? quil prpare. Lentreprise reste sur sa politique de
lautruche face ces appels, ce qui se traduit dans le reportage par une squence charge contre
Ecommerce.fr qui devient un des symboles de la faiblesse des systmes de scurit des e-commerants
franais. Lentreprise voit son chiffre daffaires amput de prs de 40%. Comment convaincre un investisseur aprs cet pisode? Comment retrouver la confiance de ses clients?
Vous pensez que cela narrive quaux autres ? Et pourtant, la presse a rcemment racont lhistoire
similaire dune PME base dans la rgion de Pau, dabord couverte dans la presse locale (La Rpublique
des Pyrnes: Une entreprise de lagglomration paloise ranonne par un pirate informatique), puis par
la suite reprise par des sites porte nationale tels que France TV: Barn, Cyber-attaques de PME en
Barn: un piratage organis ou encore France Info: Pau: une PME cde un pirate informatique pour
survivre. Encore plus rcemment, le piratage du site Web de Castorama a engendr une couverture
mdiatique massive au niveau national, alimente par le buzz gnr sur les rseaux sociaux.
Alors, comment mettre en place un dispositif de communication de crise, avec la recrudescence des
attaques cyber?
Crise: de quoi parlons-nous?
Une crise est une situation qui remet en cause le bon fonctionnement des affaires, notamment sous
la pression dacteurs extrieurs ou mdiatiques, et qui ncessite la mise en place dune organisation
spcifique pour grer la situation et limiter ses effets ngatifs non seulement sur le business de
lentreprise, mais aussi sur sa rputation. Une crise doit tre distingue de simples alertes:
si elle nest pas traite, une simple alerte peut ventuellement tre le fait gnrateur dune crise
dampleur qui peut avoir une rsonance majeure pour lentreprise;
a contrario, une sur-communication en situation dalerte peut engendrer une couverture qui aurait
pourtant pu demeurer limite.
Une cyber-attaque en fonction de son ampleur et de ses effets doit dont tre considre comme
une alerte ou comme une crise, qui peut devenir majeure.
Depuis ladoption du rglement gnral sur la protection des donnes du 27avril 2016, toutes les socits
victimes dune cyber-attaque, dont les donnes personnelles sont touches, seront dans lobligation,
partir de 2018, dinformer leurs clients et la CNIL. Se prparer une situation de crise suite une
cyber-attaque devient une ncessit pour toute entreprise.
Quelles spcificits dune communication de crise en cas dincidents cyber?
Limmdiatet et la rapidit de la diffusion de linformation
Grce aux rseaux sociaux, nimporte quel citoyen peut simproviser journaliste et tre le fait gnrateur
dune crise dampleur par un simple tweet. Cette ralit bouscule le cycle des mdias, en amenant les
citoyens, mais galement les journalistes la recherche dventuels tmoignages ou des supports
rutilisables (photos, vidos, enregistrements sonores), sinformer en direct sur les rseaux sociaux.

112

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Lirralit du dommage
En cas de cyber-attaque, il est quasi impossible de faire instantanment un point sur la situation, de comprendre, concrtement la nature et les consquences du dommage.
Si linformation nest pas reste confidentielle (de votre fait ou parce que le pirate a dcid de communiquer sur ses exploits), vous allez devoir rpondre de nombreuses questions sans toujours avoir
de rponse.
Ce qui risque daccentuer votre position dacteur incapable de protger votre entreprise et vos clients.
Leffet amplificateur
Une situation de crise se caractrise par la grande difficult contenir la diffusion de linformation. Le
dirigeant nest plus matre de ce que lon raconte sur son entreprise qui subit la pression, les interrogations de toutes ses parties prenantes (actionnaires, clients, medias, collaborateurs). Les rseaux sociaux
accentuent ce phnomne avec une diffusion virale et en continu de linformation.
Lasymtrie des responsabilits
Le hacker est souvent considr comme
un hros des temps modernes.
Ce constat est renforc par une banalisation de leurs activits, illustre par le recours des ethical hackers, ayant pour
mission didentifier les failles de sites.
Nombre de hackers, en particulier ceux
agissant pour des motifs politiques, sont
des experts de la communication, matrisant les codes des rseaux sociaux pour
promouvoir leur action. De lautre ct du
spectre, certaines entreprises nont pas
bonne image car elles capitalisent sur les
donnes gratuites de leur clients. Les entreprises ne sont jamais des victimes
pour les journalistes, mme quand elles
sont attaques. Les victimes, ce seront
toujours les clients.

EXEMPLE DE HOLDING
STATEMENT
La socit ecommerce.fr confirme quune
faille de scurit dans les systmes informatiques de lentreprise a t dtecte, entranant le piratage des donnes de certains de
nos clients.
Nos quipes sont pleinement mobilises
pour dfinir lampleur de la faille et mettre
en uvre les mesures adquates. Nous ne
pouvons apporter plus dinformations ce
stade.

Suite une cyber-attaque, la priorit: vous organiser en cellule de crise


La cellule de crise est une structure informelle regroupant lensemble des parties prenantes indispensables la prise de dcisions stratgiques pour circonscrire la crise. Cette cellule doit donc comprendre
les diffrentes fonctions de votre entreprise, qui apporteront chacune leur point de vue pour faire merger une solution globale. Cette cellule devra intgrer:
la direction gnrale;
la direction des systmes dinformation (DSI);
la direction marketing/communication (et ventuellement un reprsentant dagence);
la direction juridique (et ventuellement le conseil juridique);
la direction commerciale.

Livreblanc - octobre 2016

113

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

noter, il arrive rgulirement que les diffrents mtiers de lentreprise ne soient pas en accord quant aux
mesures mettre en uvre, chacun dfendant sa propre vision. Le service lgal aura par exemple
tendance minimiser au maximum la communication pour des raisons juridiques, quand le directeur de
la communication essaiera lui de limiter limpact sur la rputation en cherchant raconter lhistoire
du point de vue de lentreprise. Le rle de la direction gnrale et la clart dans la chane de dcision sont
ici cruciaux afin de garder une cohrence dans la raction de lentreprise.
Les 3actions mettre en uvre immdiatement au sein de la cellule de crise
Rassembler les informations disponibles pour trouver
les bonnes rponses
Une rgle et une seule : ne jamais mentir. En revanche, cest vous de raconter votre histoire. Les
rponses que vous devrez apporter doivent tre bases sur des faits vrifis, et non sur des hypothses.
Afin de pouvoir prendre une dcision stratgique quant lopportunit de communiquer, la premire
action mettre en uvre est un audit date de la situation. Sur cette base, prparez un scenarii planning, cest--dire imaginez des hypothses de situations venir pour pouvoir les anticiper. Pour chacune
de ces situations, commencer imaginer un plan de communication (qui dit quoi qui, quel moment,
en expliquant pourquoi et comment vous grez la situation).
Il est aussi important de consigner dans un tableau de bord qui retracera lintgralit des faits (toutes
les informations, aprs leur vrification) et les actions entreprises, y compris les contacts et messages sur
la situation.
Mettre en place une veille mdia et rseaux sociaux
La manire dont vous allez grer votre communication dpendra en grande partie de lcho mdiatique
quaura reu la cyber-attaque. Sil convient dtre prt ragir en cas de demande en prparant un
holding statement, un suivi en continu doit tre mis en place pour reprer les signaux faibles; cest-dire les ventuels commentaires qui laisseraient entendre que des publics en dehors de lentreprise ont
compris votre situation.
valuer lintgralit des publics concerns par votre situation
ou impliqus par la crise
Si le client apparat comme la priorit naturelle, il convient de ne pas perdre de vue que votre audience
peut en ralit tre multiple, et chacune dentre elles doit tre traite en fonction de son impact pour votre
entreprise:
 partir de 2018, votre entreprise aura lobligation de communiquer toute violation de donnes
caractre personnel susceptible dengendrer un risque lev pour les droits et liberts dune
personne physique auprs de la personne intresse. En cas de violation de la scurit des donnes,
votre entreprise devra galement dsormais en informer la CNIL dans les meilleurs dlais et au plus
tard dans les 72heures aprs la prise de connaissance de la faille, moins que la violation en question
ne soit pas susceptible dengendrer un risque pour les droits et liberts des personnes physiques.
Noubliez pas vos collaborateurs, vos investisseurs et vos partenaires (votre assureur, en priorit).
Lanticipation de lensemble des sollicitations extrieures est cl: identifier les journalistes et medias,
autres relais ventuels dinformation.
Votre objectif de communication en cas de cyber-attaque:
viter une mise en cause directe
Quel que soit la crise que votre entreprise rencontre, il convient danticiper une ventuelle couverture
mdiatique. Ce qui veut dire que ce que vous allez exprimer pourra tre repris contre vous en cas dventuelle judiciarisation du problme.
114

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Quels titres obtenir?


Ecommerce.fr fait 40.000victimes en ligne
Ecommerce.fr victime dun piratage en ligne
Ceci tant dit, votre communication (vos messages et votre dispositif) peut vous permettre:
dviter une mise en cause directe de votre entreprise;
dobtenir une couverture de votre position;
et in fine dviter un impact long-terme sur la rputation de lentreprise qui pourrait avoir des
consquences business importantes.
Plan de com.:
principes et actions adapter en fonction de la situation et de lampleur de la crise
Votre entreprise devra ainsi:
n
 e pas adopter la stratgie de lautruche;
a
 contrario, ne pas sur-communiquer si lattention des mdias reste limite;
a
 nticiper les demandes en prparant un holding statement;
a
 dapter sa communication chaque audience;
m
 atriser le temps de la crise.
Lexemple suivant reprend les mesures que la socit Ecommerce.fr aurait pu mettre en uvre afin, non
pas dviter la couverture de lincident, mais den limiter ses consquences en termes de rputation
pour lentreprise.
+2h

Rseaux sociaux

+1h

+3h

+4h

+1jour

Premiers messages
apparaissent sur
Twitter

Rponses aux tweets


proposant de se
rapprocher du service
client

Poursuite des
rponses aux
diffrents tweets

Mdias

What??
Mon compte
ecommerce.fr pirat!
#ecommercegate

Vrification des faits

Ecommercer.fr

Mises-en place dune


cellule de crise
Mise en place dune
veille active
Prparation dun
holding statement
Prparation de
supports de communication pour les
diffrentes audiences

Linformation tant
avre:

Identification des
remontes sur Twitter

N
 otification auprs
de la CNIL

Prparation dun
communiqu plus
tay avec les
informations
pertinentes et
diffusables

E
 nvoi dun message
factuel aux clients
concerns
E
 nvoi dun message
factuel destination
des employs visant
viter une fuite
venant de linterne

Publication dun tweet


renvoyant vers le
communiqu si les
demandes presse se
multiplient

Demande du
journaliste de La Voix
du Nord

Suite larticle de
LaVoix du Nord,
demandes de mdias
nationaux

Diffusion du communiqu aux journalistes


qui approchent
ecommerce.fr

Traitement des
demandes mdias au
cas par cas

Poursuite de la veille

Poursuite de la veille

Poursuite de la veille

Schma simplifi du squenage dune campagne de communication de crise en cas de cyber-attaque.

Livreblanc - octobre 2016

115

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

La communication de sortie de crise: comment valoriser


cette exprience et renforcer vos liens avec vos clients?
De nombreuses entreprises pensent quune phase de crise se termine lorsque la couverture mdia et sur
les rseaux sociaux retombe. La phase post-crise est pourtant cruciale pour votre entreprise, afin de continuer dfendre la rputation de votre entreprise. Pour ce faire, votre entreprise pourra ainsi mettre
profit cette priode pour:
faire le bilan de la crise en interne et
identifier les pistes damlioration;
communiquer sur les mesures mises
en uvre pour viter que le problme
ne se reproduise;
maintenir un dialogue avec les parties
prenantes de votre entreprise;
effectuer un travail de-rputation afin
dviter que le nom de votre entreprise ne soit en permanence associ
lincident vcu sur les moteurs de recherche.

Conclusion: anticiper!
Au lieu dattendre que cette situation ne
vous arrive pour commencer vous organisez, vous avez maintenant compris
lintrt danticiper et de vous prparer.
Dautant que votre actionnaire risque de
vous le demander. Alors, comment faire?
Premiers conseils
Lanticipation et ladoption de bons
rflexes permettent de gagner un temps
prcieux. Les mesures ci-dessous, mises
en uvre soit en interne, soit par une
agence spcialise en communication
de crise, pourront permettre dviter
limprovisation et de maximiser lefficacit
de la rponse apporte.

LA GESTION DE CRISE
en cas dincident cyber ltranger
ne diffre pas fondamentalement
de ce qui est recommand en France
Dans le cas dun incident qui se droulerait
aux tats-Unis, les fondamentaux suivants
pourront ainsi tre mis en uvre:
agissez rapidement, mais dans le calme et
de manire organise;
gardez en permanence lensemble des
audiences lesprit (clients, employs,
actionnaires);
maintenez une relle cohrence et soyez
coordonn pour rduire au maximum les
risques;
concentrez-vous sur le futur, et non sur le
pass;
communiquez tt et rgulirement pour
garder le contrle sur la couverture de lincident;
obtenez les informations ne vous appuyez que sur des informations avres;
soyez honnte et transparent avec toutes
vos audiences;
assumez la responsabilit le cas chant;
communiquez directement avec les parties
prenantes ne vous reposez pas sur les
journalistes pour cela.

Il faut 20ans pour construire une rputation


et cinq minutes pour la dtruire. Si vous gardez a
 lesprit, vous vous comportez diffremment.

Warren Buffet

116

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Organisation
au sein de
votre structure

Identification des parties-prenantes en interne;

Prparation
des outils de
communication

Cration dun guide de gestion de crise comprenant:


- une fiche de typologie des incidents anticips;
- une fiche de qualification du risque;
- lidentification dun premier point de contact (ventuellement un systme
de permanence);
- un modle de journal de bord;
- un modle de tableau de scenario planning.

structuration de la cellule de crise et dfinition du rle de chaque intervenant;


mise en place des procdures internes de remonte des incidents.

Kit de communication adapter chaque situation avec:


- des messages cls;
- des messages destination de lexterne;
- des outils de communication interne.
Media-training des porte-paroles potentiels.

3.5 LES BUGS BOUNTIES


YES WE HACK
Manuel Dorne, connu sous le pseudo Korben est le crateur du blog geek et technologique Korben.info.
Il est aussi le co-fondateur du site demploi Remixjobs spcialis dans les mtiers du Web,
le co-fondateur de la socit de conseils Ificlide et le co-fondateur de YesWeHack
qui propose des offres demploi scurit et qui dite Bounty Factory, une plate-forme
permettant aux entreprise de crer leur programme de Bug Bounty. Manuel Dorne participe aussi
diffrents podcasts sr le thme des technologies.
Lactivit historique de la socit Yes we Hack, dont Korben est lun des associs, est le recrutement
de spcialistes de la scurit informatique. En complment de cette premire activit, les fondateurs de
lentreprise dveloppent une nouvelle activit, une plate-forme de Bug Bounty, sous la marque
Bounty Factory.
Complments par Ely de Travieso, pilote du projet Bug Bounty Zone
Ely de Travieso sest spcialis en 1997, pour les activits de scurit et dfense des
entreprises la fin de ses tudes en cole de commerce.
Ely a notamment travaill pour des cabinets dintelligence conomique comme Atlantic
Intelligence, et a accompagn de nombreuses grandes entreprises franaises dans le
traitement de crise informationnelle. Il a ensuite rejoint le Groupe Canal Plus en tant que
responsable du service de veille anti-piratage.
En 2016, Ely de Travieso lance la start-up BugBountyZone pour faciliter lidentification des vulnrabilits
informatiques auprs dune clientle professionnelle.
Ely de Travieso est rfrent national cyberscurit la Confdration nationale des petites et moyennes
entreprises (CGPME) et prsident rgional au CLUSIF (Clusir Paca). Ely participe rgulirement de
nombreuses interventions publiques autour de la cyber-dfense des entreprises.
Livreblanc - octobre 2016

117

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Principe du Bug Bounty: la fin de la scurit par lobscurit?


Voir article: Des hackers pour lutter contre hacks normal
http://www.ladn.eu/innovation/datas-datas/des-hackers-pour-lutter-contre-les-hacks-normal
Les premiers Bug Bounties sont apparus aux tats unis il y a quelques annes. Invents par Netscape en
1995pour identifier des vulnrabilits en motivant ses quipes techniques internes, les Bug Bounties se
sont par la suite dvelopps en 2004avec des diteurs comme Mozilla, avant de voir merger des platesformes de gestion des Bug Bounties en 2010comme Hacker1ou Bugcrowd. Trs utiliss par les entreprises amricaines comme Twitter ou Facebook, on dnombre plus de 500Bug Bounties proposs travers les plates-formes amricaines les plus connues.
Le principe du Bug Bounty a t introduit en France lors de la Nuit du Hack. Initie en 2003par lquipe
Hackerz Voice, et inspire par la clbre DEF CON de Las Vegas, la Nuit du Hack est lune des plus anciennes confrences dhacking underground francophone.
Les Bug Bounties sont des programmes qui runissent dun ct les entreprises dsireuses de faire tester
la vulnrabilit dune partie de leur systme (une application mobile, une API, un site Web) et de lautre
des testeurs hackers Ces derniers, sont rcompenss lorsquils identifient une faille de scurit qui rentre
dans le primtre pralablement dfini par lentreprise.

Deux types de Bug Bounties: publics ou privs


Il existe deux types de Bug Bounties: les Bug Bounties publics et les Bug Bounties privs. Ces derniers ne
sont accessibles qu une liste limite dexperts en scurit appels aussi hunters, slectionns par
lentreprise. Et, contrairement aux Bug Bounties public, les Bug Bounties privs ne sont connus que
de ceux qui y sont invits.
Pour accder un Bug Bounty priv, un hunter aura pralablement montr ses comptences et ses
capacits respecter le primtre Cest une des plus-values offertes par les plates-formes comme
Bounty Factory: proposer une valuation des hunters. chaque fois que ces derniers dtectent une
faille de scurit dans le cadre dun Bounty, ils amliorent leur classement et grimpent dans le hall
of fame des hunters.
Une entreprise peut soit, lancer elle-mme son propre programme de Bug Bounty (comme la fait Google
ou Facebook aux tats-Unis) soit passer par une plate-forme de mise en relation entre des entreprises
et une communaut de hunters.
Bien videmment, lensemble du systme dinformation des entreprises qui ont recours aux Bug Bounties
nest jamais livr en pture dans son intgralit au hackers fussent-ils gentils ! Cest lentreprise qui
dfinit le primtre sur lequel va soprer le Bug Bounty.
Avec ou sans programme de Bug Bounty, tous les systmes en production accessibles au public (site Web,
application mobile) sont mis continuellement lpreuve par des hackers malintentionns ou des Bots
automatisant les attaques. Lorsquune faille est dcouverte, elle est rapidement exploite ou revendue au
march noir. Tout cela sans mme que lentreprise vise nen soit informe.
Avec un programme de Bug Bounty, ce sont exactement les mmes systmes en production qui sont tests par les hunters, la diffrence prs que cette fois, lentreprise est informe des failles ventuelles et
peut alors les corriger rapidement, avant que quelquun de mal intentionn ne les dcouvre et les exploite.
Il est noter que les Bug Bounties ne se limitent pas uniquement aux systmes dinformation traditionnels
des entreprises, mais se dveloppent galement dans dautres domaines, par exemple celui des objets ou
de la voiture connecte.

118

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

LA NUIT DU HACK
Quest-ce que le Hacking?
Cest dabord la passion de la traque des bugs (cause de piratage) des programmes
couramment utiliss, la proposition de solutions adaptes et la prvention de ces dangers
auprs des utilisateurs. Cest enfin la volont de partager linformation avec le grand public
de manire donner les cls quiconque de comprendre, dapprendre et de participer au
dveloppement des nouvelles technologies de scurit.
Autour de confrences, dateliers et de challenges, la Nuit du Hack vise rassembler les
professionnels de la scurit informatique et les hackers de tous niveaux de qualification.
Cette manifestation leur permet de dcouvrir les dernires avances techniques et dvaluer
leurs comptences dans le domaine.
Depuis ldition 2010, la Nuit du Hack accueille des confrenciers et des ateliers anglophones,
amliorant ainsi la qualit et laccessibilit de lvnement.
Objectifs de la Nuit du Hack:
instruire le grand public, en donnant chacun les moyens de comprendre et de matriser
les enjeux et les risques dun style de vie moderne intgrant en son sein les nouvelles
technologies.
Dmystifier les techniques et les secrets des pirates pour donner les moyens dune approche rationnelle et mesure des problmatiques de scurit sur internet, et fournir si
ncessaire les lments, techniques ou non, permettant de se protger.
Participer la protection et la dfense des consommateurs de services internet grce
nos investigations. Celles-ci valuent par exemple le niveau rel de scurit et de
confidentialit offert par ces services.
Diffuser les connaissances techniques les plus pointues, hors du champ restreint de celui
des spcialistes. Nous voulons ainsi favoriser le libre change de linformation, et fournir
un outil utile aux passionns comme aux professionnels de la scurit.
Permettre aux professionnels dchanger entre eux les dernires avances en matire de
scurit informatique.

Le business model des plates-formes de Bug Bounties


Si des initiatives similaires existent depuis un certain temps dj aux tats-Unis, Bounty Factory,
Bug Bounty Zone et Yogosha font figure de prcurseur en Europe. Chacune a ses spcificits : une
politique de recrutement des experts plus ou moins ouverte, un systme de rcompense allant de la rmunration la publication de remerciements, la possibilit de programmer un Bug Bounty sans contrle
Localises sur le sol europen, ces plates-formes ont vu dans la rticence des entreprises europennes et
particulirement franaises confier leurs donnes des socits nord-amricaines (du fait notamment
de lapplication du Patriot Act) une opportunit de dvelopper cette activit en Europe.

Livreblanc - octobre 2016

119

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Ces plates-formes vont devoir uvrer pour sensibiliser le march franais. Il leur faudra vaincre certaines
rticences dores et dj identifies comme la difficult autoriser des experts inconnus rechercher des
failles de scurit ou encore accepter que les vulnrabilits dcouvertes soient hberges sur un serveur
informatique, non matris par le client.
Le business modle des plates-formes de Bug Bounties est assez simple : le prlvement dune
commission sur la rmunration des Bounty, les primes financires que touchent les experts lorsquils
trouvent une faille de scurit. Il est noter que les rcompenses (les Bounties) ne sont pas uniquement
financires. Elles peuvent prendre la forme de goodies de valeurs trs variable. Par exemple, la
compagnie arienne United Airlines propose des miles ariens.
Pour tre rmunres, ces failles doivent rentrer dans le primtre dfini par lentreprise et ne pas tre
en doublon. Or, la gestion des signalements peut rapidement devenir problmatique pour lentreprise.
En effet, elle doit tre en mesure de grer un volume potentiellement important de signalements parmi
lesquels elle doit identifier les doublons et, bien videmment, procder aux corrections des failles qui ont
t dtectes. Le tout, avec un bon niveau de ractivit, pour maintenir des interactions dynamiques avec
les hunters.
Selon Ely de Travieso, le cot dun Bug Bounty pour un site e-commerce approchera sur une fourchette
haute les 5000euros alors quun audit de scurit sera lui factur autour des 10000euros.
Pour aider ses clients grer son programme de Bug Bounty, Bounty Factory a lanc Program Manager.
Ce programme permet grce des partenariats avec les 3acteurs majeurs de la scurit sur le march
franais, dexternaliser totalement la gestion du Bug Bounty, du ddoublonnage la qualification
des failles, en passant par la dfinition du montant attribuer pour chacune dentre elles.
Les quipes de Bounty Factory proposent galement ses clients de les aider dfinir le primtre du Bug
Bounty ; tche qui peut tre relativement complexe, mais qui est essentielle au bon droulement dun
Bug Bounty.
Bounty Factory, qui vient de lancer ses activits, commence convaincre un nombre de plus en plus
important dentreprises de rejoindre sa communaut. Parmi ses clients les plus connus, elle compte OVH,
et Qwant (le moteur de recherche europen).

LE POINT DE VUE DU JURISTE


BUG BOUNTY QUEL CADRE JURIDIQUE?
Les bounty hunters ou chasseurs de primes
agissent dans un cadre juridique contractuel,
sans risque de poursuite judiciaire ds lors
quils respectent les rgles fixes par la plateforme et notamment quils tiennent informer
directement le responsable dsign de lentreprise de la faille tout en conservant la confidentialit (non divulgation au public).
Une fois que les failles sont remontes, lentreprise doit procder rapidement aux corrections
logicielles ncessaires des bugs (patchs). Le
projet de loi pour une Rpublique numrique
120

Livreblanc - octobre 2016

avait initialement introduit un nouvel alina


larticle 323-1du Code pnal: toute personne
qui a tent de commettre ou a commis le dlit
prvu au prsent article est exempte de peine
si elle a immdiatement averti lautorit administrative ou judiciaire ou le responsable du
systme de traitement automatis de donnes
en cause dun risque datteinte aux donnes ou
au fonctionnement du systme. Ce texte visait
notamment encadrer les diffrentes missions
des hunters dans la mesure o ils permettent
damliorer la protection des donnes. Une
autre proposition de texte manant du Snat a
/

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

/
t propose et semble plus adapte.
En effet, assurer la confidentialit et la scurit des donnes est une priorit pour ces Bug
Bounties. Les entreprises souhaitent se mettre
en conformit avec la rglementation actuelle
et viter toute publicit du fait de failles de
scurit.

Par ailleurs, il est recommand aux socits


de contracter des cyber-assurances afin de
scuriser au mieux leurs donnes et ainsi apporter un moyen supplmentaire pour couvrir
les cyber-risques.

Complmentarit des Bug Bounties avec les audits de scurit traditionnels


Le Bug Bounty nest pas la solution miracle toutes les problmatiques de scurit. Les audits ou tests
dintrusion restent indispensables et permettent de valider des jalons en cas de nouvelle release du code.
La plupart des socits (e-commerce compris) ont un workflow de dveloppement trs traditionnel :
dveloppement, tests alpha, correction des bugs, tests beta, correction des bugs, audit de scurit, mise
en production. Laudit de scurit intervient donc avant la mise en production (ou parfois, peu de temps
aprs).
Mais dans le cycle de vie dune application, de nouveaux correctifs sont sans cesse appliqus au fil de leau,
directement sur le site en production, et ne font malheureusement pas lobjet dun nouvel audit. Cest pour
pallier ce manque que le Bug Bounty est intressant.
Le Bug Bounty vient en complment de toutes les mesures de scurit existantes. Il permet de mettre
lpreuve le code en production et de corriger des failles qui ont chapp laudit ou qui ont t
introduites par la suite lors de push de nouveaux correctifs.
Dautres socits travaillent de manire beaucoup plus agile et font sans cesse voluer leur site, sans avoir
recours un systme de releases. Des audits rguliers (par exemple une fois par an) peuvent aussi avoir
lieu mais sans pour autant correspondre des jalons prcis.
Pour les socits qui adoptent ces modes de fonctionnement, le Bug Bounty constitue donc aussi une
bonne solution, afin dobtenir un maximum de retours immdiats sur ce quelles mettent en ligne. Pour ces
socits agiles, le Bug Bounty devient progressivement le systme de scurisation de rfrence et les audits narrivent quen second plan, pour fournir des chiffres et de lassurance aux patrons et investisseurs.
Les Bug Bounties sinsrent donc facilement dans la stratgie de matrise des risques cyber, car ils viennent
complter larsenal dfensif existant.
Pour Korben, les Bug Bounties sont complmentaires aux audits traditionnels, ne serait-ce que pour une
premire raison vidente : avant de soumettre un primtre un Bug Bounty, lentreprise serait fort
avise de lavoir pralablement test, au risque sinon de devoir faire face une avalanche de signalements
de failles, et de voir son budget allou la rtribution de dcouvertes de failles, trs vite puis!
Si un nombre de plus en plus important dentreprises, y compris de trs grandes, se convertissent au
Bug Bounty cest que les bnfices sont vidents. Gnralement, un audit de scurit se droule sur une
courte priode et est ralis par une quipe limite en nombre de personnes. Les moyens mis en uvre
en termes de ressource ou de dure influent directement sur les rsultats de la prestation de scurit.
Or, les modifications de code interviennent en permanence.

Livreblanc - octobre 2016

121

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Les Bug Bounties reposent quant eux sur une dmarche de tests en continu, 24/24, 7/7. Ce sont des
dizaines voire des centaines de testeurs qui participent. Lintrt des Bug Bounties tient galement
la diversit des profils des testeurs ainsi qu la varit des mthodes quils utilisent.
Les Bugs Bounties:
une manire de communiquer positivement sur la cyberscurit?
Le Bug Bounty est aussi un bon moyen de communiquer auprs de ses clients. Pour un e-commerant,
lancer son programme de Bug Bounty, cest montrer publiquement quil est proactif et ractif sur la
scurit des donnes prsentes sur son site. Cela peut contribuer ajouter un degr supplmentaire de
confiance ct client.
a permet aussi de faire quelques bons coups de communication en proposant par exemple des sommes attrayantes ou des lots originaux qui font le succs de la
marque. Par exemple, American Airlines propose des miles
aux chercheurs en scurit qui leur remontent des failles,
ce qui lui a permis dtre dans tous les mdias pendant plusieurs jours. Le programme de Bug Bounty de United Airlines est accessible depuis le site grand public: http://www.
united.com/.
Mais attention, si la personne en charge du Bug Bounty ne
joue pas le jeu en modifiant par exemple son programme
la vole dans le but de ne pas rmunrer les chercheurs en
scurit (hunters) ou en marquant comme doublon des
failles qui ne le sont pas, il prend le risque de se faire mal
voir par la communaut des bug hunters et cela peut rejaillir ngativement sur la marque.
Il convient donc dtre trs carr dans la gestion de son programme et de trouver des ides de rcompenses originales pour crer de lengouement et en faire profiter sa marque.
Pour Ely de Travieso, pilote du projet BugBountyZone, il nest pas exclu que certains e-commerants
franais, une fois rompus lutilisation des Bug Bounties, puissent communiquer la manire dun Twitter
qui a annonc rcemment avoir offert plus dun million de dollars en rcompense pour des failles de
scurit identifies.
Les Bug Bounties:
vers un cadre juridique gagnant-gagnant?
Pour les Ethical Hackers, les Bug Bounties offrent, selon Korben, un cadre juridique qui les scurise. Il leur
permet dentrer en relation avec les entreprises sans sexposer des poursuites. En labsence de ce cadre,
on sait quun certain nombre de failles de scurit, au mieux sont dcouvertes sans tre divulgues,
au pire sont monnayes sur le march noir ou peuvent tre utilises pour dmontrer publiquement la
permabilit dune entreprise aux failles de scurit.
Des chevaliers blancs peuvent aussi jouer le rle dintermdiaire entre les hackers et les deux
entreprises; cest notamment le cas de ZATAZ de son protocole dalerte. Sur son site, ZATAZ revendique
plus de 60000socits (au 30/10/2015), prives et publiques, associations aides grce au signalement
dune faille, dune vulnrabilit, dune fuite de donnes, dun piratage via le protocole dalerte.

122

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Qui sont les Ethical Hackers:


vers une professionnalisation de la discipline?
Pour Korben, qui les connat bien, les Ethical Hackers seraient avant tout des passionns. Avec lesprit
dmulation, la dimension ludique de leur activit est souvent prdominante. Cest la raison pour laquelle
les plates-formes de Bug Bounty jouent avec cet esprit ludique en proposant des concours. Pour bon
nombre de hackers, recevoir des cadeaux en samusant, cest la cerise sur le gteau!
Certains Bug Bounties peuvent tre trs rmunrateurs; parfois jusqu 15000 pour la dcouverte de
failles critiques. Aux tats-Unis, la rcompense moyenne par faille dcouverte avoisine les 300$. Si aux
tats-Unis certains hunters peuvent vivre de leur activit, ce nest pas encore le cas en France. Mme si
Korben prcise que parmi le gratin des hackers mondiaux, on trouve quelques Franais.
En France, les chercheurs de faille sont souvent des indpendants ou des entreprises spcialises dans
la scurit informatique, qui utilisent le temps hors mission de leur personnel ce type dactivit.

3.6 LANALYSE DE RISQUE

Par Florian Nivette, consultant & formateur, Sysdream

SYSDREAM
Sysdream est une socit daudit, de formation en scurit informatique et spcialiste du cyber-entranement. Fonde par deux consultants passionns de scurit informatique, Sysdream est ne afin de
satisfaire la demande croissante en matire de comptences et daudit (tests dintrusion) du point de vue
de lattaquant (Scurit offensive ou Ethical Hacking), formule par les entreprises ayant un besoin lev
en scurit. Depuis 2004, Sysdream sest entoure de collaborateurs trs qualifis dans ce domaine grce
la communaut de hackers (White Hat) initie par un de ses fondateurs. Tous participent activement aux
efforts de recherche publique (publication dalertes de scurit et darticles techniques), de veille
technologique et de dveloppement doutils innovants.
Aprs trois annes au ministre de la Dfense en tant quingnieur en recherche et
dveloppement, Florian Nivette rejoint lquipe dauditeurs en scurit de Sysdream.
Les missions sur lesquelles il intervient peuvent aller du test dintrusion laudit de
configuration. Florian dispense galement des formations sur les techniques dattaques,
mais galement sur les mthodes de protection des systmes dinformation.

Lanalyse de risque, de quoi sagit-il?


Lanalyse de risque est un procd ayant pour but de recenser lensemble des menaces pouvant toucher
un systme, tout en mesurant leurs impacts et leurs probabilits de ralisation.
Ces menaces peuvent provenir de sources diffrentes, comme des catastrophes naturelles, des dtriorations volontaires ou accidentelles, ou encore des attaques cibles. Elles peuvent tre causes par des
personnes internes lentreprise, des partenaires ou des personnes extrieures.
Lanalyse de risque doit permettre danticiper les risques potentiels qui psent sur un systme dinformation. Elle se destine principalement aux quipes dirigeantes commanditaires, qui dcideront de la stratgie
adopter face aux risques identifis.
Il nest pas forcment ncessaire de passer par des socits extrieures pour raliser ces audits.
La conduite danalyse de risque en interne est mme une bonne pratique organisationnelle suivre de
manire cyclique.

Livreblanc - octobre 2016

123

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Cependant, ponctuellement, il est recommand de faire appel un intervenant extrieur. Son exprience
et sa vision de ltat de lart feront quil sera plus mme de reprer certains risques. Lexprience de
diffrents types de mission nest pas ngligeable et ajoute une vritable plus-value. Dautre part, une vision
extrieure, confronte avec les pratiques internes, est toujours enrichissante.
Normes et mthodologies
De nombreuses normes et mthodologies entourent lanalyse de risques. Plusieurs pays disposent
de leurs propres standards, sachant que lONU a uniformis les grands principes autour de la norme
ISO27005.
Celle-ci, dans le cadre de la certification ISO 27001, tablit les grands principes de la gestion de risques et
propose une mthodologie simplifie, sous forme dune analyse qualitative.
Lanalyse qualitative tend produire une valuation de risques subjective, sous forme de verbes: risque
critique, lev, modr ou faible. Une telle approche vise lefficacit, car elle est relativement simple et
pragmatique dutilisation. Elle sintgre ainsi facilement toutes sortes denvironnements.
La norme ISO 27005promeut galement le principe damlioration continue, connu sous lacronyme PDCA
(Plan, Do, Check, Act). Il faut donc voir lanalyse de risques non pas comme une analyse unitaire et ponctuelle, mais comme un processus rgulier, effectuer par exemple tous les ans.
Lide est damliorer de manire itrative la fois la scurit du systme analys (volution de la menace,
dcouverte de nouvelles faiblesses, ajout de composants), mais aussi lanalyse de risques elle-mme!
En effet, lanalyse de risques est un processus non exhaustif et toujours perfectible. Son affinage avec
le temps et lapprentissage de ses propres erreurs dapprciation, font partie du processus.
En support de cette norme, nous pouvons nous appuyer en France sur deux mthodologies reconnues:
EBIOS (Expression des Besoins et Identification des Objectifs de Scurit), issue de lANSSI, et Mehari
(Mthode harmonise danalyse des risques), issue du CLUSIF.
Ces mthodologies suivent les principes de la norme ISO, et peuvent donc tre considres comme
compatibles.
Le choix de lune ou lautre mthode dpasse le cadre de cet article. Il sagit de toute manire dune
question daffinits.
LEBIOS est particulirement utilise dans le secteur public et ladministration. Avec un socle documentaire
complet, elle propose une analyse purement qualitative.
Mehari, pour sa part, permet galement de raliser une analyse quantitative.
Lanalyse quantitative offre la possibilit, par exemple, dvaluer le niveau de risques par un chiffre,
cest--dire un cot. Cest une mtrique particulirement prcise, concrte et efficace pour les dirigeants,
puisquil sagit du critre essentiel pour une entreprise.
Nanmoins, mettre en uvre une approche quantitative est complexe. Dabord, il est ncessaire davoir
une grande maturit et une grande matrise de ses actifs, afin de pouvoir tous les chiffrer. Le temps
de calcul et les validations ncessaires allongeront galement la dure de laudit.
Ensuite, certains facteurs seront toujours dlicats estimer. Comment, par exemple, estimer le cot dune
atteinte limage dune socit?

124

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Pourquoi raliser une analyse de risques


Une analyse de risques est un processus trs structurant. Il permet, au travers dun cadre rigoureux et de
manire pose, de faire un tat des lieux de son niveau de maturit en scurit et de planifier des axes
damlioration avec des priorits claires.
La seule tape de linventaire, pourtant a priori triviale, rserve souvent son lot de surprises et permet de
dgager et damliorer la visibilit sur son systme.
Lanalyse permet galement de fdrer de nombreux acteurs, peut-tre initialement peu sensibiliss la
scurit. Le procd permet de mettre tout le monde autour dune table, de responsabiliser chacun et
de mener ensemble des axes de rflexion et des autocritiques.
Ces seuls avantages devraient persuader toute entreprise raliser une analyse de risques de son entit
et des projets critiques au moins une fois par an.
Par ailleurs, certaines certifications (ISO 27001) ou certains standards (PCI-DSS, point 12.2) imposent
clairement la conduite dune analyse de risques.
Droulement dune analyse
Qui est concern?
Lensemble des personnes concernes par cet audit sont, bien videmment, les personnes en charge
du projet, les quipes techniques ainsi que tous les acteurs ayant un lien direct ou indirect avec linfrastructure audite et capable de renseigner lauditeur.
Les prrequis
Certains prrequis sont ncessaires au bon droulement des missions danalyse de risques.
Une documentation claire et complte sur le projet doit tre disponible : dtails de larchitecture, de
linfrastructure, prcdents rapports daudit, diagrammes de flux, spcifications techniques
Cette documentation est essentielle pour permettre lauditeur de simprgner du sujet et de rpondre
au mieux aux attentes de cet audit.
De plus, les personnes ayant un rapport direct ou indirect avec le projet doivent tre disponibles pour
rpondre aux questions de lauditeur. Des interviews sont systmatiquement ralises pour comprendre
le mtier, le contexte et comprendre les contraintes existantes.
Le droul
Lanalyste devant effectuer une analyse de risques suit les tapes suivantes, en collaboration avec les
diffrents acteurs du projet:
prise dinformation: besoins de scurit, contraintes (rglementaires, lgales ou internes), primtre
de ltude
tablissement de la matrice de responsabilit, cest--dire qui fait quoi dans le cadre de lanalyse de risque.
Inventaire des actifs et de leur valeur ou de leur criticit.
Identification des sources de menaces, dans le contexte tudi.
Identification des menaces proprement parler.
Inventaire des mesures de protection et valuation de leur efficacit.
Calcul du risque initial.
Propositions de mesures de scurit supplmentaires.
Calcul du risque rsiduel, en fonction des diffrentes postures dfensives adopter.

Livreblanc - octobre 2016

125

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Le temps pris par une analyse de risques peut varier en fonction de la complexit du projet auditer. Cette
dure peut varier entre une semaine et plusieurs semaines. Tout dpend bien sr de la taille du projet:
nombre dintervenants, technologies employes, complexit de larchitecture
Pour raliser une analyse de risques sur un systme, un projet ou encore une infrastructure complte,
il est donc ncessaire davoir un accs complet toutes les informations et documentations pouvant
renseigner au mieux les personnes ralisant cet audit. Ils doivent prendre en compte chaque lment,
mme si celui-ci semble peu important.
Chaque analyse commencera par une dfinition du contexte du projet. Par cette dfinition, il est important
de comprendre exactement son fonctionnement, les points cls, les points dentres et de sorties et
les mcanismes liant chaque lment entre eux.
Ensuite, la connaissance de ltat de lart et lexprience permettent de mettre en vidence les
vulnrabilits et les facteurs de menaces, partir desquels nous pouvons chafauder des scnarios
de menaces.
Chaque menace est ensuite caractrise par son niveau de vraisemblance (niveau dexposition public,
nombre dutilisateurs, degr de vulnrabilit, attrait) et son niveau dimpact (valeur des actifs affects).
Limpact nest pas seulement calcul en fonction de limpact technique, mais aussi des dommages quune
attaque pourrait porter sur limage de marque de la socit ou du produit. Lexemple le plus parlant est
celui des fuites didentifiants de connexion, causant du tort aux victimes, utilisateurs ou propritaires du
produit cibl.
Le risque de chaque menace est la rsultante du croisement entre son niveau de vraisemblance et son
niveau dimpact. Nous utilisons en gnral une matrice de correspondance pour le calculer.
Le risque initial permet davoir un premier tat des lieux de son niveau de risque. Nous pouvons ventuellement, si ce risque est considr comme inacceptable (au regard dun seuil dfini lors de ltablissement
du contexte), proposer des mesures de scurit supplmentaires.
Leur efficacit aprs application sera mesure au travers du risque rsiduel, qui doit logiquement tre
rduit (effet sur la probabilit ou limpact).
Livrable et dcision
Chaque analyse doit donner lieu un rapport reprenant tous les points de risque identifis. Il doit tre
destination des dcideurs ainsi que des quipes technique. Pour tre comprhensible par un maximum
de personnes, il faut que ce document soit crit sans aller prcisment dans les dtails techniques qui
peuvent, si ncessaire, tre adjoints en annexe.
Au terme de ltude, il est tout fait envisageable que le risque ne soit pas trait, mme avec des mesures
de scurit additionnelles.
Le rapport dune analyse de risques na pas la force dune conclusion.
Il sagit dun simple outil dcisionnel pour les dirigeants, qui doivent alors dcider que faire du risque
associ un projet. En clair, sur la base du rapport, les dcisions suivantes peuvent tre prises:
acceptation du risque: la socit estime que lactivit doit tre maintenue malgr le risque, et sans
investissement supplmentaire.
vitement du risque: cela peut se traduire par labandon du projet ou dune composante.
Rduction du risque : mise en uvre des mesures de protection recommandes pour atteindre
un niveau de risque acceptable.

126

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Transfert du risque : on dlgue le risque un tiers, par exemple un prestataire pour la gestion
du paiement.
Communication du risque : les utilisateurs sont informs de la menace et utilisent le service
en connaissance de cause.


Lanalyse de risques, et aprs
Lanalyse de risques est un processus organisationnel et fonctionnel, avec les avantages que nous avons vus.
Sa limite rside dans labsence de tests techniques. Pour cette raison, complter une analyse de risques
par un ou plusieurs audits techniques constitue une vritable plus-value.
Ces deux missions se compltent parfaitement. Lanalyse de risques est proche de lactivit, large de par
son primtre et structurante sur le long terme.

Le test technique prouve en situation relle lefficacit des mesures de scurit en place. Prenant
la forme dun test dintrusion, dun audit de configuration ou darchitecture, il vient enrichir la base de
connaissances, confirmer ou infirmer certains points de vue de lanalyse de risques. Ainsi, il contribue
laffinage de celle-ci lors de sa prochaine itration.

3.7 LE TEST DINTRUSION

Par Anthony Baube, security consultant, Sysdream

Le test dintrusion ou Pentest (Penetration Testing) est une simulation dattaques informatiques par des
professionnels de la scurit.
Ces tests sont raliss la fois manuellement et avec des outils automatiss.
Anthony possde une licence professionnelle CDAISI (Cyber Dfense, Anti-Intrusion
des Systmes dInformation).
Il effectue des audits de scurit et tests dintrusion pour de grands comptes industriels,
bancaires et ministriels. Il dispense par ailleurs des formations permettant de sensibiliser
le personnel dentreprises aux menaces informatiques, mais aussi dautres formations plus
techniques permettant dacqurir les connaissances ncessaires la ralisation de tests dintrusion
ou encore la mise en place de moyens techniques pour se protger.

Les objectifs du test dintrusion


Ils sont multiples.
Tout dabord, il est question de simuler des attaques informatiques que pourraient mettre en place de
rels attaquants. Ces tests permettent de se rendre compte du risque quencourent les socits face aux
menaces informatiques actuelles (vol de donnes, dni de service, atteinte limage et la rputation).
Note: une des approches pour mesurer le risque (OWASP Risk Rating Methodology), trs utilise en test
dintrusion, prend en compte la probabilit dune attaque potentielle et limpact de cette intrusion. Par
exemple, plus une vulnrabilit est facile dcouvrir ou exploiter plus le risque est lev. Et, moins
la cible contient de donnes sensibles plus le risque est faible.
Ces tests permettent de vrifier si la socit applique les bonnes pratiques usuelles de scurit.

Livreblanc - octobre 2016

127

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Par exemple, si le prestataire peut compromettre le rseau interne depuis le rseau externe alors, un
attaquant le pourra aussi. Potentiellement, ce dernier ira mme plus loin, car, contrairement lauditeur,
il na aucune contrainte de temps.
Le test dintrusion a aussi pour vocation de sensibiliser les personnes face aux attaques. En effet, bien
souvent, on ne se rend pas compte de limpact rel que peut avoir, par exemple, labsence de mises jour
sur un parc informatique, tant quun test dintrusion na pas t effectu ou quune attaque relle ne sest
produite.
Cette prestation permet aux dcideurs de mesurer concrtement les consquences dune attaque, en lui
apportant des rponses aux interrogations suivantes:
un attaquant pourrait-il facilement accder aux informations sensibles de ma socit ou de mes
employs?
Pourrait-il perturber la production?
Pourrait-il porter prjudice aux utilisateurs de mes services?
Les quipes techniques sont-elles suffisamment ractives?
Les attaques sont-elles correctement dtectes et journalises?
La scurit de mon SI est-elle correcte ou non?
Le risque est-il acceptable?
Une intrusion frauduleuse sur le systme dinformation dune socit peut coter plusieurs dizaines, voire
plusieurs centaines de milliers deuros. Un audit cote quelques milliers deuros. Dans ces conditions,
le choix peut tre rapidement fait.
Mthodologies
Certains standards existent en ce qui concerne la mthodologie suivre lors dun test dintrusion. Parmi
les plus connus, nous retrouvons lOWASP et lOSSTMM.
Les mthodologies reconnues
LOWASP (The Open Web Application Security Project): cette mthodologie Open Source incontournable
de la scurit Web prsente un guide qui recense, classe et dcrit les vulnrabilits techniques, les moyens
de dfense et de test. En plus de ses nombreux guides, lOWASP propose galement une mthode
danalyse de risque (OWASP Risk Rating Methodology).
LOSSTMM (The Open Source Security Testing Methodology Manual): il sagit galement dune mthodologie Open Source, mise au point par lISECOM sur la base de la plupart des standards du secteur.
LOSSTMM sest rcemment impose comme lune des rfrences pour les tests dintrusion, tant
pour lapproche technique que pour lanalyse du risque. Outre une mthode dtaille, complte, mais
pragmatique et abordable, lOSSTMM propose une base commune de vocabulaire et doutils mthodologiques facilitant la spcification et le droulement des prestations.
Conscutivement la dcision de mener un pentest sur son SI ou sur une de ses applications, il reste
faire un choix sur lapproche choisir.
En effet, plusieurs approches sont envisageables lors dun test dintrusion.
Lapproche Bote Noire
Elle consiste raliser les tests dun point de vue totalement externe. Autrement dit, lauditeur se met
la place dun attaquant ne disposant daucune information sur les technologies utilises par la socit
et sans accs particulier.

128

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Cette approche vise vrifier la capacit, pour un attaquant externe et probablement opportuniste,
porter prjudice la socit.
Lapproche Bote Grise
Cette approche sert vrifier ce que pourrait faire une personne ayant dj des accs sur certains services
ou systmes.
Le profil dattaquant simul est typiquement une personne interne avec certains accs (stagiaire,
prestataire).
Lapproche Bote Blanche
Cette approche, quant elle, a pour but de vrifier la mise en place des bonnes pratiques de scurit.
Le prestataire audite plus exhaustivement lapplication, y compris du point de vue interne, avec tous les
accs et la documentation disponibles.
Ensuite, en fonction du point de vue de lattaquant, externe ou depuis le rseau interne, le but recherch
nest pas le mme.
Lors dun audit externe, lauditeur recherche principalement mettre en vidence le risque dintrusion
depuis internet et la fuite dinformation.
Lors dun audit interne, il souhaite davantage vrifier le cloisonnement des droits, des services et la
possibilit dlever ses privilges au sein du SI.
De plus, un autre lment entre en jeu lors dun test dintrusion. En effet, avant laudit, lauditeur dtermine
avec le commanditaire si les quipes techniques doivent tre prvenues des tests ou non.
Ne pas les avertir est plus raliste et permet de tester leur ractivit.
Dans ce cas, seules quelques personnes, dont le commanditaire, seront au courant de laudit.
Il est donc important de dfinir ce que lon souhaite tester avant de choisir une prestation plutt quune autre.
Les phases dun test dintrusion
Gnralement, les tests sont dcoups en plusieurs phases:
la prise dinformations;
la recherche de vulnrabilits;
lexploitation;
llvation de privilges;
le nettoyage des traces.
La prise dinformations
Le primtre audit fait lobjet dune exploration minutieuse la recherche dinformations: techniques
dune part, pour faciliter la dcouverte de vulnrabilits, mtiers dautre part, pour faciliter par exemple
des attaques par ingnierie sociale.
Lauditeur met en place deux types de prise dinformations: passive et active.
La prise dinformations passive, sans interaction directe avec la cible audite, passe principalement par la
recherche dinformations sur les outils publics (moteurs de recherche, bases WHOIS, annuaires).
Elle a pour but de vrifier la fuite dinformations sur internet pouvant profiter un ventuel attaquant.

Livreblanc - octobre 2016

129

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Certaines informations prsentes sur internet peuvent constituer une menace directe (extrait de base de
donnes rfrence sur Google) ou indirecte pour une socit (authentification accessible depuis la toile
un portail dadministration).
La prise dinformations active, quant elle, consiste interroger directement la cible pour en obtenir des
informations.
Lors de cette tape, lauditeur va scanner la cible afin de prendre connaissance des services quelle utilise,
des technologies prsentes ainsi que des versions associes afin didentifier plus facilement dventuelles
failles de scurit.
Une prise dinformations dite passive se veut plus discrte, mais elle sera en gnral moins dtaille
et moins approfondie.
linverse, une prise dinformations active a pour but de rcolter un maximum dinformations, mais
sera bruyante.
Lors dun test dintrusion, les deux types de reconnaissances sont utiliss afin de balayer au mieux
lensemble du primtre.
La recherche de vulnrabilits
Une fois la premire phase termine, cest--dire lorsque lauditeur estime quil dispose dassez dlments
pour continuer, ce dernier va sefforcer didentifier des failles de scurit.
La phase prcdente joue donc un rle crucial ici. Plus lon dispose dinformations sur les services utiliss,
leurs versions, leurs configurations plus il sera ais den identifier les faiblesses.
Pour identifier des vulnrabilits, lauditeur peut procder de deux manires diffrentes.
La premire consiste prendre connaissance de lexistant. En effet, sil existe dj des failles connues sur
un produit faisant partie du primtre alors, il sera gnralement plus simple et plus rapide den tirer profit.
Pour vrifier cette information, il existe de nombreuses bases de donnes en ligne telles que:
w
 ww.exploit-db.com

www.securityfocus.com

www.cvedetails.com

w
 ww.cert.ssi.gouv.fr

https://nvd.nist.gov

et bien dautres

Si aucune vulnrabilit publique nest identifie alors lauditeur va sefforcer de trouver lui-mme une faille
et de lexploiter.
Il est toutefois important de noter que toutes les failles rendues publiques nont pas forcment une preuve
dexploitation associe.
Dans ce cas, lexploitation nest pas toujours aise.
Lexploitation
Aprs avoir identifi une ou plusieurs vulnrabilits, il est ensuite question de tester la porte de celles-ci.
Cest--dire, de tester limpact rel de ces failles pour la socit.
Lauditeur va donc chercher les exploiter autant que possible, afin de dmontrer la dangerosit de ces
faiblesses.
Il est galement important de noter que le travail de lauditeur ne consiste pas uniquement prendre
le contrle de machines ou de services.

130

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Son travail consiste surtout, dans le temps qui lui est imparti, faire un tour dhorizon des ventuelles
failles prsentes sur le primtre et den valuer le risque associ.
Llvation de privilges
Une suite logique de la phase dexploitation est llvation de privilges. Le but est tout simplement de
vrifier jusquo il est possible daller dans la compromission du systme.
Dit plus simplement: peut-on prendre le contrle intgral du systme ou du rseau de lentreprise?
Cette partie est donc fortement lie la phase dexploitation.
Par exemple, lors de la compromission via un utilisateur ayant des droits restreints, nous allons tenter
dobtenir les droits de ladministrateur.
Si tel est le cas, le risque sur ce serveur est dautant plus important.
Cette phase est davantage mise en avant lors des tests dintrusions internes.
Lauditeur va tester, depuis un accs employ, sil lui est possible dobtenir les droits dadministrateur
du domaine.
Le nettoyage des traces
Lors dune attaque informatique, lattaquant sefforcera gnralement de supprimer ses traces, afin que
lon ne puisse pas facilement le reprer et lidentifier.
Dans une situation de test dintrusion, cela est quelque peu diffrent. En effet, lauditeur ne va pas
chercher effacer ses traces. Au contraire, il va chercher dmontrer ses diffrentes exploitations.
Nanmoins, il aura pour tche de supprimer dventuels fichiers dposs sur les serveurs durant laudit,
et de sassurer que les diffrents lments du primtre sont exactement dans le mme tat quavant
ses tests.
Les prcautions usuelles prendre avec la mise en uvre de tests dintrusion
Lorsque des tests intrusifs sont raliss, il est bon de prendre quelques prcautions afin dviter au
maximum les effets de bord.
Lauditeur doit minimiser les tests dangereux, notamment les tests pouvant mener un dni de service.
Les services doivent rester joignables et intgres autant que possible.
Lorsque le systme de production est jug trop sensible pour risquer le moindre dni de service, il est
prfrable deffectuer les tests en priodes creuses comme la nuit ou encore le week-end.
La personne en charge des tests techniques doit imprativement tre en troite collaboration avec
un responsable oprationnel tout au long de la prestation. Il est essentiel de pouvoir ragir vite en cas
de problme.
Lauditeur doit galement respecter des rgles dthique et de dontologie. Son travail consiste remonter un maximum de problmes de scurit sur le primtre, tout en tenant compte des contraintes
de production de son client.
Les procdures mises en place sont normes et reproductibles.

Livreblanc - octobre 2016

131

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Les limites du test dintrusion


Le test dintrusion rentre dans un cadre lgal et professionnel. Il est rgi par un contrat sign entre les
deux parties. De ce fait, il est galement limit dans le temps.
La socit mandate pour raliser la prestation ne peut donc pas garantir lexhaustivit des tests. Elle fait
la fois face une contrainte de temps, mais peut aussi tre confronte des contraintes techniques.
De plus, le rsultat dun test dintrusion est valable un instant T. En effet, linfrastructure et les menaces
voluent en permanence. Cest pourquoi il est ncessaire de faire des tests rgulirement. En moyenne,
il est recommand de faire au minium un test par an et par primtre.
ce propos, il convient de noter que le standard PCI-DSS (section 11.3) impose la tenue dun test dintrusion externe et dun test interne un rythme annuel et aprs chaque changement significatif sur lenvironnement (architecture, configuration, mise jour importante).
Tests dintrusion: thique, responsabilit et rglementation
Lauditeur doit prserver la disponibilit et lintgrit des donnes du client. Il doit galement respecter
les contraintes lgales et avoir une approche thique.
Aucun test ne doit tre fait avant quun mandat ne soit sign par toutes les parties.
Le primtre dfini par le client ne doit pas tre dpass.
Le mandat doit contenir une dcharge de responsabilit concernant les articles de lois et les risques
potentiels lis laudit.
La socit mandate doit galement disposer dun contrat dassurance.
Le mandat doit comporter les lments suivants:
identification des parties (auditeur et mandataire) et signatures;
description prcise du primtre: cible, mthodologie, dates, horaires, tests
Prciser les lments supplmentaires: rsultats attendus, livrables, CV des auditeurs
Rappel des obligations lgales, du respect de la confidentialit et dcharge de responsabilit.
Le rapport final du test dintrusion
Le rapport final de laudit permet une prsentation dtaille des rsultats des tests.
Il prsente chaque vulnrabilit identifie avec le risque associ.
De plus, lexploitation de ces vulnrabilits est dtaille de manire tre reproductible par les quipes
internes (pour test), mais aussi afin den comprendre limpact rel.
Toutes les vulnrabilits prsentes sont accompagnes dune ou plusieurs propositions de correction.
Une estimation du temps de correction est galement fournie dans le rapport.
Gnralement, dans un rapport de test dintrusion nous trouvons, a minima, les parties suivantes:
rappel des objectifs de laudit et du primtre;
synthse gnrale ( destination des dcideurs);
prsentation technique et dtaille des vulnrabilits ainsi que les correctifs associs;
synthse des vulnrabilits;

132

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

synthse des correctifs;


valuation du risque global sur le primtre audit;
plan dactions.
Ce rapport sadresse donc aussi bien aux dcideurs, avec la synthse gnrale qui met laccent sur le
risque estim li au primtre audit, quaux personnes techniques, avec une prsentation dtaille des
vulnrabilits et les correctifs apporter.
Conclusion
Le temps o les tests dintrusion taient encore considrs comme de la bidouille ou du hacking est bel
et bien rvolu. Les tests dintrusions sont des audits trs rigoureux et exigeants, qui suivent une dmarche
prcise et requirent une thique irrprochable.
Que ce soit grce la rglementation ou par la volont propre de suivre ltat de lart, le test dintrusion est
devenu un audit de routine parfaitement intgr dans le cycle de vie dun systme dinformation et conduit
de manire rgulire. Avec les analyses de risques et les audits inforensiques, ils font dornavant partie
intgrante de larsenal du DSI ou du RSSI.

3.8 LANALYSE INFORENSIQUE

Par Jean-Christphe Baptiste, consultant senior, Sysdream

Jean-ChristopheBaptiste a dbut son parcours professionnel comme architecte


rseau, avant de se spcialiser dans la scurit.
Aprs une exprience comme responsable de la scurit dun systme dinformation
industriel pour un grand groupe, il a rejoint le cabinet Sysdream. En tant que consultant
senior, il ralise des tests dintrusion, des audits inforensiques, des analyses de risques et
des audits darchitecture. Il est galement formateur sur ces diffrents domaines. Plus quun mtier,
la cyberscurit est pour lui une vritable passion!

En quoi consiste lanalyse inforensique?


Lanalyse inforensique, aussi dite post-mortem, dfinit lensemble des mthodes de rtrospection faisant
suite un incident de scurit.
En clair, ce domaine couvre les mthodes et techniques lgales dinvestigation numrique.
Lobjectif primaire semble vident, et cest en tous cas ainsi quil est gnralement compris: identifier la
source dune menace pour la neutraliser, voire engager des poursuites.
Cela ne doit pas faire perdre de vue un objectif encore plus important, qui sera lui seul le dterminant
du succs de lanalyse: identifier sa vulnrabilit pour la corriger.
En fait, il sagit bien du vritable objectif primaire. Une cible nayant pu identifier sa vulnrabilit et pris
les mesures de scurit adquates est condamne revivre le scnario de menace, plus ou moins
court terme.
titre de comparaison, lidentification de la menace peut sembler secondaire. Fort heureusement, car elle
peut savrer longue et fastidieuse, lorsquelle nest tout simplement pas possible si nous nous retrouvons
face un attaquant comptent.

Livreblanc - octobre 2016

133

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Identifier une menace, un vrai dfi


Raliser une analyse pour amliorer son niveau de scurit ncessite davoir dtect la menace.
Il sagit en thorie dune vidence, qui constitue pourtant le premier et principal cueil.
Un systme dinformation est, de nos jours, extrmement expos par nature. Il hberge de nombreux
actifs htrognes (matriels, systmes dexploitation, applications), est accd par de nombreux utilisateurs, souvent en mobilit, et traite de gros volumes dinformations.
Dtecter une menace peut rapidement revenir trouver une aiguille dans une botte de foin.
De plus, la gnralisation du chiffrement de bout en bout (HTTPS) et lutilisation de services Web
encapsulant tout type de donnes (encapsulation dans HTTP(s)) tend rduire fortement lefficacit
historique des lments de dfense primtrique, comme les pare-feux, les sondes de dtection
dintrusion (IDS)
Rpondre ces dfis ncessite dadopter une posture dfensive moderne, avec des moyens humains et
techniques appropris.
Dabord, il est ncessaire davoir une supervision complte de son systme dinformation. Tous les indicateurs et les vnements doivent tre rcolts en permanence, de tous les actifs (systmes, applications,
quipements rseau), puis tris.
Ceci ne peut pas se faire sans une ou quelques personnes spcialises la surveillance des systmes.
Dans lidal, si lon dispose de ressources suffisantes, il est envisageable de crer une petite organisation
selon le modle dun CERT ou dun CSIRT.
Le traitement de la masse de donnes gnre au sein dun systme dinformation rend lautomatisation
des tches indispensable, par un outil tel quun SIEM (Security Information and Event Management
System).
Un tel outil va permettre de trier les vnements, rduire le taux de faux positifs, agrger les alertes, voire
de dtecter certains scnarii de menace partir de divers vnements de scurit.
quel moment lancer une analyse inforensique?
Un incident de scurit peut prendre des formes trs diverses: connexion rseau non conforme, fuite de
donnes, altration dun systme, alerte en provenance dune solution de scurit, conflits humains
Ainsi, lanalyste inforensique peut aussi bien intervenir suite lintrusion dun site internet, la contamination dun rseau par un ver, la rupture de contrat par un prestataire ou encore la violation de la charte
informatique par un employ.
Lanalyse peut mme tablir, son terme, quun incident de scurit nen est finalement pas un. Auquel
cas, les conclusions de lanalyse tabliront quil sagit dun faux-positif, qui devra tre trait comme tel
ultrieurement.
Ds lors quune menace srieuse est dtecte, une analyse inforensique doit tre commence. La dcision
peut tre purement subjective (doute raisonnable sur la nature dun incident), soutenue par une dmarche
danalyse de risques ou encore motive par une valuation objective (base de menaces connues).
Par ailleurs, il peut exister une pression rglementaire pour raliser une analyse inforensique. Cest le cas
notamment pour les hbergeurs conformes au standard PCI-DSS, qui se doivent de raliser une expertise
en cas dintrusion. Le standard autorise galement les fabricants de cartes mandater des experts en
inforensique, en cas dintrusion constate chez un marchand certifi ou un acqureur.

134

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Qui doit raliser lanalyse inforensique?


Il sagit dun point essentiel: lanalyse doit tre exclusivement mene par du personnel qualifi.
Lanalyse doit suivre une dmarche oprationnelle trs rigoureuse: son succs en dpend directement.
En effet, les preuves numriques, collectes puis analyses, sont par nature des donnes fragiles
(effacement ou altration accidentelle) et volatiles (mmoire vive, journaux).
Or, lanalyse inforensique doit tre indiscutable, base sur des faits vrifiables et reproductibles. De plus,
les conclusions dun rapport inforensique peuvent tre utilises dans un cadre juridique. Il est donc
essentiel que lintgrit et la confidentialit des donnes soient toujours assures tout au long de linvestigation pour que la demande daction en justice soit recevable.
Ainsi, seule une personne forme et exprimente sur ltat de lart et les procdures reconnues peut tre
mme dtre efficace, ne serait-ce quafin dviter la perte ou laltration dfinitive des preuves.
Lanalyse peut donc trs bien, si lon dispose des moyens, tre ralise en interne, par une personne
qualifie. Normalement, les quipes CERT ou CSIRT disposent des ressources pour raliser ce genre
dintervention. Dans ce cas, il peut nanmoins tre dcid faire appel un tiers (prestataire), si lon
souhaite un avis externe ou neutre, notamment par rapport dventuelles poursuites en justice.
Dans la plupart des autres cas, la dmarche doit faire lobjet dune prestation par un spcialiste. Il faut bien
noter que cela ncessite des comptences particulires, qui ne sont pas forcment du ressort dun consultant en scurit. Lintervenant doit avoir suivi des formations, disposer de certifications (CHFI, SANS), ainsi
que du matriel adquat (quipement et logiciels ddis).
Quelle mthodologie mettre en uvre pour lanalyse inforensique?
Le premier objectif de lanalyste consiste identifier et valuer lampleur dune menace. Suite cette
dmarche, il prconise ventuellement des mesures durgence afin den limiter la propagation.
Ensuite, il sattache comprendre la menace : scnario dapparition, impacts exacts, source Enfin,
lanalyse permet gnralement didentifier la vulnrabilit exploite, et de guider le client vers la meilleure
correction.
La mthodologie que doit suivre lanalyste est calque sur les standards du domaine de linvestigation
numrique lgale. Que son travail soit utilis ou non dans le cadre dune expertise juridique, le suivi de ce
processus est indispensable, car il garantit un travail scientifiquement solide, conforme et reproductible:
planification et prparation de lintervention;
identification de la menace;
collecte des preuves numriques;
prservation des preuves;
analyse inforensique;
rdaction du rapport et prsentation des conclusions.
Il faut bien noter que ces tapes peuvent tre rptes sous forme de plusieurs cycles au cours dune
mission, en fonction des avances de linvestigation.
Par exemple, en cours dintervention, la menace peut voluer ou de nouveaux lments peuvent tre
trouvs, comme une porte drobe jusque-l invisible (rootkit), ou un changement opratoire de
lattaquant.
Dans ce cas, un nouveau cycle dmarre, avec de nouvelles acquisitions de preuves.

Livreblanc - octobre 2016

135

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Prparation
La prise dinformation, effectue au travers dune runion de lancement avec le mandataire et, ventuellement, les quipes techniques susceptibles dapporter leur assistance, est une tape essentielle.
Lanalyse inforensique est dlicate en raison de la nature volatile et fragile de la preuve numrique.
Avant toute intervention technique, il faut ainsi avoir une connaissance trs prcise de la cible de lanalyse.
Cette connaissance permet dadapter notre dmarche dinvestigation aux besoins et aux contraintes.
Il sagit aussi de prparer un matriel adquat (quipements et logiciels).
En effet, disposer dun bon outillage est indispensable. Par exemple, pour raliser lacquisition dun disque
dur au format IDE, il faut disposer de la connectique ncessaire (cble, adaptateur) et bien sr de lespace
disponible suffisant sur le poste ou le disque dacquisition.
Des lments spcifiques au domaine inforensique sont aussi utiles. Voici quelques exemples:
un bloqueur daccs en criture, pour accder aux disques tudis sans courir le risque daltrer
le support;
des suites logicielles danalyse et de rcupration de donnes, pour analyser les disques la
recherche de traces anciennes (FTK, Encase, Autopsy);
un espace de stockage important, type NAS;
sachets antistatiques, mousse antichoc et tiquettes pour assurer le transport du matriel lectronique saisi;
tournevis, adaptateurs et outils techniques en tout genre
Il nest pas concevable de se prsenter sur le lieu dintervention, o il faut parfois agir trs vite et sous une
certaine pression, sans savoir ce que lon doit faire ou sans le matriel ncessaire.
Identification de la menace
Avant dintervenir directement sur lincident lui-mme, lanalyste value la situation et les diffrents actifs
en priphrie autrement dit, la scne de crime.
Dune part, il sagit dtre sr que la menace ne risque pas de se propager et daggraver la situation.
Par exemple, il peut tre ncessaire de prendre, avec laccord du mandataire, la dcision disoler une
machine ou un rseau lorsquun ver risque de contaminer dautres machines, ou lorsquune exfiltration de
donnes est en cours.
Dautre part, il faut tre sr de ne pas oublier de preuves lors de la phase de collecte. Il est prfrable de
rcuprer plus dlments que ncessaire, plutt que doublier des indices qui pourraient savrer dcisifs.
Enfin, un primtre de scurit doit tre dfini, garantissant quaucune intervention inadquate ne puisse
dtruire des preuves avant leur saisie.
Collecte
La collecte est une tape cruciale, pendant laquelle seront saisies les preuves numriques sur lesquelles
toute lanalyse sera fonde.
Pour garantir le succs de lanalyse et tre conforme avec les exigences juridiques, cette tape ne doit tre
ralise que par une personne forme et rompue lexercice inforensique.

136

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Les interventions ralises par les administrateurs, souvent de manire prcipite et avec un manque
dexprience dans le domaine, se soldent souvent par un dsastre: mthodes non adaptes, rsultats
incomplets, destruction de preuves
La mthode de saisie doit garantir que les preuves sont:
compltes et suffisantes pour lanalyse;
intgres pour pouvoir tre vrifies et rejoues lors dune contre-expertise, notamment dans une
perspective judiciaire.
Lanalyste doit interfrer le moins possible avec les quipements saisis, afin de ne pas polluer lenvironnement et prendre le risque deffacer des preuves.
En support, des logiciels et du matriel physique prouvs sont utiliss pour garantir la non-altration des
donnes (accs en lecture seule) et gnrer des empreintes cryptographiques comme preuve de leur
intgrit.
Gestion des preuves
Suite ltape de collecte, il est indispensable dassurer que lintgrit et la confidentialit des donnes
saisies continueront dtre prserves. Le principe de base du travail est de ne jamais travailler sur
la preuve originelle, mais sur une copie conforme (sauf forte contrainte technique).
En ralit, la bonne pratique consiste mme raliser deux copies de loriginal: une copie de travail, et une
copie de secours sur laquelle retomber en cas daltration accidentelle. Lide est de rellement sanctuariser la preuve dorigine, en ne la manipulant quune fois.
Lensemble des donnes est stock de manire chiffre et scurise, et pour un temps de conservation
dfini avec le mandataire. Les ventuels dplacements, copies et archivages sont consigns dans le rapport.
Analyse
Lanalyse est ltape la plus longue du processus, notamment lorsque la menace reste peu identifie (soupon). Lanalyste doit faire le tri au milieu dun volume dinformations souvent trs consquent, interprter
des bribes dinformations et un faisceau dindices pour reconstituer un scnario global.
cette fin, une partie importante du travail consiste placer les lments dans un ordre chronologique
(timeline).
Par ailleurs, nous distinguons deux approches danalyses distinctes et, souvent, complmentaires :
lanalyse hors-ligne et lanalyse en ligne. Dans lidal, les deux dmarches doivent tre droules, bien que
cela ne soit pas toujours possible, en fonction des prrequis techniques.
Analyse en ligne
Lanalyse en ligne, la plus classique, consiste contrler ltat gnral du systme la recherche dune
compromission ou de toute trace suspecte.
Cette analyse seffectue avec les outils dadministration du systme dexploitation, des scripts ou des outils
externes.
Cette mthode permet davoir une bonne vision du systme grce aux nombreux lments disponibles
et de dtecter les comportements anormaux les plus visibles.
Elle est cependant limite face des attaques sophistiques ayant compromis les composants les
plus scuriss du systme, car les traces seront alors caches, mme des outils danalyses.

Livreblanc - octobre 2016

137

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Analyse hors-ligne
Lanalyse hors-ligne est la mthode danalyse privilgie, car la plus fiable. Elle consiste rcuprer un
instantan de ltat du composant analys, afin den effectuer une analyse partir du poste de lanalyste.
Dans le cas de la mmoire vive, comme les donnes analyses sont brutes et ne peuvent tre altres par
le systme dexploitation de la cible, lanalyste est en mesure de rechercher des traces dattaques sophistiques (de type rootkit).
Concernant lanalyse dun disque dur, toutes les traces dutilisation sur un systme dexploitation peuvent
tre recherches, y compris les tentatives deffacement de traces par un utilisateur.
Enfin, les traces rseau, lorsquelles sont disponibles, sont galement prcieuses, car elles donnent un
point de vue externe du trafic manent dun ordinateur.
Rtro-Ingnierie
Cette analyse consiste dsassembler un logiciel malveillant qui aurait t utilis dans le cadre dune
compromission. Lobjectif est den comprendre le fonctionnement, la vulnrabilit exploite et dessayer
didentifier son auteur.
Principales causes dchec de lanalyse inforensique
Menace non dtecte
Nous avons dj voqu ce sujet: une menace non dtecte ne peut pas faire lobjet dune analyse.
Seule une organisation mature va gnralement tre en mesure de dclencher ce type de dmarche.
Mconnaissance du domaine inforensique
Lanalyse inforensique est encore trs mconnue ou incomprise.
Souvent, la victime va dabord essayer dagir seule: modification des rgles de filtrage, scan antivirus, mises
jour
Ce sont souvent des tentatives ralises en aveugle, avec des outils gnriques et donc peu efficaces,
ainsi que des connaissances limites sur la scurit offensive et les procdures inforensiques.
Dmarche trop tardive
Trop souvent, les victimes attendent de nombreux jours, voire mois, avant de se dcider lancer une analyse inforensique.
Pendant ce laps de temps, le systme dinformation a suivi son cycle de vie: les preuves en mmoire vive
ont disparu depuis longtemps, les fichiers ont t effacs, les journaux crass
Dans ces conditions, une analyse tardive a peu de chance de russir identifier la source dune intrusion,
ou encore la vulnrabilit exploite.
La dmarche alors conseille est plutt de raliser un test dintrusion, dans le but didentifier les faiblesses,
y compris celle ventuellement exploite par lattaquant.

138

Livreblanc - octobre 2016

PARTIE 3| 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES

Manque de preuves
Le manque de preuves peut faire suite des dmarches non appropries de la part des quipes
dadministration (destruction de preuves suite des tentatives de reprise de contrle).
Elle peut tre aussi la consquence dun manque de journalisation et de traabilit au sein de lentreprise:
les connexions rseau ne sont pas enregistres sur le pare-feu (seuls les accs refuss, pas les accs
autoriss);
les audits Windows ne sont pas tous activs pour les vnements dauthentification;
le service Apache a une rtention de journaux insuffisante, les vnements anciens ont t effacs;
les journaux ne sont pas centraliss et archivs: lattaquant, au cours de son intrusion, a pu effacer
toutes ses traces
Do limportance de la supervision du systme dinformation et du dploiement dun centralisateur
de journaux ou dun SIEM.
Conclusion
Lanalyse inforensique est une dmarche qui ncessite beaucoup de rigueur, et des comptences
transverses: scurit dfensive et offensive, administration systme et rseau, notions de droit
Il sagit dune dmarche indispensable, qui;
permet dapprendre de ses erreurs et de sinscrire dans une dmarche damlioration continue;
deffectuer un recours en justice ou rglementaire, lorsque cela est ncessaire.
niveau de menace constant et avec le gain de maturit des organisations suite aux prises de conscience
et la pression rglementaire, le domaine de linvestigation numrique semble promis se dvelopper
considrablement.

Livreblanc - octobre 2016

139

PARTIE 3| 4. COTS CONOMIQUES () DUNE POLITIQUE DE CYBERSCURIT POUR UN SITE E-MARCHAND

4. COTS CONOMIQUES DE LA MISE EN UVRE


DUNE POLITIQUE DE CYBERSCURIT POUR
UN SITE E-MARCHAND

Paragraphe rdig en collaboration avec Philippe Humeau (NBS System)

Pour le responsable dun site de e-commerce, les investissements (CAPEX et OPEX) consentir pour
constamment mettre niveau la scurit de son site, peuvent apparatre comme un vritable tonneau
des Danades. Lorsque lon tudie les choses rationnellement, en dessinant la courbe qui met en regard
le niveau de protection obtenu et les budgets associs, on saperoit en fait quil est possible datteindre
rapidement un niveau dexposition aux risques acceptable pour des budgets supportables.
Il est utile de rappeler cette vidence : le risque
encouru par les sites de e-commerce est la
hauteur des gains que le pirate peut en esprer.
Les pirates qui ambitionnent dattaquer VISA
ne sont pas les mmes que ceux qui attaquent un
site de 1M de chiffre daffaires!
Les montants consacrs la scurit se doivent
dtre proportionns aux risques et enjeux; viser
une scurit raisonnable en fonction de son activit sera donc lobjectif atteindre.
Quand un pirate utilise des outils low cost, comme
par exemple un scanner de vulnrabilit automatis ou des scripts, ou encore des outils en ligne
de DDoS bas cot, il est peu probable quil puisse
compromettre la scurit dun site qui a fait le
minimum des investissements requis.

Niveau de scurit
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
5 000

40 000
400 000
15 000
150 000

1 M

ce titre, il semble intressant de prsenter ce ratio en quelques chiffres certes estims, mais qui ont le
mrite dillustrer le propos. Il convient aussi de rappeler que la scurit a un cot exponentiel, tout comme
les attaques. Cest aussi une bonne nouvelle, car tout le monde tend ne retenir que la partie haute de
la courbe exponentielle, mais en bas de lchelle, elle est trs plate. Dans notre exemple, investir 5000
par an peut par exemple protger contre 50 % des attaques. Investir 15 000 contre 70 %, 40 000
contre 80%, 150000 contre 90%, 400000 contre 95% et 1M contre 99%.
Ainsi, en matire dinvestissement en cyberscurit, la bonne approche peut tre de fermer la porte une
masse trs importante dattaques simplistes en bas de lchelle du risque pour quelques milliers deuros.

140

Livreblanc - octobre 2016

PARTIE 3| 4. COTS CONOMIQUES () DUNE POLITIQUE DE CYBERSCURIT POUR UN SITE E-MARCHAND

Vous trouverez ci-aprs quelques ides explorer en compagnie dexperts du domaine, en fonction
de paliers budgtaires:

0 10000

1000 50000

audits de configuration;

h
 bergement scuris;

formation scurit;

t ests dintrusion ou audits de code;

dploiement gnralis dantivirus


sur les postes de travail;

installation dun WAF sur mesure


et de composants de scurit.

configuration dun WAF Opensource


par un professionnel.

50000 100000

100000 500000

hbergement de haute scurit,


compatible PCI/DSS V3;

s curit proactive avec revues


hebdomadaires ou quotidiennes;

supervision continue de la scurit


du site par des professionnels;

S
 ecOPS / SoC externalis;

veille scurit sur les failles mergentes;

a
 udit de code systmatique sur les
diffrences entre chaque publication;

backup haute frquence.

t ests dintrusion rguliers;

e
 nvironnement dupliqu en PCA/PRA;
b
 ackups dports haute frquence.

Le tableau ci-aprs reprend et synthtise les diffrents types dattaques, value leur risque respectif,
les solutions pour y faire face et le niveau de cot associ.
Il apparat dans ce tableau, que la majorit des mesures dfensives un cot faible, voire nul. Ce sont
lexpertise des partenaires, le srieux des procdures et la bonne configuration et maintenance des
services et applications qui priment!

Source NBS System

Livreblanc - octobre 2016

141

142

Livreblanc - octobre 2016

PARTIE 4| 1. RECOMMANDATIONS ANSSI

PARTIE 4
ANNEXES

1. RECOMMANDATIONS ANSSI
1.1 RECOMMANDATIONS RELATIVES LA PROTECTION DES SITES
CONTRE LES DFIGURATIONS

Source: ANSSI. Fiche dinformation sur les annonces dattaques de sites institutionnels du 15janvier 2015
Prparation

Plusieurs lments sont vrifier afin de limiter au maximum la dfiguration dun site. Les vecteurs les plus
courants sont:
le dfaut de scurisation daccs une interface de gestion du site;
lutilisation dun mot de passe faible pour ladministration du site;
lutilisation dun gestionnaire de contenu (CMS) non maintenu ou dont les derniers correctifs de
scurit nont pas t appliqus;
lutilisation dune brique logicielle non maintenue ou dont les derniers correctifs de scurit nont pas
t appliqus.
Il est important de veiller ce que ces lments soient vrifis et corrigs si ncessaire. Pour cela,
il est possible de sappuyer sur le guide de scurisation des sites Web:
www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides.
La granularit des vnements journaliss lis aux services exposs et aux quipements rseaux doit tre
augmente. Ces journaux serviront analyser le type de trafic et les requtes illgitimes utiliss lors dune
ventuelle attaque. Ils doivent tre conservs en cas de dpt de plainte.
Enfin, la ralisation de sauvegardes rgulires permettra, en plus de restaurer le contenu du site, de
dtecter un ajout ou une modification illgitime dun fichier.
Raction
En vue deffectuer un dpt de plainte, il est ncessaire de collecter lensemble des lments techniques
dcrivant lattaque (journaux, captures rseaux, copie de disques), et de garder une trace des changes
effectus avec des tiers pendant le traitement de lincident.
Il est important de garder lesprit quun site ayant t compromis contient a minima une vulnrabilit qui
doit tre identifie et corrige. Lensemble des actions ayant pu tre ralises par les attaquants doit tre
analys. En aucun cas la restauration dune sauvegarde ou la suppression de llment ajout/modifi
ne pourra tre considre comme tant une rponse adapte.

Livreblanc - octobre 2016

143

PARTIE 4| 1. RECOMMANDATIONS ANSSI

Enfin, en cas dhbergement dun site sur un serveur mutualis, il est important de veiller ce que
lintgrit du serveur et des autres sites soit vrifie.
En cas dattaque, il convient de se reporter la note dinformation sur les dfigurations de sites Web:
http://www.cert.ssi.gouv.fr

LE POINT DE VUE DU JURISTE


PARADES JURIDIQUES CONTRE
LE DFAAGE DE SITES WEB
Le dfaage est une attaque visant supprimer ou modifier la page daccueil dun site
Web sans en avoir obtenu lautorisation. Cette
attaque peut avoir de lourdes consquences
sur limage de lentreprise surtout pour un
site de commerce en ligne. Cest pourquoi il
appartient au propritaire du site de porter
une attention particulire laccessibilit de
son site. Lorsque que la dfiguration dun site
Web est dcouverte, plusieurs actions sont
entreprendre:


conservation des traces (copie de ltat
compromis du site Web et analyse de la
compromission).

Recherche dautres intrusions (pages
dhameonnage (phishing) ; insertion de
malware ; insertion de publicits non lgitimes; modification de la configuration
du site ; installation dun porte drobe
permettant dutiliser le site pour effectuer
dautres actions malveillantes (nouvelles
compromissions, dni de service) ; stockage de fichiers soumis au droit dauteur.

1.2 RECOMMANDATIONS RELATIVES LA PROTECTION DES SITES


CONTRE LES ATTAQUES EN DNI DE SERVICE
Prparation
Organisationnelle
Pour faire face une attaque par dni de service, il est primordial de recenser les systmes susceptibles
dtre viss, et de connatre les quipes responsables de ladministration de ces systmes. En outre, afin
de favoriser un traitement rapide de lattaque, il est impratif de disposer des contacts appropris en
interne, ainsi que chez les oprateurs de transit, ou encore auprs de lventuel fournisseur dun service
de protection contre les attaques DDoS.
En dehors des solutions de protection spcifiques abordes ci-aprs, de bonnes pratiques peuvent contribuer amliorer la rsistance une attaque par dni de service. Parmi celles-ci, on peut notamment citer:
la segmentation du rseau de lentit de manire faciliter le filtrage en cas dattaque, et lisolement
ventuel de certains sous-rseaux ou de certains serveurs;
la rduction de la surface dattaque possible en autorisant seulement les flux ncessaires en entre
comme en sortie du rseau.

144

Livreblanc - octobre 2016

PARTIE 4| 1. RECOMMANDATIONS ANSSI

quipements commerciaux spcifiques


administrs par lentit
Des protections spcifiques contre les attaques en dni de service distribu peuvent galement tre mises
en place. Certains produits commerciaux sont spcialiss dans le filtrage de trafic. Ils se basent sur des
listes blanches ou noires, la position gographique des sources ou des filtres sur les paquets transmis.
Leur mise en uvre ncessite une prise en main pralable et un paramtrage adapt au trafic de lentit.
De plus lachat et le maintien jour de ces quipements peuvent tre onreux et ncessiter des modifications dans le schma du rseau de lentit.
Services proposs par les oprateurs de transit
et les hbergeurs
Si le dni de service sature le lien rseau et non pas des services applicatifs, lintervention de loprateur
de transit est parfois ncessaire. Celui-ci peut offrir un service de filtrage de trafic. Dans le cas o ce service
est opr par le client, ce dernier doit sassurer de matriser la configuration des diffrentes contre-mesures offertes par la plate-forme.
Les hbergeurs offrent parfois une protection contre les attaques de ce type. Les diffrentes options
proposes peuvent constituer une solution pour les structures faisant appel une socit externe pour
lhbergement de leurs services, par exemple:
le recours un Content Delivery Network (CDN), qui permettra de rpartir les ressources sur un grand
nombre de serveurs et amliorera la rsistance aux attaques en dni de service distribu;
le recours des services commerciaux de protection ddis contre les attaques par dni de service
distribu.
Il est recommand de se rapprocher des diffrents prestataires en trafic et en hbergement afin
de connatre les services ventuellement proposs, ainsi que les contacts activer en cas dattaque.
Raction
Identifier le trafic illgitime
Avant de mettre en uvre une contre-mesure, il est important didentifier:
llment dfaillant: liens rseau, surcharge dun serveur ou dune application
Le ou les protocole(s) utilis(s). En effet le protocole de transport UDP ne permet pas didentifier les
sources dune attaque (possibilit dusurpation de ladresse IP source).
Les sources de lattaque: nombre de sources, oprateur de provenance
Un ou plusieurs discriminants permettant de distinguer le trafic lgitime du trafic gnr par lattaque,
comme des motifs rcurrents dans le contenu des paquets, des valeurs remarquables dans les
en-ttes http
Contre-mesures
Une fois les caractristiques de lattaque identifies, plusieurs actions peuvent tre dcides. Par exemple,
si la bande passante des liens rseau fournis par les oprateurs est sature, ceux-ci doivent tre contacts
afin de filtrer le trafic. Par ailleurs, lentit peut mettre en uvre le service de protection ventuel dont
elle peut bnficier si celui-ci nest pas actif.

Livreblanc - octobre 2016

145

PARTIE 4| 1. RECOMMANDATIONS ANSSI

En outre, un certain nombre de dispositions peuvent tre prises au niveau de lentit cible. Parmi celles-ci,
on peut notamment citer:
le blocage des adresses IP sources identifies comme tant lorigine de lattaque;
le blocage de certaines classes de trafic impliques dans lattaque, et non ncessaires au bon
fonctionnement de lentit (filtrage sur le port destination, ou de protocoles par exemple);
la limitation du nombre de connexions concurrentes, ou sur une priode de temps limite, par adresse
IP source au niveau dun pare-feu;
la rduction des dlais de garde des connexions TCP (par exemple sur des serveurs Web ou SMTP);
le blocage du trafic destination des cibles, en fonction de limpact de lattaque sur le reste de
linfrastructure rseau;
le changement dun site Web dynamique en site statique si llment dfaillant est une application Web.
Enfin, en vue deffectuer un dpt de plainte, il est ncessaire de collecter lensemble des lments
techniques dcrivant lattaque (journaux, captures rseaux), et de garder une trace des changes
effectus avec des tiers pendant le traitement de lincident.
Note dinformation sur les dnis de service:
www.cert.ssi.gouv.fr

146

Livreblanc - octobre 2016

PARTIE 4| 2. RESSOURCES UTILES

2. RESSOURCES UTILES
2.1 GUIDE DES BONNES PRATIQUES
Guide ANSSI
Guides ANSSI des bonnes pratiques
http://www.ssi.gouv.fr/administration/bonnes-pratiques
Guide ANSSI dhygine informatique
http://www.ssi.gouv.fr/guide/guide-dhygiene-informatique
ANSSI: Rfrentiel pdagogique de formation la
cyberscurit des TPE et des PME
Ce rfrentiel est destin aux organismes de formation souhaitant dvelopper des comptences en
scurit des systmes dinformation au sein des TPE et PME pour ventuellement aboutir des rfrents
cyberscurit.
http://www.ssi.gouv.fr/uploads/2015/04/D2IE_formation_cybersecurite_TPE_PME_mars_2015.pdf
Autres guides
Guide Symantec de survie contre le cybercrime
https://www.symantec-wss.com/fr/cybercrime4/social
Prvenir les escroqueries aux ordres de virements
internationaux dans les entreprises
http://www.dailymotion.com/video/x21u6q1_prevenir-les-escroqueries-aux-ordres-de-virementsinternationaux-dans-les-entreprises_Webcam
La Fdration Bancaire Franaise (FBF), avec la Direction centrale de la Police Judiciaire, souhaite attirer
lattention des entreprises sur la vigilance ncessaire dans le cadre de leurs oprations de virements,
notamment linternational. Une courte vido (4mn.) reprend les interviews de deux spcialistes: JeanMarc SOUVIRA, Chef de lOffice central de la rpression de la grande dlinquance financire la Police
Judiciaire, et Willy DUBOST, Directeur systmes et moyens de paiement FBF.
La prvention des fraudes bancaires par ingnierie
sociale: document de la Socit Gnrale
https://static.societegenerale.fr/ent/ENT/Repertoire_par_type_de_contenus/Types_de_contenus/01-Pages/00-perennes/espace_securite/commun_pdf/ingenierie-sociale.pdf

Livreblanc - octobre 2016

147

PARTIE 4| 2. RESSOURCES UTILES

2.2 TUDES / DONNES DE RFRENCE


Verizon: Rapport denqute 2015sur les compromissions de donnes
http://www.verizonenterprise.com/fr/DBIR/2015
Worlds Biggest Data Breaches
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks
Imperva Web Application Attack Report (WAAR) 2015
https://www.imperva.com/docs/HII_Web_Application_Attack_Report_Ed6.pdf
Cisco 2016Annual report
http://www.cisco.com/c/en/us/products/security/annual_security_report.html
Menaces Informatiques et Pratiques de Scurit
en France - dition 2016
https://clusif.fr/publications

2.3 SOLUTIONS & PRESTATAIRES


http://www.phishing.fr
http://www.denyall.com/fr
https://sucuri.net
https://yeswehack.com/fr/index.html
https://sysdream.com
https://firebounty.com
https://bountyfactory.io/fr/index.html | @korben_rss

2.4 ORGANISMES PUBLICS


CNIL
https://www.cnil.fr
LINC (Laboratoire dInnovation Numrique de la CNIL)
http://linc.cnil.fr
ANSSI
http://www.ssi.gouv.fr
AFNOR
http://www.boutique-certification.afnor.org/certification/certification-iso-iec-27001

148

Livreblanc - octobre 2016

PARTIE 4| 2. RESSOURCES UTILES

2.5 ASSOCIATIONS
https://phishing-initiative.fr/contrib
http://cybercercle.com
http://www.cesin.fr
https://www.owasp.org/index.php/Main_Page
https://www.clusif.fr
http://www.afcdp.net

2.6 AUTRES
http://www.zataz.com/ | @zataz
http://secure-it.egedian.com
http://www.zataz.com/protocole-alerte-zataz/#axzz47fzqudcK

2.7 FORMATIONS
Cet annuaire prsente les formations en Scurit de lInformation proposes par les organismes de
formation qui adhrent au CLUSIF. Ces formations sont prsentes au public titre de service gratuit dans
le but doffrir une source dinformation unique aux entreprises cherchant des formations en Scurit
de lInformation.
https://clusif.fr/les-formations

fdration e-commerce et vente distance


60rue La Botie - 75008Paris
contact@fevad.com