FÉVAD - Cybersécurité Et E-Commerce - Maîtriser Les Risques, Sensibiliser Sur Les Enjeux. Livre blanc-FÉVAD (2016) PDF

livre blanc octobre 2016
fédération e-commerce et vente à distance

Cybersécurité et
e-commerce
MAITRISER LES RISQUES,
SENSIBILISER SUR LES ENJEUX
Avec le soutien de
2
Livre blanc - octobre 2016
PRÉFACE
Le marché du e-commerce devrait franchir un nouveau cap cette année avec

plus de 70 milliards d’euros en 2016. Ce développement est révélateur de
la place prise par le numérique qui imprègne et irrigue progressivement
non seulement tous les secteurs de l’économie mais aussi tous nos compor-
tements de consommateur et de citoyen (éducation, communication, médias,
Marc LOLIVIER loisirs… ).
DÉLÉGUÉ GÉNÉRAL
DE LA FEVAD
Mais nous voyons parallèlement se développer de nouveaux paradigmes
de criminalités qui eux aussi investissent ces nouveaux espaces. Les acteurs du e-commerce qui ont la
responsabilité des données personnelles qui leur sont confiées par leurs clients, sont naturellement
particulièrement attentifs à ce phénomène. Car l’enjeu est pour eux vital. Il y va de la confiance des consom-
mateurs et donc de leur avenir. Car sans confiance, l’e-commerce ne peut prospérer.
Pour se protéger de ces menaces, de nombreuses solutions techniques voient le jour en réponse à
“l’imagination et la créativité” de la cyber-délinquance. Ces solutions sont souvent utiles mais certainement
pas suffisantes pour prémunir les entreprises contre les risques qu’elles encourent. La sécurité informa-
tique est aussi une question de mobilisation interne des entreprises. Ce sujet ne peut plus être confié au
seul responsable des systèmes d’information. Il doit être partagé par tous, au sein des entreprises !
Car si en matière de sécurité le risque zéro n’existe pas, il peut être maîtrisé par cette prise de conscience
indispensable et la mise en place de moyens techniques et humains appropriés.
Mais la réponse se doit aussi d’être collective. Le succès, le développement et la pérennité de l’économie
numérique, et notamment du e-commerce, en dépendent car ils reposent sur la confiance. Or l’écho
médiatique donné à quelques affaires récentes, souvent entretenu par les vendeurs de services ou de
solutions, brouille la vision d’ensemble et le cap à tenir. Et la faillite d’un acteur, en écornant la confiance
du public peut parfois suffire à affecter l’activité de tout un secteur.
C’est la raison pour laquelle la Fevad, organisation représentative des acteurs du e-commerce, s’est empa-
rée de longue date du sujet, notamment à travers les travaux menés par sa Commission Paiements et
Sécurité qui permettent aux professionnels d’échanger, de partager et au final de progresser ensemble.
Cette nouvelle étude s’inscrit dans cette démarche de dialogue et de progrès. Elle vise à sensibiliser les
dirigeants d’entreprises, à montrer ce que réalisent un certain nombre d’entre eux qui témoignent ici,
et à proposer une démarche, des outils, des références pour l’ensemble des acteurs du secteur.
3
PRÉFACE
Ce Livre Blanc ne s’adresse pas à des spécialistes IT mais plus prioritairement aux chefs d’entreprises et
aux responsables “métiers” qui souhaitent maîtriser ces risques et protéger leur activité dans la durée.
Il est fondé sur des interviews réalisées chez des e-commerçants, auprès de praticiens qui vivent au
quotidien ce qu’est la cybersécurité dans un site de e-commerce. Nous les remercions pour la sincérité de
leurs témoignages et de l’effort de vulgarisation qu’ils ont dû faire vraisemblablement pour nous expliquer
en quoi consistait leur métier. Il est enrichi de contributions de spécialistes (prestataires, institutionnels,
juristes) offrant chacun dans leur domaine des points de vue et des clés de compréhension complémen-
taires aux enjeux de la cybersécurité.
Ce Livre Blanc est donc un ouvrage collectif : il témoigne de la capacité des adhérents de la FEVAD à se
mobiliser autour d’un enjeu majeur. Il nous renforce également dans notre conviction que les solutions
au fléau que constitue la cybercriminalité seront forcément collectives et nécessiteront la mobilisation de
compétences les plus nombreuses et variées.
Enfin, ce Livre Blanc, loin d’être un aboutissement, doit trouver des prolongements nombreux à la Fevad
(ateliers, commissions…) et dans les entreprises. Il doit alimenter le nécessaire dialogue entre “techniciens”
et “métiers”, entre obligations réglementaires (ou techniques) et développement de l’activité, entre entre-
prises et autorités en charge de la prévention et de la lutte contre la cybercriminalité…
C’est ce à quoi nous allons désormais nous employer. Car plus que jamais, la cybersécurité est devenue
l’affaire de tous !
Je vous souhaite une très bonne lecture.
Marc LOLIVIER
DÉLÉGUÉ GÉNÉRAL DE LA FEVAD
4
SYNTHÈSE
LES CYBER-ATTAQUES : UN PHÉNOMÈNE

QUI A PRIS BRUTALEMENT DE L’AMPLEUR
Si certains e-commerçants que nous avons rencontrés dans le cadre de l’élaboration de ce Livre Blanc
tiennent à rappeler que le phénomène n’est pas en soit nouveau (postérieur au boom du e-commerce),
ils sont unanimes pour considérer que les cyber-attaques qui les visent sont maintenant plus nombreuses,
de plus en plus “ciblées” et de plus en plus sophistiquées.
Tous les e-commerçants rencontrés dans le cadre de l’élaboration de ce Livre Blanc sont unanimes :
les cyber-attaques qui les visent sont : plus nombreuses, de plus en plus “ciblées” et de plus en plus
sophistiquées. Aux attaques “tout azimuth”, les sites de e-commerce doivent maintenant aussi faire face
à des attaques par “déni de services” à des “ransomware” qui nécessitent la mise en place de véritables
“stratégies de défense”.
MAINTENIR ET DÉVELOPPER LA CONFIANCE

DU CONSOMMATEUR, UN ENJEU ESSENTIEL
POUR LE E-COMMERCE
On l’oublie parfois, mais un site de e-commerce est aussi une entreprise comme une autre !
À ce titre, les sites e-commerce ont dû faire face à l’émergence de nouvelles menaces et de nouveaux
risques cyber au même titre que n’importe quelle autre entreprise (ouverture des systèmes d’information,
recours de plus en plus fréquent au “cloud”, apparition de nouvelles façons de travailler “Bring Your
Own Device”…)
Mais, évidemment, les sites e-commerce ont des spécificités propres qui les exposent encore plus que
n’importe quelles autres entreprises aux risques cyber. Pour des commerçants “à distance”, la confiance
de leurs clients dans les systèmes qui enregistrent et qui traitent leurs données personnelles et
financières est absolument vitale ! La responsabilité des e-commerçants est engagée. La lutte contre
la cybercriminalité est donc un enjeu essentiel pour le e-commerce.
LES ATTAQUES NE VIENNENT PAS QUE DE L’EXTÉRIEUR,

LES SOLUTIONS NE SONT PAS QUE TECHNIQUES
Focalisées sur les risques “venant de l’extérieur”, les premières mesures prises consistent souvent à
dresser une “ligne Maginot”, des “lignes de défense” entre le site et les potentielles attaques extérieures.
Les résultats sont souvent probants.
Mais, alors que des solutions souvent technologiquement évoluées sont déployées pour se protéger de
l‘extérieur, on occulte complètement que la menace peut aussi, malheureusement, venir de l’intérieur !
5
SYNTHÈSE
C’est le tristement célèbre Post it sur lequel sont inscrits les identifiants donnant l’accès au Back Office
clients, qui reste affiché sur l’écran de l’ordinateur. C’est aussi la gestion peu rigoureuse des autorisations
d’accès au système : un même identifiant pour l’ensemble de l’équipe de développement (parce que c’est
plus pratique et que ça fait gagner du temps) ou bien encore la non suppression des accès de ceux qui
quittent l’entreprise. Or, de tels manquements peuvent avoir des conséquences dramatiques avec l’usage
de plus en plus rependu de solutions disponibles dans “le cloud”.
LA CYBERSÉCURITÉ, UNE QUESTION DE CULTURE

D’ENTREPRISE…
Les interviews sont particulièrement éloquentes sur ce point : mettre en place une politique de gestion du
risque cyber ne se fait pas du jour au lendemain. Elle résulte d’un processus, plus ou moins long selon
les organisations, qui doit beaucoup à la culture de l’entreprise. Aucune des entreprises que nous avons
interviewées ne possédaient cette “culture de la gestion du risque cyber” de façon innée. Toutes ont
dû l’acquérir. Cet apprentissage n’a rien eu de spontané. À l’origine, on trouve souvent un incident “cyber”
dont les conséquences auraient pu être désastreuses.
… QUI DOIT SE DÉCLINER OPÉRATIONNELLEMENT

Le tout n’est pas d’avoir conscience des enjeux de la cybersécurité (et parfois de ses propres faiblesses),
encore faut-il pouvoir engager l’organisation vers la maîtrise du risque cyber. Or, les difficultés pour y
parvenir peuvent être multiples. Cela nécessite très souvent des choix d’arbitrage parfois compliqués.
Un interviewé nous a décrit combien il mesurait l’importance des enjeux de la cybersécurité (lors d’un
tour de table, l’un de ses investisseurs s’était d’ailleurs fait fort de le lui rappeler). Mais, dans une
start-up comme la sienne, la priorité absolue reste spontanément la croissance de l’activité qui accapare
l’essentiel des ressources.
LA SÉCURITÉ EST L’AFFAIRE DE TOUS

Comment développer une “culture” de la cybersécurité au sein d’une organisation ; car finalement,
n’est-ce pas la mission principale de toute équipe de cybersécurité ?
Compte tenu du rythme d’innovation qu’impose le e-commerce et le très grand nombre de projets qui
sont lancés en parallèle, les sites les plus matures ont compris qu’il était illusoire de vouloir concentrer la
responsabilité de la cybersécurité sur une seule entité. “La sécurité doit être l’affaire de tous !” ; oui, mais
comment pratiquement transforme-t-on ce “mantra” en une réalité concrète ?
Les interviewés décrivent comment ils parviennent, au travers d’actions de sensibilisation et de formation,
à faire naître, croître puis entretenir au “jour le jour” une “prise de conscience collective” autour des enjeux
de la cybersécurité. Car, en matière de cybersécurité, l’attention ne peut jamais se relâcher. Aucune
position n’est jamais définitivement gagnée !
LE RISQUE ZÉRO N’EXISTE PAS. UN PRÉALABLE :

LA CARTOGRAPHIE DES RISQUES
Si en matière de cybersécurité, le risque zéro n’existe pas, alors il s’agit de concentrer ses forces sur
les points où les enjeux business sont les plus forts. Pour cela, le croisement d’une vision “business”
et d’une vision “technique” est indispensable.
6
SYNTHÈSE
Il apparaît clairement, dans les propos des praticiens de la cybersécurité que nous avons rencontrés, que
le véritable “point de bascule” entre une gestion “réactive” du risque cyber et sa véritable maîtrise est la
mise en place d’une démarche de “cartographie des risques”.
À cet égard, on lira avec intérêt les témoignages de RSSI de voyages-sncf.com, accordhotels.com ou fnac.
com qui décrivent comment cet exercice est pratiqué dans leur organisation respective.
LE RSSI, ACTEUR INCONTOURNABLE À LA CROISÉE

DES MÉTIERS ET DE LA TECHNO
Quel positionnement doit adopter l’équipe cybersécurité vis à vis du reste de l’organisation au sein d’un
site de e-commerce ? “Contrôleurs-censeurs”, “Experts”, “Animateurs”, “Diffuseurs de la bonne parole”… ?
Certes, un peu de tout ça à la fois, mais des nuances existent au sein des organisations que nous avons
interviewées.
Les interactions entre l’équipe cybersécurité et le reste de l’entreprise sont multiples. C’est d’ailleurs vrai-
semblablement à l’aune de la fréquence et de la qualité de ces interactions que l’on peut mesurer la ma-
turité d’une entreprise sur la cybersécurité.
CONCILIER “BUSINESS” ET CYBERSÉCURITÉ :

UNE APPROCHE PAR LES RISQUES
“Faire du business, c’est assumer une part de risque. Et le risque cyber fait partie de ces risques” nous
a déclaré un interviewé.
De façon assez franche, certains RSSI nous ont confié qu’ils avaient vécu la “poursuite effrénée vers la
fluidification des parcours clients” (particulièrement le fameux achat en “one click”) comme un “retour
en arrière” en matière de bonnes pratiques de cybersécurité. Mais tous ont compris que le RSSI qui dit
systématiquement “non” appartenait au passé !
Une évolution très profonde du métier de RSSI est-elle en train de se produire ? Un interviewé a eu cette
formule éloquente : “je me considère d’abord comme un commerçant avant d’être un spécialiste de
la cybersécurité”.
COMBINER SOLUTIONS TECHNIQUES

ET ORGANISATIONNELLES
Mais, il y a aussi une bonne nouvelle “dans cette course à l’échalote” : les solutions de cybersécurité elles
aussi progressent et elles ne sont pas que techniques.
Nous avons notamment interviewé des spécialistes des “Bug Bounties” : l’uberisation des tests d’intrusion
(même Apple s’y est mis !). Nous avons aussi rencontré des assureurs qui proposent maintenant une
gamme large de produits. Même si, aux dires d’une spécialiste : “les produit d’assurance cyber continuent
à figurer parmi les plus complexes qui soient”.
La cybersécurité a évidemment un coût. Même au sein des entreprises les plus matures, ce coût est
d’ailleurs très difficile à chiffrer avec précision. Mais, loin des idées reçues selon lesquelles les investisse-
ments en cybersécurité seraient comme le “tonneau des Danaïdes”, les spécialistes qui ont contribué à cet
ouvrage rappellent que le niveau de protection contre les cyber-attaques n’est pas strictement propor-
tionnel aux investissements consentis. Une dose de bon sens combiné à des investissements raisonnables
permettent déjà de se protéger contre un nombre important d’attaques “en masse”.
7
SYNTHÈSE
LES ENJEUX JURIDIQUES :

DU PARTAGE DE RESPONSABILITÉ AVEC
SES PRESTATAIRES, À LA PRISE EN COMPTE
DU NOUVEAU RÈGLEMENT EUROPÉEN SUR
LA PROTECTION DES DONNÉES
La cybersécurité revêt aussi une dimension juridique, particulièrement en ce qui concerne le partage de
la responsabilité entre le site de e-commerce et ses prestataires.
La lecture des témoignages nous renseigne sur l’importance qu’accordent les entreprises matures en
cybersécurité à la rédaction des clauses contractuelles relatives, par exemple, à la correction des failles
de sécurité. Mais, comme le rappellent certains RSSI interviewés, le tout n’est pas de se “border”
juridiquement, il faut être en mesure de tester régulièrement les solutions du prestataire.
Par ailleurs, Le Règlement européen [RGPD], adopté le 27 avril dernier et qui entrera en application
à compter du 25 mai 2018, place la sécurité des traitements au cœur des principes de protection
des données personnelles. On se référera avec intérêt aux “points de vue du juriste” que nous avons dis-
séminés tout au long de ce Livre Blanc.
CYBERSÉCURITÉ :
FAUT-IL EN PARLER AUX CLIENTS ET COMMENT ?
Quel discours tenir aux clients vis à vis de la cybersécurité ? Il faut bien le reconnaître, la réponse est loin
d’être évidente.
On sent chez tous les interviewés une grande réserve à communiquer sur un sujet jugé “hautement
sensible”. Les enjeux sont bien sûr très importants en termes d’image. Mais, les pratiques qui se
développent outre atlantique pourraient faire évoluer les choses.
EN MATIÈRE DE CYBERSÉCURITÉ,
L’UNION FAIT LA FORCE !
Les RSSI en conviennent, il n’y a pas, sur ces sujets, d’enjeux concurrentiels. L’ensemble du secteur a
intérêt à serrer les rangs contre les cybermenaces.
Les Pouvoirs Publics jouent un rôle actif dans cette lutte. Dans cet ouvrage, l’ANSSI donne des recomman-
dations sur la mise en place d’une démarche “d’homologation de sécurité en 9 étapes”.
Des associations ou groupements existent et jouent eux-aussi un rôle essentiel ; nous en avons sollicité
certains (CESIN, CLUSIF) qui ont accepté de nous donner leurs éclairages. Dans un encart, le président
du CLUSIF rappelle que la cybersécurité ne concerne évidemment pas que les grandes entreprises mais
également les PME.
8
SYNTHÈSE
“WHAT’S NEXT” EN MATIÈRE DE CYBERSÉCURITÉ ?

Les RSSI que nous avons rencontrés ont deux chantiers majeurs qui s’ouvrent devant eux : la généralisa-
tion de l’usage du “cloud” pour stocker et traiter la data et la protection des données personnelles.
Avec le recours de plus en plus fréquent aux services disponibles dans le “cloud”, il n’est pas exagéré
de dire que l’informatique vit une véritable révolution. Mais, toute rupture technologique de cette ampleur
ne s’accompagne pas forcement de bienfaits immédiats ! Elle peut aussi avoir des effets pervers, particu-
lièrement en matière de cybersécurité. Nous avons demandé aux RSSI que nous avons rencontrés si
le cloud n’était pas pour eux : “leur pire cauchemar” ou leur prochain salut !
Indubitablement, la protection des données personnelles sera le prochain grand chantier de tous les
RSSI de sites de e-commerce dans les prochaines années. D’ailleurs certains s’y préparent déjà avec
la perspective de l’entrée en application à compter du 25 mai 2018 du Règlement européen sur la
protection des données [RGPD], adopté le 27 avril dernier, qui place la sécurité des traitements au cœur
des principes de protection des données personnelles.
Tous ont compris que l’impact serait fort sur leur activité et leur organisation.
Bonne lecture,
Mathieu SENÉ – Bertrand PINEAU

OCTOBRE 2016
9
10
LES CONTRIBUTEURS
AU LIVRE BLANC
Ce Livre Blanc est un travail éminemment collectif qui a mobilisé de très nombreuses personnes aux
compétences très variées ; cela fait la richesse de ce document. Que toutes les personnes ayant contribué
à ce document soient chaleureusement remerciées ! N’hésitez pas à les contacter, ce sont tous des
passionnés de leurs sujets de prédilection !
COORDINATION DU PROJET :
Bertrand Pineau (FEVAD)
Dans le cadre de ce Livre Blanc, Bertrand avait la responsabilité du projet pour le compte
de la Fevad. Il a assuré la communication du projet auprès des adhérents et collaboré avec
Mathieu à chaque étape de sa réalisation.
Il avait précédemment assuré ces mêmes fonctions dans le cadre de la réalisation du Livre Blanc de
la Fevad sur “La sécurisation des moyens de paiements sur internet”.
Bertrand est en charge à la Fevad de l’innovation, la veille et le développement. Il coordonne également les
commissions Paiement/Monétique/ Fraude et Logistique de la Fevad.
Mathieu Sené (Praxton Consulting)

Dans le cadre de ce Livre Blanc, Mathieu a assuré la direction du projet, la coordination
avec l’ensemble des contributeurs et le pilotage de leurs contributions pour couvrir
l’objectif attendu. Il a mené les interviews avec les e-commerçants et en a extrait la
“substantifique moelle”.
Pour la Fevad, Mathieu Sené avait déjà coordonné l’élaboration d’un précédent Livre Blanc sur “La sécuri-
sation des moyens de paiements sur internet”.
Mathieu Sené dispose de plus de 20 ans d’expérience dans le conseil stratégique et opérationnel. Il est
spécialiste du cadrage et du lancement d’offres de services “radicalement” innovantes.
En 2011, Mathieu Sené crée Praxton Consulting (www.praxton.fr) une structure de conseil dédiée aux
Directeurs Généraux ou Directeurs Opérationnels. À leurs côtés, Praxton Consulting pilote la
concrétisation d’opportunités business (nouveaux services) en mobilisant “l’intelligence collective”.
11
LES CONTRIBUTEURS AU LIVRE BLANC
AVEC LE SOUTIEN DE :
NBS SYSTEM
NBS System est le leader français de l’infogérance de sites de e-commerce, particulièrement dans
le domaine de la haute sécurité. La société héberge plusieurs milliers de serveurs, sur ses propres
datacenters ou Amazon Web service, sur de multiples technologies Magento, Hybris, Drupal…
La société a été fondée en 1999 et proposait originalement des tests d’intrusion et audits, ce
qu’elle fait toujours, en plus de son activité d’hébergement de très haute sécurité, validée PCI/
DSS de niveau 1 (version 3). Elle héberge à ce jour de nombreux sites de e-commerce et ins-
titutionnels et compte parmi ses clients des références comme IPH, Lafuma, Vivarte, Amer
Sport, Chantelle, Zadig et Voltaire, I24 télévision, Made Design, Interflora, le groupe Brady et
de nombreux autres.
NBS System a rejoint le groupe Oceanet Technology en janvier 2016, groupe qui pèse
désormais 25 M€ pour un total de 140 salariés. Philippe Humeau édite également le benchmark
des solutions e-commerce, qui étudie en détail 15 solutions afin d’aider les e-commerçants
à choisir la meilleure solution pour leur activité, déjà lu par plus de 60 000 personnes dans
le monde.
Nous contacter : 01 58 56 60 80

contact@nbs-system.com https://www.nbs-system.com
AKAMAI
Leader mondial des services de réseau de diffusion de contenus (CDN), Akamai offre à
ses clients des performances internet rapides, fiables et sécurisées. Les solutions avancées
d’Akamai en matière de performances Web, performances mobiles, sécurité dans le cloud et
diffusion multimédia révolutionnent la façon dont les entreprises optimisent les expériences
des internautes, des entreprises et du divertissement sur tous les terminaux, partout dans
le monde.
QUELQUES FAITS
Déploiement réseau :
• Akamai détient le réseau de diffusion de contenus (CDN) haute distribution le plus fiable,
avec plus de 220 000 serveurs répartis dans 127 pays et déployés sur 1 580 réseaux.
Akamai offre des performances éprouvées :

• Akamai délivre chaque jour un volume de trafic Web atteignant plus de 30 térabits
par seconde ;
• Akamai achemine chaque jour plus de 2 mille milliards d’interactions sur internet.
Akamai assure la diffusion de contenus pour plus de 30 millions de sites :

• les 60 plus grands sites internationaux d’e-commerce ;
• les 30 plus grandes sociétés du secteur médias et du divertissement ;
• les 10 plus grandes banques ;
• six des 10 principaux constructeurs automobiles européens.
Contact : Adlane Belahouel 01 56 69 52 87

mbelahou@akamai.com https://www.akamai.com/fr
12
LES CONTRIBUTEURS AU LIVRE BLANC
BOUNTYFACTORY PAR YESWEHACK

AMÉLIORE LA SÉCURITÉ IT DE VOTRE ENTREPRISE
Reposez-vous sur une communauté d’experts, dont notre équipe dédiée, pour renforcer en
continu votre périmètre IT et détecter les vulnérabilités avant qu’elles ne soient exploitées.
Bounty Factory est la première plate-forme européenne de Bug Bounty. Elle permet de mettre
les compétences de centaines de chercheurs et d’experts en sécurité des systèmes d’infor-
mation, par la voie de la “crowd security”, au service des entreprises :
• de manière privée, team privée YesWeHack, de 1 à 50 personnes ;
• ou publique, ouverture monde à plus de mille personnes.
Le concept du Bug Bounty est simple : il s’agit pour une entreprise de récompenser tous ceux
qui trouvent des failles de sécurité sur les services et périmètres soumis (site Web, applica-
tions, API…) dans le cadre du programme qu’elle rédige au préalable à cette fin.
Cela permet d’être proactif sur son volet sécurité et d’éprouver ses périmètres de manière
continue dans le temps, en s’appuyant sur une communauté d’experts rassemblée sur
BountyFactory.io.
Le Bug Bounty instaure également une manière innovante de communiquer à vos clients que
vous intégrez la sécurité dans votre entreprise.
Découvrez Bounty Factory en vidéo sur notre site :

https://bountyfactory.io
Si vous souhaitez en savoir plus, nous serons ravis d’échanger avec vous, de répondre à vos
questions et de vous accompagner pour améliorer le niveau de sécurité de votre entreprise
grâce à nos outils.
Nous contacter :
contact@yeswehack.com
https://bountyfactory.io/ | https://yeswehack.com/ | https://firebounty.com
CONTRIBUTEURS AU LIVRE BLANC :

Pascal Agosti (Caprioli & Associés), Jean-Christphe Baptiste (Sysdream), Anthony Baube (Sysdream), Lionel
Benao (Grand Thorton), Franck Boniface (vestiairecollective.com), Alain Bouillé (CESIN), Thomas Brault
(Gras Savoie), Éric Caprioli (Caprioli & Associés), Damien Cazenave (vente-privee.com), Caroline Chalin-
dar-Giné (APCO worldwide), Ilène Choukri (Caprioli & Associés), Alexandre Cognard (vestiairecollective.
com), Emmanuel Cordente (voyages-sncf.com), Cyrille Tesser (ANSII), Ely de Travieso (Bug Bounty Zone),
Philippe Humeau (NBS System), Korben (YesWeHack), François Lecomte-Vagniez (Lobary), Marc Le Guennec
(RAJA), Matthieu Le Louer (accorhotels.com), Laura Letteron Filitov (Grand Thorton), Emmanuel Macé
(Akamai), Florian Nivette (Sysdream), Corinne Noël (fnac.com), Lazaro Pejsachowicz (CLUSIF), Marie-Astrid
Pirson (Hiscox), Vincent Richir (APCO worldwide), Arnaud Treps (accorhotels.com).
13
14
SOMMAIRE
PARTIE 1
TÉMOIGNAGES : LA GESTION DU RISQUE CYBER
AU QUOTIDIEN VUE PAR LES E-MARCHANDS �� 19
1. Présentation des interviewés �� 19
2. Perception des interviewés sur l’évolution des cyber menaces �� 23

2.1 Un phénomène qui n’est pas nouveau mais qui prend
brutalement de l’ampleur en évoluant profondément �� 23
2.2 Qui sont les hackers ? �� 30
3. rincipes causes de vulnérabilité aux cyber

P
risques identifiées par les interviewés �� 33
3.1 Point commun : des sites qui n’ont pas été conçus nativement pour la sécurité �� 33
3.2 La maintenance des sites : indispensable mais souvent negligée �� 34
3.3 La cybersécurité : un sujet parmi tant d’autres priorités, elles aussi vitales ! �� 34
3.4 La nécessité de faire évoluer en permanence la politique
de sécurité avec la taille de l’entreprise �� 35
3.5 Une succession rapide de révolutions à intégrer pour les e-marchands �� 37
4. enèse et développement d’une politique de gestion

G
des risques cyber chez les interviewés �� 39
4.1 La ligne maginot et “les” talons d’achille �� 39
4.2 Faire face dans l’urgence aux pépins petits ou gros : la démarche “réactive” �� 39
4.3 Évoluer vers une politique de pilotage du risque cyber �� 40
4.4 Une “mise sous contrôle” du risque cyber plus ou moins longue
et laborieuse qui repose sur des prérequis �� 41
4.5 La cartographie des risques : point de départ de toute
démarche de maîtrise du risque cyber �� 43
4.6 Gérer plutôt que subir le risque cyber : une nécessité �� 44
4.7 Conformité et sécurité, deux notions à ne pas confondre ! �� 45
15
SOMMAIRE
5. a gestion du risque cyber : un enjeu organisationnel

L
pour les entreprises de e-commerce �� 48
5.1 L’équipe cybersécurité �� 48
5.2 Développer une culture de la cybersécurité �� 60
5.3 L’importance de la sécurité fonctionnelle �� 63
5.4 Quel partage des responsabilités entre les parties prenantes internes ? �� 63
5.5 Être prêt à affronter la crise �� 64
6. Comment concilier e-business et sécurité ? �� 65

6.1 Fluidification du parcours client : retour en “arrière”
ou mouvement inéluctable ? Jusqu’où aller ? �� 65
6.2 Les développements “agiles” sont-ils compatibles
avec la sécurité ? �� 66
6.3 Le RSSI : intégrer la dimension business pour faire progresser la cybersécurité �� 67
6.4 Vis à vis des clients : quel discours tenir sur la cybersécurité ? �� 68
6.5 Quelles relations entretenir avec l’écosystème pour lutter contre les cyber-attaques ? �� 70
7. e what’s next en matière de cybersécurité pour

L
les sites de e-commerce : le pire est-il devant ? �� 72
7.1 Le “cloud” : cauchemar absolu ou prochain salut pour le rssi ? �� 72
7.2 L’enjeu de la protection des données personnelles est aussi organisationnel �� 75
PARTIE 2
ÉTAT DES LIEUX CLÉS DE LECTURE �� 77
1. Introduction : quelques clés de compréhension �� 77
1.1 Le e-commerce :
un secteur forcément attractif pour les cyber-pirates �� 77
1.2 Motivations et modes opératoires des pirates �� 78
2. Évolutions de la nature et de la typologie des cyber-attaques �� 83
2.1 L’industrialisation des attaques �� 83

2.2 Attaques multi-vecteurs �� 84
2.3 Les bots, une menace de plus en plus présente �� 84
3. Les risques cyber pour les e-marchands �� 86

3.1 Les risques cyber vus par les assureurs �� 86
3.2 Les conséquences financières du risque cyber :
exemples chiffrés �� 87
16
SOMMAIRE
PARTIE 3
COMMENT METTRE EN ŒUVRE ET RENFORCER
UNE VÉRITABLE POLITIQUE DE CYBERSÉCURITÉ
POUR UN SITE DE E-COMMERCE �� 91
1. utils de diagnostic permettant de situer la maturité
O
d’un site de e-commerce en matière de cybersécurité �� 91
2. Principales étapes de la démarche de mise sous contrôle du risque cyber ��93

2.1 L’homologation de sécurité en 9 étapes �� 93
2.2 La protection contre les cyber-attaques
n’est pas le privilège des grandes entreprises ! �� 96
2.3 Offre globale d’évaluation 360° du risque cyber
pour les e-commerçants �� 98
3. Panorama des solutions techniques et organisationnelles �� 101

3.1 Panorama des solutions techniques �� 101
3.2 Le waf, la première ligne de défense du e-commerçant �� 103
3.3 Les cyber-assurances �� 104
3.4 Cyber-incident : comment gérer la communication ? �� 111
3.5 Les bugs bounties �� 117
3.6 L’analyse de risque ��123
3.7 Le test d’intrusion �� 127
3.8 L’analyse inforensique �� 133
4. oûts économiques de la mise en œuvre d’une politique

C
de cybersécurité pour un site e-marchand ��140
Partie 4
ANNEXES �� 143
1. Recommandations anssi �� 143
1.1 Recommandations relatives à la protection des sites
contre les défigurations �� 143
1.2 Recommandations relatives à la protection des sites
contre les attaques en déni de service �� 144
2. Ressources utiles �� 147

2.1 Guide des bonnes pratiques �� 147
2.2 Études / données de référence �� 148
2.3 Solutions & prestataires �� 148
2.4 Organismes publics �� 148
2.5 Associations �� 149
2.6 Autres �� 149
2.7 Formations �� 149
17
18
PARTIE 1 | 1. PRÉSENTATION DES INTERVIEWÉS
PARTIE 1
TÉMOIGNAGES : LA GESTION
DU RISQUE CYBER AU QUOTIDIEN
VUE PAR LES E-MARCHANDS
1. PRÉSENTATION DES INTERVIEWÉS
ACCORHOTELS.COM
L’ensemble des réservations géré par le système central du groupe ACCORHOTELS (qui comprend en
plus des réservations purement internet des sites ACCORHOTELS, les réservations issues des plates-
formes de réservation externes de type booking) représentent 60 % du chiffre d’affaires du groupe.
Les réservations purement e-commerce (réservations passées sur les sites ACCORHOTELS) avoisinent les
80 000 réservations par jour, soit un tiers du chiffre d’affaires.
Arnaud TREPS est directeur adjoint de la sécurité informatique du groupe

ACCORHOTELS.
Après quelques années en tant que développeur et administrateur de réseaux, il rejoint
l’univers de la sécurité informatique en tant que “penetration tester”. Depuis 10 ans dans
les équipes sécurité informatique ACCORHOTELS, lui et ses équipes accompagnent
les grands projets du groupe. Il participe notamment aux travaux du CLUSIF sur la sécurité des applica-
tions Web.
Matthieu LE LOUER est directeur des systèmes de paiement client.

Après une quinzaine d’année dans le monde de la réservation hôtelière et la distribution
e-commerce, directe comme indirecte, Matthieu a rejoint l’univers du paiement
e-commerce en 2012. Il est aujourd’hui en charge des systèmes de paiement de proximité,
de paiement en ligne, et de gestion de la fraude.
VOYAGES-SNCF.COM
Voyages-sncf.com emploie plus de 1000 collaborateurs, répartis sur plusieurs sites (Paris, Madrid,
Bruxelles…). Le groupe a réalisé un volume d’affaires de 4,32 milliards d’euros en 2015.
L’équipe sécurité compte aujourd’hui sept personnes. Selon Emmanuel Cordente, la taille de cette équipe
s’inscrit dans la norme. Au-delà de l’équipe l’intégration du volet sécurité dans les missions de chaque
collaborateur est fondamentale. L’équipe sécurité est rattachée au directeur général de l’entité “VSC
Technologies”. En plus d’être la DSI de Voyages-sncf.com, cette entité est également éditrice et fournisseur
de solutions pour le compte de clients externes au sein de la galaxie SNCF. VSC Technologies gère par
exemple le site sncf.com ou les applications mobiles. Elle prend en charge également des infrastructures
“Big data” pour la SNCF.
19
Le périmètre de l’équipe de sécurité s’étend à tous les sujets traitant de la malveillance, à l’exception des
sujets relatifs à la “fraude au paiement”. Ces sujets sont traités par une équipe dédiée, en raison de leur
caractère très spécifique.
Emmanuel Cordente est Responsable de Sécurité des Systèmes d’Information (RSSI).

Depuis 6 ans chez Voyages-sncf.com et passionné par la technique, Emmanuel a eu l’occa-
sion d’évoluer au travers des différents métiers du logiciel (développement, architecture,
gestion de projet) et des infrastructures systèmes et télécoms, avec un attrait important
pour les sujets sécurité.
Il participe à la formation des futurs talents, en enseignant les méthodes de développement sécurisé
à l’école des Mines de Nantes.
Emmanuel est le fondateur du “Cercle des RSSI du Web”, qui rassemble les RSSI des principaux sites
d’e-commerce français.
FNAC.COM
Le Groupe FNAC est une entreprise de distribution de biens culturels, de loisirs et de produits techniques.
Leader en France et acteur majeur dans les pays où il est présent (Espagne, Portugal, Brésil, Belgique,
Suisse, Maroc, Qatar, Côte d’Ivoire), le Groupe FNAC dispose à fin juin 2016 d’un réseau multi-format de
205 magasins (dont 125 magasins en France), des sites marchands avec notamment fnac.com, positionné
3ème site de e-commerce en termes d’audience en France (près de 10 millions de visiteurs uniques/mois).
Acteur omni-canal de référence, le Groupe FNAC a réalisé en 2015 un chiffre d’affaires consolidé
de 3,876 milliards d’euros et emploie 14 100 collaborateurs.
Corinne Noël occupe la fonction de RSSI de la Fnac.

À ce titre, ses missions portent, entre autres, sur la définition et la communication de la
politique de sécurité du SI, sur la gestion et sur l’actualisation de la cartographie des risques
pour l’ensemble du groupe. Son périmètre couvre à la fois les magasins physiques et le
“on line”, en France et à l’international.
Avec la généralisation du digital, la cybercriminalité est une menace réelle qui prend de nombreuses
formes à travers les attaques informatiques (virus, attaque DDOS, tentative d’usurpation d’identité… ).
Il revient à Corinne Noël de s’assurer que les moyens de protections mis en œuvre sont adéquats et efficaces.
VESTIAIRE COLLECTIVE
Vestiaire Collective a été lancé en octobre 2009 avec l’intention d’offrir une plate-forme communautaire
sur laquelle les membres pourraient acheter et vendre, dans les meilleures conditions, des vêtements et
accessoires de mode haut de gamme et luxe d’occasion. Le catalogue est composé des pièces les plus
inspirantes provenant de garde-robes de centaines de milliers d’utilisatrices dans le monde. Près de
100 000 nouvelles personnes s’inscrivent chaque mois, et rejoignent une communauté internationale
de 4 millions de membres. Ceux-ci sont à l’origine de plus de 3 millions d’interactions chaque mois. À ce
jour, 180 personnes sont employées par la start-up et réparties dans les bureaux de Paris, NYC, Londres,
Berlin et bientôt Milan et Madrid.
Alexandre Cognard est l’un des cofondateurs de Vestiaire Collective.

Il en est aujourd’hui le CTO.
À ce titre, il a la responsabilité de l’ensemble des équipes techniques qui administrent
et font évoluer la plate-forme technique. La sécurisation du système informatique rentre
également dans son périmètre.
20
Franck Boniface est vice président exécutif de Vestiaire Collective.

Il se présente comme “une pièce rapportée” à l’aventure originelle de Vestiaire Collective.
À la demande du conseil, il est venu soutenir l’équipe il y a trois ans et demi, à la moitié
de son histoire. Franck a en charge la partie administrative, financière, juridique mais
également la “Business Intelligence”.
La connaissance des comportements clients est une dimension essentielle du business modèle de
Vestiaire Collective. C’est la raison pour laquelle Vestiaire Collective attache une attention particulière
au stockage et à l’exploitation des données clients.
VENTE-PRIVEE.COM
Spécialiste depuis plus de 20 ans du déstockage dans l’univers de la mode et de la maison, vente-privee.
com organise des ventes événementielles de produits de grandes marques dans tous les domaines :
prêt-à-porter, accessoires de mode, équipement de la maison, jouets, articles de sport, high-tech, gastro-
nomie… Une relation directe avec plus de 3 000 marques partenaires dans toute l’Europe permet de
proposer des prix fortement décotés.
Damien CAZENAVE a été nommé CISO dans le groupe vente-privee.com en mai 2016.
Débutant chez Cdiscount il y a 15 ans, Damien CAZENAVE a d’abord intégré l’équipe Réseau
et Système au sein de la DSI avant d’en prendre la responsabilité. En 2009, il est nommé
Directeur de la Sécurité SI du groupe Cdiscount/Cnova. Damien se considère comme
un “touche-à-tout de l’informatique” avec un goût personnel prononcé pour la sécurité
informatique. Il est également co-organisateur de la Sthack, un événement annuel dédié à la sécurité
informatique avec des conférences sur des travaux de recherche en sécurité.
RAJA.FR
Le groupe Raja, créé il y a 60 ans, est une entreprise familiale. Le groupe Raja compte plus de 500 000 clients
en Europe à qui il propose une large gamme de produits d’emballage (10 000 produits disponibles).
L’activité principale de Raja est la distribution de cartons, d’emballage, de calage… Le groupe ambitionne
d’être, pour toutes les entreprises clientes, le partenaire privilégié pour leurs achats de consommables et
d’équipements d’emballage. Le groupe est implanté aujourd’hui dans 15 pays européens au travers de
18 sociétés. Il a réalisé un chiffre d’affaires de 475 millions d’euros en 2015. Il compte 1600 collaborateurs.
Marc Le Guennec est le DSI du groupe RAJA.

La direction informatique compte 30 personnes (production, étude, développements, et
exploitation). Sur un certain nombre de domaines fonctionnels, les filiales du groupe Raja
disposent de leur propre SI indépendant du reste du groupe. Le site internet en revanche,
fait partie des briques mutualisées. Il est administré techniquement par les équipes SI du
groupe et fonctionnellement par la Direction marketing Web. Le site “cœur” est décliné en 16 versions
différentes pour chaque pays. L’équipe Web compte une quinzaine de personnes. Il existe une grande
proximité entre les équipes SI et Web.
SITEDEECOMMERCE.COM
Ce site de e-commerce, interviewé dans le cadre de ce Livre Blanc, a souhaité que son témoignage reste
anonyme. Il sera nommé “SiteDeEcommerce.com” dans la suite du document et la personne interviewée :
“Charles”.
21
SiteDeEcommerce.com existe depuis le début des années 2000. La société emploie environ
500 personnes et a réalisé un chiffre d’affaires supérieur à 250 millions d’euros. Le groupe est présent à
l’international.
Charles travaille depuis plusieurs années chez SiteDeEcommerce.com. Il fait partie des
équipes “métier” qui travaillent quotidiennement avec la DSI.
La capacité de SiteDeEcommerce.com à innover ajoutée à l’avantage concurrentiel qu’il tire
de la technologie sont, selon Charles, deux facteurs qui exposent plus particulièrement
SiteDeEcommerce.com au risque de cyber-attaques.
Assez récemment, SiteDeEcommerce.com a été victime d’une attaque par déni de service. Fort heureuse-
ment, seuls certains serveurs ont été atteints. Pendant quelques heures, certaines commandes n’ont pas
pu être prises, ce qui s’est traduit par une perte de chiffre d’affaires.
LES ENCADRÉS
“POINTS DE VUE DU JURISTE”
qui jalonnent ce Livre Blanc donnent un éclairage juridique sur la
réglementation en vigueur concernant la cybersécurité. Ils ont été
rédigés par le cabinet Caprioli & Associés que nous remercions
chaleureusement.
Le droit au service de la confiance numérique.

Cabinet fondé en 1995 par Maître Éric Caprioli, (avocat à la Cour et membre de la délégation
française à l’ONU sur le commerce électronique), l’équipe, basée à Paris et Nice, est entièrement
dédiée au droit de l’informatique, du numérique et des propriétés intellectuelles. Le cabinet
accompagne des grands comptes, des PME innovantes dans le développement de leurs projets
technologiques et de transformation digitale. Il les assiste dans la mise en conformité de leurs
données personnelles et dans leurs négociations contractuelles. L’équipe s’illustre également
dans la gestion des contentieux et arbitrages technologiques, commerciaux et de propriétés
intellectuelles. L’approche suivie se fonde sur une longue et riche expertise reconnue sur la place.
Le cabinet a développé des méthodologies spécifiques dans tous ses domaines d’activité. Fort de
sa connaissance approfondie des éléments techniques et sécurité ainsi que des métiers, le cabinet
appréhende les besoins client afin de déterminer les solutions juridiques optimales en correspon-
dance avec la stratégie de l’organisation (LegalMix ©).
L’esprit du cabinet se caractérise par : ouverture, écoute, agilité, pluridisciplinarité, rigueur et

originalité.
Éric A. CAPRIOLI, avocat à la Cour de Paris, Docteur en droit

Pascal AGOSTI, avocat associé, Docteur en droit
Ilène CHOUKRI, avocat associé, Docteur en droit
22
PARTIE 1 | 2. ÉVOLUTION QUANTITATIVE ET DE NATURE DES CYBER-ATTAQUES
2. PERCEPTION DES INTERVIEWÉS SUR L’ÉVOLUTION

DES CYBER MENACES
2.1 UN PHÉNOMÈNE QUI N’EST PAS NOUVEAU MAIS QUI PREND
BRUTALEMENT DE L’AMPLEUR EN ÉVOLUANT PROFONDÉMENT
Les cybers-attaques :
“Toujours plus loin, toujours plus vite, toujours plus sophistiquées”
L’ensemble des interviewés est unanime sur ce point : les cyber-attaques se sont multipliées au cours des
deux dernières années même si comme le souligne Alexandre Cognard (vestiairecollective.com), qui avant
de créer Vestiaire Collective a travaillé dans une agence Web, le sujet de la cybercriminalité ne peut pas
être, en lui-même, considéré comme nouveau.
Emmanuel Cordente (voyages-sncf.com) a la sensation que la menace augmente d’année en année : “ça va
toujours plus loin, ça va toujours plus vite, c’est de plus en plus sophistiqué” résume-t-il. “C’est d’autant plus
vrai pour les grosses entreprises comme la nôtre qui sont par définition plus exposées. On est attaqué en
permanence” déclare-t-il.
Mais, le constat de la recrudescence des cyber-attaques n’est évidemment pas l’apanage des très gros
e-commerçants ; il est partagé quelle que soit la taille de l’entreprise.
Marc Le Guennec (raja.fr) constate lui aussi un accroissement fort des cyber-attaques : “Nous sommes
quotidiennement la cible d’attaques virales. Elles sont heureusement bloquées par les antivirus que nous
avons développés” déclare-t-il.
Ce constat, certes bien réel, est très largement amplifié par le traitement médiatique dont il fait l’objet.
Pour Alexandre Cognard (vestiairecollective.com), les cyber-attaques sont devenues un sujet “grand public”.
La recrudescence des attaques ciblées

Alexandre Cognard (vestiairecollective.com) confirme que Vestiaire Collective, comme les autres sites
d’e-commerce, fait face à deux types d’attaques : des attaques non-ciblées - les plus nombreuses et qui ne
requièrent pas de compétences pointues pour les hackers - et d’autre part des attaques ciblées.
Arnaud Treps (accorhotels.com) résume ainsi la situation vécue par l’ensemble des interviewés : “Pendant
longtemps, la majorité des attaques était “non ciblées”. Les sites étaient attaqués du seul fait qu’ils géné-
raient du trafic. Les pirates procédaient de façon aléatoire. Ils ciblaient les sites tout azimut. Et, finalement,
c’étaient les sites les plus vulnérables qui étaient attaqués en priorité. L’objectif poursuivi par les pirates
n’était pas forcément le vol de données. Aux yeux des hackers, seul comptait le trafic généré par le site
pour pouvoir détourner trafic ou diffuser un virus. Le résultat n’en restait pas moins désastreux en termes
d’image pour les sites touchés. Maintenant, nous devons faire face au développement d’attaques ciblées.
Si elles réussissent, certaines d’entre-elles peuvent avoir un retentissement médiatique très fort”.
23
L’attaque par déni de service

L’attaque par déni de service n’est pas non plus un phénomène nouveau mais lui aussi tend à se dévelop-
per de manière préoccupante. Elle consiste pour un hacker isolé ou une organisation plus structurée à
menacer sa “cible” de faire “tomber le site” si cette dernière ne s’acquitte pas d’une somme souvent libellée
en bitcoins.
Arnaud Treps (accorhotels.com) constate que ces chantages sont de plus en plus fréquents ces derniers
temps, même si, fort heureusement ils ne sont que très rarement suivis d’effet.
Marc Le Guennec (raja.fr) indique que le site a été récemment l’objet d’une attaque de ce type. Une adresse
IP basée à l’étranger a tenté de rendre indisponible le site en envoyant massivement des requêtes, pen-
dant une durée de 48 heures. Fort heureusement, cela n’a pas provoqué l’indisponibilité complète du site,
uniquement un certain ralentissement qui a duré le temps nécessaire pour repérer l’adresse IP et pour la
Black lister.
Si le chantage au déni de service se développe, pour Arnaud Treps (accorhotels.com) : “il reste hors
de portée du premier venu. Il repose essentiellement sur le bluff”.
Le chantage par déni de service nécessite en effet des moyens techniques et financiers. Le pirate doit
pouvoir s’appuyer sur un nombre conséquent d’ordinateurs. Soit le pirate décide de se constituer
lui-même son pool d’ordinateurs asservis et cela lui prendra du temps, soit il décide “de louer” des
ordinateurs asservis à des organisations qui opèrent des “botnets” et cela lui coûtera de l’argent.
Les botnets sont des “réseaux de machines infectées”. Il y a une vingtaine d’années, lorsqu’un ordinateur
était infecté, l’ordinateur ne marchait plus. Aujourd’hui, les virus se comportent comme des “chevaux de
Troie”. Ils sont physiquement présents sur les machines. Ils sont connectés au serveur du pirate duquel
ils reçoivent des ordres.
Pour constituer le réseau, les opérateurs de botnet ciblent prioritairement les sites à fort trafic à partir
desquels il est possible d’infecter en masse un nombre très important d’ordinateurs.
Selon Damien Cazenave (vente-privee.com), l’attaque par déni de service est incontestablement un sujet
majeur, qui peut avoir des conséquences financières très importantes pour une entreprise, mais sur
lequel elle ne peut adopter qu’une “démarche défensive”. En effet, contrairement à d’autres sujets de
sécurité sur lesquels l’entreprise peut agir en actionnant un certain nombre de leviers, en ce qui concerne
le “déni de service”, l’entreprise ne peut s’appuyer que sur des protections “externes” sur lesquelles elle a
moins de maîtrise directe. Toujours selon Damien Cazenave (vente-privee.com), des solutions existent
contre ce type d’attaques, mais elles sont encore très perfectibles.
Suite à l’attaque dont a été victime le site raja.fr, une solution logicielle sur les serveurs a été mise en place.
Elle permet notamment de contrôler le nombre d’accès aux serveurs et le nombre d’accès effectués
à partir d’une même adresse dans un même laps de temps en vue, le cas échéant, de pouvoir black lister
une adresse IP suspecte. Des sondes ont également été installées. Elles permettent de détecter toute
évolution anormale du trafic (hausse du nombre de requêtes).
24
LE POINT DE VUE DU JURISTE

LES ATTAQUES DOS (DENIAL OF SERVICES)
ET DDOS (DISTRIBUTED DENIAL OF SERVICES)
Les cyber-attaques de toutes sortes (ran- il faut réunir un élément matériel et un élément
somware, man in the middle et autres angli- moral. Ici, l’élément matériel est constitué
cismes évocateurs) se généralisent. L’attaque par le fait “d’accéder” (ou de se maintenir)
par déni de service (ou son anglicisme denial of dans un système automatisé de données,
services) – bien qu’existant depuis les débuts de voir d’en altérer le fonctionnement.
l’informatique en réseau – en reste l’exemple le
Ainsi, dans le cadre d’une attaque par
plus emblématique. Ce type d’attaque consiste
DDoS, l’attaquant reste “en périphérie” du
à envoyer un nombre très important de re-
serveur. Il ne fait que contacter le serveur
quêtes à un site afin de le rendre indisponible,
par un moyen “normal”. En aucun cas il ne
à partir d’une même adresse IP (attaque DoS
pénètre le serveur au sens d’accéder à des ré-
classique) ou de plusieurs serveurs (attaque
pertoires, données ou interfaces sécurisées. Un
DDoS).
tel procédé revient à ce que des milliers de
Les attaques DDoS sont les moyens d’ac- personnes frappent quasi simultanément à
tion préférés des Anonymous. Certains types la porte du serveur. Le site internet ne peut
d’activités sont davantage touchés que d’autres pas accueillir toutes ces demandes : il sature et
tels que le e-commerce et les institutions finan- devient incapable de répondre à d’autres utili-
cières. À ce titre, l’ANSSI préconise de “prendre sateurs et peut alors être totalement et dura-
un certain nombre de mesures techniques et blement bloqué. L’élément matériel de l’infrac-
organisationnelles afin d’anticiper les risques”. tion ne semble donc pas “réellement” constitué
Ces attaques sont très souvent lourdes de faute d’accès ou de maintien dans le serveur.
conséquences (pertes financières, matérielles).
L’article 323-2 du Code pénal semble plus
Cependant, les contrer semble parfois illusoire
adapté en ce qu’il sanctionne le fait d’entraver
dans la mesure où les serveurs ne sont pas tou-
ou de fausser le fonctionnement d’un système
jours suffisamment sécurisés.
automatisé de données. L’élément moral de
Dans un guide publié en mars 2015 “Com- cette infraction tient dans l’intention d’en-
prendre et anticiper les attaques DDoS”, traver le fonctionnement. En revanche, il
l’Agence donne les clés essentielles sur les me- n’est pas nécessaire de prouver une intention
sures à prendre. Après avoir détaillé les diffé- de nuire. Or, ce genre d’attaque a pour objec-
rents types d’attaques et les parades à mettre tif de paralyser le fonctionnement d’un site, de
en œuvre (filtrage, segmentation du réseau, le mettre hors service. Dès lors, la démonstra-
moyens humains, méthodes de détection…), tion de l’intention d’entraver sera grandement
elle rappelle l’obligation de notification des facilitée par les constats matériels prouvant
failles de sécurité qui pèse sur les Opérateurs le montage du dispositif spécifique nécessaire
d’Importance Vitale ainsi que la possibilité de pour mener à bien l’attaque. L’élément maté-
déposer une plainte pour atteinte aux Systèmes riel renvoie à un acte positif de la part du
de Traitement Automatisé de Données (STAD) “pirate”. Cependant, il est nécessaire de vérifier
conformément à l’article 323-1 du Code pénal si les agissements du “pirate” constituent une
(“Le fait d’accéder ou de se maintenir, fraudu- entrave au système automatisé de données
leusement, dans tout ou partie d’un système puisque ce n’est qu’à cette condition que son
de traitement automatisé de données est puni comportement pourra être sanctionné par ce
de deux ans d’emprisonnement et de 60 000 € texte (5 ans d’emprisonnement et 150.000 eu-
d’amende). Or, un site internet est un STAD. ros d’amende).
Pour qu’une infraction pénale soit caractérisée,
25
Le développement du ransomware
Le chantage au vol de données est une autre possibilité de chantage. Dans ce cas, le maître chanteur
exhibe quelques données sensibles qu’il a été en mesure de subtiliser et tente de faire chanter sa cible en
la menaçant de divulguer l’intégralité de la base de données.
Les attaques de type “ransomware” sont apparues assez récemment chez raja.fr. Marc Le Guennec (raja.
fr) constate que généralement ce type d’attaques est difficile à contrer car, dans le cas des “ransomware”,
le virus n’est pas propagé de l’extérieur mais de l’intérieur, au moyen d’une simple clé USB par exemple.
“Face à ce type d’intrusion, on est relativement démunis” déplore Marc Le Guennec. “Interdire l’introduc-
tion de tout support externe sur le réseau interne de l’entreprise n’est plus possible de nos jours”. Fort
heureusement, Marc Le Guennec constate que les conséquences de ces attaques sont restées mineures
chez Raja. Il a été possible de restaurer les données grâces aux sauvegardes régulièrement effectuées.
“LE TRAITEMENT MÉDIATIQUE DES VOLS DE DONNÉES

LES PLUS SPECTACULAIRES DÉFORMENT LA RÉALITÉ DU TERRAIN”
selon Alain Bouillé, président du CESIN
L’enquête menée par le CESIN (*) montre qu’en matière d’attaques, les entreprises se sentent
particulièrement exposées au vol ou à la fuite d’informations ou de données et aux attaques
virales. Mais dans les faits, l’attaque la plus fréquente est la demande de rançon (ransomware).
Ce décalage entre perception et réalité s’explique, selon Alain Bouillé, par l’abondant traite-
ment médiatique dont ont fait l’objet les cas de vol de données les plus spectaculaires.
Forcément, ce traitement amplifie l’occurrence de ce type d’incidents dans l’imaginaire des
responsables de la sécurité.
Selon Alain Bouillé, “avec le ransomware, on est revenu à la propagation de virus semi-ciblée ;
l’époque où un grand nombre de personnes recevait le même virus au même moment, même
si avec le ransomware, ce n’est pas exactement le même virus mais souvent des variantes qui
sont propagées. En s’appuyant sur des moyens informatiques devenus très accessibles tech-
niquement et économiquement, le but poursuivi est de récupérer quelques centaine d’euros
jusqu’à plusieurs milliers, en ciblant le plus largement possible y compris les particuliers”.
Pour Alain Bouillé, la meilleure parade contre les ransomware, reste les sauvegardes
fréquentes et déconnectées du SI !
(*) Sondage réalisé par OpinionWay pour le CESIN, auprès de 125 membres du CESIN, du 8 au 22 décembre 2015.
26
Alain Bouillé est le directeur de la sécurité des systèmes d’Infor-

mation du Groupe Caisse des Dépôts. Il est en charge de l’élabora-
tion de la politique de sécurité du Groupe, de la coordination et
du pilotage de sa mise en œuvre dans les entités du Groupe et du
contrôle de son efficacité.
Jusqu’en 2001, Alain Bouillé était RSSI du Groupe La Poste où il

exerçait des fonctions similaires.
Alain BOUILLÉ Il a auparavant été en charge du programme sécurité du système

PRÉSIDENT DU CESIN d’information chez JPMorgan pour les régions Europe et Afrique.
Il préside depuis juillet 2012 le Club des Experts de la Sécurité de

l’Information et du Numérique (CESIN) regroupant plus de 270 RSSI
de grandes entreprises. Il est également membre du CLUSIF,
du club R2GS, du CIGREF et du Cercle Européen de la Sécurité et
est certifié CISM.
LE CESIN
Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une associa-
tion loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion
et de partage autour de la sécurité de l’information et du numérique.
Le CESIN est un lieu d’échanges de connaissances et d’expériences qui permet la coopération

entre experts de la sécurité de l’information et du numérique et entre ces experts et les
pouvoirs publics.
Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et
de conseil, organise des congrès, colloques, ou conférences.
Il participe à des démarches nationales dont l’objet est la promotion de la sécurité de l’infor-
mation et du numérique. Il est force de proposition sur des textes réglementaires, guides
et autres référentiels.
Le CESIN réunit plus de 250 membres issus de tous secteurs d’activité publics et privés :
des membres actifs, responsables de la sécurité de l’information dans leur organisation,
des membres associés, représentants de diverses autorités en charge de Sécurité de
l’Information au plan national, des juristes experts de la sécurité IT.
27
Les logins et les mots de passe plus précieux

que les 16 chiffres d’une carte bleue ?
En étudiant le nombre de tentatives de connexion sur un site, AccorHotels a pu constater une hausse
significative des tentatives d’identification sur l’“espace client”. Pour Arnaud Treps (accorhotels.com), la
raison est simple : les tentatives de connexion à partir de listes d’identifiants et de mot de passe récupérés
à partir de sites piratés et qui sont essayés en masse sur le site d’AccorHotels.
Au cours d’une journée standard, accorhotels.com dénombre 2,5 millions de tentatives d’authentification,

parmi lesquelles plus de 2 millions sont bloquées. Cela donne un bon ordre d’idée de l’ampleur du phéno-
mène ! Le faible taux de succès de ces tentatives s’explique principalement par le faible taux de recouvre-
ment entre les bases de clients piratés et la base des clients d’AccorHotels.
Ce constat fait dire à Arnaud Treps : “les bases de données contenant des adresses e-mails sont mainte-
nant aussi attaquées que celles contenant des numéros de carte de crédit”.
Les cas de vols massifs de données bancaires, particulièrement aux États-Unis, sont abondamment re-
layés dans la presse. Mais, il ne faut pas oublier que le système de protection des cartes bancaires est très
différent du nôtre en Europe. Selon Arnaud Treps, objectivement, avec les 16 chiffres d’une carte de crédit
les possibilités de fraude en Europe restent limitées. L’authentification du porteur de la carte grâce au
procédé 3D Secure est de plus en plus utilisée par les sites de e-commerce. En Europe, le paiement
de proximité nécessite une carte à puce, contrairement aux États-Unis où la bande magnétique, beaucoup
moins sécurisée, est encore largement utilisée.
Mais, il en va tout autrement pour un compte client, qui donne accès à un certain nombre d’informations
que les hackers peuvent plus facilement exploiter qu’un numéro de carte bancaire.
Arnaud Treps prévient : “un e-mail ou l’accès à un historique d’achats peuvent avoir autant de valeur que
le numéro à 16 chiffres d’une carte de crédit pour un pirate averti”. Lorsque les pirates disposent des deux
à la fois, les conséquences peuvent être désastreuses pour le client d’un site de e-commerce !
Damien Cazenave (vente-privee.com) confirme qu’il existe un “vrai business de la vente des identifiants
clients”. Il précise que la valeur d’un identifiant peut être indexée sur le scoring du client. Les hackers me-
surent le scoring d’un client en tentant des commandes portant sur des petits montants.
Une base de données volée contenant des e-mails clients peut servir à alimenter des campagnes de
spams parfois très personnalisés et dont la véracité de l’émetteur est très difficile à mettre en doute.
Arnaud Treps en donne ci-après des illustrations qui montrent bien l’étendue du risque.
Illustration de l’utilisation frauduleuse d’une adresse e-mail avec des données

provenant d’un historique de clients dans le tourisme en ligne.
Dans le monde du voyage, les cas de fraude reposant sur l’utilisation par les hackers de l’historique d’achats
d’un client sont connus. Un cas classique est celui d’un client qui ayant acheté un billet d’avion ou une nuit
d’hôtel, se verra proposer au moyen d’un mail “phishing”, une prestation additionnelle en lien avec ses
achats précédents. Il aura, de ce fait, moins tendance à se méfier.
Par exemple, le message du mail d’amorçage pourra être ainsi formulé : “vous avez commandé une
chambre d’hôtel de telle date à telle date : pour vous faciliter le transfert aéroport, nous vous proposons
notre service de voiturier. Pour en bénéficier et gagner du temps lors de votre check out vous pouvez
souscrire dès maintenant en ligne à ce service”. Le paiement de la prestation ira directement alimenter
le compte de l’organisation criminelle à l’origine de cette arnaque.
Des acteurs majeurs du tourisme parmi lesquels booking.com et expedia.com ont été victimes de ce genre
d’arnaques. Souvent, sans même éveiller les soupçons de ces hôteliers qui ne se rendaient compte de
28
rien, les hackers avaient réussi à se procurer les logins et les mots de passe d’hôteliers affiliés à ces plates-
formes de réservation, grâce à une première vague de campagnes de phishing ciblées.
Munis de logins et de mots de passe, les hackers pouvaient se logger aux plates-formes de réservation via
l’interface dédiée aux hôteliers. Certes, cela ne leur permettait pas d’accéder aux données bancaires des
clients mais, ils disposaient par ce moyen d’un accès complet à l’historique des clients. Pour les spécia-
listes, ce type d’attaques est connu sous le nom de “Spear Phishing”, ou “Phishing en deux coups”, qui
désigne en sécurité informatique une variante de l’hameçonnage épaulée par des techniques d’ingénierie
sociale. On le voit ; on est bien loin du mail envoyé à l’aveugle rempli de fautes d’orthographe !
Ce type d’attaques s’est développé il y a deux ans à peu près. Il pose bien entendu un problème majeur
aux plates-formes comme expedia.com et booking.com. Les enjeux sont mondiaux. La coopération entre
ces plates-formes et accorhotels.com est complète. Elle a notamment permis l’émergence de solutions
comme l’authentification renforcée des hôteliers se connectant à la plate-forme en ajoutant la vérification
des caractéristiques des ordinateurs ou de la connexion internet par lesquels transite la connexion.
Les conséquences d’un vol d’identifiant et de mot de passe peuvent être particulièrement désastreuses
pour les clients des sites qui proposent “l’achat en un clic”. Mais, les clients de sites qui ne proposeraient
pas cette fonctionnalité ne seront pas pour autant épargnés. Ces clients peuvent être ciblés par des
campagnes de phishing qui exploitent opportunément les informations révélées par l’historique des
commandes.
Le groupe dispose également d’un dispositif sur lequel il veut rester discret et qui lui permet de monitorer
finement les tentatives de connexion anormales.
Ce type de dispositif est complexe à mettre en place et nécessite d’être constamment “fine tunné”. Inutile
de préciser que le blocage des connexions au-delà d’un nombre maximum de tentatives sur un compte
est ici totalement inadapté à ce type d’attaques. Les pirates testant une à une les combinaisons identi-
fiant-mot de passe figurant sur leur liste, passent au compte suivant en cas d’échec.
Même si elles restent infructueuses, ces tentatives en masse ont un impact certain sur la sollicitation des
systèmes.
Damien Cazenave (vente-privee.com) confirme qu’il existe maintenant un certain nombre d’outils plus ou
moins sophistiqués pour endiguer ce type d’attaques. Mais, Damien Cazenave insiste sur l’importance de
“la sécurité fonctionnelle”. En cas de “Brute Force”, des tentatives en masse de connexion aux comptes
clients, rien de tel que les captcha pour stopper les tentatives automatisées !
La protection des logins et des mots de passe :

le b.a.-ba de la protection des données clients !
On sait bien que les internautes ont la fâcheuse tendance à utiliser le même mot de passe quel que soit
le site utilisé. Les conséquences de cette pratique peuvent être désastreuses quand l’un de ces sites est
piraté, comme ce fut récemment le cas pour les utilisateurs du réseau professionnel LinkedIn.
Pour Arnaud Treps (accorhotels.com), il a été intéressant de constater que, dans la foulée de l’annonce
faite par LinkedIn sur le vol de mots de passe dont il avait été victime, certains acteurs importants du net
comme Facebook ont très rapidement pris contact avec leurs propres utilisateurs. Ils ont attiré leur
attention sur le risque qu’ils encouraient à utiliser un mot de passe qui avait pu être piraté sur un autre
site que le leur.
Arnaud Treps prévient : “pour lutter contre le spam certains clients très pointilleux utilisent des adresses
e-mails spécifiques pour chaque site de e-commerce qu’ils utilisent. En cas de spam, il leur est très facile
d’identifier à partir de quel site leurs coordonnées ont été indûment utilisées” ; les sites déficients sur
ce point sont prévenus !
29
Enfin, Arnaud Treps souligne que la déficience de protection des mots de passe sur certains sites de
e-commerce et les vols que cela peut provoquer constitue un point de vigilance particulier pour la CNIL.
2.2 QUI SONT LES HACKERS ?

Finalement, les e-commerçants interrogés ont une vision assez floue de leurs “assaillants”. C’est un peu
comme s’ils avaient plusieurs visages ; de l’amateur du dimanche qui cherche une distraction au hacker
chevronné dont les motivations peuvent être très variées.
Pour Alexandre Cognard (vestiairecollective.com), une information facilement disponible et des investisse-
ments très limités font de la cybercriminalité une activité accessible au plus grand nombre. C’est indubita-
blement devenu un phénomène mondial qui revêt un incontestable attrait pour certains pays en particulier.

ATTEINTES AU SYSTÈME D’INFORMATION,
VOLS DE DONNÉES ET FUITE D’INFORMATIONS :
INFRACTIONS ET SANCTIONS
D’année en année, les risques liés aux données transmettre…” frauduleusement les données
n’ont cessé de se développer. Il est ainsi deve- contenues dans un système d’information. Cet
nu courant pour une entreprise d’être victime article réprime les fuites d’informations. Ainsi,
de vols et de fuites d’informations numériques le débat quant à l’application de l’article 311-
comme le rappelle l’affaire Orange (cf. Fiche 1 du Code pénal pour les vols de données est
Cyber Assurance). révolu. Depuis la loi du 24 juillet 2015 relative
aux renseignements, l’infraction visée à l’article
Dès 1988 (Loi Godfrain), le législateur a répri-
323-3 est désormais puni de cinq ans d’empri-
mé les auteurs de telles attaques, même si les
sonnement et de 150.000 euros d’amende.
jurisprudences en la matière sont peu nom-
breuses. Pendant longtemps, la question de L’article 323-1, al. 1 du Code pénal sanctionne
savoir si le délit de vol s’appliquait au vol de quant à lui “le fait d’accéder ou de se maintenir
données s’est posée. frauduleusement dans tout ou partie d’un sys-
tème de traitement automatisé de données”,
Le vol s’entend comme “la soustraction frau-
ce qui implique l’intention coupable dans la
duleuse de la chose d’autrui” (article 311-1 du
réalisation de ces actes. La chambre criminelle
Code pénal). Ainsi, pour pouvoir admettre qu’il
de la Cour de cassation s’est prononcée sur la
y a eu vol, encore faut-il réunir deux éléments :
distinction entre ces deux infractions (accès et
un élément intentionnel et une soustraction de
maintien frauduleux) affirmant qu’elles étaient
la chose qui suppose la disparition des don-
dissociables. La Cour relaxe le prévenu du chef
nées, ce qui n’est pas le cas pour les données
de l’introduction frauduleuse car le système
informatiques. Or, on est plutôt dans l’hypo-
en cause n’était pas protégé, alors qu’elle dé-
thèse d’un vol par reproduction des données.
clare le prévenu coupable de maintien fraudu-
Or, la loi du 13 novembre 2014 qui vise à ren- leux dans un tel système et de vol de données.
forcer les dispositions relatives à la lutte contre “Après avoir découvert que celui-ci était proté-
le terrorisme, est ainsi venue modifier l’article gé, [le prévenu] a soustrait des données qu’il a
323-3 du Code pénal en ce qu’il sanctionne utilisées sans le consentement de leur proprié-
désormais l’atteinte aux données, c’est-à-dire taire (en les publiant sur l’internet)” (Cass. crim.
le fait “d’extraire, de détenir, de reproduire, de 20 mai 2015).
30
Matthieu le Louer (accorhotels.com) souscrit à ce point de vue. Pour Matthieu le Louer, des facteurs liés
à l’environnement socio-économique peuvent indubitablement expliquer la recrudescence de la fraude :
“On a constaté que, dans certains pays subissant un ralentissement de leur activité économique, la fraude
était devenue une activité palliative pour des individus disposant d’un bon niveau de formation mais
ne trouvant pas à s’employer.
Aux antipodes de ce “hacking du tout-venant”, il existe bel et bien un “hacking d’hyper spécialistes”.
Pour Arnaud Treps (accorhotels.com) la mise en place d’un système de piratage efficace nécessite la mo-
bilisation de compétences très diverses. Arnaud Treps parle de “compétences en chaîne”. Ainsi, les com-
pétences nécessaires pour pénétrer un système informatique ne sont pas les mêmes que celles néces-
saires au recel, sur un marché parallèle, des données volées. Existe-t-il des organisations qui rassemblent
l’ensemble de des compétences nécessaires ou a-t-on à faire à des organisations de taille réduite et
adoptant un mode de fonctionnement décentralisé ? Arnaud Treps n’a pas d’avis définitif sur ce sujet.

LA SÉCURITÉ DES DONNÉES À CARACTÈRE
PERSONNEL (DCP) SUR LES SITES :
MANQUEMENT AUX OBLIGATIONS DE SÉCURITÉ
DÉFINITION DES DONNÉES tamment par référence à un identifiant, tel

PERSONNELLES qu’un nom, un numéro d’identification, des
Article 2 Loi n°78-17 du 6 janvier 1978 données de localisation, un identifiant en ligne,
ou à un ou plusieurs éléments spécifiques
Constitue une donnée à caractère personnel
propres à son identité physique, physiologique,
toute information relative à une personne
génétique, psychique, économique, culturelle
physique identifiée ou qui peut être identifiée,
ou sociale”.
directement ou indirectement, par référence à
un numéro d’identification ou à un ou plusieurs Qu’entend-on par sécurité des données ? L’ar-
éléments qui lui sont propres. Pour détermi- ticle 34 de la loi de 1978 modifiée relative à
ner si une personne est identifiable, il convient l’Informatique, aux fichiers et aux Libertés fait
de considérer l’ensemble des moyens en vue référence à l’ensemble des “précautions utiles,
de permettre son identification dont dispose au regard de la nature des données et des
ou auxquels peut avoir accès le responsable du risques présentés par le traitement” que doit
traitement ou toute autre personne. prendre le responsable de traitement afin
d’empêcher que les données ne “soient défor-
mées, endommagées, ou que des tiers non
RÈGLEMENT EUROPÉEN QUI autorisés y aient accès”. L’obligation de sécurité
VA RENTRER EN VIGUEUR est étendue au sous-traitant, c’est-à-dire à tout
LE 25 MAI 2018 organisme qui traite des données sous les ins-
Toute information se rapportant à une per- tructions du responsable de traitement (article
sonne physique identifiée ou identifiable (ci- 35 de la loi).
après dénommée “personne concernée”) est En cas de manquement à la sécurité ou la
réputée être une “personne physique identi- confidentialité des données, le responsable de
fiable” une personne physique qui peut être traitement s’expose à des sanctions pénales
identifiée, directement ou indirectement, no- [pouvant atteindre 1 500 000 euros d’amende
…/…
31
…/…
pour les entreprises en application de l’article qu’énoncées à l’article 34 de la loi.

226-17 du Code pénal] et/ou des sanctions
Le Règlement européen [RGPD], adopté le
administratives (sanctions prononcées par
27 avril dernier et qui entrera en application
la CNIL du type avertissement, injonction de
à compter du 25 mai 2018, place la sécurité
cesser le traitement ou sanction pécuniaire) qui
des traitements au cœur des principes de pro-
sont susceptibles d’être publiées.
tection des données personnelles. Selon l’article
La CNIL a toujours été très soucieuse du respect 32 du RGPD, différents critères doivent être pris
de cette obligation et les nombreuses décisions en compte par le responsable de traitement
de sanctions qu’elle a adoptées permettent de et le sous-traitant pour déterminer le niveau
mieux en appréhender les contours. de sécurité à adopter (contexte du traitement,
probabilité et gravité du risque). À l’instar de
À titre d’illustration, la CNIL a considéré que la réglementation actuelle, la logique est donc
le manquement à la sécurité des données d’adapter les mesures de sécurité aux risques
personnelles était caractérisé par la faiblesse identifiés, notamment dans le cadre de l’ana-
des mots de passe (5 chiffres au lieu de 16) et lyse d’impact (“Privacy Impact Assessment”)
par l’absence de politique de sécurité [Délibé- qui doit être menée préalablement à la mise
ration n° 2013-139 du 30 mai 2013 / sanc- en œuvre des traitements à risque (dont : les
tion pécuniaire de 10 000 euros confirmée par traitements de données sensibles à grande
le Conseil d’État]. Elle a également sanctionné échelle, la surveillance systématique à grande
l’absence de politique de gestion des mots de échelle et le profilage).
passe (accès aux comptes clients et aux postes
des salariés) et leur vulnérabilité (robustesse Le RGPD livre un certain nombre de mesures
insuffisante) [Délibération n° 2015-379 du susceptibles d’être utilisées par le responsable
5 novembre 2015 / sanction pécuniaire de de traitement en fonction du niveau de risque
présenté par le traitement (recours à la pseu-
50 000 euros]. Enfin, la CNIL a prononcé des
donymisation et au chiffrement des données,
avertissements publics afin de sanctionner des
adoption de moyens permettant de garantir
défauts de sécurité constatés dans le cadre de
la confidentialité, l’intégrité, la disponibilité et
la sous-traitance, tels l’absence d’audit de sécu-
la résilience des systèmes…).
rité des sous-traitants, l’utilisation de moyens
de communication non sécurisés, l’insuffisance Les mesures choisies afin de garantir la sécuri-
des mentions contractuelles [Délibération té du traitement devront être documentées et
n° 2014-298 du 7 août 2014 / avertissement]. communiquées à l’autorité de contrôle à pre-
mière demande.
Enfin, dernièrement, dans le cadre d’un récent
avertissement public faisant suite à un contrôle Un traitement qui ne disposerait pas de
de la CNIL réalisé en ligne [Délibération de la garanties suffisantes au regard du risque
formation restreinte n° 2016-108 du 21 avril présenté pourra exposer le responsable
2016], La CNIL a rappelé que l’existence d’une de traitement ou le sous-traitant en cause aux
sous-traitance (hébergement et gestion du sanctions prévues par l’article 83-4 du RGPD
site) n’exonérait pas la société responsable (amende jusqu’à 10 000 000 euros, et pour les
de traitement de ses obligations légales telles entreprises, jusqu’à 2 % du CA mondial).
32
PARTIE 1 | 3. VULNÉRABILITES PERÇUES FACE AUX ENJEUX DE LA CYBERSÉCURITÉ
3. PRINCIPES CAUSES DE VULNÉRABILITÉ AUX CYBER

RISQUES IDENTIFIÉES PAR LES INTERVIEWÉS
3.1 POINT COMMUN :

DES SITES QUI N’ONT PAS ÉTÉ CONÇUS NATIVEMENT POUR LA SÉCURITÉ
À la question : “considérez-vous que votre système d’information ait été conçu dès l’origine pour résister
aux cyber-attaques ?”, Marc Le Guennec (raja.fr) répond en deux temps. “En ce qui concerne l’infrastruc-
ture, la réponse est clairement oui. En termes de sécurité d’accès et de redondance, l’ensemble du
système a été pensé et conçu pour résister aux attaques externes. Notre confiance dans notre capacité à
maîtriser le risque cyber tient pour beaucoup à la qualité de notre infrastructure technique sur laquelle
nous avons énormément travaillé. Elle a été conçue par des personnes qui comprenaient les contraintes
liées à la sécurité et qui ont été capables de les intégrer. En revanche, en ce qui concerne la partie
applicative, il faut reconnaître que la dimension sécurité n’a pas été intégrée dès le départ. Notre maîtrise
du risque sur la partie applicative est encore à développer”.
Damien Cazenave (vente-privee.com) partage l’opinion selon laquelle les start-ups du e-commerce ne sont
généralement pas “Security native”. En revanche, et cela a été le cas pour les entreprises dans lesquelles
il a travaillé, certaines d’entre elles parviennent à intégrer assez tôt dans le développement, et à tout
le moins dans les phases charnières de leur transformation, la dimension sécurité. D’ailleurs, pour Damien
Cazenave, la manière dont une entreprise gère son risque cyber peut être considérée comme un bon
indicateur de son niveau de maturité globale.
Un déficit de formation des développeurs

Les interviewés constatent que, même si le recours à des progiciels pour élaborer des solutions de e-com-
merce se développe (cf. l’exemple de raja.fr), la majorité des sites a été (et reste) construite à partir de
développements spécifiques. Or, la prise en compte des exigences de sécurité par les développeurs est
encore très récente. Ce n’est pas étonnant car, jusqu’à peu, les notions de base sur la sécurité ne figuraient
même pas au programme des formations de développeurs. Arnaud Treps (accorhotels.com) constate :
“les développeurs ont tous appris le langage SQL qui permet d’interroger une base de données à distance.
Mais le risque d’une faille de sécurité par injection SQL n’était, jusqu’à peu, jamais abordé dans le cadre
de leur formation”.
Ainsi, pour Arnaud Treps (accorhotels.com), bon nombre de sites internet ont été développés par des
développeurs n’ayant très peu, voire aucune notion de sécurité. Selon lui, “l’énorme déficit de formation”
qui prévalait à l’époque de l’explosion du e-commerce peut expliquer un nombre très élevé de failles de
sécurité qui sont révélées aujourd’hui. Ce déficit de formation commence à se résorber, notamment grâce
à la formation continue que reçoivent maintenant les développeurs.
Arnaud Treps constate qu’il n’existe pas ou peu d’école du hacking. Il n’y a pas d’autre choix que celui de
l’autoformation.
Damien Cazenave (vente-privee.com) en est certain, la sécurité ne figure pas encore dans le cursus général
de la formation d’un développeur Web. En revanche, commencent à apparaître des cursus entièrement
dédiés à la sécurité.
Damien Cazenave dresse ce constat sévère sur les C.V d’étudiants qu’il reçoit : “le niveau général est assez
faible ! Les meilleurs sont ceux qui, en plus du cursus de formation, travaillent sur des projets personnels
de sécurité”.
33
La dimension sécurité largement sous-estimée, au début,

par les éditeurs de logiciels
Pour Arnaud Treps, la responsabilité de la situation actuelle n’est évidemment pas à imputer uniquement
aux développeurs. Elle est semble-t-il, aussi partagée par les éditeurs de solutions. Pour Arnaud Treps
(accorhotels.com), il est ainsi cocasse de se replonger dans la littérature spécialisée vieille d’une dizaine
d’années seulement pour s’apercevoir que, la façon préconisée à l’époque par un éditeur comme
Microsoft, pour construire une page Web à partir de leur technologie ASP, était précisément le recours
à une injection SQL !
3.2 LA MAINTENANCE DES SITES :

INDISPENSABLE MAIS SOUVENT NEGLIGÉE
Les interviewés convergent pour considérer que la maintenance permanente d’un site est d’autant plus
cruciale que ce site utilise des composants standards du marché dont certains peuvent être “open source”
comme par exemple la solution “Magento”.
Or, les solutions “open source” s’enrichissent des apports variés de communautés de développeurs.
La mise à niveau de ces solutions d’un point de vue sécurité a lieu très souvent de façon incrémentale et
progressive. Des failles de sécurité sont régulièrement découvertes et de nouvelles “releases” permettent
de les corriger. Souvent d’ailleurs, ces failles de sécurité font l’objet d’une abondante documentation, très
facilement disponible par une simple recherche sur internet.
Dès lors, la seule manière pour un site de e-commerce de se prémunir contre ces failles est de mettre
à jour régulièrement la dernière version du ou des composants qu’il utilise.
Or, si le donneur d’ordre n’a pas prévu ni budgétairement ni contractuellement ces mises à jour, cela peut
lui coûter très cher sur le long terme ! Il n’est pas rare en effet que la prise en compte des dernières mises
à jour puisse avoir un impact significatif sur les développements spécifiques initialement réalisés.
Ainsi, les responsables du site peuvent rapidement se trouver face au dilemme de soit “passer à la
dernière version du composant” et de devoir développer tout ou une partie du site, soit de “rester à
la version précédente” et de s’exposer à un risque significatif de failles.
3.3 LA CYBERSÉCURITÉ :

UN SUJET PARMI TANT D’AUTRES PRIORITÉS, ELLES AUSSI VITALES !
Franck Boniface (vestiairecollective.com) résume bien l’état d’esprit d’un “startupper” dans l’e-commerce
confronté aux enjeux de cybersécurité : “nous sommes parfaitement conscients des enjeux liés à la cyber-
sécurité. Mais, dans une start-up comme la nôtre, il faut bien comprendre que nous arbitrons en perma-
nence entre les priorités ! Dans notre contexte, le savoir-faire primordial des dirigeants, c’est de choisir les
bons sujets sur lesquels concentrer son énergie. Lorsque je travaillais dans une entreprise “classique”,
j’avais l’impression de faire 60 à 70 % de ce qui devait être fait. Dans une start-up, ce ratio descend à 50 % !
Notre gestion du risque cyber n’échappe malheureusement pas à cette règle. Nous faisons le minimum
pour pouvoir couvrir l’essentiel des risques. Nous avons une approche par les risques qui est exacerbée”.
Même impression chez SiteDeEcommerce.com. Charles résume la situation par cette formule : “pour des
entreprises comme la nôtre, le principal ennemi, c’est l’énergie que l’on met dans notre activité quoti-
dienne et dans la gestion de la croissance. En permanence dans l’effervescence, nous éprouvons
beaucoup de difficultés à nous poser et à prendre le recul qui serait nécessaire à la définition et à la
conduite d’une politique de cybersécurité. En attendant, on finit par penser que les cyber-catastrophes ne
peuvent arriver qu’aux autres”.
34
Combien de temps le comité de direction de Vestiaire Collective consacre-t-il aux sujets liés à la cybersé-
curité ? La réponse de Frank Boniface et d’Alexandre Cognard peut paraître abrupte mais elle a le mérite
d’être franche : 0 !
En fait, cela n’a rien d’étonnant. “Dans une petite structure comme la nôtre les sujets sont forcément
dispatchés entre nous, en fonction de nos périmètres de responsabilité respectifs. Chez nous, la cybersé-
curité n’est pas un sujet de comité de direction. C’est une série d’actions opérationnelles à mettre
en œuvre” précise Franck.
L’embauche d’un RSII n’est pas d’actualité chez Vestiaire Collective. D’autres fonctions clés pour le
développement de l’entreprise doivent être pourvues avant.
Même pour les sites de plus grande taille, les arbitrages en faveur des projets de sécurité, au détriment de
projets “business”, restent compliqués. Avec une certaine malice, Corinne Noël (fnac.com) constate que les
investissements sur la sécurité sont parfois plus facilement consentis quand ils ont un impact direct sur
le taux de disponibilité du site !
3.4 LA NÉCESSITÉ DE FAIRE ÉVOLUER EN PERMANENCE LA POLITIQUE

DE SÉCURITÉ AVEC LA TAILLE DE L’ENTREPRISE
Pour Franck Boniface (vestiairecollective.com) : “avec la croissance des effectifs, les risques directs liés à la
malveillance du personnel s’accroît inévitablement. Les risques indirects s’accroissent également. Il n’est
pas évident de gérer en parallèle le développement très fort de l’activité et la sensibilisation nécessaire du
personnel sur les problématiques de sécurité. Un employé à qui on aura volé son ordinateur portable aura
davantage en tête les conséquences de ce vol sur son activité quotidienne plutôt que le risque bien plus
important que ce vol fera courir pour son entreprise”.
Un exemple souvent donné par les interviewés est la maîtrise du processus d’habilitation. Tant d’un point
de vue technique qu’organisationnel, la gestion des habilitations qui donne accès aux différentes compo-
santes du système d’information en fonction du profil de l’utilisateur, ne peut pas se faire du jour au len-
demain. Les interviewés ont souvent décrit la situation de la façon suivante : “au démarrage d’une start-up,
chaque collaborateur dispose de son identifiant personnel. Il arrive couramment que cet identifiant donne
l’accès à l’ensemble des fonctions du back office. À ce stade du développement de l’entreprise, les clients
n’étant pas présents en masse, les conséquences d’une faille de sécurité sont généralement limitées”.
Assez fréquemment, ce mode de fonctionnement, qui repose sur la confiance et la responsabilité que
partagent les premiers participants à l’aventure entrepreneuriale, perdure jusqu’à ce que surviennent
les premiers incidents de sécurité. Ces incidents font alors prendre conscience à l’équipe dirigeante,
parfois brutalement, des risques cyber auxquels l’entreprise est exposée”.
Alexandre Cognard (vestiairecollective.com) résume ainsi: “à 20 personnes dans l’entreprise, tout le monde
se sent concerné par les conséquences qu’aurait une faille de sécurité sur l’avenir de l’entreprise. À plus
de 20, les efforts permanents de sensibilisation deviennent indispensables”.
35
VICTIME D’UN RANSOMWARE (1)

Témoignage de François Asselin, président de la CGPME
Lors d’une conférence organisée par la CGPME en novembre dernier, sur le thème de
“TPE-PME et cybersécurité”, son président, François Asselin a livré un témoignage édifiant sur
les problématiques auxquelles les PME sont confrontées.
François Asselin a relaté la mésaventure qui a failli aboutir à la perte de son entreprise fami-
liale installée dans les Deux-Sèvres, qui compte 147 salariés, avec des serveurs sur trois sites.
François Asselin raconte que tout est parti d’un mail contenant une pièce jointe, qui semblait
reprendre un fichier d’entreprise. En fait, il s’agissait d’un malware, qui a rendu tous les
fichiers de l’entreprise inaccessibles et ainsi que l’ensemble des serveurs. Un message envoyé
sur le site de l’entreprise ne laisse aucune ambiguïté sur la nature de l’attaque dont l’entre-
prise est la victime : une attaque par rançongiciel (ramsonware) : il faut verser X milliers
d’euros en équivalent bitcoins pour récupérer la clé de déverrouillage des fichiers illégale-
ment mis sous séquestre.
François Asselin décide alors de porter plainte au commissariat de Thouars (siège social
de l’entreprise) où il se rend muni de son ordinateur avec des copies d’écran.
“Je me souviens de l’accueil de la fonctionnaire : Hey chef, venez voir !
– Ah bah ça alors ! s’exclame le chef.
– Oui je viens porter plainte, poursuit François Asselin.
– C’est compliqué : comment on qualifie la plainte”, s’interroge le supérieur.
Après ce vaudeville numérique, le niveau de la discussion remonte avec la préfecture des

Deux-Sèvres contactée. “Un interlocuteur était parfaitement au courant déjà à l’époque de
ce genre de mésaventures”.
La situation aurait pu se transformer en catastrophe : “nous n’avions plus aucun accès aux
logiciels : devis des clients, paie des salariés, facturation des fournisseurs… Cela aurait pu
devenir une vraie catastrophe si nous n’avions pas sauvegardé les informations. Ça a sauvé
la boîte, sincèrement”.
Car la société Asselin SAS avait pris le soin de recourir depuis quelques années à une petite
société de services informatiques pour assurer l’infogérance de l’entreprise.
“La réponse à ce souci de cybersécurité, c’est la qualité de la sauvegarde. Il a fallu 34 heures

pour ré-installer les fichiers en place. On a perdu presqu’une journée de travail mais ce n’est
pas dramatique.”
(1) Source adapté de : http://www.itespresso.fr/
36
3.5 UNE SUCCESSION RAPIDE DE RÉVOLUTIONS À INTÉGRER

POUR LES E-MARCHANDS
Même si les sites de e-commerce peuvent être à priori tous considérés comme des entreprises “jeunes”,
elles ont déjà eu à intégrer plusieurs “évolutions majeures” (voire même des révolutions) qui ont parfois
eu des impacts très importants sur leur système d’information, mais aussi sur leur organisation interne.
Au premier rang de ces évolutions majeures, tous les interviewés citent “l’ouverture des systèmes d’infor-
mation”. C’est évidemment le propre d’un site de e-commerce d’être ouvert sur l’extérieur. Pour Emma-
nuel Cordente (voyages-sncf.com) : “depuis une dizaine d’années, les systèmes d’information sont devenus
de plus en plus ouverts et leur exposition aux risques est devenue de plus en plus grande. Le développe-
ment des interconnexions entre leurs e-commerçants et l’ensemble des partenaires avec lesquels ils
travaillent constituent pour n’importe quelle équipe en charge de la cybersécurité de vrais challenges”.
Si les sites de e-commerce sont particulièrement concernés par le phénomène de l’ouverture des
systèmes d’information, comme toutes les autres entreprises “classiques”, ils sont également impactés par
d’autres évolutions. On peut citer par exemple le phénomène du ““Bring your own device” (“apportez vos
appareils personnels” en français une pratique qui consiste à utiliser ses équipements personnels
(téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel) ou bien encore
le “shadow IT” (les systèmes d’information et de communication réalisés et mis en œuvre directement par
les collaborateurs sans que la DSI n’ait donné son aval, phénomène qui s’est développé avec l’avènement
des applications et services en mode SaaS notamment), les méthodes de développement agiles, qui
réduisent les délais de mise en production des nouvelles évolutions, mais qui peuvent du même coup
augmenter les risques de laisser passer des failles de sécurité.
L’OUVERTURE DES SYSTÈMES D’INFORMATION :

“NOUVEAU PARADIGME DE LA SÉCURITÉ INFORMATIQUE”
Alain Bouillé considère que l’ouverture des systèmes d’information vers internet qui s’est
produit à partir de la fin des années 90 et le début des années 2000 est à l’origine des
changements profonds qu’a connus récemment la sécurité informatique.
Avant, le fichier client était disponible à partir du datacenter interne à l’entreprise. Le fichier
n’était consultable que par des utilisateurs internes dûment habilités. Maintenant, le fichier
client est stocké chez un prestataire, à l’extérieur de l’entreprise. Il est disponible “en ligne”
aux utilisateurs internes mais également, potentiellement en fonction de la robustesse de la
sécurité du SI du prestataire, à l’ensemble des 4 milliards d’utilisateurs d’internet dans
le monde. Pour Alain Bouillé, nous nous situons dans un “nouveau paradigme” dans lequel de
plus en plus d’informations sont stockées, avec des moyens de connexion à ces données
de plus en plus nombreux.
L’extrême diversité des moyens de connexion

aux systèmes d’information
Pour Alain Bouillé, l’usage très généralisé des smartphones dans les entreprises pose de
nouveaux enjeux en matière de sécurité pour les entreprises. Il sonne le glas de l’espoir
de tout RSSI de pouvoir un jour maîtriser la sécurité des postes de travail.
…/…
37
…/…
Schématiquement, une entreprise se trouve face au choix suivant : soit elle choisit de gérer
une flotte de téléphones d’entreprises ce qui lui permet de maîtriser un peu mieux une
sécurité souvent perfectible, soit elle n’impose pas de restriction au choix des collaborateurs,
et elle devra alors gérer l’extrême diversité des modèles disponibles sur le marché. Mais, dans
un cas comme dans l’autre, le RSSI devra très vraisemblablement tenir compte des failles de
sécurité du système d’exploitation d’ANDROID en particulier, souvent considéré comme
vulnérable par beaucoup de spécialistes. Ainsi, même si une entreprise dispose de sa propre
flotte de terminaux, elle n’est jamais assurée à 100 % de l’invulnérabilité des terminaux utilisés
par ses collaborateurs.
En ce qui concerne les sites d’e-commerce, la problématique de la sécurité des terminaux

mobiles est d’autant plus critique qu’une entreprise de e-commerce n’a aucune maîtrise
du terminal qui se connecte à son site.
Le développement des “objets connectés” aura un impact majeur

sur la sécurité des systèmes d’information
Après l’ouverture des systèmes d’information, et l’extrême hétérogénéité des “devices”
de connexion aux SI, le développement des appareils connectés apparaît aux yeux d’Alain
Bouillé comme le troisième phénomène majeur à prendre en considération pour envisager
l’évolution de la cybersécurité.
La majorité des objets connectés actuellement commercialisés se situent encore dans

la sphère des usages personnels “locaux”. Ils n’ont pas, ou très peu d’interactions, avec des
systèmes d’information externes. Mais, dans un futur qui peut être relativement proche selon
lui, les objets connectés permettront le développement de nouveaux services qui reposeront
sur l’échange d’informations entre un “client” (l’objet connecté) et un “serveur” (le système
d’information du fournisseur de services). Des services de ce type sont d’ores et déjà propo-
sés par certaines mutuelles. Or, pour Alain Bouillé, ces objets n’ont pas été créés en tenant
compte des problématiques de sécurité. Il est dès lors à craindre qu’ils puissent servir un jour
de “passerelle” pour permettre à des hackers d’atteindre les systèmes d’information avec
lesquels ces objets connectés communiquent.
38
PARTIE 1 | 4. GENÈSE ET DÉVELOPPEMENT D’UNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWÉS
4. GENÈSE ET DÉVELOPPEMENT
D’UNE POLITIQUE DE GESTION
DES RISQUES CYBER CHEZ LES INTERVIEWÉS
4.1 LA LIGNE MAGINOT ET “LES” TALONS D’ACHILLE

Certains interviewés en conviennent ; ils ne disposent pas encore d’une gestion globale du risque cyber.
Or, comme le souligne Alexandre Cognard (vestiairecollective.com) en matière de cybersécurité, il est
impératif d’adopter “un regard à 360° en évitant de se focaliser sur un point précis au risque sinon
de laisser des failles béantes tout à côté”.
Alexandre Cognard (vestiairecollective.com) prend l’exemple du protocole de sécurité SSL sur lequel les
pouvoirs publics ont abondamment communiqué. Il constate que parvenir à exploiter une faille de ce type
nécessite un niveau de compétence déjà très élevé alors que le piratage d’un compte client peut
être beaucoup plus simple et aboutir au même résultat.
Charles reconnaît un certain paradoxe dans la façon dont sont traités les sujets de sécurité chez
SiteDeEcommerce.com. Si SiteDeEcommerce.com est extrêmement “paranoïaque” vis-à-vis des attaques
qui pourraient survenir de l’extérieur de l’entreprise, Charles constate que le niveau de vigilance est bien
moindre en ce qui concerne les risques qui pourraient venir de l’intérieur. Certains interviewés ont ainsi
l’impression de se trouver protégés du Web par une “ligne Maginot” mais, ils sont en même temps
conscients que des “chevaux de Troie” existent encore dans leur dispositif qui le rendent contournable.
Par exemple, Charles constate qu‘en théorie l’accès des télés-conseillers à internet est restreint à une “liste
blanche” de sites dûment répertoriés. Mais, dans les faits, les contrôles devraient être plus nombreux pour
être réellement efficaces. Il existe donc un risque qu’un poste de télé-conseiller puisse être infecté par un
virus. Le sujet est connu en interne. Mais, les mesures tardent à être prises, car la société souhaite faire
confiance à l’interne et ne pas imposer de mesures coupant les collaborateurs du monde extérieur.
Autre exemple : la sécurité des accès internes au réseau par les collaborateurs. Même si la culture de
l’entreprise est fondée sur la confiance et le partage (le recours à l’open source est monnaie courante),
Charles le concède : “l’accès au réseau interne pourrait être renforcé”.
4.2 FAIRE FACE DANS L’URGENCE AUX PÉPINS PETITS OU GROS :

LA DÉMARCHE “RÉACTIVE”
Quelle que soit leur taille, les interviewés admettent que c’est très souvent la survenue d’incidents (gros ou
petits) qui forcent leur organisation à réagir face aux risques cyber. Ainsi, on peut considérer que les
entreprises auxquelles les interviewés appartiennent sont toutes passées par une phase “réactive-
curative” avant, pour certaines, de s’engager dans une phase pro-active de gestion du risque cyber.
La mise en place, chez voyages-sncf.com, d’une démarche structurée de lutte contre la cybersécurité date
de cinq ans environ. Elle a fait suite à la découverte d’une faille de sécurité dont la presse s’était faite l’écho
(Canard enchaîné). Emmanuel Cordente (voyages-sncf.com) en convient : “cet incident a été un véritable
catalyseur pour renforcer la sécurité et créer une équipe dédiée à la cybersécurité”.
Charles résume ainsi la situation de SiteDeEcommerce.com sur les questions de cybersécurité : “nous
sommes encore souvent dans le curatif. C’est confrontée aux incidents que l’entreprise est capable de se
mobiliser. Par exemple, suite à la première attaque dont a été victime le site, des mesures “de bon sens”
ont été prises comme notamment le blocage de certaines adresses IP localisés dans des pays dans
lesquels le potentiel de vente était très limité.
39
Les informations personnelles dans les comptes clients étant des données sensibles, il a fallu s’adapter
aux nouvelles règles très strictes de protection des données personnelles, et revoir notamment la
politique de cryptage des mots de passe et des informations contenues dans les comptes clients, comme
celles relatives au paiement.
En l’absence de politique sécurité encore clairement formalisée, SiteDeEcommerce.com s’organise de

façon pragmatique. “Les responsabilités en cas d’incidents de cybersécurité étant assez peu définies, nous
sommes en train de mettre en place une gestion collégiale des problèmes”. Charles souligne la difficulté
de mettre en place une coordination transverse sur ce type de sujet dans une entreprise en croissance.
On constate que les équipes apprennent de la résolution des incidents précédents.
Progressivement, une nouvelle organisation sera mise en place chez SiteDeEcommerce.com. Elle
comprend une première équipe dont la responsabilité est la supervision du réseau. Une seconde dont
la mission est de s’assurer que les nouveaux projets n’induisent pas de failles de sécurité. Enfin, une
troisième équipe prendra en charge la sécurisation des processus internes.
Arnaud Treps (accorhotels.com) évoque également le traumatisme interne que peut générer la décou-
verte d’une faille de sécurité sur un site internet. Elle peut stopper net tout projet d’innovation chez un
e-commerçant, en application du fameux principe de précaution.
4.3 ÉVOLUER VERS UNE POLITIQUE DE PILOTAGE DU RISQUE CYBER

Passer d’une situation “réactive” dans laquelle l’entreprise s’efforce de corriger souvent dans l’urgence les
failles découvertes suite à un incident à une réelle politique “pro-active” de gestion du risque est un vrai
challenge que vivent au quotidien les interviewés.
VOYAGES-SNCF.COM
Emmanuel Cordente constate que la maîtrise par l’entreprise des sujets de cybersécurité est le résultat
d’un processus continu. Au départ, il a fallu repartir des “basiques” comme par exemple l’élaboration de
chartes informatiques ou l’élaboration d’une politique de sécurité. Un des premiers chantiers réalisés a
consisté à définir les responsabilités. Il fallait pouvoir répondre sans ambiguïté à la question : “qui s’occupe
de quoi sur les sujets sécurité ?”.
ACCORHOTELS
La gestion des risques est traitée au niveau global du groupe par “le comité de gestion des risques”.
Ce comité gère l’ensemble des risques y compris les risques cyber.
L’analyse globale du risque au niveau IT est menée par l’équipe sécurité directement. Elle a lieu tous
les ans. Pour se conformer aux exigences réglementaires et normatives, cette analyse est maintenant
formalisée.
Cette analyse couvre les risques perçus, leurs impacts, leur probabilité, et les mesures qui sont prises
pour atténuer le risque résiduel. Cette revue de risques permet de définir les priorités et de défendre les
budgets associés.
Cette analyse “macro” des risques est complétée par une analyse “micro” au niveau de chaque projet. Les
mêmes questions sont systématiquement posées : quelles conséquences auraient un vol de données,
que se passerait-il si certaines données étaient modifiées ou carrément supprimées ? Procéder de la sorte
permet à l’équipe de sécurité et aux équipes de développement de s’assurer qu’elles partagent bien
la même vision des risques.
Cette pratique s’inspire de méthodologies classiques d’analyses comme par exemple EBIOS et MEHARI,
des méthodologies françaises d’analyse de risque.
40
RAJA
L’exemple donné par raja.fr est intéressant car il illustre le cas de figure du recours, par un e-commerçant,
à une solution progicielle pour gérer le site internet. Le site a été développé à partir du progiciel
Intershop.
Chez raja.com, les développements du site sont pris en charge par l’intégrateur. Cet intégrateur suit les
préconisations produites par l’éditeur du progiciel (Intershop).
Marc Le Guennec (raja.fr) déclare : “nous travaillons en étroite confiance, depuis des années, avec le même
intégrateur. Aussi, nous sommes sereins sur sa capacité à réaliser les développements spécifiques que
nous lui commandons dans l’esprit du progiciel et ainsi de nous prémunir contre des risques d’incompati-
bilité avec les nouvelles versions du progiciel”.
Ces montées de version, si elles ne sont pas systématiques, sont régulières. Chaque mise en production
se fait selon les règles de l’art : une nouvelle version est systématiquement testée sur plusieurs environne-
ments, déclare Marc Le Guennec.
Si les résultats d’audits récemment réalisés ont rassuré Raja sur la qualité des développements, en
revanche, la vigilance reste de mise pour les développements qui sont réalisés en interne par l’équipe
Web. Il est arrivé que la DSI refuse la mise en ligne d’un site temporaire développé en PHP, qui manipulait
des données clients et qui présentait de trop gros risques de failles de sécurité. Marc Le Guennec recon-
naît : “en la matière, nous n’avons pas de véritable politique de sécurité. Nous agissons au coup par coup”.
4.4 UNE “MISE SOUS CONTRÔLE” DU RISQUE CYBER PLUS OU MOINS LONGUE ET
LABORIEUSE QUI REPOSE SUR DES PRÉREQUIS
Pas de stratégie de contrôle des risques cyber sans une DSI “mature”. Damien Cazenave (vente-privee.
com) insiste sur le niveau de maturité minimum qu’une DSI doit atteindre pour pouvoir mettre une
politique de sécurité efficace.
Concrètement, la mise à jour de serveurs Windows par exemple, est un travail à la fois très fastidieux et
très compliqué. Ce que l’on appelle le “Patch management” est une activité primordiale dans la gestion
de la sécurité d’une entreprise. Or, pour Damien Cazenave (vente-privee.com) : “d’expérience, on s’aperçoit
que si la DSI ne maîtrise pas suffisamment ses processus clés, il est quasiment impossible de mener à bien
une politique de sécurité”.
Damien Cazenave décrit ainsi le point qui permet à une DSI de franchir le cap : “le moment où la DSI n’est
plus en mesure de gérer manuellement l’outil informatique”. De la phase “artisanale” dans laquelle la
gestion de la croissance prime sur toute autre considération, elle doit passer à la phase “industrielle” pour
fiabiliser ses processus et pour maîtriser ses coûts.
Pour Damien Cazenave : “une DSI mature, c’est une DSI qui sait prendre du recul et se poser les bonnes
questions pour améliorer ses processus de fonctionnement sur le long terme”.
Charles (SiteDeEcommerce.com) souligne l’importance du profil du DSI pour mener à bien la mise en place
d’une culture de la sécurité, tant au niveau des infrastructures que des procédures. Charles constate que
le profil des DSI a beaucoup changé au cours des dernières années. Avant, les DSI étaient souvent
d’anciens développeurs. Ils étaient souvent issus de grosses entreprises informatiques. Leurs compé-
tences étaient très axées sur les “gros systèmes”. Leur compréhension d’internet était limitée. Le phéno-
mène “open source” leur était assez étranger. Beaucoup d’entre eux n’appartenaient pas à la génération
internet.
41
DANS LES ORGANISATIONS DE TAILLE IMPORTANTE :

ARCHITECTURE DE SÉCURITÉ MÛREMENT RÉFLÉCHIE
OU SIMPLE MILLEFEUILLE DE SOLUTIONS ?
Alain Bouillé, président du CESIN, constate que, dans les organisations de grande taille
disposant de moyens importants alloués à la sécurité informatique, il y a souvent un “empile-
ment” de solutions de sécurité ; une sorte de “sédimentation” des solutions mises en place les
unes après les autres, pour répondre de manière ponctuelle à l’apparition d’une nouvelle
menace, sans réflexion d’ensemble et encore moins selon une architecture mûrement
réfléchie.
Pour Alain Bouillé, ce “millefeuille” est en lui-même porteur de risques pour la sécurité
informatique d’une entreprise. En effet, la cohérence d’ensemble d’un tel système est très
complexe à maintenir.
C’est ainsi que l’architecture de SiteDeEcommerce.com avait été bâtie autour d’un progiciel “cœur”. Tous
les systèmes périphériques en dépendaient. Et, évidemment, si ce cœur était attaqué, c’est l’ensemble
du système qui était en danger.
La transition vers un système intégrant les fondements d’internet a été une révolution nécessaire mais
complexe à mener, selon Charles.
L’arrivée de nouveaux profils plus “jeunes” et élevés dans la culture du Web a permis de repenser de façon
substantielle l’architecture du système d’information de SiteDeEcommerce.com. Ce travail a conduit à
un cloisonnement de chaque partie sensible du SI. Maintenant, l’attaque d’une partie du système
d’information pourrait être cloisonnée beaucoup plus facilement. Les systèmes se construisent à présent
dans la logique de la “block-chain”.
Compte tenu des enjeux, repenser aussi substantiellement l’architecture du système d’information n’est
jamais un choix facile pour une direction générale. La tentation est en effet forte de vouloir contrôler les
systèmes et ne pas confier cette tâche à un prestataire ; ce qui soulève de nouveau des questions de
sécurité des données.
Or, redessiner tout le système informatique d’une entreprise nécessite forcément la mobilisation de
ressources précieuses à la “production”. Pour Charles : “il s’agit d’un arbitrage parfois extrêmement difficile
à opérer”.
Chez SiteDeEcommerce.com, une analyse de risque a été menée au niveau global de l’entreprise. Mais,
selon Charles, cette analyse est restée au niveau de la direction générale : “le travail de redescente dans
les équipes reste à mener”. Lucide, Charles constate : “à date, on ne peut pas encore dire que la sécurité
fasse partie des priorités quotidiennes des métiers hors direction technique. La rapidité et la réactivité
priment sur la vérification de la mise en place des procédures de sécurité. Ce qui est logique compte tenu
de nos objectifs de croissance”.
“Lorsque toute l’organisation est tendue vers sur la réalisation d’objectifs de croissance, il est relativement
difficile de se placer dans une démarche d’anticipation des risques” constate Charles. “On le constate au
travers de l’initiative prise par la direction financière de mettre en place un contrat de cyber-assurance.
42
Il n’y a pas de difficulté à décrire les scénarios d’incidents qui sont déjà arrivés. En revanche, se projeter
dans des scénarios de risques non encore avérés est beaucoup plus complexe”.
4.5 LA CARTOGRAPHIE DES RISQUES :

POINT DE DÉPART DE TOUTE DÉMARCHE DE MAÎTRISE DU RISQUE CYBER
Voyages-sncf.com s’est engagé dans une démarche d’analyse du risque en s’inspirant des principes de la
norme ISO 27001. Cette analyse du risque constitue le fondement de la démarche que voyages-sncf.com
a mise en place.
Chaque année, voyages-sncf.com procède à une “analyse de risque sécurité des systèmes d’information”.
Elle consiste dans un premier temps, pour les équipes sécurité, à rencontrer les “métiers”.
Par “métiers”, il faut entendre ici la business unit France, les business units spécialisées sur les marchés
européens, ou bien encore les entités dédiées à l’activité “hôtels, vols…” ou à la gestion de la publicité. En
somme, toutes les entités qui ont des objectifs business à remplir, y compris la structure interne en charge
de développer des applications pour SNCF, même si les risques sont ici de nature un peu différente.
Pour Emmanuel Cordente (voyages-sncf.com), ces rencontres entre l’équipe sécurité et les “métiers” sont
essentielles : “nous allons voir les métiers, et nous leur demandons ce qui les empêche de dormir. Nous
identifions avec eux les scénarios qu’ils redoutent le plus… Bien sûr les scénarios majeurs les plus courants
reviennent d’année en année. Néanmoins, à ces scénarios de “base”, s’ajoutent toujours de nouvelles
variantes”.
Pour alimenter la réflexion, l’équipe sécurité dresse un aperçu des différences tendances ou phénomènes
qu’ils ont observés à l’extérieur de l’entreprise. L’équipe sécurité décrit les nouveaux scénarios apparus au
cours de l’année, ainsi que les nouvelles attaques qui se sont produites et dont la presse spécialisée
(ou plus grand public) s’est faite l’écho. L’équipe sécurité mène un travail de veille constant. Il peut prendre
des formes très différentes ; échanges entre RSSI, participation à des forums, veille sur internet ou
tout bonnement la presse. Le Clusif fournit des données intéressantes même si elles ne concernent pas
spécifiquement le e-commerce.
L’ensemble des métiers de l’entreprise est interrogé.
Ensemble, les “métiers” et l’équipe sécurité évaluent l’impact de chaque scénario : évaluation des pertes
qui pourraient résulter d’un incident de sécurité, l’impact en termes d’image, impact juridique, impact
business…
Une fois la liste des scénarios les plus redoutés établie et les impacts potentiels identifiés, l’équipe
sécurité sollicite les équipes SI pour en évaluer la probabilité. Avec elles, l’équipe sécurité évalue l’état
de vulnérabilité de chaque brique du SI, l’efficacité des mesures de sécurité en place et cherche à identifier
les briques ou les événements qui pourraient provoquer les scénarios redoutés par les métiers.
L’ensemble de la démarche dure environ un mois. Elle aboutit à l’établissement d’une “cartographie des
risques”, qui elle-même débouche sur un plan d’actions qui sera suivi tout au long de l’année.
Pour Emmanuel Cordente (voyages-sncf.com), la démarche d’analyse de risque a deux bénéfices principaux.
D’abord, elle garantit à l’équipe sécurité de ne pas passer à côté d’un risque important à cause d’une mé-
connaissance des spécificités propres à chaque “métier”. Car, forcément, les conditions de marché évo-
luent d’année en année, avec l’ouverture de la concurrence. Il est à noter que ces évolutions ne modifient
pas forcément la nature du risque. En revanche, elles peuvent en modifier l’impact.
Le deuxième bénéfice de cette démarche est d’entretenir une sensibilisation permanente des “métiers”
43
sur la sécurité. Cette démarche a donc également des vertus pédagogiques, et pas uniquement auprès
des “métiers” d’ailleurs. L’analyse de risque est aussi présentée à la direction générale.
Enfin, pour Emmanuel Cordente (voyages-sncf.com), cette démarche permet également de focaliser
les efforts à bon escient et éviter de faire de la “sur sécurité” là où cela n’est pas nécessaire. En effet,
la sécurité peut être “un puits sans fond”. Il résume ainsi : “au lieu d’une équipe de six personnes, on pour-
rait être 50 ! Et on trouverait à nous occuper pendant des années. Mais, même avec une équipe
pléthorique, il serait impossible de réduire le risque à néant”.
Bref, une démarche engagée il y a cinq ans qui porte aujourd’hui pleinement ses fruits.
Pour affiner la cartographie des risques, Corinne Noël (fnac.com) procède également à des interviews
internes. Elles lui permettent d’évaluer précisément l’impact qu’aurait une indisponibilité de l’IT sur les
“métiers”. Dans le cadre de ces interviews, Corinne Noël (fnac.com) interroge également des “opération-
nels de l’IT”. Elle a en effet constaté un “certain décalage” de perception des risques entre les niveaux
décisionnels de l’entreprise et les niveaux opérationnels. Pour Corinne Noël, ces interviews lui permettent
d’affiner énormément la cartographie des risques.
4.6 GÉRER PLUTÔT QUE

SUBIR LE RISQUE CYBER :
UNE NÉCESSITÉ LA PRISE DE CONSCIENCE
Répondre aux attentes des

DES ENJEUX DE
parties prenantes et notam- CYBERSÉCURITÉ N’EST PAS
ment des investisseurs
Franck Boniface (vestiairecollective.com) GÉNÉRATIONNELLE
souligne le rôle déterminant des parte- Alain Bouillé ne voit pas de perception radi-
naires financiers pour accompagner et calement différente sur la cybersécurité
souvent “inciter” un site de e-commerce à entre les utilisateurs de la génération Y (les
s’engager résolument dans une démarche “Digital Natives”) et les autres utilisateurs ; les
de gestion “pro-active” des risques cyber. premiers seraient beaucoup plus vigilants
Frank se souvient d’entretiens auxquels il sur les aspects de cybersécurité tandis que
a dû se plier, dans le cadre de “Due dili- les deuxièmes adopteraient des comporte-
gence”, qui étaient spécifiquement dédiés ments “irresponsables” par rapport aux
à la sécurité. cyber-risques. Pour Alain Bouillé, la prise de
Franck Boniface se rappelle : “nos futurs conscience est “transgénérationnelle”.
partenaires souhaitaient mesurer concrè- Selon lui, le fossé de génération se situe da-
tement notre niveau de maturité sur la vantage au niveau des réactions des utilisa-
gestion du risque cyber, d’un point de vue teurs appartenant à des générations diffé-
technique mais aussi managériale. Pour rentes face à l’ergonomie de certaines
cela, nous avons été amenés à leur fournir applications. Alain Bouillé fait le constat que
les mémos et les plans d’actions relatifs à les développeurs qui appartiennent à “la
un incident que nous avions eu à gérer jeune génération” n’ont pas forcément les
deux ans auparavant”. mêmes réflexes en matière d’ergonomie
Pour Franck Boniface, cette exigence est que les utilisateurs plus âgés. Cela peut
parfaitement légitime de la part d’investis- aboutir à des manipulations “non prévues”,
seurs qui sont eux-mêmes soumis à de qui elles-mêmes peuvent être à l’origine de
fortes attentes de la part de leurs propres dysfonctionnements voire de failles de sécu-
actionnaires. rité de l’application.
44
Répondre aux attentes des “Digital Native”

Damien Cazenave (vente-privee.com) anticipe que les clients “Digital Native”, nés avec internet et donc à
priori plus conscients que leurs aînés des risques cyber, sont déjà et seront encore plus à l’avenir attentifs
aux mécanismes de protection des données personnelles que mettront en place les sites auxquels ils
accorderont leur confiance.
4.7 CONFORMITÉ ET SÉCURITÉ, DEUX NOTIONS À NE PAS CONFONDRE !

Arnaud Treps (accorhotels.com) insiste sur la différence qu’il voit entre “conformité” d’une part et d’autre
part “sécurité”
Il y a évidemment des recoupements, mais la conformité à une norme ne dit rien sur le niveau de sécurité
réellement atteint par l’entreprise. La conformité à une norme démontre que l’entreprise respecte à un
instant T un certain nombre de règles, règles dont la pertinence par rapport au contexte spécifique
de l’entreprise peut varier. D’ailleurs, les règles définies au sein d’une norme ne sont pas forcément
exhaustives par rapport aux risques qu’elles sont censées couvrir.
Son collègue chez accorhotels.com, Matthieu Le Louer précise que la démarche de mise en conformité
et de mise en place d’une démarche de sécurité sont deux approches qui peuvent différer fortement.
Chez ACCORHOTELS, on “se rend conformes” à la norme PCIDSS et, on déploie par ailleurs notre propre
politique de sécurité.
Cette distinction d’approche dans la gestion des risques a aussi une dimension culturelle.
Au travers de ses échanges avec ses partenaires anglo-saxons, Matthieu Le Louer perçoit qu’ils attachent
parfois autant d’importance à la conformité à la norme, que la recherche d’efficacité des mesures de
sécurité. Pour Matthieu le Louer : “l’approche anglo-saxonne donne parfois l’impression que le dédouane-
ment de la responsabilité (que permet la conformité à la norme) est parfois aussi important que la mise en
place des mesures qui empêcheraient la survenue des incidents”. Il résume ainsi : “nous, nous cherchons
avant tout à éviter que le problème ne survienne. Eux cherchent à savoir qui portera la responsabilité
si l’incident se produit”.
Arnaud Treps (accorhotels.com) souligne que la mise en conformité à une norme peut coûter très
cher. S’engager dans une démarche de mise en conformité doit résulter d’une politique d’investissements
réfléchie. Sinon, l’entreprise qui s’est lancée dans la démarche peut finalement s’apercevoir qu’elle a épui-
sé sa capacité d’investissements avant d’avoir touché au but. Et elle découvre un peu tard, qu’elle ne
dispose plus des ressources financières nécessaires pour mettre en place les mesures de sécurité
requises sur son environnement technique ! Il prévient : “la certification nécessite, pour l’entreprise,
de mettre en œuvre des processus spécifiques afin de remplir aux exigences de la norme et notamment
des processus de traçabilité et d’historisation”.
ACCORHOTELS a choisi de s’inspirer de certaines normes, notamment ISO 27 001. Mais ACCORHOTELS
trouve peu de valeur ajoutée à la certification en elle-même. “Avec la norme PCIDSS, c’est différent.
La question ne se pose pas : la certification est, dans les faits, obligatoire” précise Arnaud Treps.
45
DIFFÉRENCES DANS LA GESTION DU RISQUE EN FRANCE

PAR RAPPORT AUX PAYS ANGLO-SAXONS
par Grant Thornton
Dans son approche, la gestion du cyber-risque présente quelques différences entre la France
et le monde anglo-saxon.
Dans le monde anglo-saxon, très tôt, l’épée de Damoclès du “régulateur” et ses conséquences
ont conduit à la mise en place d’une approche pragmatique et structurée du risque. Pour n’en
citer quelques-unes autour de la conformité PCI-DSS, SOX, ou sous l’angle industriel (HIPAA,
HITECH, SEC, FFIEC…) ou encore sous l’égide gouvernementale (NIST, FTC, CMS…). Il est à
préciser qu’il n’existe pas de réglementation fédérale unique aux US. Le leadership et la pro-
duction de référentiels associés sont à la charge des agences gouvernementales ou des orga-
nisations professionnelles régissant un secteur économique. En règle générale, la politique
des États-Unis repose en grande partie sur la bonne volonté du secteur privé qui met place
différents protocoles, raisonnables et raisonnés, sur la sécurité des données, et qu’il est dans
l’intérêt des entreprises concernées d’implémenter. Ces règles et exigences corporatives et/
ou réglementaires strictes sur la protection des données, ont développé une conscience
et une sensibilisation précoce au cyber-risque, notamment quand certaines imposent une
notification de la part des entreprises en cas d’incident avéré.
L’Europe adopte une approche gouvernementale et centralisée sur la question de la sécurité

des données. Ainsi, l’Union Européenne, et de ce fait la France, s’est lancée en 2012 dans un
chantier portant sur la mise en place d’un cadre de régulation harmonisé, qui permettra de
structurer la défense contre le risque cyber en Europe (General Data Protection Directive /
Network and Information Security Directive). D’autre part, on assiste à un transfert de respon-
sabilité déjà vu dans les pays anglo-saxons par le biais de l’apparition de cyber-assurances. Ce
qui est constaté en Europe d’un point de vue réglementaire et assurantiel présente des simi-
litudes avec à ce qui est en place dans les pays anglo-saxons depuis 5 et 6 ans.
L’International Business Report (IBR) de Grant Thornton, sondage annuel réalisé en 2015
auprès de 2 500 capitaines d’industrie dans 36 secteurs économiques sur le middle-market
(50-499 employés, US$20m - US$2bn), apporte un second éclairage sur la perception et la
gestion du risque cyber. Les informations clés de cette étude nous indiquent que :
• sur le sujet des cyber-attaques, l’échantillon d’études permet de constater que 21 % des
entreprises françaises ont fait l’objet d’une cyber-attaque, contre 21 % du côté
anglo-saxon. Dans les faits, l’exposition au risque cyber des entreprises françaises est
donc sensiblement identique à celui des entreprises anglo-saxonnes. Mais on constate
par la suite que l’interprétation, la prise en compte et les moyens mis en œuvre autour du
cyber-risque ne sont pas les mêmes. Le cyber-risque est bien global, mais les actions
mises en œuvre varient d’un continent à un autre.
• 43 % des entreprises françaises interrogées considèrent les cyber-attaques comme une
menace majeure, contre 34 % pour les entreprises anglo-saxonnes. Pour expliquer cette
différence, Grant Thornton avance que le processus d’estimation des pertes est
beaucoup plus présent et mature aux USA (transparence, attentes fortes des clients /
actionnaires / partenaires…). Souvent les entreprises françaises sont moins outillées pour
le faire ou ne l’ont pas inclus dans leur cycle de gestion du risque cyber ou
communiquent très peu sur ces éléments.
…/…
46
…/…
• 18 % des entreprises de la zone euro de l’échantillon indiquent que les cyber-attaques
ont eu un impact sur la perte de leurs revenus. 40 % des entreprises nord-américaines
reconnaissent une incidence sur leur chiffre d’affaires.
• Concernant la mise en place d’une stratégie cyber, 52 % des entreprises anglo-saxonnes
ont mis en place une stratégie contre 39 % entreprises françaises.
• Les facteurs clés de la mise en place de politiques de sécurité sont également spécifiques
en fonction des régions :
- En zone euro, le premier facteur sont les exigences réglementaires (47 %), suivi en
second par la demande / les attentes des clients (35 %) et en troisième position
l’utilisation de nouvelles technologies digitales et numériques (31 %).
- Aux USA, le premier facteur est la demande / les attentes des clients (62 %), les deux
autres facteurs clés sont équivalents (49 %) : l’utilisation de nouvelles technologies di-
gitales et numériques et la réduction des coûts à long terme.
• En termes de gouvernance, le directeur des risques dispose d’une responsabilité plus
forte aux USA. Selon Grant Thornton, la gestion du risque et de la conformité est une
“discipline” très ancrée aux USA de par les contraintes réglementaires entre autre cause.
Cette fonction est donc stratégique dans le cadre de la stratégie et du pilotage des risques
des entreprises aux USA, avec cette crainte de sanctions financières très fortes en cas de
manquement à leurs obligations.
- La cybersécurité en France est à la charge à 25 % du DSI, et 4 % du directeur
de risques et dans 37 % à la charge d’autre fonction (DAF, RSSI, RSI…).
- Aux USA, la cybersécurité est à la charge à 22 % du DSI, à 26 % du directeur de risques
et dans 30 % à la charge d’autres fonctions.
47
PARTIE 1 | 5. LA GESTION DU RISQUE CYBER : UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
5. LA GESTION DU RISQUE CYBER :

UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES
DE E-COMMERCE
5.1 L’ÉQUIPE CYBERSÉCURITÉ
Positionnement du département cybersécurité

vis-à-vis du reste de l’entreprise
ACCORHOTELS.COM
L’équipe cybersécurité d’AccorHotels compte 20 personnes. Elle est rattachée au DSI.
Pour Matthieu Le Louer (accorhotels.com), l’équipe sécurité sert avant tout “d’aiguillon” pour la commu-
nauté de développeurs. Il insiste sur la nécessaire “agilité” dont l’équipe sécurité doit faire preuve.
Dans un projet informatique, c’est bien souvent la Maîtrise d’Ouvrage qui est le mieux à même d’évaluer
l’impact d’une faille de sécurité.
Mais, sur certains projets considérés comme sensibles, il arrive que l’équipe sécurité intervienne très
en amont du projet pour relire et donner son avis sur les spécifications fonctionnelles. Ce fut notamment
le cas lors de la mise en place du “one click”. Avant même que le sujet n’arrive dans les équipes IT,
l’équipe sécurité est intervenue pour évaluer l’impact d’un vol de mot de passe par exemple. Dans ce cas,
l’équipe sécurité intervient directement au niveau de la direction du programme.
Il arrive parfois que les développeurs s’adressent à l’équipe de sécurité de façon spontanée pour avoir
un avis d’expert sur la façon dont une faille potentielle a pu être corrigée.
Chez AccorHotels, a été mis en place un SDLC : Secure Development Life Circle “un cycle de développe-
ment sécurisé”, méthodologie développée par Microsoft.
Arnaud Treps (accorhotels.com) recommande la lecture d’un document intitulé “La sécurisation des
applications Web” rédigé par le Clusif, daté de 2009 mais dont les principes mis en exergue restent
encore d’actualité.
VOYAGES-SNCF.COM
La mission de l’équipe sécurité est de piloter globalement la démarche sécurité au sein de voyages-sncf.
com et de l’animer. Elle est en charge d’expliquer les enjeux, de conseiller des solutions, d’apporter de
l’expertise. Elle a également un rôle d’identification des dysfonctionnements lors des “recettes sécurité”
ou des audits qu’elle réalise. C’est ce qu’Emmanuel Cordente (voyages-sncf.com) appelle “les boucles de
rattrapage”. L’équipe sécurité propose alors des actions correctives. Mais, ce sont toujours les entités
métiers qui restent, in fine, responsables.
Selon Emmanuel Cordente (voyages-sncf.com), le service sécurité s’efforce d’être perçu par les “métiers”
plus comme une aide que comme un censeur. Dans tous les cas, l’objectif poursuivi n’est certainement pas
d’ajouter des contraintes de sécurité à des contraintes business. Mais il ajoute aussi : “voyages-sncf.com
est une grosse entreprise avec énormément de projets. Aussi, les efforts de sensibilisation et de formation
restent indispensables au succès de la démarche pour que ce soit les projets qui sollicitent d’eux-mêmes
l’équipe sécurité”.
“On connaît beaucoup d’exemples d’entreprises dans lesquelles, le service de sécurité est replié dans son
bunker et se trouve très isolé des autres équipes. C’est précisément ce que l’on veut éviter chez voyages-
sncf.com. Notre objectif est d’être proche des équipes, d’avoir des relais un peu partout, pour que la
sécurité soit omniprésente dans l’activité de chacun” résume Emmanuel Cordente.
48
FNAC.COM
En tant que RSSI, Corinne Noël est rattachée à la direction gouvernance et stratégies au sein de la DSI et
son rôle est plus fonctionnel qu’opérationnel. Aujourd’hui au sein de la FNAC, la gestion de la sécurité
se traite comme un incident de “production”. C’est le département en charge de l’exploitation qui traite
les incidents de sécurité. Corinne Noël constate que les équipes FNAC en charge de la production et les
équipes en charge de la sécurité agissent à des niveaux différents.
Des interactions multiples entre le département cybersécurité

et le reste de l’entreprise
Quelle proximité et quelles interactions entre l’équipe

sécurité et la DSI ?
Pour Damien Cazenave (vente-privee.com), il est indispensable que le département sécurité soit hébergé
au cœur de l’IT, c’est-à-dire dans le “réacteur” même de tout site de e-commerce ! Il est nécessaire que
l’IT et le département sécurité puissent travailler en étroite collaboration pour identifier ensemble
des solutions.
La sécurité doit pouvoir intégrer les contraintes du système d’information. Même s’il sait que cette
question peut faire débat, Damien Cazenave (vente-privee.com) considère qu’un même rattachement
hiérarchique entre les deux entités peut faciliter grandement les choses, et particulièrement dans le
e-commerce où 90 % des projets sont des projets à dimension IT. Aujourd’hui, chez vente-privee.com,
Damien Cazenave reporte à la fois au directeur général et au DSI.
QUELLE EST LA BONNE PLACE D’UN RSSI

DANS UN ORGANIGRAMME ?
Pour Alain Bouillé, la bonne place d’un RSSI sur un organigramme, c’est : “à l’endroit où il sera
le plus efficace !”.
Selon les statistiques du CESIN, dans 70 % des cas le RSSI est rattaché à la DSI. Mais, est-ce
forcément à la DSI qu’un RSSI est le plus efficace : certainement pas, répond Alain Bouillé !
Les 30 % restants correspondent au cas où les RSSI dépendent d’une direction des risques
ou d’une direction de la sûreté par exemple. Ces cas de figure nécessitent une organisation
particulière de l’entreprise. Des relais sécurité au sein de la DSI seront toujours nécessaires
pour superviser les aspects sécurité du réseau ou des infrastructures. Cela nécessite aussi de
mettre en place des règles de gouvernance. Selon Alain Bouillé : “Il y a équilibre de pouvoir
à trouver”.
Pour lui, la question n’est pas tant celle du rattachement hiérarchique du RSSI que celle de la
proximité que doit avoir le RSSI avec le business. Il doit sortir de son bureau et se caler à
la stratégie digitale de l’entreprise. Le RSSI qui dit non n’existe plus !
Comment mesurer la maturité du e-commerce par rapport aux enjeux de cybersécurité ?

Pour Alain Bouillé, un bon indicateur peut-être le nombre de RSSI nommés par les entre-
prises du secteur !
49
Quand et comment l’équipe cybersécurité doit-elle intervenir

dans le cycle de développement SI ?
Pour Damien Cazenave (vente-privee.com), la sécurité est un processus continu. La sécurité ne peut pas
“arriver en bout de chaîne” et se contenter d’apposer un sceau sur les projets. Au contraire, elle doit être
présente dès la rédaction des spécifications techniques. Et, Damien Cazenave de constater, “à force de
travailler très en amont avec les équipes IT, la sécurité devient une partie intégrante de chaque projet”.
La qualité devient une dimension prépondérante pour les développements. L’accroissement du nombre
de directions de la qualité au sein des directions informatiques en atteste. Pour Damien Cazenave (vente-
privee.com), il ne fait aucun doute que la sécurité fera très bientôt partie intégrante de toute démarche
de qualité.
Chez AccorHotels, il y a une “release” majeure par trimestre. Une personne du service sécurité passe deux
semaines à temps plein avant chaque “mise en production” pour vérifier sa perméabilité aux intrusions.
Les failles mineures ne remettent pas en cause la mise en production. Elles seront “monitorées” et
les corrections seront faites lors des futures “releases”.
À ce propos, Arnaud Treps (accorhotels.com) précise que souvent, ce n’est pas une faille isolée qui pose
problème, c’est souvent une combinaison de failles mineures qui peut devenir un risque majeur. En cas
de détection de failles majeures, il peut arriver que l’équipe sécurité demande l’ajournement de la mise
en production. Dans les faits, cela arrive assez rarement.
Veiller à la bonne couverture des aspects liés à la cyber sécurité dans les contrats
passer avec les prestataires : un rôle clé pour les équipes sécurité
Pour fnac.com, Corinne Nöel confirme que s’assurer que tous les aspects sécuritaires sont correctement
couverts par les contrats passés avec les prestataires figure parmi ses missions essentielles en tant
que RSSI.
Emmanuel Cordente (voyages-sncf.com) indique que, depuis plusieurs années maintenant, les contrats
liant voyages-sncf.com et ses prestataires incluent systématiquement une annexe “plan d’assurance
sécurité”.
Cette annexe est toujours spécifique en fonction du périmètre couvert par le prestataire. Les échanges
entre le département juridique et le département sécurité sont donc fréquents. Ils visent à s’assurer que
toutes les exigences liées à la sécurité sont bien reprises dans les contrats. C’est un élément essentiel du
travail de sensibilisation qu’effectue le département sécurité auprès des métiers. Car, pour gagner du
temps dans la contractualisation, la tentation est souvent forte de sous-estimer les aspects sécurité dans
les contrats.
Or, les conséquences peuvent être très préjudiciables. Si, une faille est détectée chez un prestataire dans
le cadre d’un audit une fois le contrat signé et, que la correction de cette faille n’est pas prévue au contrat,
il peut être difficile (voire coûteux) de contraindre, le prestataire à corriger cette faille potentielle qu’il aura
tendance à considérer comme bénigne.
Emmanuel Cordente se félicite que, jusqu’à présent, voyages-sncf.com ait toujours réussi par l’entremise
de ses contrats à partager la responsabilité avec ses prestataires. Néanmoins voyages-sncf.com est parfai-
tement conscient qu’en cas d’incident de sécurité majeure, c’est le site et non pas son prestataire qui aura
à déplorer le plus gros préjudice.
Le plan d’assurance sécurité répond également à un autre objectif : celui de sensibiliser le prestataire sur
les questions de sécurité. Le plan d’assurance sécurité est d’ailleurs repris systématiquement dans les
appels d’offres. La complétude avec laquelle le prestataire s’y conforme figure parmi les critères de sélec-
50
tion utilisés par VSC. Les réponses que fournissent les prestataires à la quarantaine de questions que
contient le plan d’assurance sécurité sont un bon indicateur de la maturité des prestataires sur cette
question.
Un autre bénéfice de ce document est de cadrer les audits que voyages-sncf.com sera en droit de mener
auprès de son futur prestataire.
Mais, comme le fait remarquer Charles (SiteDeEcommerce.com), le tout n’est pas seulement de prévoir
toutes les clauses nécessaires dans les contrats, encore faut-il avoir la capacité de vérifier leur mise
en application. Charles reconnaît : “nous gérons nos relations contractuelles avec nos prestataires de
façon paradoxale. Nous leur imposons des conditions contractuelles draconiennes concernant notam-
ment l’échange de nos données (cela se justifie pleinement compte tenu du volume de données que nous
pouvons échanger avec certains d’entre eux). Mais, force est de constater que cela reste bien souvent
théorique”.
“Peut-être un jour effectuerons nous des tests d’intrusion chez nos prestataires. Mais, pour l’instant, on
en est encore au stade de les mettre en place chez nous” Marc Le Guennec (raja.fr).
Le département cybersécurité mis à contribution dans la négociation

des contrats de cyber-assurance
Depuis deux ou trois ans, Emmanuel Cordente (voyages-sncf.com) constate que les assureurs se sont
emparés du sujet et qu’ils investissent dans ce nouveau marché. Lorsque voyages-sncf.com avait instruit
ce sujet pour la première fois, les courtiers présents sur le marché pouvaient se compter sur les doigts
de la main. Aujourd’hui, il y a pléthore.
En toute logique, l’équipe sécurité est mise à contribution sur les études des polices d’assurance spéci-
fiques aux cyber-risques. Elle doit répondre à la demande de l’assureur de pouvoir mesurer concrètement
la maîtrise du risque cyber par l’entreprise.
Pour Emmanuel Cordente (voyages-sncf.com), il est encore trop tôt pour se forger une opinion sur les
produits de “cyber-assurance” disponibles sur le marché.
51

LA SÉCURITÉ DES DONNÉES À CARACTÈRE
PERSONNEL (DCP) SUR LES SITES :
RESPONSABILITÉ DU SOUS-TRAITANT/PRESTATAIRE
DU SITE AUJOURD’HUI ET DEMAIN
Mon site est hébergé chez XX, la maintenance responsable de traitement de ses obligations
est assurée par YY, j’ai aussi externalisé la légales telles qu’énoncées à l’article 34 de la
sécurité de l’ensemble chez ZZ… alors qui est loi [Délibération de la formation restreinte
responsable en cas d’atteinte à la sécurité des n°2016-108 du 21 avril 2016].
données ?
Un des problèmes majeurs de la sous-traitance
Sous la loi de 1978 modifiée relative à actuellement est lié au lieu d’implantation
l’Informatique, aux fichiers et aux Libertés : des sous-traitants (en particulier des presta-
le responsable de traitement doit empêcher taires de cloud), souvent situés dans des États
que les données personnelles ne soient “dé- tiers (qui ne garantissent pas un niveau de
formées, endommagées, ou que des tiers non protection jugé équivalent à celui de l’Union
autorisés y aient accès” (article 34). Il n’est Européenne). Dès lors, tout transfert de
jamais déchargé de cette obligation de sécu- données personnelles vers ces sous-traitants
rité et de confidentialité, y compris en cas de doit faire l’objet d’un encadrement spéci-
sous-traitance (article 35). Le responsable fique (Clauses Contractuelles Type ou Binding
de traitement est donc tenu de s’assurer des Corporate Rules).
garanties présentées par ses sous-traitants tant
Le Règlement européen [RGPD], adopté le
d’un point de vue juridique (dans le contrat)
27 avril dernier et qui entrera en application
que d’un point de vue technique (mesures
à compter du 25 mai 2018, introduit des
et procédures de protection mises en œuvre).
changements très importants et pourrait
Actuellement et au regard de la loi Informa- permettre de régler (en partie) le problème
tique et Libertés, il n’est fait aucune allusion des transferts internationaux de données
à la responsabilité du sous-traitant et seul le inhérents à la sous-traitance.
responsable de traitement est passible d’une
D’une part, le sous-traitant, c’est-à-dire toute
sanction pénale et/ou d’une sanction adminis-
entité qui “traite des données à caractère
trative en cas de manquement à l’obligation de
personnel pour le compte du responsable de
sécurité. Notons que la CNIL a déjà sanctionné
traitement” (article 4-8), est soumis à de nou-
plusieurs responsables après avoir constaté
velles exigences. Notamment, il devra tenir
l’absence d’audit de sécurité des sous-trai-
un registre des activités de traitement (article
tants, l’insuffisance des mentions contrac-
30), coopérer avec l’autorité de contrôle (ar-
tuelles [Délibération n°2014-298 du 7 août
ticle 31), garantir la sécurité des traitements
2014 / avertissement] mais également, pour
(article 32), notifier toute violation de don-
des manquements directement imputables
nées au responsable de traitement (article
au sous-traitant telles l’utilisation de moyens
33)… Tout manquement grave et avéré du
de communication non sécurisés ou l’applica-
sous-traitant à ses obligations l’expose à des
tion créée par un prestataire à l’origine de la
sanctions administratives très lourdes allant de
diffusion des données des clients sur inter-
10 000 000 d’euros d’amende [ou 2 % du CA
net via leur adresse IP [Délibération n°2014-
mondial pour une entreprise] à un maximum
238 du 12 juin 2014]. La CNIL a rappelé que
de 20 000 000 d’euros [ou 4 % du CA mondial
l’existence d’une sous-traitance (hébergement
pour une entreprise].
et gestion du site) n’exonérait pas la société
…/…
52
…/…
D’autre part, le RGPD énonce de façon très pré- l’information et l’autorisation préalables du
cise l’ensemble des conditions applicables à la responsable de traitement en cas de recrute-
relation de sous-traitance. Ainsi, l’exigence d’un ment de sous-traitant ultérieur, la documen-
contrat (ou de tout autre acte juridique) est tation des mesures prises par le sous-traitant
reprise mais très largement complétée en ce à des fins de conformité au RGPD, la possibilité
qui concerne les dispositions à prévoir telles d’audits ou d’inspections.
Comment aborder le sujet de la cybersécurité avec

le comité de direction ?
Charles (SiteDeEcommerce.com) constate “un écart important”, au plus haut niveau des entreprises, entre
la prise en compte des enjeux de paiement et celle liées aux enjeux de sécurité.
Avec l’aide de la direction financière, il est relativement aisé d’intéresser une direction générale aux
enjeux liés à la maîtrise de la fraude aux paiements. Une direction générale comprend généralement assez
facilement les risques liés à la détention de numéros de cartes bancaires. C’est beaucoup plus compliqué
en revanche de sensibiliser sur les risques liés à la détention de données à caractère personnel de
nos clients. Pour Charles, il est possible que la mise en application de la directive européenne sur les
données personnelles puisse aider à cette prise de conscience au même titre que la norme PCIDSS pour
les paiements.
Il y a trois mois, Marc Le Guennec (raja.fr) a présenté les résultats des audits sécurité qui venaient d’être
réalisés devant le comité de direction. C’était la première fois que le sujet des risques cyber était mis
à l’ordre du jour. Selon Marc Le Guennec (raja.fr), l’accueil fut “très bon” : “la cyber criminalité figure parmi
ces sujets dont tous les dirigeants ont forcément déjà entendu parler à titre personnel. Transposés au
contexte professionnel, des cybers-attaques peuvent porter atteinte au capital même de l’entreprise.
Il paraît naturel que ces sujets préoccupent n’importe quel dirigeant”.
Pour Marc Le Guennec (raja.fr), face à un risque qui peut apparaître anxiogène, il est important de montrer
que des actions peuvent être prises et que des solutions peuvent être trouvées.
Cette présentation a également permis d’ouvrir une réflexion sur la pertinence de constituer une entité
dédiée à la sécurité qui n’existe pas pour l’instant au sein de l’entreprise. Pour l’instant, une seule personne
au sein de la DSI est directement en charge d’aspects liés à la sécurité informatique. Mais cela concerne
uniquement la sécurité du réseau.
“Pour l’instant, notre approche de la sécurité est très informatique. Or, nous avons bien conscience que le
sujet de la sécurité doit être embrassé de façon beaucoup plus large. Au fond, la question principale est
de savoir quelles données, quels “assets” doivent être sécurisés et de quelle manière”.
53
À quel point faut-il internaliser

ou externaliser l’expertise en
cybersécurité ? AVÈNEMENT DU DIGITAL :
Pour Alexandre Cognard (vestiairecollec-
tive.com) : “il n’est pas forcément évident
“ON NE FERA PAS DE DIGITAL
d’exercer un contrôle “en continu” sur le
SANS FAIRE DE SÉCURITÉ”
code produit par l’équipe de développe-
ment, sur sa robustesse aux failles de sé- Pour Alain Bouillé, un nouveau paradigme
curité. D’abord, pa ce que le niveau des est apparu au sein des entreprises avec
compétences en sécurité peut être très l’avènement du digital. Autant, l’informatique
variable d’un développeur à l’autre. Et pouvait être considérée précédemment
d’autre part, par ce que la faillibilité d’une comme faisant partie de “l’intendance”, au-
ligne de code ne saute pas forcément aux tant avec l’avènement du digital, l’informa-
yeux ! Pour ces raisons, Vestiaire Collec- tique est maintenant considérée par un
tive mandate des prestataires pour grand nombre de directions générales
réaliser des audits de sécurité. L’objectif comme un pilier stratégique du développe-
est toujours double : identifier les failles ment des entreprises. Alain Bouillé martèle
bien sûr, mais également apprendre aux l’adage selon lequel “on ne fera pas de digital
développeurs comment les corriger. Cet sans faire de sécurité”. Ainsi, il prédit que de
aspect de formation est essentiel. plus en plus les directions générales
seront amenées à accorder une place pré-
Une des particularités de l’équipe sécurité
pondérante aux problématiques de sécurité
d’AccorHotels, c’est qu’elle accueille, en
si elles ont des ambitions de développement
son sein, des “gentils hackers” ! Cinq
de leur activité dans le digital.
personnes travaillent à temps plein sur la
détection des failles pour l’ensemble du
groupe. Ils réalisent près de 150 tests
d’intrusion par an, soit la quasi-totalité des
tests réalisés. Pas tous les test d’intrusion toutefois, car certains des partenaires d’AccorHotels, particuliè-
rement les anglo-saxons, imposent que les tests d’intrusion soient spécifiquement pratiqués par des tiers
extérieurs à l’entreprise.
Pour AccorHotels, l’enjeu n’est pas tant dans la détection des failles que dans la capacité de l’entreprise
à les corriger. Arnaud Treps résume : “un rapport de tests d’intrusion ne sert à rien si les failles ne sont
pas corrigées”.
L’équipe sécurité a recours à des prestataires extérieurs “en régie”. Cela permet d’amener du sang neuf.
Selon Arnaud Treps lui, ces prestataires apprécient d’être intégrés non seulement à la partie de détection
des failles mais également de prendre une part active à la correction des failles.
En attendant, AccorHotels s’est adjoint les services d’un cabinet spécialisé qui scrute les forums du
“Dark Web” et analyse les échanges qui concernent le groupe.
À ses débuts, Damien Cazenave (vente-privee.com) avait majoritairement recours à l’externalisation pour
réaliser les tests d’intrusion. Ce n’est plus autant le cas aujourd’hui. En effet, il considère que les “micro pen
tests” gagnent à être réalisés en interne : “cela permet de réduire les coûts, et d’avoir plus de réactivité,
même si l’on sait que nous n’aurons jamais le niveau des spécialistes dont c’est le cœur d’activité”.
Damien Cazenave (vente-privee.com) souligne un autre avantage à internaliser une partie des tests
d’intrusion : cela permet de disposer de ressources suffisamment pointues en interne pour pouvoir faire
des démonstrations et de la sensibilisation en interne. Ce type d’actions bénéficie grandement à l’image
de compétence du département sécurité.
54
Il partage l’avis selon lequel le tout n’est pas de détecter la faille mais d’être capable de l’expliquer et de
donner les moyens aux développeurs de la corriger rapidement. C’est un bénéfice indéniable du recours
à des prestataires extérieurs. L’important, c’est qu’une spirale positive puisse se créer. Plus la DSI devient
mature sur la maîtrise des failles, moins elle en crée.
Damien Cazenave (vente-privee.com) insiste sur le point crucial que constitue la capacité de la DSI à
pouvoir corriger rapidement la faille qui a été détectée. Mais là encore, les choses ne sont pas forcément
binaires. La résolution ou non d’une faille peut faire l’objet d’un arbitrage. Dans certains cas, la correction
d’une faille peut être considérée comme trop coûteuse ou devoir nécessiter trop de temps vis-à-vis du
risque. Il peut être décidé de la mettre “sous observation”.
Pour l’instant, la FNAC a recours aux services de sociétés spécialisées pour réaliser ses tests d’intrusion.
La sélection des prestataires est particulièrement rigoureuse. Ils doivent tous posséder une excellente
réputation. Les audits sont confiés à tour de rôle, à des prestataires différents, afin de bénéficier de la
variété des méthodes qu’ils utilisent.
Tests d’intrusion : “on ne devient bon qu’en s’entraînant”

Damien Cazenave (vente-privee.com) fait le constat suivant : “les entreprises en pointe en matière de
sécurité font généralement un usage extensif des tests d’intrusion. Ils peuvent représenter une charge
de 150 jours homme par an”. Il poursuit : “on apprend énormément des tests. Et, il n’y a pas de mystère,
on ne devient bon qu’en s’entraînant”.
Tests d’intrusion : comment choisir son prestataire ?
Pour Damien Cazenave (vente-privee.com), les tests d’intrusion externes sont indispensables. Ils doivent
être faits régulièrement. Mais encore faut-il choisir les bonnes personnes pour les effectuer : “plus votre
niveau de maturité augmente, et plus il devient indispensable d’être sélectif dans le choix des prestataires
avec lesquels l’entreprise travaille”.
Selon lui, toutes les entreprises spécialisées utilisent globalement les mêmes méthodologies : “ce qui fait
la différence, c’est la compétence individuelle des consultants. Un bon consultant en sécurité est très
souvent un passionné, pour qui consacrer pas mal de son temps personnel à se former n’est pas un
problème”.
Dès lors, Damien Cazenave reconnaît que le choix d’une société peut se faire en fonction des personnes
qu’il connaît personnellement. Mais, au-delà du choix des personnes, l’important, reste le résultat : la
pertinence des failles qu’un prestataires externe est capable de détecter.
Pour Damien quel que soit le choix du prestataire, l’important est d’en changer régulièrement. Il en change
chaque année : “cela permet d’éviter un certain confort avec le prestataire et de conserver en permanence
un œil neuf”.
Les audits de sécurité : à mettre en place une fois acquise une certaine maturité
sur les enjeux de cybersécurité
Raja vient de réaliser deux audits de sécurité.
Le premier audit était purement technique. Il a consisté à donner l’ensemble des plages IP utilisées
par l’entreprise à un auditeur externe pour qu’il procède à des tests d’intrusion. 60 points d’entrée ont été
testés par l’auditeur qui a ensuite formalisé des recommandations.
Le deuxième audit a concerné plus spécifiquement le site internet. Un autre prestataire extérieur a
été chargé de tester la vulnérabilité du site : “nous ne leur avons donné aucune limite” déclare Marc
55
Le Guennec (raja.fr). “Finalement, nous avons été rassurés par les résultats. Une seule faille réellement
problématique (une injection possible de scripts SQL) a été détectée. Il s’agissait d’une erreur de
paramétrage du progiciel”.
Lancés il y a huit mois, les deux types d’audit (technique et du site lui-même) ont vocation à être reconduits
régulièrement. Marc Le Guennec déclare : “cela faisait déjà un certain temps que nous envisagions de
réaliser ces tests. Mais, jusqu’à présent, nous estimions ne pas avoir la maturité suffisante”.

L’AUDIT JURIDIQUE D’UN SITE DE VENTE SUR
INTERNET, UN PRÉREQUIS INDISPENSABLE
Lors de la création d’un site internet de vente Le e-commerce impose la rédaction de condi-
en ligne, il convient tout particulièrement tions générales de vente. L’audit juridique
de s’interroger sur sa conformité juridique. vérifiera ainsi le respect d’obligations telles
Quelles sont les règles juridiques qui lui sont que citées à l’article L. 113-3 du Code de la
applicables ? En matière de commerce électro- consommation ou encore l’article L.441-6 du
nique ? En matière de protection des données Code de-commerce, notamment à l’aune des
à caractère personnel ? En matière d’édition nouvelles versions des Codes civil et de la
de site ? Quelle responsabilité (responsabilité consommation. L’audit juridique du site doit
de plein droit de l’article L.221-15 du Code de donc être organisé de manière périodique.
la consommation) ?
Par ailleurs, le contrôle de la conformité légale
Chaque site internet doit veiller à respecter des des données à caractère personnel collectées,
obligations légales au risque de se faire sanc- traitées et archivées est devenu incontournable
tionner. L’audit juridique est ainsi un prérequis depuis la loi du 6 août 2004, modifiant la Loi
indispensable dans la mesure où il permet Informatique et Libertés et bientôt le Règle-
d’analyser les risques mais aussi les opportu- ment européen RGPD applicable en mai 2018.
nités juridiques par rapport au Business Mo- Le renforcement des peines et amendes liées au
del développé. Tant le Code civil, le Code pénal, non respect des exigences en matière de don-
le Code de la propriété intellectuelle que le nées à caractère personnel, l’attribution d’un
Code de la consommation sont des références pouvoir de sanction à la CNIL (ex. : 45 000 eu-
essentielles lors du développement d’un site. ros d’amende à une banque pour entrave à
son action, 5 000 euros d’amende à une étude
Les mentions légales permettent tout d’abord
d’huissier) démontre la volonté d’assurer une
d’identifier les responsables du site (article 19 de
parfaite transparence dans le cadre de leurs
la loi du 21 juin 2004 pour la confiance dans
pratiques tant commerciales que simplement
l’économie numérique, LCEN). Elles doivent
techniques. Un audit, dans ce cas, permettrait
également respecter un certain nombre d’obli-
de mettre le site en conformité en termes de dé-
gations énumérées à l’article L. 111-1 4e du
clarations, autorisations, procédures à mettre
Code de la consommation (cordonnées pos-
en place et éventuellement des conditions
tales, téléphoniques, électroniques, activités…).
de licéité des traitements mis en place.
Ainsi, en cas de non respect de ces mentions,
l’auditeur pourra aussitôt apporter des modi- S’agissant des cookies, l’audit juridique évalue-
fications afin d’être en totale conformité avec ra la nécessité d’avoir une politique d’utilisa-
la législation actuelle. tion des cookies. Si tel est le cas, des exigences
juridiques s’imposeront encore au responsable
du site qu’il conviendra de respecter.
…/…
56
…/…
Enfin, concernant les droits de propriété Enfin, l’audit doit aussi avoir pour objet d’ana-
intellectuelle, outre les droits sur les contenus lyser tous les contrats de l’entreprise avec ses
publiés (dessins, signes distinctifs, textes, pho- partenaires publics et privés afin de détecter
tos), il convient de ne pas omettre d’évaluer les risques potentiels : licences, accords de R/D…
un certain nombre de risques juridiques liés à Là encore, une attention particulière devra être
l’utilisation de licences de logiciels dits libres, portée sur les cessions de droits et concessions
la titularité des droits ainsi que les mesures (voir notamment l’article L. 111-1 du CPI).
prises pour la protection des droits.
Les Bug Bounties : vraie opportunité ?

L’opinion de Corinne Noël sur les Bug Bounties est, pour l’instant assez catégorique : “le recours éventuel
aux Bug Bounty n’est pas d’actualité chez fnac.com. Les enjeux de confidentialité sur les sujets de sécurité
apparaissant incompatibles avec ce modèle”.
Alexandre Cognard (vestiairecollective.com) semble partager cette réticence. Il déclare : “la relation qui
lie une entreprise avec un “Ethical Hackers” qui lui a signalé spontanément une faille est par essence
ambiguë”.
Pour lui, il existe forcement “une asymétrie de compétence” entre une équipe de professionnels en charge
de la sécurité d’un site de e-commerce et n’importe quel “hacker en herbe”. Cela peut conduire à une
appréciation très différente des deux parties sur la criticité d’une faille de sécurité.
Alexandre a déjà expérimenté cette situation. Un hacker avait signalé une faille de sécurité. Après analyse,
les équipes de sécurité avaient déterminé que l’impact de cette faille était très limité. Vestiaire Collective
s’est alors trouvée confrontée au dilemme de récompenser le hacker, au risque de susciter des vocations,
ou de ne pas le récompenser et de s’exposer à des formes de représailles dont les répercussions sont
toujours difficiles à prévoir.
Le hacker a même proposé à Vestiaire Collective de “contractualiser” en passant par une plate-forme de
Bug Bounty… Pas forcément la meilleure manière pour un site de e-commerce de se laisser convaincre par
les bénéfices de ce type de plate-forme !
Alexandre Cognard (vestiairecollective.com) en reconnaît l’intérêt mais pour les sites de e-commerce qui
ont déjà atteint un stade élevé de maturité dans la maîtrise de leurs risques cyber.
Pour lui, les Bug Bounties sont un “moyen incrémental” de s’assurer de la fiabilité d’un site, une fois que
l’ensemble des méthodes traditionnelles de détection et de corrections des failles ont été mises en œuvre.
Pour Franck Boniface (verstiairecollective.com), l’annonce récente par le gouvernement américain du re-
cours à des hackers pour cracker le code d’un iPhone marque le franchissement d’un cap symbolique.
C’est la reconnaissance du hacking en tant que pratique “courante” qui peut même revêtir un caractère
légal quand elle est utilisée par les pouvoirs publics.
Arnaud Treps (accorhotels.com) est du même avis qu’Alexandre Cognard : recourir au Bug Bounty
nécessite d’avoir atteint la “maturité absolue” sur la gestion du risque cyber. Selon lui, cela nécessite en
effet d’avoir préalablement mis en place une organisation capable de traiter les “bugs” de sécurité, de
façon très réactive pour ne pas créer de frustration et de déception auprès de la communauté.
L’internalisation de la détection des failles de sécurité permet à l’entreprise de garder le contrôle sur
57
le rythme de correction des failles. Néanmoins, Arnaud Treps (accorhotels.com) perçoit bien les avantages
offerts par les Bug Bounties. Il n’est pas exclu qu’AccorHotels puisse un jour y recourir.
Pour Emmanuel Cordente (voyages-sncf.com), recourir aux Bug Bounties est indéniablement intéressant :
“ce que l’on constate avec les démarches d’audit traditionnelles, c’est que, au bout d’un moment, on ne
trouve plus rien ! D’une part, parce qu’on corrige nos erreurs, et que notre niveau s’améliore sans cesse.
D’autre part, parce qu’en cherchant toujours de la même manière, on ne trouve logiquement plus rien”.
Voyages-sncf.com cherche donc maintenant à diversifier ses méthodes. Le but est de se rapprocher au
maximum de la démarche qu’utiliserait un hacker malveillant.
Un intérêt non négligeable que voit Emmanuel Cordente (voyages-sncf.com) dans les Bug Bounties est
leur durée. Un Bug Bounty peut s’échelonner sur plusieurs années. C’est une différence fondamentale
avec les audits dont la durée est forcément limitée.
Emmanuel Cordente fait également le constat qu’un certain nombre de failles peut provenir des compo-
sants utilisés par voyages-sncf.com. Or, un composant peut demeurer intègre pendant une très longue
période avant qu’une faille ne soit finalement repérée. Une fois la faille publiée, les attaques peuvent se
multiplier très rapidement.
En ayant recours aux Bug Bounties, voyages-sncf.com dispose d’un pool de testeurs qui se tiennent infor-
més en permanence des découvertes de nouvelles failles, et en particulier celles affectant les composants
dont ils savent qu’ils sont utilisés par voyages-sncf.com. Ils peuvent déclencher l’alerte très rapidement.
Ce cas de figure ne peut pas être couvert par nos audits traditionnels.
Damien Cazenave (vente-privee.com) considère qu’il peut faire sens de lancer un Bug Bounty sur un péri-
mètre sur lequel l’entreprise considère avoir atteint un certain niveau de maturité. Incontestablement
pour Damien Cazenave (vente-privee.com), les Bug Bounties peuvent faire passer un “palier supplémen-
taire” à une entreprise.
Pas trop d’illusions à avoir pour autant sur la baisse des coûts que pourrait représenter le recours au
Bug Bounty. Pour attirer les meilleures “pointures”, un programme de Bug Bounty doit être bien doté.
On n’attire pas les mouches avec du vinaigre !
Damien Cazenave (vente-privee.com) émet une alerte avec le dispositif contractuel proposé par les Bug
Bounties. Comment l’entreprise peut-elle avoir la garantie qu’un hacker ne sera pas tenté de monnayer
la découverte de sa faille “ailleurs”, si l’entreprise n’est pas suffisamment réactive pour la corriger rapide-
ment ?
À l’opposé du spectre, les Bug Bounties peuvent présenter un réel intérêt pour les start-ups qui ne
disposent pas encore d’équipe sécurité interne.
Zéro tolérance pour les dysfonctionnements des outils de sécurité

qui pourraient affecter les systèmes en production !
La disponibilité des systèmes est l’exigence numéro un de tout responsable métier d’un site de
e-commerce. Dès lors, tout dysfonctionnement d’outils de sécurité qui pourrait affecter les systèmes en
production est vécu comme un aléa insupportable par la majorité des responsables de sites !
Pour Arnaud Treps (accorhotels.com) : “les outils informatiques assurant la sécurité n’ont pas le droit de
tomber en panne ! Autant, il peut exister une certaine compréhension pour les incidents qui affectent
les systèmes de production, autant les dysfonctionnements qui seraient provoqués par les équipements
de sécurité ne bénéficient d’aucune clémence.
Or, pour Arnaud Treps, force est de constater que les produits de sécurité sont rarement exempts
de bugs. “Normal, il suffit de crier au loup pour qu’ils se vendent !” précise-t-il.
58
PENDANT QUE LES ÉDITEURS DE SOLUTIONS SONT OCCUPÉS

À FUSIONNER ENTRE EUX, L’INNOVATION EST AU POINT MORT :
PAS L’INGÉNIOSITÉ DES HACKERS…
Pour Alain Bouillé, “les produits de sécurité du marché ne sont plus en phase avec les
nouveaux enjeux de la sécurité”.
Le marché des solutions de cybersécurité est en pleine concentration. Pour Alain Bouillé, “les
éditeurs de solutions passent leur temps à se racheter les uns les autres ; soit pour tuer
la concurrence, soit pouvoir afficher commercialement une couverture exhaustive des risques
de cybersécurité”.
Cela conduit Alain Bouillé à considérer “qu’il y a un vrai problème de recherche et développe-
ment chez les fournisseurs de solutions, qui sont manifestement sous la pression de leurs
investisseurs financiers”. Dans un contexte de bulle financière, ces entreprises privilégient le
rachat d’un concurrent pour tenir leurs objectifs de croissance plutôt que les dépenses en
R et D. Mais, pendant ce temps, les hackers ont le champ libre…”.
Alain Bouillé observe le creusement d’un fossé entre d’une part les fournisseurs de solutions
qui n’innovent plus et d’autre part une kyrielle de petits éditeurs qui inventent des solutions
pertinentes mais qui reste de taille trop réduite pour être déployée à grande échelle.
Piloter l’activité cybersécurité
Quel budget affecter à la cybersécurité ?

Aucun des interviewés ne s’est bien sûr aventuré à donner une réponse précise à cette question ! Tous,
ont le sentiment peu ou prou qu’il est à la hausse, mais de combien précisément, cela reste très difficile
à estimer.
Pour Emmanuel Cordente, le budget que consacre voyages-sncf.com à la sécurité est clairement à la
hausse. Cette augmentation s’explique par la croissance de l’entreprise ; en l’espace de cinq ans le nombre
de collaborateurs qui constituent l’entreprise est passé de 300 à 1000.
Voyages-sncf.com ne dispose pas encore d’une évaluation précise de l’ensemble des dépenses liées à la
cybersécurité mais y travaille. L’exercice reste très compliqué car la sécurité est présente de façon très
diffuse dans l’entreprise. L’évaluation doit intégrer aussi bien les coûts de personnel que les investisse-
ments matériels et immatériels.
Pas de pilotage de l’activité cybersécurité

sans indicateurs
Pour Corinne Noël (fnac.com), la mise en place d’une équipe dédiée à la sécurité doit aller de pair avec
la mise en place d’indicateurs de pilotage de la menace cyber. L’un ne peut aller sans l’autre. Pour elle :
“disposer d’indicateurs sans personne pour pouvoir les exploiter et en tirer des enseignements ne sert à
rien”. Mais comment définir ces indicateurs ? “C’est très lié à l’activité du e-commerçant” répondent de
façon un peu énigmatique les interviewés.
59
Pour faire face à cette menace perma-

nente, voyages-sncf.com dispose de ses
propres datacenters et de ses propres QUEL OUTIL DE PILOTAGE
équipements de sécurité. Sur l’ensemble
de ses systèmes, voyages-sncf.com DU RISQUE CYBER ?
dispose d’équipements qui lui permettent
Selon Alain Bouillé, président du CSESIN : “le
d’observer les grandes tendances
Graal de tout RSSI, c’est de parvenir à mettre
d’attaques dont il fait l’objet. Ces rapports
au point un tableau de bord qui soit réelle-
alimentent la réflexion sur l’exposition
ment connecté avec les priorités business
au risque. L’entreprise recourt également
de l’entreprise”.
à des services externes.
Ce tableau de bord est forcément propre à
chaque entreprise en fonction de la stratégie
5.2 DÉVELOPPER UNE CULTURE
qu’elle déploie.
DE LA CYBERSÉCURITÉ
Il faut être en mesure de déterminer les
L’importance de la sensibilisa- indicateurs pertinents pour déterminer le ni-
tion de tous les collaborateurs. veau réel d’exposition au risque. Mais, le
La prise de conscience doit pilotage de cette exposition au risque néces-
être collective. site la mise en place de systèmes de supervi-
sion de la sécurité dont la plupart des entre-
VESTIAIRE COLLECTIVE
prises sont aujourd’hui dépourvues.
Pour Alexandre Cognard, adopter une
attitude de “cyber-vigilance” passe d’abord
par le respect de pratiques de “bon sens” !
Par exemple, ne pas laissait traîner de

post-it aux vues de n’importe quel visiteur extérieur sur lesquels figureraient des logins et mots de passe.
Pour Alexandre : “c’est potentiellement dangereux, et peut-être facilement assimilable par n’importe quel
visiteur se rendant dans les locaux à un manque de considération portée par l’entreprise aux enjeux de
sécurité”.
“Il nous appartient de transmettre cette vigilance aux équipes grâce aux moyens les plus adéquats.
La sécurité est l’affaire de tous. Autant le message semble complément intégré en ce qui concerne la
sécurité physique ; autant en ce qui concerne la cybersécurité les efforts de sensibilisation doivent être
poursuivis. Il nous faut encore développer l’appropriation collective de ces sujets” déclare Franck Boniface,
le secrétaire général de Vestiaire Collective.
Vestiaire Collective dispose d’un comité de sécurité. Mais, il traite essentiellement de sujets liés à la
sécurité physique. Franck Boniface précise que les sujets liés à la cybersécurité n’occupent que 30 % de
son temps. Il est le premier à reconnaître que ce ratio est étonnant pour une entreprise à ce point
présente sur internet. Mais : “on a beau être dans le digital toute la journée, ça reste plus facile d’imaginer
les conséquences d’une effraction dans nos locaux que les conséquences d’un vol de données”.
ACCORHOTELS.COM
Dans le groupe, la sensibilisation des collaborateurs aux enjeux de la cybersécurité se fait à trois niveaux.
Pour le top management, il s’agit d’expliquer quels peuvent être les impacts d’une faille de sécurité,
et comment elles peuvent se produire.
Au niveau des “chefs de projet”, l’accent est mis sur les différentes formes de détournement possibles
d’une application. Arnaud Treps constate assez fréquemment que les chefs de projet ont parfois certaines
60
difficultés à imaginer que les fonctionnalités qu’ils mettent en place puissent être utilisées à des fins diffé-
rentes de celles pour lesquelles elles sont conçues.
Pour illustrer son propos, il donne l’exemple suivant : si on ajoute 5 objets à 10 € et -5 objets à 10 € dans
un panier de commande, le total à payer pour le client sera de 0 plus les frais de port. Si le cas n’est pas
prévu, il peut arriver qu’au niveau logistique les 5 objets soient effectivement livrés et que l’ordre d’envoyer
-5 objets soit rejeté par le système informatique. Or, si le code n’est pas suffisamment sécurisé, il peut être
relativement simple pour un hacker d’envoyer la valeur -5 au serveur. Mais, encore faut-il que le chef de
projet puisse imaginer que de tels détournements puissent être possibles…
Pour les développeurs, le service sécurité a créé un “serious game” : une application qui recense toutes les
failles possibles et imaginables. Dans un premier temps, les développeurs sont invités à prendre la place
des hackers et “pénétrer” l’application en identifiant ses failles. Puis, à la phase d’intrusion, succède
la phase de correction qui permet aux développeurs de comprendre comment coder de façon robuste.
FNAC.COM
Chez fnac.com, la sensibilisation des équipes internes aux problématiques liées à la sécurité, passe par
des campagnes de communication internes visant à mettre en avant la politique globale de sécurité de
l’entreprise. Elles se succèdent à un rythme quasi mensuel. Elles exploitent tous les canaux disponibles :
de l’intranet aux écrans communicants… Chaque campagne est par ailleurs adaptée en fonction des
spécificités de chaque pays dans lequel la FNAC est présent. L’orchestration de ces campagnes rentre
dans le domaine de compétence de la cellule RSSI.
En tant que RSSI, Corinne Noël prend une part active à la mise à jour du “guide des bonnes pratiques
informatiques” ainsi que du “plan de crise” (IMC : Internal Management Crisis).
RAJA.FR
Les incidents cyber récents auxquels a fait face l’entreprise Raja ont été l’occasion d’une communication
interne sur “l’hygiène” que doit adopter tout utilisateur. Marc Le Guennec raconte :
“Suite à ces incidents, il a été décidé de diffuser très officiellement la “charte informatique” nouvellement
créée. Cette charte informatique est disponible sur support papier pour pouvoir être annexée au contrat
de travail des collaborateurs concernés et pour qu’elle puisse être signée par eux. Certaines parties ont
été déclinées en fonction de l’exposition du personnel au risque cyber : il s’agit du personnel qui est
amené à manipuler des données clients, des donnés fournisseurs, ou des données comptables. Ces
collaborateurs signent un avenant spécifique. Il en va de même pour les collaborateurs utilisateurs de
postes informatiques nomades”.
SITEDEECOMMERCE.COM
La prise de conscience interne sur les enjeux de la cybersécurité est, de l’avis de Charles : “relativement
récente chez SiteDeEcommerce.com”. Des premières mesures de sensibilisation du personnel sur les
enjeux de la cybersécurité viennent d’être mises en œuvre.
Dans la pratique, les procédures “basiques” de sécurité doivent encore être rappelées régulièrement.
Il y a quelque temps encore, en l’absence de procédure établie, la suppression des accès des collabora-
teurs qui quittaient l’entreprise n’était pas immédiate.
Charles constate : “grâce aux nouvelles technologies mobiles, les collaborateurs peuvent paramétrer
eux-mêmes leur téléphone mobile pour accéder à leur messagerie interne. Pour autant, ils ne sont pas
forcément conscients des risques que cela pourrait représenter pour l’entreprise, si leur téléphone
portable était volé”.
61
L’importance de la formation
ACCORHOTELS.COM
Arnaud Treps relativise : “trouver des failles n’est pas si compliqué que cela. Il suffit de se former”. L’équipe
d’hackers internes au groupe suit régulièrement des formations. Arnaud Treps considère que cela
constitue d’ailleurs un bon élément de motivation de l’équipe.
Il arrive également que l’équipe de sécurités invite des experts sur des sujets bien précis.
Les coûts de formation ne sont donc pas négligeables. Chez AccorHotels, la formation initiale d’un déve-
loppeur nouvellement recruté dure une journée et demie. Cette formation initiale est suivie par une
formation annuelle de “rappels”.
Arnaud Treps déclare : “d’ailleurs tout le monde suit les mêmes formations ! Nos hackers internes assistent
aux mêmes conférences que les salariés des entreprises spécialisées”.
LES RISQUES CYBER :

UNE PRISE DE CONSCIENCE INDIVIDUELLE, QUI À TENDANCE
PARFOIS À S’ARRÊTER AUX PORTES DES ENTREPRISES
Alain Bouillé constate que la prise de conscience individuelle sur les dangers liés à la cybersé-
curité progresse régulièrement du fait de la couverture médiatique des plus gros incidents.
Mais, Alain Bouillé fait une distinction entre les comportements des utilisateurs dans le cadre
d’usages personnels et leur comportement dans le cadre professionnel. Autant les
internautes peuvent adapter leurs comportements pour tenir compte des risques cyber (en
étant par exemple attentif à la présence du “petit cadenas” dans la barre de navigation
au moment d’un achat en ligne), autant ces mêmes individus, en tant que collaborateurs
continuent à considérer que la sécurité reste du ressort exclusif de l’entreprise.
Alain Bouillé cite l’exemple d’un collaborateur qui avait volontairement cliqué sur une
pièce jointe, dont il suspectait qu’elle puisse contenir un malware, car il préférait réaliser
l’expérience à son bureau plutôt que chez lui !
VOYAGES-SNCF.COM
L’équipe sécurité développe des modules de sensibilisation et de formation pour l’ensemble des collabo-
rateurs. Ces modules sont spécifiquement adaptés par typologie de population à laquelle ils s’adressent.
Ces formations peuvent prendre différentes formes comme par exemple l’inclusion d’un module de
sensibilisation sur la sécurité lors de la journée d’accueil des nouveaux embauchés, une communication
hebdomadaire sur l’intranet, des jeux, des concours orientés autour de la sécurité…
Pour les populations spécifiques (développeurs, exploitants), des modules “renforcés” ont également été
créés. Chez VSC, tous les développeurs suivent un module de formation de deux jours dédié à la sécurité
dans les développements.
62
Comment instiller une culture de la sécurité chez les développeurs internes ?

Damien Cazenave (vente-privee.com), fait part de son expérience : “dans les entreprises en pointe en
matière de sécurité, les contrôles sont automatisés. Chaque matin, les développeurs reçoivent le
compte-rendu des failles détectées pendant la nuit. Mais, ce type de dispositif ne sert à rien si un cadre
méthodologique et un accompagnement ne sont pas mis en place. Cet accompagnement doit se faire sur
la durée. Il n’y a que très peu d’illusions à se faire sur l’efficacité d’une demi-journée de formation et de
sensibilisation. Le rôle d’un département sécurité doit être à la fois de contrôler mais surtout d’expliquer
continuellement”.
Constituer puis animer des “réseaux internes de correspondants sécurité”

Chez voyages-sncf.com, il existe des “référents sécurité” dans chacune des directions. Ces “référents
sécurité” assurent le lien avec l’équipe sécurité. Ils sont chargés d’animer la démarche sécurité au sein de
leur direction respective.
“On s’aperçoit qu’au sein de l’entreprise, énormément de collaborateurs ont déjà une fibre sécurité sans
pour autant que la sécurité en tant que telle soit au cœur de leur activité” déclare Emmanuel Cordente
(voyages-sncf.com). Une fois repérés, ces collaborateurs peuvent servir d’ambassadeurs. Le département
sécurité se fait fort d’entretenir des relations privilégiées avec eux. Ces personnes sont souvent très
volontaires et viennent spontanément voir le service sécurité”.
5.3 L’IMPORTANCE DE LA SÉCURITÉ FONCTIONNELLE

Pour Damien Cazenave (vente-privee.com), une politique de sécurité efficace passe aussi par le déploie-
ment de “petits mécanismes” qui constituent ce que Damien Cazenave appelle “la sécurité fonctionnelle”.
Par exemple, penser à demander l’ancien mot de passe avant de mettre à jour le nouveau. Tout l’art
consiste à les mettre en place sans qu’ils constituent un frein pour le “business”.
5.4 QUEL PARTAGE DES RESPONSABILITÉS ENTRE LES PARTIES

PRENANTES INTERNES ?
FNAC.COM
À la question “en cas d’incident de sécurité majeure qui au sein de votre organisation en porterait la
responsabilité ?” Corinne Noël répond : “tout le monde, mais en premier lieu la RSSI”.
Car, notamment dans le cadre des audits qui sont menés, il revient au RSSI d’avertir sur les risques poten-
tiels identifiés, même si, in fine, la disponibilité des systèmes d’information reste bien la responsabilité
exclusive du département “exploitation”. Corinne Noël, souligne que la priorisation des moyens sur les
sujets de sécurité ne dépend pas de la RSSI. L’arbitrage revient au DSI et dépend plus globalement de la
stratégie de l’entreprise.
VOYAGES-SNCF.COM
Chez voyages-sncf.com, Il a été clairement établi que chaque direction devait rester responsable des
problématiques de sécurité. Par exemple, au sein de la DSI, la direction technique qui gère l’ensemble
de la production est responsable de la bonne sécurisation de ses systèmes.
Dès le début, le choix a été fait de ne pas mettre en place une équipe dont la fonction aurait été de
centraliser l’ensemble de la problématique sécurité pour l’entreprise. L’entreprise ne voulait pas que les
sujets ayant trait à la sécurité puissent être “étiquetés” comme relevant de la responsabilité exclusive
du service sécurité. Au contraire, la sécurité devait être portée par chacune des directions ; bien sûr par
les directions métiers et les directions SI, mais aussi par la direction juridique ou par la direction des
Ressources Humaines.
63
VENTE-PRIVEE.COM
Est-ce une conséquence du lien de confiance que Damien Cazenave (vente-privee.com) s’est toujours
efforcé de développer avec ses interlocuteurs internes, en tous les cas, il ne s’est jamais trouvé dans
une situation où les responsabilités d’un incident de sécurité auraient eu à être précisées.
“POUR RÉDUIRE LE RISQUE CYBER, MISER SUR L’HUMAIN !”

Même si le chiffre a été divisé par 10 en 10 ans, on dénombre aujourd’hui 100 000 bugs par mil-
lion de lignes de code (pour rappel, Microsoft office 2013 comptait 48 millions de lignes de codes).
Pour Alain Bouillé, le salut en matière de cybersécurité viendra de la mise en œuvre du

concept de “Security Inside” ; c’est-à-dire, développer en intégrant dès l’origine la sécurité.
Et, Alain Bouillé de considérer que “développer de façon sécurisée, c’est à la portée de tout le
monde à condition de recevoir les bonnes formations !”.
Pour Alain Bouillé, la maîtrise du risque cyber ne se réduit pas uniquement à une question de
budget. C’est aussi une question de “culture d’entreprise et une gouvernance d’entreprise qui
doit être à la hauteur des enjeux”.
“On dit souvent : la sécurité c’est l’affaire de tous”. Mais, pour Alain Bouillé, il faut bien le
reconnaître, “c’est souvent l’affaire de certains…”.
“Il faut arrêter de croire que la sécurité, c’est l’affaire d’un RSSI logé au fin fond d’une DSI,
qui à lui seul va pouvoir résoudre le problème !”. C’est avant toute une affaire de culture d’en-
treprise, d’organisation, voire de réseau dans le cas des entreprises de taille importante.
Il devrait se développer de vraies organisations sécurité avec des correspondants à chaque
point névralgique de l’organisation, des relais, des comitologies. Ainsi, la sécurité deviendrait
une préoccupation constante des organisations et pas uniquement un sujet de crise lorsque
survient un incident.
La dimension humaine reste prépondérante, et ce à tous les niveaux. Au niveau de

l’utilisateur, quand ce dernier a le réflexe de ne pas cliquer sur un lien qui lui apparaît comme
suspicieux. Au niveau des développeurs pour qu’ils conçoivent leurs codes en intégrant la
dimension sécurité. Au niveau de l’exploitant, pour qu’il déploie les applications de manière
sécurisée. Au niveau des dirigeants, pour qu’ils accordent au sujet de cybersécurité le bon
niveau de priorité et qu’ils allouent les moyens adéquats aux personnes en charge de
la cybersécurité.
5.5 ÊTRE PRÊT À AFFRONTER LA CRISE

Emmanuel Cordente confirme qu’un “plan de crise” est prêt chez voyages-sncf.com. Depuis quelques
mois, la gestion du plan de crise de l’entreprise a été repris par le département sécurité. Tous les aspects
de la gestion de crise sont inclus, y compris la communication interne et externe. Le principe de base de
construction du “plan de crise” est la quasi-certitude de la survenue d’incidents. Le “plan de crise” inclut un
volet “formation du personnel”, avec notamment des mises en situation.
Pour Emmanuel Cordente (voyages-sncf.com), la gestion d’une crise “cyber” ne diffère pas fondamentale-
ment de la gestion d’une crise “classique”. La partie coordination, logistique, conduite méthodologique
de la crise est identique quelle que soit la crise. Hormis quelques nuances sur la confidentialité, l’ensemble
des cas de crise est finalement géré de la même façon.
64
6. COMMENT CONCILIER E-BUSINESS ET SÉCURITÉ ?

6.1 FLUIDIFICATION DU PARCOURS CLIENT : RETOUR EN “ARRIÈRE”
OU MOUVEMENT INÉLUCTABLE ? JUSQU’OÙ ALLER ?
La question récurrente que se pose Corinne Noël (fnac.com) en tant que RSSI est : “comment concilier
la fluidité de l’acte d’achat pour le consommateur avec la mise en place d’un dispositif adéquat de contrôle
et de sécurité pour l’entreprise ?”. Elle rappelle qu’il en va de la sécurisation des données personnelles
des comptes clients.
Or, Corinne Noël constate que, sous l’effet de la pression concurrentielle, “on en vient à faire machine
arrière sur certaines mesures de sécurité élémentaires que l’on avait réussi à imposer. Par exemple :
la limitation du temps de connexion à 15 minutes. Les métiers ont demandé au département sécurité
de lever la contrainte”.
Ce phénomène est d’autant plus paradoxal que, parallèlement, Corinne Noël (fnac.com) constate une
prise de conscience croissante des métiers sur les enjeux de sécurité. Mais, encore une fois, la pression
concurrentielle est telle que si un acteur du marché va dans la direction d’une simplification du parcours
client, il devint très difficile de ne pas lui emboîter le pas même si cela peut avoir une incidence négative
sur la sécurité.
À ces contraintes s’ajoutent celles liées au respect des exigences nationales du droit à la consommation.
Or, Corinne Noël (fnac.com) observe que certains leaders internationaux du e-commerce se sentent moins
contraints que les acteurs nationaux par le respect de ces règles, ce qui crée, selon elle, des distorsions de
concurrence.
Le Graal pour tout RSSI est de parvenir à mettre en place une “sécurité transparente” pour le consomma-
teur. Quelqu’un l’aurait-il trouvé ?
Dans tous les cas, pour Damien Cazenave (vente-privee.com): “le one click est un super outil business.
Il faut qu’on fasse avec”.
“LA CYBERSÉCURITÉ DOIT CONTRIBUER

À L’ENCHANTEMENT CLIENT”
Par François Lecomte-Vagniez (Lobary.com),
consultant, spécialiste des parcours clients digitaux
L’enchantement client repose d’abord sur la confiance. Mais instaurer la confiance est une
posture parfois contradictoire avec la surveillance tatillonne des comportements et des
systèmes… Il importe donc de trouver le juste équilibre entre une attitude bienveillante et un
regard soupçonneux ! Comme la confiance n’exclue pas le contrôle, l’équilibre se crée entre
l’attitude responsable de l’entreprise et de ses collaborateurs, perceptible avec la symétrie
des attentions, et les moyens protecteurs visibles ou invisibles dans le parcours clients qui
dissuadent les fraudeurs. Ainsi la cybersécurité devient un élément de réassurance qui ne
bloque pas les échanges.
Les clients sont aussi sensibles aux valeurs de l’entreprise, portées par l’ensemble des
collaborateurs, et exprimées publiquement par la plate-forme de marque. L’attitude respon-
sable des collaborateurs permet souvent, avec bon sens, de repérer les situations suspectes.
…/…
65
PARTIE 1 | 6. COMMENT CONCILIER E-BUSINESS ET SÉCURITÉ ?
…/…
L’entreprise doit aussi s’engager à protéger les données de ses clients aussi sérieusement
qu’un secret affectif. Et si malgré toutes ses précautions, l’entreprise est victime de fraude, la
transparence et l’endossement des responsabilités sont les seules attitudes possibles :
les décideurs doivent avoir conscience de ces enjeux pour prendre les mesures préventives
et curatives.
Le dernier élément d’enchantement lié à la cybersécurité vient de l’écosystème lui-même.

Le client ne doit pas être dérouté par des mesures qu’il ne comprend pas. Collectivement,
les acteurs de l’écosystème appliquent des standards communs de protection et, par un
usage récurrent, ils deviennent familiers et rassurants.
Ainsi, à travers une série de mesures de réassurance, appliquées individuellement ou

collectivement par les e-commerçants, et une posture commerciale adaptée à la réalité du
risque perçu, il est possible de transformer les contraintes cybersécuritaires en facteurs
d’enchantement des clients.
Pour réussir, il convient de décomposer chaque étape du parcours client pour adapter les
protections aux profils du consommateur et aux risques cyber - réels ou perçus - et valoriser
la réalité de ces efforts autour d’une communication adaptée…
6.2 LES DÉVELOPPEMENTS “AGILES” SONT-ILS COMPATIBLES

AVEC LA SÉCURITÉ ?
Depuis quelques années, Emmanuel Cordente (voyages-sncf.com) observe l’engouement pour le
développement des projets en mode “agile”. Pour Emmanuel, ce phénomène impacte très fortement
la manière de gérer la sécurité sur les projets.
Les projets menés selon le mode “agile” se caractérisent par la taille réduite des équipes qui les mènent et
la vitesse de développement. Les équipes sont généralement très autonomes. Les itérations sont très
rapides. Les temps de cycle entre le développement et la production sont très courts. Ainsi, à la grande
différence de ce qui se passait avec les méthodes de développement “classiques”, les projets “en mode
agile” peuvent rapidement passer en production sans que les équipes sécurité n’aient eu le temps
de donner leur aval.
Pour Emmanuel Cordente (voyages-sncf.com), la seule façon de concilier les impératifs de rapidité et
de sécurité sur des projets “agiles”, c’est que la dimension sécurité soit portée par chaque membre de
l’équipe comme c’est le cas chez voyages-sncf.com. Ceci implique de sensibiliser et de former ces équipes
à la sécurité.
Il faut également veiller à outiller les équipes et automatiser de nombreux contrôles sécurité(2).
Pour Arnaud Treps (accorhotels.com), il serait erroné de considérer que les développements “agiles” sont
incompatibles avec la mise en place de contrôles de sécurité. Par développements “agiles”, on entend
généralement de petites modifications effectuées de façon rapide. Or, selon lui, cela n’exclut pas la
possibilité de procéder à des contrôles, à intervalles plus longs mais de façon régulière.
Arnaud Treps (accorhotels.com) met lui aussi en avant les possibilités offertes par les outils d’automatisa-
tion. Il existe maintenant sur le marché des outils permettant de faire certains contrôles de sécurité
de façon automatisée. Ces outils sont capables de simuler des intrusions ou de détecter des failles à la
(2) outils SAST et/ou DAST

66
lecture de lignes de codes, et d’émettre des alertes en cas de suspicion de failles(3).
Même si l’utilité de ces outils est indéniable, et AccorHotels les utilise beaucoup dans le cas des releases
mineures, “ce n’est pas non plus la panacée” selon Arnaud Treps. En effet, ce type d’outil nécessite un
paramétrage précis et constamment mis à jour pour éviter de déclencher des alertes trop fréquentes et
insuffisamment justifiées ou au contraire des “faux négatifs” qui laisseraient passer des failles de sécurité.
6.3 LE RSSI : INTÉGRER LA DIMENSION BUSINESS POUR FAIRE PROGRESSER LA CY-
BERSÉCURITÉ
Pour Arnaud Treps (accorhotels.com), le rôle de l’équipe sécurité n’est évidemment pas de dire systémati-
quement “non”. Son rôle, c’est d’exposer les risques au “propriétaire du risque” afin qu’il puisse prendre
une décision “éclairée”. Mais Arnaud Treps (accorhotels.com) rappelle : “faire du business, c’est assumer
des risques. Et, le risque cyber fait partie de ces risques. Comme je le dis souvent, je me considère d’abord
comme un commerçant sur internet avant d’être un spécialiste de la sécurité”.
Pour Damien Cazenave (vente-privee.

com), il est primordial, pour assurer le
succès d’un projet sécurité, d’être capable LE POSTE DE RSSI EST APPELÉ
d’en démontrer l’apport business. “Tous
mes projets étaient sous-tendus par un À ÉVOLUER TRÈS FORTEMENT
argumentaire business. Je me suis très
vite aperçu que pour justifier des engage- DANS LES PROCHAINES ANNÉES
ments de dépenses sur un projet sécurité, Avec l’essor du digital, Alain Bouillé croit
je devais parler disponibilité du site, beaucoup à l’apparition d’une nouvelle sorte
impact en termes d’image pour le client, de RSSI, le “RSSI Digital” qui travaillerait en
de conformité règlementaire ou bien étroite collaboration avec le CDO.
encore problème d’altération de com-
mandes. Il ne faut pas non plus négliger Pour Alain Bouillé, “il y a aujourd’hui une
l’impact d’une démonstration ou le résul- vraie question autour de la formation des
tat de tests pour emporter une décision. Il RSSI”. Le CESIN s’en est récemment saisit :
m’est même arrivé de craquer le code de “il n’existait pas jusqu’à présent de formation
sécurité à quatre chiffres d’un téléphone spécifique pour devenir RSSI”.
portable. Devant les yeux interloqués de
S’il existe bon nombre de formations qui
mes interlocuteurs décisionnaires, il ne
permettent d’acquérir des compétences en
m’a fallu que 20 minutes pour trouver
sécurité et notamment en sécurité informa-
la combinaison”.
tique, ces formations donnent avant tout un
Pour Damien, il est aussi important de for- bagage technique. Or, les enjeux auxquels
muler des demandes “raisonnables” et qui sont confrontés les RSSI nécessitent la mobi-
soient en adéquation avec la maturité de lisation de compétences qui vont bien au-de-
l’entreprise. Rien ne sert de réclamer des là d’un savoir-faire technique. Ils nécessitent
budgets relatifs à des projets de sécurité des compétences larges notamment dans le
qui ne correspondraient pas à la maturité domaine juridique, la formation et la com-
de l’entreprise. Pour Damien, “Il y a tou- munication interne, la compréhension de la
jours un ratio à garder en tête”. stratégie de développement business, le ma-
nagement transverse… Bref, pour Alain
Selon Damien Cazenave (vente-privee. Bouillé, “on cherche le mouton à cinq
com), “Il faut savoir choisir ses combats. pattes !”
On ne peut pas se battre sur tout”. Il y a
(3) voir le magic quadrant du Gartner sur “Application Security Testing”

67
certains sujets que les interlocuteurs internes ne sont pas prêts à entendre. Dans ce cas,
il ne sert à rien d’insister. La vision interne de certains sujets peut évoluer avec le temps ou… avec les
incidents qui ne manqueront pas de se produire ! Et Damien Cazenave cite un cas concret : le chiffrement
du contenu des ordinateurs portables qui n’a pas été mis en place jusqu’à ce qu’un vol ait eu lieu.
Il considère que la réussite d’un RSSI dans l’e-commerce passe par une bonne vision du “business” et
assume lui aussi sa part du risque. Ainsi, un RSSI doit garder en tête que les conséquences d’un risque
identifié un jour pourront être très largement compensées par le business additionnel futur que la prise
de risque aura permis.
Les échanges entre le département sécurité et les métiers portent souvent sur “les points de friction”
qu’impose la sécurité sur la fluidité des parcours clients. Damien Cazenave part du principe qu’en
informatique, il existe toujours des solutions. “Ma philosophie, c’est de ne jamais dire non !”.
Une démarche pragmatique de mise en œuvre d’une politique de sécurité passe toujours par des
compromis. En adoptant cette attitude, le RSSI acquiert une image positive auprès de ses interlocuteurs
métiers. Il devient à la fois crédible et audible lorsqu’il met en avant les risques cyber des projets.
6.4 VIS À VIS DES CLIENTS : QUEL DISCOURS TENIR SUR LA CYBERSÉCURITÉ ?
Pour Emmanuel Cordente (voyages-sncf.com), la communication externe sur la sécurité est un sujet
complexe. Chez voyages-sncf.com, on veut rester prudent. Emmanuel Cordente constate que les métiers
expriment assez fréquemment le souhait de pouvoir communiquer sur le niveau de sécurité atteint par
voyages-sncf.com. L’objectif est compréhensible : il faut rassurer le client. Mais, dans le même temps, il faut
selon lui se garder de fanfaronner : “car, on sait que personne n’est à l’abri. Et, fanfaronner, c’est le meilleur
moyen de s’attirer des problèmes ! On reste donc très modeste, même si, nous savons que nous
déployons de gros efforts en matière de cybersécurité”.
Selon Damien Cazenave (vente-privee.com) un intérêt du Bug Bounty peut être le bénéfice d’image
que peut espérer retirer une entreprise auprès du public. À l’instar de ce qui se fait déjà aux États-Unis
notamment, il peut être valorisant pour une société de communiquer sur le fait d’avoir atteint un niveau
de sécurité tel qu’elle peut soumettre son site à la dextérité de hackers extérieurs.
Damien Cazenave a eu l’occasion d’évoquer ce sujet avec la direction générale de son précédent
employeur. À l’époque l’intérêt était fort. Pouvoir apparaître comme une start-up technologique au même
titre que Facebook ou que Google était considéré comme assez valorisant. À la connaissance de Damien
Cazenave (vente-privee.com), aucun site de e-commerce en France n’a pour l’instant franchi le pas.
68

LA SÉCURITÉ INFORMATIQUE DANS LES
CONDITIONS GÉNÉRALES D’UTILISATION (CGU)
Qui lit les conditions générales d’un site inter- nérait pas ladite société de ses obligations
net ? Peu de personnes sans doute. Toutefois, légales liées à la sécurité et la confidentialité
l’opposabilité de ce document contractuel est des données (3). Cette délibération qui se fonde
nécessaire. À défaut, le site internet pourrait sur l’article 34 de la Loi Informatique et Libertés
être démuni si un de ses clients (ou abonnés) impose, en effet, la sécurité et la confidentialité
venait à déroger aux règles fixées dans les des données en ce qu’il dispose que “le respon-
conditions générales. sable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des
Ainsi dans un arrêt de la 1ère chambre civile de
données et des risques présentés par le traite-
la Cour de cassation du 31 octobre 2012 (1).
ment, pour préserver la sécurité des données
Le pourvoi de la société Métropole télévisions
et, notamment, empêcher qu’elles soient dé-
avait été rejeté au motif (entre autres) que l’on
formées, endommagées, ou que des tiers non
ne peut opposer à un internaute des Condi-
autorisés y aient accès”. Tout manquement
tions Générales d’Utilisation (CGU) d’un site sur
à ces obligations pourra être sanctionné par
lequel il a un accès libre et direct aux pages
la CNIL et même pénalement conformément
consultées sans prise de connaissance ni ac-
à l’article 226-17 du Code pénal qui dispose
ceptation préalable (sous-entendu par un acte
que “le fait de procéder ou de faire procéder à
positif) de celles-ci (2). Leur simple mise en ligne
un traitement de données à caractère person-
“ne suffit pas à mettre à la charge des utilisa-
nel sans mettre en œuvre les mesures prescrites
teurs des services proposés une obligation de
à l’article 34 de la loi n° 78-17 du 6 janvier
nature contractuelle”.
1978 précitée est puni de cinq ans d’emprison-
Les Conditions Générales d’Utilisation d’un site nement et de 300 000 euros d’amende”.
internet restent un outil de prévisibilité et de sé-
On notera enfin que les Conditions Générales
curité juridique des relations entre un commer-
d’Utilisation du site intègrent fréquemment des
çant et son client.
clauses relatives à l’accès au compte (lorsqu’un
De plus, de nombreuses affaires judiciaires tel compte est créé). Dans cette hypothèse,
ont défrayé la chronique en ce qui concerne l’utilisation du service nécessite une inscription
la sécurité des données à caractère person- préalable (login, mot de passe, adresse e-mail).
nel des abonnés d’un site internet, cet aspect Le rédacteur des conditions générales devra,
étant avant tout celui que retiennent les PME de ce fait, veiller à recommander à l’internaute
pour penser leurs mesures de sécurité infor- d’utiliser un mot de passe d’une longueur suf-
matique. Ainsi Ricard a-t-elle fait les frais d’un fisante et avec des caractères différents (signes
contrôle en ligne de son site Web par la CNIL. spéciaux, majuscules, chiffres…) et de le conser-
Cette dernière a prononcé un avertissement ver de manière secrète. Toute utilisation non
public à l’encontre de la société Ricard après autorisée de ce mot de passe pouvant être
avoir constaté que l’existence d’une sous-trai- imputée au client.
tance (hébergement et gestion du site) n’exo-
(1) N° pourvoi : 11-20480, Inédit. Disponible sur le site www.legifrance.gouv.fr.

(2) “Attendu que l’arrêt, après avoir rappelé qu’il incombait à la société M6 Web d’établir que la société SBDS avec laquelle elle avait noué une relation de partenariat, aurait
consenti à respecter les restrictions d’usage qu’elle lui reproche d’avoir transgressées, et constaté que l’accès à la page d’accueil des sites m6 replay et w9 replay, aux menus
et aux programmes à revoir était libre et direct et ne supposait ni prise de connaissance ni acceptation préalable des conditions générales d’utilisation, retient exactement,
sans encourir les griefs du moyen, que la simple mise en ligne de ces dernières, accessibles par un onglet à demi dissimulé en partie inférieure de l’écran, ne suffit pas à mettre
à la charge des utilisateurs des services proposés une obligation de nature contractuelle, et que la lettre de mise en demeure que la société M6 Web a adressée à la société
SBDS d’avoir à respecter ces conditions générales d’utilisation, ne fait pas naître à la charge de cette dernière une obligation contractuelle de s’y conformer ; que le moyen
n’est fondé en aucune de ses branches”.
(3) Délibération n°2016-108 du 21 avril 2016, disponible à l’adresse https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ri-
card_ananonymisee.pdf.
69
6.5 QUELLES RELATIONS ENTRETENIR AVEC L’ÉCOSYSTÈME

POUR LUTTER CONTRE LES CYBER-ATTAQUES ?
L’union fait la force : en matière de lutte contre la cybercriminalité :

“on a tout à gagner à partager !”
Voyages-sncf.com est à l’origine, il y a trois ans, de la création du club les “RSSI du Web”, un cercle assez
restreint qui regroupe 7 RSSI du top 10 de l’e-commerce français. Il s’agit d’un cercle privé, sans cadre
formel. Les rencontres ont lieu tous les trois ou quatre mois. Les participants sont cooptés et la taille
du club doit rester réduite pour conserver un niveau de confiance élevée entre les participants. Selon
Emmanuel Cordente (voyages-sncf.com), ces échanges permettent aux participants de constater qu’ils
partagent une approche de la sécurité finalement assez similaire. “Sur les sujets liés à la sécurité, il y a
consensus parmi les participants pour considérer qu’il n’y a pas d’enjeu de concurrence mais qu’au
contraire le bénéfice est grand à partager” déclare Emmanuel Cordente.
Voyages-sncf.com est également membre du CESIN qui regroupe régulièrement des assemblées de 60 à
80 participants. Mais, pour Emmanuel Cordente (voyages-sncf.com), devant une telle assemblée, il est
difficilement possible pour les participants de rentrer dans le détail des problématiques rencontrées.
Avec les autorités judiciaires, il n’est pas toujours simple de trouver le bon contact
Côté pouvoirs publics, Emmanuel Cordente (voyages-sncf.com) constate que les interlocuteurs, qui traitent
des sujets en lien avec la cybercriminalité sont nombreux. Dès lors, la difficulté est de trouver le bon
interlocuteur, sachant que la communication entre ces différents services n’est pas forcément assurée.
En ce qui concerne les dépôts de plaintes, Emmanuel Cordente (voyages-sncf.com) considère que les
retours sont mitigés.
Pour lui, cela s’explique par la difficulté à trouver la bonne personne et d’autre part “l’effet volume” : pour
faire face au volume, l’action publique doit obligatoirement se concentrer sur les cas les plus importants.
Pour Emmanuel Cordente (Voyages-sncf.com), l’ANSI peut être une aide précieuse en ce qui concerne
les “gros incidents”.
La CNIL : une action fondée qui ne nuit pas au business

Damien Cazenave (vente-privee.com) peut attester de la réalité des contrôles effectués par la CNIL.
Chez son ancien employeur, il lui est même arrivé d’en subir trois en l’espace d’un mois. Même s’ils n’ont
rien d’agréables, ces contrôles apparaissent aux yeux de Damien comme parfaitement fondés. Les préco-
nisations de la CNIL lui semblent aller effectivement dans le sens d’une meilleure protection des données
des clients. “Le droit à l’oubli, la sécurisation des mots de passe, sont des sujets éminemment importants
qui méritent d’être pris en compte à leur juste niveau” déclare Damien Cazenave. Il ne voit pas de contraintes
business particulières à être conforme à la CNIL : “leurs recommandations sont souvent du bon sens !”
indique-t-il.
70
TPE/PME ET CYBERSÉCURITÉ
Interview de Ely de Travieso président du Clusir Paca (Club professionnel regroupant
les Responsables de la Sécurité des Systèmes d’Information de la région Paca), nommé
en 2011, élu en charge de l’Économie Numérique à la CGPME des Bouches du Rhône
Les TPE et les PME doivent comprendre qu’elles sont autant vulnérables que les grandes
entreprises françaises. De par le fait qu’elles sont devenues une porte d’entrée sur les grands
groupes, elles doivent comprendre qu’elles sont devenues la cible privilégiée des cybercrimi-
nels et cela même si elles continuent d’être attaquées pour les mêmes raisons que les grandes
entreprises (vol d’informations sensibles, escroquerie…).
Dotées de moyens de protection faibles, leur productivité en est de fait menacée.

Nombreuses sont les attaques qui ont conduit des entreprises à déposer le bilan. Le tribunal
de commerce de Niort a prononcé en 2016, la liquidation de BRM Mobilier, une PME des
Deux-Sèvres, victime l’été dernier d’une escroquerie au “faux président” qui lui a coûté 1,6 mil-
lion d’euros. L’entreprise spécialisée dans l’aménagement de bibliothèques, qui employait
44 salariés, ne s’est jamais remise de cette escroquerie et a dû cesser son activité.
D’après la gendarmerie nationale, la fraude au président, le piratage du standard télépho-

nique, les ransonwares sont les trois attaques les plus susceptibles de pousser des entre-
prises à mettre la clé sous la porte.
Une des origines du manque de considération des risques informatiques repose sur l’attitude
des dirigeants mélangeant un manque de compréhension des enjeux de la transition numé-
rique à une mauvaise compréhension des risques cyber. De part un emploi du temps
surchargé et en sous-effectif constant, ces entreprises doivent prioriser leurs investissements
comme leurs projets. À ce titre, il est clair qu’une TPE pense plus à vendre ou à se développer
qu’à se doter de moyens efficaces pour améliorer la protection des systèmes d’information.
Cet état d’esprit est plus que regrettable.
L’industrie de la cybersécurité face au marché des TPE/PME est en train de se réinventer.

Depuis quelques années, les entreprises ont opté pour des services clés en main de type
services managés (cloud, Soc…) ou encore ont adopté des offres de cyber-assurance venant
renforcer leur capacité à répondre à un incident de sécurité informatique.
Outre l’utilisation des solutions de services, la sensibilisation des utilisateurs du système

d’information reste un élément fondamental d’une amélioration continue de la sécurité infor-
matique des entreprises. Il est important dans ce sens d’indiquer aux utilisateurs dans un
document administratif (contrat de travail, charte, règlement intérieur), les bonnes pratiques
d’une hygiène informatique faisant la distinction entre un usage professionnel et un usage
personnel d’un système d’information. C’est dans ce sens que la CGPME a publié en collabo-
ration avec l’ANSSI, le guide des bonnes pratiques informatiques, recueil d’information
permettant aux chefs d’entreprise d’accéder simplement à un premier niveau de sécurité.
71
7. LE WHAT’S NEXT EN MATIÈRE DE CYBERSÉCURITÉ

POUR LES SITES DE E-COMMERCE :
LE PIRE EST-IL DEVANT ?
7.1 LE “CLOUD” : CAUCHEMAR ABSOLU OU PROCHAIN SALUT POUR LE RSSI ?
Pour Arnaud Treps (accorhotels.com), le recours de plus en plus fréquent au mode SaaS et plus
globalement aux services cloud posent un nouveau type de problématique de sécurité.
“Le cloud nous oblige à repenser complètement nos modes de travail. Cela peut paraître déroutant” dé-
clare Damien Cazenave (vente-privee.com). Il constate : “beaucoup de mécanismes de sécurité qui exis-
taient jusqu’à présent n’existent plus dans le cloud”. Pour lui : “le cloud n’est pas encore mature. C’est
l’informatique d’il y a quelques années, en termes de maturité sur la sécurité”.
Mais, pour Damien, les choses évoluent très vite : “en l’espace d’un an et demi, ce que je pouvais considé-
rer comme aberrant du point de vue sécurité a été résolu”.
Avis partagé par (accorhotels.com) : “jusqu’à présent, on avait une vision “périmétrique” de la sécurité. Les
efforts en matière de sécurité avaient beaucoup porté sur la sécurisation de l’accès aux ressources de
l’entreprise depuis internet. En revanche, la sécurisation des accès internes était considérée comme moins
prioritaire. Même si le risque de fraude interne a été largement exploité par l’éditeur de solutions, dans les
faits, on constatait qu’elle représentait un enjeu finalement assez marginal et assez facilement maîtrisable.
Il suffisait de mettre en place une gestion assez rigoureuse des droits d’accès au serveur interne et de
ne pas oublier de supprimer le compte d’une personne qui quittait l’entreprise. Tant que le système
d’information de l’entreprise restait hébergé dans ses murs, le risque était finalement limité”.
Pour Arnaud Treps, Il en va tout autrement quand les serveurs sont hébergés chez des prestataires
extérieurs comme Amazon. Il suffit que le mot de passe tombe dans des mains indélicates pour mettre
en péril l’ensemble d’un site.
Pour lui, la gestion de l’authentification et des identités pour accéder aux services cloud est une question
particulièrement délicate. Il a le sentiment qu’elle est, pour l’instant, encore très sous-estimée par les
entreprises. D’autant plus, ajoute-il, avec la tendance de la consumérisation de l’IT.
Arnaud Treps (accorhotels.com) constate : “de nos jours, n’importe quel patron de l’activité e-commerce
peut souscrire à des services informatiques cloud et ouvrir des comptes sans que les équipes IT en soient
informées. Et, quand un employé quitte l’entreprise, si l ‘ “Active Directory” qui contient les droits d’accès
utilisateur dans l’entreprise est bien mis à jour, quand est-il de ces services cloud ?”.
Arnaud donne un autre exemple pour illustrer son propos : celui de “GitHub”, un service Web d’héberge-
ment et de gestion de développement de logiciels très connu et apprécié par les développeurs. Pour faire
simple, c’est une plate-forme qui permet à un développeur de stocker son code sur une plate-forme
partagée et centralisée. Le service permet également de gérer les versions. Ainsi, il est possible de “flaguer”
l’état du développement qui sera mis en production. C’est un gestionnaire de code source.
Encore récemment, ce type d’outils était hébergé au sein des entreprises. Avec l’émergence des services
cloud, ils sont maintenant disponibles en mode SaaS. Ce mode d’utilisation apporte des gains de produc-
tivité et de rapidité indéniables. Il facilite les modes de travail collaboratif entre l’entreprise et ses presta-
taires. Notamment, ces derniers ne sont plus contraints de se connecter au réseau de l’entreprise. Mais,
ces nouvelles fonctionnalités ne sont pas sans risque d’un point de vue sécurité. En effet, si les droits
d’accès ne sont pas bien gérés, n’importe quel hacker pourra avoir accès non seulement au code des
applications de l’entreprise mais également serait en mesure de le modifier. Et Arnaud Treps (accorhotels.
com) répète : “un mot de passe est facile à voler”.
72
PARTIE 1 | 7. LE WHAT’S NEXT EN MATIÈRE DE CYBERSÉCURITÉ POUR LES SITES DE E-COMMERCE : LE PIRE EST-IL DEVANT ?
Les pistes pour limiter ce risque ne sont pas évidentes à mettre en œuvre. Il existe des technologies telles
que les “Cloud Access Security Broker” qui permettent de monitorer l’usage de ces services cloud.
Associés à une gouvernance forte, la visibilité offerte par ces outils peut aider les directions IT à reprendre
le contrôle. Mais Arnaud prévient : “face à la variété des services cloud et à la vitesse à laquelle ceux-ci
évoluent, il faut se préparer à encaisser une forte charge de travail pour ne pas freiner l’innovation et
ralentir les projets”.
En ce qui concerne la problématique des mots de passe, la solution passe selon Arnaud, “par une vraie
approche de la gestion des identités”. Les utilisateurs devront s’authentifier à ces services cloud non plus
par le biais d’une base de comptes pour chaque application à laquelle ils accèdent, mais grâce à une plate-
forme de gestion des identités. Pour Arnaud, “cela va aussi passer par un recours plus systématique à
l’authentification renforcée”. Elle consiste à mettre en place des “couples” d’identifiants, entre par exemple,
un login et un mot de passe associés à l’identité du matériel qui permet d’accéder aux services cloud. Selon
Arnaud : “bien qu’ils évoluent positivement, ces systèmes d’authentification entraînent forcément davan-
tage de “friction” et un ralentissement des processus d’accès. La solution sans contrainte reste à inventer”.
Pour Damien Cazenave (vente-privee.com), il ne faut pas non plus tomber dans la tentation de mettre sur
le dos du cloud des contraintes liées à la sécurité qui existaient avant lui. La seule différence, c’est que la
facilité d’utilisation qu’offre le cloud démultiplie les problématiques de sécurité.
Par ailleurs, il conviendrait selon

lui, que les entreprises s’inter-
rogent objectivement sur les
niveaux de sécurité respectifs
atteints par les solutions “mai-
son”, comparativement à celui
atteint par les solutions d’acteurs
majeurs comme Microsoft, qui
traitent les enjeux de sécurité
proportionnellement à la taille de
leur entreprise.
73

LA NOTIFICATION DES VIOLATIONS DE DONNÉES PERSONNELLES
Violation de données, à quoi cela corres- contrôle (CNIL) dans la limite de 72H après
pond-il ? Qui doit notifier ? À qui ? Quand et que le responsable en ait pris connaissance.
comment ? … Autant de questions qui corres- Au-delà des 72H, une justification du retard
pondent de fait à un vrai risque (sanction de la est nécessaire (article 33 du RGPD). La com-
CNIL notamment) et surtout, d’un point de vue munication à la personne concernée doit se
opérationnel, à la mise en œuvre anticipée de faire “dans les meilleurs délais” (article 34 du
mesures de procédures idoines. RGPD), dès lors que la violation est suscep-
tible d’engendrer un risque élevé au titre de
Sous la loi de 1978 modifiée relative à l’Infor-
sa vie privée, sauf si :
matique, aux fichiers et aux Libertés : l’obli-
gation de notification des violations de don- • le responsable de traitement a mis en œuvre
nées personnelles est faite exclusivement aux les mesures de protection techniques et orga-
fournisseurs de services de communications nisationnelles appropriées et les a appliquées
électroniques (article 34bis). Par définition, la aux données concernées par la violation
violation des données doit entraîner “acciden- (dont chiffrement) ;
tellement ou de manière illicite la destruction, • le responsable de traitement a pris des me-
la perte, l’altération, la divulgation ou l’ac- sures ultérieures afin d’empêcher que la vio-
cès non autorisé à des données à caractère lation ne se reproduise ;
personnel faisant l’objet d’un traitement”. De • la communication à la personne concernée
fait, il s’agit d’une violation de sécurité. Le prin- exige des efforts disproportionnés (communi-
cipe est celui d’une première notification à la cation publique possible).
CNIL puis aux personnes concernées en l’ab-
sence de mesures de protection appropriées Du point de vue de la documentation, la no-
mises en œuvre par le fournisseur “afin de tification doit contenir plusieurs mentions
rendre les données incompréhensibles à toute obligatoires, parmi lesquelles : la nature de la
personne non autorisée à y avoir accès”. violation, le nombre de personnes concernées,
les conséquences de la violation et les mesures
Le Règlement européen [RGPD], adopté le déjà prises ou à prendre. Ces mentions repré-
27 avril dernier et qui entrera en application à sentent certainement le point central de la no-
compter du 25 mai 2018, étend le principe de tification puisqu’elles viennent attester des dili-
notification des violations à tout responsable gences du responsable de traitement.
de traitement, quel que soit le secteur d’acti-
vité. Avec une définition similaire posée par Le sous-traitant est également tenu de notifier
l’article 4, la notion de violation de données au responsable de traitement toute violation
couvre un périmètre large (action intention- de données dont il aurait connaissance. Pour
nelle ou non, perte/destruction…) et doit engen- autant, aucune information quant aux men-
drer un “risque pour les droits et les libertés des tions obligatoires de la notification, au délai
personnes physiques”. À l’évidence, la question et aux exceptions possibles n’est citée dans le
de la notification doit être appréciée en amont RGPD.
c’est-à-dire du point de vue de la sécurité du
Un soin particulier doit être apporté à cette
site qui devra être fréquemment testée. Pour
obligation. L’absence de notification pourra
rappel, la CNIL et la DGCCRF peuvent procéder
entraîner de lourdes sanctions (civiles et pé-
à des contrôles en ligne et collaborer à cette fin.
nales). Mais attention, le respect de cette obli-
Le RGPD pose certaines conditions gation de notification n’exonèrera en rien le
formelles. Du point de vue du délai, la responsable de traitement de sa responsabilité
notification d’une violation de données quant aux dommages causés aux personnes
personnelles devra parvenir à l’autorité de suite à la violation de leurs données.
74
7.2 L’ENJEU DE LA PROTECTION DES DONNÉES PERSONNELLES

EST AUSSI ORGANISATIONNEL
Emmanuel Cordente (Voyages-sncf.com) confirme que les équipes de Voyages-sncf.com travaillent sur
l’impact du nouveau règlement européen (voir page précédente : le point de vue du juriste) : “Il nous faut
définir la bonne organisation”.
L’analyse de l’impact de ce réglement sur la protection des données personnelles figure parmi les dossiers
que Vestiaire Collective entend investiguer prochainement, selon Franck Boniface.
Damien Cazenave (vente-privee.com) confirme qu’un projet a bien été identifié au sein de vente-privees.
com pour prendre en compte les impacts organisationnels du prochain règlement européen sur la protec-
tion des données personnelles.
Damien Cazenave (vente-privee.com) est convaincu de la nécessité de mettre en place un poste de

“responsable de la donnée client”. Pour lui, au sein des grosses entreprises, il s’agirait bel et bien d’un
poste à temps plein. Cette personne aurait pour responsabilité de s’assurer de la conformité avec la loi;
“une sorte de CNIL interne”. Damien Cazenave fait le pronostique suivant : “les entreprises de e-commerce
porteront bientôt la même attention au SAV qu’au traitement des données clients”.
Marc Le Guennec (raja.fr) constate : “la prise de conscience sur le risque lié à la manipulation des données
clients est assez récente chez nous”. Marc Le Guennec (raja.fr) fait référence à un autre contexte profes-
sionnel, en B2C, qu’il a vécu chez un vépéciste de premier plan. À l’époque, dit-il, “l’organisation des don-
nées avait été définie de telle manière que les données personnelles des clients (nom, prénom, adresse…)
ne figuraient pas sur le même fichier que les “événements clients” comme l’historique des commandes par
exemple. Une clé de correspondance hautement sécurisée permettait de faire le lien entre les deux
fichiers. Dans l’entreprise, personne n’était habilité à attaquer de front les deux fichiers simultanément.
En conséquence, les traitements marketing de ciblage ou d’étude RFM aboutissaient uniquement à un
fichier codé d’identifiants clients sans valeur intrinsèque.
“Cette réflexion sur l’urbanisation des données qui doit être la règle en B2C doit encore être menée chez
Raja, même si elle peut apparaître comme moins critique en B2B” déclare Marc.
Du point de vue de leur criticité respective, la protection des secrets industriels passe finalement
après la protection des données clients.
Emmanuel Cordente (voyages-sncf.com) note que le monde du e-commerce est relativement réduit et que
le turnover peut être important. Les mêmes personnes dotées de compétences pointues peuvent
facilement passer d’une entreprise à l’autre. Dès lors, la notion de secrets industriels doit être relativisée.
Pour Emmanuel Cordente (voyages-sncf.com), une faille de données personnelles aurait des
conséquences bien plus importantes que le vol du plan stratégique.
75
76
PARTIE 2 | 1. INTRODUCTION : QUELQUES CLÉS DE COMPRÉHENSION
PARTIE 2
ÉTAT DES LIEUX
CLÉS DE LECTURE
1. INTRODUCTION :
QUELQUES CLÉS DE COMPRÉHENSION
1.1 LE E-COMMERCE :
UN SECTEUR FORCÉMENT ATTRACTIF POUR LES CYBER-PIRATES
On trouve à profusion des chiffres sur le développement des cyber-attaques. Des dizaines d’études sont
produites tous les mois sur le sujet, la plupart de ces études étant menées (et financées) par les fournis-
seurs de solutions eux-mêmes. Certaines de ces études restent extrêmement pertinentes et conduites
avec tout le sérieux nécessaire (cf. références des études incontournables en annexes de ce document).
Mais, force est de constater qu’elles sont souvent difficiles à décrypter pour le lecteur qui ne possède pas
de solides bases techniques. La vision “business” de l’impact de la cybercriminalité est difficile à cerner
avec précision, au niveau national (les études étant souvent réalisées par des acteurs globaux et les résul-
tats consolidés), et secteur par secteur (a fortiori pour le secteur du e-commerce qui apparaît comme
“transverse” aux secteurs figurant dans les études).
Il n’en reste pas moins une évidence que le e-commerce est un secteur particulièrement touché par
la cybersécurité. Selon le “Global security report”, du fournisseur de solution Trustwave datant de 2013,
48 % des cyber-attaques auraient visé des sites de vente en ligne.
QUELQUES CHIFFRES :
UNE CYBER-ATTAQUE TOUTES LES 8 MINUTES
• Une perte de données toutes les 6h30
• 23 000 données volées par attaques en moyenne
• Une DDoS coûte entre 7 et 40 K€ / heure au site visé
• 31 % des retailers ayant enregistré des attaques en 2014 ont également perdu des
données
• 60 % des attaques qui aboutissent à des compromissions sont effectuées en quelques
minutes (automatisées)
• En moyenne, une faille PHP présente dans un framework n’est patchée que 129 jours
plus tard
• En 3 ans, il y a eu une augmentation de 67 % du vol de données
• Un retailer est, en moyenne, en risque 328 jours / an sur son site Web
• Le coût annuel de la cybercriminalité à dépassé les 400 Md$ en 2013
• Les volumes CB, c’est 4 trilliards de $ de transaction en 2013
• 61 % du trafic Web est réalisé par des robots.
77
1.2 MOTIVATIONS ET MODES OPÉRATOIRES DES PIRATES

Contribution de Philippe Humeau, CEO de la société NBS System
et Emmanuel Macé de la société Akamai
NBS SYSTEM
NBS System est une société fournissant des services de cloud privé infogérés et sécurisés.
La société se revendique comme leader de l’infogérance Magento et Hybris en France.
Philippe Humeau est diplômé de l’EPITA en 1999. Il crée NBS System à la sortie de ses
études, société dont il occupe toujours le poste de Directeur Général, en charge du business
development. Au fur et à mesure des années, Philippe a développé un fort intérêt pour le
e-commerce et a écrit plusieurs ouvrages dans ce domaine, dont le “Benchmark des
solutions e-commerce”, qui a touché plus de 60 000 lecteurs dans le monde.
AKAMAI TECHNOLOGIES
Akamai est le leader des services de diffusion de contenu (CDN). Les CDN sont largement
répandus dans le paysage internet actuel. Ils améliorent la diffusion d’un pourcentage
considérable du trafic internet mondial. Un réseau de diffusion de contenu (CDN) est une
plate-forme de serveurs hautement distribuée qui traite directement les demandes des utili-
sateurs finaux en contenu Web. Elle sert d’intermédiaire entre un serveur de contenus,
également appelé serveur d’origine, et ses utilisateurs finaux, ou clients.
Akamai propose des solutions en matière de performances Web, performances mobiles,

sécurité dans le cloud et diffusion multimédia qui optimisent les expériences des internautes
sur tous les terminaux, partout dans le monde.
Emmanuel Macé est Security Product Line Director chez Akamai Technologies. Il fait partie
de l’équipe en charge du développement, du déploiement et du support des solutions de
sécurité au sein d’Akamai. Sa mission est de définir et de supporter la stratégie des solutions
de sécurité, afin que celles-ci s’adaptent aux spécificités du marché européen.
“Pour contrer efficacement un ennemi, il faut le connaître au mieux” préconisait le stratège Sun Tzu. Même
si la cybercriminalité est protéiforme, Philippe Humeau (NBS System) décrit ci-après les motivations
principales des cyber pirates et décrit les grands principes de leurs modes opératoires.
78
Comprendre l’intérêt des pirates

Les motivations d’un cyber-pirate pour compromettre un site sont multiples. Ce qui est “monétisable” ou
exploitable dans un serveur pourrait se classifier comme suit :
Le serveur en lui-même.
Il peut servir à créer des dénis de service (DDoS) grâce à sa capacité réseau, à casser des mots de passe
chiffrés ou à “miner” des bitcoins grâce à sa capacité de traitement ou encore à servir de base de
commande pour faire partie ou pour piloter des réseaux de machines piratées (botnet).
Les identifiants des utilisateurs

(en général e-mail et mot de passe) sont souvent utilisés par ceux-ci sur plusieurs services différents. Ré-
cupérer ces identifiants sur un site de e-commerce peut par exemple, permettre à un pirate de tester ces
mêmes identifiants sur la majorité des grands sites, comme Amazon, eBay… et passer des commandes
grâce aux identifiants d’un internaute volé sur un autre site. De plus, les couples “questions/réponses”
requis pour la récupération d’un mot de passe par l’internaute sont souvent les mêmes sur plusieurs sites
différents. Même si le mot de passe est différent, le pirate pourra alors le réinitialiser grâce à ces questions
de sécurité dont il connaît alors les réponses.
Les bases d’identités,

qui dans le e-commerce sont très complètes et contiennent en général des informations exactes (ne
serait-ce que pour être livré de la marchandise commandée) peuvent être exploitées pour commettre
des vols d’identités qui seront utilisées par les pirates pour prendre des crédits, ouvrir des lignes
téléphoniques…
Dans le cas du e-commerce, la marchandise vendue par le site a évidemment une valeur et peut être
utilisée par le pirate ou revendue.
Et bien entendu, des numéros de CB de clients, complets ou partiels, quand ils sont stockés dans les bases
de données ou dans les logs du site constituent évidemment le Graal pour tout hacker.
Quels modes opératoires pour les hackers ?

Philippe Humeau (NBS System) donne ci-après un mode opératoire possible pour un cyber-pirate.
Si le pirate dispose de quelques compétences techniques, il pourra utiliser par exemple une machine
reliée à un Wifi piraté qui ne permettra pas de le localiser géographiquement, si possible le Wifi d’un
commissariat, d’un fast-food, d’un hôtel ou d’un voisin suffisamment éloigné avec une antenne à forte
sensibilité.
En quelques minutes, un hacker expert pourra prendre le contrôle d’un accès Wifi et deviendra par là-
même très peu “traçable”. Il pourra ensuite rebondir par un VPN ou Tor ou un autre serveur piraté, dans
un autre pays, pour brouiller encore un peu plus les pistes et rendre très complexe une action juridique
qui deviendrait internationale.
Depuis cette base “fortifiée”, il peut ensuite attaquer potentiellement n’importe quel site. L’extraction de la
donnée convoitée n’a bien sûr de valeur que si elle trouve un client. L’offre et la demande se rencontrent
généralement sur un “marché noir” très structuré. Il existe pléthore de sites où données bancaires ou
personnelles peuvent être revendues. Selon Philippe Humeau, le pirate qui vole les données n’est
d’ailleurs, en général, pas celui qui les exploite par la suite pour en tirer un profit, il se contente de les
vendre “en gros”.
79
Le montant d’un cyber-piratage peut aller de quelques dollars à plusieurs centaines selon la complétude
des informations. Selon leur type, les numéros de cartes bancaires volées se vendent au “volume de gros”,
de 5 à 100 $.
Philippe Humeau rappelle que ce type de criminalité est finalement assez attractif comparé à d’autres,
du fait de son faible risque et du niveau réduit d’investissement qu’elle nécessite. Pour lui, compromettre
un applicatif Web est beaucoup plus simple qu’un dispositif physique, un algorithme de chiffrement ou un
logiciel compilé propriétaire. La barrière d’entrée technique est tellement basse que de nombreux pirates
en herbe, parfois mineurs, y accèdent facilement après quelques heures ou jours de consultation
des techniques sur Youtube par exemple.
Les cyber-pirates tiennent aussi leurs bases de données à jour !

Sur internet, une adresse IP qui héberge un site (de e-commerce ou non), est en moyenne scannée
plusieurs dizaines de fois par jour, rappelle Philippe Humeau.
Des scanners cherchent en permanence à identifier des cibles vulnérables et à répertorier les logiciels (et
leurs versions) qui tournent sur ces machines. Nul doute que ces scans automatiques occupent une place
importante parmi le nombre des requêtes générées automatiquement par les machines entre-elles
(scripts et programmes), qui représentent aujourd’hui 60 % du trafic sur internet.
Ainsi les attaquants se constituent des bases de données de machines d’ores et déjà vulnérables ou
qui pourraient le devenir si une faille de sécurité était détectée sur un des logiciels qu’elles utilisent.
Les systèmes aujourd’hui dans un état de sécurité satisfaisant peuvent devenir demain vulnérables quand
une faille sur un logiciel est découverte rappelle Philippe Humeau.
Quand les scanners détectent une vulnérabilité, l’attaque automatique est lancée par injections SQL
ou Cross Site Scripting (XSS). Les compromissions ont lieu en quelques secondes en général, quelques
minutes tout au plus. La découverte de la compromission par le e-marchand pourra prendre, quant à elle,
plusieurs jours voire plusieurs semaines !
Des attaques beaucoup plus ciblées peuvent se concentrer sur un site. Dans ce cas, les cyber-attaquants
débrayent le mode “automatique”. Le site visé n’est alors pas choisi au hasard (par exemple Adobe ou
Sony), le temps investi est plus grand, les méthodes utilisées sont également plus pointues. Et, il arrive
parfois que le résultat soit à la hauteur de l’investissement en temps passé, quand le “butin” est de
plusieurs dizaines de millions de comptes utilisateurs ou de numéros de cartes bancaires.
Une injection SQL, ça ressemble à quoi ?

Phillipe Humeau donne ci-après un exemple très célèbre d’injection SQL, d’une simplicité enfantine, qui ne
marche “quasiment” plus jamais de nos jours. Mais cet exemple illustre bien le principe d’une injection
SQL et les dommages qu’elle peut produire !
Dans le champ login et mot de passe le pirate saisit :

Login : admin ‘ or 1=1 –
Password : <vide>
La requête sera alors retranscrite à la machine de la façon suivante :
SELECT * FROM members WHERE username = ‘admin’ ‘OR 1=1 – AND password =‘password’
Cette requête retournera “TRUE” car même si le mot de passe ne correspond pas, 1 est bien égal à 1,
et comme la requête demande si le password est le bon ou si 1=1, l’ensemble de la proposition est
considéré comme vraie et le site autorisera l’accès.
80
LE CAS SHELL SHOCK

Découvert en septembre 2014, Shellshock (CVE-2014- 6271) est une vulnérabilité dans le
Shell Bash (l’interpréteur de commandes dans la plupart des systèmes Linux et Mac OS) qui
permet l’exécution à distance de commandes systèmes, via l’interpréteur visé.
Peu de temps après sa découverte, un patch de protection a été mis en ligne pour que
les entreprises puissent combler cette faille et ainsi se prémunir de nombreuses attaques
utilisant cette vulnérabilité.
Deux ans après la découverte de cette vulnéra- 38,11 %
bilité, des hackers tentent toujours d’exploiter

cette faille. Au premier trimestre 2015, cela re-
30,85 %
présentait encore 20 % des attaques détectées
par la plate-forme Akamai.
0,86 %
Autre
Le graphique ci-dessus représente la réparti- 1,14 %
PHPi*
tion des attaques détéctées par l’Akamai Intelli- 1,65 %
RFI* 7,15 %
gent Platform au cours du premier trimestre
XSS*
2016.
Shellshock*
Bien que décroissantes, les tentatives d’exploi- SQLi*
tation de la vulnérabilité Shell Shock repré- LFI* * voir p. 103

“types d’attaques applicatives”
sentent 20 % des tentatives.
Qu’entend-on par “vulnérabilité” d’un système

Dans le monde de la sécurité sur internet, il est important de comprendre la différence entre une vulnéra-
bilité et une attaque. Philippe Humeau revient sur les différences fondamentales entre ces deux notions.
La vulnérabilité est une faille d’un système (logiciel ou matériel) pouvant entraîner sa compromission.
Généralement un patch suffit pour combler cette faille. La gestion des vulnérabilités est une vraie course
contre la montre. Lorsqu’une faille est détectée et qu’elle est rendue publique, les systèmes concernés
doivent être patchés avant que des hackers puissent l’exploiter.
Il n’est pas rare que dans les heures qui suivent la publication d’une vulnérabilité sur un système,
on constate une recrudescence de l’activité des robots qui testent la vulnérabilité sur un très grand nombre
de machines.
Dès lors, la mise à jour des patchs de sécurité est essentielle, afin d’assurer la bonne protection d’une
infrastructure.
Une attaque quant à elle est une action intentionnelle de la part d’une personne malveillante visant à
compromettre un système afin d’en tirer un bénéfice. Ce bénéfice peut être financier, personnel ou encore
professionnel.
Les attaques exploitent généralement des vulnérabilités ou des limitations d’un système. En fonction du
type d’attaques, différentes protections sont possibles. La connaissance des vulnérabilités d’un système
d’information est donc la première étape dans le processus de mise en place d’une protection globale.
81
Par ailleurs, le processus d’analyse des systèmes est une opération qui doit être renouvelée régulière-
ment, afin de s’assurer que les protections mises en place sont en adéquation avec les potentiels points
de faiblesse du système.
Parmi les attaques les plus répandues, il y a les attaques générant beaucoup de charge (réseau et/ou ma-
chine) ce sont les attaque DoS ou DDoS, dont le but est de saturer l’infrastructure et ainsi perturber le bon
fonctionnement des systèmes. D’autres attaques, plus avancées, comme les injections SQL ou le Cross Site
Scripting (XSS) permettent de manipuler directement les données présentes dans les systèmes. La liste
non exhaustive des attaques sur internet est détaillée dans le chapitre suivant.
Depuis quelques années, on voit apparaître un nouveau type menace, le Ransomware. Le principe
est simple, il s’agit d’un chantage à la cyber-attaque visant une entreprise (ou plusieurs dans un secteur
donné) contre une somme d’argent, généralement en Bitcoin, pour ne pas être attaqué.
Plusieurs groupes en ont fait leurs spécialités, comme DD4BC, comprenez DDoS For Bitcoin.
82
PARTIE 2 | 2. ÉVOLUTIONS DE LA NATURE ET DE LA TYPOLOGIE DES CYBER-ATTAQUES
2. ÉVOLUTIONS DE LA NATURE ET DE LA TYPOLOGIE

DES CYBER-ATTAQUES
Emmanuel Macé (Akamai) dresse le constat suivant : “en matière de cyber-attaques, nos statistiques sont
éloquentes : elles sont toujours plus nombreuses, de plus en plus véloces, de plus en plus sophistiquées
et de plus en plus brutales”. Il existe de nombreuses études sur les cyber-attaques, aussi Emmanuel Macé
a choisi de détailler ci-après trois phénomènes qui lui semblaient particulièrement emblématiques
de l’évolution récente des cyber-attaques.
2.1 L’INDUSTRIALISATION DES ATTAQUES

Avec l’émergence de frameworks de développement et des systèmes de gestion de contenus (CMS) Web
dédiés à chaque industrie, les attaquants ont développé de nouvelles méthodes de ciblage visant systé-
matiquement l’ensemble des acteurs d’un même secteur.
Le principe est de trouver une vulnérabilité sur un système fortement utilisé dans une industrie (CMS,
équipement réseau…) et d’automatiser la tâche pour que l’exploitation de cette faille soit systématique
dans l’industrie donnée.
Attaques DDOS supérieurs à 100 Gbps

au premier trimestre 2016 (source Akamai)
Le graphique ci-contre est une observation des “Mega attaques DDoS” (dont la taille est supérieure
à 100Gbps) sur le premier trimestre 2016 et met en évidence cette notion de campagne ciblée. Les
différents secteurs sont représentés par couleur. Il apparaît que ces Méga attaques “sautent” d’industrie
en industrie, comme des nuages de criquets.
Les premières campagnes de ce genre sont apparues il y a 3 ans et ont été popularisées par certains
groupes d’hacktivistes.
En 2012, l’opération Ababil, une des premières campagnes de genre, a durement frappé l’ensemble
du secteur financier durant plus de 10 mois. Le slogan du groupe d’hacktivistes était le suivant : “none of
the U.S banks will be safe from our attacks”.
Depuis, le phénomène de campagnes prend de l’ampleur. Il est donc important pour les acteurs d’une
même industrie de s’organiser et de partager leurs expériences afin de réagir en cas de campagne ciblée.
Jan. 15 112
Jan. 15 101
Jan. 29 105
Jan. 30 32 Mpps 267
Jan. 30 224
Feb. 1 133
Feb. 6 130
Feb. 10 103
Feb. 17 174
Feb. 21 36 Mpps 289
Feb. 21 184
Feb. 22 124
Feb. 24 51 Mpps 132
Feb. 26 44 Mpps 133 Financial Sercices
Mar. 12 230 Gaming
Mar. 19 124 Internet & Telecom
Mar. 20 114 Media & Entertainment
Mar. 22 134 Software & Technology
Mar. 23 114
0 50 100 150 200 250
83
2.2 ATTAQUES MULTI-VECTEURS

Depuis le début de notre décennie, un nouveau phénomène prend de l’ampleur, ce sont les attaques
“Multi-Vecteurs”.
On dit qu’une attaque est Multi-Vecteurs lorsque la personne malveillante utilise plusieurs techniques
pour arriver à ses fins.
Cela se traduit, par exemple, par l’utilisation d’attaques visant à la fois les DNS ainsi que les serveurs Web.
Un autre cas classique d’utilisation d’une attaque Multi-Vecteurs, est d’utiliser une attaque à fort volume
(DDoS) pour masquer le vol d’informations via une attaque applicative de type injection SQL.
Pour les entreprises, les principales conséquences de ce type d’attaques sont la mise en place de
stratégies de défenses intégrant la possibilité d’attaques Multi-Vectorielles, et également la mise en place
de moyens techniques de détection, de corrélation et de remédiation adaptés aux différentes
combinaisons d’attaques.
Évolution des attaques multi-vecteurs sur une année

Le graphique ci-dessus montre l’évolution des attaques Multi-Vecteurs durant un an. Le nombre d’attaque
Mono-Vecteur décroit de façon permanente pour ne représenter plus que 41 % des attaques observées
sur la plate-forme Akamai au premier trimestre 2016.
Cette augmentation s’explique notamment par la popularisation d’outils dédiés type “Booster”, capables
de lancer plusieurs attaques simultanées contre une seule cible.
Dans tous les cas, ce type d’attaques reflète une stratégie, une ou plusieurs cibles, et une réelle analyse
des moyens techniques et humains de la cible, avant l’attaque.
L’aspect humain doit être pris en compte. Bien qu’absent de ce graphique, le “Social Engineering” fait
partie intégrante des vecteurs d’attaques. La formation des employés doit être prise en compte dans une
politique de sécurité.
4% 3% 3% 2%
5% 4% 3% Single Vector
5%
9% 11% 12% Two Vectors
13%
Three Vectors
26% Four Vectors

32% Five to Eight Vectors
35% 42%
56% 51% 45% 41%
Q2 2015 Q3 2015 Q4 2015 Q1 2016
2.3 LES BOTS, UNE MENACE DE PLUS EN PLUS PRÉSENTE

Les robots ou “Bots” sont des programmes automatisés permettant l’exécution de tâches répétitives
comme l’indexation de contenus Web, la détection de vulnérabilités ou encore l’indexation dans les
moteurs de recherche. Il est important de garder à l’esprit que derrière chaque réseau de Bots, il y a une
personne rémunérée pour la tâche qu’il effectue.
Le trafic généré par les Bots croît de mois en mois et peut aujourd’hui atteindre plus de 60 % du trafic d’un
site de e-commerce. Même si la plupart des actions générées par les Bots ne sont pas directement liées
84
à une cyber-attaque, la part du trafic que cela représente génère un “bruit” pouvant perturber le business.
De plus, l’agrégation de contenus de certains Bots peut aller à l’encontre de la stratégie de l’entreprise.
Il est donc important de prendre ce trafic au sérieux, tant d’un point de vue technique que métier.
Afin de bien comprendre les différents Bots agissant sur internet, voici une infographie représentant 24h
d’analyse de trafic des Bots sur la plate-forme d’Akamai.
Source : Akamai
Activités des Bots au premier trimestre 2016

Snapshot de l’activité des Bots sur la plateforme Akamai pendant 24 heures
Part du trafic générés par les Bots Répartition des Bots

30 %
En moyenne, le trafic généré

Bots déclarés (SEO, Partenaires) 40 %
par les Bots représente 30 %
du trafic d’un site web.
Bots déclarés de part leur comportement 50 %
Ce nombre peut atteindre
plus de 60 % dans certains
secteur comme le retails. Autres types de Bots 10 %
Détails des Bots déclarés /

40 % du trafic généré par les Bots
Web search enginers & indexers 50%
Media aggregators (social media, news, RSS) 5%
Commercial aggregators (price comparisons,

enterprise data aggregators, scraping enterprise services) 3%
Analytics & research bots (advertising, SEO analysers,

15%
audience analytics, business intellignce)
Web monitoring services 23%

(performances & health, link checkers)
Other declared bots 4%
Détails des Bots dédétectéspar leur comportement /

50 % du trafic généré par les Bots
55%
30%
7%
Other detected web scrapers
8%
Development frameworks
Search-engine impersonators
Web-browser impersonators
85
PARTIE 2 | 3. LES RISQUES CYBER POUR LES E-MARCHANDS
3. LES RISQUES CYBER POUR LES E-MARCHANDS

Qui de mieux placé qu’un courtier en assurances pour caractériser les risques cyber encourus par les
e-commerçants ? Le courtier Gras Savoye donne ici sa vision du risque cyber. Les principaux risques cyber
vus par un assureur.
3.1 LES RISQUES CYBER VUS PAR LES ASSUREURS
Les principaux risques cyber peuvent être catégorisés de la manière suivante :
Vol et violation de la confidentialité des données

Toutes les entreprises, quelle que soit leur taille et leur secteur d’activité, sont exposées aux cyber-risques
parce qu’elles détiennent des données à caractère personnel ou des données confidentielles. Aujourd’hui,
97 % des données sensibles visées lors d’une cyber-attaque sont des données personnelles de particu-
liers (état civil, informations bancaires ou de SEPA2, dossier médical…). La violation de la confidentialité des
données (données personnelles, commerciales, bancaires…) peut résulter d’un acte de malveillance
externe (commis par un hacker) ou interne (par un employé) ou par la simple perte d’un ordinateur
ou d’un smartphone.
Indisponibilité du réseau informatique

Toutes les entreprises sont dépendantes de leur système informatique. Qu’il s’agisse d’un réseau partagé
avec ses filiales dans le monde, ou que celui-ci soit propre à chaque entité, c’est la colonne vertébrale de
l’entreprise. L’indisponibilité du réseau peut être la conséquence d’une attaque par déni de service (DoS),
mais également la conséquence d’un virus informatique, avec des impacts majeurs sur les résultats
financiers de l’entreprise, tels que les pertes d’exploitation et/ou les frais supplémentaires consécutifs.
Risques médiatiques pour l’entreprise

L’utilisation des médias sociaux par les entreprises est un phénomène croissant. Les informations postées
sur les réseaux sociaux ou dévoilées inopinément ou intentionnellement, génèrent des réclamations de
plus en plus nombreuses.
L’atteinte à la réputation de l’entreprise est une conséquence non négligeable d’une cyber-attaque, que ce
soit vis-à-vis des clients finaux, des partenaires commerciaux, ou encore des investisseurs. C’est d’ailleurs
une situation facilement compréhensible : qui aurait envie de faire affaire – et donc de confier son argent
ou ses données personnelles – à une entreprise dont l’expérience tendrait à montrer qu’elle n’est pas en
mesure d’en assurer la pleine et entière sécurité ? Peu importe à cet égard qu’il s’avère impossible d’assu-
rer une sécurité absolue des données : il existera toujours un sentiment négatif à l’égard de l’entreprise
victime d’un incident, qui sera automatiquement considérée comme responsable de la faille de sécurité de
son système d’information. Par exemple, suite à l’attaque du PlayStation Network en 2011, la presse du
monde entier a évoqué les “millions de victimes de Sony” et non les “millions d’abonnés de Sony victimes
des cyber-pirates” – problématique qui sera plus cruciale encore lorsqu’entrera en vigueur la nouvelle
réglementation européenne sur les données personnelles, qui obligera les entreprises à rendre publiques
(voir section juridique) toutes les attaques dont elles feront l’objet.
Or, l’explosion du Web 2.0 a rendu les e-commerçants plus vulnérables aux commentaires négatifs
de leurs clients voire de leurs concurrents. Ils doivent donc désormais réagir très rapidement en cas d’at-
teinte à leur image, pour s’assurer le contrôle de leur e-réputation. En effet, un consommateur victime
hésitera à retourner sur le site et le fera savoir sur des forums ou des réseaux sociaux, qui sont des médias
extrêmement rapides et très utilisés de diffusion de l’information.
86
Cyber-extorsion
La menace d’une attaque informatique ou la demande de rançon pour empêcher la divulgation d’informa-
tions deviennent monnaie courante. Il existe plusieurs typologies de cyber-extorsion dont les plus répan-
dues sont la menace d’attaque par déni de service (DoS) et la demande de rançon contre la remise d’une
clé pour décrypter des données. Le hacker va exiger le paiement d’une rançon contre la clé qui permettra
de décrypter les données.
La mise en cause personnelle du dirigeant

Les dirigeants de site de e-commerce peuvent être mis en cause à titre personnel par la CNIL, ou des tiers,
pour non respect de la réglementation sur les données personnelles ou sensibles.
3.2 LES CONSÉQUENCES FINANCIÈRES DU RISQUE CYBER :

EXEMPLES CHIFFRÉS
Source : Gras Savoye
Exemples de sinistres cyber standards
Perte d’ordinateur portable
Contexte Assurance Montant du sinistre

Un préposé de l’assuré a oublié Prise en charge des frais 25 000 €
son ordinateur portable contenant des d’expert informatique, de
données confidentielles non cryptées. restauration des données et
d’assistance juridique.
Vol chez un prestataire externe

Le disque dur et le serveur de messagerie Prise en charge des frais 35 000 €
sont dérobés alors qu’ils étaient chez un d’expert informatique,
prestataire externe. d’assistance juridique, frais
de notification, consultant
en gestion de crise.
Menace d’extorsion

Après la constatation que le réseau était Prise en charge des frais 75 000 €
lent, des écrans rouges avec un symbole d’expert informatique,
de cadenas demandant un paiement sous remboursement de la rançon.
96 h est apparu. Le virus a empêché
le fonctionnement normal de la société
en bloquant le système de communication
interne et de facturation.
À ce stade, nous n’avons pas constaté de
vol de données.
87
Exemples concrets de cyber-attaque pour un site de e-commerce
Contexte Montant du sinistre

Une employée d’un site de e-commerce a revendu Frais de surveillance : 300 000 €
45 000 données commerciales et personnelles de clients Frais de notification : 57 000 €
qu’elle avait volées. L’assureur a fait surveiller par un
Frais de communication: 50 000 €
organisme pour 300 000 € les numéros de carte bleue
pendant un an. L’assureur a pris en charge les frais de Montant total du sinistre : 407 000 €
notification à hauteur de 57 000 € et les frais des agences
de presse qui s’élevaient à 50 000 € pour préserver
l’image de la marque.

Un site de vente en ligne de voyages a vu son site bloqué 3 jours de pertes de revenus : 150 000 €
pendant 3 jours à cause d’un piratage par déni de service Frais d’experts IT : 30 000 €
(inaccessibilité momentanée du site). Les experts IT sont
Frais de communication
intervenus mais le site a dû rester fermé pendant 3 jours.
de crise : 10 000 €
L’impact financier sur les ventes du site a été couvert par
l’assureur à hauteur de 180 000 €. Montant total du sinistre : 180 000 €

Un e-commerçant se fait voler 2 millions de données Pertes de revenus liées
bancaires clients via un piratage de son système en ligne à la fermeture du site Web : 2 000 000 €
pourtant très sécurisé. Frais d’avocats : 250 000 €
Expertise IT et frais
de notifications : 500 000 €
Frais d’agences de
communication : 250 000 €
Montant total du sinistre : 3 000 000 €

Un e-commerçant est attaqué Frais légaux : 15 000 €
par un malware qui s’est introduit dans le système Frais de notification : 50 000 €
informatique
Call Center : 75 000 €
et a permis le détournement
Sécurité informatique : 100 000 €
des données de paiement de 100 000 clients.
Veille internet : 75 000 €
Gestion de crise : 27 000 €
Montant total du sinistre : 318 000€
88
89
90
PARTIE 3 | 1. OUTILS DE DIAGNOSTIC PERMETTANT DE SITUER LA MATURITÉ D’UN SITE “…” EN MATIÈRE DE CYBERSÉCURITÉ
PARTIE 3
COMMENT METTRE EN ŒUVRE
ET RENFORCER UNE VÉRITABLE
POLITIQUE DE CYBERSÉCURITÉ
POUR UN SITE DE E-COMMERCE
1. OUTILS DE DIAGNOSTIC PERMETTANT DE

SITUER LA MATURITÉ D’UN SITE DE E-COMMERCE
EN MATIÈRE DE CYBERSÉCURITÉ
Les outils permettant d’étalonner la maturité d’une organisation face aux risques cyber sont nombreux.
Philippe Humeau (NBS System) propose ci-après un quiz rapide qui permet déjà de procéder à une
première évaluation.
20 QUESTIONS
POUR SAVOIR OÙ EN EST VOTRE SÉCURITÉ
source : NBS System
QUESTIONNAIRE
1. Votre société dispose-t-elle un RSSI 7. La RC Pro (la vôtre ou celle de votre
en interne ? hébergeur) vous couvre-t-elle à un
niveau suffisant en cas de perte
2. Existe-t-il une politique de sécurité
d’exploitation du site e-commerce ?
écrite ?
8. Vos serveurs sont-ils redondés dans
3. Si vous avez des données concernant
deux salles géographiquement
des particuliers, ont-elles fait l’objet
séparées d’au moins 20 Km ?
d’un dépôt CNIL ?
9. Vos sauvegardes sont-elles déportées
4. Votre personnel a-t-il été sensibilisé
hors du lieu d’hébergement des
à la sécurité et/ou au phishing ?
serveurs en cas d’incendie ?
5. Existe-t-il une procédure de
10. Votre hébergeur dispose-t-il d’une
révocation systématique des accès
certification PCI/DSS ?
informatiques des personnes ne
travaillant plus dans l’entreprise ? 11. Votre hébergeur vous fournit-il une
protection contre les DDoS de plus
6. Disposez-vous d’un Plan de
de 20 Gb/s ?
Reprise d’Activité (PRA) et d’un Plan
de Continuité (PCA) ? 12. Votre hébergeur a-t-il mis en place un
…/…
91
PARTIE 3 | 1. OUTILS DE DIAGNOSTIC PERMETTANT DE SITUER LA MATURITÉ D’UN SITE “…” EN MATIÈRE DE CYBERSÉCURITÉ
…/…
Firewall protégeant l’accès aux ports imposant un changement régulier

de vos serveurs hors 80 et 443 (http/ de ceux-ci ?
https) ?
18. Si les mobiles et tablettes personnels
13. Votre hébergeur a t-il mis en place des collaborateurs se connectent au
Reverse proxy pour vous protéger ? réseau d’entreprise, est-il séparé de
votre réseau de production ?
14. Votre hébergeur a-t-il mis en place un
Web Application Firewall pour vous 19. Les postes de travail sont-ils tous
protéger ? équipés d’un antivirus de qualité et
à jour et leurs applicatifs sont-ils mis
15. Effectuez-vous régulièrement des
à jour de manière automatique (Java,
tests d’intrusion (au moins une fois
Office, Flash, Adobe… ) ?
par an) ?
20. Votre réseau est-il équipé, à minima,
16. Auditez-vous la sécurité du code
des éléments de sécurité suivants :
source des applicatifs sensibles avant
un Firewall (séparé de celui de
mise en production ?
la box ou du routeur de votre
17. Avez-vous une politique de mot de opérateur télécom) ?
passe empêchant techniquement Un Antispam efficace pour éviter
l’usage de mots de passe simples spam, phishing, virus, scams ?
(mots, hors dictionnaire, d’au moins Un Proxy pour protéger vos
9 caractères dont un spécial) et connexions Web ?
BARÈME
Compter un point par question où vous avez répondu oui.
0 à 10 Votre sécurité est très insuffisante en comparaison des enjeux de votre site
de e-commerce et d’une manière plus générale de votre activité d’entreprise, il faut agir
rapidement.
11 à 13 La sécurité vous préoccupe mais vous en êtes au début de la démarche. Essayez de
déporter les points clés que votre société ne peut couvrir chez un hébergeur de confiance,
spécialisé dans la sécurité, cela vous permettra de finaliser vos démarches en interne avec
un périmètre à couvrir plus restreint.
14 à 17 Votre société peut progresser, mais globalement vous allez dans la bonne direction
et la sécurité est une préoccupation importante dans votre entreprise. Il serait intéressant de
mener un audit ou un test d’intrusion pour identifier les points qui vous feraient progresser
rapidement.
17 à 20 Votre société a acquis les bonnes pratiques et vos utilisateurs et clients sont entre
de bonnes mains, ne relâchez pas vos efforts, la sécurité demande de la constance.
92
PARTIE 3 | 2. PRINCIPALES ÉTAPES DE LA DÉMARCHE DE MISE SOUS CONTRÔLE DU RISQUE CYBER
2. PRINCIPALES ÉTAPES DE LA DÉMARCHE DE MISE

SOUS CONTRÔLE DU RISQUE CYBER
2.1 L’HOMOLOGATION DE SÉCURITÉ EN 9 ÉTAPES
Par Cyrille Tesser (ANSSI)
ANSSI
L’Agence Nationale de la Sécurité des Systèmes d’Information a mission d’autorité nationale en matière de
sécurité et de défense des systèmes d’information. Pour ce faire, elle déploie un large panel d’actions
normatives et pratiques, depuis l’émission de règles et la vérification de leur application, jusqu’à la veille,
l’alerte et la réaction rapide face aux cyber-attaques - notamment sur les réseaux de l’État.
Cyrille Tesser (ANSSI) possède un DESS ainsi qu’un Master en SSI de l’Université de technologie de Troyes.
Il dispose également du titre d’expert en SSI (ESSI et BESSSI) qu’il a acquis au cours d’un parcours profes-
sionnel au sein du ministère de la Défense, de 1996 à 2013. Il a été, durant ces années, RSSI, chargé
d’étude, formateur SSI et auditeur. En plus de ses activités, il est également expert judiciaire à la
Cour d’Appel de Paris depuis une dizaine d’année.
Il a intégré l’ANSSI en 2013 en tant que coordinateur du secteur de l’industrie. Il est depuis 2015 le référent
de l’ANSSI pour la région Île de France.
Dans le e-commerce comme dans les autres domaines, le risque zéro n’existe pas. Lors de la mise en place
d’un site de e-commerce, il est indispensable que la direction de l’entreprise comprenne les enjeux
de sécurité et accepte les risques associés. Dans cet objectif, l’Agence Nationale de la Sécurité des Sys-
tèmes d’Information (ANSSI) recommande d’adopter une démarche d’homologation de sécurité. Il s’agit
d’un processus interne d’information et de responsabilisation des décideurs, qui aboutit à une décision
de mise en service en toute connaissance de cause.
La démarche d’homologation comportera une analyse formalisée et partagée des risques en jeu sur
le projet de site e-commerce, ainsi qu’un plan de traitement des risques, adapté et accepté par la direction.
Celle-ci pourra aisément s’approprier les grandes décisions qui en découlent. Aussi surprenant que
cela puisse paraître, ce mode de fonctionnement peut parfois déboucher sur des rallonges financières
et/ou RH…
Pour mettre en place et suivre ce processus d’homologation de sécurité, il est recommandé d’utiliser le
guide de l’ANSSI “L’homologation de sécurité en 9 étapes simples” dont les grandes lignes sont reprises
ci-dessous. Ce guide est en libre téléchargement sur le site Web de l’ANSSI, ainsi que tous les documents
types afin d’accompagner tout au long de la démarche : stratégie d’homologation, décision d’homologa-
tion, suivi des risques résiduels, plan d’actions…
Recommandée par l’ANSSI, la démarche d’homologation d’un système d’information est un préalable à
l’instauration de la confiance que l’on peut trouver dans un site Web de e-commerce et dans son exploitation.
L’objectif de cette démarche d’homologation est de trouver un équilibre entre le risque acceptable et les
coûts de sécurisation, puis de faire arbitrer cet équilibre, de manière formelle, par le plus haut responsable
qui a autorité pour le faire, généralement au niveau de la direction.
L’homologation de sécurité permettra à la direction, en s’appuyant sur l’avis des experts, de s’informer et
d’attester aux utilisateurs internes et externes du site Web de e-commerce que les risques cyber qui
pèsent sur eux, sur les informations qu’ils manipulent et sur les services rendus, sont connus et maîtrisés
de manière active, préventive et continue.
93
Il s’agit d’un processus d’information et de responsabilisation qui aboutit à une décision, prise par les
responsables de l’organisation. L’homologation de sécurité est délivrée par une de ces personnes qui a le
titre “d’autorité d’homologation” pour tout ou partie du site de e-commerce.
La décision d’homologation constitue un acte formel par lequel il :

• atteste de sa connaissance du système d’information et des mesures de sécurité (techniques,
organisationnelles ou juridiques) mises en œuvre.
• Accepte les risques qui demeurent, qu’on appelle risques résiduels.
L’homologation permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité accep-
table pour tout ou partie du site de e-commerce.
La décision d’homologation s’appuie sur l’ensemble des documents générés lors des étapes du processus
d’homologation et que le responsable estime nécessaires et suffisants à sa prise de décision.
La démarche d’homologation doit être adaptée aux enjeux de sécurité du système, notamment au contexte
d’emploi, à la nature des données contenues, ainsi qu’aux utilisateurs :
• dans les cas de systèmes complexes ou à fort enjeu de sécurité, il est souhaitable que le responsable
s’entoure d’experts techniques et fonctionnels (la commission d’homologation). Il peut déléguer la
prise de décision à l’un de ses représentants qui présidera ce comité d’experts.
• Dans le cas de systèmes simples, le responsable peut mettre en place des procédures simplifiées as-
sociant un nombre plus limité d’acteurs.
La démarche d’homologation doit s’intégrer dans le cycle de vie du système d’information. Elle comprend
plusieurs étapes clés, résumées dans les 9 étapes ci-dessous. Il est nécessaire de les suivre en même
temps que les phases de développement du système : opportunité, faisabilité, conception, réalisation,
validation, exploitation, maintenance et fin de vie. En outre cette démarche doit être lancée suffisamment
tôt, afin de pouvoir déterminer les exigences de sécurité qui seront intégrées dans les cahiers des charges
de développement ou d’acquisition.
Les questions posées lors de ces neuf étapes permettent de constituer un dossier, sur lequel l’autorité
d’homologation s’appuie pour prendre sa décision.
La décision d’homologation est le résultat du processus. Son objet est de vérifier que le responsable
a analysé les risques de sécurité et a mis en œuvre les dispositifs adaptés à la menace.
Le terme “homologation” recouvre donc deux notions distinctes :

• la démarche d’homologation, avant tout destinée à faire connaître et faire comprendre aux respon-
sables les risques liés à l’exploitation d’un système d’information. Elle se conclut par une décision,
soutenue par la constitution et l’analyse d’un dossier de sécurité.
• La décision formelle d’homologation (également appelée attestation formelle).
Se lancer dans une démarche d’homologation est relativement simple : il s’agit de vérifier que la sécurité
n’a pas été oubliée avant la mise en place du système d’information et d’appliquer les mesures de sécurité
nécessaires et proportionnées.
Les neuf étapes présentées dans le guide de l’ANSSI permettront à un chef de projet ou à un comité de
pilotage SSI de préparer un dossier d’homologation et de le présenter au responsable, désigné “autorité
d’homologation”.
Le guide “L’homologation de sécurité” est disponible en libre téléchargement sur le site Web de l’ANSSI
www.ssi.gouv.fr, ainsi que de nombreux cas pratiques et documents types afin de vous aider à dérouler
entièrement la démarche.
94
L’HOMOLOGATION DE SÉCURITÉ EN 9 ÉTAPES

source : Cyrille Tesser, ANSSI
Définition de la stratégie d’homologation
étape 1 Objectif et périmètre du système à homologuer

Quel système d’information dois-je homologuer et pourquoi ?
Définir le référentiel réglementaire applicable et délimiter le périmètre du système à homologuer.
étape 2 Diagnostiquer les besoins de sécurité et adaptation de la démarche

Quel type de démarche dois-je mettre en œuvre ?
Estimer les enjeux de sécurité du système et en déduire la profondeur nécessaire
de la démarche à mettre en œuvre.
étape 3 Identifier les acteurs, définir les rôles et les responsabilités

Qui contribue à la démarche ?
Identifier les acteurs de l’homologation et leur rôle (décisionnaire, assistance, expertise technique… ).
étape 4 Organisation du dossier d’homologation avec planning

Comment s’organise-t-on pour recueillir et présenter les informations ?
Détailler le contenu du dossier d’homologation et définir le planning.
Maîtrise des risques
étape 5 Analyse de risque et identification des mesures de sécurités

Quels sont les risques pesant sur le système ?
Analyser les risques pesant sur le système en fonction du contexte et de la nature de
l’organisme et fixer les objectifs de sécurité.
étape 6 Mesure d’écart entre l’analyse de risque et la partique (contrôle)

La réalité correspond-elle à l’analyse ?
Mesurer l’écart entre les objectifs et la réalité.
étape 7 Plan d’actions pour amener les risques à un niveau acceptable

Quelles sont les mesures de sécurité supplémentaires à mettre en œuvre pour couvrir ces risques ?
Analyser et mettre en œuvre les mesures nécessaires à la réduction des risques pesant sur
le système d’information. Identifier les risques résiduels.
Prise de décision
étape 8 Décision d’homologation

Comment réaliser la décision d’homologation ?
Accepter les risques résiduels : l’autorité d’homologation signe une attestation formelle
autorisant la mise en service du système d’information, du point de vue de la sécurité.
Suivi a posteriori
étape 9 Amélioration continue et maintien en conditions de sécurité

Qu’est-il prévu pour maintenir la sécurité et continuer de l’améliorer ?
Mettre en place une procédure de révision périodique de l’homologation et un plan d’actions
pour traiter les risques résiduels et les nouveaux risques qui apparaîtraient.
95
2.2 LA PROTECTION CONTRE LES CYBER-ATTAQUES

N’EST PAS LE PRIVILÈGE DES GRANDES ENTREPRISES !
Par Lazaro Pejsachowicz, président du CLUSIF
Introduction
Pendant presque quarante ans, nous avons feint de croire que les enjeux de la sécurité des systèmes
d’information étaient presque exclusivement réservés aux grandes entreprises. Il s’agissait en fait d’un
besoin pragmatique plus que d’une vérité : les démarches de protection avaient un coût important et les
risques devaient être proportionnels à ce dernier.
Il était par ailleurs plus simple pour les offreurs de produits et de services de sécurité des systèmes
d’information de communiquer avec les grands comptes, qui avaient non seulement la capacité financière
d’acheter, mais qui pouvaient également être représentés par un acteur spécialisé : le RSSI.
Mais tout ceci, à l’époque cyber, est aujourd’hui totalement révolu.
Les cybercriminels et la petite entreprise

Il faut reconnaître que ce sont les criminels qui ont poussé à la “démocratisation” du concept de la cyber-
sécurité, en étendant leur champ de bataille vers les usagers de l’informatique familiale avec des scénarios
d’attaque bien plus élaborés que les bons vieux virus, mais surtout, avec des bénéfices monétaires bien
plus importants que ce que nous pouvions constater il y a encore une dizaine d’années. Ce constat est
notamment l’une des conclusions que nous tirons de ce que le CLUSIF présente, année après année, lors
de son Panorama de la Cybercriminalité.
Les petites entreprises ont d’abord été atteintes de manière presque involontaire, par ces attaques
destinées initialement au “grand public”.
Mais si les “armes” destinées à attaquer les petites entreprises (et parfois les grandes) sont similaires, il est
toutefois possible de mettre en avant trois points différenciateurs :
• premièrement, les dommages sont bien plus importants pour une PME que pour un particulier (par
manque de mesures de contention et de réaction, les conséquences d’une attaque peuvent même
être, hélas, plus importantes que pour une grande entreprise).
• Deuxièmement, la “cyber-escroquerie” de type “Cryptolocker” ou autre, est bien plus
profitable que chez un particulier (ce type d’attaque peut par ailleurs se combiner avec d’autres visant
typiquement les grandes entreprises, comme par exemple “la fraude au PDG”).
• Troisièmement, les petites entreprises sont attaquées pour atteindre les grandes avec lesquelles elles
sont en relation : l’attaquant suppose, avec raison hélas, que les PME, moins protégées, constituent un
excellent point d’entrée vers les informations et/ou l’informatique des grandes entreprises
(voir, par exemple:https://www.cnil.fr/fr/la-societe-orange-sanctionnee-pour-defaut-de-securite-des-
donnees-dans-le-cadre-de-campagnes).
Vers une lutte contre le cybercrime dans les PME

Heureusement, ces différents constats ont engendrés de nombreuses réactions, d’origine et de nature
diverses, permettant d’empêcher que la petite entreprise soit la proie facile de cybercriminels.
Citons tout d’abord les évolutions réglementaires, que ce soit au niveau européen (et au-delà par des
accords), au niveau national ou encore d’ordre privé.
96
Après l’évolution de la “Loi Informatique et Liberté” et les nouvelles attributions de la CNIL,

le nouveau Règlement Européen sur la Protection des Données Personnelles est récemment entré en vi-
gueur. La mise en conformité par rapport à ce Règlement est par exemple un défi majeur pour les entre-
prises de commerce en ligne, quelle que soit leur taille (n’oublions pas qu’en tant que victime de fuites
d’informations, ce secteur a été parmi les plus touchés, avec de nombreux cas comme celui de Domino’s
Pizza, dont les données de connexions sont encore diffusées sur le Deep Web).
La norme PCI DSS est quant à elle la plus importante des réglementations “privées” en termes de sécurité :
cette dernière est notamment indispensable pour les entreprises de commerce en ligne qui acceptent les
paiements par carte bancaire (VISA et/ou MasterCard). Si la première version de cette norme ressemblait
plus à un “catalogue de solutions à mettre en œuvre”, le Groupement s’est bien repris depuis et les
versions suivantes guident aujourd’hui vers une mise en œuvre globale de la SSI. Pour ceux qui se sont mis
en conformité avec cette norme et surtout pour ceux qui ne l’on pas encore fait, je recommande vivement
la lecture des deux documents élaborés par le Groupe de Travail “PCI DSS” du CLUSIF (ces documents sont
en accès libre et gratuit sur le site de l’association).
Et pour tous les petits commerces en ligne qui ne gèrent pas directement les paiements par carte (et
même pour ceux qui le font), des initiatives prises par l’État français et les associations travaillant sur le
sujet de la sécurité de l’information sont là pour les aider à bâtir leur propre protection contre la cybercri-
minalité.
L’ANSSI a ainsi fait de la protection des PME l’une de ses priorités : d’une part en publiant un “Guide de
bonnes pratiques”, en partenariat avec la CGPME ; et d’autre part en déployant une présence régionale,
avec la désignation progressive d’un de ses membres dans chacune des régions de France (une première
réunion a par exemple eu lieu en Rhône-Alpes, animée par l’ANSSI et le CLUSIR Rhône-Alpes). L’Agence a
également collaboré avec le CIGREF pour la sortie d’une remarquable série de vidéos parfaitement adap-
tées aux employés de petites entreprises de e-commerce : la série “Hack Academy”.
Signalons enfin que cette collaboration en région CLUSIR/ANSSI est stratégique pour le CLUSIF, dont
la protection des PME fait partie des priorités. Inscrire les régions et les PME dans les objectifs de l’associa-
tion a d’ailleurs eu un effet inattendu mais finalement logique chez nos membres Offreurs : celui d’une
prise de conscience de l’importance des PME et de la conséquente nécessitée à proposer des solutions et
des services mieux dimensionnés pour ce secteur.
En conclusion
Si les cybercriminels continueront toujours à nous surprendre, la prise de conscience et les initiatives
prises par les acteurs de la lutte contre la cybercriminalité donnent aux petites entreprises, et donc à celles
du commerce électronique, les éléments nécessaires pour améliorer la maîtrise de leurs risques cyber.
Pour certaines d’entre elles, il reste néanmoins un pas à franchir : comprendre d’une part l’importance de
l’évaluation des risques liés au SI, et d’autre part que cette évaluation, ainsi que la mise en place de protec-
tions, doit être guidée par des professionnels de la Sécurité de l’Information, internes et/ou externes à
l’entreprise.
97
LE CLUSIF : échanger et agir ensemble pour la confiance dans le numérique

Le CLUSIF (Club de la Sécurité de l’Information Français) est un club de professionnels ouvert à toutes les
entreprises et collectivités. Rassemblant plus de 550 membres issus de tous les secteurs de l’économie, le
CLUSIF a pour objectif principal de favoriser les échanges d’idées et de retours d’expériences à travers
différentes activités en relation avec la sécurité des systèmes d’information ou la mise à disposition de
documents de référence, notamment :
• les groupes de travail, dont la finalité est la publication de documents de type recommandation,
méthodologie ou encore état de l’art.
• L’Espace RSSI, réservé exclusivement aux Responsables de la Sécurité des Systèmes d’Information
d’entreprises privées et du secteur public (hors fournisseur de solutions ou de services de sécurité).
• Les conférences thématiques, organisées tout au long de l’année afin de sensibiliser les dirigeants,
responsables ou organismes et pouvoirs publics à l’importance de la sécurité de l’information.
• Une base documentaire gratuite et accessible à tous.
• Deux annuaires, l’un des formations en sécurité de l’information et le second des fournisseurs de
solutions ou services de sécurité membres de l’association sont également présentés au public à titre
de service gratuit, dans le but d’offrir une source d’information unique.
2.3 OFFRE GLOBALE D’ÉVALUATION 360° DU RISQUE CYBER

POUR LES E-COMMERÇANTS
Par Grant Thornton
Le risque cyber n’est pas et ne sera jamais limité à une problématique technique ou technologique :
c’est avant tout et surtout une problématique métier. Le e-commerce et les appareils connectés au cybe-
respace offrent les mêmes possibilités et avantages aux réseaux de criminels que ceux qu’ils proposent
aux entreprises légitimes. Cependant, l’ordre des priorités de la réalité opérationnelle est le suivant :
en premier lieu vient la satisfaction client, puis les résultats financiers et enfin le risque cyber.
Panorama de la cybersécurité
Qui ? Crime organisé Collaborateur

Hacktivistes Hacker isolé
États/Nations Interne Tiers
Réseau cyber Criminel
Code malicieux :
Spam Malwares,
Déni de service : Sites Web
Comment ? Spear Phishing
Botnets or Zombies Compromis
Advanced Persistant
Sosial Engineering Threats et
ZeroDays attacks
Internet
Vecteurs Infrastructure Portail Accès BEYOND / E-mail Accès distant Accès Wi-Fi
des partenaires Internet / Web clients Équipements collaborateur
d’attaques commerciaux mobiles
externes
Système d’information
Vecteurs
Collaborateur Collaborateur Fournisseur(s) et Accès Invités
d’attaques malveillant négligent sous-traitants(s) non autorisé et visiteurs
internes
Vol Altération
Vol/Perte Vol Accès Système Destruction
Conséquences de données d’identité non autorisé
détournement
indisponible de données
de l’image
de fonds de la marque
98
Les entreprises deviennent encore plus sensibles aux attaques à mesure que leur empreinte numérique
se développe pour intégrer, en plus de leurs clients, leur chaîne d’approvisionnement (y compris les
prestataires et la sous-traitance), l’utilisation de services et technologies externalisés, tierces ou connectés.
La cybersécurité n’a pas de prix, mais elle a un coût ! Les organisations ne peuvent pas prétendre être
complètement protégées contre les cyber-attaques. Nous pensons que les stratégies de cybersécurité
doivent être adaptées afin de répondre aux besoins opérationnels et culturels des organisations, en
tenant compte des exigences réglementaires et en se concentrant sur ce qui doit être protégé en priorité,
plutôt que d’offrir une couverture globale. Échouer à consolider
ses cyber-défenses peut être coûteux et, au pire, menacer la Changer
survie de l’entreprise. Évaluer et améliorer
la stratégie, les objectifs,
L’expérience Grant Thornton démontre que les stratégies les priorités
qui fonctionnent sont construites autour de trois piliers : les
individus, les processus et la technologie. Lorsque votre ennemi
est insaisissable, la défense est la meilleure forme d’attaque ; Préparer
Protéger
c’est le point de départ d’une stratégie de cybersécurité robuste. Réagir
Dans la méthodologie Grant Thornton, les actions de sécurité
couvrent quatre domaines d’interventions. Ces domaines
adressent l’ensemble des problématiques sécurité conformé-
ment au cycle vertueux d’amélioration continu de la sécurité au
sein d’un Système d’Information :
L’objectif de cette méthodologie est d’accompagner nos clients pour leur permettre d’élaborer pas à pas
une démarche de sécurité cyber-pragmatique, proactive et proportionnelle aux risques, à ses actifs et leur
criticité, aux investissements et aux ressources. Il s’agit d’accompagner nos clients à :
La préparation
Prendre conscience de la menace et identifier son contexte de risques, identifier ses forces, mais aussi et
surtout ses faiblesses :
• l’identification des priorités pour la protection commence par une évaluation des risques et l’analyse
des failles : identifier vos actifs essentiels et les vecteurs d’attaques, identifier les risques et les
menaces sur ces actifs, bâtir les scénarios de cyber-attaques.
• L’audit cyber est un diagnostic de la sécurité du système d’information et ses processus associés.
Il doit intégrer les fondamentaux techniques et organisationnels, afin d’obtenir un état des lieux
complet, pragmatique et simple à exploiter au sein des entreprises, quel que soit leur taille. Ce
diagnostic est complété par une solution de gestion des vulnérabilités qui analyse les réseaux
informatiques et détecte les équipements mal configurés et les défaillances de sécurité. Cette presta-
tion agile et non intrusive a un triple objectif : évaluer, identifier, agir. L’audit cyber propose une vision
globale et détaillée, des risques intrusifs potentiels et leurs conséquences sur les données
stratégiques, des risques liés à l’infrastructure, de son exploitation et de son organisation interne, des
enjeux liés aux obligations juridiques incluant les aspects métier et les forces et faiblesses globales
du système d’Information.
• Une nouvelle zone de risque est apparue, celle issue de la délégation de la gestion, de
la maintenance, de l’exploitation, de la surveillance et de la supervision du système d’information de
l’entreprise auprès de tiers : l’hébergement externe. Les réseaux criminels exploitent aussi les nou-
velles technologies émergentes - telles que le cloud computing et les plates-formes de médias sociaux,
les réseaux anonymes en ligne et les systèmes de monnaie virtuelle. La particularité de ces infrastruc-
tures est qu’elles ne sont plus la propriété de l’entreprise, mais celle de sociétés tierces offrant ces
services et avec leur propre conception et gestion du risque cyber. Ces nouveaux outils et moyens de
production, d’échanges, de partage et de communication exigent de nouvelles mesures pour suivre le
99
rythme de l’ère numérique. L’objectif est de répondre aux questions suivantes : quelles sont les exi-
gences de sécurité que vous imposez à vos prestataires / fournisseurs clés ? Quelles sont vos applica-
tions présentes sur le cloud ? Quels sont les engagements de vos fournisseurs à cet égard ? Qui peut
être intéressé par l’idée de percer votre “coffre-fort informatique” ? Est-ce que je respecte mes obliga-
tions réglementaires ? À quand remonte le dernier incident de sécurité du SI du tiers ? Quel a été son
impact ? Comment s’organise le tiers en cas d’indisponibilité de votre informatique ? L’audit de sécuri-
té de tiers devient une priorité quand votre outil de production principal, votre système d’information,
est externalisé.
• La maîtrise des coûts et la gestion assurancielle du risque cyber sont des domaines émergeants, mais
extrêmement structurants dans la gestion du risque cyber.
La protection
L’évolution, la redéfinition, la sécurisation de l’architecture globale de vos systèmes d’information pour en
améliorer la résilience.
• Évaluer le niveau de “maturité de la sécurité” par des audits de conformité, de l’implémentation et
l’exploitation du SI aux regards de la législation ou des bonnes pratiques / standards / référentiels, des
audits de vulnérabilités, des tests d’intrusion, des revues de code…
• Implémenter un réseau d’entreprise “sous contrôle” et résilient (visibilité, supervision, gestion, évalua-
tion, traçabilité…).
• Mettre en place des outils et la configuration adéquate pour vous protéger des menaces ciblant vos
actifs critiques.
La réaction
La gestion opérationnelle de la sécurité et de ses événements et conséquences.
• Disposer des compétences internes ou externes et avoir des équipes capables de traiter les événements.
• Générer des alertes pertinentes pour faciliter la tâche des équipes et résoudre les incidents.
Le changement
La gouvernance permettant de structurer, de définir, d’optimiser et de piloter la stratégie cyber par la mise
en place des programmes de sécurité, de sensibilisation, de formation adéquats et de suivi d’indicateurs
de risques, de performance.
• Identifier et piloter les investissements technologiques et organisationnels.
• Identifier les compétences et interactions humaines nécessaires à sa cyberdéfense.
GRANT THORNTON
Grant Thornton, 6e groupe leader d’Audit et de Conseil dans le monde avec 4,6 Md$ de CA, regroupe plus
de 42 000 collaborateurs et 3 000 associés sur 5 métiers : Audit, Expertise Conseil, Conseil Financier,
Conseil Opérationnel & Outsourcing et Conseil Juridique et Fiscal.
Grant Thornton accompagne les entreprises dynamiques (sociétés cotées, entreprises publiques et
privées) pour leur permettre de libérer leur potentiel de croissance, grâce à l’intervention d’associés
disponibles et impliqués, épaulés par des équipes délivrant une expertise à très haute valeur ajoutée.
En France, Grant Thornton est présent dans 23 bureaux. Avec 163,6 M€ de CA, le cabinet compte
1 700 collaborateurs et 117 associés.
Laura Letteron Filitov : Senior Manager, responsable de l’offre Gestion Globale des Risques au sein de
Grant Thornton.
Lionel Benao : 11 ans d’expérience professionnelle en Conseil & audit de la sécurité des SI.
100
3. PANORAMA DES SOLUTIONS TECHNIQUES

ET ORGANISATIONNELLES
3.1 PANORAMA DES SOLUTIONS TECHNIQUES
Pour mieux comprendre le vocable employé dans ce livre et les différentes méthodes ou outils à
disposition, ainsi que la menace à laquelle ils répondent, Philippe Humeau (NBS System) et Emmanuel
Mace (Akamai) dressent ci-après un rapide tour d’horizon des solutions techniques de cybersécurité.
Le firewall
c’est probablement l’élément le plus connu de sécurité. Il interagit principalement sur les adresses IP et les
ports pour déterminer quel trafic est autorisé ou non vers un serveur et éventuellement l’un des services
qu’il héberge. Contrairement à son confrère le WAF, il ne comprend (en général) pas le contenu des
requêtes qui sont formulées auprès du serveur, mais applique une politique de filtrage fondée
uniquement sur l’origine et la destination des paquets IP.
Le firewall à réputation d’IP

c’est un firewall “classique” mais il embarque en supplément un système de notation dynamique des
adresses IP. Si une adresse a été repérée comme ayant un comportement offensif, le firewall dynamique
peut décider de la bannir et éventuellement de protéger tout son parc de serveurs contre celle-ci. C’est
la nouvelle génération “avancée” de firewall capable, comme un système immunitaire humain, d’adapter
ses réglages en fonctions des attaques.
Le Reverse proxy
une de ses fonctions principales est d’accélérer la délivrance des pages et des objets statiques (images,
css, js…). Mais, le Reverse proxy a également une fonction de sécurité. Il constitue un “sas” entre internet
et le serveur Web, se situant entre les deux. C’est souvent à cet endroit qu’est installé le WAF, qui participe
à la sécurité de la plate-forme (voir ci-dessous).
Le Web Application Firewall (ou WAF)

un WAF permet de filtrer les requêtes HTTP et HTTPS envoyées vers un serveur Web. C’est un élément de
sécurité crucial et indispensable, qui empêche notamment la plupart des requêtes malveillantes, visant
à récupérer la base de données du site, de compromettre le backoffice (injection SQL) ou encore d’infecter
les utilisateurs du site (XSS).
Les limiteurs de sessions (ou d’appel de pages)

bien souvent, quand toutes les attaques échouent, l’ultime tentative d’un pirate peut être d’essayer de
bloquer le site par une DDoS ou une DoS. Les “dénis de service” (DoS) peuvent se faire parfois en appelant
volontairement une page lourde, impliquant de nombreux traitement, de manière à provoquer une pénu-
rie de ressources sur le serveur pour le bloquer. Parfois aussi, tout naturellement sous la charge de travail,
un serveur peut se trouver débordé. Un limiteur de session autorise un certain nombre de requêtes
ou d’utilisateurs et met les autres en attente, le temps que le serveur soit de nouveau disponible.
Les anti-DDoS
ces systèmes se placent en amont de la connexion réseau des serveurs, pour filtrer les paquets qu’ils
auront à traiter. Si ces paquets sont répétitifs et envoyés massivement, un trafic anormal est détecté et
une signature est mise au point pour sélectionner les bons paquets (ceux des clients réels) des mauvais
(ceux envoyés massivement par les pirates) afin de ne laisser passer que les premiers.
101
Les connexions sécurisées (VPN / fibre privées, HTTPS, MPLS…)

les connexions à un serveur sont des points potentiels de vulnérabilité, qui peuvent par exemple être
“écoutés”. Afin de l’empêcher, deux schémas sont possibles (et cumulables) ; le chiffrement et la liaison
privée (qui ne passe pas par internet). HTTPS est aussi une obligation pour la connexion au backoffice,
si ce n’est d’ailleurs sur tout le site.
Les anti-malwares
les serveurs permettent parfois de télécharger (uploader) des images, vidéos ou même parfois du code
source. Afin d’éviter de récupérer un malware et une backdoor par ce biais, il existe des outils (comme PHP
malware finder par exemple) qui détectent ce type de risque et les éliminent, à la manière d’un anti virus.
L’audit de code source

c’est une étape essentielle de tout projet. Il s’agit d’analyser le code source du site afin de voir si sa confi-
guration, les éléments de codes ajoutés par les développeurs, les connexions tierces, les API… ne pré-
sentent pas de risques de sécurité.
Le monitoring
la confiance n’exclut pas le contrôle et exercer une surveillance constante des performances et de la
sécurité est un point essentiel de toute plate-forme. Par ailleurs, si un problème survient un jour (piratage,
clients douteux…), ces logs et traces constitueront des éléments précieux.
3D Secure
de nos jours, la plupart des connecteurs de paiement proposent un 3D Secure débrayable, qui ne se met
en route que si plusieurs facteurs incitent à penser que la transaction est dangereuse.
Les Vlans
il convient de s’assurer que les serveurs disposent de leurs propres sous réseaux dédiés. Chez certains
fournisseurs de cloud, si un serveur voisin du vôtre est compromis, l’attaquant à toute visibilité sur le vôtre
et peut l’attaquer depuis l’intérieur du réseau. Ce risque est très fortement diminué par l’usage de Vlans,
virtual lans, qui permettent d’isoler les serveurs des clients les uns des autres.
Virtual patching
dans le cas où la correction du code ou la mise en place de patchs ne peuvent se faire rapidement, le
virtual patching offert par certains hébergeurs de haute sécurité permet de mettre en place une “rustine”
temporaire sur la faille, pour qu’elle ne puisse pas être exploitée, laissant ainsi plus de temps à la société
pour patcher et mettre à jour son système.
La politique de mot passe

c’est la base mais force est de constater qu’elle n’est toujours pas suffisamment comprise ou appliquée
dans la majorité des cas. Avoir un seul mot de passe faible à un seul endroit sensible peut compromettre
l’ensemble du système. Un mot de passe, doit comporter au minimum 9 caractères, dont un spécial
(§’”ù*^`…) et qui ne se trouve pas dans le dictionnaire. Avoir une phrase est encore mieux, par exemple
“Un Km à Pied ca Use 3n0rmement”.
L’Antispam
il permet de capturer quelques-uns des phishing et des spams. C’est un rempart de tout premier niveau
mais qui peut tout de même être utile, si ce n’est pour la sécurité, tout au moins pour la productivité.
102
3.2 LE WAF, LA PREMIÈRE LIGNE DE DÉFENSE DU E-COMMERÇANT

Paragraphe co-rédigé avec Philippe Humeau (NBS System).
Contre les menaces applicatives (voir inventaire ci-après), la première ligne de défense s’appelle un WAF,
un “Web Application Firewall”. Un firewall classique (pare-feu en Français) se charge de filtrer les accès aux
adresses IP et ports de serveurs sur lesquels repose l’infrastructure e-commerce. Cependant, ils ne sont
pas conçus pour filtrer spécifiquement des accès Web. À partir du moment où le site accepte du trafic sur
son port 80 (HTTP) ou 443 (HTTPS), le firewall devient quasiment inutile car le principe d’un serveur Web
est d’être, en général, accessible à tous.
Le WAF a un rôle complémentaire en fournissant une couche de compréhension des requêtes Web (HTTP)
que la plate-forme exécute. La fonction d’un WAF est ainsi d’analyser le contenu d’un champ de saisie sur
un formulaire pour vérifier que ce champ contient effectivement un nom ou une adresse et pas une com-
mande dangereuse pour la base de données.
Les WAF les plus couteux ne sont pas forcément les plus performants. Il existe tout type d’outils dans ce
domaine. À titre d’exemple le WAF opensource N.A.X.S.I. est gratuit et protège déjà le 3ème plus grand site
sur internet (en termes de bande passante). Ce dispositif constitue un filet de sécurité incontournable
pour les sites de e-commerce, tout à fait abordable et indispensable.
Les bénéfices de la mise en place d’un WAF ne sont plus à démonter : quand 8 failles de sécurité ont été
détectées en un an sur la solution Magento, les sites qui disposaient d’un WAF n’ont eu qu’à mettre à jour
une ou deux règles, tandis que ceux qui n’en disposaient pas ont dû corriger le code source, ce qui leur
a pris plusieurs semaines, pendant lesquelles leur site était exposé à des attaques automatisées.
…/…
RÉSUMÉ DES TYPES D’ATTAQUES APPLICATIVES

Par Philippe Humeau (NBS System) et Emmanuel Mace (Akamai)
SQLi / Le but de l’injection SQL est de manipuler (ajouter/modifier/lire/supprimer) la base de

données de la cible en insérant directement les requêtes SQL via des paramètres.
RFI / Remote File Inclusion est une attaque où la personne malveillante trompe le système de
téléchargement de fichiers, disponible sur de nombreux Framework Web afin de charger du
code malicieux sur l’application Web de la victime.
PHPi / PHP injection est une attaque où la personne malveillante injecte du code PHP
directement dans la requête afin que celui-ci soit exécuté par l’interpréteur PHP.
MFU / Malicious File Upload (ou Unrestricted File Upload) est une attaque consistant pour
une personne mal intentionnée à envoyer vers le serveur un fichier piégé, soit pour qu’il soit
consulté par un tiers dans le but de le compromettre, soit directement pour l’utiliser comme
porte dérobée et ainsi pouvoir prendre le contrôle du serveur.
CMDi / Command Injection est une attaque qui s’appuie sur une vulnérabilité applicative.
Cette vulnérabilité autorise l’exécution de commandes Shell sur le système visé.
LFI / Local File Inclusion est une attaque qui consiste, pour une personne malveillante à accé-
der en lecture à des fichiers non autorisés sur un serveur Web.
JAVAi / Java injection est une attaque qui consiste à injecter du code Java en abusant de
l’OGNL (Object Graph Navigation Language). Cette attaque est devenue populaire depuis
103
PARTIE 3 | 3. PANORAMA DES SOLUTIONS TECHNIQUES ET ORGANISATIONNELLES
…/…
les failles récemment découvertes dans le framework Struts, qui utilise OGNL, notamment
pour la manipulation de cookies et de paramètres dans les URLs.
XSS / Cross site scripting, cette attaque consiste à injecter du code source Javascript dans les
champs de formulaires ou les paramètres HTTP qui ne devraient pas les accepter. Avec cette
méthode, il est parfois possible de rendre son injection “persistante”, c’est-à-dire qu’elle
durera après que l’attaquant ou sa victime se déconnecte et reprendra lors de sa prochaine
connexion. Avec un niveau d’exécution suffisant, il devient alors possible pour l’attaquant
d’exécuter toute une panoplie d’attaques avec le navigateur de sa victime comme par exemple
de lire, modifier ou transmettre des données sensibles par son entremise.
CSRF / C’est une attaque assez complexe à parer puisque le serveur n’est pas la source du
problème. En général, le but pour le pirate est d’attirer un utilisateur sur un site qu’il contrôle,
pour infecter son navigateur et se servir de sessions où il s’est déjà authentifié, comme par
exemple un backoffice de site ou un service bancaire.
Applicative DoS / Un déni de service applicatif consiste à appeler continuellement une page
du site, une API ou une fonction quelconque, qui est particulièrement lourde à traiter pour
les serveurs, dans le but d’épuiser ses ressources.
Bruteforce de mot de passe / C’est le fait de tenter de multiples authentifications, sur un

système ne limitant pas le nombre de tentatives d’authentification. Cela est particulièrement
utilisé sur les accès au backoffice en général dans le cadre du e-commerce, mais cette tech-
nique marche aussi pour des transactions de carte de crédit (CCV2), pour le SSH ou encore
les e-mails. Cette vulnérabilité existe dans Bash depuis 1989, mais n’a été que récemment
révélée. La forte utilisation de cet interpréteur a rendu cette attaque très populaire.
3.3 LES CYBER-ASSURANCES

Interview de Astrid-Marie Pirson, HISCOX
HISCOX ET SES ACTIVITÉS

HISCOX est une société d’origine anglaise. Elle est l’une des émanations du syndicat des Lloyd’s de Londres.
La société est implantée depuis plusieurs années en France, à Paris, mais également dans certaines villes
de province (Lyon, Bordeaux, Marseille…). L’entreprise emploie une centaine de personnes sur le territoire.
Historiquement, la société s’est développée à partir de son activité d’assureur privé pour une clientèle
aisée. Puis, l’activité de la société s’est progressivement étendue à l’assurance des risques spécifiques
(HISCOX est notamment un acteur reconnu de l’assurance dans le tourisme pour les tours opérateurs).
Aujourd’hui, la principale activité de HISCOX est la couverture des risques en responsabilité civile.
La capacité d’HISCOX à assurer des risques très spécifiques est inscrite dans son ADN. Ainsi, HISCOX
présente la singularité de figurer parmi les trois premiers assureurs au monde en ce qui concerne les
risques liés aux kidnappings des salariés avec demande de rançon.
104
Astrid-Marie Pirson travaille depuis quatre ans et demi chez HISCOX France. Elle a rejoint il y a trois ans,
le département “sinistres” sur les lignes technologies, médias, et cybersécurité, avant d’en prendre la
direction technique il y a un an. Avant d’intégrer HISCOX, Astrid-Marie Pirson a exercé pendant six ans, en
tant qu’avocate, dans un cabinet d’avocats au conseil d’État et à la Cour de cassation.
La confiance des clients, un enjeu majeur pour les e-commerçants

Une étude réalisée par HISCOX il y a 18 mois, a montré que la proportion des internautes qui ne finalisera
pas un achat sur un site ayant été victime d’une faille de sécurité se situe entre 70 et 80 %.
Or, Astrid-Marie Pirson rappelle que très prochainement, il deviendra obligatoire pour les sites qui auront
été victimes d’une cyber-attaque de se déclarer auprès de la CNIL. Et, avec la mise en œuvre du paquet
européen sur la protection des données personnelles, les sites victimes d’une cyber-attaque auront
l’obligation de prévenir individuellement les internautes dont les données personnelles auraient fait l’objet
d’une cyber-attaque.
Des assurances “cyber” encore mal connues des responsables de sites e-commerce
Thomas Brault, chargé de clientèle chez le courtier d’assurance Gras Savoye avec lequel travaille HISCOX,
estime que si ses clients e-commerçants sont globalement bien informés des risques liés à la cybercrimi-
nalité, en revanche ils le sont beaucoup moins des produits d’assurance qui leur permettraient d’en limiter
le risque.
Selon Astrid-Marie Pirson, si l’ensemble des acteurs du e-commerce a maintenant pris conscience des
risques liés à la cybercriminalité, tous n’ont pas encore opté pour une démarche assurancielle, et ce pour
au moins deux raisons principales :
• la connaissance des e-commerçants sur les produits d’assurance cyber est encore limitée,
• l’attention d’un certain nombre d’acteurs du secteur est toujours focalisée sur la gestion de la crois-
sance et de la rentabilité. Pour ces acteurs, la démarche assurantielle (hors assurances obligatoires),
et en particulier la couverture de ce type de risques ne rentre pas encore dans le périmètre de leurs
préoccupations immédiates.
Force est de constater qu’actuellement, le principal élément déclencheur pour la plupart des e-commer-
çants, pour souscrire ce type d’assurance, est la survenue d’un incident. Astrid-Marie Pirson résume ainsi
la situation : en ce qui concerne les risques cyber, la démarche assurancielle est aujourd’hui plus réactive
que proactive.
Pour autant, Astrid-Marie Pirson constate que la situation évolue rapidement, sous l’action conjuguée de
plusieurs phénomènes.
Les démarches assurantielles commencent à être intégrées de plus en plus dans les phases de fort
développement des entreprises de e-commerce. Dans le cas des deals structurés de type LBO, l’évaluation
de l’exposition de la cible au risque de cyber-attaques - et sa couverture face à ce risque - sont maintenant
couramment intégrés aux démarches de due diligence.
Certes, en France, ce phénomène reste pour l’instant limité aux entreprises de taille déjà relativement
importante (au-delà de 30 millions de chiffres d’affaires). Mais, Astrid-Marie Pirson constate qu’outre-
atlantique, les entreprises de e-commerce recourent de manière quasi systématique à des assurances
pour couvrir leurs risques cyber, ne serait-ce que parce que leurs partenaires et fournisseurs de services
bancaires le leur demandent. Il est par ailleurs intéressant de constater que le risque couvert n’est pas tant
la perte de chiffre d’affaires que les risques liés à la collecte et à la détention de données clients.
Depuis deux ou trois ans, Astrid-Marie Pirson observe que les contrats d’assurance d’entreprises nord-amé-
ricaines incluent maintenant quasi-systématiquement un volet lié la protection des données personnelles.
105
Selon elle, un autre phénomène se développe et contribue au développement des démarches assuran-
cielles pour couvrir les risques cyber : la pression que commence à exercer entre eux les secteurs
du marché pour se prémunir mutuellement contre ces risques.
Quand elle n’est pas imposée dans les contrats entre clients et fournisseurs, une assurance cyber, peut
même devenir un argument de vente pour certains acteurs. Ainsi, certains acteurs prenant des assu-
rances cyber ne le font pas tant en raison de risques avérés que pour répondre à une pratique qui tend
à se généraliser. Cela peut aussi devenir un critère important pour convaincre des investisseurs d’injecter
du capital dans leur société.
Un rapport de force déséquilibré entre les sites de e-commerce et les hébergeurs

Astrid-Marie Pirson souligne que le rapport de force entre les hébergeurs et les e-commerçants est rare-
ment en la faveur de ces derniers. Dans la plupart des cas, les e-commerçants se voient imposer les condi-
tions de sécurité définies par les hébergeurs. Très généralement, leurs marges de négociation sont
réduites. Les e-commerçants sont contraints d’accepter les clauses de “renonciations à recours” qui
figurent dans les contrats standards des hébergeurs.
Elle espère l’arrivée prochaine d’une jurisprudence qui remette en cause l’aspect léonin de certains
contrats d’hébergement. Pour le compte des assurés Hiscox, Astrid-Marie Pirson a traité de nombreux
cas pour lesquels la défaillance de sécurité venait objectivement de l’hébergeur. Mais sa responsabilité
ne pouvait être invoquée du fait de clauses de renonciation aux recours figurant dans les contrats que les
clients d’Hiscox avaient signés.
Assez couramment, la responsabilité de l’hébergeur ne peut être mise en cause au-delà du montant
annuel du contrat d’hébergement (parfois moins d’une centaine d’euros). Et, dans le cas où la responsabi-
lité de l’hébergeur peut être invoquée, le périmètre de cette responsabilité est souvent très restrictif.
Il exclut en particulier les “dommages indirects” comme par exemple la perte de chiffre d’affaires ou de
clientèle pour le e-commerçant.
Astrid-Marie Pirson cite plusieurs initiatives européenne (Cyspa Alliance) ou françaises (Cloud Confidence),
majoritairement constituées d’hébergeurs et de prestataires de services de cloud, qui cherche à définir
des règles de partage de responsabilité plus équilibrées. L’exercice reste extrêmement compliqué.
De fait, les e-commerçants sont obligés d’abandonner une partie de leur système d’information à des
acteurs extérieurs, alors même que leur responsabilité reste entière sur l’ensemble de leur système. Car,
les titulaires de l’obligation de sécurisation des données personnelles – les “responsables de traitement”
visés par la CNIL – restent les e- commerçants à qui les données ont été confiées par les individus, et non
les hébergeurs à qui leur hébergement est sous-traité.
Ainsi, les termes du contrat liant un e-commerçant à son hébergeur, (en tenant compte des éventuelles
clauses de renonciation à un recours) constituent un élément très important dont le contrat d’assurance
tiendra compte.
Des attentes différentes en fonction de la taille du e-commerçant

Pour Astrid-Marie Pirson, le marché du e-commerce pour les assureurs nécessite une approche
différenciée en fonction de la taille des e-commerçants. Si les acteurs de taille importante recherchent
principalement une garantie financière contre la survenue d’un sinistre potentiel, bon nombre d’acteurs
du marché, de taille souvent plus modeste, cherchent avant tout à être “débarrassés du problème”, pour
pouvoir continuer à focaliser leurs efforts sur d’autres domaines que le domaine de la cybersécurité.
106
Pour répondre à cette attente, il revient à l’assureur de proposer une palette de services permettant
de répondre à l’ensemble des cas de figures qui peuvent survenir. En quelque sorte, l’assureur permet à
ses clients d’outsourcer le risque lié à la cybercriminalité.
Les produits d’assurance “cyber” figurent parmi les produits d’assurance les plus
complexes
Pour Astrid-Marie Pirson, les produits d’assurance contre les risques engendrés par la cybercriminalité
comptent parmi les produits d’assurance les plus techniques qui soient, en raison de la souscription de ce
type de contrat qui possède trois caractéristiques spécifiques :
• la technicité des facteurs déclenchant des sinistres générés par une cyber-attaque est très largement
supérieure à celles des sinistres qu’un assureur traite habituellement (manquements contractuels ou
les fautes professionnelles…). Dans le cas des contrats d’assurance “cyber”, l’assureur devra traiter des
cas de “dénis de service” ou autres “ransomwares”.
• L’évaluation du risque est souvent très complexe ; elle doit intégrer des paramètres techniques comme
par exemple la manière dont un firewall a été mis en œuvre ou bien encore le niveau de
protection dont bénéficie spécifiquement son client e-commerçant au sein du datacenter dans lequel
il héberge ses données.
• La spécificité et parfois la technicité des réponses à incidents que l’assureur doit mettre en œuvre
pour le compte de ses clients.
Ainsi pour Astrid-Marie Pirson, couvrir un risque lié à la cybercriminalité peut constituer pour un assureur
traditionnel “une vraie sortie de sa zone de confort habituelle”.
Éléments qui rentrent dans l’évaluation d’un risque “cyber” pour un assureur
Le lieu d’hébergement du site internet, le nom du fournisseur de services informatiques auxquels les
e-commerçants ont recours, les outils de CRM utilisés et leur localisation (hébergement en interne
ou utilisation en mode SaaS)… Les éléments qui sont pris en compte pour évaluer un risque cyber sont
multiples. Mais, globalement, la souscription d’une assurance cyber va dépendre de deux facteurs
principaux, les données à un couvrir par le contrat d’assurance et le périmètre du système d’information
à assurer.
Or, la compréhension du périmètre précis du système d’information à assurer est probablement l’élément
le plus difficile à cerner aujourd’hui. En effet, la caractéristique des entreprises de e-commerce est de
recourir massivement à l’externalisation de leur système d’information, et, bien souvent aussi à l’externali-
sation des solutions logicielles qu’ils utilisent. Selon Astrid-Marie Pirson, de tous les produits d’assurance,
l’assurance contre les risques cyber est probablement celle qui nécessite, pour l’assureur, d’entrer le plus
dans la compréhension du système d’information de son client.
La contractualisation d’un contrat d’assurance cyber

La procédure habituelle pour contractualiser un contrat d’assurance consiste à remplir un questionnaire
standard. Pour les risques qui dépassent une certaine taille ou une certaine complexité, l’assureur peut
mandater un expert informatique pour procéder à une évaluation détaillée : un audit technique qui est
ensuite traduit en risques assuranciels.
107
Astrid-Marie Pirson indique qu’un contrat d’assurance est constitué de trois parties principales :
• Partie 1 : les frais pris en charge par l’assurance : la palette de services que l’assureur mettra à la
disposition de l’assuré pour faire face à l’incident (frais de gestion de crise, de communication,
consutants…).
• Partie 2 : la couverture des dommages subis par l’entreprise assurée (frais de notification, pertes
d’exploitation…).
• Partie 3 : la couverture des dommages causés à des tiers par une cyber-attaque dont l’entreprise
assurée aura été la victime (réclamations de tiers pour réparation du préjudice subi). C’est un point
de différence avec les contrats d’assurance en responsabilité civile “classiques” car, dans le cas
des contrats d’assurance “cyber”, il n’est pas question d’une faute de l’assuré ni d’une mauvaise
réalisation de ses prestations contractuelles.
En ce qui concerne la partie 1, Astrid-Marie Pirson insiste sur l’importance d’offrir à l’assuré une palette
de services larges et de qualité, quelle que soit la taille de l’assuré. Cela lui permet d’avoir accès aux
compétences adéquates pour faire face à la crise.
En effet, une cyber-attaque nécessite la mobilisation de compétences très diverses qui ne sont pas que
techniques. Par exemple, HISCOX peut mettre à la disposition de ses clients les compétences d’experts
formés à la négociation pour gérer des situations de cyber-extorsion, ou encore les services d’une agence
spécialisée dans la communication de crise et la gestion de la e-réputation.
Souscrire un contrat d’assurance cyber présente l’avantage pour le e-commerçant d’accéder très rapide-
ment aux bonnes ressources à un coût forfaitisé.
En partenariat avec ITrust, entreprise spécialisée dans la cybersécurité qui accompagne nos assurés en
cas de sinistre, HISCOX travaille à l’élaboration d’un mémo de bonnes pratiques à destination de ses clients
à mettre en œuvre en cas de détection d’un incident.
Parmi les dommages subis par l’entreprise généralement couverts par un contrat d’assurance cyber
(partie 2), on trouve principalement :
• la perte de revenus. Elle peut être consécutive à une interruption du site ou plus globalement à
l’ensemble du système d’information. Mais, elle peut aussi être due à une cyber-extorsion (ran-
somware), un phénomène qui se développe de plus en plus en France et qui explique notamment
pourquoi la France a rejoint le hit-parade des pays les plus exposés à la cybercriminalité dans le
dernier rapport de SYMANTEC (internet Security Threat Report 2016).
• La cyber-extorsion.
• Le coût des enquêtes et le coût des sanctions administratives.
• Les frais de notification des individus et des régulateurs en cas de violation de données personnelles.
• Sur option, peut être proposée la couverture de la cyber-fraude (par exemple, une “fraude au
Président” réalisée via le piratage de la messagerie du dirigeant d’entreprise) ou des conséquences
d’un piratage de ligne téléphonique.
Parmi les dommages causés à des tiers par une cyber-attaque dont l’entreprise assurée aura été la victime
(partie 3), un contrat cyber couvre généralement :
• la prise en charge des dommages et intérêts auxquels une société peut être condamnée suite à une
perte de données personnelles, causée par une cyber-attaque ou une défaillance de l’entreprise.
• Les dommages et intérêts consécutifs à la violation de données sensibles d’autres entreprises ou
organismes et qui sont détenues par l’assuré.
108
• Les incidents liés à “l’existence virtuelle de l’entreprise”, sur internet : par exemple, les cas de prise
en main du site internet d’une entreprise par un pirate qui diffuserait des propos interdits par la loi
(diffamation, apologie du terrorisme…).
Critères de fixation de la prime d’assurance d’un contrat “cyber”

Le montant de la prime d’assurance est un pourcentage du chiffre d’affaires. Néanmoins, le chiffre
d’affaires n’est pas le seul critère qui rentre en ligne de compte. Les autres critères peuvent être, par
exemple, la nature de l’activité de l’entreprise, la part du chiffre d’affaires réalisées à l’étranger, la qualité de
la gestion de la cybersécurité par l’entreprise, la nature et la quantité des données personnelles collectées
et stockées par l’entreprise….
Le risque de défaut de respect de ses obligations légales

Astrid-Marie Pirson rappelle que la fonction de la CNIL est de s’assurer de la bonne protection des
données personnelles. Ainsi, la CNIL s’attache à vérifier que les données personnelles sont collectées,
traités, manipulées.… conformément aux prescriptions de la loi de 1978 et à ses avis ultérieurs.
En cas de fuite de données, la CNIL peut procéder à un audit “ex post” pour vérifier si l’entreprise a effec-
tivement respecté ses obligations (c’est ce qu’elle a fait chez Orange). La CNIL a également le pouvoir de
procéder à des contrôles inopinés. La DGCCRF est également habilitée, lors de ses contrôles, à recueillir
les informations concernant d’éventuelles violations de la loi Informatique et Libertés, et à les transmettre
à la CNIL pour action.
Les éventuelles sanctions prononcées par la CNIL à l’encontre d’un site de e-commerce sont-elles
assurables ? À cette question, Astrid-Marie Pirson apporte l’éclairage suivant : si, dans certains pays
européens ce type de sanction n’est effectivement pas assurable, en France, en l’état actuel de la jurispru-
dence, rien ne l’interdit, sauf lorsque l’amende s’assimile véritablement à une condamnation pénale.
109

LA CYBER-ASSURANCE, UN PRÉREQUIS POUR
LES ENTREPRISES AYANT PIGNON SUR WEB !
Le 28 avril 2016, la Cour d’appel de Lyon a financièrement par les compagnies d’assu-
refusé d’indemniser, au titre de la police d’as- rance qui pourront rembourser, selon la police
surance “tous risques sauf”, un souscripteur d’assurance retenue, les sanctions pécuniaires
ayant subi une perte de données informatiques prononcées par la CNIL du fait d’une perte de
dans la mesure où cette perte survenue dans le données personnelles, les frais de notification
cadre d’une panne ou d’un dysfonctionnement relatifs aux failles de sécurité ou aux violations
ne saurait être assimilée à un bris de machine de données à caractère personnel, les frais et
ou à un bris informatique. À cette fin, la Cour pertes liés à la violation de la vie privée, les
relève, d’une part, que le sinistre est intervenu frais juridiques de défense devant la CNIL et les
au moment de l’exécution du script de sauve- pertes d’exploitation.
garde selon la méthode préconisée par IBM et, S’agissant des sanctions pécuniaires, une ré-
d’autre part, que ce sinistre ne constitue pas serve doit être émise. La prise en charge par
un événement accidentel et soudain en raison l’assureur des sanctions prononcées par les
des messages d’alerte qui ont précédé la surve- autorités administratives a fait l’objet de
nance du sinistre. discussions. En effet, le 14 février 2012, la Cour
Cette décision constitue une illustration du d’appel de Paris a considéré que “le rôle de
fait que les contrats d’assurance classiques l’Autorité des Marchés Financiers est de proté-
s’avèrent souvent inappropriés pour indemni- ger l’ordre public boursier”. “Elle souligne que
ser une société des pertes de données informa- ces sanctions poursuivent le même objectif que
tiques subies à l’occasion d’un dysfonctionne- les amendes pénales, à savoir la répression
ment informatique ou d’une faille de sécurité. d’une infraction ayant porté atteinte à l’ordre
Avec le développement des nouvelles formes de public et l’effet dissuasif (1)”. La Cour d’appel
prestations (comme le cloud computing ou les de Paris considère donc que l’assurabilité de
Big Data) et l’intensification du recours aux ou- ces amendes est contraire à l’ordre public. Or,
tils électroniques (ex. : courriers électroniques, il est clairement disposé à l’article 6 du Code
tweets…), le cyber-risque devient un phéno- civil (article d’ailleurs exposé dans la décision)
mène préoccupant (ransomware, atteinte à la que l’ “on ne peut déroger, par des conventions
réputation, hameçonnage, déni de service…). particulières, aux lois qui intéressent l’ordre
Pour ce faire, les sites internet doivent intégrer public et les bonnes mœurs”. Il convient en
la dimension assurantielle dans leurs prére- conséquence de rester vigilant quant à l’assu-
quis juridiques, au même titre que la rédac- rabilité des sanctions prononcées par la CNIL
tion de Conditions Générales de Services, la qui pourrait être contraire à l’ordre public.
mise en œuvre des traitements de données à La donne assurantielle est désormais incon-
caractère personnel… À cette fin, il est impor- tournable pour les sites internet.
tant pour ces derniers d’analyser les risques Mais la contrepartie de la couverture de ce
auxquels ils pourraient être confrontés (ex. : risque consiste fréquemment en la mise en
vol de données à caractère personnel de leurs place en interne de mesures de sécurité adap-
clients, défacement du site, effets d’un bad buzz tées à la structure de l’assuré (ex. : politique de
mensonger…). Cette analyse de risques (les vul- sécurité des systèmes d’information, charte uti-
nérabilités) engendrera la caractérisation et la lisateur…).
qualification des événements que devra couvrir Le Risk manager a là un rôle particulièrement
la police d’assurance mais aussi les mesures de important dans la notion de cyber risque,
sécurité que devront prendre les sites internet puisqu’il va au préalable évaluer et anticiper
pour être couverts (ex. : politique de sécurité ou les risques encourus par sa société, afin de
une charte pour des PME…). les limiter au maximum dans le cadre de la
Désormais, le plus fréquemment, dans ces gestion de son système d’information.
(1) CA Paris, 14 février 2012, pôle 2, ch 5 numéro Jurisdata : 2012-001924
cyber-assurances, les risques peuvent être
couverts et peuvent ainsi être pris en compte
110
3.4 CYBER-INCIDENT : COMMENT GÉRER LA COMMUNICATION ?

Contribution rédigée par APCO Worldwide
APCO WORLDWIDE ET SES ACTIVITÉS

APCO Worldwide est un réseau international de conseil en affaires publiques et en communication
stratégique.
À Paris, 30 consultants mettent à profit leurs expertises et expériences au service d’entreprises et de fédé-
rations professionnelles françaises et étrangères pour les accompagner notamment dans la gestion d’in-
cidents sensibles et de situations de crise. APCO conseille de nombreux acteurs du e-commerce et leaders
du secteur des nouvelles technologiques, aussi bien en France qu’à l’international. La sécurité des réseaux
informatiques et la protection des données font partie des sujets qui sont suivis en permanence par sa
pratice Digitale.
Caroline Chalindar-Giné, directrice chez APCO Paris

Caroline Chalindar-Giné possède plus de plus de 10 ans d’expérience dans le conseil en
communication stratégique. Ses terrains d’intervention privilégiés sont les programmes
de relations publiques à forts enjeux de réputation ou d’adhésion, les relations avec les
médias (presse d’influence, accompagnement de directions générales ou accompagne-
ment de grandes conférences internationales), la communication de marque dans un contexte sensible
ou de crise et la communication corporate (campagnes 360 ou CSR).
Au sein du bureau parisien d’APCO Worldwide, elle a eu l’occasion de travailler sur des missions dans les
secteurs de l’e-commerce, des nouvelles technologies, de l’agro-alimentaire, de la santé, des transports
et des services.
Elle anime régulièrement des formations (simulations de communication de crise, média-trainings…).

Elle est également intervenante à l’école de communication de Sciences Po Paris.
Vincent Richir, consultant chez APCO Paris

Vincent Richir est consultant au sein du bureau parisien d’APCO Worldwide avec près
de 4 ans d’expérience en affaires publiques ainsi qu’en communication stratégique.
En tant que co-responsable de la practice Digitale d’APCO Paris, Vincent conseille

de grandes entreprises du secteur des nouvelles technologies dans leurs relations avec les pouvoirs pu-
blics français. Il travaille notamment de façon approfondie sur les enjeux liés à la sécurité des systèmes
informatiques et à la cybersécurité.
Vincent accompagne également de nombreuses organisations du secteur du tourisme dans la gestion

d’incidents sensibles et dans les stratégies de communication à mettre en œuvre.
Mise en situation
Commençons par une situation que vous pourriez avoir à gérer prochainement puisque selon un récente
étude, 77 % des cyber-attaques ciblent aujourd’hui les PME .
L’entreprise ecommerce.fr, basée à proximité de Lille, a été victime d’une cybe-rattaque engendrant le vol
des données personnelles de 40 000 clients en ligne, essentiellement dans la région. Le DSI de l’entreprise
prend connaissance de la faille et en informe le PDG et le responsable communication, alors que l’entre-
prise est en train de lever des fonds. Le PDG décide de garder cet incident secret. Mais, un employé décide
111
de partager cette information sur Twitter, puis efface ce tweet, prenant conscience après coup de l’effet
que peut produire cette information. Un journaliste de La Voix du Nord (audience : 1 004 000 personnes)
a cependant pris connaissance du tweet pendant ce laps de temps et appelle le PDG de l’entreprise pour
obtenir davantage d’informations.
Le PDG reste sur sa posture de “no comment”, ce qui n’empêche pas le journaliste de publier un article
“Ecommerce.fr fait 40 000 victimes en ligne”. Lu 150 000 fois, partagé par 10 000 personnes sur Twitter et
Facebook, cette information incite un journaliste de l’émission Capital sur M6 (audience de la chaîne :
51 741 000 personnes) à contacter l’entreprise pour alimenter le reportage “Cybersécurité des PME :
nos données bancaires sont-elles en sécurité ?” qu’il prépare. L’entreprise reste sur sa politique de
l’autruche face à ces appels, ce qui se traduit dans le reportage par une séquence à charge contre
Ecommerce.fr qui devient un des symboles de la faiblesse des systèmes de sécurité des e-commerçants
français. L’entreprise voit son chiffre d’affaires amputé de près de 40 %. Comment convaincre un investis-
seur après cet épisode ? Comment retrouver la confiance de ses clients ?
Vous pensez que cela n’arrive qu’aux autres ? Et pourtant, la presse a récemment raconté l’histoire
similaire d’une PME basée dans la région de Pau, d’abord couverte dans la presse locale (La République
des Pyrénées : Une entreprise de l’agglomération paloise rançonnée par un pirate informatique), puis par
la suite reprise par des sites à portée nationale tels que France TV : Béarn, Cyber-attaques de PME en
Béarn : un piratage organisé ou encore France Info : Pau : une PME cède à un pirate informatique pour
survivre. Encore plus récemment, le piratage du site Web de Castorama a engendré une couverture
médiatique massive au niveau national, alimentée par le buzz généré sur les réseaux sociaux.
Alors, comment mettre en place un dispositif de communication de crise, avec la recrudescence des
attaques cyber ?
Crise : de quoi parlons-nous ?

Une crise est une situation qui remet en cause le bon fonctionnement des affaires, notamment sous
la pression d’acteurs extérieurs ou médiatiques, et qui nécessite la mise en place d’une organisation
spécifique pour gérer la situation et limiter ses effets négatifs non seulement sur le business de
l’entreprise, mais aussi sur sa réputation. Une crise doit être distinguée de simples alertes :
• si elle n’est pas traitée, une simple alerte peut éventuellement être le fait générateur d’une crise
d’ampleur qui peut avoir une résonance majeure pour l’entreprise ;
• a contrario, une sur-communication en situation d’alerte peut engendrer une couverture qui aurait
pourtant pu demeurer limitée.
Une cyber-attaque en fonction de son ampleur et de ses effets doit dont être considérée comme
une alerte ou comme une crise, qui peut devenir majeure.
Depuis l’adoption du règlement général sur la protection des données du 27 avril 2016, toutes les sociétés
victimes d’une cyber-attaque, dont les données personnelles sont touchées, seront dans l’obligation,
à partir de 2018, d’informer leurs clients et la CNIL. Se préparer à une situation de crise suite à une
cyber-attaque devient une nécessité pour toute entreprise.
Quelles spécificités d’une communication de crise en cas d’incidents cyber ?

L’immédiateté et la rapidité de la diffusion de l’information
Grâce aux réseaux sociaux, n’importe quel citoyen peut s’improviser journaliste et être le fait générateur
d’une crise d’ampleur par un simple tweet. Cette réalité bouscule le cycle des médias, en amenant les
citoyens, mais également les journalistes à la recherche d’éventuels témoignages ou des supports
réutilisables (photos, vidéos, enregistrements sonores…), à s’informer “en direct” sur les réseaux sociaux.
112
“L’irréalité” du dommage
En cas de cyber-attaque, il est quasi impossible de faire instantanément un point sur la situation, de com-
prendre, concrètement la nature et les conséquences du dommage.
Si l’information n’est pas restée confidentielle (de votre fait ou parce que le pirate a décidé de communi-
quer sur ses exploits), vous allez devoir répondre à de nombreuses questions… sans toujours avoir
de réponse.
Ce qui risque d’accentuer votre position d’acteur “incapable” de protéger votre entreprise et vos clients.
L’effet amplificateur
Une situation de crise se caractérise par la grande difficulté à contenir la diffusion de l’information. Le
dirigeant n’est plus maître de ce que l’on raconte sur son entreprise qui “subit” la pression, les interroga-
tions de toutes ses parties prenantes (actionnaires, clients, medias, collaborateurs…). Les réseaux sociaux
accentuent ce phénomène avec une diffusion virale et en continu de l’information.
L’asymétrie des responsabilités

Le hacker est souvent considéré comme
un héros des temps modernes. EXEMPLE DE HOLDING
Ce constat est renforcé par une banalisa- STATEMENT
tion de leurs activités, illustrée par le re-
cours à des “ethical hackers”, ayant pour La société ecommerce.fr confirme qu’une
mission d’identifier les failles de sites. faille de sécurité dans les systèmes informa-
Nombre de hackers, en particulier ceux tiques de l’entreprise a été détectée, entraî-
agissant pour des motifs politiques, sont nant le piratage des données de certains de
des experts de la communication, maîtri- nos clients.
sant les codes des réseaux sociaux pour
Nos équipes sont pleinement mobilisées
promouvoir leur action. De l’autre côté du
pour définir l’ampleur de la faille et mettre
spectre, certaines entreprises n’ont pas
en œuvre les mesures adéquates. Nous ne
bonne image car elles capitalisent sur les
pouvons apporter plus d’informations à ce
“données gratuites de leur clients”. Les en-
stade.
treprises ne sont jamais des “victimes”
pour les journalistes, même quand elles
sont attaquées. Les victimes, ce seront
toujours les clients.
Suite à une cyber-attaque, la priorité : vous organiser en cellule de crise

La cellule de crise est une structure informelle regroupant l’ensemble des parties prenantes indispen-
sables à la prise de décisions stratégiques pour circonscrire la crise. Cette cellule doit donc comprendre
les différentes fonctions de votre entreprise, qui apporteront chacune leur point de vue pour faire émer-
ger une solution globale. Cette cellule devra intégrer :
• la direction générale ;
• la direction des systèmes d’information (DSI) ;
• la direction marketing/communication (et éventuellement un représentant d’agence) ;
• la direction juridique (et éventuellement le conseil juridique) ;
• la direction commerciale.
113
À noter, il arrive régulièrement que les différents métiers de l’entreprise ne soient pas en accord quant aux
mesures à mettre en œuvre, chacun défendant sa propre vision. Le service légal aura par exemple
tendance à minimiser au maximum la communication pour des raisons juridiques, quand le directeur de
la communication essaiera lui de limiter l’impact sur la réputation en cherchant à raconter l’histoire
du point de vue de l’entreprise. Le rôle de la direction générale et la clarté dans la chaîne de décision sont
ici cruciaux afin de garder une cohérence dans la réaction de l’entreprise.
Les 3 actions à mettre en œuvre immédiatement au sein de la cellule de crise

Rassembler les informations disponibles pour trouver
les bonnes réponses
Une règle et une seule : ne jamais mentir. En revanche, c’est à vous de raconter votre histoire. Les
réponses que vous devrez apporter doivent être basées sur des faits vérifiés, et non sur des hypothèses.
Afin de pouvoir prendre une décision stratégique quant à l’opportunité de communiquer, la première
action à mettre en œuvre est un audit à date de la situation. Sur cette base, préparez un “scenarii plan-
ning”, c’est-à-dire imaginez des hypothèses de situations à venir pour pouvoir les anticiper. Pour chacune
de ces situations, commencer à imaginer un plan de communication (qui dit quoi à qui, à quel moment,
en expliquant pourquoi et comment vous gérez la situation).
Il est aussi important de consigner dans un tableau de bord qui retracera l’intégralité des faits (toutes
les informations, après leur vérification) et les actions entreprises, y compris les contacts et messages sur
la situation.
Mettre en place une veille média et réseaux sociaux

La manière dont vous allez gérer votre communication dépendra en grande partie de l’écho médiatique
qu’aura reçu la cyber-attaque. S’il convient d’être prêt à réagir en cas de demande en préparant un
“holding statement”, un suivi en continu doit être mis en place pour repérer les “signaux faibles” ; c’est-à-
dire les éventuels commentaires qui laisseraient entendre que des publics en dehors de l’entreprise ont
compris votre situation.
Évaluer l’intégralité des publics concernés par votre situation

ou impliqués par la crise
Si le client apparaît comme la priorité naturelle, il convient de ne pas perdre de vue que votre audience
peut en réalité être multiple, et chacune d’entre elles doit être traitée en fonction de son impact pour votre
entreprise :
• à partir de 2018, votre entreprise aura l’obligation de communiquer toute “violation de données
à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés d’une
personne physique” auprès de la personne intéressée. En cas de violation de la sécurité des données,
votre entreprise devra également désormais en informer la CNIL dans les meilleurs délais et au plus
tard dans les 72 heures après la prise de connaissance de la faille, à moins que la violation en question
ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
• N’oubliez pas vos collaborateurs, vos investisseurs et vos partenaires (votre assureur, en priorité).
• L’anticipation de l’ensemble des sollicitations extérieures est clé : identifier les journalistes et medias,
autres relais éventuels d’information.
Votre objectif de communication en cas de cyber-attaque :

éviter une mise en cause directe
Quel que soit la crise que votre entreprise rencontre, il convient d’anticiper une éventuelle couverture
médiatique. Ce qui veut dire que ce que vous allez exprimer pourra être repris “contre vous” en cas d’éven-
tuelle judiciarisation du problème.
114
Quels titres obtenir ?

Ecommerce.fr fait 40.000 victimes en ligne
Ecommerce.fr victime d’un piratage en ligne
Ceci étant dit, votre communication (vos messages et votre dispositif) peut vous permettre :
• d’éviter une mise en cause directe de votre entreprise ;
• d’obtenir une couverture de votre position ;
• et in fine d’éviter un impact à long-terme sur la réputation de l’entreprise qui pourrait avoir des
conséquences business importantes.
Plan de com. :
principes et actions à adapter en fonction de la situation et de l’ampleur de la crise
Votre entreprise devra ainsi :
•n
e pas adopter la stratégie de l’autruche ;
•a
contrario, ne pas sur-communiquer si l’attention des médias reste limitée ;
•a
nticiper les demandes en préparant un holding statement ;
•a
dapter sa communication à chaque audience ;
•m
aîtriser le “temps de la crise”.
L’exemple suivant reprend les mesures que la société Ecommerce.fr aurait pu mettre en œuvre afin, non
pas d’éviter la couverture de l’incident, mais d’en limiter ses conséquences en termes de réputation
pour l’entreprise.
+1h +2h +3h +4h +1 jour

Premiers messages Réponses aux tweets Poursuite des
apparaissent sur proposant de se réponses aux
Réseaux sociaux
Twitter rapprocher du service différents tweets

client
Publication d’un tweet
renvoyant vers le
What?? communiqué si les
Mon compte
ecommerce.fr piraté ! demandes presse se
#ecommercegate multiplient
Demande du Suite à l’article de

Médias
journaliste de La Voix La Voix du Nord,

du Nord demandes de médias
nationaux
Vérification des faits L’information étant Identification des Diffusion du commu- Traitement des
avérée : remontées sur Twitter niqué aux journalistes demandes médias au
Mises-en place d’une qui approchent cas par cas
cellule de crise •N
otification auprès Préparation d’un
de la CNIL ecommerce.fr
communiqué plus Poursuite de la veille
Ecommercer.fr
Mise en place d’une •E

nvoi d’un message étayé avec les Poursuite de la veille
veille active factuel aux clients informations
Préparation d’un concernés pertinentes et
holding statement •E
nvoi d’un message diffusables
factuel à destination
Préparation de
des employés visant
supports de commu-
à éviter une fuite
nication pour les
venant de l’interne
différentes audiences
Poursuite de la veille
Schéma simplifié du séquençage d’une campagne de communication de crise en cas de cyber-attaque.
115
La communication de sortie de crise : comment valoriser

cette expérience et renforcer vos liens avec vos clients ?
De nombreuses entreprises pensent qu’une phase de crise se termine lorsque la couverture média et sur
les réseaux sociaux retombe. La phase post-crise est pourtant cruciale pour votre entreprise, afin de conti-
nuer à défendre la réputation de votre entreprise. Pour ce faire, votre entreprise pourra ainsi mettre à
profit cette période pour :
• faire le bilan de la crise en interne et
identifier les pistes d’amélioration ;
• communiquer sur les mesures mises LA GESTION DE CRISE…
en œuvre pour éviter que le problème
ne se reproduise ; … en cas d’incident cyber à l’étranger
ne diffère pas fondamentalement
• maintenir un dialogue avec les parties
de ce qui est recommandé en France
prenantes de votre entreprise ;
• effectuer un travail d’e-réputation afin Dans le cas d’un incident qui se déroulerait
d’éviter que le nom de votre entre- aux États-Unis, les fondamentaux suivants
prise ne soit en permanence associé à pourront ainsi être mis en œuvre :
l’incident vécu sur les moteurs de re- • agissez rapidement, mais dans le calme et
cherche. de manière organisée ;
• gardez en permanence l’ensemble des
audiences à l’esprit (clients, employés,
Conclusion : anticiper !
actionnaires…) ;
Au lieu d’attendre que cette situation ne
• maintenez une réelle cohérence et soyez
vous arrive pour commencer à vous orga-
coordonné pour réduire au maximum les
nisez, vous avez maintenant compris
risques ;
l’intérêt d’anticiper et de vous préparer.
• concentrez-vous sur le futur, et non sur le
D’autant que votre actionnaire risque de
passé ;
vous le demander. Alors, comment faire ?
Premiers conseils… • communiquez tôt et régulièrement pour
garder le contrôle sur la couverture de l’in-
L’anticipation et l’adoption de bons cident ;
réflexes permettent de gagner un temps
• obtenez les informations – ne vous ap-
précieux. Les mesures ci-dessous, mises
puyez que sur des informations avérées ;
en œuvre soit en interne, soit par une
• soyez honnête et transparent avec toutes
agence spécialisée en communication
vos audiences ;
de crise, pourront permettre d’éviter
l’improvisation et de maximiser l’efficacité • assumez la responsabilité le cas échéant ;
de la réponse apportée. • communiquez directement avec les parties
prenantes – ne vous reposez pas sur les
journalistes pour cela.
“Il faut 20 ans pour construire une réputation

et cinq minutes pour la détruire. Si vous gardez ça
l’esprit, vous vous comportez différemment.”
à
Warren Buffet
116
Organisation • Identification des parties-prenantes en interne ;

au sein de • structuration de la cellule de crise et définition du rôle de chaque intervenant ;
votre structure
• mise en place des procédures internes de remontée des incidents.
Préparation • Création d’un guide de gestion de crise comprenant :

des outils de - une fiche de typologie des incidents anticipés ;
communication - une fiche de qualification du risque ;
- l’identification d’un premier point de contact (éventuellement un système
de permanence) ;
- un modèle de journal de bord ;
- un modèle de tableau de scenario planning.
• Kit de communication à adapter à chaque situation avec :
- des messages clés ;
- des messages à destination de l’externe ;
- des outils de communication interne.
• Media-training des porte-paroles potentiels.
3.5 LES BUGS BOUNTIES
“YES WE HACK”
Manuel Dorne, connu sous le pseudo “Korben” est le créateur du blog geek et techno-
logique Korben.info.
Il est aussi le co-fondateur du site d’emploi Remixjobs spécialisé dans les métiers du Web,
le co-fondateur de la société de conseils Ificlide et le co-fondateur de YesWeHack
qui propose des offres d’emploi sécurité et qui édite Bounty Factory, une plate-forme
permettant aux entreprise de créer leur programme de Bug Bounty. Manuel Dorne participe aussi à
différents podcasts sr le thème des technologies.
L’activité historique de la société “Yes we Hack”, dont Korben est l’un des associés, est le recrutement
de spécialistes de la sécurité informatique. En complément de cette première activité, les fondateurs de
l’entreprise développent une nouvelle activité, une plate-forme de Bug Bounty, sous la marque
“Bounty Factory”.
Compléments par Ely de Travieso, pilote du projet “Bug Bounty Zone”
Ely de Travieso s’est spécialisé en 1997, pour les activités de sécurité et défense des
entreprises à la fin de ses études en école de commerce.
Ely a notamment travaillé pour des cabinets d’intelligence économique comme Atlantic
Intelligence, et a accompagné de nombreuses grandes entreprises françaises dans le
traitement de crise informationnelle. Il a ensuite rejoint le Groupe Canal Plus en tant que
responsable du service de veille anti-piratage.
En 2016, Ely de Travieso lance la start-up BugBountyZone pour faciliter l’identification des vulnérabilités
informatiques auprès d’une clientèle professionnelle.
Ely de Travieso est référent national cybersécurité à la Confédération nationale des petites et moyennes
entreprises (CGPME) et président régional au CLUSIF (Clusir Paca). Ely participe régulièrement à de
nombreuses interventions publiques autour de la cyber-défense des entreprises.
117
Principe du Bug Bounty : la fin de la sécurité par l’obscurité ?

Voir article : Des hackers pour lutter contre hacks normal
http://www.ladn.eu/innovation/datas-datas/des-hackers-pour-lutter-contre-les-hacks-normal
Les premiers Bug Bounties sont apparus aux États unis il y a quelques années. Inventés par Netscape en
1995 pour identifier des vulnérabilités en motivant ses équipes techniques internes, les Bug Bounties se
sont par la suite développés en 2004 avec des éditeurs comme Mozilla, avant de voir émerger des plates-
formes de gestion des Bug Bounties en 2010 comme Hacker1 ou Bugcrowd. Très utilisés par les entre-
prises américaines comme Twitter ou Facebook, on dénombre plus de 500 Bug Bounties proposés à tra-
vers les plates-formes américaines les plus connues.
Le principe du Bug Bounty a été introduit en France lors de la “Nuit du Hack”. Initiée en 2003 par l’équipe
Hackerz Voice, et inspirée par la célèbre DEF CON de Las Vegas, la “Nuit du Hack” est l’une des plus an-
ciennes conférences d’hacking underground francophone.
Les Bug Bounties sont des programmes qui réunissent d’un côté les entreprises désireuses de faire tester
la vulnérabilité d’une partie de leur système (une application mobile, une API, un site Web…) et de l’autre
des “testeurs hackers” Ces derniers, sont récompensés lorsqu’ils identifient une faille de sécurité qui rentre
dans le périmètre préalablement défini par l’entreprise.
Deux types de Bug Bounties : publics ou privés

Il existe deux types de Bug Bounties : les Bug Bounties publics et les Bug Bounties privés. Ces derniers ne
sont accessibles qu’à une liste limitée d’experts en sécurité appelés aussi “hunters”, sélectionnés par
l’entreprise. Et, contrairement aux Bug Bounties public, les Bug Bounties privés ne sont connus que
de ceux qui y sont invités.
Pour accéder à un Bug Bounty privé, un “hunter” aura préalablement montré ses compétences et ses
capacités à respecter le périmètre… C’est une des plus-values offertes par les plates-formes comme
“Bounty Factory” : proposer une évaluation des “hunters”. À chaque fois que ces derniers détectent une
faille de sécurité dans le cadre d’un Bounty, ils améliorent leur classement et grimpent dans le “hall
of fame” des “hunters”.
Une entreprise peut soit, lancer elle-même son propre programme de Bug Bounty (comme l’a fait Google
ou Facebook aux États-Unis) soit passer par une plate-forme de mise en relation entre des entreprises
et une communauté de “hunters”.
Bien évidemment, l’ensemble du système d’information des entreprises qui ont recours aux Bug Bounties
n’est jamais “livré en pâture” dans son intégralité au hackers fussent-ils “gentils” ! C’est l’entreprise qui
définit le périmètre sur lequel va s’opérer le Bug Bounty.
Avec ou sans programme de Bug Bounty, tous les systèmes en production accessibles au public (site Web,
application mobile…) sont mis continuellement à l’épreuve par des hackers malintentionnés ou des Bots
automatisant les attaques. Lorsqu’une faille est découverte, elle est rapidement exploitée ou revendue au
marché noir. Tout cela sans même que l’entreprise visée n’en soit informée.
Avec un programme de Bug Bounty, ce sont exactement les mêmes systèmes en production qui sont tes-
tés par les “hunters”, à la différence près que cette fois, l’entreprise est informée des failles éventuelles et
peut alors les corriger rapidement, avant que quelqu’un de mal intentionné ne les découvre et les exploite.
Il est à noter que les Bug Bounties ne se limitent pas uniquement aux systèmes d’information traditionnels
des entreprises, mais se développent également dans d’autres domaines, par exemple celui des objets ou
de la voiture connectée.
118
LA NUIT DU HACK
Qu’est-ce que le Hacking ?

C’est d’abord la passion de la traque des bugs (cause de piratage) des programmes
couramment utilisés, la proposition de solutions adaptées et la prévention de ces dangers
auprès des utilisateurs. C’est enfin la volonté de partager l’information avec le grand public
de manière à donner les clés à quiconque de comprendre, d’apprendre et de participer au
développement des nouvelles technologies de sécurité.
Autour de conférences, d’ateliers et de challenges, la Nuit du Hack vise à rassembler les

professionnels de la sécurité informatique et les hackers de tous niveaux de qualification.
Cette manifestation leur permet de découvrir les dernières avancées techniques et d’évaluer
leurs compétences dans le domaine.
Depuis l’édition 2010, la Nuit du Hack accueille des conférenciers et des ateliers anglophones,
améliorant ainsi la qualité et l’accessibilité de l’événement.
Objectifs de la Nuit du Hack :

• instruire le grand public, en donnant à chacun les moyens de comprendre et de maîtriser
les enjeux et les risques d’un style de vie moderne intégrant en son sein les nouvelles
technologies.
• Démystifier les techniques et les secrets des “pirates” pour donner les moyens d’une ap-
proche rationnelle et mesurée des problématiques de sécurité sur internet, et fournir si
nécessaire les éléments, techniques ou non, permettant de se protéger.
• Participer à la protection et à la défense des consommateurs de services internet grâce à

nos investigations. Celles-ci évaluent par exemple le niveau réel de sécurité et de
confidentialité offert par ces services.
• Diffuser les connaissances techniques les plus pointues, hors du champ restreint de celui
des spécialistes. Nous voulons ainsi favoriser le libre échange de l’information, et fournir
un outil utile aux passionnés comme aux professionnels de la sécurité.
• Permettre aux professionnels d’échanger entre eux les dernières avancées en matière de
sécurité informatique.
Le business model des plates-formes de Bug Bounties

Si des initiatives similaires existent depuis un certain temps déjà aux États-Unis, Bounty Factory,
Bug Bounty Zone et Yogosha font figure de précurseur en Europe. Chacune a ses spécificités : une
politique de recrutement des experts plus ou moins ouverte, un système de récompense allant de la ré-
munération à la publication de remerciements, la possibilité de programmer un Bug Bounty sans contrôle…
Localisées sur le sol européen, ces plates-formes ont vu dans la réticence des entreprises européennes et
particulièrement françaises à confier leurs données à des sociétés nord-américaines (du fait notamment
de l’application du “Patriot Act”) une opportunité de développer cette activité en Europe.
119
Ces plates-formes vont devoir œuvrer pour sensibiliser le marché français. Il leur faudra vaincre certaines
réticences d’ores et déjà identifiées comme la difficulté à autoriser des experts inconnus à rechercher des
failles de sécurité ou encore accepter que les vulnérabilités découvertes soient hébergées sur un serveur
informatique, non maîtrisé par le client.
Le business modèle des plates-formes de Bug Bounties est assez simple : le prélèvement d’une
commission sur la rémunération des “Bounty”, les primes financières que touchent les experts lorsqu’ils
trouvent une faille de sécurité. Il est à noter que les récompenses (“les Bounties”) ne sont pas uniquement
financières. Elles peuvent prendre la forme de “goodies” de valeurs très variable. Par exemple, la
compagnie aérienne United Airlines propose des miles aériens.
Pour être rémunérées, ces failles doivent rentrer dans le périmètre défini par l’entreprise et ne pas être
“en doublon”. Or, la gestion des signalements peut rapidement devenir problématique pour l’entreprise.
En effet, elle doit être en mesure de gérer un volume potentiellement important de signalements parmi
lesquels elle doit identifier les doublons et, bien évidemment, procéder aux corrections des failles qui ont
été détectées. Le tout, avec un bon niveau de réactivité, pour maintenir des interactions dynamiques avec
les “hunters”.
Selon Ely de Travieso, le coût d’un Bug Bounty pour un site e-commerce approchera sur une fourchette
haute les 5 000 euros alors qu’un audit de sécurité sera lui facturé autour des 10 000 euros.
Pour aider ses clients à gérer son programme de Bug Bounty, Bounty Factory a lancé “Program Manager”.
Ce programme permet grâce à des partenariats avec les 3 acteurs majeurs de la sécurité sur le marché
français, d’externaliser totalement la gestion du Bug Bounty, du dédoublonnage à la qualification
des failles, en passant par la définition du montant à attribuer pour chacune d’entre elles.
Les équipes de Bounty Factory proposent également à ses clients de les aider à définir le périmètre du Bug
Bounty ; tâche qui peut être relativement complexe, mais qui est essentielle au bon déroulement d’un
Bug Bounty.
Bounty Factory, qui vient de lancer ses activités, commence à convaincre un nombre de plus en plus
important d’entreprises de rejoindre sa communauté. Parmi ses clients les plus connus, elle compte OVH,
et Qwant (le moteur de recherche européen).

BUG BOUNTY QUEL CADRE JURIDIQUE ?
Les “bounty hunters” ou chasseurs de primes avait initialement introduit un nouvel alinéa à
agissent dans un cadre juridique contractuel, l’article 323-1 du Code pénal : “toute personne
sans risque de poursuite judiciaire dès lors qui a tenté de commettre ou a commis le délit
qu’ils respectent les règles fixées par la plate- prévu au présent article est exempte de peine
forme et notamment qu’ils tiennent informer si elle a immédiatement averti l’autorité admi-
directement le responsable désigné de l’entre- nistrative ou judiciaire ou le responsable du
prise de la faille tout en conservant la confiden- système de traitement automatisé de données
tialité (non divulgation au public). en cause d’un risque d’atteinte aux données ou
au fonctionnement du système”. Ce texte visait
Une fois que les failles sont remontées, l’entre- notamment à encadrer les différentes missions
prise doit procéder rapidement aux corrections des hunters dans la mesure où ils permettent
logicielles nécessaires des bugs (“patchs”). Le d’améliorer la protection des données. Une
projet de loi pour une République numérique autre proposition de texte émanant du Sénat a
…/…
120
…/…
été proposée et semble plus adaptée. Par ailleurs, il est recommandé aux sociétés
de contracter des cyber-assurances afin de
En effet, assurer la confidentialité et la sécuri-
sécuriser au mieux leurs données et ainsi ap-
té des données est une priorité pour ces Bug
porter un moyen supplémentaire pour couvrir
Bounties. Les entreprises souhaitent se mettre
les cyber-risques.
en conformité avec la règlementation actuelle
et éviter toute publicité du fait de failles de
sécurité.
Complémentarité des Bug Bounties avec les audits de sécurité traditionnels

Le Bug Bounty n’est pas la solution miracle à toutes les problématiques de sécurité. Les audits ou tests
d’intrusion restent indispensables et permettent de valider des jalons en cas de nouvelle release du code.
La plupart des sociétés (e-commerce compris) ont un workflow de développement très traditionnel :
développement, tests alpha, correction des bugs, tests beta, correction des bugs, audit de sécurité, mise
en production. L’audit de sécurité intervient donc avant la mise en production (ou parfois, peu de temps
après).
Mais dans le cycle de vie d’une application, de nouveaux correctifs sont sans cesse appliqués au fil de l’eau,
directement sur le site en production, et ne font malheureusement pas l’objet d’un nouvel audit. C’est pour
pallier ce manque que le Bug Bounty est intéressant.
Le Bug Bounty vient en complément de toutes les mesures de sécurité existantes. Il permet de mettre
à l’épreuve le code en production et de corriger des failles qui ont échappé à l’audit ou qui ont été
introduites par la suite lors de push de nouveaux correctifs.
D’autres sociétés travaillent de manière beaucoup plus agile et font sans cesse évoluer leur site, sans avoir
recours à un système de releases. Des audits réguliers (par exemple une fois par an) peuvent aussi avoir
lieu mais sans pour autant correspondre à des jalons précis.
Pour les sociétés qui adoptent ces modes de fonctionnement, le Bug Bounty constitue donc aussi une
bonne solution, afin d’obtenir un maximum de retours immédiats sur ce qu’elles mettent en ligne. Pour ces
sociétés agiles, le Bug Bounty devient progressivement le système de sécurisation de référence et les au-
dits n’arrivent qu’en second plan, pour fournir des chiffres et de l’assurance aux patrons et investisseurs.
Les Bug Bounties s’insèrent donc facilement dans la stratégie de maîtrise des risques cyber, car ils viennent
compléter l’arsenal défensif existant.
Pour Korben, les Bug Bounties sont complémentaires aux audits traditionnels, ne serait-ce que pour une
première raison évidente : avant de soumettre un “périmètre” à un Bug Bounty, l’entreprise serait fort
avisée de l’avoir préalablement testé, au risque sinon de devoir faire face à une avalanche de signalements
de failles, et de voir son budget alloué à la rétribution de découvertes de failles, très vite épuisé !
Si un nombre de plus en plus important d’entreprises, y compris de très grandes, se convertissent au

Bug Bounty c’est que les bénéfices sont évidents. Généralement, un audit de sécurité se déroule sur une
courte période et est réalisé par une équipe limitée en nombre de personnes. Les moyens mis en œuvre
en termes de ressource ou de durée influent directement sur les résultats de la prestation de sécurité.
Or, les modifications de code interviennent en permanence.
121
Les Bug Bounties reposent quant à eux sur une démarche de tests “en continu”, 24/24, 7/7. Ce sont des
dizaines voire des centaines de testeurs qui participent. L’intérêt des Bug Bounties tient également à
la diversité des profils des testeurs ainsi qu’à la variété des méthodes qu’ils utilisent.
Les Bugs Bounties :

une manière de communiquer positivement sur la cybersécurité ?
Le Bug Bounty est aussi un bon moyen de communiquer auprès de ses clients. Pour un e-commerçant,
lancer son programme de Bug Bounty, c’est montrer publiquement qu’il est proactif et réactif sur la
sécurité des données présentes sur son site. Cela peut contribuer à ajouter un degré supplémentaire de
confiance côté client.
Ça permet aussi de faire quelques “bons coups de commu-

nication” en proposant par exemple des sommes at-
trayantes ou des lots originaux qui font le succès de la
marque. Par exemple, American Airlines propose des miles
aux chercheurs en sécurité qui leur remontent des failles,
ce qui lui a permis d’être dans tous les médias pendant plu-
sieurs jours. Le programme de Bug Bounty de United Air-
lines est accessible depuis le site grand public : http://www.
united.com/.
Mais attention, si la personne en charge du Bug Bounty ne

joue pas le jeu en modifiant par exemple son programme à
la volée dans le but de ne pas rémunérer les chercheurs en
sécurité (hunters) ou en marquant comme doublon des
failles qui ne le sont pas, il prend le risque de se faire mal
voir par la communauté des “bug hunters” et cela peut re-
jaillir négativement sur la marque.
Il convient donc d’être très carré dans la gestion de son programme et de trouver des idées de récom-
penses originales pour créer de l’engouement et en faire profiter sa marque.
Pour Ely de Travieso, pilote du projet “BugBountyZone”, il n’est pas exclu que certains e-commerçants
français, une fois rompus à l’utilisation des Bug Bounties, puissent communiquer à la manière d’un Twitter
qui a annoncé récemment avoir offert plus d’un million de dollars en récompense pour des failles de
sécurité identifiées.
Les Bug Bounties :

vers un cadre juridique “gagnant-gagnant” ?
Pour les “Ethical Hackers”, les Bug Bounties offrent, selon Korben, un cadre juridique qui les sécurise. Il leur
permet d’entrer en relation avec les entreprises sans s’exposer à des poursuites. En l’absence de ce cadre,
on sait qu’un certain nombre de failles de sécurité, au mieux sont découvertes sans être divulguées,
au pire sont monnayées sur le marché noir ou peuvent être utilisées pour démontrer publiquement la
perméabilité d’une entreprise aux failles de sécurité.
Des “chevaliers blancs” peuvent aussi jouer le rôle d’intermédiaire entre les hackers et les deux
entreprises ; c’est notamment le cas de “ZATAZ” de son protocole d’alerte. Sur son site, ZATAZ revendique
plus de 60 000 sociétés (au 30/10/2015), privées et publiques, associations… aidées grâce au signalement
d’une faille, d’une vulnérabilité, d’une fuite de données, d’un piratage… via le protocole d’alerte.
122
Qui sont les “Ethical Hackers” :

vers une professionnalisation de la discipline ?
Pour Korben, qui les connaît bien, les “Ethical Hackers” seraient avant tout des passionnés. Avec l’esprit
d’émulation, la dimension ludique de leur activité est souvent prédominante. C’est la raison pour laquelle
les plates-formes de Bug Bounty jouent avec cet esprit ludique en proposant des concours. Pour bon
nombre de hackers, recevoir des cadeaux en s’amusant, c’est la cerise sur le gâteau !
Certains Bug Bounties peuvent être très rémunérateurs ; parfois jusqu’à 15 000 € pour la découverte de
failles critiques. Aux États-Unis, la récompense moyenne par faille découverte avoisine les 300$. Si aux
États-Unis certains “hunters” peuvent vivre de leur activité, ce n’est pas encore le cas en France. Même si
Korben précise que parmi le gratin des hackers mondiaux, on trouve quelques Français.
En France, les “chercheurs de faille” sont souvent des indépendants ou des entreprises spécialisées dans
la sécurité informatique, qui utilisent le temps “hors mission de leur personnel” à ce type d’activité.
3.6 L’ANALYSE DE RISQUE

Par Florian Nivette, consultant & formateur, Sysdream
SYSDREAM
Sysdream est une société d’audit, de formation en sécurité informatique et spécialiste du cyber-entraîne-
ment. Fondée par deux consultants passionnés de sécurité informatique, Sysdream est née afin de
satisfaire la demande croissante en matière de compétences et d’audit (tests d’intrusion) du point de vue
de l’attaquant (Sécurité offensive ou Ethical Hacking), formulée par les entreprises ayant un besoin élevé
en sécurité. Depuis 2004, Sysdream s’est entourée de collaborateurs très qualifiés dans ce domaine grâce
à la communauté de hackers (White Hat) initiée par un de ses fondateurs. Tous participent activement aux
efforts de recherche publique (publication d’alertes de sécurité et d’articles techniques), de veille
technologique et de développement d’outils innovants.
Après trois années au ministère de la Défense en tant qu’ingénieur en recherche et

développement, Florian Nivette rejoint l’équipe d’auditeurs en sécurité de Sysdream.
Les missions sur lesquelles il intervient peuvent aller du test d’intrusion à l’audit de
configuration. Florian dispense également des formations sur les techniques d’attaques,
mais également sur les méthodes de protection des systèmes d’information.
L’analyse de risque, de quoi s’agit-il ?

L’analyse de risque est un procédé ayant pour but de recenser l’ensemble des menaces pouvant toucher
un système, tout en mesurant leurs impacts et leurs probabilités de réalisation.
Ces menaces peuvent provenir de sources différentes, comme des catastrophes naturelles, des détério-
rations volontaires ou accidentelles, ou encore des attaques ciblées. Elles peuvent être causées par des
personnes internes à l’entreprise, des partenaires ou des personnes extérieures.
L’analyse de risque doit permettre d’anticiper les risques potentiels qui pèsent sur un système d’informa-
tion. Elle se destine principalement aux équipes dirigeantes commanditaires, qui décideront de la stratégie
à adopter face aux risques identifiés.
Il n’est pas forcément nécessaire de passer par des sociétés extérieures pour réaliser ces audits.
La conduite d’analyse de risque en interne est même une bonne pratique organisationnelle à suivre de
manière cyclique.
123
Cependant, ponctuellement, il est recommandé de faire appel à un intervenant extérieur. Son expérience
et sa vision de l’état de l’art feront qu’il sera plus à même de repérer certains risques. L’expérience de
différents types de mission n’est pas négligeable et ajoute une véritable plus-value. D’autre part, une vision
extérieure, confrontée avec les pratiques internes, est toujours enrichissante.
Normes et méthodologies
De nombreuses normes et méthodologies entourent l’analyse de risques. Plusieurs pays disposent
de leurs propres standards, sachant que l’ONU a uniformisé les grands principes autour de la norme
ISO 27005.
Celle-ci, dans le cadre de la certification ISO 27001, établit les grands principes de la gestion de risques et
propose une méthodologie simplifiée, sous forme d’une analyse qualitative.
L’analyse qualitative tend à produire une évaluation de risques subjective, sous forme de verbes : risque
critique, élevé, modéré ou faible. Une telle approche vise l’efficacité, car elle est relativement simple et
pragmatique d’utilisation. Elle s’intègre ainsi facilement à toutes sortes d’environnements.
La norme ISO 27005 promeut également le principe d’amélioration continue, connu sous l’acronyme PDCA
(Plan, Do, Check, Act). Il faut donc voir l’analyse de risques non pas comme une analyse unitaire et ponc-
tuelle, mais comme un processus régulier, à effectuer par exemple tous les ans.
L’idée est d’améliorer de manière itérative à la fois la sécurité du système analysé (évolution de la menace,
découverte de nouvelles faiblesses, ajout de composants), mais aussi… l’analyse de risques elle-même !
En effet, l’analyse de risques est un processus non exhaustif et toujours perfectible. Son affinage avec
le temps et l’apprentissage de ses propres erreurs d’appréciation, font partie du processus.
En support de cette norme, nous pouvons nous appuyer en France sur deux méthodologies reconnues :
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), issue de l’ANSSI, et Mehari
(Méthode harmonisée d’analyse des risques), issue du CLUSIF.
Ces méthodologies suivent les principes de la norme ISO, et peuvent donc être considérées comme
“compatibles”.
Le choix de l’une ou l’autre méthode dépasse le cadre de cet article. Il s’agit de toute manière d’une
question d’affinités.
L’EBIOS est particulièrement utilisée dans le secteur public et l’administration. Avec un socle documentaire
complet, elle propose une analyse purement qualitative.
Mehari, pour sa part, permet également de réaliser une analyse quantitative.
L’analyse quantitative offre la possibilité, par exemple, d’évaluer le niveau de risques par un chiffre,
c’est-à-dire un coût. C’est une métrique particulièrement précise, concrète et efficace pour les dirigeants,
puisqu’il s’agit du critère essentiel pour une entreprise.
Néanmoins, mettre en œuvre une approche quantitative est complexe. D’abord, il est nécessaire d’avoir
une grande maturité et une grande maîtrise de ses actifs, afin de pouvoir tous les chiffrer. Le temps
de calcul et les validations nécessaires allongeront également la durée de l’audit.
Ensuite, certains facteurs seront toujours délicats à estimer. Comment, par exemple, estimer le coût d’une
atteinte à l’image d’une société ?
124
Pourquoi réaliser une analyse de risques

Une analyse de risques est un processus très structurant. Il permet, au travers d’un cadre rigoureux et de
manière posée, de faire un état des lieux de son niveau de maturité en sécurité et de planifier des axes
d’amélioration avec des priorités claires.
La seule étape de l’inventaire, pourtant a priori triviale, réserve souvent son lot de surprises et permet de
dégager et d’améliorer la visibilité sur son système.
L’analyse permet également de fédérer de nombreux acteurs, peut-être initialement peu sensibilisés à la
sécurité. Le procédé permet de mettre tout le monde autour d’une table, de responsabiliser chacun et
de mener ensemble des axes de réflexion et des autocritiques.
Ces seuls avantages devraient persuader toute entreprise à réaliser une analyse de risques de son entité
et des projets critiques au moins une fois par an.
Par ailleurs, certaines certifications (ISO 27001) ou certains standards (PCI-DSS, point 12.2) imposent
clairement la conduite d’une analyse de risques.
Déroulement d’une analyse

Qui est concerné ?
L’ensemble des personnes concernées par cet audit sont, bien évidemment, les personnes en charge
du projet, les équipes techniques ainsi que tous les acteurs ayant un lien direct ou indirect avec l’infrastruc-
ture auditée et capable de renseigner l’auditeur.
Les prérequis
Certains prérequis sont nécessaires au bon déroulement des missions d’analyse de risques.
Une documentation claire et complète sur le projet doit être disponible : détails de l’architecture, de
l’infrastructure, précédents rapports d’audit, diagrammes de flux, spécifications techniques…
Cette documentation est essentielle pour permettre à l’auditeur de s’imprégner du sujet et de répondre
au mieux aux attentes de cet audit.
De plus, les personnes ayant un rapport direct ou indirect avec le projet doivent être disponibles pour
répondre aux questions de l’auditeur. Des interviews sont systématiquement réalisées pour comprendre
le métier, le contexte et comprendre les contraintes existantes.
Le déroulé
L’analyste devant effectuer une analyse de risques suit les étapes suivantes, en collaboration avec les
différents acteurs du projet :
• prise d’information : besoins de sécurité, contraintes (règlementaires, légales ou internes), périmètre
de l’étude…
• Établissement de la matrice de responsabilité, c’est-à-dire qui fait quoi dans le cadre de l’analyse de risque.
• Inventaire des actifs et de leur valeur ou de leur criticité.
• Identification des sources de menaces, dans le contexte étudié.
• Identification des menaces à proprement parler.
• Inventaire des mesures de protection et évaluation de leur efficacité.
• Calcul du risque initial.
• Propositions de mesures de sécurité supplémentaires.
• Calcul du risque résiduel, en fonction des différentes postures défensives à adopter.
125
Le temps pris par une analyse de risques peut varier en fonction de la complexité du projet à auditer. Cette
durée peut varier entre une semaine et plusieurs semaines. Tout dépend bien sûr de la taille du projet :
nombre d’intervenants, technologies employées, complexité de l’architecture…
Pour réaliser une analyse de risques sur un système, un projet ou encore une infrastructure complète,
il est donc nécessaire d’avoir un accès complet à toutes les informations et documentations pouvant
renseigner au mieux les personnes réalisant cet audit. Ils doivent prendre en compte chaque élément,
même si celui-ci semble peu important.
Chaque analyse commencera par une définition du contexte du projet. Par cette définition, il est important
de comprendre exactement son fonctionnement, les points clés, les points d’entrées et de sorties et
les mécanismes liant chaque élément entre eux.
Ensuite, la connaissance de l’état de l’art et l’expérience permettent de mettre en évidence les

vulnérabilités et les facteurs de menaces, à partir desquels nous pouvons échafauder des scénarios
de menaces.
Chaque menace est ensuite caractérisée par son niveau de vraisemblance (niveau d’exposition public,
nombre d’utilisateurs, degré de vulnérabilité, attrait) et son niveau d’impact (valeur des actifs affectés).
L’impact n’est pas seulement calculé en fonction de l’impact technique, mais aussi des dommages qu’une
attaque pourrait porter sur l’image de marque de la société ou du produit. L’exemple le plus parlant est
celui des fuites d’identifiants de connexion, causant du tort aux victimes, utilisateurs ou propriétaires du
produit ciblé.
Le risque de chaque menace est la résultante du croisement entre son niveau de vraisemblance et son
niveau d’impact. Nous utilisons en général une matrice de correspondance pour le calculer.
Le risque initial permet d’avoir un premier état des lieux de son niveau de risque. Nous pouvons éventuel-
lement, si ce risque est considéré comme inacceptable (au regard d’un seuil défini lors de l’établissement
du contexte), proposer des mesures de sécurité supplémentaires.
Leur efficacité après application sera mesurée au travers du risque résiduel, qui doit logiquement être
réduit (effet sur la probabilité ou l’impact).
Livrable et décision
Chaque analyse doit donner lieu à un rapport reprenant tous les points de risque identifiés. Il doit être
à destination des décideurs ainsi que des équipes technique. Pour être compréhensible par un maximum
de personnes, il faut que ce document soit écrit sans aller précisément dans les détails techniques qui
peuvent, si nécessaire, être adjoints en annexe.
Au terme de l’étude, il est tout à fait envisageable que le risque ne soit pas traité, même avec des mesures
de sécurité additionnelles.
Le rapport d’une analyse de risques n’a pas la force d’une conclusion.
Il s’agit d’un simple outil décisionnel pour les dirigeants, qui doivent alors décider que faire du risque
associé à un projet. En clair, sur la base du rapport, les décisions suivantes peuvent être prises :
• acceptation du risque : la société estime que l’activité doit être maintenue malgré le risque, et sans
investissement supplémentaire.
• Évitement du risque : cela peut se traduire par l’abandon du projet ou d’une composante.
• Réduction du risque : mise en œuvre des mesures de protection recommandées pour atteindre
un niveau de risque acceptable.
126
• Transfert du risque : on délègue le risque à un tiers, par exemple un prestataire pour la gestion
du paiement.
• Communication du risque : les utilisateurs sont informés de la menace et utilisent le service
en connaissance de cause.
• …
L’analyse de risques, et après…

L’analyse de risques est un processus organisationnel et fonctionnel, avec les avantages que nous avons vus.
Sa limite réside dans l’absence de tests techniques. Pour cette raison, compléter une analyse de risques
par un ou plusieurs audits techniques constitue une véritable plus-value.
Ces deux missions se complètent parfaitement. L’analyse de risques est proche de l’activité, large de par
son périmètre et structurante sur le long terme.
Le test technique éprouve en situation réelle l’efficacité des mesures de sécurité en place. Prenant
la forme d’un test d’intrusion, d’un audit de configuration ou d’architecture, il vient enrichir la base de
connaissances, confirmer ou infirmer certains points de vue de l’analyse de risques. Ainsi, il contribue
à l’affinage de celle-ci lors de sa prochaine itération.
3.7 LE TEST D’INTRUSION

Par Anthony Baube, security consultant, Sysdream
Le test d’intrusion ou Pentest (“Penetration Testing”) est une simulation d’attaques informatiques par des
professionnels de la sécurité.
Ces tests sont réalisés à la fois manuellement et avec des outils automatisés.
Anthony possède une licence professionnelle CDAISI (Cyber Défense, Anti-Intrusion

des Systèmes d’Information).
Il effectue des audits de sécurité et tests d’intrusion pour de grands comptes industriels,
bancaires et ministériels. Il dispense par ailleurs des formations permettant de sensibiliser
le personnel d’entreprises aux menaces informatiques, mais aussi d’autres formations plus
techniques permettant d’acquérir les connaissances nécessaires à la réalisation de tests d’intrusion
ou encore à la mise en place de moyens techniques pour se protéger.
Les objectifs du test d’intrusion

Ils sont multiples.
Tout d’abord, il est question de simuler des attaques informatiques que pourraient mettre en place de
réels attaquants. Ces tests permettent de se rendre compte du risque qu’encourent les sociétés face aux
menaces informatiques actuelles (vol de données, déni de service, atteinte à l’image et à la réputation…).
Note : une des approches pour mesurer le risque (OWASP Risk Rating Methodology), très utilisée en test
d’intrusion, prend en compte la probabilité d’une attaque potentielle et l’impact de cette intrusion. Par
exemple, plus une vulnérabilité est facile à découvrir ou à exploiter plus le risque est élevé. Et, moins
la cible contient de données sensibles plus le risque est faible.
Ces tests permettent de vérifier si la société applique les bonnes pratiques usuelles de sécurité.
127
Par exemple, si le prestataire peut compromettre le réseau interne depuis le réseau externe alors, un
attaquant le pourra aussi. Potentiellement, ce dernier ira même plus loin, car, contrairement à l’auditeur,
il n’a aucune contrainte de temps.
Le test d’intrusion a aussi pour vocation de sensibiliser les personnes face aux attaques. En effet, bien
souvent, on ne se rend pas compte de l’impact réel que peut avoir, par exemple, l’absence de mises à jour
sur un parc informatique, tant qu’un test d’intrusion n’a pas été effectué ou qu’une attaque réelle ne s’est
produite.
Cette prestation permet aux décideurs de mesurer concrètement les conséquences d’une attaque, en lui
apportant des réponses aux interrogations suivantes :
• un attaquant pourrait-il facilement accéder aux informations sensibles de ma société ou de mes
employés ?
• Pourrait-il perturber la production ?
• Pourrait-il porter préjudice aux utilisateurs de mes services ?
• Les équipes techniques sont-elles suffisamment réactives ?
• Les attaques sont-elles correctement détectées et journalisées ?
• La sécurité de mon SI est-elle correcte ou non ?
• Le risque est-il acceptable ?
Une intrusion frauduleuse sur le système d’information d’une société peut coûter plusieurs dizaines, voire
plusieurs centaines de milliers d’euros. Un audit coûte quelques milliers d’euros. Dans ces conditions,
le choix peut être rapidement fait.
Méthodologies
Certains standards existent en ce qui concerne la méthodologie à suivre lors d’un test d’intrusion. Parmi
les plus connus, nous retrouvons l’OWASP et l’OSSTMM.
Les méthodologies reconnues

L’OWASP (The Open Web Application Security Project) : cette méthodologie “Open Source” incontournable
de la sécurité Web présente un guide qui recense, classe et décrit les vulnérabilités techniques, les moyens
de défense et de test. En plus de ses nombreux guides, l’OWASP propose également une méthode
d’analyse de risque (OWASP Risk Rating Methodology).
L’OSSTMM (The Open Source Security Testing Methodology Manual) : il s’agit également d’une méthodolo-
gie “Open Source”, mise au point par l’ISECOM sur la base de la plupart des standards du secteur.
L’OSSTMM s’est récemment imposée comme l’une des références pour les tests d’intrusion, tant
pour l’approche technique que pour l’analyse du risque. Outre une méthode détaillée, complète, mais
pragmatique et abordable, l’OSSTMM propose une base commune de vocabulaire et d’outils méthodolo-
giques facilitant la spécification et le déroulement des prestations.
Consécutivement à la décision de mener un pentest sur son SI ou sur une de ses applications, il reste
à faire un choix sur l’approche à choisir.
En effet, plusieurs approches sont envisageables lors d’un test d’intrusion.
L’approche “Boîte Noire”

Elle consiste à réaliser les tests d’un point de vue totalement externe. Autrement dit, l’auditeur se met à
la place d’un attaquant ne disposant d’aucune information sur les technologies utilisées par la société
et sans accès particulier.
128
Cette approche vise à vérifier la capacité, pour un attaquant externe et probablement opportuniste,
à porter préjudice à la société.
L’approche “Boîte Grise”

Cette approche sert à vérifier ce que pourrait faire une personne ayant déjà des accès sur certains services
ou systèmes.
Le profil d’attaquant simulé est typiquement une personne interne avec certains accès (stagiaire,
prestataire).
L’approche “Boîte Blanche”

Cette approche, quant à elle, a pour but de vérifier la mise en place des bonnes pratiques de sécurité.
Le prestataire audite plus exhaustivement l’application, y compris du point de vue interne, avec tous les
accès et la documentation disponibles.
Ensuite, en fonction du point de vue de l’attaquant, externe ou depuis le réseau interne, le but recherché
n’est pas le même.
Lors d’un audit externe, l’auditeur recherche principalement à mettre en évidence le risque d’intrusion
depuis internet et la fuite d’information.
Lors d’un audit interne, il souhaite davantage vérifier le cloisonnement des droits, des services et la
possibilité d’élever ses privilèges au sein du SI.
De plus, un autre élément entre en jeu lors d’un test d’intrusion. En effet, avant l’audit, l’auditeur détermine
avec le commanditaire si les équipes techniques doivent être prévenues des tests ou non.
Ne pas les avertir est plus réaliste et permet de tester leur réactivité.
Dans ce cas, seules quelques personnes, dont le commanditaire, seront au courant de l’audit.
Il est donc important de définir ce que l’on souhaite tester avant de choisir une prestation plutôt qu’une autre.
Les phases d’un test d’intrusion

Généralement, les tests sont découpés en plusieurs phases :
• la prise d’informations ;
• la recherche de vulnérabilités ;
• l’exploitation ;
• l’élévation de privilèges ;
• le nettoyage des traces.
La prise d’informations
Le périmètre audité fait l’objet d’une exploration minutieuse à la recherche d’informations : techniques
d’une part, pour faciliter la découverte de vulnérabilités, métiers d’autre part, pour faciliter par exemple
des attaques par ingénierie sociale.
L’auditeur met en place deux types de prise d’informations : passive et active.
La prise d’informations passive, sans interaction directe avec la cible auditée, passe principalement par la
recherche d’informations sur les outils publics (moteurs de recherche, bases WHOIS, annuaires…).
Elle a pour but de vérifier la fuite d’informations sur internet pouvant profiter à un éventuel attaquant.
129
Certaines informations présentes sur internet peuvent constituer une menace directe (extrait de base de
données référencée sur Google) ou indirecte pour une société (authentification accessible depuis la toile
à un portail d’administration).
La prise d’informations active, quant à elle, consiste à interroger directement la cible pour en obtenir des
informations.
Lors de cette étape, l’auditeur va scanner la cible afin de prendre connaissance des services qu’elle utilise,
des technologies présentes ainsi que des versions associées afin d’identifier plus facilement d’éventuelles
failles de sécurité.
Une prise d’informations dite passive se veut plus discrète, mais elle sera en général moins détaillée
et moins approfondie.
À l’inverse, une prise d’informations active a pour but de récolter un maximum d’informations, mais
sera bruyante.
Lors d’un test d’intrusion, les deux types de reconnaissances sont utilisés afin de balayer au mieux
l’ensemble du périmètre.
La recherche de vulnérabilités
Une fois la première phase terminée, c’est-à-dire lorsque l’auditeur estime qu’il dispose d’assez d’éléments
pour continuer, ce dernier va s’efforcer d’identifier des failles de sécurité.
La phase précédente joue donc un rôle crucial ici. Plus l’on dispose d’informations sur les services utilisés,
leurs versions, leurs configurations… plus il sera aisé d’en identifier les faiblesses.
Pour identifier des vulnérabilités, l’auditeur peut procéder de deux manières différentes.
La première consiste à prendre connaissance de l’existant. En effet, s’il existe déjà des failles connues sur
un produit faisant partie du périmètre alors, il sera généralement plus simple et plus rapide d’en tirer profit.
Pour vérifier cette information, il existe de nombreuses bases de données en ligne telles que :
•w
ww.exploit-db.com • www.securityfocus.com • www.cvedetails.com
•w
ww.cert.ssi.gouv.fr • https://nvd.nist.gov • et bien d’autres…
Si aucune vulnérabilité publique n’est identifiée alors l’auditeur va s’efforcer de trouver lui-même une faille
et de l’exploiter.
Il est toutefois important de noter que toutes les failles rendues publiques n’ont pas forcément une preuve
d’exploitation associée.
Dans ce cas, l’exploitation n’est pas toujours aisée.
L’exploitation
Après avoir identifié une ou plusieurs vulnérabilités, il est ensuite question de tester la portée de celles-ci.
C’est-à-dire, de tester l’impact réel de ces failles pour la société.
L’auditeur va donc chercher à les exploiter autant que possible, afin de démontrer la dangerosité de ces
faiblesses.
Il est également important de noter que le travail de l’auditeur ne consiste pas uniquement à prendre
le contrôle de machines ou de services.
130
Son travail consiste surtout, dans le temps qui lui est imparti, à faire un tour d’horizon des éventuelles
failles présentes sur le périmètre et d’en évaluer le risque associé.
L’élévation de privilèges
Une suite logique de la phase d’exploitation est l’élévation de privilèges. Le but est tout simplement de
vérifier jusqu’où il est possible d’aller dans la compromission du système.
Dit plus simplement : peut-on prendre le contrôle intégral du système ou du réseau de l’entreprise ?
Cette partie est donc fortement liée à la phase d’exploitation.
Par exemple, lors de la compromission via un utilisateur ayant des droits restreints, nous allons tenter
d’obtenir les droits de l’administrateur.
Si tel est le cas, le risque sur ce serveur est d’autant plus important.
Cette phase est davantage mise en avant lors des tests d’intrusions internes.
L’auditeur va tester, depuis un accès employé, s’il lui est possible d’obtenir les droits d’administrateur
du domaine.
Le nettoyage des traces

Lors d’une attaque informatique, l’attaquant s’efforcera généralement de supprimer ses traces, afin que
l’on ne puisse pas facilement le repérer et l’identifier.
Dans une situation de test d’intrusion, cela est quelque peu différent. En effet, l’auditeur ne va pas
chercher à effacer ses traces. Au contraire, il va chercher à démontrer ses différentes exploitations.
Néanmoins, il aura pour tâche de supprimer d’éventuels fichiers déposés sur les serveurs durant l’audit,
et de s’assurer que les différents éléments du périmètre sont exactement dans le même état qu’avant
ses tests.
Les précautions usuelles à prendre avec la mise en œuvre de tests d’intrusion

Lorsque des tests intrusifs sont réalisés, il est bon de prendre quelques précautions afin d’éviter au
maximum les effets de bord.
L’auditeur doit minimiser les tests dangereux, notamment les tests pouvant mener à un déni de service.
Les services doivent rester joignables et intègres autant que possible.
Lorsque le système de production est jugé trop sensible pour risquer le moindre déni de service, il est
préférable d’effectuer les tests en périodes creuses comme la nuit ou encore le week-end.
La personne en charge des tests techniques doit impérativement être en étroite collaboration avec
un responsable opérationnel tout au long de la prestation. Il est essentiel de pouvoir réagir vite en cas
de problème.
L’auditeur doit également respecter des règles d’éthique et de déontologie. Son travail consiste à remon-
ter un maximum de problèmes de sécurité sur le périmètre, tout en tenant compte des contraintes
de production de son client.
Les procédures mises en place sont normées et reproductibles.
131
Les limites du test d’intrusion

Le test d’intrusion rentre dans un cadre légal et professionnel. Il est régi par un contrat signé entre les
deux parties. De ce fait, il est également limité dans le temps.
La société mandatée pour réaliser la prestation ne peut donc pas garantir l’exhaustivité des tests. Elle fait
à la fois face à une contrainte de temps, mais peut aussi être confrontée à des contraintes techniques.
De plus, le résultat d’un test d’intrusion est valable à un instant T. En effet, l’infrastructure et les menaces
évoluent en permanence. C’est pourquoi il est nécessaire de faire des tests régulièrement. En moyenne,
il est recommandé de faire au minium un test par an et par périmètre.
À ce propos, il convient de noter que le standard PCI-DSS (section 11.3) impose la tenue d’un test d’intru-
sion externe et d’un test interne à un rythme annuel et après chaque changement significatif sur l’environ-
nement (architecture, configuration, mise à jour importante).
Tests d’intrusion : éthique, responsabilité et réglementation

L’auditeur doit préserver la disponibilité et l’intégrité des données du client. Il doit également respecter
les contraintes légales et avoir une approche éthique.
Aucun test ne doit être fait avant qu’un mandat ne soit signé par toutes les parties.
Le périmètre défini par le client ne doit pas être dépassé.
Le mandat doit contenir une décharge de responsabilité concernant les articles de lois et les risques
potentiels liés à l’audit.
La société mandatée doit également disposer d’un contrat d’assurance.
Le mandat doit comporter les éléments suivants :

• identification des parties (auditeur et mandataire) et signatures ;
• description précise du périmètre : cible, méthodologie, dates, horaires, tests…
• Préciser les éléments supplémentaires : résultats attendus, livrables, CV des auditeurs…
• Rappel des obligations légales, du respect de la confidentialité et décharge de responsabilité.
Le rapport final du test d’intrusion

Le rapport final de l’audit permet une présentation détaillée des résultats des tests.
Il présente chaque vulnérabilité identifiée avec le risque associé.
De plus, l’exploitation de ces vulnérabilités est détaillée de manière à être reproductible par les équipes
internes (pour test), mais aussi afin d’en comprendre l’impact réel.
Toutes les vulnérabilités présentées sont accompagnées d’une ou plusieurs propositions de correction.
Une estimation du temps de correction est également fournie dans le rapport.
Généralement, dans un rapport de test d’intrusion nous trouvons, a minima, les parties suivantes :
• rappel des objectifs de l’audit et du périmètre ;
• synthèse générale (à destination des décideurs) ;
• présentation technique et détaillée des vulnérabilités ainsi que les correctifs associés ;
• synthèse des vulnérabilités ;
132
• synthèse des correctifs ;

• évaluation du risque global sur le périmètre audité ;
• plan d’actions.
Ce rapport s’adresse donc aussi bien aux décideurs, avec la synthèse générale qui met l’accent sur le
risque estimé lié au périmètre audité, qu’aux personnes techniques, avec une présentation détaillée des
vulnérabilités et les correctifs à apporter.
Conclusion
Le temps où les tests d’intrusion étaient encore considérés comme de la “bidouille” ou du “hacking” est bel
et bien révolu. Les tests d’intrusions sont des audits très rigoureux et exigeants, qui suivent une démarche
précise et requièrent une éthique irréprochable.
Que ce soit grâce à la réglementation ou par la volonté propre de suivre l’état de l’art, le test d’intrusion est
devenu un audit de routine parfaitement intégré dans le cycle de vie d’un système d’information et conduit
de manière régulière. Avec les analyses de risques et les audits inforensiques, ils font dorénavant partie
intégrante de l’arsenal du DSI ou du RSSI.
3.8 L’ANALYSE INFORENSIQUE

Par Jean-Christphe Baptiste, consultant senior, Sysdream
Jean-Christophe Baptiste a débuté son parcours professionnel comme architecte

réseau, avant de se spécialiser dans la sécurité.
Après une expérience comme responsable de la sécurité d’un système d’information
industriel pour un grand groupe, il a rejoint le cabinet Sysdream. En tant que consultant
senior, il réalise des tests d’intrusion, des audits inforensiques, des analyses de risques et
des audits d’architecture. Il est également formateur sur ces différents domaines. Plus qu’un métier,
la cybersécurité est pour lui une véritable passion !
En quoi consiste l’analyse inforensique ?

L’analyse inforensique, aussi dite post-mortem, définit l’ensemble des méthodes de rétrospection faisant
suite à un incident de sécurité.
En clair, ce domaine couvre les méthodes et techniques légales d’investigation numérique.
L’objectif primaire semble évident, et c’est en tous cas ainsi qu’il est généralement compris : identifier la
source d’une menace pour la neutraliser, voire engager des poursuites.
Cela ne doit pas faire perdre de vue un objectif encore plus important, qui sera à lui seul le déterminant
du succès de l’analyse : identifier sa vulnérabilité pour la corriger.
En fait, il s’agit bien du véritable objectif primaire. Une cible n’ayant pu identifier sa vulnérabilité et pris
les mesures de sécurité adéquates est condamnée à revivre le scénario de menace, à plus ou moins
court terme.
À titre de comparaison, l’identification de la menace peut sembler secondaire. Fort heureusement, car elle
peut s’avérer longue et fastidieuse, lorsqu’elle n’est tout simplement pas possible si nous nous retrouvons
face à un attaquant compétent.
133
Identifier une menace, un vrai défi

Réaliser une analyse pour améliorer son niveau de sécurité nécessite d’avoir détecté la menace.
Il s’agit en théorie d’une évidence, qui constitue pourtant le premier et principal écueil.
Un système d’information est, de nos jours, extrêmement exposé par nature. Il héberge de nombreux
actifs hétérogènes (matériels, systèmes d’exploitation, applications), est accédé par de nombreux utilisa-
teurs, souvent en mobilité, et traite de gros volumes d’informations.
Détecter une menace peut rapidement revenir à trouver une aiguille dans une botte de foin.
De plus, la généralisation du chiffrement de bout en bout (HTTPS) et l’utilisation de services Web

encapsulant tout type de données (encapsulation dans HTTP(s)) tend à réduire fortement l’efficacité
historique des éléments de défense périmétrique, comme les pare-feux, les sondes de détection
d’intrusion (IDS)…
Répondre à ces défis nécessite d’adopter une posture défensive moderne, avec des moyens humains et
techniques appropriés.
D’abord, il est nécessaire d’avoir une supervision complète de son système d’information. Tous les indica-
teurs et les événements doivent être récoltés en permanence, de tous les actifs (systèmes, applications,
équipements réseau), puis triés.
Ceci ne peut pas se faire sans une ou quelques personnes spécialisées à la surveillance des systèmes.
Dans l’idéal, si l’on dispose de ressources suffisantes, il est envisageable de créer une petite organisation
selon le modèle d’un CERT ou d’un CSIRT.
Le traitement de la masse de données générée au sein d’un système d’information rend l’automatisation
des tâches indispensable, par un outil tel qu’un SIEM (Security Information and Event Management
System).
Un tel outil va permettre de trier les événements, réduire le taux de faux positifs, agréger les alertes, voire
de détecter certains scénarii de menace à partir de divers événements de sécurité.
À quel moment lancer une analyse inforensique ?

Un incident de sécurité peut prendre des formes très diverses : connexion réseau non conforme, fuite de
données, altération d’un système, alerte en provenance d’une solution de sécurité, conflits humains…
Ainsi, l’analyste inforensique peut aussi bien intervenir suite à l’intrusion d’un site internet, la contamina-
tion d’un réseau par un ver, la rupture de contrat par un prestataire ou encore la violation de la charte
informatique par un employé.
L’analyse peut même établir, à son terme, qu’un incident de sécurité n’en est finalement pas un. Auquel
cas, les conclusions de l’analyse établiront qu’il s’agit d’un faux-positif, qui devra être traité comme tel
ultérieurement.
Dès lors qu’une menace sérieuse est détectée, une analyse inforensique doit être commencée. La décision
peut être purement subjective (doute raisonnable sur la nature d’un incident), soutenue par une démarche
d’analyse de risques ou encore motivée par une évaluation objective (base de menaces connues).
Par ailleurs, il peut exister une pression réglementaire pour réaliser une analyse inforensique. C’est le cas
notamment pour les hébergeurs conformes au standard PCI-DSS, qui se doivent de réaliser une expertise
en cas d’intrusion. Le standard autorise également les fabricants de cartes à mandater des experts en
inforensique, en cas d’intrusion constatée chez un marchand certifié ou un acquéreur.
134
Qui doit réaliser l’analyse inforensique ?

Il s’agit d’un point essentiel : l’analyse doit être exclusivement menée par du personnel qualifié.
L’analyse doit suivre une démarche opérationnelle très rigoureuse : son succès en dépend directement.
En effet, les preuves numériques, collectées puis analysées, sont par nature des données fragiles
(effacement ou altération accidentelle) et volatiles (mémoire vive, journaux).
Or, l’analyse inforensique doit être indiscutable, basée sur des faits vérifiables et reproductibles. De plus,
les conclusions d’un rapport inforensique peuvent être utilisées dans un cadre juridique. Il est donc
essentiel que l’intégrité et la confidentialité des données soient toujours assurées tout au long de l’investi-
gation pour que la demande d’action en justice soit recevable.
Ainsi, seule une personne formée et expérimentée sur l’état de l’art et les procédures reconnues peut être
à même d’être efficace, ne serait-ce qu’afin d’éviter la perte ou l’altération définitive des preuves.
L’analyse peut donc très bien, si l’on dispose des moyens, être réalisée en interne, par une personne
qualifiée. Normalement, les équipes CERT ou CSIRT disposent des ressources pour réaliser ce genre
d’intervention. Dans ce cas, il peut néanmoins être décidé à faire appel à un tiers (prestataire), si l’on
souhaite un avis externe ou neutre, notamment par rapport à d’éventuelles poursuites en justice.
Dans la plupart des autres cas, la démarche doit faire l’objet d’une prestation par un spécialiste. Il faut bien
noter que cela nécessite des compétences particulières, qui ne sont pas forcément du ressort d’un consul-
tant en sécurité. L’intervenant doit avoir suivi des formations, disposer de certifications (CHFI, SANS), ainsi
que du matériel adéquat (équipement et logiciels dédiés).
Quelle méthodologie mettre en œuvre pour l’analyse inforensique ?

Le premier objectif de l’analyste consiste à identifier et évaluer l’ampleur d’une menace. Suite à cette
démarche, il préconise éventuellement des mesures d’urgence afin d’en limiter la propagation.
Ensuite, il s’attache à comprendre la menace : scénario d’apparition, impacts exacts, source… Enfin,
l’analyse permet généralement d’identifier la vulnérabilité exploitée, et de guider le client vers la meilleure
correction.
La méthodologie que doit suivre l’analyste est calquée sur les standards du domaine de l’investigation
numérique légale. Que son travail soit utilisé ou non dans le cadre d’une expertise juridique, le suivi de ce
processus est indispensable, car il garantit un travail scientifiquement solide, conforme et reproductible :
• planification et préparation de l’intervention ;
• identification de la menace ;
• collecte des preuves numériques ;
• préservation des preuves ;
• analyse inforensique ;
• rédaction du rapport et présentation des conclusions.
Il faut bien noter que ces étapes peuvent être répétées sous forme de plusieurs cycles au cours d’une
mission, en fonction des avancées de l’investigation.
Par exemple, en cours d’intervention, la menace peut évoluer ou de nouveaux éléments peuvent être
trouvés, comme une porte dérobée jusque-là invisible (rootkit), ou un changement opératoire de
l’attaquant.
Dans ce cas, un nouveau cycle démarre, avec de nouvelles acquisitions de preuves.
135
Préparation
La prise d’information, effectuée au travers d’une réunion de lancement avec le mandataire et, éventuelle-
ment, les équipes techniques susceptibles d’apporter leur assistance, est une étape essentielle.
L’analyse inforensique est délicate en raison de la nature volatile et fragile de la preuve numérique.
Avant toute intervention technique, il faut ainsi avoir une connaissance très précise de la cible de l’analyse.
Cette connaissance permet d’adapter notre démarche d’investigation aux besoins et aux contraintes.
Il s’agit aussi de préparer un matériel adéquat (équipements et logiciels).
En effet, disposer d’un bon outillage est indispensable. Par exemple, pour réaliser l’acquisition d’un disque
dur au format IDE, il faut disposer de la connectique nécessaire (câble, adaptateur) et bien sûr de l’espace
disponible suffisant sur le poste ou le disque d’acquisition.
Des éléments spécifiques au domaine inforensique sont aussi utiles. Voici quelques exemples :
• un bloqueur d’accès en écriture, pour accéder aux disques étudiés sans courir le risque d’altérer
le support ;
• des suites logicielles d’analyse et de récupération de données, pour analyser les disques à la
recherche de traces anciennes (FTK, Encase, Autopsy) ;
• un espace de stockage important, type NAS ;
• sachets antistatiques, mousse antichoc et étiquettes pour assurer le transport du matériel électro-
nique saisi ;
• tournevis, adaptateurs et outils techniques en tout genre…
Il n’est pas concevable de se présenter sur le lieu d’intervention, où il faut parfois agir très vite et sous une
certaine pression, sans savoir ce que l’on doit faire ou sans le matériel nécessaire.
Identification de la menace
Avant d’intervenir directement sur l’incident lui-même, l’analyste évalue la situation et les différents actifs
en périphérie – autrement dit, la scène de crime.
D’une part, il s’agit d’être sûr que la menace ne risque pas de se propager et d’aggraver la situation.
Par exemple, il peut être nécessaire de prendre, avec l’accord du mandataire, la décision d’isoler une
machine ou un réseau lorsqu’un ver risque de contaminer d’autres machines, ou lorsqu’une exfiltration de
données est en cours.
D’autre part, il faut être sûr de ne pas oublier de preuves lors de la phase de collecte. Il est préférable de
récupérer plus d’éléments que nécessaire, plutôt que d’oublier des indices qui pourraient s’avérer décisifs.
Enfin, un périmètre de sécurité doit être défini, garantissant qu’aucune intervention inadéquate ne puisse
détruire des preuves avant leur saisie.
Collecte
La collecte est une étape cruciale, pendant laquelle seront saisies les preuves numériques sur lesquelles
toute l’analyse sera fondée.
Pour garantir le succès de l’analyse et être conforme avec les exigences juridiques, cette étape ne doit être
réalisée que par une personne formée et rompue à l’exercice inforensique.
136
Les interventions réalisées par les administrateurs, souvent de manière précipitée et avec un manque
d’expérience dans le domaine, se soldent souvent par un désastre : méthodes non adaptées, résultats
incomplets, destruction de preuves…
La méthode de saisie doit garantir que les preuves sont :

• complètes et suffisantes pour l’analyse ;
• intègres pour pouvoir être vérifiées et rejouées lors d’une contre-expertise, notamment dans une
perspective judiciaire.
L’analyste doit interférer le moins possible avec les équipements saisis, afin de ne pas polluer l’environne-
ment et prendre le risque d’effacer des preuves.
En support, des logiciels et du matériel physique éprouvés sont utilisés pour garantir la non-altération des
données (accès en lecture seule) et générer des empreintes cryptographiques comme preuve de leur
intégrité.
Gestion des preuves

Suite à l’étape de collecte, il est indispensable d’assurer que l’intégrité et la confidentialité des données
saisies continueront d’être préservées. Le principe de base du travail est de ne jamais travailler sur
la preuve originelle, mais sur une copie conforme (sauf forte contrainte technique).
En réalité, la bonne pratique consiste même à réaliser deux copies de l’original : une copie de travail, et une
copie de secours sur laquelle retomber en cas d’altération accidentelle. L’idée est de réellement sanctua-
riser la preuve d’origine, en ne la manipulant qu’une fois.
L’ensemble des données est stocké de manière chiffrée et sécurisée, et pour un temps de conservation
défini avec le mandataire. Les éventuels déplacements, copies et archivages sont consignés dans le rapport.
Analyse
L’analyse est l’étape la plus longue du processus, notamment lorsque la menace reste peu identifiée (soup-
çon). L’analyste doit faire le tri au milieu d’un volume d’informations souvent très conséquent, interpréter
des bribes d’informations et un faisceau d’indices pour reconstituer un scénario global.
À cette fin, une partie importante du travail consiste à placer les éléments dans un ordre chronologique
(timeline).
Par ailleurs, nous distinguons deux approches d’analyses distinctes et, souvent, complémentaires :
l’analyse hors-ligne et l’analyse en ligne. Dans l’idéal, les deux démarches doivent être déroulées, bien que
cela ne soit pas toujours possible, en fonction des prérequis techniques.
Analyse en ligne
L’analyse en ligne, la plus classique, consiste à contrôler l’état général du système à la recherche d’une
compromission ou de toute trace suspecte.
Cette analyse s’effectue avec les outils d’administration du système d’exploitation, des scripts ou des outils
externes.
Cette méthode permet d’avoir une bonne vision du système grâce aux nombreux éléments disponibles
et de détecter les comportements anormaux les plus visibles.
Elle est cependant limitée face à des attaques sophistiquées ayant compromis les composants les
plus sécurisés du système, car les traces seront alors cachées, même des outils d’analyses.
137
Analyse hors-ligne
L’analyse hors-ligne est la méthode d’analyse privilégiée, car la plus fiable. Elle consiste à récupérer un
instantané de l’état du composant analysé, afin d’en effectuer une analyse à partir du poste de l’analyste.
Dans le cas de la mémoire vive, comme les données analysées sont brutes et ne peuvent être altérées par
le système d’exploitation de la cible, l’analyste est en mesure de rechercher des traces d’attaques sophis-
tiquées (de type rootkit).
Concernant l’analyse d’un disque dur, toutes les traces d’utilisation sur un système d’exploitation peuvent
être recherchées, y compris les tentatives d’effacement de traces par un utilisateur.
Enfin, les traces réseau, lorsqu’elles sont disponibles, sont également précieuses, car elles donnent un
point de vue externe du trafic émanent d’un ordinateur.
Rétro-Ingénierie
Cette analyse consiste à désassembler un logiciel malveillant qui aurait été utilisé dans le cadre d’une
compromission. L’objectif est d’en comprendre le fonctionnement, la vulnérabilité exploitée et d’essayer
d’identifier son auteur.
Principales causes d’échec de l’analyse inforensique

Menace non détectée
Nous avons déjà évoqué ce sujet : une menace non détectée ne peut pas faire l’objet d’une analyse.
Seule une organisation mature va généralement être en mesure de déclencher ce type de démarche.
Méconnaissance du domaine inforensique

L’analyse inforensique est encore très méconnue ou incomprise.
Souvent, la victime va d’abord essayer d’agir seule : modification des règles de filtrage, scan antivirus, mises
à jour…
Ce sont souvent des tentatives réalisées en aveugle, avec des outils génériques et donc peu efficaces,
ainsi que des connaissances limitées sur la sécurité offensive et les procédures inforensiques.
Démarche trop tardive

Trop souvent, les victimes attendent de nombreux jours, voire mois, avant de se décider à lancer une ana-
lyse inforensique.
Pendant ce laps de temps, le système d’information a suivi son cycle de vie : les preuves en mémoire vive
ont disparu depuis longtemps, les fichiers ont été effacés, les journaux écrasés…
Dans ces conditions, une analyse tardive a peu de chance de réussir à identifier la source d’une intrusion,
ou encore la vulnérabilité exploitée.
La démarche alors conseillée est plutôt de réaliser un test d’intrusion, dans le but d’identifier les faiblesses,
y compris celle éventuellement exploitée par l’attaquant.
138
Manque de preuves
Le manque de preuves peut faire suite à des démarches non appropriées de la part des équipes
d’administration (destruction de preuves suite à des tentatives de reprise de contrôle).
Elle peut être aussi la conséquence d’un manque de journalisation et de traçabilité au sein de l’entreprise :
• les connexions réseau ne sont pas enregistrées sur le pare-feu (seuls les accès refusés, pas les accès
autorisés) ;
• les audits Windows ne sont pas tous activés pour les événements d’authentification ;
• le service Apache a une rétention de journaux insuffisante, les événements anciens ont été effacés ;
• les journaux ne sont pas centralisés et archivés : l’attaquant, au cours de son intrusion, a pu effacer
toutes ses traces…
D’où l’importance de la supervision du système d’information et du déploiement d’un centralisateur

de journaux ou d’un SIEM.
Conclusion
L’analyse inforensique est une démarche qui nécessite beaucoup de rigueur, et des compétences
transverses : sécurité défensive et offensive, administration système et réseau, notions de droit…
Il s’agit d’une démarche indispensable, qui ;
• permet d’apprendre de ses erreurs et de s’inscrire dans une démarche d’amélioration continue ;
• d’effectuer un recours en justice ou réglementaire, lorsque cela est nécessaire.
À niveau de menace constant et avec le gain de maturité des organisations suite aux prises de conscience
et à la pression réglementaire, le domaine de l’investigation numérique semble promis à se développer
considérablement.
139
PARTIE 3 | 4. COÛTS ÉCONOMIQUES (…) D’UNE POLITIQUE DE CYBERSÉCURITÉ POUR UN SITE E-MARCHAND
4. COÛTS ÉCONOMIQUES DE LA MISE EN ŒUVRE

D’UNE POLITIQUE DE CYBERSÉCURITÉ POUR
UN SITE E-MARCHAND
Paragraphe rédigé en collaboration avec Philippe Humeau (NBS System)
Pour le responsable d’un site de e-commerce, les investissements (CAPEX et OPEX) à consentir pour
constamment mettre à niveau la sécurité de son site, peuvent apparaître comme un véritable “tonneau
des Danaïdes”. Lorsque l’on étudie les choses rationnellement, en dessinant la courbe qui met en regard
le niveau de protection obtenu et les budgets associés, on s’aperçoit en fait qu’il est possible d’atteindre
rapidement un niveau d’exposition aux risques “acceptable” pour des budgets “supportables”.
Il est utile de rappeler cette évidence : le risque Niveau de sécurité

encouru par les sites de e-commerce est à la
100 %
hauteur des gains que le pirate peut en espérer.
90 %
Les pirates qui ambitionnent d’attaquer VISA
ne sont pas les mêmes que ceux qui attaquent un 80 %
site de 1M€ de chiffre d’affaires ! 70 %

60 %
Les montants consacrés à la sécurité se doivent
50 %
d’être proportionnés aux risques et enjeux ; viser
40 %
une sécurité raisonnable en fonction de son activi-
30 %
té sera donc l’objectif à atteindre.
20 %
Quand un pirate utilise des outils “low cost”, comme 10 %
par exemple un scanner de vulnérabilité automati-
sé ou des scripts, ou encore des outils en ligne 5 000 €
40 000 € 400 000 € 1 M€
de DDoS à bas coût, il est peu probable qu’il puisse
15 000 € 150 000 €
compromettre la sécurité d’un site qui a fait le
minimum des investissements requis.
À ce titre, il semble intéressant de présenter ce ratio en quelques chiffres certes estimés, mais qui ont le
mérite d’illustrer le propos. Il convient aussi de rappeler que la sécurité a un coût exponentiel, tout comme
les attaques. C’est aussi une bonne nouvelle, car tout le monde tend à ne retenir que la partie haute de
la courbe exponentielle, mais en bas de l’échelle, elle est très plate. Dans notre exemple, investir 5 000 €
par an peut par exemple protéger contre 50 % des attaques. Investir 15 000 € contre 70 %, 40 000 €
contre 80 %, 150 000 € contre 90 %, 400 000 € contre 95 % et 1 M€ contre 99 %.
Ainsi, en matière d’investissement en cybersécurité, la bonne approche peut être de fermer la porte à une
masse très importante d’attaques simplistes en bas de l’échelle du risque pour quelques milliers d’euros.
140
PARTIE 3 | 4. COÛTS ÉCONOMIQUES (…) D’UNE POLITIQUE DE CYBERSÉCURITÉ POUR UN SITE E-MARCHAND
Vous trouverez ci-après quelques idées à explorer en compagnie d’experts du domaine, en fonction
de paliers budgétaires :
0 € À 10 000 € 10 00 € à 50 000 €

• audits de configuration ; •h
ébergement sécurisé ;
• formation sécurité ; • t ests d’intrusion ou audits de code ;
• déploiement généralisé d’antivirus • installation d’un WAF sur mesure
sur les postes de travail ; et de composants de sécurité.
• configuration d’un WAF Opensource
par un professionnel.
50 000 € à 100 000 € 100 000 € à 500 000 €

• hébergement de haute sécurité, • s écurité proactive avec revues
compatible PCI/DSS V3 ; hebdomadaires ou quotidiennes ;
• supervision continue de la sécurité •S
ecOPS / SoC externalisé ;
du site par des professionnels ; • t ests d’intrusion réguliers ;
• veille sécurité sur les failles émergentes ; •a
udit de code systématique sur les
• backup à haute fréquence. différences entre chaque publication ;
•e
nvironnement dupliqué en PCA/PRA ;
•b
ackups déportés à haute fréquence.
Le tableau ci-après reprend et synthétise les différents types d’attaques, évalue leur risque respectif,
les solutions pour y faire face et le niveau de coût associé.
Il apparaît dans ce tableau, que la majorité des mesures défensives à un coût faible, voire nul. Ce sont
l’expertise des partenaires, le sérieux des procédures et la bonne configuration et maintenance des
services et applications qui priment !
Source NBS System
141
142
PARTIE 4 | 1. RECOMMANDATIONS ANSSI
PARTIE 4
ANNEXES
1. RECOMMANDATIONS ANSSI
1.1 RECOMMANDATIONS RELATIVES À LA PROTECTION DES SITES
CONTRE LES DÉFIGURATIONS
Source : ANSSI. Fiche d’information sur les annonces d’attaques de sites institutionnels du 15 janvier 2015
Préparation
Plusieurs éléments sont à vérifier afin de limiter au maximum la défiguration d’un site. Les vecteurs les plus
courants sont :
• le défaut de sécurisation d’accès à une interface de gestion du site ;
• l’utilisation d’un mot de passe faible pour l’administration du site ;
• l’utilisation d’un gestionnaire de contenu (CMS) non maintenu ou dont les derniers correctifs de
sécurité n’ont pas été appliqués ;
• l’utilisation d’une brique logicielle non maintenue ou dont les derniers correctifs de sécurité n’ont pas
été appliqués.
Il est important de veiller à ce que ces éléments soient vérifiés et corrigés si nécessaire. Pour cela,
il est possible de s’appuyer sur le guide de sécurisation des sites Web :
www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides.
La granularité des événements journalisés liés aux services exposés et aux équipements réseaux doit être
augmentée. Ces journaux serviront à analyser le type de trafic et les requêtes illégitimes utilisés lors d’une
éventuelle attaque. Ils doivent être conservés en cas de dépôt de plainte.
Enfin, la réalisation de sauvegardes régulières permettra, en plus de restaurer le contenu du site, de

détecter un ajout ou une modification illégitime d’un fichier.
Réaction
En vue d’effectuer un dépôt de plainte, il est nécessaire de collecter l’ensemble des éléments techniques
décrivant l’attaque (journaux, captures réseaux, copie de disques…), et de garder une trace des échanges
effectués avec des tiers pendant le traitement de l’incident.
Il est important de garder à l’esprit qu’un site ayant été compromis contient a minima une vulnérabilité qui
doit être identifiée et corrigée. L’ensemble des actions ayant pu être réalisées par les attaquants doit être
analysé. En aucun cas la restauration d’une sauvegarde ou la suppression de l’élément ajouté/modifié
ne pourra être considérée comme étant une réponse adaptée.
143
Enfin, en cas d’hébergement d’un site sur un serveur mutualisé, il est important de veiller à ce que
l’intégrité du serveur et des autres sites soit vérifiée.
En cas d’attaque, il convient de se reporter à la note d’information sur les défigurations de sites Web :
http://www.cert.ssi.gouv.fr

PARADES JURIDIQUES CONTRE
LE DÉFAÇAGE DE SITES WEB
Le défaçage est une attaque visant à suppri- •

conservation des traces (copie de l’état
mer ou modifier la page d’accueil d’un site compromis du site Web et analyse de la
Web sans en avoir obtenu l’autorisation. Cette compromission).
attaque peut avoir de lourdes conséquences
•
Recherche d’autres intrusions (pages
sur l’image de l’entreprise surtout pour un
d’hameçonnage (phishing) ; insertion de
site de commerce en ligne. C’est pourquoi il
malware ; insertion de publicités non lé-
appartient au propriétaire du site de porter
gitimes ; modification de la configuration
une attention particulière à l’accessibilité de
du site ; installation d’un porte dérobée
son site. Lorsque que la défiguration d’un site
permettant d’utiliser le site pour effectuer
Web est découverte, plusieurs actions sont à
d’autres actions malveillantes (nouvelles
entreprendre :
compromissions, déni de service…) ; stoc-
kage de fichiers soumis au droit d’auteur.
1.2 RECOMMANDATIONS RELATIVES À LA PROTECTION DES SITES

CONTRE LES ATTAQUES EN DÉNI DE SERVICE
Préparation
Organisationnelle
Pour faire face à une attaque par déni de service, il est primordial de recenser les systèmes susceptibles
d’être visés, et de connaître les équipes responsables de l’administration de ces systèmes. En outre, afin
de favoriser un traitement rapide de l’attaque, il est impératif de disposer des contacts appropriés en
interne, ainsi que chez les opérateurs de transit, ou encore auprès de l’éventuel fournisseur d’un service
de protection contre les attaques DDoS.
En dehors des solutions de protection spécifiques abordées ci-après, de bonnes pratiques peuvent contri-
buer à améliorer la résistance à une attaque par déni de service. Parmi celles-ci, on peut notamment citer :
• la segmentation du réseau de l’entité de manière à faciliter le filtrage en cas d’attaque, et l’isolement
éventuel de certains sous-réseaux ou de certains serveurs ;
• la réduction de la surface d’attaque possible en autorisant seulement les flux nécessaires en entrée
comme en sortie du réseau.
144
Équipements commerciaux spécifiques

administrés par l’entité
Des protections spécifiques contre les attaques en déni de service distribué peuvent également être mises
en place. Certains produits commerciaux sont spécialisés dans le filtrage de trafic. Ils se basent sur des
listes blanches ou noires, la position géographique des sources ou des filtres sur les paquets transmis.
Leur mise en œuvre nécessite une prise en main préalable et un paramétrage adapté au trafic de l’entité.
De plus l’achat et le maintien à jour de ces équipements peuvent être onéreux et nécessiter des modifica-
tions dans le schéma du réseau de l’entité.
Services proposés par les opérateurs de transit

et les hébergeurs
Si le déni de service sature le lien réseau et non pas des services applicatifs, l’intervention de l’opérateur
de transit est parfois nécessaire. Celui-ci peut offrir un service de filtrage de trafic. Dans le cas où ce service
est opéré par le client, ce dernier doit s’assurer de maîtriser la configuration des différentes contre-me-
sures offertes par la plate-forme.
Les hébergeurs offrent parfois une protection contre les attaques de ce type. Les différentes options
proposées peuvent constituer une solution pour les structures faisant appel à une société externe pour
l’hébergement de leurs services, par exemple :
• le recours à un Content Delivery Network (CDN), qui permettra de répartir les ressources sur un grand
nombre de serveurs et améliorera la résistance aux attaques en déni de service distribué ;
• le recours à des services commerciaux de protection dédiés contre les attaques par déni de service
distribué.
Il est recommandé de se rapprocher des différents prestataires en trafic et en hébergement afin

de connaître les services éventuellement proposés, ainsi que les contacts à activer en cas d’attaque.
Réaction
Identifier le trafic illégitime
Avant de mettre en œuvre une contre-mesure, il est important d’identifier :
• l’élément défaillant : liens réseau, surcharge d’un serveur ou d’une application…
• Le ou les protocole(s) utilisé(s). En effet le protocole de transport UDP ne permet pas d’identifier les
sources d’une attaque (possibilité d’usurpation de l’adresse IP source).
• Les sources de l’attaque : nombre de sources, opérateur de provenance…
• Un ou plusieurs discriminants permettant de distinguer le trafic légitime du trafic généré par l’attaque,
comme des motifs récurrents dans le contenu des paquets, des valeurs remarquables dans les
en-têtes http…
Contre-mesures
Une fois les caractéristiques de l’attaque identifiées, plusieurs actions peuvent être décidées. Par exemple,
si la bande passante des liens réseau fournis par les opérateurs est saturée, ceux-ci doivent être contactés
afin de filtrer le trafic. Par ailleurs, l’entité peut mettre en œuvre le service de protection éventuel dont
elle peut bénéficier si celui-ci n’est pas actif.
145
En outre, un certain nombre de dispositions peuvent être prises au niveau de l’entité ciblée. Parmi celles-ci,
on peut notamment citer :
• le blocage des adresses IP sources identifiées comme étant à l’origine de l’attaque ;
• le blocage de certaines classes de trafic impliquées dans l’attaque, et non nécessaires au bon
fonctionnement de l’entité (filtrage sur le port destination, ou de protocoles par exemple) ;
• la limitation du nombre de connexions concurrentes, ou sur une période de temps limitée, par adresse
IP source au niveau d’un pare-feu ;
• la réduction des délais de garde des connexions TCP (par exemple sur des serveurs Web ou SMTP) ;
• le blocage du trafic à destination des cibles, en fonction de l’impact de l’attaque sur le reste de
l’infrastructure réseau ;
• le changement d’un site Web dynamique en site statique si l’élément défaillant est une application Web.
Enfin, en vue d’effectuer un dépôt de plainte, il est nécessaire de collecter l’ensemble des éléments
techniques décrivant l’attaque (journaux, captures réseaux), et de garder une trace des échanges
effectués avec des tiers pendant le traitement de l’incident.
Note d’information sur les dénis de service :

www.cert.ssi.gouv.fr
146
PARTIE 4 | 2. RESSOURCES UTILES
2. RESSOURCES UTILES
2.1 GUIDE DES BONNES PRATIQUES
Guide ANSSI
Guides ANSSI des bonnes pratiques
http://www.ssi.gouv.fr/administration/bonnes-pratiques
Guide ANSSI d’hygiène informatique

http://www.ssi.gouv.fr/guide/guide-dhygiene-informatique
ANSSI : Référentiel pédagogique de formation à la

cybersécurité des TPE et des PME
Ce référentiel est destiné aux organismes de formation souhaitant développer des compétences en
sécurité des systèmes d’information au sein des TPE et PME pour éventuellement aboutir à des “référents
cybersécurité”.
http://www.ssi.gouv.fr/uploads/2015/04/D2IE_formation_cybersecurite_TPE_PME_mars_2015.pdf
Autres guides
Guide Symantec de survie contre le cybercrime
https://www.symantec-wss.com/fr/cybercrime4/social
Prévenir les escroqueries aux ordres de virements

internationaux dans les entreprises
http://www.dailymotion.com/video/x21u6q1_prevenir-les-escroqueries-aux-ordres-de-virements-
internationaux-dans-les-entreprises_Webcam
La Fédération Bancaire Française (FBF), avec la Direction centrale de la Police Judiciaire, souhaite attirer
l’attention des entreprises sur la vigilance nécessaire dans le cadre de leurs opérations de virements,
notamment à l’international. Une courte vidéo (4 mn.) reprend les interviews de deux spécialistes : Jean-
Marc SOUVIRA, Chef de l’Office central de la répression de la grande délinquance financière à la Police
Judiciaire, et Willy DUBOST, Directeur systèmes et moyens de paiement FBF.
La prévention des fraudes bancaires par ingénierie

sociale : document de la Société Générale
https://static.societegenerale.fr/ent/ENT/Repertoire_par_type_de_contenus/Types_de_conte-
nus/01-Pages/00-perennes/espace_securite/commun_pdf/ingenierie-sociale.pdf
147
2.2 ÉTUDES / DONNÉES DE RÉFÉRENCE

Verizon : Rapport d’enquête 2015 sur les compromis-
sions de données
http://www.verizonenterprise.com/fr/DBIR/2015
World’s Biggest Data Breaches

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks
Imperva Web Application Attack Report (WAAR) 2015

https://www.imperva.com/docs/HII_Web_Application_Attack_Report_Ed6.pdf
Cisco 2016 Annual report

http://www.cisco.com/c/en/us/products/security/annual_security_report.html
Menaces Informatiques et Pratiques de Sécurité

en France - Édition 2016
https://clusif.fr/publications
2.3 SOLUTIONS & PRESTATAIRES

http://www.phishing.fr
http://www.denyall.com/fr
https://sucuri.net
https://yeswehack.com/fr/index.html
https://sysdream.com
https://firebounty.com
https://bountyfactory.io/fr/index.html | @korben_rss
2.4 ORGANISMES PUBLICS

CNIL
https://www.cnil.fr
LINC (Laboratoire d’Innovation Numérique de la CNIL)
http://linc.cnil.fr
ANSSI
http://www.ssi.gouv.fr
AFNOR
http://www.boutique-certification.afnor.org/certification/certification-iso-iec-27001
148
2.5 ASSOCIATIONS
https://phishing-initiative.fr/contrib
http://cybercercle.com
http://www.cesin.fr
https://www.owasp.org/index.php/Main_Page
https://www.clusif.fr
http://www.afcdp.net
2.6 AUTRES
http ://www.zataz.com/ | @zataz
http ://secure-it.egedian.com
http://www.zataz.com/protocole-alerte-zataz/#axzz47fzqudcK
2.7 FORMATIONS
Cet annuaire présente les formations en Sécurité de l’Information proposées par les organismes de
formation qui adhérent au CLUSIF. Ces formations sont présentées au public à titre de service gratuit dans
le but d’offrir une source d’information unique aux entreprises cherchant des formations en Sécurité
de l’Information.
https://clusif.fr/les-formations
fédération e-commerce et vente à distance

60 rue La Boétie - 75008 Paris
contact@fevad.com

FÉVAD - Cybersécurité Et E-Commerce - Maîtriser Les Risques, Sensibiliser Sur Les Enjeux. Livre blanc-FÉVAD (2016) PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

FÉVAD - Cybersécurité Et E-Commerce - Maîtriser Les Risques, Sensibiliser Sur Les Enjeux. Livre blanc-FÉVAD (2016) PDF

Transféré par

Droits d'auteur :

Formats disponibles

livre blanc octobre 2016

fédération e-commerce et vente à distance

Le marché du e-commerce devrait franchir un nouveau cap cette année avec

Je vous souhaite une très bonne lecture.

LES CYBER-ATTAQUES : UN PHÉNOMÈNE

MAINTENIR ET DÉVELOPPER LA CONFIANCE

LES ATTAQUES NE VIENNENT PAS QUE DE L’EXTÉRIEUR,

LA CYBERSÉCURITÉ, UNE QUESTION DE CULTURE

… QUI DOIT SE DÉCLINER OPÉRATIONNELLEMENT

LA SÉCURITÉ EST L’AFFAIRE DE TOUS

LE RISQUE ZÉRO N’EXISTE PAS. UN PRÉALABLE :

LE RSSI, ACTEUR INCONTOURNABLE À LA CROISÉE

CONCILIER “BUSINESS” ET CYBERSÉCURITÉ :

COMBINER SOLUTIONS TECHNIQUES

LES ENJEUX JURIDIQUES :

“WHAT’S NEXT” EN MATIÈRE DE CYBERSÉCURITÉ ?

Mathieu SENÉ – Bertrand PINEAU

Mathieu Sené (Praxton Consulting)

AVEC LE SOUTIEN DE :

Nous contacter : 01 58 56 60 80

Akamai offre des performances éprouvées :

Akamai assure la diffusion de contenus pour plus de 30 millions de sites :

Contact : Adlane Belahouel 01 56 69 52 87

BOUNTYFACTORY PAR YESWEHACK

Découvrez Bounty Factory en vidéo sur notre site :

https://bountyfactory.io/ | https://yeswehack.com/ | https://firebounty.com

CONTRIBUTEURS AU LIVRE BLANC :

2. Perception des interviewés sur l’évolution des cyber menaces ����������������������������������������������������� 23

3.  rincipes causes de vulnérabilité aux cyber

4.  enèse et développement d’une politique de gestion

5.  a gestion du risque cyber : un enjeu organisationnel

7.  e what’s next en matière de cybersécurité pour

2. Principales étapes de la démarche de mise sous contrôle du risque cyber ��������������������������������93

3. Panorama des solutions techniques et organisationnelles ������������������������������������������������������������ 101

4.  oûts économiques de la mise en œuvre d’une politique

1. PRÉSENTATION DES INTERVIEWÉS

Arnaud TREPS est directeur adjoint de la sécurité informatique du groupe

Matthieu LE LOUER est directeur des systèmes de paiement client.

Emmanuel Cordente est Responsable de Sécurité des Systèmes d’Information (RSSI).

Corinne Noël occupe la fonction de RSSI de la Fnac.

Alexandre Cognard est l’un des cofondateurs de Vestiaire Collective.

Franck Boniface est vice président exécutif de Vestiaire Collective.

Marc Le Guennec est le DSI du groupe RAJA.

Le droit au service de la confiance numérique.

L’esprit du cabinet se caractérise par : ouverture, écoute, agilité, pluridisciplinarité, rigueur et

Éric A. CAPRIOLI, avocat à la Cour de Paris, Docteur en droit

2. PERCEPTION DES INTERVIEWÉS SUR L’ÉVOLUTION

La recrudescence des attaques ciblées

L’attaque par déni de service

LE POINT DE VUE DU JURISTE

“LE TRAITEMENT MÉDIATIQUE DES VOLS DE DONNÉES

Alain Bouillé est le directeur de la sécurité des systèmes d’Infor-

Jusqu’en 2001, Alain Bouillé était RSSI du Groupe La Poste où il

Alain BOUILLÉ Il a auparavant été en charge du programme sécurité du système

Il préside depuis juillet 2012 le Club des Experts de la Sécurité de

Le CESIN est un lieu d’échanges de connaissances et d’expériences qui permet la coopération

Les logins et les mots de passe plus précieux

Au cours d’une journée standard, accorhotels.com dénombre 2,5 millions de tentatives d’authentification,

Illustration de l’utilisation frauduleuse d’une adresse e-mail avec des données

La protection des logins et des mots de passe :

2.2 QUI SONT LES HACKERS ?

LE POINT DE VUE DU JURISTE

LE POINT DE VUE DU JURISTE

2. Perception des interviewés sur l’évolution des cyber menaces �� 23

3. rincipes causes de vulnérabilité aux cyber

4. enèse et développement d’une politique de gestion

5. a gestion du risque cyber : un enjeu organisationnel

7. e what’s next en matière de cybersécurité pour

2. Principales étapes de la démarche de mise sous contrôle du risque cyber ��93

3. Panorama des solutions techniques et organisationnelles �� 101

4. oûts économiques de la mise en œuvre d’une politique

2. PERCEPTION DES INTERVIEWÉS SUR L’ÉVOLUTION

3. PRINCIPES CAUSES DE VULNÉRABILITÉ AUX CYBER

3.1 POINT COMMUN :

3.2 LA MAINTENANCE DES SITES :

3.3 LA CYBERSÉCURITÉ :

3.4 LA NÉCESSITÉ DE FAIRE ÉVOLUER EN PERMANENCE LA POLITIQUE

3.5 UNE SUCCESSION RAPIDE DE RÉVOLUTIONS À INTÉGRER

4.2 FAIRE FACE DANS L’URGENCE AUX PÉPINS PETITS OU GROS :

4.3 ÉVOLUER VERS UNE POLITIQUE DE PILOTAGE DU RISQUE CYBER

4.5 LA CARTOGRAPHIE DES RISQUES :

4.6 GÉRER PLUTÔT QUE

4.7 CONFORMITÉ ET SÉCURITÉ, DEUX NOTIONS À NE PAS CONFONDRE !

5. LA GESTION DU RISQUE CYBER :

5.3 L’IMPORTANCE DE LA SÉCURITÉ FONCTIONNELLE

5.4 QUEL PARTAGE DES RESPONSABILITÉS ENTRE LES PARTIES