Vous êtes sur la page 1sur 82

est offert

in e vou s
Ce magaz S EC UR ITY
par N XO

P OLITIQUE N ATIONALE
Interview de Vincent Strubel,
sous-directeur Expertise de l’ANSSI
N°48 - Prix : 24 € TTC - Trimestriel : juillet, août, septembre 2019
ÉDITORIAL
DE MARC JACOB

Rétablir la confiance REVUE TRIMESTRIELLE


N°48 – juillet, août, septembre 2019
www.globalsecuritymag.fr et
www.globalsecuritymag.com

ou établir la
ISSN : 1959 - 7061
Dépôt légal : à parution
Editée par SIMP
RCS Nanterre 339 849 648
17, avenue Marcelin Berthelot

défiance en 92320 Châtillon


Tél. : +33 1 40 92 05 55
e-mail : marc.jacob@globalsecuritymag.com

Internet ? REDACTION
Directeur de la Publication :
Marc Brami
Rédacteur en chef :
Marc Jacob
Rédactrice :
Emmanuelle Lamandé
Mise en page :
La Privacy by design est censée redonner libro », cette maxime est remplacée de nos jours S.I.M. Publicité
confiance aux utilisateurs en intégrant la sécurité par « Doctus cum Internet ». De ce fait, les Ont collaboré à ce numéro :
Olivier Iteanu, Stéphanie Ledoux,
et la protection des données dès la conception utilisateurs sont capables de gober tout ce qu’ils Hervé Schauer, Alexandre Triffault,
des produits et services. D’ailleurs, les législateurs voient sur leurs écrans. D’ailleurs, ils cliquent à Sylvain Hajri, Michel Gérard,
Anne-Laure Grémaud et
européens, dans l’objectif de rétablir cette tout va sur n’importe quel lien, image, PDF, fichier Matthieu Gallego
fameuse confiance en Internet, en ont fait une Word… qu’ils reçoivent sur leurs devices pensant Traduction : Ian Nathan
obligation dans le RGPD (article 25). Ainsi, tous que, comme ils ont fermé les portes et fenêtres Assistante : Sylvie Levy
Responsable technique :
les acteurs de la filière ont sans cesse le mot de leurs maisons ou de leurs entreprises, ils sont Raquel Ouakil
confiance dans la bouche en le rabâchant dans protégés de tous les malfaisants… Ils oublient Photos :
Norbert Martiano, Marc Jacob
toutes les conférences de la planète. Pour eux, trop souvent que leurs écrans d’ordinateurs, Comité scientifique :
tous les maux d’Internet viendraient d’un manque Smartphones… sont des lucarnes ouvertes sur le Pierre Bagot, Francis Bruckmann
de confiance des utilisateurs dans cet outil qui a monde qui donnent un accès quasi illimité à leur Eric Doyen, Catherine Gabay,
François Guillot, Olivier Iteanu,
envahi notre société. intimité ! Dominique Jouniot, Patrick
Langrand, Yves Maquet, Thierry
Ramard, Hervé Schauer, Michel Van
Toutefois, cette fameuse « confiance perdue » des Aujourd’hui, ce n’est peut-être pas la confiance Den Berghe, Bruno Kerouanton,
utilisateurs dans l’Internet n’est-elle pas plutôt un qu’il faut rétablir. Il serait plutôt nécessaire Loïc Guézo et Valentin Jangwa
In Memoriam, notre regretté
fantasme de toute la filière ? En effet, lorsque l’on d’instaurer une saine défiance qui permettrait aux Zbigniew Kostur
se penche sur le comportement des internautes, internautes de se méfier de tout ce qu’ils voient
on s’aperçoit que c’est plutôt le contraire. Les sur la Toile et surtout de leur apprendre à se poser
PUBLICITE
utilisateurs ont une confiance quasi aveugle en les bonnes questions ! SIM Publicité
Internet. Si dans le passé on disait « Doctus cum Tél. : +33 1 40 92 05 55
e-mail : ipsimp@free.fr
LISTE DES ANNONCEURS Images de couverture :
©jijomathaidesigners
6cure 41 ITrust 13
ABB 74 Jaguar Network 16
Advens 67 Olfeo 69 IMPRESSION
Allentis 12, 39 Oveliane 19 Imprimerie Moutot
Bachmann 71 Panda Security 4ème couverture
Barracuda - Infinigate 28 Qualys 56
33-37, rue Hyppolyte Mulin
Besecure 3ème de couverture Phosforea 17 92120 Montrouge
Carabara Communications 53 PrimX 2ème couverture Tél. 01 46 57 79 79
Cisotrust 31 Rapid 7 - Besecure 42 Contact : Sébastien Bellut
Cloud Expo Europe 6 Sekoia 29 e-mail : sebastien@imprimeriemoutot.fr
Club Décision 2 SentinelOne 3 Imprimé avec des encres végétales
Cyberwatch 45 Stéphya 75
France Cybersecurity 36 Sophos 22 sur papier éco-responsable certifié
Guardicore 44 StorageCraft 26 PEFC par un imprimeur adhérent à
GS Days 40 Systancia 54 Imprim’vert selon le procédé CTP
Milipol 8 The Greenbow 62 sans chimie.
H2S 34, 52, 66 Usercube 4
I-Tracing 43 Tixeo 27
IDNOMIC 48
ABONNEMENT
Toute reproduction intégrale ou partielle, faite sans le consentement de l’auteur ou des ayants droit ou ayant cause est Prix au numéro :
illicite. Il en est de même pour la traduction, l'adaptation ou la transformation, l'arrangement ou la reproduction par un 24 € TTC (TVA 20%)
art ou un procédé quelconque. (article L122-4 du code de la propriété intellectuelle).
Cette publication peut être exploitée dans le cadre de la formation permanente. Toute utilisation à des fins commerciales
Abonnement annuel :
du contenu éditorial fera l’objet d’une demande préalable auprès du Directeur de la publication. 60 € TTC (TVA 20%)

1
EDITORIAL
BY MARC JACOB

Restore trust
in the Internet or
foster a healthy
distrust?
Privacy by design is meant to reinforce user trust by integrating
security and data protection, starting with the design of
products and services. European legislators, in order to restore
this critical trust in the Internet, have also made it an
obligation under the GDPR (Article 25). It follows that all the
various players in the industry are singing to the tune of
confidence at conferences and public events worldwide. So we
hear that all the ills of the Internet stem from a lack of user
trust in this ubiquitous instrument.

Could it be, though, that this common trope of user "loss of


confidence" in the Internet is just an industry-wide fantasy?
If we actually take a look at the behaviour of Internet users
we can see that the opposite is closer to the truth. Users
display an almost blind trust in the Internet. While in the past
we exclaimed "Doctus cum libro", this maxim has now been
replaced by "Doctus cum Internet". It appears that users are
ready to soak up anything they see on their screens. They
eagerly click on any link, image, PDF, Word file ... they receive
on their devices blithely believing that, as they have closed
the doors and windows of their homes or businesses, they are
protected from all evil doers ... forgetting too often that their
computer screens, Smartphones ... are skylights open to the
world giving an almost unlimited access to their intimacy!

It may not be that, at this time, it is trust that needs to be


restored. It could be necessary instead to foster a healthy
distrust that would train Internet users to be wary of
everything they see on the Web and above all teach them to
ask the right questions!

3
RETROUVEZ USERCUBE AUX ASSISES DE LA SÉCURITÉ DU 9 AU 11 OCTOBRE 2019

SÉCURISEZ VOS
ACCÈS INFORMATIQUES
DANS LE CLOUD
CERTIFIÉ ISO 27001
USERCUBE, éditeur de logiciel
TRANSPARENCES DES en gestion des identités et des
COÛTS accès informatiques opère la
plupart de ses clients en SaaS.
RAPIDITÉ DE MISE EN
PLACE DES PROJETS
THE LOGICAL & PHYSICAL SECURITY MAGAZINE

SOMMAIRE
01 Édito : Rétablir la confiance ou établir la défiance en Internet ?
03 Editorial : Restore trust in the Internet or foster a healthy distrust?

THÉMA
09 Agenda
10 POLITIQUE NATIONALE
• La sécurité doit être intégrée tout au long du cycle de vie
10 POLITIQUE NATIONALE

20
d’une solution numérique
Interview de Vincent Strubel, sous-directeur Expertise de l’ANSSI

14 RGPD
• Privacy by design : le plus, qui peut faire toute la différence
SÉCURITÉ & PRIVACY Interview de Gwendal Le Grand, Secrétaire général adjoint de la CNIL

BY DESIGN 18 CHRONIQUE JURIDIQUE


• Le gendarme en balade dans les fichiers
Par Olivier Iteanu, Avocat, Chargé d’enseignement
à l’Université de Paris I Sorbonne
14 RGPD

20 THÉMA - SÉCURITÉ & PRIVACY BY DESIGN


• DPO : le chef d’orchestre de la Privacy by design
Interview de Thiebaut Meyer, Fabrice Idier, Bruno Rasle et
Patrick Blum, membres de l’AFCDP
• Sécurité & Privacy by design : la démarche la plus simple
est souvent la meilleure
Par Marc Jacob et Emmanuelle Lamandé
• RGPD : un véritable levier pour la protection des données personnelles
Interview de Mylène Jarossay, Présidente du CESIN
32 MALWARES BUSTERS
20 THÉMA

• Quand les cybercriminels remontent à la source


Par Marc Jacob et Emmanuelle Lamandé
46 RISK MANAGEMENT
• Exercices de gestion de crise : une étape incontournable
pour gagner de précieuses minutes le jour J !
Par Stéphanie Ledoux, Présidente d’Alcyconie
• 5G : anticipez les risques pour éviter le pire !

32
Interview de Luména Duluc, déléguée générale du CLUSIF,
et des experts du CLUSIF
MALWARES BUSTERS
58 NORME
• L’approche par les risques en sécurité des systèmes
d’information : comment sélectionner la bonne méthode ?
Par Hervé Schauer, fondateur de HS2
60 GS DAYS 2019
• Retour d’expérience : test d’intrusion physique au siège social
d’une multinationale

60
Par Alexandre Triffault, Président d’AT Security SAS,
Formateur intrusion.eu et Chercheur Associé à l’Ecole Esiea
• S’attaquer à l’humain pour compromettre le SI GS DAYS 2019
Par Sylvain Hajri, Consultant sécurité chez digital.security

68 SENSIBILISATION
• Le grand quizz de sensibilisation - Automne 2019
Par Michel Gérard, PDG de Conscio Technologies

70 DATA CENTER
• Data Center Hyperscale, Data Center de colocation et
Edge Data Center au service de la digitalisation de l’économie
Par Anne-Laure Grémaud, directrice marketing et
associée de JERLAURE
• Edge Computing, HPC : comment les Data Centers se réinventent
pour révolutionner notre quotidien ?
Par Matthieu Gallego, Associate Director Data Center Hi-Tech
70 DATA CENTER

d'informations
and Manufacturing, France, Turner & Townsend Retrouvez notre fil
stockage sur :
sur la sécurité et le mag.fr
www.globalsecurity
mag.com
www.globalsecurity 5
THE LOGICAL & PHYSICAL SECURITY MAGAZINE

CONTENTS

THEMA
01 Édito : Rétablir la confiance ou établir la défiance en Internet ?
03 Editorial : Restore trust in the Internet or foster a healthy distrust?
09 Diary
10 NATIONAL POLICY

20
SECURITY & PRIVACY
10 NATIONAL POLICY
• Security must be integrated throughout the life cycle of a digital solution
Interview with Vincent Strubel, Deputy Director of Expertise at ANSSI

14 GDPR
• Privacy by Design: an opportunity
BY DESIGN Interview with Gwendal Le Grand, Deputy Secretary General of the CNIL

18 LEGAL BRIEFING
• The Troops on Vacation, unlawfully accessing files
14 GDPR

By Olivier Iteanu, Avocat, Lecturer at the University


of Paris I Sorbonne

20 THEMA - SECURITY & PRIVACY BY DESIGN


• DPO: the leader of Privacy by Design
Interview with Thiebaut Meyer, Fabrice Idier, Bruno Rasle and
Patrick Blum, members of the AFCDP

20
• Security & Privacy by Design: the simplest approach is often the best
By Marc Jacob and Emmanuelle Lamandé
• GDPR: strengthening personal data protection THEMA
Interview with Mylène Jarossay, President of CESIN

32 MALWARES BUSTERS
• Cybercriminals ready to head upstream to the source
By Marc Jacob and Emmanuelle Lamandé

46 RISK MANAGEMENT
• Crisis Management Exercises: vital to gain precious minutes
on the day of reckoning!

32
By Stéphanie Ledoux, President of Alcyconie
• 5G: take measures to prevent risks!
Interview with Lumena Duluc, Delegate General of CLUSIF MALWARES BUSTERS
and CLUSIF experts

58 STANDARDS
• Achieving a risk-based approach to information systems security:
how to choose the proper process?
By Hervé Schauer, founder of HS2

60 GS DAYS 2019
• Review: physical intrusion test at the headquarters of a multinational
By Alexandre Triffault, President of AT Security SAS, Trainer
intrusion.eu and Associate Researcher at Esiea School
• Exploiting the human weaknesses of IS
60 GS DAYS 2019

By Sylvain Hajri, Security Consultant at digital.security

68 RAISING SECURITY AWARENESS


• Security awareness quizz
By Michel Gérard, PDG of Conscio Technologies

70 DATA CENTER
• The digital economy backed by Data Center Hyperscale,
Colocation and Edge
By Anne-Laure Grémaud, Marketing Director and partner, JERLAURE
• Edge Computing, HPC: how are Data Centers keeping apace
with the revolution of everyday life?
70 DATA CENTER

h the latest
By Matthieu Gallego, Associate Director Data Center Hi-Tech and Keep up-to-date wit
security and storage at:
Manufacturing, France, Turner & Townsend news on ag.fr
www.glob alsec uritym
ag.com
www.globalsecuritym 7
© Renata Sedmakova
CONTINU
IS À JOUR EN
AGENDA M YMAG.FR

AGENDA
UR IT
LOBALSEC
SUR WWW.G

NotePad

4OCTOBRE 17 - 20 octobre - Istanbul (Turquie)


ISAF
12 - 14 novembre - Stuttgart (Allemagne)
tcworld Conference
www.isaffuari.com/en http://conferences.tekom.de/home
1er - 31 octobre - Europe
European Cyber Security Month 21 - 23 octobre - Muscat (Sultana d’Oman) 13 - 14 novembre - Francfort (Allemagne)
https://cybersecuritymonth.eu OFSEC Cloud Expo Europe & Data Centre World
http://muscat-expo.com/ofsec www.cloudexpoeurope.de
1er - 2 octobre - Londres (UK)
Cyber Security for Critical Assets Europe 23 - 25 octobre - Chiba (Japon) 13 - 15 novembre - Monaco
www.cs4ca.com/europe Japan IT Week Autumn CyberSecurity Connect UK
www.japan-it.jp www.cybersecurityconnectuk.com
1er - 3 octobre - Porte de Versailles - Paris
Salons Solutions 24 octobre - Eghezée/Namur (Belgique) 18 - 19 novembre - Bruxelles (Belgique)
www.salons-solutions.com Security Forum EU Cybersecurity Act
https://securityforum.pro https://eucyberact.org
1er - 3 octobre - Porte de Versailles - Paris
Mobility for Business 24 octobre - Genval (Belgique) 19 novembre - Paris
www.mobility-for-business.com DPO Forum Afterwork Brainwave
https://securityforum.pro www.brainwave.fr
1er - 3 octobre - Porte de Versailles - Paris
APS 24 octobre - Lyon 19 novembre - Paris
www.salon-aps.com RCyber Auvergne Rhône Alpes Security Tuesday - ISSA France
www.cybercercle.com www.securitytuesday.com
1er - 3 octobre - Singapour
Safety & Security Asia 28 - 30 octobre - Panama City (Panama) 19 novembre - Paris
www.safetysecurityasia.com.sg ISS World Latin America CyberCercle
www.issworldtraining.com/ISS_LA www.cybercercle.com
2 - 4 octobre - Londres (UK)
Virus Bulletin 28 - 31 octobre - São Paulo (Brésil) 19 - 21 novembre - Rennes
https://www.virusbulletin.com/conference/vb2019 CARDS Payment & Identification European Cyber Week
http://en.cards-expo.com.br www.european-cyber-week.eu
3 octobre - Bruxelles (Belgique)
AI Convention Europe 28 - 30 octobre - Las Vegas (USA) 19 - 21 novembre - Dakar (Sénégal)
https://ai-convention.com Commercial UAV Expo America Préventica
www.expouav.com www.preventica.com
3 - 4 octobre - Hanoi (Vietnam)
Homeland Security Expo 29 - 31 octobre - Sydney (Australie) 19 - 22 novembre - Paris Nord Villepinte
http://homesecexpo.com CeBIT Australia Milipol
www.cebit.com.au www.milipol.com
6 - 9 octobre - Dubaï (EAU)
GITEX Technology Week 30 - 31 octobre - Jaarbeurs Utrecht (Pays-Bas) 20 novembre - Paris
www.gitex.com Infosecurity Netherlands Etats Généraux de la Cybersécurité des Territoires
www.infosecurity.nl www.cybercercle.com
8 - 9 octobre - Singapour
Identity Week 20 - 21 novembre - Deauville
www.terrapinn.com/exhibition/identity-week-asia 4NOVEMBRE DISRUPTIV’SUMMIT
www.disrupt-days.fr
8 - 10 octobre - Marseille 4 - 5 novembre - Prague (République tchèque)
Préventica SCADA SECURITY conference 20 - 21 novembre - Deauville
www.preventica.com http://future-forces-forum.org/events/default/32_scada- HACKTIV’SUMMIT
konference?lang=en www.hacktiv-summit.fr/accueil
8 - 10 octobre - Nuremberg (Allemagne)
it-sa 5 novembre - Paris 20 - 22 novembre - Moscou (Russie)
www.it-sa.de Forum Cybersécurité All-over-IP
www.forumcybersecurite.fr www.all-over-ip.ru
9 - 10 octobre - Singapour
Singapore Show 5 - 6 novembre - New-York (USA) 26 - 27 novembre - Skhirat (Maroc)
www.cloudsecurityexpoasia.com PrivSec MED IT One to One
www.datacentreworldasia.com https://newyork.privsec.info www.med-it.com
8 - 12 octobre - Monaco 6 - 8 novembre - Grenoble 26 - 28 novembre - Cannes
Les Assises de la Sécurité Cyber Security Awareness Week TRUSTECH
www.lesassisesdelasecurite.com https://csaw.engineering.nyu.edu www.trustech-event.com
10 - 11 octobre - Washington (USA) 6 - 8 novembre - Jakarta (Indonésie) 27 - 28 novembre - Paris
Ignite Cyber Security Indonesia Cloud Expo Europe Paris & Data Centre World Paris
https://ignite.paloaltonetworks.com/federal/federal_home.html www.cybersecurityindo.com www.cloudexpoeurope.fr - www.datacentreworld.fr
14 - 17 octobre - Montréal (Canada) 7 novembre - Paris 28 novembre - Paris
MAAWG RPCyber Diner du Cercle de la sécurité
www.m3aawg.org www.cybercercle.com www.lecercle.biz
15 octobre - Paris 7 novembre - Paris
Dîner de l’ISSA France
www.securitytuesday.com
L’invité du CLUSIF 4DÉCEMBRE
www.clusif.fr
3 - 4 décembre - Reims
17 octobre - Paris 7 - 8 novembre - Yverdon-les-bains Congrès du CESIN
CyberCercle Black Alps www.cesin.fr
www.cybercercle.com https://www.blackalps.ch
3 - 4 décembre - Londres (UK)
17 octobre - Paris 11 - 12 novembre - Genève (Suisse) International Security Expo
Conférence du CLUSIF CBRN Conference www.internationalsecurityexpo.com
www.clusif.fr www.mastercbrn.com/news/1099/giot2017-conference-
in-geneve 10 - 11 décembre - Paris
17 octobre - Londres (UK) Open Source Summit
e-Crime & cybersecurity Mid-Year 12 - 13 novembre - Istanbul (Turquie) www.opensourcesummit.paris
www.e-crimecongress.org/event IFINSEC
www.ifinsec.com

9
POLITIQUE NATIONALE

LA SÉCURITÉ DOIT ÊTRE INTÉGRÉE


TOUT AU LONG DU CYCLE DE VIE
D’UNE SOLUTION NUMÉRIQUE
4Interview de Vincent Strubel, sous-directeur Expertise de l’Agence nationale
de la sécurité des systèmes d'information (ANSSI)
Par Marc Jacob et Emmanuelle Lamandé

Penser la sécurité « by design » est aujourd'hui devenu un principe


incontournable prôné dans l’écosystème de la cybersécurité.
Toutefois, en la matière, aucune recette universelle n’existe. Pour
Vincent Strubel, le point le plus important reste d'intégrer les
préoccupations de sécurité tout au long du cycle de vie d'une
solution numérique, à la fois lors de sa conception, mais aussi
de sa mise en œuvre.

Global Security Mag : Quels sont les principes fondateurs démarche dans le cadre de méthodes de développement agiles. Il est
d’une sécurité pensée by design pour l’ANSSI ? disponible sur le site de l’ANSSI [1].

Vincent Strubel : Il n'y a malheureusement pas de recette universelle L'autre facteur essentiel de la sécurité by design est selon moi
de la sécurité by design, mais le point le plus important me semble l'humilité. Personne ne peut aujourd'hui maîtriser l'ensemble des
être d'intégrer les préoccupations de sécurité tout au long du cycle de savoir-faire nécessaires à sécuriser une solution complexe. L'époque
vie d'une solution numérique. On l'a souvent dit, et on continue des rock stars, où un individu particulièrement brillant pouvait
malheureusement à le constater : vouloir sécuriser a posteriori une sécuriser une solution de bout en bout, est révolue, si tant est qu’elle
solution qui n'a pas été conçue de manière sécurisée est voué à n’ait jamais existé… Il ne faut donc pas hésiter à se faire aider. Il est
l'échec. Mais intégrer la sécurité au départ ne suffit pas non plus si recommandé d’utiliser des guides décrivant les bonnes pratiques
on la néglige ensuite. Schématiquement, on peut distinguer quatre applicables à un protocole, une solution, etc. - l'ANSSI en publie une
étapes principales dans la sécurisation d'une solution au fil de son collection assez étendue sur son site Web [2]. Il est également indiqué
cycle de vie : de faire appel à des spécialistes – par exemple des prestataires d'audit
• Une conception sécurisée, sur la base d'une analyse de risques qualifiés ou des centres d'évaluation agréés par l'ANSSI.
définissant a priori les objectifs de sécurité, et de bonnes pratiques
de développement ; L’INTELLIGENCE COLLECTIVE AU
• Une vérification de la sécurité, idéalement menée par un tiers – par
le biais d'un audit ou d'une certification par exemple ; SERVICE DE LA SÉCURITÉ
• La supervision, tout au long de la mise en œuvre de la solution, pour
GS Mag : De quelle manière appliquez-vous ces principes au
corriger ses vulnérabilités, identifier les tentatives d'attaque, etc. ;
sein de l’agence dans le développement de vos propres
• La réaction aux incidents, car tôt ou tard tout le monde est confronté
solutions et services ?
à un incident de sécurité – l'important est de le traiter efficacement
et, le cas échéant, d'en tirer des enseignements à intégrer dans la
Vincent Strubel : Nous nous efforçons naturellement d'appliquer
conception d'une prochaine version.
ces principes en interne, notamment en mobilisant l'intelligence
collective. Aucun développement interne n'est l'œuvre d'un seul agent,
Tout cela peut donner l'impression d'une démarche pesante, adaptée
et nous avons au contraire largement recours à la revue par les pairs,
uniquement à des cycles de développement longs et très structurés,
informelle au cours d'un développement, ou formalisée avant sa
mais dans la pratique cela s'intègre tout aussi bien dans des cycles
publication. C'est d'autant plus facile et productif que l'ANSSI dispose
de développement rapides. L'ANSSI a d'ailleurs récemment publié le
d'une rare concentration d'expertises pluridisciplinaires. Il est très
guide « Agilité & sécurité numériques », qui décline ce type de

10
POLITIQUE NATIONALE

simple de mobiliser un expert en cryptographie, un expert en


protocoles réseaux, un expert en programmation sécurisée, etc. pour
donner un avis sur un projet, puisque tous ces experts travaillent à NATIONAL POLICY
quelques mètres du développeur.
Security must be integ
rated throughout the
Par ailleurs, la publication de plus en plus systématique de nos travaux life cycle of a digital sol
ution
en open source, aussi bien de nos outils élémentaires que de nos plus
Interview with Vincent Strubel,
gros projets (CLIPOS, WooKey ou OpenCTI en sont des exemples Deputy Director of Expertise,
récents), s'inscrit dans le prolongement naturel de cette démarche de National Cybersecurity Agency
of France (ANSSI)
revue par les pairs. En plus de favoriser une large réutilisation, la By Marc Jacob and Emmanue
lle Lamandé
publication en open source nous permet de bénéficier de contributions
Prioritizing security "by des
et d'avis extérieurs pour améliorer nos solutions. Et elle traduit une ign" has become a keysto
ne
of cybersecurity ecosystem cult
certaine humilité car, pour publier ainsi son code source, il faut ure. In practice however there
is no single recipe. For Vincen
accepter le fait de ne pas être infaillible et que nos erreurs nous soient t Strubel, the most importa
nt
factor is to integrate securit
certainement pointées par des tiers. y concerns throughout the
life cycle of a digital solution
, both in design and in imp
mentation. le-
CRYPTOGRAPHIE : UN MAILLON
ESSENTIEL…
GS Mag : Quelles techniques fonctionnent le mieux
actuellement pour protéger les données par essence ou lors
de leur utilisation (anonymisation, pseudonymisation,
chiffrement…) ?
GS Mag : Quel état faites-vous du niveau de maturité des
Vincent Strubel : On ne peut pas vraiment opposer ces différentes
entreprises françaises en matière de sécurité by design ?
techniques, qui ont des finalités différentes, mais il faut noter que le
chiffrement, et la cryptographie en général, constituent depuis toujours
Vincent Strubel : Il progresse fort heureusement, avec une prise de
notre expertise la plus fondamentale. On ne peut pas faire grand-chose
conscience généralisée au cours des dernières années dans la mesure
en matière de sécurité sans s'appuyer, tôt ou tard, sur un mécanisme
où il s'agit là d'enjeux existentiels pour bon nombre d'activités
cryptographique, et s'il y a bien un point sur lequel il ne faut pas se
industrielles. Plus personne aujourd'hui ne nie la nécessité de sécuriser
tromper, c'est celui du choix judicieux et de la bonne implémentation
ses solutions, ou son infrastructure numérique, et le fait que cette
de ces mécanismes.
sécurité ait un coût non nul percole également de plus en plus au sein
des organisations.
L'anonymisation ou la pseudonymisation répondent à des cas d'usage
également pertinents, quoique moins souvent rencontrés dans les
Ceci étant, on constate encore trop souvent une intégration
missions de l'ANSSI. Ces techniques présentent cependant des marges
insuffisante ou inégale de la sécurité dans le cycle de vie des solutions.
de sécurité généralement plus faibles qu'un chiffrement « traditionnel »,
J'ai de nombreux exemples en tête d'entreprises engloutissant - en
dont on peut démontrer mathématiquement et quantifier le niveau
vain pour l'essentiel - des sommes astronomiques pour garantir a
de sécurité.
posteriori la sécurité de solutions qui n'ont pas été conçues pour être
sécurisées. Ou, a contrario et même si c'est plus rare, d'entités qui ont
… QUI RÉSERVE ENCORE DE BELLES « mis le paquet » pour sécuriser une solution initialement, mais ont
PROMESSES ensuite négligé le suivi dans la durée, pour finalement connaître un
réveil brutal lorsque l'évolution de l'état de l'art a rendu caduque
GS Mag : Quelles sont celles qui sont, selon vous, porteuses l'analyse de sécurité initiale. Fondamentalement, investir
d’avenir ? raisonnablement dans la sécurité à toutes les étapes du cycle de vie
est la meilleure manière, à la fois de minimiser ces investissements, et
Vincent Strubel : Toutes ces techniques constituent autant de d'en maximiser l'impact.
champs de recherche très porteurs d'avenir. C'est particulièrement vrai
pour la cryptographie, où il ne faudrait surtout pas croire qu'on a fait LA SÉCURITÉ EST UN MARATHON,
le tour du sujet. Beaucoup reste à faire ou à inventer, par exemple en
matière de chiffrement léger, peu gourmand en ressources et adapté
PAS UN SPRINT
au monde embarqué, ou de chiffrement homomorphe, permettant de
GS Mag : De quelles manières l’ANSSI les accompagne-t-elle
travailler sur des données chiffrées sans les déchiffrer, ou encore de
sur ces sujets ? Quels retours d’expériences et conseils
mécanismes cryptographiques résistants à un hypothétique ordinateur
pouvez-vous leur donner en la matière ?
quantique...
Vincent Strubel : Le partage des bonnes pratiques et le dispositif
En tout état de cause, le recours à de telles techniques, aussi solides
de Visa de sécurité de l’ANSSI sont nos deux principaux leviers pour
soient-elles, lors de la conception d'une solution, ne dispense pas de
accompagner les entreprises sur ces sujets. Le premier passe d’abord
superviser la sécurité de la solution une fois celle-ci déployée. Il y a
par la publication de guides sur notre site Web, adaptés à différents
donc aussi énormément à faire dans le domaine des techniques de
publics et traitant autant de sujets techniques que d'approches
supervision, d'analyse de journaux, de détection d'attaque… Et ce
méthodologiques. On peut notamment citer à ce titre la méthode
avec ou sans recours à des approches relevant de l'intelligence
d'analyse de risques EBIOS Risk Manager, récemment publiée par
artificielle.

11
POLITIQUE NATIONALE

l'ANSSI. À ces publications à portée générale s'ajoute un par ailleurs développées et entretenues dans une logique de co-
accompagnement sur mesure, par des experts de l'ANSSI, des projets construction avec ces mêmes partenaires.
les plus critiques des administrations et des opérateurs d'importance
vitale ou de services essentiels. Quant aux conseils, j'en donnerai trois simples et applicables en toute
circonstance :
Les Visas de sécurité délivrés par l'ANSSI peuvent quant à eux aider à • Considérez la sécurité comme un investissement : ce n'est pas
plusieurs titres. Ils offrent en premier lieu, pour un développeur, un gratuit, mais ça rapporte à terme ;
moyen de vérifier la sécurité de sa solution, en l'inscrivant dans l'une • La sécurité est un marathon, pas un sprint : ceux qui arrivent au
des démarches d'évaluation associées à ces Visas, et de valoriser cette bout en bonne condition sont ceux qui ont fourni un effort bien dosé
sécurité. Un intégrateur ou une direction informatique y trouveront tout au long du parcours ;
des catalogues de solutions sur étagères, testées et approuvées par • Faites-vous aider par des experts reconnus : le do it yourself atteint
l'ANSSI, à intégrer dans leurs systèmes d'information. Enfin, le rapidement ses limites.
catalogue déjà bien étoffé des prestataires de service qualifiés par
l'ANSSI permet de trouver des expertises pertinentes à tout stade de GS Mag : Enfin, pouvons-nous entrevoir, selon vous, un
l'élaboration ou de la mise en œuvre d'une solution numérique, par avenir plus respectueux de nos données et sécurisé « by
exemple pour l'audit (PASSI) ou la supervision (PDIS) de la sécurité design » ?
d'une telle solution.
Vincent Strubel : Je me garderai bien de formuler des prévisions en
À terme, j'espère également que nos contributions open source la matière, mais je peux vous garantir en tout cas que les agents de
viendront compléter ce tableau. Elles pourraient offrir à nos partenaires l'ANSSI y travaillent d'arrache-pied, et continueront à le faire. ■ ■ ■
des briques de base hautement sécurisées et largement réutilisables,

[1] https://www.ssi.gouv.fr/uploads/2018/11/guide-securite-numerique-agile-anssi-pa-v1.pdf
[2] https://www.ssi.gouv.fr/

13
©Christian Lagerek
RGPD

Privacy by design : le plus,


qui peut faire toute la différence
4Interview de Gwendal Le Grand, Secrétaire général adjoint de la CNIL
Par Marc Jacob et Emmanuelle Lamandé

La « Privacy by design » est aujourd'hui une obligation


réglementaire pour les entreprises françaises comme
européennes, qui intervient dans l’article 25 du RGPD, relatif
à la protection des données dès la conception, mais aussi par
défaut. Toutefois, pour Gwendal Le Grand, au-delà d’une
obligation légale, la Privacy by design peut aussi être le plus,
qui fait toute la différence.

Global Security Mag : Comment définiriez-vous le concept GS Mag : Concrètement, qu’est-ce que cela implique pour
de Privacy by design ? les organisations ?

Gwendal Le Grand : La Privacy by design consiste avant tout à Gwendal Le Grand : De manière générale, la Privacy by design
déterminer les mesures de sécurité et de respect de la vie privée s’inscrit dans la logique même du RGPD, qui repose sur la
proportionnées aux risques dès la phase de conception d’un projet, responsabilisation des différents acteurs (notion d’accountability).
quel qu’il soit. Chaque entreprise est responsable de ses données, et doit mettre en
place les mesures et les actions adaptées afin d’en assurer la
LA PROTECTION DES DONNÉES protection et de garantir le respect des droits de chacun. Elle doit, par
exemple, tenir un registre de traitement, nommer un DPO (Data Privacy
DOIT ÊTRE PENSÉE « BY DESIGN » Officer) dans certains cas, effectuer des analyses d’impacts relatives à
ET « BY DEFAULT » la protection des données (DPIA), mettre en place les mesures
nécessaires pour garantir le droit à la portabilité des données, assurer
GS Mag : Quelles sont les obligations réglementaires en ce la gestion du consentement…
domaine en France, et au-delà, notamment dans le cadre du Outre l’aspect purement réglementaire, penser la protection des
RGPD ? données par défaut et dès la conception permet aussi aux entreprises
de s’intéresser à la façon dont les traitements sont « designés », ce
Gwendal Le Grand : L’obligation de « Privacy by design » intervient qui peut également s’avérer une véritable opportunité.
dans l’article 25 du règlement, relatif à la protection des données dès
la conception, mais aussi par défaut [1]. Selon cet article 25, le
responsable du traitement doit mettre en œuvre, tant au moment de
RGPD : UNE OPPORTUNITÉ POUR
la détermination des moyens du traitement qu'au moment du MODERNISER SA GOUVERNANCE
traitement lui-même, les mesures techniques et organisationnelles DES DONNÉES
appropriées, telles que par exemple la pseudonymisation, permettant
de protéger les données et les droits des personnes concernées. Le GS Mag : Quel état faites-vous du niveau de maturité des
responsable du traitement doit également mettre en œuvre les entreprises françaises en ce domaine ?
mesures techniques et organisationnelles appropriées pour garantir
que, par défaut, seules les données à caractère personnel qui sont Gwendal Le Grand : La plupart des obligations inhérentes au RGPD
nécessaires au regard de chaque finalité spécifique du traitement sont existaient déjà dans la Loi Informatique et Libertés de 1978, les
traitées. Cela concerne par exemple la quantité de données collectées, entreprises françaises étaient donc pour la plupart déjà sensibilisées
leur accessibilité ou leur durée de conservation. à ces problématiques de protection des données. Le RGPD a permis
néanmoins de donner un coup de projecteur à la protection des

14
RGPD
données et représente pour elles l’opportunité de moderniser leur
gouvernance des données.

Plus d’un an après la mise en application du règlement européen, on


remarque que tout le monde se l’est globalement approprié, ou du moins GDPR
en a entendu parler. On observe également une véritable prise de Privacy by Design:
an opportunity
conscience des individus quant à leurs données et aux droits qu’ils ont
de les protéger. De manière générale, quand les gens acquièrent de Interview with Gwendal Le
nouveaux droits, ils les exercent. La preuve en est dans les chiffres. En Grand,
Deputy Secretary General of
2018, la CNIL a reçu 11 000 plaintes ; 190 000 appels téléphoniques au the CNIL
By Marc Jacob and Emmanue
centre d’appels ; et près de 8 millions de visites sur son site Internet. lle Lamandé
Aujourd'hui, 60 000 organismes ont déjà nommé un DPO, ce qui souligne "Privacy by Design" is tod
ay a regulatory obligation
bien la prise de conscience des problématiques relatives à la protection French and European compan for
ies under Article 25 of GDPR,
des données. La CNIL a par ailleurs reçu près de 2 000 notifications de referring not only to data pro
tection by design but also by
violations de données depuis l’entrée en application du RGPD. default. However, for Gwend
al Le Grand, beyond being
legal obligation, Privacy by a
Design can also have a pos
La CNIL est principalement restée en 2018 dans une logique impact and be seen as a rea itive
l opportunity.
d’accompagnement des entreprises suite à la mise en application du
RGPD. Depuis le début de l’année 2019, cette logique
d’accompagnement se poursuit notamment à destination des plus petites
structures, mais elle s’accompagne d’une démarche de contrôle de la de conception et de mise en œuvre. De plus, il accompagne et contrôle
conformité des nouveaux principes du RGPD. les analyses d’impact (DPIA) et la mise en place du RGPD au sein de son
organisme.
GS Mag : Quelle démarche recommandez-vous aux
organisations pour répondre au mieux aux exigences de GS Mag : Quels sont les autres acteurs qui doivent collaborer
Privacy by design ? sur ces aspects dans l’organisation ?

Gwendal Le Grand : Dans un premier temps, je leur conseille de Gwendal Le Grand : Dans ses missions, le DPO doit pouvoir s’appuyer
se référer au guide élaboré par la CNIL : « RGPD : se préparer en sur l’ensemble des acteurs, à commencer par le responsable de
6 étapes ». Cette méthode, en 6 étapes, permet aux organismes de traitement, les RSSI, les designers, la DSI… Ces acteurs ont un rôle
s’assurer qu’ils ont mis en œuvre l’essentiel des mesures nécessaires à prépondérant à jouer en matière de Privacy by design, mais au-delà il
leur mise en conformité RGPD [2] : faut également que tous les acteurs soient sensibilisés à la protection
• Désigner un pilote ; des données, quelle que soit leur fonction au sein de la structure. Il faut
• Cartographier les traitements de données personnelles ; aussi que l’impulsion soit donnée au plus haut niveau de l’organisation.
• Prioriser les actions à mener ;
• Gérer les risques ; LES DESIGNERS EN PREMIÈRE LIGNE
• Organiser les processus internes ;
• Documenter la conformité.
POUR INTÉGRER LA PRIVACY DÈS LA
CONCEPTION
Afin d’accompagner les PME dans leur démarche de mise en conformité,
la CNIL a élaboré un guide dédié, en partenariat avec Bpifrance. Ce GS Mag : De quelles manières la CNIL accompagne-t-elle les
« Guide pratique de sensibilisation au RGPD » [3] propose aux plus petites entreprises sur ces sujets ?
entreprises des clés de compréhension pratiques permettant de les
accompagner dans leur démarche de conformité au RGPD, et de les faire Gwendal Le Grand : La CNIL accompagne les entreprises de
progresser dans leur maturité numérique. 4 principales actions sont à différentes manières dans cette mise en conformité et dans la prise en
initier, si ce n’est déjà fait, pour ce type de structure : compte de la protection des données dès la conception. Elle a publié en
• Recenser ses fichiers ; ce sens de nombreux guides et outils permettant d’aider les entreprises
• Faire le tri dans ses données ; à se mettre en conformité, et à identifier les risques relatifs aux
• Respecter le droit des personnes ; traitements des données, mais aussi les mesures à mettre en place pour
• Sécuriser ses données. y faire face.

Globalement, il est important d’avoir une bonne gouvernance de vos Nous travaillons, par exemple, avec les designers. Nous avons ainsi publié
données, de comprendre ce que vous faites et de le documenter. en janvier un Cahier Innovation et Prospective, « La forme des choix -
Données personnelles, design et frictions désirables », disponible en
français et en anglais [4]. Ce cahier propose une exploration des enjeux
LE DPO DOIT PORTER LA VOIX du design dans la conception des services numériques, au prisme de la
DE LA PRIVACY BY DESIGN SUR protection des données et des libertés. Il vise notamment à promouvoir
TOUS LES PROJETS l’émergence d’un design des interfaces plus responsable et respectueux
des principes de protection des données. Les designers sont, en effet,
GS Mag : Quel est le rôle du DPO pour assurer le respect des bien placés pour redonner aux individus la maîtrise de leurs données,
obligations de Privacy by design au sein de sa structure ? dans la mesure où ils peuvent agir dès la conception sur l’information
des personnes, le recueil du consentement ou bien l'exercice des droits.
Gwendal Le Grand : De manière générale, le DPO accompagne En complément de ce cahier, la CNIL a également lancé Données &
l’entreprise dans sa mise en conformité et dans la mise en œuvre de design, une plateforme pour fédérer la communauté des designers
la gouvernance de ses données. Il doit également porter la voix de la soucieux d'intégrer au mieux la protection des données et des libertés
Privacy by design sur tous les projets, et intervenir dans leurs phases dans leurs interfaces, services et produits [5]. Données & Design favorise

15
RGPD
l’acculturation des designers aux grands principes du RGPD (information qu’il s’agisse d’un acteur français ou non. Les obligations de protection
des personnes, consentement, exercice des droits). En plus de la diffusion des données, et les sanctions qui les accompagnent, sont les mêmes pour
d'études de cas, cette plateforme est aussi un espace d’échanges et de tous, y compris pour les entreprises étrangères qui souhaitent collaborer
dialogue permettant aux designers de partager leurs expériences, leurs avec un acteur européen. Cela engendre aussi un effet domino dans les
problèmes et solutions. autres régions du monde. Certains pays, hors Union européenne,
s’inspirent actuellement du RGPD, et sont en train de mettre en place
Outre cette plateforme, de nombreux autres outils sont à disposition des réglementations similaires.
sur le site de la CNIL. Elle a par exemple développé un logiciel permettant
d’effectuer des analyses d’impacts relatives à la protection des Le RGPD répond avant toute chose à une demande de la part des
données [6]. Ce logiciel est disponible en version libre sur GitHub, et a citoyens. Les exigences de Privacy by design permettent, de plus, à toutes
déjà fait l’objet de plus de 200 000 téléchargements. Il a, de plus, été les organisations d’avoir une meilleure gouvernance de leurs données,
traduit par la communauté open source et est proposé aujourd'hui en et d’en faire un avantage concurrentiel. C'est donc un échange gagnant-
19 langues. gagnant, autour d’un objectif clair : utiliser les données dans un cadre
Un « kit du développeur » [7] est également à disposition sur notre site, sécurisé et responsable.
à destination des personnes en charge du développement de logiciels.
Un système de questions/réponses y est aussi disponible, dans la rubrique Enfin, selon un sondage IFOP, près de 70% des Français se sentent
« Besoin d’aide » [8]. Cette base est régulièrement mise à jour en fonction aujourd'hui plus concernés par la protection de leurs données à caractère
des besoins, des sujets qui émergent et des remontées sur le terrain. personnel. Le RGPD traduit donc une prise de conscience collective
Enfin, la CNIL a lancé en mars dernier le MOOC « L’atelier RGPD », relative à ces problématiques. Il permet à la fois de renforcer la sécurité
qui permet aux entreprises, et notamment aux DPO, de se former en des données des citoyens, mais aussi de leur redonner confiance. ■ ■ ■
ligne [9]. Ce MOOC sera prochainement traduit en anglais, afin de
permettre au plus grand nombre de se former.
[1] https://www.cnil.fr/fr/reglement-europeen-protection-donnees
[2] https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
Tous les instruments que nous mettons à disposition des entreprises et [3] https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf
collectivités, qu’ils soient techniques, juridiques ou organisationnels, se [4] https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip6.pdf

veulent pratico-pratiques et le plus opérationnels possibles. La plupart [5] https://design.cnil.fr/

sont également développés à la fois en français et en anglais afin de [6] https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-pia


[7] https://www.cnil.fr/fr/kit-developpeur
s’adapter à toutes les entreprises et de s’inscrire dans la dimension [8] https://www.cnil.fr/cnil-direct?visiteur=part
européenne du règlement. [9] https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous
Petit à petit, nous essayons de nous adresser à l’ensemble des acteurs et
domaines spécifiques, afin que chacun puisse trouver les outils adaptés
à ses besoins de mise en conformité. Cette démarche prend du temps et
il reste encore à faire en la matière. La CNIL va donc continuer ses actions
de sensibilisation et d’accompagnement (outils, guides, lignes
directrices…) dans les mois à venir. Nous allons également favoriser le
dialogue et renforcer notre action auprès des startups et des designers,
et globalement avec l’ensemble des acteurs.

PRIVACY BY DESIGN : LA CLÉ


DE LA CONFIANCE ET D’UNE
INNOVATION PÉRENNE
GS Mag : Quels sont aujourd'hui les bénéfices de la Privacy by
design, et les principaux freins à son développement ?

Gwendal Le Grand : Comme évoqué précédemment, le RGPD


représente pour les entreprises une véritable opportunité de moderniser
leur gouvernance des données. Les entreprises qui ont compris cela sont
aujourd'hui beaucoup plus efficaces. Certes, intégrer la Privacy by design
est un investissement de temps, mais cela permet à la fois de créer la
confiance entre les différents acteurs et de garantir une innovation
pérenne. Sans compter que prendre en compte ces obligations de
protection des données a posteriori s’avère au final beaucoup plus
coûteux pour l’organisation. De plus en plus d’entreprises l’ont
aujourd'hui compris, et font d’ailleurs de la protection des données un
avantage concurrentiel visant à se démarquer de la concurrence. Outre
une obligation, la Privacy by design est donc aujourd'hui le plus, qui peut
faire la différence.

GS Mag : Enfin, pouvons-nous entrevoir, selon vous, un avenir


plus respectueux de nos données et sécurisé « by design » ?

Gwendal Le Grand : Le RGPD est un instrument qui met tout le monde


sur un pied d’égalité, quel que soit le type d’organisation en question et

17
© Falko Matte
CHRONIQUE JURIDIQUE

LE GENDARME EN
BALADE DANS
LES FICHIERS
4Par Olivier Iteanu, Avocat à la Cour, Chargé d’enseignement
à l’Université de Paris I Sorbonne

C’est une affaire rare que le Conseil d’État nous a donnée à connaître dans une décision rendue
le 24 avril 2019 [1]. Un capitaine de gendarmerie a été sanctionné de quinze jours d’arrêts pour
avoir consulté « les fichiers de gendarmerie » de manière illégale. Ces consultations illicites
portaient sur l’employeur de sa fille, ainsi que sur des membres de sa famille. Au total, ce
gendarme, qui n’était pas de Saint-Tropez, mais du centre opérationnel de la gendarmerie de
Rouen, aurait reconnu avoir consulté sans justification plus de trois cents fiches individuelles de
citoyens. Le gendarme ayant contesté la sanction, après avoir reconnu les faits durant l’enquête,
les juridictions administratives ont été saisies de ce recours, qui aboutit à cette décision inédite
de la plus haute des juridictions de l’ordre administratif de l’État de droit français.

LOVEINT : UN PHÉNOMÈNE MAL américaine [3], cette pratique a un nom. On l’appelle la LOVEINT,
en référence à l’usage par lequel on utilise son accès pour son
CONNU, MAIS BIEN RÉEL partenaire amoureux, sa compagne ou son compagnon (LOVE) ou
par intérêts (INT comme interests). Dans son livre « Data and
On pense toujours à protéger les données personnelles que l’on Goliath », Bruce Schneier évoque cette pratique illégale, mais qui
détient régulièrement de la consultation ou de l’extraction par des ne peut pas être sans conséquence pour les personnes concernées.
tiers extérieurs à l’organisation à laquelle on appartient et non Citant Edward Snowden et un audit de la NSA réalisé sur 12 mois
autorisés. L’esprit des Lois, depuis la première loi informatique, entre 2011 et 2012, il révèle que cette pratique aurait été relevée
fichiers et libertés de 1978 et plus récemment du RGPD [2], est très durant cette période 2 776 fois sur les traitements de l’Agence
grandement tourné, en particulier dans ses dispositions relatives à nationale de la sécurité rattachée au département de la défense
la confidentialité et à la sécurité des données, vers l’organisation des États-Unis. Il ajoute que le chiffre devrait être bien plus
de la protection contre ces accès et consultations illicites. Pourtant, important, car ces informations viennent de la NSA elle-même…
en matière de cybercriminalité, chacun sait que les premiers abus Bien évidemment, plus le fichier est gros, plus le nombre de
d’accès et de consultations aux traitements, viennent de l’intérieur. personnes autorisées à y accéder est important, et plus le risque
Il est tout à fait humain et tentant de consulter la fiche de son voisin est grand de voir se développer la LOVEINT. Il n’y a aucune raison
avec lequel les relations ne sont pas toujours au beau fixe. On peut que ce type de comportements se limite d’ailleurs aux fichiers
aussi s’amuser à consulter des fiches de célébrités, ou encore rendre publics, et on n’ose imaginer ce qui se passe dans certaines grandes
un service, gratuit ou… payant. Après tout, c’est si facile et ça ne entreprises d’outre-Atlantique, aspirateurs de données à caractère
semble pas si « méchant », et c’est très valorisant. Du point de vue personnel venant du monde entier et renfermant toutes sortes de
du responsable du traitement, la pratique est un cauchemar. Il est, renseignements. Ceux qui imaginent et entendent mettre en œuvre
en effet, très difficile de prévenir de tels comportements, l’abus le « tous fichés » devraient constamment avoir à l'esprit cette
venant de l’intérieur, c’est-à-dire de ceux connaissant intimement réalité.
le fonctionnement du système et les règles de protection. A la NSA
18
CHRONIQUE JURIDIQUE

UN PHÉNOMÈNE DIFFICILE
À CONTRER
LEGAL BRIEFING
En l’espèce, le capitaine de gendarmerie était manifestement
spécialement habilité à accéder à certains fichiers de données The Troops on Vacation
,
personnelles sur un fichier dont le Conseil d’État se garde bien de unlawfully accessing file
s
donner des détails. Tout au plus sait-on qu’il s’agissait d’un « fichier
de gendarmerie ». On peut penser que ce dernier comprenait des By Olivier Iteanu, Avocat à la
Lecturer at the University of Cour,
informations assez intrusives sur les personnes physiques qui s’y Paris I Sorbonne
trouvaient recensées. Il est évident qu’un tel traitement ne peut être
consulté à des fins personnelles. En droit, le point ne soulève In a judgement delivered on
24 April 2019, the Council
aucune difficulté. La pratique consistant, même pour une personne of State made a ruling in a hig
hly unusual case. A captain
habilitée à accéder aux données personnelles, à les traiter pour une of the gendarmerie was sen
tenced to fifteen days sus-
finalité autre que celle résultant de son habilitation, constitue un pension for unlawfully acc
essing "gendarmerie files".
manquement au RGPD. Selon les principes fixés par l’article 5, il These illicit viewings concer
ned his daughter's employer,
est notamment interdit de traiter des données personnelles d'une as well as members of their
family. In all, this gendarme
who was not from Saint-Trop ,
manière incompatible avec les finalités pour lesquelles elles ont été ez but from the operational
collectées initialement. Ces manquements sont sanctionnés centre of the gendarmerie of
Rouen, acknowledged having
sévèrement. S’il est démontré que cette consultation illicite est la accessed more than three hun
dred personal civilian files
conséquence d’un manquement à une obligation de sécurité without justification. With the
gendarme challenging the
élémentaire ou à une non-conformité aux règles de l’art dans le sentence, having admitted to
the acts during the investi-
domaine de la cybersécurité, une violation de la Privacy by design, gation, the administrative cou
rts heard the appeal, which
le responsable de traitement, en l’espèce la gendarmerie, encourt led to this unprecedented
decision of the highest cou
under France's administrative rt
une amende administrative prononcée par la CNIL pouvant s’élever law.
jusqu’à 20 000 000 € ou jusqu’à 4% du chiffre d’affaires annuel
mondial total de l’exercice précédent pour les entreprises. Mais le
gendarme lui-même, en dehors de la sanction disciplinaire dont il
a fait l’objet, pourrait voir sa responsabilité pénale engagée. En
effet, l’article 226-21 du Code pénal dispose que : « Le fait, par contourner tous ces dispositifs. La parole est ici bien plus à la
toute personne détentrice de données à caractère personnel à technique et à l’organisation qu’au droit. Elles seules sont capables
l'occasion de leur enregistrement, de leur classement, de leur de détecter la consultation douteuse qui donnera éventuellement
transmission ou de toute autre forme de traitement, de détourner lieu à enquête. Dans la décision du Conseil d’État, aucune précision
ces informations de leur finalité telle que définie par la disposition n’est ici apportée. Mais les juges administratifs constatent que le
législative, l'acte réglementaire ou la décision de la Commission capitaine de gendarmerie « a reconnu lors d’une audition les faits ».
nationale de l'informatique et des libertés autorisant le traitement C’est donc bien en trois temps que les choses doivent s’organiser
automatisé, ou par les déclarations préalables à la mise en œuvre pour lutter contre la LOVEINT. Tout d’abord, il s’agit de mettre en
de ce traitement, est puni de cinq ans d'emprisonnement et de 300 place une éducation en interne, qui rappelle les limites du droit
000 euros d'amende. » C’est donc bien lui qui, personnellement, d’accès au traitement et à sa consultation. Ensuite, des procédures
peut subir les foudres des juges correctionnels. préalables à l’accès, censées interdire, à tout le moins, la
consultation sauvage, doivent être élaborées. Enfin, les critères, qui
Mais la difficulté n’est pas juridique. Elle est d’ordre pratique et du pourraient déclencher une enquête, tels que l’heure de consultation,
domaine de la preuve. Comment en effet déterminer qu’un ayant le volume de données consultées ou extraites, la fréquence des
droit, celui qui dispose du droit d’accès à un traitement, a violé son consultations…, doivent être définis. Alors seulement lorsque la
principe de finalité lors d’une consultation ? Puisqu’il connaît les preuve du caractère illicite du comportement aura été établie, le
règles applicables dans l’entreprise dans ce domaine et la manière droit passera. ■ ■ ■
dont elles sont contrôlées et appliquées, il est le mieux placé pour

[1] Sur le site de jurisprudence legalis.net : https://www.legalis.net/jurisprudences/conseil-detat-7eme-ch-decision-du-24-avril-2019/


[2] Règlement n°2016/679, dit règlement général sur la protection des données entré en application le 25 mai 2018
[3] National Security Agency

19
©jijomathaidesigners
DPO : le chef d’orchestre
de la Privacy by design

4Interview de (gauche à droite) Thiebaut Meyer, Fabrice Idier, Bruno Rasle et Patrick Blum, membres de l’AFCDP (Association
Française des Correspondants à la protection des Données à caractère Personnel), par Marc Jacob et Emmanuelle Lamandé

Penser la protection des données « by design » et « by default » nécessite avant toute chose une
refonte de l’organisation des entreprises et de leurs processus internes, afin d’impliquer le DPO
(Data Privacy Officer) le plus en amont possible. Il pourra ainsi intervenir dans les différentes
étapes de conception et de mise en œuvre de chaque projet. Pour Thiebaut Meyer, Fabrice Idier,
Bruno Rasle et Patrick Blum, membres de l’AFCDP, si la Privacy by design requiert un travail
d’équipe et la responsabilisation de tous, le DPO doit en être le chef d’orchestre.

Global Security Mag : Quelle est votre définition de la Privacy sécurité liés aux critères DICT (disponibilité, intégrité, confidentialité,
by design ? Quels en sont les principes ? traçabilité) et les principes de défense en profondeur. Les deux sont
similaires dans la démarche – c’est-à-dire une prise en compte des objectifs
Le concept de « Privacy by design » que l’on retrouve dans l’article 25 du très en amont des projets, dès la phase de conception – et ont des
RGPD consiste à prendre en compte les principes de la protection des problématiques entremêlées. En pratique, la Privacy by design englobe le
données à caractère personnel (minimisation et exactitude des données, concept de sécurité by design.
respect des finalités, limitation de la conservation des données, possibilité
de l’exercice des droits, etc.) dès la conception d’un nouveau traitement ou GS Mag : Quelles sont les obligations réglementaires en ce
la mise en œuvre d’une nouvelle technologie, que ce soit un produit, une domaine en France, et au-delà, notamment dans le cadre du
application, un logiciel ou un service en ligne. Ainsi, très en amont dans le RGPD ?
projet, les choix techniques et organisationnels seront faits pour assurer le
bon respect de ces principes. Si de nombreuses formalités préalables ont disparu dans le cadre du RGPD,
il est dorénavant nécessaire de pouvoir étayer ses choix au regard de la
Cela consiste à mettre en œuvre par DÉFAUT des règles pour la protection protection des données à caractère personnel. Une démarche de Privacy
des données collectées des personnes concernées, et ce jusqu’à leur by design permet de justifier les orientations d’un projet et les mesures
suppression. Par exemple, la minimisation des données est une collecte de mises en œuvre pour se conformer à la réglementation.
données répondant finement aux finalités du traitement, et constitue une
mesure « Privacy by design ». D’ailleurs, dans le RGPD (article 25), les notions de « Privacy by design » et
de « Privacy by default » (traduites par « protection des données dès la
La Privacy by design englobe le concept conception » et « protection des données par défaut ») sont expressément
incluses dans les obligations des responsables de traitement.
de sécurité by design 
Le DPO (Data Privacy Officer) doit aussi veiller à ce que les clauses RGPD
GS Mag : Quelles différences et complémentarités existent-ils de sous-traitance (prévues par l’article 28) intègrent clairement le fait qu’il
entre sécurité by design et Privacy by design ? n’appartient pas au sous-traitant de déterminer si les incidents de sécurité
que connaît celui-ci doivent être qualifiés de violations de données : c’est
Les deux notions se différencient essentiellement sur le périmètre des clairement une responsabilité du client.
objectifs associés. La Privacy by design se concentre sur la protection des
données à caractère personnel et les conséquences sur le respect de la vie En ce qui concerne les administrations publiques, des lois, décrets,
privée. La sécurité by design, quant à elle, se concentre sur les objectifs de règlements précisent les obligations, notamment en matière de sécurité.
20
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN
On y retrouve le RGPD, le règlement général de la sécurité (RGS), le décret
d’application et de transposition de la directive européenne NIS imposant
un renforcement de la cybersécurité des opérateurs de services essentiels Thema
SECURITY & PRIVACY
ou des fournisseurs de services numériques. BY DESIGN
DPO: the leader of Privac
Le RGPD, quant à lui, précise notamment par son article 32 que le y by Design
responsable d’un traitement doit mettre en œuvre des moyens permettant Interview with Thiebaut Me
de garantir la confidentialité, l’intégrité, la disponibilité et la résilience yer, Fabrice Idier,
Bruno Rasle and Patrick Blu
constante des systèmes et des services de traitement. m, members of the
AFCDP (French Association
of Correspondents
for the Protection of Person
al Data)
Le DPO doit être impliqué, comme le By Marc Jacob and Emmanue
lle Lamandé
RSSI, en amont de tout projet  Devising data protection "by
design" and "by default"
requires, first and foremost,
GS Mag : Concrètement, qu’est-ce que cela implique pour les companies to reorganise
operations and their interna
organisations ? l processes. The aim is to
involve the DPO (Data Privacy
Officer) as far upstream as
possible, participating in all
Concrètement, il devient indispensable que la protection des données et la the various phases of project
design and implementation.
sécurité soient pilotées dans les organisations. La première étape est For Thiebaut Meyer, Fabrice
Idier, Bruno Rasle and Pat
d’impliquer le Data Privacy Officer en amont dans les projets. Comme c’est rick Blum, members of the
AFCDP, while Privacy by Des
le cas aujourd’hui pour le RSSI, le DPO doit en effet être intégré très tôt ign requires teamwork and
the involvement of all stakeh
pour pouvoir donner certaines orientations, rappeler les contraintes olders, it is the DPO who
must be the leader.
réglementaires et proposer des améliorations.

Il semble également nécessaire de sensibiliser et de former les chefs de projet


à ces problématiques pour qu’ils acquièrent les bons réflexes. Si un modèle
de développement des projets existe, il doit être enrichi de « jalons » modifier les processus de conception de projet pour intégrer les deux
Privacy by design et impliquer le DPO (et ceci dès les toutes premières nouveaux acteurs que sont le RSSI et le DPO, afin qu’ils puissent intervenir
phases, afin de permettre au DPO d’influer sur le cahier des charges, dans les différentes étapes de conception d’un projet. Que l’on traite de la
notamment pour qu’y soient insérées les clauses de sous-traitance RGPD). conception d’un site Web, d’hébergement en mode SaaS, d’une application
gérant des données à caractère personnel, ces deux acteurs ou leurs
Cela doit, en outre, se traduire dans la rédaction des contrats ou marchés, équivalents ont leur mot à dire.
où les exigences de protection et de sécurité doivent être précisées. Les
sous-traitants ont aussi des obligations à respecter, conformément à l’article Comme pour la SSI, il est important de faire des choix techniques ou
28 du RGPD, qui doivent être contrôlées par le commanditaire. organisationnels qui correspondent réellement aux enjeux. Il convient de
réaliser des analyses de risques, que ce soit sur la protection de la vie privée
GS Mag : Quel état faites-vous du niveau de maturité des (PIA) ou sur le système d’information (EBIOS Risk Manager), afin de prendre
entreprises françaises en ce domaine ? Quelle évolution avez- les bonnes mesures pour réduire les risques, et en phase de cadrage
vous pu observer depuis la mise en application du règlement ? d’orienter les choix.

Les grandes entreprises à dimension internationale travaillent sur ces sujets De plus, tous les aspects fonctionnels liés à la protection des données
depuis des années. Les petites et moyennes entreprises françaises (limitation de la durée de conservation, suppression automatique éventuelle,
commencent à prendre conscience des enjeux liés à la sécurité et à la exercice des droits des personnes concernées) doivent être intégrés dès le
protection des données. Les moyens financiers peuvent parfois réduire les début dans le cahier des charges.
ambitions affichées.
GS Mag : Existe-t-il des outils qui peuvent aider les entreprises
L’évolution que l’on observe dans ce domaine depuis la mise en application en ce sens ?
du RPGD est assez similaire à celle de la sécurité des systèmes d’information
(SSI) ces dernières années. D’une contrainte de fin de projet réservée à Les entreprises, dans leurs démarches, peuvent s’appuyer sur une méthode
quelques spécialistes, la SSI s’est progressivement diffusée dans les équipes d’analyse de risques. L’outil PIA proposé par la CNIL et la méthode EBIOS
projet et est maintenant prise en compte très en amont. La protection des Risk Manager de l’ANSSI permettent d’instruire respectivement les analyses
données n’est sans doute pas encore arrivée à ce stade de maturité, mais de risques sur la vie privée et celles sur les systèmes d’information. Il peut
la médiatisation autour du RGPD a beaucoup fait progresser les mentalités. aussi être utile de se référer aux récents conseils de la CNIL à l’attention
des développeurs [1].
On constate bien une mise en conformité des sites Web, mais il en reste
énormément à corriger et ce n’est que la partie visible de l’iceberg… Pour Minimisez et purgez régulièrement
le reste, il faudrait réaliser des audits de conformité RGPD ou des tests vos données 
d’intrusion.
GS Mag : Quelles techniques ou technologies fonctionnent le
La protection des données doit être mieux actuellement pour protéger les données par essence ou
intégrée dans le cahier des charges  lors de leur utilisation (anonymisation, pseudonymisation,
chiffrement…) ?
GS Mag : Comment penser et intégrer le respect de la vie privée
dès la conception d’un projet ? Quelle démarche recommandez- Le chiffrement devient une enveloppe incontournable et indispensable pour
vous aux organisations ? assurer la sécurité by design. Il convient également de gérer les habilitations
et de tracer les actions.
La démarche est relativement simple sur le papier. Il faut tout d’abord La minimisation des données et la purge des données inutiles sont
21
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN

également d’excellentes mesures de sécurité : la donnée que l’on a Le véritable objectif est de traiter les questions liées à la protection des
supprimée ou, mieux, celle que l’on n’a jamais collectée, sont les plus faciles données au plus tôt, afin de minimiser les coûts et les contraintes.
à sécuriser !
L’anonymisation n’est pas une mesure de sécurité. C’est un procédé qui Quant au ratio coût/bénéfice : après les sanctions de 100 et 200 millions
permet de sortir du champ d’application du RGPD en faisant disparaître d’euros qui viennent de frapper Marriott et British Airways suite à des
toute donnée personnelle. La pseudonymisation - à l’inverse - est bel et violations de données, la question ne se pose plus vraiment.
bien une mesure de sécurisation (elle est d’ailleurs évoquée à de multiples
reprises dans le texte). Il est dommage que les RSSI n’en fassent pas plus … qui doit pouvoir bénéficier de
de promotion : ainsi, en Grande-Bretagne, il n’est pas un seul hôpital dans
lequel les numéros de sécurité sociale ne sont pas remplacés par des jetons, ressources à la hauteur de ses missions 
grâce à un procédé de tokenisation.
GS Mag : En regard de ces RETEX, quels conseils pouvez-vous
donner aux entreprises aujourd’hui ?
DPO : un acteur à la croisée
des chemins…  La protection des données ne doit pas être vue comme une contrainte
supplémentaire, mais être intégrée à une démarche déjà existante (sécurité,
GS Mag : Quel est le rôle du DPO pour assurer le respect des qualité, etc.) avec un peu d’adaptation liée au domaine. Bien sûr, cela
obligations de sécurité et de Privacy by design au sein de sa dépend de la taille de la structure, de sa maturité et des enjeux métiers.
structure, et quelles sont ses missions en la matière ?
La protection des données et la cybersécurité sont des enjeux
Le DPO doit être le chef d’orchestre de ces démarches. Concrètement, il incontournables pour les entreprises qu’il convient de piloter. La mise en
doit tenir à jour les écarts constatés et s’assurer que le sujet est bien pris conformité au RGPD est avant tout la conduite d’un projet. Celui-ci
en charge. nécessite une communication, une sensibilisation de tous les acteurs en
Il doit tout d’abord former ses collaborateurs et les responsables de projets commençant par le management. La réussite des projets passe par la
pour les rendre les plus autonomes possible sur ces sujets et s’assurer que fourniture de moyens. La mise en conformité RGPD nécessite parfois de
les choix pris permettront de se conformer à la réglementation. De plus, il donner du temps aux métiers pour s’organiser. La planification des actions
doit proposer une méthodologie aux équipes pour les guider. est un bon outil de contrôle et de relance des acteurs.

Le DPO peut veiller à ce que figurent explicitement dans les cahiers des Par ailleurs, si le DPO reste seul dans son activité surtout dans les grandes
charges (y compris internes) et les appels d’offres : structures, il sera vite en difficultés. Il semble nécessaire de consolider et de
• Le besoin de voir tous les développements se faire de façon sécurisée, renforcer son activité en lui fournissant une équipe dédiée pour accélérer
avec production d’éléments de preuve (par exemple des rapports la mise en conformité tant souhaitée par la CNIL.
OWASP) ;
• Le respect de la délibération n° 2017-012 du 19 janvier 2017 de la CNIL GS Mag : Enfin, pouvons-nous entrevoir, selon vous, un avenir
en cas d’authentification par mot de passe [3] ; plus respectueux de nos données et sécurisé « by design » ?
• Les respects des recommandations techniques de l’ANSSI.
Il peut aussi faire référence aux récents conseils de la CNIL à l’attention Il faut, en effet, être optimiste sur ce sujet. Au même titre que pour la SSI,
des développeurs [1]. la question de la protection des données va progressivement se diffuser
et permettre une meilleure prise en compte des besoins dans les années
GS Mag : Avec quels autres acteurs doit-il collaborer sur ces qui viennent. Comme Rome, la conformité RGPD ne sera pas faite en un
aspects dans l’organisation ? jour ! Avec persévérance, le respect de nos données est possible !

Pour des raisons évidentes de synergie, son premier partenaire est le Mais la sécurité des données personnelles assurée par les responsables de
responsable de la sécurité de systèmes d’information (RSSI), avec qui il traitement français doit être excellente puisque, ramenée à la population
partage la visibilité sur les projets, les méthodes et certains objectifs. Il doit des deux pays, la France notifie... 49 fois moins de violations de données
également être proche des collaborateurs de la DSI et de la maîtrise que les Pays-Bas ! ■ ■ ■
d’ouvrage. Cette dernière, comme dans le domaine de la SSI, doit être
sensibilisée aux enjeux pour mieux appréhender les éventuelles contraintes
du projet. [1] https://www.cnil.fr/fr/developpeurs-la-cnil-met-en-ligne-un-kit-de-bonnes-pratiques
[2]https://cvpip.wp.imt.fr/2019/04/29/livre-electronique-avril-2019-personnalisation-de-
Le DPO collabore également avec de nombreux autres acteurs ou entités : services-quelles-technologies-pour-la-preservation-de-la-vie-privee/
[3] https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-
la DRH, les directions métiers, la direction de la communication, le service elementaires
des archives (notamment sur le respect des délais de conservation), les
juristes, les chefs de projets et les auditeurs internes. Il conseille aussi la
direction générale et les directeurs.
Le DPO est un acteur à la croisée des chemins menant à la (nos) DATA !

GS Mag : En tant que DPO, pouvez-vous nous faire part de votre


retour d’expérience en matière de Sécurité et Privacy by design
au sein de votre organisation ?

Dans l’une de nos structures, la démarche s’est articulée autour de deux


axes : la formalisation, dans le cadre d’un dossier de sécurité, des enjeux
de protection des données à caractère personnel (cadre juridique, objectifs,
mesures prises, risques résiduels, etc.) et la sensibilisation des collaborateurs.

23
©jijomathaidesigners
Sécurité & Privacy
by design : la démarche
la plus simple est souvent la
meilleure
4Par Marc Jacob et Emmanuelle Lamandé

Gabriel Amirault, Wavestone Thierry Chiofalo, CEIS

Penser et intégrer la sécurité et le respect de la vie privée dès la conception d’un projet paraît
plutôt « simple » en théorie, mais concrètement comment faire en pratique ? Quelle démarche
faut-il adopter et quelles sont les étapes incontournables à respecter ? Pour nos deux experts,
Gabriel Amirault, Wavestone, et Thierry Chiofalo, CEIS, il est essentiel de rester le plus
pragmatique possible et surtout de ne pas créer une usine à gaz, qui risque de faire fuir toutes les
bonnes volontés. En matière de sécurité et de Privacy by design, la démarche la plus simple et la
mieux adaptée au contexte reste souvent la meilleure.

La Privacy by design est un processus permettant d’assurer la prise Beaucoup d’entreprises ont
en compte des risques de sécurité, d’une part, et des risques pour
la vie privée des personnes, d’autre part, dès la conception d’un formalisé des processus de Privacy
produit ou service, explique Gabriel Amirault, Manager chez by design trop idéalistes
Wavestone. « En effet, la Privacy by design se veut avant tout
proactive. Cela signifie prendre en compte les besoins de sécurité Bien que la Privacy et sécurité by design soient désormais devenues
associés à la Privacy directement dans le projet initial, et les intégrer des obligations légales, le niveau de maturité des entreprises varie
dans le design et la conception, en opposition à une sécurité qui encore en la matière, souligne Gabriel Amirault. « La maturité du
serait menée a posteriori », complète Thierry Chiofalo, Directeur marché sur ces sujets est très souvent fonction, d’une part, de celle
adjoint Cybersécurité, CEIS. « L’intérêt de la Privacy by design est de la DSI, notamment de sa méthodologie projet et, d’autre part,
bien entendu de protéger en premier lieu la personne concernée. des ambitions de chacune des structures sur les sujets Privacy et
Mais, si cela est bien fait, elle permet aussi d’adresser plus cyber.
largement les problématiques de sécurité de façon rationnelle,
plutôt que par des actions ponctuelles et réactives. Au-delà du coût Globalement, l’actualité de ces dernières années pousse les
que cela peut représenter, la Privacy by design peut également être entreprises, parfois à marche forcée, à se mobiliser sur les sujets
une opportunité pour développer des pratiques pertinentes. » de cybersécurité et de protection des données. Mais pour bon

24
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN
nombre d’entreprises, ce ne sont que les prémices. Si on prend
l’exemple de la Privacy by design, dans l’urgence de la mise en
conformité au RGPD, de nombreuses entreprises ont formalisé des
processus idéalistes, mais non efficaces et non pérennes sur le long Thema
terme. Preuve en est, la quasi-totalité des entreprises ont inséré SECURITY & PRIVACY
BY DESIGN
une étape d’évaluation des risques relatifs aux données
personnelles dans leur méthodologie projet, mais seulement une Security & Privacy by
the simplest approach Design:
entreprise sur trois estime que celle-ci est suffisante, selon une is often the best
étude réalisée par Wavestone [1].
Au niveau européen, on constate généralement une corrélation By Marc Jacob and Emmanue
lle Lamandé
entre le niveau d’exigence des autorités nationales et le niveau de
maturité des différentes structures. L’Espagne et l’Allemagne sont
Devising and integrating sec
en tête du peloton. » urity and privacy from the
design stage of a project see
ms rather "simple" in theory,
but practically how is this
Depuis la mise en application du RGPD, Gabriel Amirault constate to be done? What approach
needs to be taken and wh
trois évolutions majeures autour des sujets de sécurité et de Privacy at are the essential steps to
follow? For our two experts,
by design. En effet, les nouvelles obligations en la matière ont forcé Gabriel Amirault, Wavestone,
and Thierry Chiofalo, CEIS,
les entreprises à adresser et à faire évoluer : a basic rule is to be as
pragmatic as possible and
• Les rôles et responsabilités : la gouvernance des filières Privacy, , above all, not to create an
unmanageable system wh
sécurité et la responsabilité des métiers ont souvent été revues, ich risks alienating all
stakeholders. In terms of sec
afin de clarifier le rôle de chacun et leur niveau d’engagement. urity and privacy by design
,
the simplest approach suited
• La méthodologie : existantes ou non, les méthodologies relatives to the scenario is often the
best.
à la Privacy et sécurité by design ont été définies ou
profondément revues, en vue d’assurer une meilleure conformité.
Ce sujet a souvent tiré une remise à plat du processus de gestion
de projet, afin d’y intégrer de manière plus pertinente et
systématique les enjeux de sécurité.
moyens communs. L’objectif est de disposer d’un processus capable,
• La position de l’entreprise : les différents projets au sein des
en entrée, de capter l’ensemble des projets et, en sortie, de produire
entreprises ont fait émerger un besoin fort de position de leur
des mesures de sécurité adaptées aux finalités visées. Qu’est-ce qui
part sur des sujets clés, afin d’avoir des lignes directrices claires
est nécessaire pour ne pas empêcher le fonctionnement d’un tel
lors de la qualification d’un projet : pour quels traitements
processus ?
demande-t-on un consentement, quels prérequis de sécurité pour
• Tout d’abord, la capacité à capter les projets en entrée, qui pourra
quelle typologie de donnée…
se faire par différents moyens : s’appuyer sur un workflow
existant et s’y greffer (workflow de validation de demande
Plus globalement, l’élévation du niveau de conformité des
d’investissement, achats), travailler sur la sensibilité des
entreprises à laquelle on assiste entraîne une meilleure maîtrise
personnes concernées en expliquant le besoin, etc.
globale des données et des traitements, qui à terme sera génératrice
• Ensuite, avoir un processus adapté à l’entreprise : rien ne sert
de valeur pour les organisations.
d’exiger une analyse de risques complexe si la maturité de
l’organisme ne le permet pas. Mieux vaut un processus simple
Mieux vaut un processus simple, qui fonctionne et que l’on améliorera qu’un système compliqué
pragmatique et qui fonctionne qui ne sera pas réalisé et qui, en plus, pourra rebuter les bonnes
volontés. Une checklist des mesures de sécurité peut être un
La plupart des acteurs ont aujourd'hui compris l’intérêt de penser premier pas.
et d’intégrer la sécurité et le respect de la vie privée dès la • Enfin, produire des recommandations, là aussi, réalistes dans le
conception d’un projet. Mais si cela paraît plutôt « simple » en contexte. S’arc-bouter sur des recommandations, peut-être
théorie, qu’en est-il dans la pratique ? Quelle démarche faut-il légitimes mais inapplicables dans le contexte, risque à terme de
adopter et quelles sont les étapes incontournables à respecter ? desservir la finalité plutôt que de la favoriser. Cela ne veut pas
Pour Gabriel Amirault, deux principaux piliers permettent dire non plus qu’il ne faut pas évoluer en sortant de sa zone de
aujourd'hui d’assurer une bonne prise en compte des enjeux confort : par exemple en formant les développeurs et les
sécurité et Privacy dès la conception d’un projet : utilisateurs à de nouvelles pratiques, ou encore en mettant en
• Le premier est de rester le plus pragmatique possible dans le place des solutions technologiques, telles que du chiffrement ou
processus. Ainsi, avoir une approche mutualisée entre Privacy by de l’authentification forte.
design et sécurité by design évite de nombreux doublons, crée
des synergies et permet une approche intégrée plus lisible pour En effet, complète Gabriel Amirault, le risque est de faire de la
les équipes projets. Par ailleurs, le processus doit être divisé en conformité et de la sécurité un frein pour l’entreprise. Les processus
deux étapes. Une première, légère, qui permet de qualifier la « by design » sont là pour assurer à l’entreprise une maîtrise de
sensibilité du projet ; une seconde plus complète réservée au risques, non pour empêcher son business. Certains ont même
20% de projets les plus critiques. réfléchi à faire de ces obligations une opportunité en proposant
• Le second pilier réside dans la responsabilisation de chacun sur aux métiers d’en faire un différenciateur business. Le cas d’Apple,
le sujet. Faire de la sécurité et de la Privacy l’affaire de tous les avec son « what happens on your iphone stays on your iphone »,
collaborateurs, via une sensibilisation et une formation adaptées est un bon exemple.
aux profils de chacun, permet de créer des réflexes de protection Par ailleurs, au cours du développement d’un produit, il existe
à tous les niveaux de l’entreprise. régulièrement un décalage entre les préconisations issues des
processus « by design » et la réalité de leurs implémentations. Le
Pour Thierry Chiofalo, la sécurité de l’organisme et le respect de la pragmatisme des mesures et le contrôle de leur implémentation
vie privée sont deux finalités qui peuvent partager bon nombre de sont clés, afin de faire de la protection des données une réalité.
25
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN

etc. Ce ne sont que quelques points parmi d’autres. La confiden-


Définissez vos besoins et processus tialité des DCP fait appel aux mêmes outils que celle d’autres
données. Il n’y a pas de solution magique, mais une gestion
avant de choisir vos outils raisonnée de la sécurité de l’information, quelle que soit la finalité. »
Dans leurs démarches de sécurité et de Privacy by design, les Aucune solution miracle n’existe donc, mais des outils adaptés à
entreprises peuvent s’appuyer sur différentes solutions techniques. chaque usage et à chaque contexte. Toutefois, la recherche évolue
Certains outils commencent à proposer un support automatisé pour
et innove aussi sans cesse en la matière ; nous sommes donc loin
le processus de Privacy by design, explique Gabriel Amirault.
d’avoir tout vu et tout essayé. D’ailleurs, de nouvelles techniques
Cependant, beaucoup choisissent encore l’outil avant d’avoir défini
d’anonymisation apparaissent, à la fois plus faciles à mettre en
leurs processus et leurs besoins. Ils se retrouvent alors avec un
œuvre et plus pertinentes pour les métiers, explique Gabriel
outillage non adapté à leur réalité, compliqué à mettre en œuvre.
Amirault. « Contrairement aux techniques existantes qui
De plus, il faut garder à l’esprit qu’il n’existe pas de solution
transforment les données nominatives en données pseudonymes
absolue, mais des solutions adaptées à chacun des usages. Il est
ou anonymes par un algorithme mathématique, il est maintenant
effectivement nécessaire de combiner niveau de sécurité et usage
possible d’analyser la structure de la base de données nominale,
de la donnée.
d’en analyser l’ensemble des propriétés statistiques, afin de recréer
une nouvelle base respectant les mêmes propriétés, mais sans lien
Pour Thierry Chiofalo, si l’on parle de données à caractère personnel
algorithmique entre les données nominales et les données de la
(ou DCP), l’anonymisation a une position particulière puisque son
base anonymisée. C’est notamment ce que propose la start-up
principe même consiste à faire disparaître le caractère personnel
anglaise Hazy [2]. »
de la donnée, faisant en même temps disparaître la problématique
initiale. Anonymiser la donnée est donc une solution intéressante,
tout du moins lorsqu’elle est applicable. Restent toutes les Privacy : un sujet qui
situations dans lesquelles il est nécessaire de traiter cette donnée nous concerne tous
à caractère personnel. Toutefois, « l’anonymisation complète est
souvent complexe à mettre en place au sein des entreprises (voire Outre les outils techniques et l’évolution des processus, la sécurité
quasi impossible) et ne permet pas un suivi dynamique d’un et la Privacy by design sont aussi l’affaire de tous, et ne peuvent se
comportement dans le temps », souligne Gabriel Amirault. La faire sans l’implication et la collaboration des différents acteurs au
pseudonymisation est pour cela une bonne alternative, selon lui : sein de l’entreprise. Selon le contexte de chaque organisme, il
via des techniques de tokenisation, des fonctions de hachage ou conviendra d’identifier tous ceux qui peuvent s’avérer être,
des systèmes cryptographiques, un nouvel identifiant est attribué directement ou indirectement, des contributeurs du process visé,
aux données collectées. La clé d’identification permettant de faire explique Thierry Chiofalo.
le lien entre les données et la personne concernée est stockée dans
une base de données à la protection accrue. Les données
pseudonymisées sont stockées dans une base de données, ouverte
aux métiers et leur permettant d’analyser les tendances et de suivre
les comportements dans le temps. Il faut cependant être vigilant :
via déduction, il peut rester possible de remonter à la personne, il
convient de bien réfléchir au niveau de granularité de la
pseudonymisation. Le risque n’est pas nul, mais drastiquement
réduit. « Effectivement, on a beaucoup entendu parler de
pseudonymisation et de chiffrement », complète Thierry Chiofalo.
« Mais ces deux solutions ne sont pas les seules qui soient adaptées
et nécessaires à la garantie de confidentialité et d’intégrité dont il
est ici question. Sans parler de leur applicabilité qui, selon les cas,
peut s’avérer complexe.

DCP : si les enjeux sont différents, les


critères de sécurité sont les mêmes
Pourquoi les besoins de confidentialité et d’intégrité seraient
différents pour une donnée à caractère personnel en comparaison,
par exemple, à une information financière ou à un secret industriel ?
En réalité, si les finalités et les enjeux sont différents, les critères
de sécurité sont, selon lui, les mêmes ; comme le sont les mesures
de sécurité propres à réduire le risque. Ainsi, à partir du moment
où l’on traite des DCP, il faut continuer à considérer l’ensemble des
mesures de sécurité propres à protéger la confidentialité et
l’intégrité. Le chiffrement en fait partie, mais ce n’est pas le seul
système et il n’est pas infaillible (une donnée en particulier peut
être chiffrée sur un support et pas sur un autre, restant de fait
exposée).
Il faut aussi gérer correctement ses accès, réduire sa surface de
vulnérabilités, cartographier correctement ses données pour savoir
où se trouve la DCP, surveiller les entrées et sorties d’informations,

27
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN

On pourra citer par exemple (mais sans s’y limiter) : sécurité des données personnelles aux enjeux des projets et la traiter
• Le responsable de traitement, ou plutôt son délégataire, qui au même titre que la sécurité de l’information en général.
s’assure que les pratiques couvrent les objectifs fixés par le Enfin, même si beaucoup reste à faire en la matière, nous pouvons
règlement ; d’ores et déjà entrevoir un avenir plus respectueux de nos données
• Le référent métier ; et sécurisé « by design », conclut Gabriel Amirault. De nombreuses
• Le DPO, qui intervient en contrôle ; entreprises ont mis fin à des pratiques que l’on pouvait juger
• Le RSSI pour ne pas rater les synergies entre la protection de déloyales pour les personnes. Par ailleurs, dans un marché de plus
l’entreprise et celle des données personnelles (dans le contexte en plus mature sur ces sujets, nous voyons les prémices de business
du SI) ; model et de ROI orientés « sécurité des données ». Ainsi, dès lors
• Le contrôle interne ; que la Privacy et la sécurité seront perçues comme des gains
• L’audit interne ; d’argent potentiels, les entreprises n’auront d’autres choix que de
• Les achats qui peuvent être un point de passage obligé des se mobiliser davantage sur ces sujets et d’en faire un avantage
nouveaux projets ; concurrentiel, si elles veulent rester dans la course… ■ ■ ■
• Le chef de projet ;
• Etc.

Cyber et Privacy sont des sujets d’entreprises qui, chacun à leur [1]
https://www.wavestone.com/fr/insight/vie-privee-numerique/
[2]
rythme, sont maintenant traités au niveau des COMEX des https://hazy.com/
entreprises, constate Gabriel Amirault. Les deux sujets encadrent
l’utilisation des données, devenues l’or noir du 21ème siècle. La
donnée étant au centre des processus de l’entreprise, la sécurité et
la Privacy by design réunissent ainsi l’ensemble des acteurs de la
structure : métiers, IT, juridique, marketing, digital, etc., en plus des
experts cyber et Privacy. Cette dynamique ouvre de nouvelles
opportunités et réflexions quant à l’évolution de la stratégie
marketing, de collecte de données, d’opt-ins…

La Privacy a, de plus, l’avantage d’être un sujet qui nous concerne


tous. Il s’agit là d’un levier à exploiter absolument pour sensibiliser
et former les personnes sur ces sujets, estime Gabriel Amirault. Sur
cette base, trois leviers complémentaires sont utiles :
• Responsabilisation : faire prendre conscience aux équipes
concernées des risques, de la responsabilité de la société et de
leur propre responsabilité est un élément clé ;
• Outillage : au-delà des actions de sensibilisation et de formation,
fournir aux équipes, notamment de développement, des outils
directement utilisables dans leur quotidien facilite la prise en
compte des exigences de l’entreprise ;
• Pragmatisme : le plus simple reste le plus efficace. Ainsi, quitter
les approches théoriques pour des exemples pratiques adaptés à
la réalité de l’entreprise assure une meilleure appropriation des
équipes.

La mémoire de tout un chacun étant limitée dans le temps, il est


de plus primordial de répéter régulièrement les actions de
sensibilisation et de formation.

La Privacy by design, d’ores et déjà


un avantage concurrentiel
pour les entreprises
De manière générale, Gabriel Amirault recommande aux entreprises
de rester pragmatique. Il ne s’agit pas de devenir des ayatollahs de
la sécurité ou de la Privacy, mais d’accompagner les métiers sans
devenir des freins pour le business. En second lieu, il est essentiel
d’éviter absolument les processus ad hoc. Il existe déjà
suffisamment de processus existants qu’il suffit d’enrichir plutôt
que de créer des processus parallèles qui ne seront pas suivis. Enfin,
penser la conformité comme une opportunité est certainement ce
qui crée le plus d’adhésion autour du sujet, et donc la mise en place
la plus facile. De son côté, Thierry Chiofalo préconise de ne surtout
pas développer une pratique spécifique aux données personnelles
et une autre relative aux autres données de l’entreprise. Il est
également important d’être circonspect vis-à-vis des solutions
magiques... En outre, la démarche la plus simple et la mieux adaptée
au contexte restera, selon lui, souvent la meilleure : intégrer la
29
©jijomathaidesigners
RGPD : un véritable levier
pour la protection des
données personnelles
4Interview de Mylène Jarossay, Présidente du CESIN

Même si nous n’en sommes qu’aux prémices, le RGPD a permis de


mettre en avant le sujet « Privacy » et a constitué un véritable levier
pour la protection des données personnelles. Bon nombre
d’entreprises ont ainsi revu leurs processus d’intégration de la
sécurité dans leurs projets, et consultent désormais le RSSI et le DPO
de façon plus systématique. Même si les approches doivent encore
gagner en maturité et en pragmatisme, les premiers pas sont donc plutôt
encourageants.

GS Mag : Quel état faites-vous du niveau de maturité des démarche orientée risques analogue comme ce qui est fait dans le
entreprises françaises dans le domaine de la Sécurité & cadre de l’intégration de la sécurité dans les projets. On part de
Privacy by design ? Quelle évolution avez-vous pu scénarios, on estime leur vraisemblance et on regarde l’impact de
observer depuis la mise en application du RGPD ? chaque scénario pour l’entreprise, cet aspect concerne le RSSI, les
données des personnes concernées relèvent du DPO. Il y a un PIA
Mylène Jarossay : La Privacy « by design » a pour avantage d’être (Privacy Impact Assessment) selon la nature des données traitées.
rendue obligatoire dans le règlement européen contrairement à la Ces démarches sont donc relativement parallèles et
sécurité « by design », même si celle-ci l’est également de façon complémentaires. Souvent, les mesures de sécurité adressent les
implicite dans la mesure où le responsable de traitement est tenu deux besoins. Le DPO s’occupe de la protection des données en
de prendre toutes les mesures de sécurité adéquates. Ceci-dit, la termes de contenu, alors que le RSSI s’occupe de la protection du
prise en compte des obligations du respect de la vie privée dans contenant. Les approches actuelles doivent encore gagner en
les traitements de données à caractère personnel varie maturité, en retours d’expérience et donc en pragmatisme pour être
considérablement d’un traitement à l’autre. En fonction des enjeux, parfaitement adaptées aux sujets traités. Les PIA, quand ils seront
de la volumétrie des données et de l’application en question, cette requis, devront être traités de façon efficace pour s’inscrire dans les
prise en compte va revêtir un caractère stratégique ou non dans le timings de plus en plus courts des projets.
projet. Waze n’aborde sans doute pas le sujet de la même manière
que la collectivité qui collecte des données de trafic pour optimiser GS Mag : Quelles techniques ou nouvelles technologies
la circulation. Et pourtant, les deux s’immiscent dans la vie privée fonctionnent le mieux actuellement pour protéger les
des citoyens qui se déplacent. données par essence ou lors de leur utilisation ?
Il est difficile de savoir précisément si les entreprises françaises ont
réellement atteint un palier de maturité, mais elles ont, du fait du Mylène Jarossay : Depuis l’avènement du RGPD, on n’a pas
RGPD, revu leurs processus d’intégration de la sécurité dans les inventé de nouvelles solutions technologiques pour protéger les
projets, et ces derniers passent bien plus souvent qu’avant par la données à caractère personnel. Anonymisation, pseudonymisation,
case RSSI et DPO dès leur démarrage. C’est un progrès important, chiffrement, toutes existaient déjà et si j’en crois les statistiques du
d’autant qu’auparavant un certain nombre d’initiatives avaient marché de la sécurité, la vente de ces produits n’a pas explosé
tendance à échapper à l’IT et au RSSI. Désormais, le RSSI et son depuis 18 mois ! C’est qu’ils étaient déjà utilisés là où ils devaient
nouveau collègue DPO sont consultés de façon bien plus l’être (grâce aux analyses de risques en particulier !) et que la
systématique. plupart des données à caractère personnel étaient correctement
protégées. Du moins dans les entreprises dotées d’un RSSI… Les
Le plus tôt sera le mieux autres aspects du RGPD (mesures organisationnelles et clauses
contractuelles…) ont davantage mobilisé les entreprises que la
GS Mag : Comment penser et intégrer le respect de la vie protection des données à proprement parler. Au plan technique, les
privée dès la conception d’un projet ? Quelle démarche efforts se concentrent notamment sur la sécurité des architectures
recommandez-vous aux organisations ? et du code applicatif, mais également et de plus en plus sur la
traçabilité des accès aux données et des opérations faites sur celles-
Mylène Jarossay : Comme pour la sécurité, le plus tôt sera le ci et, bien sûr, sur la surveillance de ces traces.
mieux. La prise en compte du respect de la vie privée part d’une
30
THÉMA : SÉCURITÉ & PRIVACY BY DESIGN

Thema
SECURITY & PRIVACY
Développons des processus BY DESIGN
collaboratifs efficaces GDPR: strengthening
personal
data protection
GS Mag : Quels conseils pouvez-vous donner aux
entreprises aujourd'hui ? Interview with Mylène Jarossa
y, President of CESIN
Mylène Jarossay : D’abord, il est essentiel que RSSI, DPO et
juristes travaillent ensemble, car leurs actions sont vraiment Even if it is still early days, GD
PR has highlighted the issue
complémentaires. Le problème est solutionné dans les structures of "Privacy" and is stre
ngthening personal data
de taille moyenne où les RSSI cumulent le rôle de DPO. Dans les protection. A large number
of companies have reviewed
autres entreprises, il est indispensable que le RSSI et le DPO their security integration pro
cesses in their projects and
fonctionnent main dans la main, sinon il y aura dispersion des are now consulting the
CISO and DPO more
enjeux et risques de doublon dans les démarches. D’autant qu’il ne systematically. While proced
ures may still be lacking in
faut pas oublier que le RSSI et le DPO vont solliciter les mêmes maturity and require a mo
re pragmatic approach, the
acteurs, à savoir les responsables métiers ! Le pire serait d’arriver signs are nonetheless quite
encouraging.
à des choix incohérents s’il n’y a pas de concertation. Il faut que
les process soient le mieux intégrés possible. Développons des
processus collaboratifs efficaces.

GS Mag : Enfin, pouvons-nous entrevoir, selon vous, un En fait, toute règlementation est bonne à prendre et le RGPD va
avenir plus respectueux de nos données et sécurisé « by dans le bon sens de la protection des données. Mais ce règlement
design » ? ne couvre que les données personnelles. Quid des autres ? Il va de
soi que, pour les grandes entreprises, le RSSI appréhende
Mylène Jarossay : Il est certain que le règlementaire a quand correctement les besoins de protection, mais il n’est pas toujours
même réussi à mettre le sujet « Privacy » en avant. Il a constitué écouté, surtout en ces temps d’externalisation et de recours massif
un vrai levier. Nous voyons enfin les responsables des entreprises, au Cloud qui exposent plus que jamais les données des entreprises,
grandes manipulatrices de données, commencer à changer leurs y compris parfois les plus sensibles. On risque ainsi de monter une
discours. Le respect de la vie privée semble devenir un élément sécurité à deux vitesses avec une règlementation insuffisante. Le
valorisable. Il y a sûrement un avant et un après l’affaire Cambridge législateur devra y travailler. ■ ■ ■
Analytica.

31
© Sebastian Kaulitzki
MALWARES BUSTERS

QUAND LES
CYBERCRIMINELS
REMONTENT À
LA SOURCE
4Par Marc Jacob et Emmanuelle Lamandé

Dans leurs démarches de Sécurité et de Privacy by design, les entreprises recourent souvent à des
techniques de chiffrement, d’anonymisation, de pseudonymisation… Mais malheureusement, elles
ne sont pas les seules à en faire bon usage… Les cybercriminels eux aussi exploitent ces
techniques, pour commettre leurs méfaits en toute discrétion, mais aussi peaufiner leurs attaques.
Sans compter qu’ils sont toujours à l’affût du moindre bug ou vulnérabilité et n’hésitent pas à
remonter à la source pour ancrer leurs exploits directement dans le code.

Pour mettre en œuvre des cela contribue à faire baisser la vigilance des utilisateurs), constate
mesures de Sécurité et de Benoît Grunemwald, Expert en cybersécurité, ESET France. « L’un des
Privacy by design, les entre- exemples bien connus est le fameux « petit cadenas vert » qui
prises recourent souvent à indique qu’une connexion Web est chiffrée par SSL. Beaucoup d’utili-
des techniques de chiffre- sateurs imaginent qu’ils sont en sécurité lorsqu’ils voient ce symbole,
ment, d’anonymisation ou de alors qu’en réalité cela indique simplement que leur échange ne
pseudonymisation… « Ces pourra pas être intercepté par des tiers en chemin, mais pas que le
techniques sont d'excellentes site lui-même est sûr ! De fait, de plus en plus de sites de phishing
mesures pour assurer la confi- abusent de cela et déploient un certificat (via Let’s Encrypt ou en
dentialité des données sen- achetant de vrais-faux certificats SSL sur le Dark Web). Enfin,
sibles en cas de fuite », sou- concernant le chiffrement de manière plus générale, la protection des
ligne David Weber, Respon- clés est un facteur essentiel, sans lequel tout l’édifice peut s’effondrer.
sable du pôle RIS (Réponse Parler de chiffrement « par design » revient donc avant tout à
aux Incidents de Sécurité), réellement poser la question de la génération et de la gestion des
XMCO. « Nous recomman- clés de manière sûre, et c’est beaucoup plus complexe qu’il n’y
dons souvent la mise en œu- paraît. »
Benoît Grunemwald, ESET France vre de telles mesures dans
le cadre de nos audits. Et DES EMPREINTES QUI NE LAISSENT
lorsqu’elles sont correctement appliquées, la complexité pour en
venir à bout décourage bien souvent les cybercriminels qui sont gé- PAS DE TRACES…
néralement plus dans une démarche de rentabilité à moindre effort ».
Toutefois, ce n’est pas toujours le cas, et les erreurs d'implémentation Les techniques de chiffrement vont principalement reposer sur la
de ces mesures sont fréquentes, pour le plus grand bonheur des connaissance d’un secret partagé dans le cadre d’un chiffrement sy-
pirates. Effectivement, lorsqu’elles ne sont pas correctement mises en métrique ou d’un couple clé publique/ clé privée pour le chiffrement
œuvre, ces techniques peuvent conduire à un faux sentiment de asymétrique, explique Pierre Le Calvez, Security Consultant Manager,
sécurité, que les criminels vont alors exploiter à leur avantage (car Offensive Security, NTT SECURITY. « Lors d’une attaque sur la clé, un

32
MALWARES BUSTERS

cybercriminel va essayer de
retrouver des clés stockées
dans des fichiers de sauve-
garde ou de configuration
présents sur le serveur. Si
une clé symétrique faible a MALWARES BUSTER
S
été mise en place, un cyber-
criminel essayera de la casser, Cybercriminals ready to
head
afin de pouvoir déchiffrer la upstream to the source
donnée. À l’inverse, il est
très dur et long d’attaquer By Marc Jacob and Emmanue
lle Lamandé
un couple de clés de chiffre- Enterprises commonly resort
ment asymétrique. En effet, to encryption, anonymiza-
tion, pseudonymisation tec
la majorité des algorithmes hniques when addressing is-
sues of Security and Privacy
utilisés pour générer ces clés by Design, ... But regrettabl
these methods are used by y,
sont robustes et produisent others less well-intentioned.
Cybercriminals also exploit ..
Pierre Le Calvez, NTT SECURITY des clés de grande taille. these techniques not just to
perpetrate their undercover
Un autre moyen d’éviter de acts, but also to plot and im-
prove their attacks. In the me
stocker des données en clair dans son système est de garder une em- antime they are always on
the lookout and ready to tak
preinte de celles-ci. Pour cela, des fonctions de hachages sont e advantage of any bug or
vulnerability and will not hes
utilisées. Ce sont des algorithmes permettant de produire une itate to head upstream to the
source to anchor their misdee
empreinte unique et de taille fixe en prenant en entrée une donnée ds directly in the code.
de type et taille quelconques. Les fonctions de hachages sont faites
de sorte qu’à partir de l’empreinte d’une donnée, il soit impossible
mathématiquement de retrouver la donnée initiale. L’unique moyen
de retrouver une donnée à partir de l’empreinte passera par le calcul
de toutes les empreintes de données possibles jusqu’à retrouver la
même empreinte. L’algorithme utilisé va donc déterminer le temps
que mettra un attaquant à retrouver les données en clair à partir des
empreintes. Une fonction de hachage idéale permettra de mettre peu
de temps à réaliser une empreinte, mais sera très chronophage dans compromission d’une base de données contenant des données pseu-
le cadre du calcul de nombreuses empreintes. donymisées, un cybercriminel pourra revendre ces données personnelles,
Les fonctions de hachages sont souvent utilisées pour stocker les même s’il n’a pas retrouvé la clé et ne peut donc pas identifier
mots de passe en bases de données. En effet, ce n’est plus le mot de l’individu propriétaire. »
passe des utilisateurs qui est stocké, mais seulement une empreinte
de celui-ci. Dans le cadre de la compromission d’une base de données, Pour Ivan Kwiatkowski, Cher-
un attaquant récupérera seulement des empreintes qu’il devra casser cheur en cybersécurité au sein
unitairement. de l’équipe globale de re-
De son côté, l’anonymisation est très utilisée dans les environnements cherche et d’analyse de Kas-
de tests. En effet, il est généralement déconseillé de se servir de persky, le modèle de risque
véritables données dans ces environnements, ceux-ci étant par de chaque produit dépend
définition instables et pouvant être manipulés par de nombreux col- effectivement de sa nature,
laborateurs. Néanmoins, des données réelles sont souhaitées dans de ses usages, et évidemment
ces environnements, afin de tester correctement les fonctionnalités des données qu’il manipule.
d’une application, en plus de produire des développements cohérents. Les problèmes constatés sont
Pour répondre à cette problématique et éviter des fuites de données généralement liés à la mise
réelles, celles-ci peuvent être anonymisées tout en gardant le contexte. en œuvre des techniques dé-
Par exemple, une date anniversaire ou une adresse postale garderont crites (chiffrement, etc.) : mé-
un format cohérent permettant de les utiliser dans les environnements connaissance ou mauvais
de test et de recette. L’enjeu sera donc de réaliser une anonymisation usage des algorithmes utilisés,
robuste ne permettant pas à un attaquant récupérant des données collecte d’informations per-
anonymisées de pouvoir, par quelconque moyen, identifier ni l’individu sonnelles superflues... Il est
Ivan Kwiatkowski, Kaspersky facile pour les concepteurs
détenteur de celle-ci, ni la donnée en elle-même. Il est également
bon à savoir que ces données ne rentrent pas dans le champ d’un produit d’omettre cer-
d’application du RGPD. tains angles d’attaques. Par exemple, que se passe-t-il si quelqu’un
A contrario, la pseudonymisation, qui consiste à garder des données ouvre le produit ? Ou intercepte le trafic ? Y a-t-il des fonctionnalités
à caractère personnel sans qu’elles puissent être reliées à un individu, que seuls les développeurs sont censés connaître, mais que des
rentre dans le champ du RGPD. Ce procédé va créer une clé d’identi- attaquants pourraient découvrir (ex : mot de passe universel, interface
fication unique pour chaque individu permettant de lier entre elles d’administration, etc.). Le principal problème réside le plus souvent
toutes ses informations. Une fonction à sens unique, telle qu’une aujourd'hui dans l’absence de démarche de sécurité « by design ».
fonction de hachage avec mot de passe, est idéale pour réaliser ce Les contraintes de certains secteurs conduisent au phénomène de
processus. Un cybercriminel devra donc s’attacher à retrouver la clé « rush to market », où le produit doit être mis en vente le plus vite
secrète ayant été utilisée dans le processus de pseudonymisation possible. A cette aune, la réflexion autour de la sécurité du produit
pour créer l’identifiant unique associé à un individu s’il veut retrouver fait partie des considérations souvent reléguées au second plan, car
les données associées à celui-ci. Néanmoins, dans le cadre d’une perçue comme peu rémunératrice.

33
MALWARES BUSTERS

QUELQUES EXEMPLES D’ERREURS D’IMPLÉMENTATION


RÉGULIÈREMENT OBSERVÉES, SELON DAVID WEBER, XMCO* :

• Les données sont chiffrées sur le disque, mais la clé de Le dernier #fail que j'aimerais mettre en évidence est un peu plus
[dé]chiffrement est conservée dans un fichier à côté des données complexe à percevoir et souvent difficile à digérer pour les entreprises
chiffrées. #Fail qui l'ont mis en œuvre :
• Avant d'être importées en environnement de développement, les • Les données sont chiffrées en base. Mais le chiffrement est
données de la base de données de production sont anonymisées. effectué par le SGBD lui-même via un mécanisme de chiffrement
Bien ! transparent. Par conséquent, cette mesure de sécurité a été
- Mais l'anonymisation des données se fait directement sur le inefficace face à l'injection SQL exploitée par l'attaquant pour
serveur de développement lui-même. #Fail voler l'ensemble des données de la base. #Fail
- Et les exports de la base de données de production (où les En outre, le mécanisme que les éditeurs de bases de données
données ne sont donc pas anonymisées) qui sont déposés mettent fièrement en avant sous le nom de « TDE » (pour
sur l'environnement de développement ne sont jamais Transparent Data Encryption) est, à mon sens, dangereux lorsqu'il
supprimés. #Fail2 est employé sans considérer les limites de cette mesure. L'analogie
• L'application effectue un travail de pseudo-anonymisation avant peut être faite avec le chiffrement transparent des systèmes de
d'insérer les données en base. Mais toutes les données traitées fichiers.
par l'application sont présentes au sein de ces journaux avant
d'être pseudo-anonymisées. #Fail * Sans préciser si ces observations sont issues d'une compromission
avérée ou non.

LES PIRATES AUSSI USENT SÉCURISER LE CODE


DE CES TECHNIQUES NE COULE PAS DE SOURCE…
De leur côté, les pirates informatiques se servent aussi couramment Outre l’utilisation de ces techniques, les cybercriminels exploitent
des stratégies de chiffrement et d'anonymisation pour échapper aux tous les bugs et vulnérabilités possibles pour commettre leurs méfaits,
techniques de détection et éviter de tomber sous la coupe des forces à commencer par ceux présents dans le code des produits, logiciels,
de l'ordre, constate Alex Davies, Senior Security Researcher, F-Secure. applications, sites Web… d’où l’importance de développer du code
Souvent, ils chiffrent le trafic Command & Control, afin d'empêcher sécurisé « by design », et de régulièrement maintenir à jour tous ses
son inspection. Ils utilisent également des couches de proxy ou des systèmes. Toutefois, protéger les applications et développer du code
services comme TOR, afin de dissimuler leur localisation, ce qui sécurisé n’est pas chose facile, explique Nurfedin Zejnulahi. Pour le
complique l'enquête. En effet, les cybercriminels actuels, du moins faire correctement, il est important de développer l’expertise en
ceux qui s’y connaissent un minimum, n’utilisent plus aucun moyen interne et de mettre en place de bonnes pratiques en matière de
de communication non chiffré, confirme Nurfedin Zejnulahi, Directeur codage sécurisé, SDLC (Software Development Lifecycle Project). Il
Technique France, Trend Micro. Ils sont devenus très prudents et ne faut régulièrement procéder à des revues de code de sécurité, exécuter
communiquent la plupart du temps que par des systèmes de messagerie des « scans » sur le code source, effectuer des tests d'intrusion et
leur permettant une communication chiffrée de bout en bout. Sur les s’assurer que tous les composants logiciels de l’application sont à
forums de cybercriminels et les marketplaces, il devient impossible de jour, tout en considérant les contraintes de deadlines et de budgets.
communiquer en privé si l’on ne dispose pas a minima de PGP. Les Pourtant, même en respectant l’ensemble de ces étapes, les plus
messageries internes des forums utilisent quasiment systématiquement grands éditeurs de logiciels du monde découvrent encore des vulné-
ce protocole de chiffrement destiné habituellement à des emails. rabilités lorsqu’ils publient leurs logiciels. Les cybercriminels exécutent
en permanence des analyses sur les sites, applications et systèmes. Ils
Par ailleurs, depuis quelques années, les cybercriminels utilisent mas- créent des comptes d'utilisateurs malveillants, testent divers éléments,
sivement le chiffrement dans le cadre de campagnes de ransomwares, provoquent des exceptions et jouent avec les outils d'exploitation
souligne Alex Davies. Le chiffrement peut donc être utilisé par les disponibles sur Internet.
pirates à la fois à des fins d’évasion ou de manière offensive. Pour
Josu Franco, Strategy & Technology Advisor, Panda Security, le meilleur Plus une application est déployée, plus elle est visible. Il n’est donc
exemple de cybercriminels utilisant le chiffrement est effectivement le pas surprenant que le vecteur d’attaque Web soit devenu la première
ransomware. La même technologie, qui sert à préserver la confidentialité source de vol de données. Le phénomène ne fait qu’empirer avec
et à protéger les données, les aide à rendre les données inaccessibles l’apparition d’outils RAD (Rapid Application Development) et des
à leurs propriétaires légitimes. Les ransomwares peuvent avoir de conteneurs. Bien que les développeurs puissent créer des conteneurs
lourdes conséquences, comme l’ont prouvé certains cas récents : par à partir de rien, bon nombre d’entre eux sont construits avec de
exemple l'affaire Altran, Norsk Hydro, la ville de Baltimore, etc. vieilles images de base et des dépendances obsolètes. Par exemple,
un ensemble de 4 600 référentiels GitHub et 2 700 dépendances de
bibliothèques ont été évalués et 81,5% des projets étudiés utilisaient
des dépendances obsolètes, voire vulnérables !

Parmi les techniques d’attaques Web les plus répandues, Nurfedin


Zejnulahi cite notamment le Remote Commend Execution (RCE),

35
MALWARES BUSTERS

l’Open Redirect, l’Unautho- Les nouveaux pipelines de déploiement DevOps poussés par les révo-
rized File Access, le Cross- lutions Cloud et les technologies de conteneurisation de type Docker
Site Scripting (XSS) ou encore ont effectivement introduit de nouvelles façons de travailler pour les
l’injection SQL (SQLi). Pour développeurs, mais les principes de sécurité « by design » peinent à
rappel, les attaques XSS sont se faire une place, notamment via DevSecOps, déplore Pierre Le
des scripts malveillants in- Calvez. « Le premier défaut que nous pouvons observer est l’absence
jectés dans une application d’analyse de risques et d’expression d’objectifs de sécurité lors du
Web de telle sorte que, design des projets d’applications. De ce fait, il n’y a pas d’incentive à
lorsqu'ils sont exécutés par contrôler la sécurité dans les développements pour ceux qui en ont la
d'autres utilisateurs du site, charge – seules les livraisons liées aux évolutions et fonctionnalités
ils sont approuvés et exécutés, souhaitées sont attendues. La sécurité doit venir de plus haut et
donnant à l'attaquant un ac- découler d’une stratégie globale !
cès à des informations sen- Techniquement, nous conseillons à nos clients de porter une attention
sibles. Les cybercriminels peu- toute particulière au traitement des données de l’utilisateur, et de
vent obtenir des informations contrôler celles qui seront fournies à l’application. Les entrées
de connexion, des identifiants utilisateurs peuvent prendre la forme de plusieurs interactions, telles
Nurfedin Zejnulahi, Trend Micro de session et d'autres don- que la saisie d’une chaîne de caractères ou l’envoi d’un fichier. Nous
nées personnelles sur les uti- rencontrons bon nombre d’applications qui ne traitent pas les données
lisateurs. Ils peuvent également modifier le comportement du site ou de manière sécurisée. Cela peut engendrer des exécutions de code
demander aux navigateurs des usagers de participer à une attaque côté client avec des vulnérabilités de Cross-Site Scripting, ou plus
par déni de service distribué (DDoS). De leur côté, les vulnérabilités grave, des exécutions de code côté serveur pouvant entraîner la com-
d'injection SQL permettent aux attaquants de modifier la structure promission du serveur. Les cycles de développement étant de plus en
des requêtes SQL de manière à permettre la filtration ou la manipulation plus courts, nous sommes amenés à découvrir des fichiers par défaut
de données existantes. Les attaques par injection SQL constituent et des fichiers de configuration sur les serveurs, qui ne devraient plus
une vulnérabilité par laquelle les attaques abusent de la syntaxe SQL exister dans les environnements de production. Nous rencontrons
de manière inattendue par l'application. En exécutant certaines également des applications ne disposant pas de protection visant à
requêtes de base de données, un attaquant peut extraire des éviter les attaques par « force brute » sur les couples d’authentifiants,
informations contenues dans d'autres bases de données, tables, et qui consistent à tester toutes les solutions possibles de manière
même exécuter des commandes du système d'exploitation. naïve. Enfin, nous constatons encore de nombreuses applications
utilisant des mots de passe par défaut. Qu’ils soient des reliquats de
LES PRINCIPES DE SÉCURITÉ tests ou utilisés en production, ces mots de passe présentent un réel
vecteur d’attaque, car ils permettent généralement d’accéder à des
« BY DESIGN » PEINENT À interfaces d’administration. »
SE FAIRE UNE PLACE
SI LA ROUE EST DÉFAILLANTE,
Les pratiques de développe-
ments agiles, telles que le
C'EST TOUTE LA CARRIOLE QUI RISQUE
DevOps ou les processus d’in- DE FINIR DANS LE CANIVEAU
tégration et de déploiements
continus (CI/CD), induisent Le principal défaut que David Weber observe, de son côté, concerne
en outre des changements « le manque de mises à jour des composants tiers utilisés par les
extrêmement rapides de applications ; le risque de sécurité A9 (i.e. A9:2017-Using Components
codes et d’infrastructures, with Known Vulnerabilities) selon le Top10 2017 de l'OWASP. En
constate Michel Lanaspèze, effet, « pourquoi réinventer la roue quand elle existe déjà ». C'est
Directeur Marketing Europe un adage souvent entendu et qui reste vrai. Cependant, il faut
de l’Ouest, Sophos. Elles per- garder à l'esprit que « si la roue [que vous ne réinventez pas] est
mettent de publier de nou- défaillante, c'est toute la carriole qui risque de finir dans le
veaux logiciels plusieurs fois caniveau ».
par jour, mais en contrepartie On constate que même les entreprises qui possèdent une certaine
accroissent considérablement maturité en matière de gestion des correctifs de sécurité pour les
les risques en matière de sé- composants système et réseau ont du mal à faire évoluer les
Michel Lanaspèze, Sophos curité. Couplée avec l’utili- composants tiers utilisés par leurs applications. A votre avis, que se
sation croissante des possi- passe-t-il lorsque vous mettez à jour les bibliothèques ou le framework
bilités offertes par la simplicité du déploiement du Cloud public, cette utilisés par votre application ? Effet de bord, erreur de compilation et
tendance de fond met les équipes responsables de la sécurité sous dysfonctionnement partiel ou total de l'application sont les problèmes
pression. « On ne compte plus les attaques exploitant des négligences auxquels les entreprises ont à faire face. Lorsqu'à cela on ajoute les
sur des sujets qui apparaissent pourtant comme allant de soi pour notions « d'application métier sensible », « d'application composée
des spécialistes de la sécurité », déplore Michel Lanaspèze. « Les plus de millions de lignes de code » ou « d'application legacy », mettre à
courantes concernent de simples erreurs de configuration. Les cyber- jour un composant tiers tout en assurant le bon fonctionnement de
criminels recherchent activement de telles négligences, avec des l'application devient mission impossible. Cependant, même si cela
processus automatisés d’une redoutable efficacité. Une récente étude est difficile, ce sujet ne peut être ignoré et les risques associés
menée par Sophos a montré qu’il suffisait de 52 secondes pour doivent être adressés si l'on souhaite pérenniser le niveau de sécurité
qu’un Serveur Cloud se fasse attaquer par des cybercriminels, avec d'une application.
une moyenne de 13 attaques par minute [1]. »

37
MALWARES BUSTERS

Parmi les composants vulnérables que nous retrouvons le plus souvent pirates, les autres « grands » classiques sont le plus souvent liés à
dans nos audits, on peut citer : une mauvaise gestion de la mémoire, des mots de passe ou de
• Les CMS : Magento (PRODSECBUG-2198, CVE-2016-4010), Drupal l’authentification, au recours à des bibliothèques tierces vulnérables,
(CVE-2019-6340, CVE-2018-7600), Wordpress, etc. ; ou encore à une mauvaise intégration des bibliothèques de chiffre-
• Apache Struts (CVE-2018-11776, CVE-2017-9805) ; ment… souligne Benoît Grunemwald. L’un des exemples typiques
• PhpMyAdmin (CVE-2019-6798, CVE-2018-12613) ; de l’exploitation de ces écueils par les cybercriminels réside, en
• Spring (CVE-2018-1270, CVE-2017-8046). effet, dans la mauvaise intégration d’une bibliothèque de chiffrement,
qui force alors à utiliser une longueur de clé triviale à casser. Mais
En opposition, lorsque l'ensemble du socle technique d'une application il s’agit parfois aussi de la logique même de l’application qui est
est à jour, les défauts de sécurité que nous observons le plus souvent vulnérable. Le cas récent de l’application de paiement de 7-Eleven
sont issus de défaillances relatives aux mécanismes de contrôle au Japon l’illustre parfaitement : n’importe qui pouvait procéder à
d'accès aux ressources ou aux données de l'application. Mais rassu- un changement de mot de passe pour n’importe qui… et recevoir
rez-vous, les injections SQL, les XXE, les LFI, etc. sont des vulnérabilités le nouveau mot de passe sur son propre email ! Un demi-million
encore bien présentes. » de dollars a été dérobé en quelques jours, le temps que 7-Eleven
désactive son application. Enfin, les criminels comptent beaucoup
Le plus souvent, les cybercriminels exploitent ces différents écueils de sur les erreurs humaines, et lorsque le développement migre vers
manière organisée, outillée, voire industrialisée, explique David Weber. le Cloud public, celles-ci sont hélas encore trop fréquentes,
« Dans la plupart des cas, une donnée seule (donnée personnelle, notamment en matière de politiques d’accès aux données stockées
médicale, bancaire, etc.) n'a que très peu de valeur. Pour les cybercriminels, dans des conteneurs publics.
la rentabilité financière s'acquiert en amassant les données. Par exemple,
nous avons observé (et observons encore) le groupe de cybercriminels LE RISQUE DE
MageCart voler les données personnelles et bancaires de millions
d'individus en ciblant les sites de e-commerce, notamment ceux « SUPPLY CHAIN ATTACK » PLANE
reposant sur les technologies Magento, OpenCart ou OSCommerce. La SUR LE DÉVELOPPEMENT LOGICIEL
technique utilisée est discrète : du code malveillant est injecté au sein
des formulaires de paiement, et ce afin de voler les données saisies par Selon Josu Franco, tout code
les clients du site au fil de l'eau. A part surveiller l'intégrité des pages conçu par des humains pré-
de son site de e-commerce, l'attaque est presque indétectable. sentera quoi qu’il en soit
L'insertion du code malveillant est réalisée selon différentes méthodes. des vulnérabilités ou des
Cela peut passer par la compromission du site bien sûr, mais nous faiblesses pouvant être ex-
avons observé des méthodes bien plus fourbes. Par exemple, fin ploitées par un acteur mal-
2018, le groupe serait parvenu à infiltrer une régie publicitaire et à veillant. Certains produits
insérer du code malveillant au sein de la bibliothèque applicative qui aident aujourd'hui à iden-
était communiquée par le fournisseur et intégrée au sein des sites tifier ces vulnérabilités pré-
clients. Ces derniers ont également ciblé récemment des Buckets sentes dans le code, mais
AWS S3 non protégés, afin d’y insérer leur skimmer en JavaScript. » ils sont également créés par
des humains, le risque de
APPLICATIONS WEB : vulnérabilités sera donc tou-
jours présent. Lors du dé-
DES VULNÉRABILITÉS, veloppement d’un logiciel,
EN VEUX-TU, EN VOILÀ ! les défauts, oublis ou erreurs
Josu Franco, Panda Security de conception sont les plus
Les vulnérabilités peuvent effectivement se présenter sous de nom- difficiles à corriger (cela
breuses formes, en fonction du logiciel développé, explique Alex peut impliquer des modifications architecturales, par exemple).
Davies. Les applications Web, par exemple, présentent des vulnéra- Pour lui, le risque le plus grave pour une organisation dans le
bilités du « Top 10 de l'OWASP », parmi lesquelles se trouvent les domaine du développement logiciel est certainement ce que l’on
failles d'injection, les problèmes d'authentification/de contrôle nomme le « Supply Chain Attack ». Dans ce cas, un développeur
d'accès ou encore les scripts intersites. Les applications installées malveillant ou un attaquant infiltré dans l'environnement de déve-
sur les ordinateurs, notamment les navigateurs, abritent souvent loppement installe un code malveillant, par exemple, pour envoyer
des bugs permettant de pirater la mémoire, pour exécuter des ou recevoir des données vers ou à partir d'une adresse IP différente
codes d'attaque à distance. Les nouveaux objets connectés souffrent de celle qui est légitime. Voici deux exemples d'attaques de grande
de failles similaires, mais ils présentent, par ailleurs, des vulnérabilités envergure de type « Supply Chain Attack » :
liées aux identifiants codés en dur. • Mars 2019/Société ASUS : les pirates informatiques ont pu
Les cybercriminels et les États exploitent ainsi régulièrement au- accéder à l'infrastructure de mise à jour et de signature de code
jourd'hui les vulnérabilités présentes sur les logiciels, comme les ASUS et ont créé une version non autorisée d'une application
éditeurs de documents et les navigateurs, afin de prendre le ASUS légitime. Ils ont même signé les certificats valides de l'en-
contrôle de systèmes utilisateurs. Coinbase, par exemple, a treprise et les ont distribués via le mécanisme de mise à jour. On
récemment été ciblé par un exploit Firefox CVE-2019-11707 [2]. estime que plus d'un million d'utilisateurs ont peut-être téléchargé
Autre exemple significatif : le botnet Mirai. Les pirates informatiques et installé cette version.
ont pris le contrôle d'objets connectés en exploitant les noms • Mi-2017/Société AVAST Piriform : avant qu’AVAST ne finisse
d'utilisateurs et mots de passe par défaut. Ils ont ainsi pu créer un l’acquisition de Piriform, les fabricants du célèbre outil CCleaner,
botnet capable de mener des attaques DDoS massives [3]. les pirates informatiques avaient accès à l’environnement de dé-
veloppement et en avaient modifié certaines versions, ajoutant
Dans le domaine du développement Web, outre le Top 10 de une porte dérobée pour collecter des informations auprès des
l’OWASP des vulnérabilités de code les plus exploitées par les utilisateurs.

39
12èmeJOURNÉES
FRANCOPHONES
DE LA SÉCURITÉ DE L’INFORMATION
ESPACE SAINT-MARTIN - 199 BIS, RUE SAINT-MARTIN - 75003 PARIS

APPEL À COMMUNICATION
« Convaincre sans contraindre »*, telle est la devise de cet événement dédié à la sécurité de
l’information. L’objectif des GS Days, Journées francophones de la sécurité, est d’établir le
dialogue entre le monde de la technique (administrateurs, experts sécurité), les RSSI, DSI et les
décideurs. Ce colloque, exclusivement en français, proposera, dans un même espace, plusieurs
cycles de conférences et de démonstrations d’exploitation de failles informatiques, sous un
angle technique, organisationnel et juridique.

La 12ème édition des GS Days, qui se tiendra le 1er Le format des conférences sera de 50 minutes,
AVRIL 2020 à l’Espace Saint-Martin - Paris 3ème, dont 10 minutes de questions.
s’articulera notamment autour du thème : « Dé-
tection et réponse à incident sous l’angle de la Les présentations attendues devront proposer une
réactivité et des temps de réponse » vision technique ou scientifique. Les présentations
à fin commerciale ou la présentation d’un produit
Lors de cette édition 2020 des GS Days, l’accent ne seront pas acceptées. Cependant, les propositions
sera principalement mis sur les problématiques de présentant une analyse technique de la sécurité
détection et de réponse à incident, qui seront d’un produit, un comparatif fondé sur des tests
abordées à la fois sous un angle technique, orga- scientifiques, et les retours d’expérience avec un
nisationnel et juridique. Outre un état des risques aspect technologique, seront examinées avec
et des menaces, l’objectif sera notamment de don- attention.
ner quelques clés permettant aux entreprises
d’améliorer leur réactivité, que ce soit en matière
de détection d’incident ou de temps de réponse.
Quels outils utiliser ? Quelles procédures mettre
en place ? Comment sensibiliser ses équipes à ces
problématiques et renforcer la collaboration entre
Mercredi
les acteurs ?
1er Avril
DATES IMPORTANTES :
• Date limite de soumission : 17 JANVIER 2020
• Uniquement par mail : marc.jacob@globalsecuritymag.com
2020
• Notification aux auteurs : 27 janvier 2020 Paris
• Présentation définitive : 24 mars 2020
• Conférence : 1er avril 2020

Retrouvez tous les détails de l’appel à communication sur le site des GS Days : www.gsdays.fr
* citation de Jean-Marc Laloy, ARCSI

by SCASSI group

Renseignements : Marc Jacob Brami -


SIMP - 17 avenue Marcelin Berthelot - 92320 Châtillon
Tél. : +33 (0)1 40 92 05 55
marc.jacob@globalsecuritymag.com - www.gsdays.fr
MALWARES BUSTERS

Ce type d’attaques peut être très difficile à détecter et avoir un conteneurs et des orchestrateurs, il est important d’auditer aussi
impact potentiel élevé, en particulier pour les produits logiciels les conteneurs eux-mêmes, leurs configurations, et de garder la
dotés de grandes bases installées, susceptibles de recevoir une maîtrise des sources de données utilisées durant le développement.
mise à jour avec le code introduit par l'attaquant, explique Josu De nombreuses fuites de données ont eu lieu à cause d’une simple
Franco. Ce problème peut également être aggravé lorsque le erreur de mise en production précoce, ayant entraîné la publication
processus de développement est sous-traité à des tiers…, ce qui d’un jeu de données de test basé sur des données réelles sensi-
rend le contrôle encore plus difficile. Avec la pression concurrentielle, bles… Enfin, il faut aussi prendre un peu de hauteur et ne pas se
cela devient un défi de produire du code plus rapidement à limiter aux failles techniques, mais également valider la logique de
moindre coût, de le vérifier et de faire confiance à l'ensemble du fonctionnement d’éléments critiques, tels que le changement de
processus de développement. Toutefois, dans le même temps, les mots de passe. Sans compter qu’il est bien évidemment primordial
acheteurs, en particulier les entreprises et les gouvernements, d’associer la sécurité et le DPO dès le début de chaque projet.
exigent des assurances de la sécurité de leurs produits, en utilisant
des systèmes de certification, tels que « Common Criteria » ou les Lorsqu’une entreprise ne
différents niveaux de certification de l'ANSSI, par exemple. Bien dispose pas des compé-
qu’elles ne puissent garantir qu’il sera exempt de défauts ou de tences nécessaires en in-
vulnérabilités, ces certifications peuvent fournir des garanties de terne, David Weber préco-
sécurité concernant le logiciel, qui doit être soumis à un processus nise de faire appel aux
d’évaluation dans lequel les revendications documentées par le conseils d'experts sécurité
fournisseur sont testées et validées. et ce, dès la phase de
conception d'un projet,
NE BLÂMEZ PAS VOS DÉVELOPPEURS ! d'une application ou d'une
infrastructure. En effet, ce
Face à ces constats, Benoît Grunemwald recommande vivement n'est pas parce que la sé-
aux entreprises d’appliquer une véritable méthode de développement curité est intégrée dès le
sécurisée (le SDL promu par Microsoft, par exemple). Il est également début d'un projet que les
important d’automatiser au maximum les tests, notamment de mesures qui seront choisies
sécurité (audit de vulnérabilités, recherche de CVE), mais aussi seront appropriées et suffi-
l’analyse du code source grâce à des outils spécialisés, et cela le santes pour couvrir les
David Weber, XMCO risques encourus. Bien évi-
plus souvent possible. Avec les outils DevOps, il est désormais
possible de « marquer » du code, afin de procéder à des tests au- demment, faire appel à des
tomatiques en fonction de critères définis à l’avance, ce qui peut experts a un coût. Donc lorsque cela n'est pas possible, il
s’avérer très utile. En outre, si l’on a recours aux technologies des recommande de « s'appuyer sur des recueils de bonnes pratiques,

41
MALWARES BUSTERS

tels que PCI DSS ou HDS (qui lui-même s'appuie sur ISO 27001, réfléchie au plus tôt dans la définition des projets. À ce titre, il est
ISO 20000-1 et ISO 27018). « Ces deux standards ont pour primordial d’inclure les équipes sécurité dès le début des réflexions.
vocation la protection respective des données de cartes bancaires L’objectif est que les risques soient identifiés pour définir des
et de santé. Mais la grande majorité des mesures de sécurité qui y solutions qui ne répondent pas seulement aux besoins métiers,
sont conseillées sont applicables, quel que soit le type de donnée. mais qui adressent également les risques qui peuvent en découler.
Vous aurez probablement noté que je n'ai pas cité le RGPD, alors Enfin, il convient de suivre les recommandations de l’ANSSI dans
que celui-ci est sur toutes les lèvres lorsque l'on parle de Privacy et son Règlement Général de la Sécurité, et d’homologuer le Système
de protection des données. Je pense que la meilleure chose que le d’Information à la suite de l’implémentation des mesures de
RGPD a apporté aux entreprises est la « motivation » [via les sécurité. L’implication des décideurs qui découle de ce processus
sanctions financières] de mettre en œuvre les mesures de sécurité d’homologation pourrait permettre de faire changer les stratégies
nécessaires pour protéger les données personnelles et la vie privée et réorienter les objectifs au début des projets dans les organisations
des personnes. Malheureusement, au sein du RGPD, il y a une qui peinent encore à adopter ces principes fondamentaux.
notion récurrente qui est selon moi discutable, bien que paradoxa-
lement très juste : selon le RGPD, les mesures techniques et orga-
nisationnelles mises en place pour protéger les données personnelles LES RECOMMANDATIONS
doivent être « appropriées » (cf. articles 24, 25, 28, et 32).
Lorsqu'une entreprise ne sait pas par où commencer, ce n'est pas DE MICHEL LANASPÈZE, SOPHOS
la meilleure recommandation pour l'aider à avancer. »

Pour Nurfedin Zejnulahi, la problématique est tentaculaire. Adopter • Établir des règles et bonnes pratiques en matière de
de bonnes pratiques permet de réduire considérablement le risque, développement sécurisé, en prenant en particulier en compte
mais selon lui cela restera toujours insuffisant. L’intégration de dif- les normes et recommandations qui s’appliquent ;
férents éléments (librairie…) ou modèles rend la tâche encore • Mettre en place des procédures et outils pour détecter et
plus complexe. « Il existe aujourd’hui des solutions, comme la contrôler en permanence toute dérive par rapport à ces règles
technologie RASP ( Runtime Application Self-Protection ), qui et empêcher toute modification des paramètres critiques qui
permettent de contrôler les données entrantes sur les éléments pourrait vous exposer ;
composant la solution logicielle (bases de données, middlewares, • Prendre en compte l’infrastructure dans laquelle vont évoluer
bibliothèques d’authentification…) et d’analyser les résultats ces applications, en analysant en permanence les modifications
renvoyés par les différents composants. Si l’on reprend le cas des du modèle de déploiement, afin d’identifier les erreurs de
applications Web, chaque fois qu'une requête Web atteint l’application, configuration qui pourraient entraîner la mise en place de
les points d’interception de données du RASP alimentent le vulnérabilités.
processeur de règles. Ce dernier détermine en temps réel s'il y a
des signes d'attaque et agit en conséquence (blocage, alertes,
etc.). Bien qu’encore peu répandu, ce type de solution fournit une
sécurisation adaptée au mode de développement d’aujourd’hui. »

De son côté, Ivan Kwiatkowski estime qu’il est « facile de blâmer


un développeur pour une ligne de code qui cause un problème de
sécurité, mais il convient de souligner que les causes de ce type
d’incidents sont souvent organisationnelles. Un temps suffisant a-
t-il été accordé pour tester exhaustivement le produit ? Les
employés sont-ils formés aux problématiques de sécurité ? » Pour
lui, la démarche de « Security by design » est avant tout une
affaire de décision prise à l’échelon managérial. C’est donc en
priorité vers ces profils que doivent se tourner les efforts de sensi-
bilisation. Naturellement, il s’agit d’une démarche qui peut être
orthogonale à d’éventuels objectifs de rentabilité à court terme.

LE PROBLÈME EST AVANT TOUT


MANAGÉRIAL ET ORGANISATIONNEL
Lorsque les organisations conçoivent des logiciels, elles doivent,
en effet, veiller à intégrer le facteur « sécurité » tout au long du
cycle de développement, confirme Alex Davies. Les développeurs
doivent notamment être formés pour comprendre les risques et
l'impact du codage non sécurisé. Des processus de révision de
code automatisés et manuels doivent de plus être mis en place
pour détecter les problèmes de sécurité au fur et à mesure du dé-
veloppement logiciel. Idéalement, ce travail de révision doit être
mené sur une base continue, de manière à détecter et à corriger
les vulnérabilités le plus tôt possible. Les tests d'intrusion et les
Bug Bounties permettent également d'examiner efficacement les
applications déjà en production, pour aborder l’avenir avec confiance.

Pour Pierre Le Calvez aussi, il est important que la sécurité soit

43
MALWARES BUSTERS

Comme le recommandent des sociétés de conseil, telles que Gartner « Trust but verify », dans laquelle les activités peuvent être surveillées
et d’autres, il existe certains principes que les responsables des ap- et profilées par rapport à ce qui est normal, permettant de repérer
plications des organisations devraient suivre, en commençant par des anomalies pouvant indiquer un comportement suspect.
être proactifs, et non réactifs, en matière de confidentialité, explique
Josu Franco. Cela signifie créer une culture de « privacy first », qui Un autre principe important, selon Josu Franco, est de supposer que
doit être soutenue au plus haut niveau, avec des engagements les utilisateurs ne doivent rien faire pour préserver leur confidentialité,
clairs. Ce qui échoue dans la plupart des cas, ce n’est pas la car celle-ci est intégrée par défaut. « Cela nécessite de documenter
technologie, mais la structure et la culture organisationnelles. où se trouvent les données, pourquoi elles sont collectées, si elles
Concernant l’infiltration potentielle de pirates informatiques dans sont vraiment nécessaires, etc., et agir en conséquence. Bien
l’environnement de développement, nous parlons d’autres types de entendu, du point de vue du développement, la confidentialité
mesures de sécurité. Celles-ci ne seraient pas différentes des devrait être intégrée à la conception, et non ajoutée après. Les
mesures visant à protéger les infiltrations sur le réseau, garantissant, facteurs relatifs à la vie privée, et leur évaluation, doivent faire
par exemple, que les services d'accès distants inutiles soient partie du cycle de développement.
désactivés, en particulier dans les systèmes utilisés par les développeurs Enfin, de manière générale, la visibilité et la transparence devraient
(internes, externes, etc.), ou utilisant l'authentification à plusieurs également être maintenues en tant que principe. Cela signifie offrir
facteurs s’ils sont en fait nécessaires. Un accès à distance non une expérience utilisateurs dans laquelle ils comprendraient vraiment,
sécurisé a été utilisé dans certaines attaques « Supply Chain Attacks ». en termes simples, les notions de données collectées et la raison de
Et si nous parlons des abus ou des comportements malveillants cette collecte. Les utilisateurs doivent être au centre du développement
potentiels d’un développeur ayant un accès légitime à l’environnement et des opérations des applications », conclut-il. ■ ■ ■
de développement, il est recommandé d’adopter la méthode

[1]
Rapport Sophos d’avril 2019 « Exposed: Cyberattacks on Cloud Honeypots » : http://www.sophos.com/CloudHoneypotsReport
[2]
https://www.zdnet.com/article/firefox-zero-day-was-used-in-attack-against-coinbase-employees-not-its-users
[3]
https://www.csoonline.com/article/3258748/the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html

45
RISK MANAGEMENT

EXERCICES DE GESTION
DE CRISE : UNE ÉTAPE
INCONTOURNABLE POUR
GAGNER DE PRÉCIEUSES
MINUTES LE JOUR J !
4Par Stéphanie Ledoux, Présidente d’Alcyconie

La question n’est plus de savoir SI vous serez touchés par une crise,
mais QUAND vous le serez. Cette phrase, presque érigée au rang des
adages populaires, flotte désormais dans les esprits et les bureaux
des responsables Risques, des Directeurs de la Communication ou
encore des RSSI (Responsables de la Sécurité des Systèmes
d’Information). Alors, sachant cela, mieux vaut se préparer à gérer
la crise dès à présent et tester la robustesse de ses dispositifs aussi
souvent que possible.

Les entreprises touchées par des crises ne sont plus des cas isolés. réputation, la rendent sympathique et proche. Véritable argument
La sensibilité extrême de l’opinion publique, l’importance de la commercial, la réputation de l’entreprise mobilise de nombreuses
réputation, l’émergence des fake news, le durcissement de fonctions en interne, qui y veillent comme du lait sur le feu. Mais la
la réglementation, ou encore les tensions géopolitiques expliquent en croissance de la réputation de l’entreprise est inversement
partie la croissance du nombre de crises. Mais la médiatisation et la proportionnelle à sa fragilité, car si elle lui permet de gagner
multiplicité des crises n’ont d’égal que leur complexité et leur intensité. rapidement la préférence des consommateurs, elle la rend
particulièrement vulnérable : « Il faut 20 ans pour construire une
Face à ces situations d’exception, qui mettent l’organisation sous réputation et cinq minutes pour la détruire » (Warren Buffett).
pression et la détournent de ses missions prioritaires, les dirigeants
doivent prendre des décisions dans des délais de plus en plus serrés, Un paradoxe que certains activistes ou défenseurs d’une cause ont
tout en étant plongés dans l’inconnu : le dénominateur commun à bien compris et auquel ils ont recours, les réseaux sociaux leur offrant
l’ensemble des crises est l’INCERTITUDE. un territoire d’expression infini. Car dans la confrontation qui oppose
parfois certaines organisations à leurs consommateurs ou à leurs
UNE EXPOSITION CROISSANTE détracteurs, l’outil de la réputation permet de rétablir, voire d’inverser
le rapport de force. Quel meilleur levier pour faire tendre l’oreille à
DES ENTREPRISES une entreprise, un politique ou une commune que de laisser planer
un voile sombre sur son image en le menaçant de publier certaines
La digitalisation, la compliance et le RGPD permettent d’accélérer et images « choc », certains rapports dérangeants… Il est ici utile de
de sécuriser les affaires, mais ils exposent également nos entreprises préciser que la véracité des éléments publiés importe peu, surtout
à de nouvelles menaces. Si la vulnérabilité des organisations lorsque l’on sait qu’une « fake news » se répand 6 fois plus vite [1]
s’amenuise sous de nombreux aspects, la surface d’attaque augmente qu’une information juste.
via l’émergence de ces nouveaux domaines.

Considérons par exemple la réputation d’une entreprise. Grâce aux


DES SITUATIONS DE PLUS
réseaux sociaux, une organisation peut construire sa notoriété et EN PLUS INTENSES
gagner en visibilité rapidement. Les commentaires positifs et
l’engagement des followers participent à la construction de sa Dans la tourmente, le dirigeant se voit contraint de décider dans

46
RISK MANAGEMENT

l’urgence de la réponse opérationnelle à apporter (ou pas), de la


stratégie à adopter pour gérer l’évènement, des ressources internes
et externes à mobiliser. Il ne dispose plus, comme il y a encore
quelques années, d’un laps de temps significatif pour réagir posément,
après avoir analysé les informations en sa possession. RISK MANAGEMENT

L’avènement des réseaux sociaux a fait passer la gestion de crise à la Crisis Management Exe
rcises: vital to gain
moulinette de l’instantanéité. Ainsi, l’organisation amorce precious minutes on the
day of reckoning!
fréquemment sa gestion de crise en réaction à un tweet, à l’appel d’un
journaliste ou d’un consommateur et non en étant le porteur de la By Stéphanie Ledoux, Preside
nt of Alcyconie
nouvelle. Ces précieuses minutes qui séparent l’annonce de la crise
des premières décisions à prendre se comptent sur les doigts de la The question is no longer WH
ETHER you will be affected
main et doivent être parfaitement employées. by a crisis, but WHEN you will
be. This now commonplace
catchword is at present pre
occupying the thoughts and
Le dispositif de gestion de crise et les modalités de mobilisation departments of Risk
Managers, Directors of
doivent bien entendu être définis en amont : ce n’est pas le jour de Communication, or CISO (Inf
ormation Systems Security
l’évènement qu’il convient de s’interroger sur les ressources à Officers). Reckoning on this it
would be better to get ready
impliquer et la manière de contacter ses collaborateurs. En possession to tackle the crisis now
and test the robustness
prospective measures as ofte of
de ces éléments théoriques, c’est au travers d’exercices de crise n as possible.
réguliers que l’organisation gagnera en efficacité et utilisera à bon
escient les quelques minutes qu’il lui reste pour construire une riposte
et prendre les premières mesures conservatoires. Tel l’orchestre qui
répète sa partition jusqu’à l’avoir faite sienne, l’entreprise et les
membres de la cellule de crise doivent s’entraîner pour que le dispositif
soit fluide et efficient.
orientations à donner. Il peut s’agir d’appels téléphoniques, d’emails,
Les exercices de gestion de crise donnent également à leurs
de coupures de presse, de tweets…
protagonistes l’occasion de se confronter à une dimension sous-
estimée : l’épreuve du temps. Si l’état de gestion de crise était
Si la narration revêt une importance capitale dans la crédibilité de
souvent un évènement circonscrit dans un temps court, il peut
l’exercice, son tempo est tout aussi crucial. Pour les exercices sur table
désormais perdurer sur plusieurs jours. La pression médiatique et
notamment, les participants doivent être projetés dans le temps et
interne qui accompagne régulièrement ce type d’évènements
jouer en parallèle sur le temps réel et le temps de la fiction.
occasionne bien souvent « une crise dans la crise », génératrice de
rebondissements et d’épisodes successifs. La pression très forte subie
De même, les exercices se concentrent généralement sur la phase de
par l’entreprise au cœur de la crise rend l’épreuve particulièrement
démarrage de la gestion de crise.
éprouvante. Toucher du doigt l’intensité d’un tel épisode permet de
Pour certaines entreprises déjà rôdées, il peut être intéressant de se
limiter l’état de sidération qui peut parfois frapper les personnes
confronter à la gestion du « jour d’après » ou encore à l’étape cruciale
impliquées dans la gestion de l’évènement, de tester la cohésion de
de sortie de crise.
l’équipe et de mieux connaître ses capacités personnelles dans de
telles situations.
Des mises en situation en conditions et temps réels sont également
possibles. Généralement conduites pour des organisations rompues à
DE L’EXERCICE SUR TABLE DE DEUX la gestion de crise, elles nécessitent souvent l’implication
HEURES À L’EXERCICE EN TEMPS RÉEL d’intervenants externes (SDIS, DREAL, forces de l’ordre…) et
permettent de tester des dispositifs de grande ampleur et la
SUR 24H OU PLUS : DES MISES EN coordination des nombreuses parties prenantes. On citera ici les
exercices menés par Aéroports de Paris, ou encore Cyberfenua, qui
SITUATION À CALIBRER EN FONCTION simule une cybercrise grandeur nature sur la Polynésie Française pour
DES ENJEUX tester sa résilience et la coordination avec la métropole, complexifiée
par la distance et le décalage horaire.
En amont de tout exercice, des objectifs précis doivent lui être assignés.
S’agit-il de tester l’efficacité du dispositif de mobilisation ? De roder Les organisations qui le souhaitent pourront aussi mettre en œuvre
l’utilisation des outils mis à disposition ? De piloter la coordination des stages de type « bootcamp », menés en collaboration avec
entre plusieurs cellules de crise ? De déclencher le PCA (Plan de d’anciens agents gouvernementaux ou des militaires par exemple afin
Continuité d’Activités) ou le PRA (Plan de Reprise d’Activités) ? de tester la résistance du collectif et la prise de décision collégiale en
situation de stress intense.
L’exercice de crise n’est en aucun cas un produit sur étagère que l’on
réutilise à l’envie, mais un projet à part entière, qui nécessite de Pour conclure, il est important de garder à l’esprit qu’un exercice de
connaître l’entreprise pour laquelle l’exercice est conduit, d’en crise n’est ni un jeu ni un moment convivial, mais un test grandeur
maîtriser l’organigramme, les spécificités, les codes. C’est par le soin nature de la résilience de l’organisation et de la cohésion de ses
porté aux détails que l’exercice sera réaliste et que les participants se équipes confrontées à l’incertitude. La gestion d’évènements dits de
« prendront au jeu ». crise ne s’improvise aucunement et la réactivité imposée par le monde
actuel nécessite une préparation idoine. ■ ■ ■
Au-delà de la situation initiale qui sera dépeinte aux participants,
l’exercice doit être enrichi de nombreux stimuli, qui permettront [1] The spread of true and false news online, Soroush Vosoughi, Deb Roy, Sinan Aral,
d’accélérer l’exercice, de le ralentir, d’intensifier la pression ou encore Science 09 Mar 2018, Vol. 359, Issue 6380, pp. 1146-1151 DOI:
d’amener les participants à douter des décisions prises et des 10.1126/science.aap955

47
RISK MANAGEMENT

DE LA FICTION PAS SI FICTIVE


Lundi matin, 8h15. Vous arrivez au bureau et allumez votre 10h42. Un journaliste contacte le standard. Il souhaite discuter
ordinateur. L’écran de celui-ci reste désespérément noir, malgré vos avec le Directeur Général de l’entreprise. L’opérateur lui répond que
différentes tentatives pour le rallumer. Vos collègues du ce n’est vraiment pas le moment, que c’est assez la pagaille comme
département RH arrivent et sont confrontés à la même situation. cela. Le Directeur est de toute façon injoignable puisque les
Vous contactez votre département SI, dont le directeur est ordinateurs de l’entreprise sont hors service.
malheureusement en congés pour 15 jours. Vous informez son
adjoint de ce qui se passe à la DRH et à la Direction Financière, 11h15. Article sur le site de la Provence : « L’entreprise Glimbi
peut-être rencontrez-vous un problème réseau ? N’a-t-il rien victime d’une cyberattaque ? Inquiétez-vous pour vos données
remarqué ? Il vous promet de revenir vers vous dans la matinée. personnelles ! » Les appels et les articles pleuvent. La
communication est submergée et est bien en peine pour gérer la
9h45. Le service clientèle est submergé d’appels et de tweet : le situation sans ordinateurs ni emails.
site de e-commerce est en rade. Cela tombe d’autant plus mal que
c’est le deuxième jour des soldes… Le manager du service clientèle 13h. Le Directeur Technique appelle le Directeur Général : la
contacte la DSI. L’adjoint du DSI lui indique qu’il s’en occupera plus production, qui semblait quelque peu capricieuse depuis ce matin
tard dans la matinée, car il est dans l’immédiat mobilisé avec toute est à l’arrêt. Les deux lignes de production se sont mises en sécurité.
l’équipe SI sur la remise en route des ordinateurs du siège pour Le responsable maintenance et le responsable technique sont sur
permettre à l’ensemble des services support de se remettre au le pont, mais ne comprennent pas pour l’instant ce qui peut
travail. expliquer un tel arrêt…

10h15. L’équipe communication, également sans emails ni Tout ceci n’est rien par rapport à la succession d’évènements qui
ordinateurs, reçoit en message privé sur le compte Facebook de pourraient jalonner le démarrage d’une crise… ou dans une
l’entreprise un message pour le moins étonnant. Il s’agit d’un email hypothèse bien plus positive, constituer le squelette d’un exercice.
signé GlupS5RF8 et réclamant le versement de 10 bitcoins avant La fuite de données avérée, la défiance des collaborateurs, un
14h pour transférer la clé qui permettra à l’entreprise de récupérer scandale annexe… la liste des évènements pouvant survenir est
ses données. Le message n’est pas traité. infinie et le déroulé ci-dessus n’est qu’un échantillon de ce que
l’entreprise doit gérer en cas de problème.
10h30. Le volume de tweet de clients mécontents explose. Tous
sont plus incendiaires les uns que les autres. Ils décrient notamment
le manque de réactivité de l’entreprise qui n’a toujours pas su
remettre le site en ligne depuis 8h30.

49
RISK MANAGEMENT

5G : ANTICIPEZ LES RISQUES


POUR ÉVITER LE PIRE !
4Interview de Luména Duluc, déléguée générale du CLUSIF, et des experts du CLUSIF
Par Marc Jacob et Emmanuelle Lamandé

La 5G va sans aucun doute faire son entrée dans le paysage des Télécoms dans quelques mois.
Cette nouvelle technologie va permettre de nouveaux usages dans le domaine des objets
communicants, de l’IA… et plus largement dans toutes les activités de notre société. Pour Luména
Duluc, déléguée générale du CLUSIF, et les experts du CLUSIF, il va falloir anticiper les risques
pour éviter des problèmes qui pourraient avoir une sévérité particulièrement élevée.

Global Security Mag : Pouvez-vous nous définir ce qu’est atteindre chaque mobile, et organise le fonctionnement simultané
la 5G et ses principales caractéristiques techniques ? de plusieurs antennes afin de créer des faisceaux (« beams »)
d’ondes millimétriques à destination des mobiles.
CLUSIF : La 5G est la technologie de réseau cellulaire de cinquième Les nouveaux mobiles 5G ont également une capacité 4G LTE, car
génération faisant suite à la 4G, mais offrant un accès à large bande. les réseaux 5G utilisent la 4G pour établir initialement la connexion
L’association industrielle 3GPP (3rd Generation Partnership Project) avec la cellule, ainsi que dans les lieux où le réseau 5G n’est pas
prévoit de finaliser la première version du standard 5G en 2019. encore déployé.
Cette version, connue sous le nom 3GPP Release 15, contient les
spécifications initiales de la 5G pour fonctionner conjointement avec 5G : PLUS DE DÉBIT POUR S’ADAPTER
de la 4G et un cœur de réseau 4G. La première version du standard
permet de mettre sur le marché les premiers équipements 5G, et aux À L’AVÈNEMENT DES IOT ET DE L’IA
premiers déploiements des opérateurs de voir le jour. La phase 2 du
standard 5G est, quant à elle, prévue pour 2020. GS Mag : En quoi la technologie 5G diffère-t-elle par
Les réseaux 5G sont organisés comme les précédentes générations rapport à ses prédécesseurs ?
de réseaux cellulaires dans lesquels la zone de service est divisée en
une mosaïque de petites zones géographiques, appelées cellules. CLUSIF : La 5G constitue une véritable révolution en matière de
Les signaux transportant les données (sons, images…) sont transmis capacités réseau sous plusieurs angles techniques. En termes de
sous forme de flux numérique. Tous les smartphones 5G (ou autres nombre d’utilisateurs, la 5G permet au réseau de prendre en charge
équipements sans fil 5G) présents dans une cellule communiquent dix fois plus de personnes, de capteurs ou de machines, etc.
par ondes radio avec un réseau d’antennes locales. Ces dernières (1 million d’appareils par kilomètre carré, alors que la 4G ne prend
sont connectées au réseau téléphonique et à Internet par une en charge que 100 000 appareils au kilomètre carré). La 5G fournit
connexion de fibre optique à large bande passante ou de liaison un débit beaucoup plus élevé (10 Gbps et plus), alors que la 4G est
terrestre sans fil. Comme pour les téléphones portables existants, limitée à 100 Mbps. La latence du réseau 5G est minimisée jusqu’à
lorsqu’un utilisateur d’un mobile 5G passe d’une cellule à une autre, 1 ms, alors qu’elle est actuellement supérieure à 10 ms.
sa communication est automatiquement « transférée » de manière Dans la partie radio, la structure des trames est plus flexible en 5G,
transparente à l’antenne de la nouvelle cellule. ce qui permet au système radio de s’adapter de manière précise à
Pour augmenter les débits de données vers les mobiles, la 5G prévoit différents types de trafic et de qualités de service. Par exemple, la
d’utiliser des ondes millimétriques (spectre de 30 à 300 GHz). Ces 5G permet des communications « connectionless » mieux adaptées
dernières ont une portée plus courte et les cellules sont donc limitées à l’Internet des objets (« Internet of Things » - IoT) permettant de
à une taille plus petite. Une autre technique déjà introduite en 4G faire face à des densités de connexion très élevées.
pour augmenter le débit est le MIMO massif (Multi-Input Multiple La 5G s’accompagne d’une transformation importante du cœur du
Output). Chaque cellule sera équipée de plusieurs antennes réseau. Le nouveau cœur 5G (« 5G Core ») supporte les fonctions
communiquant avec les mobiles qui recevront ainsi plusieurs flux classiques d’un cœur de réseau 4G : gestion des sessions des
binaires de données simultanément, en parallèle. Grâce à la usagers, transport du trafic entre la radio et l’Internet, assignation
technique appelée « Beam Forming », l’électronique embarquée des adresses IP vers les abonnés, authentification des abonnés,
dans l’antenne ou l’ordinateur de la station de base calcule en facturation (« charging »), ainsi que les nouvelles fonctionnalités
permanence le meilleur chemin emprunté par les ondes radio pour comme le « Network slicing ». La possibilité de découpage virtuel

50
RISK MANAGEMENT

des ressources du réseau (« Network slicing ») permet de créer des


réseaux virtuels de bout en bout (« Network slice »), incluant la
radio, et qui ont leurs propres niveaux de qualités de service adaptés
à leurs applications et clients. RISK MANAGEMENT
L’architecture du cœur du réseau 5G est très différente des
5G: take measures to pre
architectures précédentes. Une approche SDN (« Software Defined vent risks!
Networks ») est mise en œuvre pour séparer les fonctions de
Interview with Lumena Duluc,
contrôle (« control plane ») des fonctions utilisateurs (« user Delegate General of CLUSIF
plane »). Cela rend les fonctions de contrôle du réseau directement and CLUSIF experts
By Marc Jacob and Emmanue
programmables et permet de délivrer de nouveaux services à la lle Lamandé
demande sur l’infrastructure de réseau sous-jacente. 5G will soon be rolling out
in a big way across mobile
Un « SDN Controller » est en charge de gérer le trafic de manière phone networks. This latest
technology will enable many
centralisée et orchestre la manière dont les différents équipements new uses and applications
in the field of communicating
de réseaux communiquent entre eux. Le cœur de réseau 5G supporte objects, AI ... and more gen
erally in all our day-to-day
activities. For Lumena Duluc,
la possibilité de définir de multiples hiérarchies de réseau. Comparé Delegate General of CLUSIF
and CLUSIF experts, it is vita
aux cœurs de réseaux actuels qui sont « plats », la 5G en créant des l to take all precautions and
measures necessary to pre
cœurs hiérarchiques va permettre à du trafic d’être commuté vent potentially severe and
critical new risks.
dynamiquement entre des réseaux radios de différentes tailles et
topologies.
La virtualisation des fonctions réseaux « Network Functions
Virtualization » (NFV) fait référence au remplacement des fonctions
de réseaux traditionnellement supportées par des équipements
dédiés et spécialisés (« Appliances ou Bare Metal »), par des
instances virtualisées de ces fonctions supportées cette fois par des
équipements génériques (« Commercial off-the-shelf hardware » – La 5G va rendre possible le développement à grande échelle des
COTS), libérés des contraintes de l’infrastructure physique. Dans un objets connectés. Ceux-ci vont jouer un rôle fondamental dans les
réseau 5G, NFV est mis en œuvre pour implémenter le « Network domaines de la mobilité, de la réalité augmentée, dans la production
slicing » et la mise en place d’un cloud distribué (« distributed industrielle (industry 4.0) et dans les réseaux de production
cloud »). Le cloud distribué permet à de multiples Data Centers d’énergie.
d’apparaître comme participant à un seul Data Center virtuel et Le « Network slicing » devrait permettre à de nouvelles opportunités
commun. économiques de se développer sous la forme de sections
Par conséquent, en 5G, les opérateurs seront capables de d’infrastructure (« slice ») réservées soit pour des entreprises ou des
programmer leurs réseaux en temps réel et, en segmentant le applications spécifiques. Un large éventail d’applications devrait voir
réseau, d’introduire des nouveaux services rapidement, basés sur les le jour, tel que les Transports collectifs et privés autonomes sans
besoins de ces services plutôt que sur les configurations des conducteur, l’automatisation de processus industriels – le
équipements. Il s’agit d’une caractéristique essentielle du réseau 5G développement de fermes de robots industriels, l’étalonnage en
pour pouvoir satisfaire des usagers mobiles avec des besoins en temps réel d’équipements sans fil, les diagnostics et traitements
bande passante fluctuants. médicaux à distance, la gestion des drones à l’échelle du Web,
l’application dans le contexte des « smart cities » et « smart
GS Mag : Quels sont les nouveaux usages rendus possibles homes »…
grâce à la 5G ? Il est important de remarquer que les développements de
l’intelligence artificielle et de la 5G vont être liés. D’une part, la 5G
CLUSIF : Trois utilisations principales de la 5G sont prévues. Il s’agit va fournir l’infrastructure et les énormes volumes de données dont
des communications à large bande mobile améliorées (eMBB – l’intelligence artificielle a besoin pour son succès. En effet, les
« Enhanced Mobile Broadband »), des communications ultra fiables technologies d’intelligence artificielle sont d’autant plus pertinentes
à faible temps de latence (URLLC – « Ultra Reliable Low Latency et précises qu’elles ont accès à de grandes quantités de données.
Communications ») et des communications massives de type D’autre part, l’intelligence artificielle pourrait bien être indispensable
« machine » (mMTC – « Massive Machine Type Communications »). pour gérer le volume de décisions nécessaires afin de distribuer les
• Le nouveau haut débit mobile (eMBB) utilise la 5G comme une flux de trafic au sein des « slices » du réseau 5G de manière efficace.
amélioration des services haut débit mobile 4G LTE, proposant des La multitude et l’ampleur des mutations technologiques introduites
connexions plus rapides, un débit plus élevé et une plus grande avec la 5G sont telles qu’elles vont vraisemblablement s’accom-
capacité. pagner d’importants changements de société et de mode de vie. La
• Les communications ultra-fiables à faible temps de latence 5G ne va pas se limiter à la possibilité de charger un film HD sur un
(URLLC) font référence à l’utilisation du réseau pour des téléphone en quelques secondes, elle va permettre à l’être humain
applications critiques nécessitant un échange de données robuste de s’entourer d’une multitude de nouvelles applications intelligentes,
et ininterrompu. efficaces en termes de consommation d’énergie, fiables, mobiles,
• Les communications massives de type machine (mMTC) seront disponibles en temps réel et quel que soit le lieu. Dans le futur,
utilisées pour se connecter à un grand nombre de périphériques à l’accès à Internet sera plus répandu que l’accès à l’électricité par le
faible consommation d’énergie, dotés d’une évolutivité élevée et fait même que les smartphones et les tablettes peuvent être
d’une durée de vie de la batterie accrue, dans une zone étendue. rechargés grâce à l’énergie solaire. Pratiquement n’importe quel

51
RISK MANAGEMENT

objet, contenant une puce électronique, pourra être connecté à un que le lancement du Samsung Galaxy S10 5G. Aux États-Unis,
réseau de communication et sera en mesure de relayer de Verizon a débuté son déploiement à Chicago et à Minneapolis début
l’information d’usage ou relative à son environnement à un avril 2019. AT&T et T-Mobile ont également lancé les premiers
écosystème qui saura utiliser les informations pour lancer des actions services commerciaux.
proactivement. La Chine n’est pas en reste, China Unicom, China Mobile et China
Telecom ont également procédé à diverses expérimentations 5G
EN FRANCE ET DANS LE MONDE, ON depuis 2017. D’ici la fin 2020, China Mobile prévoit de déployer 20
000 stations de base 5G. A terme, la Chine aura le plus grand
MULTIPLIE LES EXPÉRIMENTATIONS nombre d’usagers 5G. Il est estimé (source GSMA) que la Chine
comptera 460 millions de connexions 5G en 2025.
GS Mag : Quelle est la stratégie de la France dans le Dans le reste du monde, que ce soit en Europe, en Amérique du Sud,
développement et le déploiement de la 5G ? S’inscrit-elle au Moyen-Orient ou en Asie, la plupart des opérateurs commencent
dans la lignée de celle adoptée aujourd’hui par les autres des tests 5G en 2019. Les déploiements commerciaux sont
pays ? généralement prévus pour 2020.

CLUSIF : En Europe, le législateur a jugé nécessaire l’intervention


dans chaque État membre d’une autorité indépendante des GS Mag : Où en est-on aujourd’hui dans le déploiement de
entreprises comme du Gouvernement, afin de s’assurer du bon la 5G ? Pouvez-vous nous citer quelques cas concrets
développement des réseaux télécoms. En France, le parlement a créé d’utilisation ?
en 1997 l’Arcep (Autorité de régulation des communications
électroniques et des postes), qui parmi différentes missions est en CLUSIF : Les premiers cas d’utilisation de la 5G sont liés à
charge de l’attribution des fréquences radios aux opérateurs. l’amélioration des services haut débit mobile 4G LTE. Une des
Pour préparer le déploiement de la 5G, l’Arcep a délivré en 2017 de premières applications de la 5G est appelée « fixed wireless » et
nombreuses autorisations d’utilisation de fréquence à des fins permet d’obtenir un accès Internet à haut débit à domicile sans faire
d’expérimentations, notamment dans les bandes 2,6 GHz TDD et usage d’une ligne ADSL ou d’une fibre optique. Une autre
3,5 GHz, où de nouveaux services devraient être introduits à court application concrète de la 5G est la réalité augmentée qui va
terme (réseaux mobiles professionnels, 5G). s’appuyer sur les débits de la 5G en pointe de 20 Gb/s et de 1 Gb/s
Début 2018, elle a ouvert un guichet « pilotes 5G », qui offre du en mobilité.
spectre pour tester le déploiement grandeur nature de pilotes 5G
(ports, hôpitaux, routes connectées…) et anticiper les modèles
économiques de demain.
Enfin, en juillet 2018, l’État s’est doté d’une feuille de route
ambitieuse visant à faciliter le développement et le déploiement de
la 5G, incluant le programme de travail de l’Arcep. L’État a fixé une
série d’objectifs clairs : lancement de plusieurs pilotes 5G dès 2018,
accueil de premières mondiales concernant l’application de la 5G
dans les domaines industriels, en 2020 des fréquences 5G attribuées
et le déploiement commercial dans au moins une grande ville, et en
2025 la couverture en 5G des axes de transports principaux.
En France, des autorisations ont été attribuées à Belfort, Bordeaux,
Douai, Grenoble, Lannion, Lille, Lyon, Marseille, Nantes, Pau, Sophia-
Antipolis et Toulouse pour des expérimentations 5G par les
opérateurs nationaux Orange, SFR et Bouygues Telecom. Au-delà des
projets déjà annoncés par les opérateurs, le gouvernement et l’Arcep
ont annoncé le déploiement de onze expérimentations en Ile-de-
France, vitrine importante au niveau international, incluant
notamment plusieurs cas d’usages sur le véhicule connecté ou
autonome (tests organisés par l’association mondiale 5GAA – 5G
Automotive Association – sur le site UTAC CERAM de Linas-
Montlhéry).
Deux bandes de fréquences pionnières pour la 5G ont été identifiées
par l’Union européenne dès 2017, et leurs conditions d’utilisation
ont été harmonisées pour l’ensemble du continent européen. Le
calendrier prévoit la fin des travaux internationaux de normalisation
et la mise à disposition coordonnée en Europe des bandes 3,5 GHz
et 26 GHz d’ici 2020. L’Arcep travaille à la libération de ces bandes,
notamment par la migration de certains usages sur d’autres bandes.
En dehors de l’Europe, les premiers déploiements commerciaux de
la 5G ont commencé en Corée du Sud et aux États-Unis. En Corée
du Sud, les opérateurs SKT, KT et LG-Uplus ont annoncé le lancement
de premiers services commerciaux en avril 2019, au même moment

53
RISK MANAGEMENT

Les usages futurs de la 5G vont se développer autour de différents • Le réseau 5G permet d’interconnecter un nombre beaucoup plus
axes : grand d’équipements (10 fois plus par km qu’en 4G) et présente
• Les communications massives de type Machine. On parle d’un donc une surface d’attaque plus importante. Dans le même ordre
nombre gigantesque d’équipements interconnectés au travers de d’idée, l’interconnexion d’un plus grand nombre d’équipements
la 5G – plus de 20 milliards à l’horizon 2020 pour des usages augmente le risque d’attaques massives de type « Distributed
variés dans les villes du futur, l’agriculture, l’infrastructure… Denial of Service » (DDoS), s’ils sont infectés à large échelle.
• Les communications ultra-fiables à faible latence. Cette catégorie • La 5G va être utilisée pour supporter l’automatisation de process
de communications inclus des nouveaux services qui industriels et d’infrastructures critiques (production d’énergie,
transformeront les industries, tels que le contrôle à distance smart cities…). Ainsi, la 5G risque d’être une cible de
d’infrastructures critiques, les robots à usage industriel, la cyberattaques pour atteindre ces infrastructures critiques.
coordination et le contrôle de drones et les véhicules autonomes. Aujourd’hui, la plupart des infrastructures critiques sont plus
• Dans le domaine de la mobilité, les standards 5G étudient isolées ou moins automatisées. D’une certaine manière, la 5G va
plusieurs cas d’usage, comme la synchronisation de véhicule mis devenir une infrastructure stratégique donnant l’accès à d’autres
en convois (« Vehicle Platooning »), les véhicules conduits de infrastructures critiques.
manière semi-automatique ou automatique ou encore à l’aide de • La virtualisation des fonctions réseaux de la 5G et la consolidation
conduite téléguidée. de ces fonctions dans des Data Centers augmentent également
les risques sur ces parties. En effet, les architectures logicielles de
5G : LA SURFACE D’ATTAQUE VA ces systèmes sont structurées sur base d’un plus grand nombre
de couches logicielles, ce qui augmente le risque d’exposition. Les
S’ACCROÎTRE DE FAÇON Data Centers des opérateurs seront optimisés pour recevoir
SIGNIFICATIVE d’autres applications et pas seulement les fonctions réseaux, ce
qui augmente le risque que des applications moins bien sécurisées
GS Mag : Quels sont les défis sécuritaires inhérents à la 5G ? côtoient des fonctions critiques du réseau.
• L’architecture de la 5G est plus ouverte, permettant à un grand
CLUSIF : Différentes sortes d’attaques de l’infrastructure réseau 5G nombre de vendeurs de fournir des équipements connectés au
peuvent être anticipées. Du fait de la grande variété d’applications réseau 5G. Cela augmente le risque qu’un plus grand nombre de
qui seront supportées par le réseau et du grand nombre de fonctions, vulnérabilités soient présentes dans le réseau. Cela permet
la surface d’attaque des futurs réseaux 5G sera plus grande. également à du logiciel malveillant d’être dissimulé sur un plus
Ainsi, des attaques par déni de service distribué (DDoS) peuvent être grand périmètre.
mises en œuvre en inondant le réseau de requêtes de contrôle ou
de trafic utilisateur, afin de créer un effet de saturation dans le LES MENACES SUR LA 5G POURRAIENT
réseau et de le rendre indisponible pour ses usagers légitimes. Une
variante de ce type d’attaque consiste à faire du bruit sur l’interface
PORTER ATTEINTE À LA VIE HUMAINE
radio (« radio interface jamming ») pour rendre les ressources radios
inutilisables. GS Mag : De quelles manières les cybercriminels ou autres
L’exploitation de failles de sécurité dans le design, l’implémentation acteurs malveillants pourraient-ils en tirer profit ?
ou la configuration du réseau est une autre catégorie de menaces.
Même si un soin très précis est mis en œuvre dans la définition des CLUSIF : Comme toute technologie de pointe détournée de son
standards de sécurité, il est possible que des vulnérabilités non objectif principal, elle pourrait nuire aux systèmes d’information des
détectées (0-Day) existent dans les logiciels implémentant les entreprises, ou pire encore porter atteinte à la vie humaine, comme
fonctions réseaux des nœuds du réseau. Les interfaces externes des par exemple en attaquant une voiture autonome...
éléments de réseaux seront typiquement sujettes aux attaques. De Les menaces qui peuvent affecter la 5G pourraient avoir une sévérité
plus, une mauvaise configuration du réseau peut exposer des particulièrement élevée du fait qu’elle supporte des services
vulnérabilités. D’autres peuvent aussi provenir d’un contrôle critiques. Les objectifs visés par les attaques peuvent être regroupés
insuffisant durant les process de développement logiciel. en trois grandes catégories :
Un autre type de menace peut survenir de l’exploitation de • Une perte de disponibilité (« loss of availability ») même partielle
« backdoors » à l’intérieur du réseau. De telles situations peuvent d’un réseau ou d’un équipement suite à une attaque cyber
être l’œuvre de personnes malintentionnées agissant au sein de la pourrait avoir des conséquences désastreuses dans le cas
chaîne d’approvisionnement (« supply chain ») en insérant un d’infrastructures critiques pilotées par la 5G.
logiciel malfaisant qui ensuite opère au sein du réseau. • La fuite d’informations confidentielles (« leak of confidential
Des failles de sécurité peuvent aussi exister dans les procédures information ») d’un réseau 5G (par exemple la position
opérationnelles de gestion et de maintenance du réseau. Elles géographique d’un utilisateur) peut servir des objectifs
peuvent ensuite être exploitées par du personnel compromis au sein d’espionnage de données.
des équipes de gestion du réseau. • Une perte d’intégrité (« loss of integrity ») est une autre menace
importante. D’une part, compromettre l’intégrité du réseau peut
Comme expliqué préalablement, l’architecture de la 5G est constituer une première étape pour atteindre les autres menaces
sensiblement différente des générations précédentes. Un certain mentionnées précédemment. D’autre part, cela peut avoir des
nombre de défis sécuritaires sont donc inhérents à l’architecture conséquences en dehors du réseau. Par exemple, compromettre
même de la 5G. l’intégrité des fonctions d’authentification du réseau pourrait
permettre à des attaquants d’abuser d’autres utilisateurs, pour
atteindre des objectifs de détournement d’usage ou de falsification...

55
RISK MANAGEMENT

LA 5G NÉCESSITE UNE APPROCHE DE Au final, plusieurs cas d’usages seront possibles grâce à cette
évolution des réseaux cellulaires, aussi bien pour le grand public que
BOUT EN BOUT DE LA SÉCURITÉ pour les entreprises. Cette richesse induit une hétérogénéité des
données manipulées, et par conséquent des besoins de sécurité
GS Mag : Quelles sont, selon vous, les clés pour assurer la parfois divergents. L’un des défis majeurs sera de concilier souplesse
sécurité de la 5G, et les fondamentaux à appliquer à la fois et rapidité avec sûreté et sécurité. L’objectif est de permettre un
dans son développement et dans son déploiement ? usage fluide tout en garantissant la confidentialité, l’intégrité et la
disponibilité des données. Enfin, les entreprises devront adapter les
CLUSIF : Les clés résident dans l’approche de bout en bout de la mesures de sécurité en fonction du service 5G utilisé : faible latence,
sécurité : à partir de l’application métier et dans la négociation des IoT, etc. Il faudra donc anticiper la sécurité des applications qui
mesures de sécurité avec le réseau. La 5G offre différentes mesures utiliseront un service 5G ! ■ ■ ■
de sécurité, notamment la possibilité de déléguer l’authentification
des utilisateurs finaux à l’opérateur télécom fournissant la
connectivité. Il est fondamental de définir une stratégie globale et
cohérente avec la politique de sécurité interne de l’entreprise, de
l’appliquer et de mesurer son efficacité.

GS Mag : Enfin, quels conseils pouvez-vous donner aux


entreprises en la matière ? Quels sont, au contraire, les
écueils à éviter ?

CLUSIF : La technologie 5G constituera un virage important pour


les métiers : industrie 4.0, smart city, transport, etc. Par exemple,
une entreprise pourra mettre en œuvre de nouveaux cas d’usage en
s’appuyant sur la très faible latence ou la gestion des objets
connectés en masse (« massive IoT »). Pour tirer profit de cette
nouvelle proposition de valeur, les métiers devront assurer la sécurité
et la sûreté de leurs nouveaux services.

Sources :
• https://www.arcep.fr/fileadmin/cru-1538472894/reprise/dossiers/programme-5G/Feuille_de_route_5G-DEF.pdf
• https://selectra.info/telecom/actualites/acteurs/reseau-5g-quels-seront-premiers-pays-a-profiter
• https://www.lifewire.com/5g-availability-world-4156244
• https://www.worldtimezone.com/5g.html
• Les Enjeux de la 5G, Arcep, mars 2017 : https://www.arcep.fr/uploads/tx_gspublication/rapport-enjeux-5G_mars2017.pdf

57
NORME

L’approche par les risques


en sécurité des systèmes
d’information : comment
sélectionner la bonne
méthode ?
4Par Hervé Schauer, fondateur de HS2

La gestion des risques s’est imposée dans le management de toutes les organisations, si bien que
de nombreuses certifications sont aujourd’hui délivrées en la matière. Le choix de la bonne
méthodologie conditionne la réussite du système ou du projet associé.

Le management par les risques


domine les politiques de sécurité des
systèmes d’information
Tout organisme, quelle que soit sa taille, collecte, stocke et transmet
des informations qui sont jugées importantes pour l’atteinte de ses
objectifs. Chaque système d’information est exposé à une variété de
risques d’origine accidentelle, malveillante ou environnementale
inhérents à son utilisation. La mise en place de politiques et
procédures qui constituent un système de management de la sécurité
de l’information (SMSI) a pour but de faciliter la gestion de ces diverses
vulnérabilités qui pourraient menacer l’activité d’une entité.

Un constat s’impose pour les experts en sécurité : l’application des


bonnes pratiques en matière d’hygiène numérique dans les systèmes
d’information et de gestion de la continuité d’activité, ainsi que dans
le domaine de la protection de la vie privée et des données est
nécessaire, mais insuffisante pour se prémunir de toutes les attaques.
Le recours aux méthodes de gestion des risques et leur ajustement
aux besoins et au contexte de chaque organisation sont devenus la Figure 1 - Pyramide du management du risque numérique
norme pour répondre à des attaques de plus en plus élaborées. Le
principe d’une pyramide du management du risque (figure 1)
synthétisée dans la méthode EBIOS 2018 Risk Manager correspond à Quels critères président au choix
cette idée qu’un socle de principes de base et de mise en conformité d’une méthode de management
avec les normes doit être renforcé par une approche plus dynamique
de l’appréciation des risques, afin de répondre à des scénarios des risques ?
d’attaques identifiés.
Difficile de s’y retrouver parmi la quinzaine de méthodes de
Il n’en reste pas moins que le management par les risques est management des risques existantes, en ne comptant de surcroît que
complexe à mettre en œuvre, d’autant plus qu’il est soumis à des les plus courantes. Éliminer d’emblée les méthodes qui ne sont pas
contraintes financières. La personne responsable de la prise de risque, reconnues internationalement et qui n’intègrent pas les principes de
celle qui détient l’autorité d’arbitrage budgétaire, appelée propriétaire la gestion des risques préconisés par la norme ISO 31000 permet de
du risque dans les normes, doit comprendre pourquoi certaines faire un premier tri.
mesures de sécurité ont été jugées plus utiles que d’autres. Le
gestionnaire de risque doit, en outre, être capable de le justifier. La Si l’on n’est pas sur un projet à durée limitée, mais dans l’organisation
hiérarchisation des risques doit toujours être établie selon des de son travail, la méthodologie retenue doit permettre de répondre
marqueurs pertinents pour l’organisation. aux exigences d’appréciation des risques recommandées dans le cadre

58
NORME

d’un système de management de la sécurité de l’information (SMSI),


d’un système de management de la continuité d’activité (SMCA) ou STANDARDS
d’une analyse d’impact sur les activités (BIA). Si on est dans le contexte Achieving a risk-based approa
d’un organisme qui se veut pérenne, il est préférable d’opter pour une ch
to information systems securit
méthode qui facilite la gestion des risques dans le temps. La capacité y: how to
choose the proper process?
à se mettre à jour quotidiennement, et à reboucler après chaque
acceptation des risques et accord budgétaire du propriétaire du risque,
By Hervé Schauer, founder of HS2
sans surcharger indéfiniment, est caractéristique de l’intégration de la
durée dans l’appréciation du risque. Risk management has become criti
cal for the operations
of all organisations, so much
Ce sont ensuite les contraintes propres à chaque organisation qui so that numerous
certifications are now available.
peuvent aider dans le choix de la méthodologie la plus appropriée. Il Key to the success of
the system or associated project
faut, en effet, veiller à ce qu’elle puisse s’appliquer à un système is the choice of the
proper process.
existant, avec une structure et des processus déjà établis. La
connaissance des objectifs de la direction peut également guider la
sélection d’une méthode, en arbitrant par exemple différemment si le
but principal est de se mettre en conformité avec les nouvelles normes
ou d’estimer les risques quantitativement. Il est néanmoins conseillé
d’avoir recours à une méthode imposant toujours l’engagement du • La réalisation d’un Privacy Impact Assesment (PIA) ou d’une
propriétaire du risque dans la sécurité des actifs, dans la mesure où étude d’impact sur la vie privée (EIVP) est une approche
c’est lui qui a un pouvoir d’arbitrage budgétaire. pragmatique préconisée pour les organisations qui cherchent à
répondre aux exigences du RGPD en étant capables de prouver leur
Il est, enfin, nécessaire d’intégrer une réflexion sur les conséquences conformité au règlement et leur capacité à répondre aux
d’un incident : pour son organisme, pour les personnes dont conséquences d’une violation des données personnelles. Inspirée
l’organisme possède les données, et/ou pour la société en général. La par les guides édités par la Commission nationale de l’informatique
généralisation de la notion de scénario dans les différentes et des libertés (CNIL) en France, cette méthode met l’accent sur la
méthodologies, afin d’évaluer la vraisemblance et/ou la gravité d’une prise en compte des effets produits par une altération du système
attaque exploitant les vulnérabilités identifiées d’un système d’information.
d’information, permet de mieux refléter les cas d’usage réels, par • La méthodologie EBIOS 2010, éditée par l’Agence nationale de la
rapport aux méthodes n’exploitant qu’une menace relative à une sécurité des systèmes d’information (ANSSI), est particulièrement
vulnérabilité sur un actif. utilisée en France, car elle permet d’intégrer les exigences des
référentiels de l’administration française en matière d’appréciation
Les grandes orientations des risques, comme les obligations incombant aux systèmes
d’information d’importance vitale (SIIV) ou celles du référentiel
des principaux référentiels général de la sécurité (RGS). Cette méthodologie ne permet qu’une
de gestion des risques évaluation des risques à un moment précis, mais elle est
particulièrement indiquée lors de la construction d’un projet afin de
Les méthodologies de gestion des risques reposent toutes sur des caractériser les conséquences d’une attaque pour l’organisation et
concepts communs, qu’il s’agisse de l’identification des failles ou ainsi de rédiger son cahier des charges. Elle est également
vulnérabilités d’un système d’information, de la caractérisation d’un préconisée dans le cadre de l’engagement de l’autorité sur les
niveau de risque et de la mesure des impacts ou conséquences sur les risques dans le processus d’homologation.
actifs d’un organisme. Les différentes méthodologies ont, de plus, • La méthodologie EBIOS 2018, publiée sous le nom EBIOS Risk
évolué au fil du temps en intégrant les apports d’autres méthodes, Manager, est également éditée par l’ANSSI et permet de se
comme la formalisation de scénarios d’attaque. Il reste néanmoins focaliser sur un panel réduit de risques, à savoir ceux liés aux parties
possible d’identifier des particularités propres à chaque méthode. prenantes et à l’externalisation, ainsi qu’aux menaces malveillantes,
• La norme ISO 27005 est une méthode systématique qui existe de façon à approfondir davantage l’analyse. Cette méthodologie
depuis dix ans et dont le succès s’explique par l’intégration de la repose sur des bases de connaissances (non-fournies), crée deux
durée dans l’appréciation des risques. Auparavant, les risques étaient niveaux de scénarios de risques, et impose des réunions successives
évalués à un moment précis, ce qui était plus facile mais moins et itératives. Si le nom EBIOS est commun avec EBIOS 2010, il s’agit
efficace. Un risque s’analyse, en effet, toujours de manière d’une autre méthode.
temporelle : il faut estimer la probabilité d’occurrence de la menace, • Parmi les autres approches, citons FAIR qui tente une estimation
les difficultés d’exploitation des vulnérabilités, les conséquences quantitative poussée des risques.
d’une attaque sur les actifs d’une organisation, sur un projet, etc.
La difficulté principale du management des risques réside dans la Toutes les méthodes sont complémentaires et le choix d’une approche
prise en compte de temporalités multiples qui ne sont pas corrélées plutôt qu’une autre doit dépendre du contexte propre à l’organisation.
entre elles. La méthode ISO 27005 facilite le pilotage cohérent des Parfois, il faudra combiner deux méthodes. Inversement, une même
risques en intégrant la gestion du temps dans les paramètres et en méthode sera privilégiée pour mutualiser dans une organisation de
ne se contentant plus d’évaluer la conformité à des mesures de petite taille, par exemple entre la gestion de risques du RSSI et le PIA
sécurité. Elle a, de plus, l’avantage de pouvoir s’intégrer facilement du DPO. Les formations prodiguées en management des risques se
à un système de management de la sécurité des systèmes concentrent en général sur une méthodologie, mais pourront faire
d’information (SMSI) existant en intégrant les orientations propres référence aux autres approches pour donner un panorama plus
à chaque organisation. complet. ■ ■ ■

59
GS DAYS 2019

RETOUR D’EXPÉRIENCE :
TEST D’INTRUSION PHYSIQUE
AU SIÈGE SOCIAL D’UNE
MULTINATIONALE
4Par Alexandre Triffault, Président d’AT Security SAS,
Formateur intrusion.eu et Chercheur Associé à l’Ecole Esiea

Les tests d’intrusion informatique (Pentest) sont désormais relativement courants pour détecter et
corriger les failles dans les systèmes d’information des entreprises. Cependant, la protection des accès
physiques reste tout aussi essentielle et ne doit pas non plus être négligée. L’accès physique à des locaux
équivaut, en effet, presque systématiquement à un accès root dans le système, grâce à l’utilisation de
systèmes-espions placés directement au sein de la structure. Les tests d’intrusions physiques ont donc
eux aussi pleinement leur rôle à jour. Démonstration au siège social d’une multinationale.

Les cas de piratages aidés via une intrusion physique sont légion. s’intéresser aux différents vecteurs d’intrusions physiques, tels que
Le dernier en date au moment de la rédaction de ces lignes : le les clés, les serrures, les fenêtres, le toit, les accès souterrains…,
piratage de la NASA à l’aide d’un Raspberry Pi branché directement mais également les systèmes RF (télécommandes), ou encore RFID.
sur un réseau sensible. Sans parler des nombreux cas d’espionnage
industriel, où les attaquants viennent simplement placer des De plus, le test peut être réalisé en mode Boite Blanche ou Boite
enregistreurs de frappes, caméras et microphones-espions. Noire.
De plus, un accès physique est très souvent persistant (création La Boite Blanche consiste essentiellement en un audit ouvert,
d’une clé, faille pérenne…), permettant alors à un attaquant de « cartes sur table », où le mandant donne toutes les informations
venir régulièrement récupérer les dernières innovations ou données demandées par le Pentesteur, afin d’évaluer l’ensemble des
confidentielles de votre entreprise, les développements en cours, informations de sécurité à disposition. Cela permet d’obtenir des
les données clients, fournisseurs… informations très précises très rapidement, et potentiellement sur
l’intégralité des éléments de sécurité. Cependant, le principal
Un Pentest physique permet en amont de prévenir les risques inconvénient reste généralement le manque de réalisme et de
d’intrusion. En cas de fuite avérée, ce test peut aussi, en aval, aider concret.
à comprendre le mode opératoire des intrus et à réparer les failles. La Boite Noire consiste, en revanche, à laisser le Pentesteur dans
Enfin, associé à un examen forensique, il peut permettre d’orienter l’inconnu et à n’informer aucun salarié du test d’intrusion en cours.
l’enquête interne ou policière. L’inconvénient est bien entendu que le test ne couvrira
Il est donc essentiel de réaliser ou de faire réaliser un tel test pour généralement pas l’intégralité des failles présentes (mais elles
assurer la sécurité de vos infrastructures. Il est également possible pourront être abordées lors de la remise du rapport). Toutefois, ce
de se former, en tant que RSSI ou Pentesteur, aux méthodes type de test a l’avantage de forcer le Pentesteur à sortir des sentiers
d’intrusion physique pour réaliser ces tests en interne. battus, comme le ferait un véritable attaquant, afin de détecter les
failles non conventionnelles.
Cet article relate un test d’intrusion que j’ai eu l’opportunité de
réaliser il y a quelques années au siège d’une grande banque. Le ➤ SCÉNARIOS
périmètre de ce test ayant été volontairement fixé très large, il
illustre un très grand nombre de failles qu’il est possible de trouver Enfin, il est utile de déterminer contre quel type d’attaques l’on
dans les ERP. Mais avant de rentrer dans le vif du sujet, voici un souhaite se protéger en mettant en place un scénario adapté au
petit tour d’horizon des typologies de tests d’intrusion qu’il est risque :
possible de réaliser. • Intrus opportuniste,
• Bande organisée,
• Attaquant déterminé.
MISE EN PLACE D’UN TEST
D’INTRUSION L’intrus opportuniste correspond au « vagabond », qui cherchera un
endroit où dormir, ou qui verra un ordinateur par la fenêtre et
décidera de tenter sa chance. Peu de connaissances, peu d’outillage.
➤ PÉRIMÈTRE Il se découragera rapidement.
La bande organisée est plus préparée, plus expérimentée et plus
Le périmètre technique doit être précis et délimité. Un tel test peut équipée. Son objectif est généralement financier, et n’importe quelle
60
GS DAYS 2019

11
e

cible rentable fera l’affaire. Si le coût de l’attaque dépasse le


bénéfice attendu, ce type d’attaquant peut changer de cible.
L’attaquant déterminé est le plus dangereux, mais aussi le plus rare.
Il s’agira d’un concurrent ou d’une puissance étrangère, avec des
moyens techniques, humains et financiers à la hauteur de ses
ambitions. Il sera quasiment impossible de s’en protéger vraiment,
cependant il est possible de rendre l’attaque plus difficile et d’en
réduire l’impact. GS DAYS 2019
➤ MÉTHODES Review: physical intrus
at the headquarters of ion test
a multinational
Tout test à proprement parler devra être précédé d’une phase de
recherches : repérage sur place, OSINT (open source intelligence), By Alexandre Triffault, Preside
Trainer intrusion.eu and Ass nt of AT Security SAS,
bases de données (accessibles aux professionnels de la sécurité), ociate Researcher at Esiea Sch
etc. Cette phase de recherches sera suivie d’une phase de mise en ool
pratique : rétro-ingénierie des systèmes repérés, fabrication d’outils Computer penetration tests
(Pentest) are now relatively
for detecting and fixing vul common
adaptés, tests en laboratoire… Vient enfin l’intrusion à proprement nerabilities in company info
systems. However the protec rmation
parler. tion of physical access remain
as important and must not be s just
neglected either. Physical acc
➤ L’INTRUSION premises is, in fact, almost syst ess to
ematically equivalent to root
due to the introduction of access,
directly mounted spyware
system. Physical intrusion test on the
Cette intrusion se fait rarement seul. Plusieurs compétences s therefore also have an imp
complémentaires sont souvent indispensables : part to play. Demonstrat ortant
ion from the headquarte
multinational. rs of a
• La première correspond à l’intrusion physique en elle-même
(crochetage, copie de clés…) ;
• La seconde au social engineering, afin de passer certaines étapes ;
• Et, enfin, l’escalade, si le périmètre du test le prévoit.

RETOUR D’EXPÉRIENCE
électrique, local technique…), accessibles depuis le parking ouvert
aux clients. Bien qu’il était impossible de voler des informations
depuis ces locaux, il était possible de couper le courant de tout un
bâtiment par exemple.

➤ ACCÈS PAR LES TOITS

Il est très fréquent que la sécurité soit accrue au niveau du sol, mais
totalement relâchée dès le premier étage passé. C’était le cas lors
de ce test, absence de caméras extérieures, portes sur les toits et
fenêtres non verrouillées sur plusieurs étages…
En passant simplement par l’immeuble voisin (en l’occurrence un
immeuble d’habitations, mais il peut s’agir d’une friche industrielle
Dans le cas qui nous intéresse dans cet article, nous avons eu la ou d’un immeuble d’entreprise moins sécurisé que la cible), il est
mission de tester l’intégralité de la sécurité physique mécanique très souvent possible d’accéder au toit mitoyen, et ainsi d’avoir
(donc hors RF et RFID), en Boite Noire pour commencer, puis en accès à l’intégralité de l’immeuble cible.
Boite Blanche par la suite, afin de couvrir le plus de failles possibles. Au sein même de l’enceinte des bâtiments cibles, dans la cour, des
accès acrobatiques permettaient d’atteindre le toit, donnant alors
➤ PORTES MAL VERROUILLÉES les mêmes possibilités d’intrusion que par l’immeuble voisin.
Enfin, depuis la rue, et pourtant à seulement quelques centaines
Il est impressionnant de constater le nombre de portes qui sont de mètres d’un commissariat et sous les yeux ébahis (ou pas) des
simplement claquées (sans poignée extérieure) et qu’il est possible promeneurs de chiens et joggers de fin de soirée, il a été possible
d’ouvrir à l’aide d’une simple radiographie ou même d’une lame d’escalader la façade du bâtiment cible, sans être inquiétés le moins
de couteau dans certains cas. Ces portes donnaient accès du monde.
notamment aux parkings et aux différents étages de bureaux depuis
la cage d’escalier (qui elle n’était pas accessible facilement depuis Afin de se protéger de ce type d’intrusion, il est essentiel de limiter
l’extérieur, mais un employé pouvait facilement y avoir accès, de les voies d’accès (systèmes antiescalades, caméras, détecteurs de
même qu’un client en visite ou un entrepreneur). Ces portes se mouvements), mais aussi de verrouiller les accès extérieurs de la
doivent d’être verrouillées ou protégées afin d’empêcher leur façade (fenêtres) et les portes sur les toits.
ouverture aussi facilement.
D’autres portes, notamment extérieures, étaient verrouillées par ➤ PORTES ANTIPANIQUES
ventouses électromagnétiques, mais ces ventouses, en nombre
insuffisant et/ou mal installées, pouvaient être ouvertes à l’aide Ces portes Sorties de Secours sont faites pour être en permanence
d’un simple levier en plastique ou encore d’une ventouse disponible déverrouillées de l’intérieur pour des raisons de sécurité des
en magasin de bricolage. Il est essentiel de respecter les conditions personnes. En utilisant cette caractéristique, il est possible avec un
d’installation de ces systèmes de verrouillage. minimum de dégâts et de visibilité de les ouvrir depuis l’extérieur
D’autres portes, enfin, n’étaient pas verrouillées du tout, donnant en insérant un fil de fer recourbé afin d’attraper la barre côté
pourtant accès à des éléments sensibles de l’infrastructure (local intérieur.
61
GS DAYS 2019

11
e

Un simple détecteur d’ouverture ou un couplage avec une ventouse clé-minute pour quelques euros et sans devoir donner
électromagnétique permet de mieux sécuriser ces accès. aucun justificatif (clés non protégées). D’autres clés, en revanche,
étant protégées, ont dû être dupliquées par ruse (moulage à l’aide
➤ CYLINDRES DÉPASSANT de résines en silicone), ou commandées directement à l’usine en
faisant usage de documents falsifiant les autorisations du
Ce n’est jamais bon d’avoir des cylindres qui dépassent de la porte, demandeur légitime.
car cela facilite l’effraction par casse du cylindre.
Mais dans certains cas, les cylindres sont pourvus de vis de
démontage à leur base, qui ne sont normalement accessibles que
quand le cylindre est hors de la porte. Dans le cas d’un cylindre
dépassant fortement, il devient possible sur ces modèles
(généralement de haute sécurité d’ailleurs), de démonter son
mécanisme interne sans devoir l’ôter de la porte au préalable.
Autorisant alors l’accès sans posséder la clé.

➤ ACCÈS « PIRATES »

Certains accès ne sont ni des portes, ni des fenêtres, ni rien qui


ressemble véritablement à un accès, mais c’est tout l’intérêt d’un
test en Boite Noire, cela permet de s’intéresser à des éléments
habituellement délaissés.
Bien sûr toute palissade peut être sautée, de même que des
tourniquets et sas de sécurités extérieurs. Mais on trouve également
des accès moins probables, tels que les grilles de ventilations qui
ne sont généralement pas faites pour résister à une quelconque Toutes les clés ou presque peuvent être reproduites (légalement ou
tentative d’effraction, et qui donnent accès à différents lieux dans illégalement), il est donc impératif de leur accorder la même
un bâtiment. Des grilles de sécurité et/ou un système de détection importance qu’à un mot de passe. Il ne vient à personne l’idée de
sont indispensables. « prêter » un mot de passe sur un morceau de papier, pour venir le
réclamer ensuite. Ce serait absurde n’est-ce pas ?
Eh bien c’est précisément ce que nous faisons lorsque nous prêtons
nos clés, même quelques instants. Ces instants peuvent suffire pour
aller chez un clé-minute, faire un moulage ou prendre une photo.

Il est également essentiel de vérifier auprès de l’usine qui produit


les clés quelles sont les procédures de sécurité pour les protéger.
Elles sont souvent trop légères face à un attaquant déterminé.

Enfin, certaines failles ne dépendent pas directement de vous (copie


de clés à l’usine), ou sont d’une portée difficile à maitriser (ne pas
➤ ATTAQUES DE LA CLÉ prêter les clés du bâtiment). Cependant, avec un test approfondi et
des règles de bon sens, il est possible d’améliorer sensiblement la
Lorsque l’on parle d’intrusion physique, on pense souvent aux sécurité physique de vos infrastructures. N’oubliant pas toutefois
méthodes des films d’espionnage, telles que le crochetage ou qu’un attaquant viendra alors vous chercher là où vous êtes le
l’escalade. Mais le meilleur moyen de s’introduire quelque part reste moins protégé (dans la voiture, la chambre d’hôtel…), mais cela
la clé, même pour une personne malintentionnée. fera peut-être l’objet d’un autre article… ■ ■ ■
Ainsi, dans le cadre du test d’intrusion dont cet article est l’objet,
il a été possible de dupliquer certaines clés directement chez un
63
GS DAYS 2019

S’ATTAQUER
À L’HUMAIN POUR
COMPROMETTRE LE SI
4Par Sylvain Hajri, Consultant sécurité chez digital.security
sylvain.hajri@digital.security - @navlys_

Bien que la sécurité soit un sujet de plus en plus important au sein


des organisations, le nombre de victimes de cyberattaques reste
élevé, et ce malgré les nombreux moyens mis en œuvre pour
protéger nos systèmes d’information. Les vecteurs sont souvent les
mêmes, mais nous voyons néanmoins que l’utilisation du
collaborateur comme vecteur d’attaque se confirme comme étant
l’une des options favorites des groupes malveillants. Alors comment
l’OSINT (Open Source Intelligence), appelée aussi ROSO en français
(Renseignement d’Origine Sources Ouvertes), permet aux
attaquants d’améliorer drastiquement leurs attaques d’ingénierie
sociale et/ou d’intrusion physique, afin de parvenir à leur but :
compromettre le système d’information ?

Avant toute chose, définissons ce qu’est l’OSINT. Nous empruntons ce L’OSINT, PARTICULIÈREMENT APPRÉCIÉE
terme au monde du renseignement, qui le définit comme étant « la
récupération d’un renseignement obtenu au travers de sources DES ATTAQUANTS…
d’informations accessibles au public ». Ces sources peuvent être multiples :
un site Internet, les médias de masse traditionnels, tels que la TV, les Bien évidemment, l’ensemble des techniques évoquées précédemment
journaux papier, les revues spécialisées, les photos… autant de sources peuvent et sont également utilisées par des personnes malveillantes,
qui nous permettent d’en apprendre plus sur les organisations cibles. notamment par des cambrioleurs qui ont recours au SOCMINT afin de
savoir si telle ou telle famille est actuellement en vacances à l’étranger,
Mais cette pratique de l’OSINT est à coupler à diverses autres méthodes en vue de commettre leurs méfaits. Les aficionados d’arnaques au
de renseignement. Nommons notamment le GEOINT (Geospatial président vont, quant à eux, s’intéresser aux centres d’intérêt d’une cible,
Intelligence) ou Renseignement Géospatial en français, qui permet afin d’adapter leurs scénarios de spear-phishing [4] ou de vishing [5].
d’acquérir et d’interpréter des images provenant de différentes sources
pouvant être des vues satellites, des photographies traditionnelles, l’étude Si l’OSINT est particulièrement appréciée des attaquants, c’est qu’elle a
de cartes… pour avantage de réaliser la première phase de la fameuse modélisation
À cela, nous pouvons ajouter de nombreux moyens d’acquisitions de la Cyber Kill Chain [6], publiée en 2011 par Lockheed Martin, et ce
d’informations, comme le SIGINT (Signal Intelligence) pour récupérer des entièrement à distance sans avoir à se déplacer. Cette étape, dite de
signaux radio par exemple, le SOCMINT (Social Media Intelligence), qui reconnaissance, permet également à l’attaquant d’obtenir énormément
permet d’obtenir de nombreuses informations sur les réseaux sociaux… de renseignements sur une organisation cible avec très peu de risques
de détection par la Blue Team [7].
Certes, ces différentes méthodes de renseignement sont utilisées par des
États, mais également par le monde de l’intelligence économique lors de
missions, par exemple de due diligence (vérifications qu’un éventuel … ET PAS QUE
acquéreur ou investisseur va réaliser avant une transaction), par les
journalistes d’investigations, comme l’a montré BBC Africa Eye sur En revanche, rien n’empêche les différents acteurs de la SSI et du monde
l’investigation « Anatomy of a killing [1]», par des ONG, telles que de la sûreté de procéder à des audits ou même des tests d’intrusion de
Bellingcat [2] sur l’affaire Skripal, ou encore par la société civile qui peut type Target Intelligence [8], couplés à des exercices de Red Team [9] et/ou
participer au projet « Stop child abuse [3] » d’Europol. Celui-ci permet à Purple Team [10], afin d’avoir une vision du type d’informations pouvant
n’importe qui d’utiliser l’OSINT afin de retrouver des lieux ou objets être récoltées. Cela permet également de donner à ces informations un
apparaissant dans des contenus pédopornographiques pour aider les niveau de sensibilité pour l’organisation, si jamais elles venaient à être
enquêteurs. utilisées par un groupe malveillant.

64
GS DAYS 2019

11
e

Nous allons voir qu’avec les différentes méthodes de renseignement


énoncées précédemment, nous pouvons obtenir diverses informations
permettant d’améliorer l’efficacité des attaques de type ingénierie sociale,
via spear-phishing, vishing ou lors d’interactions en face à face, mais aussi
GS DAYS 2019
d’augmenter les probabilités de clics sur un contenu malveillant.
Ces techniques donnent également la possibilité à l’auditeur, qui réalise Exploiting the human
weaknesses of IS
une prestation d’intrusion physique, de repérer l’ensemble des dispositifs
de sûreté mis en place dans l’organisation. Connaître, par exemple, la By Sylvain Hajri, Security Con
sultant at digital.security
localisation des poubelles permet de réaliser une action de dumpster- - sylvain.hajri@digital.securit
diving [11] ; ou tout simplement avoir un plan permet de savoir où aller y - @navlys_
pour accéder à une salle sensible ou récupérer un actif demandé par le Although security is an increas
ingly important topic within
client durant la mission. organisations the number of
cyberattack victims remains
high, despite the wide range
of techniques used to protect
information systems. The vec
RÉSEAUX SOCIAUX : DE VÉRITABLES though we are seeing that one
tors are often the same, eve
n
of the favourite options of
FOURMILIÈRES QUI GROUILLENT hostile actors is the use of em
ployees as a means for at-
tack. How then does OSINT
D’INFORMATIONS also known as ROSO in Fren
(Open Source Intelligence),
ch ((Renseignement d’Origine
Sources Ouvertes), enable
attackers to dramatically im-
Bien que Facebook ait bridé son opérateur de recherche avancé, appelé prove their social engineerin
g attacks and/or physical in-
Graph Search [12], ou que Michael Bazzell ait partiellement désactivé les trusion, in order to attain the
ir goal: subvert information
outils sur son site inteltechniques [13], le SOCMINT reste une fourmilière systems?
d’informations intéressantes en vue de mener une campagne d’attaques
sur une organisation.

Malgré les disparitions d’outils et les modifications des réseaux sociaux,


mener ce type de recherche reste réalisable pour qui s’intéresse au
domaine. En effet, depuis quelque temps, l’environnement OSINT
(notamment francophone) s’agrandit considérablement, comme le
montre la communauté @FrOsint [14], où de nombreuses personnes DES INFORMATIONS PAS
développent et partagent des outils adaptés à chaque source
d’informations.
SI ANODINES QUE ÇA…
Les réseaux sociaux personnels, par exemple, nous permettent de Bien évidemment, ces informations, passant pour anodines, peuvent aussi
récupérer sur Facebook les centres d’intérêt d’une cible, les pages que se retrouver sur des réseaux sociaux professionnels, tels que LinkedIn,
celle-ci a aimées et bien d’autres indices… Autant d’informations publiées par exemple par les RH ou les directions marketing.
anodines qui peuvent mener à un mail de spear-phishing en provenance,
par exemple, d’une adresse mail de contact ressemblant au CE, proposant Ces outils nous permettent également d’obtenir les CV des prestataires
de participer à un jeu concours pour gagner l’un des objets favoris de la et employés, ou encore les offres d’emplois des organisations cibles, qui,
cible, en ayant seulement besoin de répondre à un fichier Word où il est quelques fois, en indiquent beaucoup sur les compétences des
nécessaire d’activer les macros. administrateurs sur un logiciel spécifique de bases de données, sur un
client antiviral x, permettant aisément de vérifier que la charge
De même, Twitter, Instagram ou Snapchat nous permettent, si les malveillante de l’attaquant ne devrait pas être détectée par ce logiciel.
paramètres de confidentialité sont mal configurés, et si les collaborateurs
ajoutent leurs géolocalisations, de trouver des comptes personnels Malheureusement, la frontière entre vie personnelle et vie professionnelle
d’employés ayant publié un contenu lié à la localisation de l’organisation est assez mince. Nous avons pu le remarquer avec l’affaire Strava [15].
cible. Cela permet aux attaquants d’identifier les futures cibles, mais Cette application de sport permettant de suivre ses performances en
également de récupérer des données pouvant s’avérer intéressantes pour courses à pied ou en cyclisme a permis de retrouver les identités de
une attaque de type vishing. personnes travaillant dans des organisations sensibles faisant leur sport
à la pause déjeuner. Ces applications sont encore utilisées par de
Une fois le compte identifié, nombreux sont les collaborateurs partageant nombreux collaborateurs qui, indirectement, simplement avec l’utilisation
leurs journées de travail sur les réseaux sociaux. Si ces informations sont de l’application sur le trajet domicile-travail, nous donnent des indications
mal maîtrisées, une publication peut permettre à un attaquant de voir sur les différents accès aux bâtiments sensibles.
quels sont les logiciels utilisés afin de préparer sa boîte à outils, ou
d’utiliser le prétexte du technicien informatique ayant connaissance de L’HUMAIN EST AUSSI LE MEILLEUR
l’environnement de travail de la cible.
REMPART QU’UNE ORGANISATION
Nous pouvons apprendre aussi, assez simplement, qui sont les collègues PUISSE AVOIR
se trouvant dans le même open space, à quoi ressemblent les locaux, ou
encore mieux : obtenir des informations confidentielles étalées sur la
table ou affichées sur l’écran. Alors que faire ? Interdire à ses collaborateurs l’utilisation des réseaux
sociaux personnels et professionnels dès lors que l’organisation qui

65
11
GS DAYS 2019 e

les emploie est concernée ? Bien évidemment, cela est impossible,


nous sommes tous utilisateurs de ces réseaux sociaux et de ces
services qui nous facilitent la vie et nous rapprochent. Nous sommes
tous des humains, donc sociaux par essence. Et malgré notre sensibilité
au sujet, il est toujours possible de tomber dans le piège d’une attaque
d’ingénierie sociale bien calibrée.

En revanche, en tant que professionnels de la SSI et de la sûreté, nous


nous devons d’accompagner et de faire évoluer l’ensemble des acteurs
pouvant fournir des informations, sans le vouloir, aux différents
attaquants qui nous visent. C’est à nous de sensibiliser aux
problématiques d’ingénierie sociale et d’intrusion physique les
collaborateurs internes, prestataires et intérimaires. Ce sont ces
personnes, qui vont peut-être vivre des intrusions par tailgating [16]
par exemple. Nous nous devons également de former les
collaborateurs à l’utilisation des réseaux sociaux, mais surtout à leurs
paramétrages en démontrant l’impact que cela peut avoir sur eux et
sur l’organisation.

Naturellement, ces sensibilisations passent par des formations


ludiques montrant ce que l’on peut trouver sur des personnes, mais
aussi via des retours d’expériences concrets de campagne de phishing,
de vishing et d’intrusions physiques ayant été menées dans
l’organisation.
Un collaborateur ayant vécu, en tant que cible, une expérience de
campagne d’intrusion physique ou d’ingénierie sociale sera plus à
même d’avoir les bons comportements lorsqu’il vivra une véritable
attaque. Il s’est senti victime, et ne voudra certainement pas se faire
piéger une seconde fois. Cela permet de rendre le collaborateur acteur
de la sensibilisation.
En couplant à cela une surveillance régulière de l’exposition de ses
propres informations et du contenu publié au vu de tous, le
collaborateur devient acteur dans l’amélioration de la sécurité de
l’organisation (et de sa propre vie personnelle).

Certes, l’humain est un facilitateur d’attaque pour les groupes


malveillants, mais c’est aussi le meilleur rempart et la meilleure sonde
de détection qu’une organisation puisse avoir. Un collaborateur bien
formé, devient, ainsi le maillon fort de la sécurité globale de nos
organisations. ■ ■ ■

[1]
https://www.youtube.com/watch?v=4G9S-eoLgX4
[2]
https://www.bellingcat.com/tag/skripal/
[3]
https://www.europol.europa.eu/stopchildabuse
[4]
Attaque de phishing personnalisée sur une cible
[5]
Phishing téléphonique dans le but de récupérer des informations ou de faire réaliser une action
[6]
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[7]
Mise en œuvre des éléments défensifs
[8]
Renseignement sur la porosité de la surface d'attaque
[9]
Simulation d’adversaires réalistes
[10]
Conception de règles de détection pertinentes
[11]
Récupération d’informations sensibles dans les poubelles
[12]
https://www.numerama.com/tech/525099-transparence-contre-vie-privee-en-combattant-le-stalking-facebook-rend-il-les-enquetes-plus-compliquees.html
[13]
https://inteltechniques.com/private/viewtopic.php?id=4
[14]
https://twitter.com/FrOsint
[15]
https://www.numerama.com/tech/333171-lapplication-de-sport-strava-simplifie-la-desactivation-du-partage-de-donnees.html
[16]
Collaborateur qui retient la porte lorsqu’il rentre dans une zone où il est nécessaire de badger

67
le grand quizz
Testez vos connaissances en quelques chiffres,
avec Michel Gérard (Une seule réponse possible)

?
 leCombien d’e-mails sont échangés chaque jour dans
monde, hors spam (estimation 2019) ?
a. 48 milliards
b. 187 milliards
c. 293 milliards
d. 457 milliards

?
 mails
Quel est le pourcentage de spam dans les envois d’e-
?
a. Entre 10 et 35%
b. Entre 20 et 60%
c. Entre 55 et 95%

 Quel est le bilan carbone d’un e-mail de 1Mo ?


a. 175 grammes de CO2
b. 275 grammes de CO2
c. 375 grammes de CO2
d. 475 grammes de CO2

 reprendre
Quel est le temps moyen nécessaire à un salarié pour
ses esprits et le fil de son travail après
avoir lu un e-mail ?
a. 24 s
b. 34 s
c. 54 s
d. 64 s

 monde
Combien prévoit-on
en 2020 ?
d’objets connectés dans le
a. 30,73 milliards
b. 40,73 milliards
c. 50,73 milliards
d. 60,73 milliards

 en
On peut se procurer un ransomware prêt à l’emploi
ligne (Ransomware as a Service), à quel prix ?
a. Entre 15 et 45 dollars
b. Entre 50 et 175 dollars
c. Entre 200 et 300 dollars
d. Entre 325 et 550 dollars

68
de sensibilisation

?? ?
?
AUTOMNE 2019

?
4Par Michel Gérard, PDG de Conscio Technologies

 passe
?
En 2020, quel est le nombre estimé de mots de
qui seront utilisés dans le monde par les
humains et les machines ?
a. 80 milliards
b. 180 milliards
c. 250 milliards
d. 300 milliards

 de
Quel est le secteur souffrant le plus des attaques
ransomwares ?
a. La banque
b. Les télécoms
c. La santé
d. L’énergie

 chaque
Combien d’applications malicieuses sont bloquées
jour ?
a. 12 000
b. 24 000
c. 48 000
d. 64 000

 malwares
Quel est le coût moyen d’une attaque à base de
?
a. 2,4 millions de dollars
b. 3,2 millions de dollars
c. 3,8 millions de dollars
d. 4,2 millions de dollars

Retrouvez les solutions en dernière page


69
© AridOcean
DATA CENTER

Data Center Hyperscale, Data Center de


colocation et Edge Data Center au service
de la digitalisation de l’économie
4Par Anne-Laure Grémaud, directrice marketing et associée de JERLAURE

L’ère de la digitalisation dans laquelle les entreprises et les citoyens


baignent depuis maintenant plusieurs années n’est que le début d’une
grande transformation numérique de l’économie. Les objets connectés qui
commencent à arriver de manière considérable sont de vraies mines
d’informations qui viennent alimenter le big data, et l’explosion de
l’Internet des objets a nettement modifié le paysage organisationnel des
entreprises, et le mode de vie des citoyens. Ces nouveaux usages, qui
semblent améliorer le fonctionnement et la gestion du quotidien, créent
des volumes de données inestimables nécessitant des espaces de
stockage importants, mais également un traitement particulier de cette
data. De là, le Data Center, qu’il soit de colocation, Hyperscale ou Edge
(dit de proximité), s’est retrouvé projeté au cœur des stratégies de
développement économique, à la fois dans les secteurs public et privé.

LA DIGITALISATION DE L’ÉCONOMIE qui reposent encore une fois sur des infrastructures informatiques
performantes permettant d’assurer le traitement des données en temps
ET L’ACCROISSEMENT DES ÉCHANGES réel. Enfin, les interactions permanentes entre les individus, qui échangent
SEULEMENT S’IL Y A DES DATA CENTERS sans cesse des contenus multimédias, tels que des photos, des vidéos,
de la musique, des emails…, via notamment les réseaux sociaux,
Le monde d’aujourd’hui et de demain est plongé dans les réseaux favorisent la production et l’explosion des données personnelles, qui ont
sociaux, les sites de vente en ligne, la réalité augmentée, le streaming, le besoin inévitablement d’espaces de stockage.
stockage des données, la 5G…, qui sont autant de services et d’appli-
cations hébergés dans un Cloud Public ou Privé dépendants aujourd’hui Le Data Center, qu’il soit au service des entreprises, des individus ou
de Data Centers et de réseaux. encore de la donnée est donc à ce jour indispensable à notre quotidien
et aux évolutions futures. Pour fournir l’ensemble de ces usages et
Un grand nombre d’entreprises ont tendance à vouloir migrer leurs répondre parfaitement aux exigences et enjeux qu’ils impliquent, plusieurs
infrastructures informatiques et leurs données vers des Data Centers de typologies de Data Centers sont nécessaires et ont trouvé naturellement
colocation pour des raisons techniques et stratégiques. L’exploitation et leur place dans ce monde numérique.
la maintenance d’un DC en propre nécessite effectivement des compé-
tences techniques complexes et beaucoup d’investissement en termes DE L’HYPERSCALE DATA CENTER AU
de temps. Or, le rôle du DSI a clairement évolué vers des fonctions plus
stratégiques en lien avec les décisions Business prises par la direction EDGE DATA CENTER POUR DIGITALISER
générale. Le choix de se diriger vers un Data Center externe permet ainsi TOUT LE TERRITOIRE
de redonner aux DSI une place plus opérationnelle, en pilotant et en
gérant l’ensemble des applications informatiques hébergées, mais La forte croissance des services Cloud et la quête vers la collecte et la
également de s’offrir un accès à des services de Cloud public et privé centralisation des données personnelles en masse a fait exploser les
proposés par ces DC de colocation. investissements dans les Data Centers dits « Hyperscale ». Principalement
basés aux USA, nous les voyons arriver doucement en France et estimons
Outre l’aspect organisationnel des entreprises, la création en masse de d’ailleurs leur nombre à 500 dans le monde entier d’ici la fin de l’année,
nouvelles données, issues des 30 milliards d’objets connectés recensés et à 628 en 2021. De nature gigantesque, avec quelques centaines de
d’ici 2020 (125 milliards en 2030), nécessite toujours plus d’espaces de milliers de m², ces Data Centers Hyperscale sont utilisés par les géants
stockage et de traitement au sein de Data Centers. Aussi, l’orientation du Cloud, tels que les GAFAM, et ont pour vocation de prendre en
stratégique prise par le gouvernement pour faire émerger des smart charge le besoin considérable en trafic Internet, d’offrir une puissance
cities dans chaque région et le déploiement de la 5G sont autant d’enjeux de calcul titanesque et de fournir de la connectivité en créant des nœuds

70
DATA CENTER

de réseaux. De par leur envergure et leur besoin important en termes de


consommation électrique, ces Data Centers sont généralement localisés
dans des zones peu denses, où le foncier est abondant et bon marché.
DATA CENTER
Toutefois, pour répondre aux besoins de stockage et à la demande crois- The digital economy ba
sante en services Cloud, les Data Centers Hyperscale ne suffisent pas. Ils cked by Data Center
s’appuient et utilisent alors les services de DC de colocation qui sont, Hyperscale, Colocation
and Edge
eux, de véritables portes d’entrée du réseau et offrent la capacité de
stockage nécessaire au cœur des grandes métropoles. Noyau central By Anne-Laure Grémaud,
pour le trafic Internet, le Data Center de colocation d’une surface Marketing Director and par
tner, JERLAURE
d’hébergement conséquente, mais plus petite avec plusieurs milliers de Organisations and users alik
m², est un point d’échange stratégique, puisqu’il devient une Market e have, for some years, bee
navigating the rising tide of n
Place qui offre une connexion entre les clients et les fournisseurs. Cela the digital age yet we are, in
reality, just at the beginning
se traduit notamment par le développement de plateformes Cloud et la of the digital transformation
of the economy. A huge surge
création de nœuds de réseaux. Les entreprises hébergées trouvent ainsi in the number of connected
devices has been generating
au sein de ces Data Centers de colocation toute l’interconnexion rich streams of information,
powering big data, while the
nécessaire pour échanger directement et en toute sécurité les unes avec massive uptake of the Inter-
net of Things has significant
les autres (fournisseurs, clients, opérateurs Télécoms et ESN). ly changed organisational
operations and the way peo
ple lead their lives. This new
environment promises to imp
De plus, pour apporter le réseau aux abords des zones rurales, au plus rove the quality of life, ma-
king it easier to manage and
près des entreprises et des consommateurs, mais également pour to run. But it also creates
immense volumes of data req
désengorger les réseaux, le Edge Data Center, aussi connu sous le nom uiring large storage capacity
and special processing of this
de Data Center de proximité, joue un rôle clé. Il est le nouveau lieu data. It follows that the data
center, whether Hyperscale,
névralgique des territoires. Bien plus petits avec une capacité à partir de Colocation or Edge (known
as proximity), is now at the
10 baies, les Edge Data Centers sont répartis sur tout le territoire et sont heart of economic develop-
ment strategies, both in the
au plus près des usages pour réduire les va-et-vient vers un nœud central, public and private sectors.
ce qui permet de traiter la donnée en temps réel en réduisant au maximum
les temps de réponse des applications hébergées. Le Edge Data Center
est ainsi devenu clé dans le contexte actuel et sa propagation dans les
zones reculées devient indispensable au regard de la numérisation de
l’économie, du déploiement de la 5G, de l’émergence des smart cities,
mais aussi pour accompagner le développement des objets connectés.
D’ailleurs, une étude indique que 40% des données issues de l’IoT seront
stockées, traitées et exécutées au sein de Edge Data Centers. On le voit
concrètement avec la voiture connectée, qui produit quotidiennement
l’équivalent de ce que génèrent 30 000 personnes en un jour. Tout ce
volume de données devra inévitablement s’appuyer sur des Edge Data
Centers pour être traité au quotidien.

Outre l’aspect purement technique et fonctionnel, les Edge Data Centers


sont un élément essentiel au développement économique et social local.
Vecteur de dynamisation du territoire, ils donnent accès à des services
d’hébergement pour les activités locales. De petites tailles et connectés
à l’environnement, ils s’intègrent parfaitement dans les stratégies gou-
vernementales axées sur l’émergence de smart cities, la mutualisation et
la labellisation des infrastructures, ainsi que la réduction de l’empreinte
énergétique.

Par ailleurs, dans la lignée des mesures prises par le gouvernement visant
à protéger les données personnelles, afin d’éviter autant que faire se
peut la collecte et la centralisation des données au sein des DC exploités
par les géants du Cloud, le Edge Data Center, qui dispose d’un niveau
de sécurité et de performance digne des plus grands, contribue à un nu-
mérique éthique en permettant de capter les données, de les traiter et
de les valoriser localement.

En conclusion, c’est grâce à tout cet écosystème que la digitalisation


de l’économie a pu se développer si vite et que les nouveaux usages
ont connu une évolution si rapide. Chaque typologie de Data Centers
joue alors un rôle qui lui est propre pour offrir un environnement
favorable à l’accroissement des échanges via le trafic Internet. Ainsi,
dans un monde numérique en perpétuelle évolution, ce trio semble
indispensable pour assurer Croissance, Sécurité, Performance et Respect
de l’environnement. ■ ■ ■

71
©Gorodenkoff
DE LA THÉORIE À LA PRATIQUE

R E E N
L E G
VE R S N T E R
A C E
DA T

Le 1er octobre 2020


Espace Saint-Martin - Paris
https://www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/
Renseignements : Marc Jacob Brami
SIMP - 17 avenue Marcelin Berthelot - 92320 Châtillon
Tél. : +33 (0)1 40 92 05 55 • marc.jacob@globalsecuritymag.com
© AridOcean
DATA CENTER

Edge Computing, HPC : comment


les Data Centers se
réinventent pour
révolutionner
notre quotidien ?
4Par Matthieu Gallego, Associate Director Data Center Hi-Tech
and Manufacturing, France, Turner & Townsend

A l'ère du tout numérique et alors que nous n'avons jamais produit autant de données à l'échelle
mondiale, les Data Centers doivent faire face à un challenge de taille. Les utilisateurs souhaitent de plus
en plus avoir accès à leurs données, partout, tout le temps, rapidement et pour certains avec une forte
puissance de calcul. Avec des usages qui changent depuis quelques années, l’Edge Computing et les
Data Centers HPC voient le jour et se démocratisent. Le premier volet de cet article concerne l’Edge
Computing et comment son application révolutionne déjà nos activités au quotidien.

LES USAGES DE L’EDGE COMPUTING


Pour faire face aux problèmes de proximité, de rapidité et de sécurité des
usagers, l’informatique dit « de bord », appelé aussi Edge Computing,
est une infrastructure physique au plus près des usagers et permettant
de rapprocher physiquement les utilisateurs et leurs données. Certaines
sociétés, comme Atos, Rittal et Siemens, tablent ainsi sur une
multiplication par 3 du nombre de sites d’Edge Computing en France
pour les 6 prochaines années.

Les principaux usages de l’Edge seront, en premier lieu, de pouvoir


bénéficier d’une bande passante plus importante, notamment pour les
services multimédias ou de vidéo à la demande, comme les consoles
connectées. Cette dernière application est, par exemple, à l’étude par
Microsoft depuis 2015 et permettra de jouer à ses jeux vidéo préférés
sans console, avec une « simple box » Internet grâce à une bande
passante dupliquée. Les autres utilisations seront pour des
communications dites de « Machine à Machine », où les temps de latence
doivent être très faibles pour optimiser la rapidité d’un processus
industriel par exemple, réduire la latence utilisateur ou encore dans le Figure 1 : Les utilisations principales de l'Edge Computing en 2025 en
cas d’infrastructures hyper critiques nécessitant une forte redondance. France (Source : Vertiv Website)

72
DATA CENTER

COMMENT FONCTIONNE
L’EDGE COMPUTING ?
En pratique, les données « sources » sont converties en paquets et
transmises à travers le réseau Internet par le biais d’un protocole
IP. Le routage des données est géré par le protocole Border
Gateway Protocol. Celui-ci fonctionne actuellement très bien en DATA CENTER
termes de redondance et de sûreté, mais ce protocole est très peu
efficace pour tout ce qui touche au temps de latence, c'est-à-dire Edge Computing, HPC:
le temps qui s’écoule entre le moment où un paquet de données are Data Centers keep how
ing apace with
est transmis à destination (l’aller) et revient (le retour). the revolution of everyd
Généralement, le temps de latence associé aux infrastructures ay life?
actuelles est de 100 millisecondes, alors que certains usages, By Matthieu Gallego, Associa
te Director Data Center
comme les vidéos à la demande en HD, demandent des temps trois Hi-Tech and Manufacturing,
France, Turner & Townsend
fois inférieurs. Pour réduire ce temps au maximum, des
infrastructures au plus proche des utilisateurs permettent de In this digital age we have nev
er produced so much data
répondre rapidement aux besoins des usagers. on a global scale and dat
a centers face a daunting
challenge. Users want more
and more access to their dat
everywhere, all the time, fas a,
LE CAS DE L’IOT processing power. In times of
t and for some with high
ever-changing practices and
uses, Edge Computing and
L’Internet des Objets (IoT) est l’un des usages privilégiés de l’Edge HPC Data Centers are
emerging and becoming mo
Computing. Selon le site ZDnet, l’IoT générera plus de 79 re widely available. The firs
t
part of this article looks at
zettaoctets de données en 2025. A titre de comparaison, environ Edge Computing and how its
application is keeping apa
9,57 zettaoctets de données ont été consommés en 2008, selon ce with the revolution of
everyday life.
une étude de l’Université de San Diego.
Que ce soit dans le cadre des smart cities, de l’agriculture connectée
ou encore de la santé, l’IoT avec ses milliards de capteurs va
révolutionner notre manière d’aborder les objets et le monde qui
nous entoure. L’IoT en pratique est le fait de pouvoir relier un
ensemble de capteurs permettant de récupérer des informations
sur des usages et d’en monitorer l’activité dans sa version la plus
basique. Une fois ces données récupérées et après un traitement
adapté dans les centres de données notamment, cette data
permettra à terme de faire communiquer des machines entre elles
(Machine to Machine) en toute autonomie.

LES DATA CENTERS DE


L’EDGE COMPUTING
Afin de faire fonctionner l’Edge Computing, plusieurs types
d’infrastructures organisées en cascades permettent aux utilisateurs
de répondre à chacun de leurs besoins.

Figure 2 : Le Cloud et le les 3 couches de l'Edge Computing (Source :


Introduction to Edge Computing in IoT)
73
DATA CENTER

La couche la plus haute de type Cloud est associée à des Data


Centers de moyenne ou de grande taille composés de plus de 10
racks. Ils sont bien souvent en dehors des grandes villes, où les
besoins en Cloud sont traités et où les contraintes immobilières,
comme l’achat de terrain, et les contraintes administratives, liées à
l’exploitation d’une autorisation ICPE, ou encore au Plan Local
d’Urbanisme (PLU) sont plus faibles.
A partir de ces gros nœuds d’infrastructures, les données transitent
par des Data Centers de petites tailles de moins de 10 racks,
composant notamment la couche Edge Computing. Ces Data
Centers ont une configuration bien souvent très spécifique, comme
en conteneur préconfiguré en « plug and play ». Ces racks
préassemblés peuvent être positionnés dans un bâtiment existant,
mais nécessairement à proximité immédiate d’un point de fibre. Les
modules les plus performants contiennent des groupes intégrés
avec une redondance locale en N+2 permettant une autonomie
totale en cas de coupure secteur pour un CAPEX optimisé.
La dernière couche de l’Edge est couverte par des capteurs locaux
déployables immédiatement et qui communiquent en fournissant
un retour d’information aux autres couches.

L’IMPACT SUR LA CONSTRUCTION


DES DATA CENTERS
L’impact de l’Edge sur la construction des Data Centers est très
important puisqu’il impose de nouveaux standards, là où les DC de
plus de 60 MW étaient la norme il y a encore quelques années de
cela, en Europe du Nord notamment.
Les Data Centers les plus volumineux seront situés dans les zones
non urbaines, en grande couronne alors que des Data Centers bien
plus petits devront être construits à proximité de gros nœuds de
fibre et des principaux utilisateurs.
Le cas du Grand Paris, porté notamment par la Société du Grand
Paris (SGP), en est le parfait exemple. En dehors d’être le plus grand
projet d’infrastructure d’Europe, le Grand Paris représente plus de
200 kilomètres de lignes ferroviaires, où sont disposées le long du
trajet 1152 fibres optiques. 144 fibres sortiront ainsi tous les 800
mètres environ selon la SGP. Des Data Centers de petite taille de
moins de 1 000 m² seront disposés tout au long du parcours. Une
première mise en service aura lieu en 2024, en 2027, puis en 2030
en même temps que les lignes associées. Ces Data Centers sont,
de par leur localisation, proches de la fibre et leur taille
parfaitement adaptée à l’Edge Computing.
Cependant, plusieurs problématiques apparaissent d’ores et déjà,
comme l’intégration du bâtiment dans son environnement, les
notions d’optimisation énergétique avec l’apparition du water
cooling pour les serveurs et des réseaux de chaleur urbains… sans
compter les nuisances acoustiques liées au fonctionnement des
serveurs ou aux possibles groupes électrogènes en cas de
fonctionnement dégradé.

Dans un monde toujours plus connecté et avec l’arrivée de la 5G


dans quelques mois en France, l’Edge Computing commence déjà
à révolutionner notre quotidien. De nombreux challenges font déjà
partis des contraintes à dépasser pour pouvoir intégrer l’Edge dans
notre environnement. Il sera toutefois indispensable d’éduquer les
clients finaux quant à son utilisation et à son impact, afin qu’en
2050 Internet ne devienne pas à l’échelle mondiale le premier
consommateur d’énergie de la planète. ■ ■ ■

75
BULLETIN D’ABONNEMENT
❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 60€ TTC (TVA 20%), 75€ hors France Métropolitaine et étranger. THE LOGICAL & PHYSICAL SECURITY MAGAZINE

Je recevrai les 4 prochains numéros. N° 48


❒ ou je commande le numéro : au prix unitaire de 24€ TTC (TVA 20%)

❒ Abonnement annuel au format PDF du magazine 33€ TTC (TVA 20%) ❒ ou je commande le numéro : au format PDF 12€ TTC (TVA 20%)

❒ Abonnement couplé pour une durée d’un an, magazine papier et PDF au prix de 75€ TTC (TVA 20%)

❒ Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail :

❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service
comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag. En
revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins ma carte
de visite professionnelle (agrafer ici)
et mon adresse mail : Je recevrai par mail une fois par semaine des informations ciblées
Nom Prénom Société
Adresse
Tél. Fax. E-mail

Règlement par chèque n° Tiré sur banque à l’ordre de SIMP

A réception de votre règlement une facture acquittée vous sera adressée par retour. A retourner à :
Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant. S IMP
17, av. Marcelin Berthelot
92320 Châtillon
Date, Signature et cachet de l’entreprise
Tél. : 01 40 92 05 55
© Adrian Grosu

E-mail : ipsimp@free.fr
marc.jacob@globalsecuritymag.com

En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant.
Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.

Solutions QUIZZ DE SENSIBILISATION

??
Solutions QUIZZ DE SENSIBILISATION - Michel Gérard, Conscio Technologies

S
SOLUTION
10. a
9. b
8. c
7. d
6. b
5. a
4. d
3. b
2. c
1. c