Thèse - BIM Et Sécurité de L'information

2018-2019
THESE PROFESSIONNELLE
Département Génie Civil et Construction
Mastère Spécialisé BIM, Conception intégrée et cycle de vie du bâtiment et des infrastructures
M. Amir Harbi
BIM ET SECURITE DE L'INFORMATION

Comment une agence d'architecture peut sécuriser les informations
d'un projet en BIM ?
Tuteur Ecole : M. Christophe Castaing

ENPC/ESTP – Thèse Professionnelle
REMERCIEMENTS
Je tiens à remercier ma mère pour son aide précieuse, tu as été un guide et un soutien à toute épreuve.
Sans toi cette thèse n'aurait pas abouti !
Je tiens à remercier ma compagne Amélie pour son soutien moral et son aide au quotidien, grâce à toi
j'ai pu mener à bien ce mémoire.
Je tiens à remercier Christophe CASTAING pour m'avoir débloqué à l'amorce de la rédaction de la

thèse en m'aidant à bâtir une problématique et un plan de développement clair.
Je tiens à remercier l'ENPC et l'ESTP pour leurs ressources de qualité et leur encadrement toujours
bienveillant nous permettant de travailler sereinement.
Je tiens à remercier Amaury DROUX, Benjamin LAUSENAZ, Quentin FOURNIER, Jean-François

DANIEL, Nihal KAANANE et Amine ID-EL-ASRI du master 2 OPSIE de l'université Lyon 2. Ils m'ont permis,
au travers d'échanges et de leurs travaux, de démystifier le sujet de la cybersécurité. Ils m'ont appris que l'aspect
technique et informatique n'est pas une fin en soi. La clef réside dans l'évaluation des risques numériques, et ceci
est à portée de tous.
Je tiens à remercier l'ANSSI, qui est une mine d'information. Les ressources documentaires de l'agence
permettent une vulgarisation du sujet des risques numériques.
Et enfin, je tiens à remercier l'ensemble des master BIM. Sans la convivialité et le support de la
communauté tant de difficultés n'auraient pu être surmontées.
Harbi Amir – Département Génie Civil et Construction 2

RESUME
Le nombre de cyberattaques ne risque pas de décroitre dans le futur. Et leurs niveaux de sophistication
pourraient augmenter afin de cibler plus précisément une organisation ou un bâtiment par exemple. Une
organisation doit anticiper ses risques lorsqu'elle compte se numériser. L'ensemble du secteur qui se numérise
grâce au BIM n'a pas encore pris conscience des enjeux liés à la sécurité de ses systèmes d'informations. La
première particularité du secteur du BTP est qu'elle rassemble pour un projet donné un grand nombre d'acteurs
hétérogènes. Ces acteurs travaillent de manière collective et échangent leurs maquettes numériques tout au long
du processus. Il suffirait qu'un acteur vulnérable subisse une cyberattaque pour que celle ci puisse se diffuser trés
facilement et rapidement. La seconde particularité est qu'au delà de la survie d'une entreprise, les bâtiments et les
infrastructures que nous construisons sont des éléments vitaux pour les groupes d'individus. D'ailleurs, attaquer
un bâtiment n'est pas un acte anodin et constitue dans certain cas un acte de déclaration de guerre. Que penser
d'une attaque visant la maquette numérique d'un bâtiment : vol des données personnelles de l'ensemble des
locataires pour un bailleur social, modification des notes de calcul conduisant à la ruine d'un bâtiment ... La
numérisation du secteur à travers le BIM entrainera forcement des risques de cybersécurité, ayant des impacts
financiers et humains inacceptables.
Mots-clés : Sécurité des systèmes d'informations, BIM, gestion du risque

ABSTRACT
The number of cyberattacks is not likely to decline in the future. And their levels of sophistication could
increase to specifically target an organization or a building for example. An organization must anticipate its risks
when it plans to digitize. The entire sector that is digitizing thanks to BIM has not yet become aware of the
issues related to the security of its information systems. The first peculiarity of the construction sector is that it
brings together for a given project a large number of heterogeneous actors. These actors work collectively and
exchange their digital mock-ups throughout the process. It would be enough for a vulnerable actor to undergo a
cyberattack so that it can spread easily and quickly. The second peculiarity is that beyond the survival of a
company, the buildings and infrastructures we build are vital elements for groups of people. Moreover, attacking
a building is not an insignificant act and in some cases constitutes a declaration of war. What about an attack on
the digital model of a building: theft of personal data of all tenants for a social lessor, modification of the
calculation notes leading to the ruin of a building ... Digitization of the sector through the BIM will necessarily
lead to cybersecurity risks, with unacceptable financial and human impacts.
Keywords: Information systems security, BIM, risk management

TABLE DES MATIERES

REMERCIEMENTS .................................................................................................................................................... 2
RESUME ................................................................................................................................................................... 3
ABSTRACT ................................................................................................................................................................ 4
TABLE DES MATIERES .............................................................................................................................................. 5
LISTES DES ANNEXES ............................................................................................................................................... 8
INTRODUCTION ....................................................................................................................................................... 9
CHAPITRE 1 ETAT DE L'ART ................................................................................................................................... 11
1.1 LES GRANDS CONCEPTS.............................................................................................................................. 11
1.1.1 SYSTEME D'INFORMATION (S.I.) ......................................................................................................... 11
1.1.2 CYBERESPACE OU CYBER-ENVIRONNEMENT...................................................................................... 11
1.1.3 CYBERDEFENSE ................................................................................................................................... 12
1.1.3.1 LE LIVRE BLANC POUR LA DEFENSE ET LA SECURITE NATIONALE ............................................... 12
1.1.3.2 OIV .............................................................................................................................................. 13
1.1.3.3 LA STRATEGIE NATIONALE POUR LA SECURITE DU NUMERIQUE ............................................... 14
1.1.4 CYBERSECURITE .................................................................................................................................. 15
1.1.5 CYBERATTAQUES ................................................................................................................................ 16
1.1.5.1 CYBERATTAQUE DE MASSE ......................................................................................................... 16
1.1.5.2 CYBERATTAQUE CIBLEE............................................................................................................... 17
1.1.5.3 TYPE DE LOGICIEL MALVEILLANTS (MALWARE) .......................................................................... 17
1.1.5.4 MOTIVATIONS ............................................................................................................................. 17
1.1.6 LE CLOUD ............................................................................................................................................ 18
1.1.7 DATA OU DONNEES ............................................................................................................................ 18
1.1.7.1 CRITICITE ..................................................................................................................................... 19
1.1.7.2 CLASSIFICATION DE L'INFORMATION ......................................................................................... 19
1.1.7.3 DROITS D'ACCES .......................................................................................................................... 19
1.1.7.4 CYCLE DE VIE DE L'INFORMATION .............................................................................................. 20
1.1.7.5 LES RISQUES SUR LES DONNES ................................................................................................... 20
1.2 LES DIFFERENTS ACTEURS DE LA SSI........................................................................................................... 21
1.2.1 ANSSI .................................................................................................................................................. 21
1.2.2 CNIL (Commission Nationale Informatique et Libertés) ..................................................................... 22
1.2.3 CERT OU CSIRT .................................................................................................................................... 22
1.2.4 LES EXPERTS METIERS ......................................................................................................................... 23
1.3 LE CADRE LEGAL DE LA SSI .......................................................................................................................... 23
1.3.1 LEGISLATION ET DROIT DU MONDE CYBER EN FRANCE ..................................................................... 23
1.3.1.1 LOI INFORMATIQUE ET LIBERTES ................................................................................................ 24
1.3.1.2 LA LOI GODFRAIN ........................................................................................................................ 24
1.3.1.3 LCEN : .......................................................................................................................................... 24
1.3.1.4 SECRET DES CORRESPONDANCES ............................................................................................... 24
1.3.1.5 REFERENTIEL GENERAL DE SECURITE (RGS) ................................................................................ 25
1.3.1.6 LOI DE PROGRAMMATION MILITAIRE 2019-2025 (LPM 2019-2025).......................................... 25
1.3.1.7 PROPRIETE INTELLECTUELLE ET INDUSTRIELLE ........................................................................... 25
1.3.1.8 LE DROIT DU SECRET DES AFFAIRES ............................................................................................ 27
1.3.2 LEGISLATION ET DROIT EN EUROPE.................................................................................................... 27
1.3.2.1 LA DIRECTIVE NIS (DIRECTIVE NETWORK AND INFORMATION SECURITY) ................................. 27
1.3.2.2 REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES (RGPD) .......................................... 28
1.3.3 LEGISLATION ET DROIT DANS LE MONDE ........................................................................................... 28
1.3.3.1 PATRIOT ACT (USA) ..................................................................................................................... 28
1.3.3.2 LE CLOUD ACT (USA) ................................................................................................................... 29
1.4 LE CADRE NORMATIF .................................................................................................................................. 29

1.4.1 LES NORMES ISO 27XXX ...................................................................................................................... 29

1.4.1.1 L'ISO/CEI 27001:2013 :................................................................................................................ 29
1.4.1.2 L'ISO/CEI 27002:2013 ................................................................................................................. 31
1.4.1.3 L'ISO/CEI 27005:2018 ................................................................................................................. 31
1.4.2 ISO/TC 59/SC 13/WG 13 (ISO 19650 - PARTIE 5) ............................................................................... 34
CHAPITRE 2 LES RECOMMANDATIONS EN MATIERE DE SECURITE DE L'INFORMATION ...................................... 37
2.1 LE CADRE CONTRACTUEL ........................................................................................................................... 37
2.1.1 MARCHES PUBLICS ET MARCHES PRIVES............................................................................................ 38
2.1.2 LES ANNEXES ...................................................................................................................................... 39
2.1.2.1 CCSC (Cahier de clauses simplifiées de cybersécurité) - voir annexe 2 ...................................... 39
2.1.2.2 Droit d'auteur ............................................................................................................................. 40
2.1.2.3 Responsabilités vis à vis des données ......................................................................................... 41
2.1.2.4 Responsabilités et assurance ...................................................................................................... 42
2.1.1 HYGIENNE(ref. annexe 3 à 6) .............................................................................................................. 43
2.2 CARTOGRAPHIER ........................................................................................................................................ 43
2.2.1 ETAPE 1 : L'AMORÇAGE ...................................................................................................................... 44
2.2.2 ETAPE 2 : LE CHOIX DU MODELE LA CARTE ........................................................................................ 44
2.2.3 ETAPE 3 : LA CHOIX DE L'OUTILLAGE .................................................................................................. 45
2.2.4 ETAPE 4 : LA CONSTRUCTION DE LA CARTE ........................................................................................ 45
2.2.5 ETAPE 5 : LA MAINTENANCE DE LA CARTE ......................................................................................... 45
2.3 ANALYSE DU RISQUE : APPROCHE GLOBALE .............................................................................................. 46
2.3.1 NOTIONS ............................................................................................................................................. 46
2.3.2 METHODE EBIOS ................................................................................................................................ 49
2.4 LA POLITIQUE DE LA SSI : LA DEFENSE EN PROFONDEUR .......................................................................... 52
CHAPITRE 3 ETUDE DE CAS ................................................................................................................................... 55
3.1 ATELIER 0 : CARTOGRAPHIE DE L'ENTREPRISE ........................................................................................... 56
3.1.1 ACTIVITE ............................................................................................................................................. 56
3.1.2 CLIENTELE ........................................................................................................................................... 56
3.1.3 ORGANIGRAMME ............................................................................................................................... 56
3.1.4 SYSTEME INFORMATIQUE .................................................................................................................. 58
3.1.5 ELEMENTS DE CONTEXTE ................................................................................................................... 62
3.2 ATELIER 1 : CADRE ET LE SOCLE DE SECURITE ............................................................................................ 63
3.2.1 IDENTIFICATION DES MISSIONS .......................................................................................................... 65
3.2.2 LES BIENS SUPPORTS .......................................................................................................................... 69
3.2.3 SOCLE DE SECURITE ............................................................................................................................ 70
3.3 ATELIER 2 : SOURCE DE RISQUE ................................................................................................................. 70
3.3.1 SOURCES DE RISQUES ......................................................................................................................... 70
3.3.2 OBJECTIFS VISES.................................................................................................................................. 71
3.3.3 GRILLE D'EVALUATION DES COUPLES SOURCE DE RISQUE (SR) ET OBJECTIFS VISES (OV) ................. 71
3.4 ATELIER 3 : SCENARIOS STRATEGIQUE ....................................................................................................... 74
3.4.1 EVALUATION DES PARTIES PRENANTES ............................................................................................. 74
3.4.2 ELABORATION DES SCENARIOS STRATEGIQUE D'ATTAQUE ............................................................... 76
3.4.3 IDENTIFICATION DES MESURES DE SECURITE .................................................................................... 77
3.5 ATELIER 4 : SCENARIOS OPERATIONNELS ................................................................................................... 78
3.5.1 ELABORATION DES SCENARIOS OPERATIONNELS .............................................................................. 78
3.5.2 EVALUATION DE LA VRAISEMBLANCE DES SCENARIOS OPERATIONNELS .......................................... 78
3.6 ATELIER 5 : TRAITEMENT DU RISQUE ......................................................................................................... 79
3.6.1 SYNTHESE DES SCENARIOS DE RISQUE ............................................................................................... 79
3.6.2 STRATEGIE DE TRAITEMENT DES RISQUES ......................................................................................... 80
3.6.3 EVALUATION DES RISQUES RESIDUELS ............................................................................................... 82
CONCLUSION ......................................................................................................................................................... 85


LISTES DES ANNEXES

ANNEXE 1 - Les métiers de la SI.
ANNEXE 2 - CCSC - un clausier de la cybersécurité.
ANNEXE 3 - Guide d'hygiène informatique - renforcer la sécurité de son système
d’information en 42 mesures.
ANNEXE 4 - Recommandations sur le nomadisme numérique.
ANNEXE 5 - Sécurité numérique - bonnes pratiques à l'usage des professionnels en
déplacement.
ANNEXE 6 - Rapport de sécurité complet Wattstudio - application de la méthode EBIOS

INTRODUCTION
En juin 2017 une cyberattaque a failli faire fermer l'agence d'architecture où je travaillais
depuis 3 ans. Cette agence est de taille modeste. Elle compte 5 personnes, 4 architectes, et une
assistante de direction. Il y a deux ans et demi nous avons décidé d'implanter le BIM de manière
progressive. Et 6 mois plus tard au cours d'un concours nous avons subit une cyberattaque qui a eu
pour effet de détruire l'ensemble de notre base de données. Pour être précis, l'ensemble de notre base
de données a été chiffrée la rendant inutilisable. Nous avions appris plus tard que cette attaque a été
rendue possible à la suite de l'insertion d'un objet BIM corrompu dans une maquette numérique
provenant d'un de nos partenaires. Cette cyberattaque était mondiale et porte le nom de NotPetya.
La force du BIM est que ce processus améliore le travaille collectif avec ses partenaires. Mais
dans notre cas cette force s’est transformée en faiblesse lors de la cyberattaque, et a permis au virus
(caché dans l'objet de la maquette numérique) d'infecter l'ensemble des systèmes des partenaires. Cette
cyberattaque a engendré le black-out total de notre agence et de nos partenaires. Cette cyberattaque
s’est appuyée sur un virus informatique militaire russe qui a servait à l'origine à déstabiliser les
systèmes d'informations du gouvernement Ukrainien. L'agence s'en est finalement sortie car nous
avons pu récupérer notre base de données via un ensemble de sauvegarde, mais nous avions perdu le
concours. Malheureusement deux entreprises partenaires ont dû déposer bilan. Nous avions appris que
cette cyberattaque avait eu un coût financier considérable pour de grandes entreprises du secteur,
s'élevant en plusieurs centaines de millions d'euros !
Le nombre de cyberattaques ne risque pas de décroitre dans le futur. Et leurs niveaux de

sophistication pourraient augmenter afin de cibler plus précisément une organisation ou un bâtiment
par exemple. Cette histoire m'a fait prendre conscience qu'il n'existe aucune protection absolue. Une
organisation doit anticiper ses risques lorsqu'elle compte se numériser. J'ai pu remarquer au cours de
l'année au MS BIM, que l'ensemble du secteur qui se numérise grâce au BIM n'a pas encore pris
conscience des enjeux liés à la sécurité de ses systèmes d'informations. La première particularité du
secteur du BTP est qu'elle rassemble pour un projet donné un grand nombre d'acteurs hétérogènes. Ces
acteurs travaillent de manière collective et échangent leurs maquettes numériques tout au long du
processus. Il suffirait qu'un acteur vulnérable subisse une cyberattaque pour que celle ci puisse se
diffuser trés facilement et rapidement. La seconde particularité est qu'au delà de la survie d'une
entreprise, les bâtiments et les infrastructures que nous construisons sont des éléments vitaux pour les
groupes d'individus. D'ailleurs, attaquer un bâtiment n'est pas un acte anodin et constitue dans certain
cas un acte de déclaration de guerre. Que penser d'une attaque visant la maquette numérique d'un
bâtiment : vol de données personnelles de l'ensemble des locataires pour un bailleur social,
modification des notes de calcul conduisant à la ruine d'un bâtiment... La numérisation du secteur à
travers le BIM entrainera forcement des risques de cybersécurité, ayant des impacts financiers et
humains inacceptables.
Dans ce contexte j'entreprend cette thèse comme une formidable opportunité pour défricher le
sujet de la cybersécurité pour une agence d'architecture. Cette thèse est à aborder comme le carnet de
bord d'un architecte, à qui sa direction à demander d'apporter des éléments de réponse pour sécuriser
son système d'information au regard de sa transition BIM.
Le premier chapitre établira un état de l'art de la cybersécurité au regard du BIM. Dans un

premier temps je définirai les différentes notions. Puis je présenterai les différents alliés de la

cybersécurité qu'une agence peut solliciter, en France. Enfin je décrirai le cadre légal et normatif de la
sécurité des systèmes d'information.
Le deuxième chapitre présentera les premières recommandations que j'estime indispensables

pour qu'une agence puisse sécuriser son système d'information. Ce chapitre est non exhaustif. Il mérite
d'être complétée au fur et à mesure par l'ensemble des acteurs du secteur de la construction. Le but
étant d'obtenir à terme des recommandations communes prenant en compte les spécificités de chacun
des métiers. Dans ce chapitre je présenterai les premiers éléments à prendre en compte lors de la
contractualisation d'un projet BIM. Puis je décrirai le processus de cartographie d'un système
d'information. Ensuite je décrirai une stratégie de sécurisation : la défense en profondeur. Enfin je
décrirai la méthode EBIOS RM 2018 qui est une méthode d'analyse globale de risque développée par
l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) permettant de bâtir une
défense en profondeur.
Le troisième chapitre sera l'application de mes recommandations au cas d'étude suivant :

l'agence d'architecture Wattstudio souhaite sécuriser son système d'information au regard du BIM.
Nous verrons comment cartographier l'entreprise et comment appliquer la méthode EBIOS RM 2018.
Attention cette thèse nécessite une base de connaissance en BIM pour comprendre certain des
concepts.

CHAPITRE 1 ETAT DE L'ART

Au cours de ce chapitre les grandes notions de la cybersécurité seront définies. Le domaine de
la cybersécurité est inclus dans un domaine plus vaste, celui la sécurité des systèmes d'information. Il
sera question de ce domaine dans le déroulement de cette thèse pour la bonne raison que ce domaine
est beaucoup plus mature et plus global. Puis une fois tous les grands concepts définis, je m'attacherai
à vous présenter les grands acteurs de la sécurité des informations. Ces acteurs réunissent un ensemble
de ressources qui m'ont été indispensables pour la rédaction de cette thèse. Ensuite le cadre légal de la
sécurité des systèmes d'information sera présenté. Nous verrons qu'un ensemble de lois nationales et
internationales régule ce domaine et constitue la première protection vis à vis des d'attaques. Enfin,
une présentation des normes ISO 27XXX et 19650 Partie 5 définira le cadre de cette thèse.
1.1 LES GRANDS CONCEPTS

Le développement du présent mémoire fera intervenir des termes et des concepts que je dois au
préalable définir. Ces définitions se veulent synthétiques étant donné que chacun des termes peut faire l'objet de
cas d'étude à eux seuls.
1.1.1 SYSTEME D'INFORMATION (S.I.)
C'est un terme générique qui désigne un système servant à faire transiter de l'information.
L'informatique grand public s'est fortement développée à partir des années 80, générant des gains de productivité
sans commune mesure. Les unités centrales d'IBM étaient incontournables pour les entreprises. Pourtant la
saisie, le traitement et la distribution des données entre unités centrales se faisait manuellement d'un système à
un autre, via des bandes magnétiques ou des disquettes. Pour prospérer, les entreprises avaient besoin de se
passer de ce système d'information. Les ordinateurs étaient alors reliés entre eux par l'intermédiaire de
connectiques nouvelles générations. En 1996 par exemple un système informatique ressemblait à un ensemble de
terminaux reliés entre eux (Fax+téléphone+ordinateur+minitel). Internet existait mais n'était pas accessible aux
collaborateurs au seins d'une entreprise. Puis à mesure du développement de l'informatique grand public, les
particuliers s'équipèrent d'ordinateurs, et les réseaux de données se développèrent. Les ordinateurs passèrent de
boitiers autonomes à celui de systèmes interconnectés. Dans les années 90, l'infrastructure de télécommunication
se développa également. Le réseau se structura pour devenir un vaste réseau d'autoroute mondiale dans lequel
pouvait transiter de plus en plus d'informations. Les ordinateurs étaient reliés entre eux, rendant possible l'accès à
des données se situant à l'extérieur d'un PC ou sur un réseau. C'est l'internet. De nos jours avec l'apparition des
objets du connectés (avions, vidéo-surveillance, montres, smartphone ...), le réseau s'est complexifié. Notre
mode de vie actuel ne pouvant se passer d'objets connectés, au sens large, et comme une connexion à un réseau
rend possible une intrusion, tous ces éléments sont susceptibles de subir une attaque menaçant le système
d'information sur lequel ils sont reliés. Le fait d'augmenter les interconnections entre elles augmentent la surface
de cyberattaque nous rendant inter-vulnérable.
1.1.2 CYBERESPACE OU CYBER-ENVIRONNEMENT
Terme apparu en 1982 dans la nouvelle Burning Chrome de W. Gibson, il représente un milieu abstrait
désignant l'ensemble des utilisateurs, réseaux, dispositifs, logiciels, processus, informations en mémoire ou en
cours de transmission, applications, services et systèmes qui peuvent être raccordés directement ou indirectement
à des réseaux. (1)
Du point de vue de l'étymologie ce terme sert à désigner l'environnement de communication menant à
l'information. Il a pour caractéristique d'être créé par l'intercommunication mondiale des ordinateurs (la toile, le
réseau, WWW).
1
Union Internationale des télécommunications, X.1205 Présentation générale de la cybersécurité, 04/2008.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) définit dans son glossaire en
ligne le Cyberespace comme l'espace de communication constitué par l’interconnexion mondiale d’équipements
de traitement automatisé de données numériques. (2)
Le cyber-environnement ou le cyberespace possède ses propres caractéristiques "dimensionnelles".
La dimension spatiale du cyber-environnement permet à deux individus ou groupes d'individus de communiquer,
quelle que soit la distance qui les sépare et à n'importe quel moment. L'interlocuteur semble réellement présent
réduisant la notion de distance entre chaque individu. Le cyberespace est sans frontière concrète. C'est l'ubiquité
du cyberespace. Cependant les réseaux reposent sur une infrastructure de télécommunication bien réel se situant
dans des territoires délimités par des frontières. En effet dans certains pays, il est interdit de posséder ou de faire
transiter une donnée qui serait chiffrée sans permission. De nombreux Etats souhaitent contrôler les frontières
numériques pour des raisons de souveraineté nationale, de sécurité ... L'objectif étant de bannir du réseau
national tout élément nuisible aux pays.
La dimension temporelle du cyber-environnement permet des interactions instantanées. Il est possible de stocker
chez l'utilisateur, ou dans le réseau, et de "rejouer" des sessions de communication. C'est la mémoire du
cyberespace.
Les contenus des individus sont hautement volatils. Ils sont accessibles et partageables n'importe où et
n'importe quand. Ces contenus constituent le "profil" ou "l'identité" d'un individu. L'accès à ces données est
dépendant du niveau de sécurité. L'ensemble des données liées à un individu peut être représenté par un avatar
numérique.
Le cyberespace possède une double dimension : il s'agit à la fois d'un espace social de partage de biens
immatériels et de connaissances, mais aussi un support à de nombreux services critiques (comme la gestion d'une
usine via son avatar numérique).
Toutes ces caractéristiques donnent un avantage certain aux attaquants, car l'impact peut être immédiat.
L'attaquant bénéficie d'un effet de surprise très avantageux. La défense se doit d'être réactive, anticipatrice et
prospectrice.
Le cyberespace permet l'asymétrie des affrontements. Auparavant un Etat déclenchait une guerre envers
un autre Etat, une organisation affrontait une autre organisation etc... Le cyberespace permet à une organisation
d'attaquer un Etat en touchant des points névralgiques vitaux (hôpitaux, centre de traitement d'eau par exemple).
Le cyberespace permet à des Etats d'acquérir des armes cyber à moindre frais et de nuire gravement à des Etats
puissants sans armes conventionnelles qui sont extrêmement coûteuses.
1.1.3 CYBERDEFENSE
"La cyberdéfense rassemble, la cybersûreté, la cybersécurité, la cyberrésilience (lutte informatique

défensive), et la cyberagression (lutte informatique offensive). Les approches proactives et réactives sont
comprises dans certaines de leurs composantes" (3)
Selon le ministère français des armées, la cyberdéfense est "l’ensemble des mesures techniques et non techniques
permettant à un Etat de défendre dans le cyberespace les systèmes d’informations jugés essentiels. L’ensemble
des activités qu’il conduit afin d’intervenir militairement ou non dans le cyberespace pour garantir l’efficacité
de l’action des forces armées, la réalisation des missions confiées et le bon fonctionnement du ministère". (4)
La multiplicité des points d'accès fait qu'il est difficile d'attribuer une attaque à une personne, une entreprise ou
un gouvernement. En effet les attaquant couvrent leurs traces en modifiant les caractéristiques des machines
utilisées, en passant un grand nombre de relais pour atteindre la cible, voir en effaçant les registres d'activité.
1.1.3.1 LE LIVRE BLANC POUR LA DEFENSE ET LA SECURITE NATIONALE

Afin de structurer une vision commune de la défense et plus particulièrement de la cybersécurité en
France, le Président de la République a souhaité qu'en 2013 soit rédigé un deuxième livre blanc pour la Défense
et la Sécurité Nationale. Ce livre blanc apporte un classement des menaces les plus importantes sur l'Etat et
montre que la menace informatique est classée deuxième derrière la menace terroriste. En substance, le
document évoque une "menace cyber diverse et croissante" qui peut avoir pour conséquence le sabotage,
2
Page web ANSSI, consultée le 07/07/2019, https://www.ssi.gouv.fr/entreprise/glossaire/c/
3
Nicolas Ténèze, Combattre les cyberagressions, Nuvis, 2018, 578 pages (ISBN 978-2-36367-082-3), p.31.
4
Coustillère, « La défense française dans le cyberespace », Les rands ossiers de iplomatie, n°23, 10-11/ 2014.

l'espionnage et la subversion. Cette menace concerne l'ensemble des acteurs français, aussi bien économiques
qu'administratifs. Il faut noter que le premier livre blanc de la Défense et de la Sécurité Nationale de 2008
mettait déjà en évidence la menace que représentent les attaques informatiques et a ainsi permis la création de
l'ANSSI.
Il ressort trois priorités de ce livre :

1/ Protéger les opérateurs d'importance vitale (OIV) qui sont des acteurs privés indispensables au bon
fonctionnement de la Nation.
2/ La deuxième priorité concerne la formation et la sensibilisation. Mission en partie assurée par l'ANSSI.
3/ Le troisième axe prévoit la promotion des produits de sécurité nationale pour maintenir une industrie capable
de produire des équipements de sécurité de façon autonome. Il s'agit d'un axe stratégique permettant de valoriser
des offres françaises et de développer une confiance pour les produits de sécurité. La plateforme KROQI est un
de ces produit.
En résumé, le livre blanc montre que l'Etat a conscience des évolutions technologiques et cherche à assurer sa
protection dans le domaine numérique. Pour cela il prévoit un effort budgétaire nécessaire pour créer des
protections cryptographiques et des systèmes de détection d'intrusion purement français, afin de conserver
l'indépendance de la France sur ce terrain et investir dans la formation pour anticiper la demande croissante de
compétences.
1.1.3.2 OIV
L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés
parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires
d’établissements mentionnés à l’article L. 1332-2. Un opérateur d’importance vitale : exerce des activités
mentionnées à l’article R. 1332-2 et comprises dans un secteur d’activités d’importance vitale ; gère ou utilise au
titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou
l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait,
directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité
de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.
Concrètement un opérateur d'importance vitale (OIV) est, en France, une organisation identifiée par l'État
comme ayant des activités indispensables ou dangereuses pour la population. Il y en a 249 dans 12 secteurs
d'activité (5)
D'après l'article R. 1332-2 du Code de la Défense, un OIV est constitué d'activités concourant à un même
objectif : (6) Production et distribution de biens ou de services indispensables / Présenter un danger grave pour la
population.
Un opérateur d'importance vitale, tel que défini par l'article R. 1332-1 du Code de la Défense, est une
organisation qui : " exerce des activités comprises dans un secteur d'activités d'importance vitale " ;
" gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le
dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme
risquerait, directement ou indirectement : d'obérer gravement le potentiel de guerre ou économique, la sécurité
ou la capacité de survie de la Nation ; ou de mettre gravement en cause la santé ou la vie de la population ". (7)
Les points d'importance vitale (PIV) :

Les points d’importance vitale sont des établissements, ouvrages ou installations qui fournissent les services et
les biens indispensables à la vie de la Nation. Ce sont les opérateurs eux-mêmes qui proposent la liste de leurs
points d’importance vitale qui peuvent être, par exemple, des sites de production, des centres de contrôle, des
nœuds de réseau, des centres informatiques, etc.
5
Page web SGDSN, consulté le 10/07/2019, http://www.sgdsn.gouv.fr/communication/la-securite-des-activites-dimportance-
vitale/
6
Code de la Défense - Article R. 1332-2 [archive] - Légifrance.
7
Code de la Défense - Article R. 1332-1 [archive] - Légifrance.

Quelque chiffre : 9 ministres coordonnateurs / 12 secteurs d’activités / 22 directives nationales de sécurité / 249
opérateurs d’importance vitale / 1 369 points d’importance vitale / 300 agents de l’Etat travaillant
quotidiennement sur les questions de saiv (8)
Illustration de la réparation des OIV, source http://www.sgdsn.gouv.fr/uploads/2016/10/plaquette-saiv.pdf
9
1.1.3.3 LA STRATEGIE NATIONALE POUR LA SECURITE DU NUMERIQUE
En 2015, le premier ministre a officialisé la première stratégie pour la sécurité du numérique.
L'ambition de la France est de faire partie des quelques nations qui comptent dans tous les domaines stratégiques
et notamment la cybersécurité. La stratégie nationale pour la sécurité du numérique n'est pas une stratégie pour la
cyberdéfense mais bien pour la sécurité du numérique, terme plus englobant et traduisant mieux les enjeux et
défis qui se posent. Les 5 axes de la stratégie sont :
1/ Les questions de sécurité numérique auprès des OIV (Opérateur d'Importance Vitale).
Le premier axe de la stratégie nationale pour la sécurité du numérique consiste à réaffirmer que les questions de
sécurité numérique auprès des OIV sont liées à celles de la souveraineté nationale. En effet, aujourd'hui, de
nombreuses infrastructures vitales (centrales nucléaires, barrages, circulation routière, ...) sont gérées
numériquement (avatar numérique, IOT ...) ce qui peut générer de gros dommages potentiels en cas de
cyberattaque.
2/ Le rôle des entreprises non OIV.
Le deuxième point n'en est pas moins important, il explique que les entreprises non OIV ont également un rôle
important à jouer puisque des attaques informatiques massives contre les industries et PME/PMI peuvent devenir
des questions de sécurité nationale. Aujourd'hui les entreprises non-OIV composent la grande majorité du tissu
industriel français. En effet, bien qu'une cyberattaque isolée mettant en difficulté une PME n'ait pas d'incidence
en termes de sécurité nationale, la généralisation des attaques peut entrer dans le domaine de la sécurité
nationale. Ces entreprises sont souvent moins sensibilisées aux problématiques de sécurité informatique et donc
potentiellement plus vulnérables à un risque de contamination. Il faut pouvoir apporter une réponse à cette
menace dans les domaines de la prévention et de la sensibilisation mais surtout, il est nécessaire d'agir en aidant
les victimes d'actes de cyber- malveillance. Actuellement, le statut de ces victimes n'est pas reconnu clairement,
ce qui rend plus difficile la recherche de réponses judiciaires efficaces et le passage par des organismes
traditionnels de compensation des risques (assurances).
3/ La formation à la cybersécurité.
Le troisième axe promeut la formation à la cybersécurité, par la création de formation, de label afin de
sensibiliser les individus dès le plus jeune âge.
8
Page web SGDSN, consultée le 10/07/2019, http://www.sgdsn.gouv.fr/communication/la-securite-des-activites-
dimportance-vitale/
9
Cabinet du 1er Ministre, Stratégie nationale pour la sécurité du numérique. France, 16/10/2015

4/ Le rôle des industries.

Le quatrième axe de la stratégie propose d'inclure les industries dans le développement de la cybersécurité
nationale. "La France développera un écosystème favorable à la recherche et à l'innovation et fera de la sécurité
du numérique un facteur de compétitivité." L'objectif est que l'industrie doit produire des produits de sécurité
"made in France" et doit se protéger pour elle-même afin d'éviter d'être le maillon faible de la chaîne. Le secteur
du BTP, étant le dernier à se numériser, constitue actuellement le maillon faible.
5/ La stratégie du numérique dans un contexte international.
Enfin, le dernier axe explique que la stratégie du numérique doit s'envisager dans un contexte international. En
effet, la France a un rôle majeur à jouer pour porter ses valeurs dans le domaine de la cybersécurité, que ce soit
pour venir en aide aux Etats les moins avancés, faire du capacity-building, ou aller vers les pays alliés pour les
aider à monter en puissance. Au-delà des objectifs "philanthropiques", il s'agit aussi, comme pour tous les
domaines stratégiques, de protéger ses alliés pour se protéger soi-même. Cette stratégie vise à aider les
entreprises vers l'export.
1.1.4 CYBERSECURITE
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) définit ce terme comme étant "
l'état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace
susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou
transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait
appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité
et sur la mise en place d’une cyberdéfense." (10)
Ce terme désigne le rôle de l'ensemble des outils, des lois, des politiques, des concepts de sécurité, des
mécanismes de sécurité, des lignes directrices, des méthodes de gestion des risques, des actions, des formations,
des bonnes pratiques, des garanties et des technologies qui peuvent être utilisées pour protéger le cyber-
environnement et les actifs des organisations et des utilisateurs. Les actifs des organisations et des utilisateurs
comprennent les dispositifs informatiques connectés, le personnel, l'infrastructure, les applications, les services,
les systèmes de télécommunication, et la totalité des informations transmises et/ou stockées dans le cyber-
environnement. La cybersécurité cherche à garantir que les propriétés de sécurité des actifs des organisations et
des utilisateurs sont assurées et maintenues par rapport aux risques affectant la sécurité dans le cyber-
environnement. Les objectifs généraux en matière de sécurité sont les suivants :
• isponibilité. • Intégrité. • Confidentialité.11 et de plus en plus la Traçabilité • non Répudiation
La cybersécurité relève de la souveraineté du cyber-environnement d'un Etat-Nation. Elle englobe des enjeux
économiques, politiques et stratégiques d'un Etat et ne se limite pas qu'a la seule sécurité des systèmes
d'information. "La cybersécurité s'aborde de manière holistique pour prendre en compte les aspects
économiques, sociaux, éducatifs, juridiques, techniques, diplomatiques, militaires et de renseignement". (12)
Une stratégie nationale sur la cybersécurité s'aborde sur le long terme. C'est au travers de publication comme les
"livres blancs" que chacun des Etat expose sa stratégie nationale et internationale en termes de cybersécurité.
Chacun des cyberespaces nationaux s'interconnecte pour former un réseau mondialisé. La cybersécurité doit être
alors envisager à l'échelle internationale par l'ensemble des Etats. C'est au travers de l'UTI (Union Internationale
des télécommunications) que chacun des Etats intensifie ses efforts en matière de cybersécurité. L'UTI évalue
chacun des Etats au travers de l'indice GCI (Global Cybersecurity Index) en mesurant cinq piliers stratégiques :
juridique, technique, organisation, prise de conscience / savoir-faire, coopération internationale. (13)
10
Page web ANSSI, consulté le 07/07/2019, https://www.ssi.gouv.fr/entreprise/glossaire/c/
11
Union Internationale des télécommunications, X.1205 Présentation générale de la cybersécurité, 04/2008.
12
Daniel Ventre, Étude prospective et stratégique - Les évolutions de la cybersécurité : contraintes, facteurs, variables, sur
defense.gouv.fr, juin 2015
13
Union Internationale des télécommunications, Global Cybersecurity Index v3, 2018-2019

1.1.5 CYBERATTAQUES
Le cyberespace comprend un ensemble d'objets allant de la montre connectée, aux serveurs de Google,
en passant par les voitures nouvelle génération par exemple. Tous ces objets sont développés différemment et se
connectent de différentes façons au réseau. Ils s'interconnectent de plus en plus en échangeant des volumes de
données de plus en plus grands, les rendant plus utiles au quotidien mais aussi plus vulnérables au risque de
cyberattaque. Le cyberespace est un milieu à hauts risques d'attaques.
Une cyberattaque est un acte d'atteinte à des systèmes d'information réalisé dans un but malveillant.
Selon A. Coustillère, vice-amiral chargé de la cyberdéfense française, une cyberattaque est "une action
volontaire, offensive ou malveillante, menée au travers du cyberespace et destinée à provoquer un dommage aux
informations et aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support" (14). Une
cyberattaque vise différent composant d'un dispositif informatique isolé ou en réseau (périphériques, objets
connecté, serveurs, PC)
L'ANSSI l'intègre comme étant une action de cybercriminalité "Actes contrevenants aux traités
internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de
réalisation d’un délit ou d’un crime, ou les ayant pour cible." (15). Elle peut avoir pour objectif de voler des
données (secrets militaires, diplomatiques ou industriels, données personnelles bancaires, etc.), de détruire,
endommager ou altérer le fonctionnement normal de systèmes d’information (dont les systèmes industriels). Il
existe 4 types de risque cyber aux conséquences diverses : la cybercriminalité, l'atteinte à l'image, l'espionnage et
le sabotage.
Selon N.Ténèze, les cyberattaques se répartissent dans 12 grandes familles (16):
Les ADS (Attaque par Déni de Services pour neutraliser un système informatique et le rendre inopérant) / le
cyberespionnage / le cyberharcèlement / la cyberfraude / le cyber-whistleblowing / la cybercontrefaçon - le
cyberrecel / la cyberfinance criminelle / la cyberpropagande / la cyberusurpation d'identité / le
cybercambriolage / le défaçage (modifier l'apparence d'un site, d'un blog, etc.)
Les attaque de déstabilisation (cybercriminalité+atteinte à l'image) sont fréquentes et peu sophistiquées.
L'exfiltration, la défiguration ou le défacement (modifier l'apparence d'un site, d'un blog, etc.) porte atteinte à
l'image de la victime et sont très lourdes en conséquence.
Les attaques d'espionnage sont très ciblées et sophistiquées, elles ont de lourdes conséquences
économiques ou nationales. En effet il faut parfois des années pour qu'une organisation puisse se rendre compte
de ce type d'attaque étant donné que le but recherché est de maintenir un accès aux informations le plus
longtemps et le plus discrètement possible.
Les attaque de sabotage informatique sont le fait de rendre inopérant un système d'information.
Les conséquences d'une cyberattaque touchent les données ou le système d'information en affectant leurs
disponibilités (données cryptées par exemple), leur intégrité (données modifiées par exemple) ou leurs
confidentialité (données secret défense rendues publique par exemple). Une cyberattaque impacte l'image d'une
entreprise. En effet si une entreprise a du mal à protéger son système d'information, comment peut elle protéger
ses utilisateurs ? Les pertes financières sont une conséquence d'une cyberattaque en impactant directement le bon
fonctionnement d'une organisation ou son image.
Une cyberattaque peut être massive ou ciblée.
1.1.5.1 CYBERATTAQUE DE MASSE

Les cyberattaques de masse sont très courantes, car leurs coûts sont très faibles pour l'attaquant et les
revenus générés peuvent rapidement devenir intéressants. Les attaques de masse scannent l'ensemble du réseau
internet à la recherche de failles (objets non sécurisés ou avec protection d'accès faible) pour s'y introduire et en
prendre le contrôle. Les attaquants arrivent ainsi à se constituer un capital d'objets compromis dont ils peuvent
prendre le contrôle à distance. Ce réseau d'objet se nomme botnet et servira par la suite à commettre une attaque
sur une cible prédéfinie. Ceci se nomme attaque Ddos ou ADS (Attaque par Déni de Services pour neutraliser un
14
France, Défense Nationale, « Glossaire interarmées de terminologie opérationnelle », PIA-7.2.6.3_GIAT-0(2012),
n°001/DEF/CICDE/NP
15
Page web ANSSI, consulté le 07/07/2019, https://www.ssi.gouv.fr/entreprise/glossaire/c/
16
TENEZE Nicolas, Combattre les cyberagressions, France : nuvis éditions 01/2018, 578p, Isbn 978-2-36367-082-3

système informatique et le rendre inopérant). Une forme de cyberattaque concerne le rançonnage. L'objectif est
que l'attaque soit le plus large possible pour avoir un impact maximal et récolter le plus d'argent possible. Cette
technique consiste, à l'aide d'un logiciel malveillant, à crypter l'ensemble des données d'un système d'information
et de demander une rançon contre la clef de décryptage. Cette technique se diffuse par le biais de mail
d'apparence officiel ou de lien de téléchargement qui poussera l'utilisateur à installer le logiciel malveillant sur
son système qui cryptera ses données. Cette technique visant à piéger l'utilisateur se nomme le phishing. Il faut
s'avoir que le cryptage est irréversible et qu'il est donc inutile de céder à la rançon.
1.1.5.2 CYBERATTAQUE CIBLEE

Les cyberattaques ciblées sont plus rares et complexes mais d’une extrême efficacité. Elle consiste à
mettre en place un mode opératoire complexe et demandent un faisceau de compétences diverses ou une
connaissance pointue de l'organisation à viser. Concrètement, l'attaquant connait la victime et il met en œuvre un
procédé pour l'atteindre. Il s'agit principalement de cas d'espionnage économique, industriel ou pour atteindre
une propriété intellectuelle ou encore pour des raisons politiques. Ce type d'attaque se nomme APT (Advanced
Persistent Threat). Elles sont repérées des années après la première infiltration sur le réseau de la personne visée.
Elles utilisent un code malveillant développé spécifiquement pour effectuer des tâches spécifiques et rester
inaperçu le plus longtemps possible (enregistré des conversations et les envoyer par exemple). Le principe de
fonctionnement d'une attaque ciblée est le suivant : Tout d'abord l'attaquant va utiliser l'ensemble des
informations de l'organisation et de l'individu visé trouvé sur internet pour en faire une cartographie précise. Ces
techniques de cartographie s'appuient sur du social engineering par exemple. Ensuite l'attaquant va infecter le
réseau de l'organisation via un email personnalisé contenant un programme malveillant par exemple. L'attaquant
pourra in fine prendre le contrôle du poste de la personne visée puis du système d'information de l'organisation.
L'utilisateur visé sert alors de tête de pont.
1.1.5.3 TYPE DE LOGICIEL MALVEILLANTS (MALWARE)

ADS ou Ddos : Attaque qui rend un service indisponible et qui empêche les utilisateurs légitimes de
l'utiliser.
Cryptovirus, ransonware : Programme qui chiffre les fichiers et qui demande une rançon pour les déchiffrer.
Ver : Programme qui se reproduit sur plusieurs ordinateurs en utilisant le réseau informatique.
Spyware : Programme enregistrant les frappes du claviers, webcam, mirco ...
Botnet : Réseau de robots informatiques contenant des programmes malveillants qui communiquent entre eux
par internet.
Virus : Programme s'attachant à un autre pour modifier ou altérer son fonctionnement.
Cheval de Troie ou Trojan : Programme permettant à un attaquant de prendre le contrôle de l'ordinateur cible.
Phishing : Message d'apparence légitime et demande des informations personnelles, identifiant, code d'accès ...
Il faut noter qu'aujourd'hui ces malwares sont hybrides et plus aussi spécialisés dans leurs fonctionnements. Par
exemple un Trojan peut se dupliquer comme un Ver une fois sur un réseau et espionner l'ensemble des activités
comme un Spyware.
1.1.5.4 MOTIVATIONS
Plusieurs motivations peuvent pousser un individu ou un groupe d'individu à commettre une
cyberattaque. Tout d'abord par défi technique, il n'est pas rare d'ailleurs que les meilleurs hackers soient
employés par la suite pour concevoir la cybersécurité d'un système d'information qu'ils ont compromis. Ensuite il
y a la revente de faille technique. De profils très technique, les attaquant vont s'atteler à rechercher des failles
informatiques inconnues et mettre à disposition des outils simples pour les exploiter. De tels attaquant peuvent
même vendre certaines découvertes. Ces failles se nomment 0-day et valent des fortunes ! Au-delà de l'aspect
lucratif, certains hackers attaquent par activisme. Ce sont les hacktivistes. Ils recherchent l'impact de masse afin
de diffuser un message idéologique et d'influencer l'opinion à travers des cyberattaques. Ils tentent souvent de
nuire à l'image d'une organisation. Les attaques étatiques se caractérisent généralement par leurs aspects très
ciblés, leurs degrés de sophistication et l'utilisation de vulnérabilités inconnues de manière coordonnée. Des
lanceurs d'alerte ont par exemple informé l'opinion publique que certains opérateurs téléphoniques fournissaient
l'ensemble des données téléphoniques aux services de renseignement américain. L'espionnage peut être une
motivation pour une cyberattaque. Les attaquants rechercheront à exfiltrer le plus discrètement possible, le plus
longtemps possible les données de l'organisation visée. Ainsi le Spyware "REGIN" à pu espionner pendant plus

de 6 ans des organisations publiques et privées (48% des organisations visées été des PME) (17). La vengeance
est source de motivation pour une cyberattaque. Connaissant en profondeur l'entreprise qui l'a licencié par
exemple, un ancien collaborateur peut être à l'origine d'une cyberattaque très ciblée. Le vol de données peut être
à l'origine de cyberattaque. Ces données sont souvent les identifiants/mot de passe ou des coordonnées bancaires.
Elles visent à exploiter une faille (humaine ou technique) dans un système d'information afin d'accéder à des
données confidentielles.
Pour un individu ou une organisation les conséquences sont généralement une perte financière
engendrée par une fraude (acte commis dans l'intention de nuire et d'en tirer un profit illicite). Les attaquants
peuvent alors détruire ou accumuler les données de la victime, afin d'en détourner de l'argent. Le cas de la
"fraude au président" en est un bon exemple. Cette attaque consiste à obtenir un virement vers un compte à
l'étranger sur ordre supposé du dirigeant ou d'un fournisseur, derrière lequel se cache en réalité le hacker. Au
delà de l'aspect financier, les cyberattaques nuisent à l'image d'une organisation ou d'un individu. Par exemple en
2015, la divulgation des profils d'un site de rencontre a entrainé des suicides chez certain de leurs utilisateurs.
Certaines cyberattaques peuvent saboter en détruisant physiquement des systèmes d'information (serveur par
exemple). Ce type de cyberattaque de sabotage constitue le principal risque pour les bâtiments gérant via leurs
avatars numériques dans notre cas. Les conséquences d'un sabotage d'un hôpital géré via avatar numérique
pourraient être désastreuses.
1.1.6 LE CLOUD
Dans le domaine des systèmes d'information, le recours à l’externalisation est devenu une pratique
courante qui présente un certain nombre d’avantages, mais aussi de risques. Il convient à cet égard de ne pas
opposer sécurité et externalisation. Le cloud est un ensemble de solutions d'externalisation.
Aujourd'hui, de nombreux sites internet proposent de communiquer et d'héberger des données au travers
d'espaces en ligne appelés "cloud". Les plateformes BIM sont des solutions hébergement et d'API web sous
cloud par exemple.
Le cloud consiste en la mutualisation des ressources de calcul et de stockage distribuées dans des data-
centers répartis dans le monde entier. Il n'est alors pas nécessaire de stocker les données sur un poste de travail
ou d'être connecté à un réseau local pour consulter ces données. Seul une bonne connexion internet est
nécessaire. Cependant malgré le fait que nos données hébergées sur un cloud sont sauvegardées sur plusieurs
serveurs, un attaquant peut y avoir accès si l'accès au cloud n'est sécurisé. De plus l'utilisation des données qu'en
fait l'hébergeur est souvent obscure.
1.1.7 DATA OU DONNEES
Une "donnée" doit être largement entendue puisqu'elle englobe plusieurs caractéristiques : un type, une
criticité, des droits, et des moyens d'accès.
Une donnée peut se présenter sous différents formats, elle peut être physique (documents papiers, affiches,
livres, etc.) ou numérique, c'est-à-dire comprenant des fichiers électroniques (rvt, pdf, ifc, videos, sons, ect.).
Selon leur forme et leur criticité, ces données seront stockées sur différents supports, eux-mêmes plus ou moins
accessibles à d'éventuelles personnes malveillantes. Indépendamment de tout support, retenons qu'une donnée est
une information. Au niveau informatique, la donnée est stockée dans le temps sur un support de stockage (disque
dur, clé USB, serveur de fichiers, SI, etc.).
A un instant T elle peut également être présente dans la mémoire vive d'un ordinateur, transiter sur le réseau, ou
encore être analysée par un système de détection d'intrusion, etc. Une donnée est générée et stockée sur des
moyens informatiques de notre système d'information. Ces supports permettent de la produire, de l'utiliser, de
l'archiver, de la modifier et de la partager.
17
Symantec.com, 23/11/2104, consulté le 26/08/2019 https://www.symantec.com/connect/blogs/regin-top-tier-espionage-
tool-enables-stealthy-surveillance

1.1.7.1 CRITICITE
La principale notion caractérisant les données est la criticité, c'est-à-dire leur importance. Les données
constituent l'un des biens les plus précieux d'un système d'information appartenant à une entreprise ou à un
individu. Elles sont la mémoire et l'intelligence d'un SI. Elles sont le patrimoine informationnel d'une entreprise,
constituant sa richesse au quotidien et son capital de développement futur (portefeuilles clients, projets, R et D
...). Les données sont des éléments sensibles pouvant leur porter atteinte si elles sont divulguées à des tiers.
1.1.7.2 CLASSIFICATION DE L'INFORMATION

Une donnée ne doit être accessible qu'aux personnes autorisées, il est donc important de mettre en place
un système de classification et de définir qui a accès à quel niveau de classification.
En France, le Code de la défense propose 3 niveaux de classification des informations (Très secret-défense,
secret-défense et confidentiel-défense). Evidemment, ces niveaux peuvent être réadaptés selon les besoins à une
entreprise par exemple. D'autre part, une entreprise peut également ajouter d'autres niveaux tels que "Restreint"
et "Public" visant respectivement à protéger ou non l'information.
Très secret défense : La divulgation est de nature à nuire très gravement à la défense nationale.
Secret défense : La divulgation est de nature à nuire gravement à la défense nationale.
Confidentiel défense : Réservé aux informations et supports dont la divulgation est de nature à nuire à la défense
nationale ou pourrait conduire à la découverte d'un secret de la défense nationale classifié.
Restreint : La divulgation publique d'une telle information pourrait causer des effets indésirables.
Public : Niveau utilisé pour les documents dont le niveau de sensibilité ne correspond pas à d'autres classes
citées. Leur lecture ne nécessite pas d'habilitation spécifique.
La classification d'une information déterminera sont niveau de cyber-protection.
1.1.7.3 DROITS D'ACCES

Pour préserver la confidentialité des données, des droits d'accès sont définis selon les utilisateurs.
Droit de lecture seule : consultation uniquement.
Droit d'écriture : modification des documents.
Droit d'administration : consultation, suppression des documents et modification de droits d'accès des
utilisateurs.
Illustration des classifications des droits d'accès (de gauche à droite, lecture seul, écriture, administrateur), source
https://www.ssi.gouv.fr/

1.1.7.4 CYCLE DE VIE DE L'INFORMATION

Une donnée/information à une durée de vie. Une donnée a une date de création, une durée de vie utile
au cours de laquelle elle peut être modifiée, puis une phase d'obsolescence dans laquelle elle n'a plus de valeur
(ou une valeur réduite). La destruction de la donnée sur un support peut intervenir pendant la phase de durée de
vie utile ou lorsque l'information n'a plus de valeur. On parle pour cela de "cycle de vie de l'information". Les
modalités concernant son classement, son stockage, son échange et sa destruction, sont définies dès sa création
selon sa classification.
Illustration du cycle de vie d'une information, source https://www.ssi.gouv.fr/
1.1.7.5 LES RISQUES SUR LES DONNES

Il existe plusieurs niveaux de risques liés aux données. En matière de sécurité de l'information, on
considère que ces risques pour les données sont plus ou moins importants selon les critères de Disponibilité,
d'Intégrité et de Confidentialité (DIC).
Atteinte à la disponibilité : Le premier niveau de risque atteint la disponibilité des données, c'est-à-dire le fait
que le système ne soit pas disponible. Ce type d'atteinte est souvent le fruit d'attaque de type déni de service
(DDOS). En 2016 par exemple, de nombreuses attaques DDOS ont ainsi atteint de nombreux sites mondialement
connus, notamment grâce aux objets connectés infectés. L'indisponibilité des données peut bloquer plus ou
moins longtemps les activités d'une entreprise entraînant ainsi des pertes financières dues à la baisse de
productivité. Dans le cadre d'une usine gérée via un avatar, l'indisponibilité peut compromettre l'ensemble de la
chaine de production !
Atteinte à la l'intégrité : Le deuxième niveau de risque porte sur l'intégrité des données, c'est-à-dire sur la
modification non autorisée d'une donnée. En effet, la modification d'une base donnée peut engendrer des
conséquences financières, par exemple, pour une organisation qui se retrouverait avec des données erronées.
Atteinte à la confidentialité : Le troisième niveau de risque porte sur la confidentialité, c'est-à-dire sur la
divulgation non-autorisée de données. En effet, comme nous avons pu le voir, les données sont classifiées et les
conséquences de leur divulgation peuvent être plus ou moins importantes selon leur niveau de classification
(secret, confidentiel etc.) La divulgation des données peut être causée par les individus malveillants, mais elle
peut également provenir de manière involontaire des collaborateurs lors de leurs déplacements par exemple.

1.2 LES DIFFERENTS ACTEURS DE LA SSI
1.2.1 ANSSI 18
Créée en 2009, la cyberdéfense est assurée par l'ANSSI (Agence nationale de la sécurité des systèmes
d'information) qui répond directement au premier ministre et au Ministère de la Défense. A ce titre, elle prévoit
des mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d'information vitaux
de la Nation.
Elle coordonne l'action gouvernementale en matière de défense des systèmes d'information. Elle anime et
coordonne les travaux interministériels en matière de sécurité du numérique, élabore les mesures de protection
des systèmes d'information et veille à l'application de celles-ci notamment par le biais d'inspections. Elle conçoit,
fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques. Elle délivre
des agréments aux produits et aux prestataires de services destinés à protéger les systèmes d'information des
entreprises.
En 2015, l'ANSSI déploie un dispositif territorial chargé de relayer et de coordonner l'action de l'ANSSI dans les
territoires ainsi que de contribuer au partage d'expérience entre les acteurs locaux de cybersécurité. Ce dispositif
est formé par des référents territoriaux en régions spécialistes de la sécurité du numérique. Ceux-ci
accompagnent la mise en œuvre des politiques de cybersécurité avec les structures et les autorités régionales
existantes pour prévenir les incidents et sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques
informatiques.
ANSSI participe aux négociations internationales et assure la liaison avec ses homologues étrangers. Elle assure
une liaison avec ses homologues étrangers dans le but d'établir une veille constante sur les systèmes
d'information.
Anticipation des menaces : L'ANSSI se charge de l'anticipation de la menace pour la sécurité du
numérique. Pour cela, 6 laboratoires de recherche lui permettent de rester à la pointe de l'état de l'art en matière
de cybersécurité. Lorsque les menaces sont détectées, l'ANSSI identifie les failles utilisées par les codes
malveillants, ce qui permet d'avoir une vision plus générale sur l'analyse de la menace. Pour les cas les plus
extrêmes un dispositif de crise peut être activer pour répondre à un événement majeur. L'ANSSI dispose pour
cela d'un centre opérationnel qui fonctionne7j/7 et 24h/24, lui permettant d'effectuer une veille permanente et
une supervision de l'activité sur les différents réseaux couverts, afin de détecter des attaques potentielles auprès
des services ministériels. Enfin, le centre opérationnel collecte et assure la synthèse des informations nécessaires
à la compréhension des attaques.
Maintenir un cadre réglementaire : En parallèle, l'ANSSI se charge de mettre en place et de
maintenir un cadre réglementaire adapté aux technologies et à l'état de la menace. Dans un premier temps,
l'ANSSI gère le dispositif réglementaire, issu de la Loi de Programmation Militaire, qui encadre la sécurité
numérique des Opérateurs d'Importance Vitale (OIV). Elle édite également le Référentiel Général de Sécurité
(RGS) qui fixe les règles que doivent respecter certaines fonctions de sécurité et qui cadrent par exemple les
aspects sécuritaires des échanges entre les services de l'administration et les particuliers, comme la déclaration
d'impôts en ligne.
Accompagner les OIV : Depuis 1998, plus de 200 Opérateurs d'Importance Vitale (OIV) ont été
identifiés en France par secteur d'activité, par le Secrétariat Général de la Défense et de la Sécurité Nationale
(SGDSN). L'ANSSI se charge également d'accompagner les OIV, c'est-à-dire les organisations privées ou
publiques identifiées par l'Etat comme ayant des activités indispensables à la vie de la Nation, dans le but de
protéger leur système d'information à importance vitale (SIIV). Pour assurer leur sécurisation, elle recommande
l'utilisation de produits qualifiés ainsi que des prestataires de service de confiance. Elle réalise des audits de
certains systèmes d'information afin de contrôler la robustesse des mesures mises en place et apporte ses
recommandations.
Qualifier des prestataires de confiance : L'ANSSI qualifie des produits et des prestataires de services
pour démultiplier ses actions auprès du secteur économique. Le PASSI (Prestataires D'audits de la Sécurité des
Systèmes d'Information) : sert à qualifier un prestataire reconnu comme réalisant des audits de sécurité dans le
but de vérifier la conformité à des exigences. Le PRIS (Prestataire de Réponse aux Incidents de Sécurité) : sert à

qualifier un prestataire menant les investigations nécessaires pour qualifier les incidents et proposant des
mesures pour stopper les attaques en cours et protéger le système d'information contre de nouvelles menaces. Le
PDIS (Prestataire de Détection des Incidents de Sécurité) : sert à qualifier un prestataire utilisant des outils de
détection d'incident dans le but d'alerter en cas d'événement suspicieux. Le CESTI (Centre d'Evaluation de la
Sécurité des Technologies de l'Information) : sert à qualifier un prestataire réalisant des évaluations de produit.
Le SecNumCloud, labelCloud : sert à qualifier un prestataire de service Cloud qui aura pour but de sécuriser des
services Cloud divers (ex Korqi drive). Pour obtenir ces labels de L'ANSSI, les entreprises doivent respecter des
critères de qualité sur des sujets très sélectifs.
Informer et former : L'ANSSI propose aussi d'informer et de sensibiliser le public sur les bonnes
pratiques à mettre en place pour protéger les systèmes d'information. Elle offre des formations sur des sujets
vastes ou précis (crypto, analyse de risques...). L'objectif est d'augmenter la culture de la sécurité du numérique
pour augmenter le degré de cybersécurité de la France.
In fine, l'ANSSI se charge d'évaluer et de faire évaluer la sécurité de nouveaux dispositifs ou de projets à l'étude.
Elle se charge également de mettre en place des labels (Label Cloud, SecuCloud, CSPN), des qualifications
(PASSI, PRIS,PDIS), des référentiels (RGS), des outils de sécurisation et de bonnes pratiques, et du respect
général de sécurité (surveillance des menaces, centre de crise et mise en place d'une plateforme de signalement
des failles de sécurité).
1.2.2 CNIL (Commission Nationale Informatique et Libertés)
Même si la cybersécurité n'est pas son cœur d'action, la CNIL possède une action très liée à la
thématique de la sécurité des SI. En effet, elle accompagne les professionnels dans leur mise en conformité et
aide les particuliers à maitriser leurs données personnelles et à exercer leurs droits. Elle analyse l'impact des
innovations technologiques et des usages émergents sur la vie privée et les libertés. En matière d'information et
de sensibilisation, la CNIL met à disposition, des particuliers et des entreprises, des outils pratiques et
pédagogiques pour participer à l'éducation au numérique qui permettent de mieux appréhender les mesures de
sécurité par la suite. L'objectif principal de la CNIL est de veiller à ce que le développement des nouvelles
technologies et les usages numériques ne portent atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la
vie privée, ni aux libertés individuelles ou publiques.
1.2.3 CERT OU CSIRT
En novembre 1988, un étudiant de l'Université de Cornell implémenta un code malveillant dans le

réseau Arpanet (ancêtre d'Internet). Ce programme se propagea et se dupliqua au sein du réseau, en exploitant
diverses failles du système Unix. Ce fut le premier virus appelé "vers Internet". Ce premier virus se répandit
rapidement et engorgea l'ensemble du réseau. Pour éliminer ce virus, une équipe fut réuni. Ils analysèrent le code
du virus, pour corriger les failles du système d'exploitation Unix et de développer et diffuser un protocole
d'éradication. A la suite de cet incident une structure permanente fut créée le CERT, semblable au collège
d'experts réunis pour résoudre le problème. L'ANSSI est un CERT par exemple
Ses taches prioritaires sont les suivantes :
- Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les
systèmes d’information : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents
- Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec
d’autres CSIRT, contribution à des études techniques spécifiques ;
- Etablissement et maintenance d’une base de données des vulnérabilités ;
- Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou
au pire leurs conséquences ;
- Coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux,
opérateurs et fournisseurs d’accès à Internet, CSIRT nationaux et internationaux. 19
18
ssi.gouv.fr, consulté le 17/07/2019, https://www.ssi.gouv.fr/

1.2.4 LES EXPERTS METIERS
De nombreux professionnels en sécurité des SI peuvent accompagner des entreprises ou organisation

dans leurs projets. Les services sont variés : évaluation du niveau actuel de la sécurité du système, fourniture de
recommandations d'amélioration, accompagnement à la mise en œuvre des mesures nécessaires, vérifications de
l'application des mesures ... Ces professionnels peuvent aussi intervenir en cas de problème suite à un incident
par exemple pour déterminer le niveau de compromission d'un système, pour recueillir des preuves en cas
d'action en justice (analyse Forensique) ou pour préconiser des mesures de confinement, de décontamination ou
de correction de vulnérabilité. Bien entendu, il est préférable de ne pas en arriver là et d'intégrer l'aspect cyber
sécuritaire dès la phase de conception de tout système, en réalisant une analyse de risques et en définissant des
exigences sécurité. L'objectif de tous ces contrôles est de s'assurer que les risques afférents aux biens que l'on
souhaite protéger sont pris en compte par des contre-mesures adaptées.
Les principaux experts de la SSI sont regroupés parmi 5 familles : (20)
1/ Pilotage, organisation et gestion des risques (POG)

2/ Management de projets et cycle de vie (MPC)
3/ Opération et maintien en condition opérationnelle (OMCO)
4 / Support et gestion des incidents (SGI)
5/ Conseil, audit et expertise (CAE)
La cybersécurité est avant tout une affaire humaine. Au sein d'une organisation, il est nécessaire
d'identifier une personne qui aura la charge de coordonner les différentes mesures de sécurité. Cette personne
peut être un Responsable de la Sécurité des Systèmes d'Information (RSSI), si la taille de la structure est
suffisamment importante ou un simple référent pour les plus petites entreprises. Celui-ci s'assure généralement
d'impulser la culture cybersécurité à travers des actions de sensibilisation, de formations, de démonstration
d'attaque, de REX ... Il a la responsabilité opérationnelle de faire appliquer les règles de sécurité à l'ensemble du
domaine informatique. Il s'assure également de rédiger les politiques et chartes informatiques devant être
facilement compréhensibles et applicables par les utilisateurs.
1.3 LE CADRE LEGAL DE LA SSI

Dans cette partie je dresserai une cartographie non exhaustive du cadre juridique relatif à la sécurisation
des SI. En l'absence de loi spécifique punissant une cyberattaque, et au-delà des lois encadrant le cyberespace,
l'ensemble de l'arsenal juridique français peut être utilisé en fonction des préjudices. Par exemple la diffamation,
l'injure ou le dénigrement des produits ou services peuvent être invoqué dans le cadre d'une atteinte à la
réputation d'un individu ou d'une organisation. Une étude au cas par cas par des experts juridiques est vivement
conseillée dans le cas où un individu ou une organisation est victime d'une cyberattaque.
1.3.1 LEGISLATION ET DROIT DU MONDE CYBER EN FRANCE
Contrairement à ce que l'on pourrait penser, le cyberespace n'est pas totalement libre et désordonné.
Cependant, la nature décentralisée d'internet fait de lui un espace "contrôlé" par plusieurs organismes, Etats ou
entreprise. A tous les échelons, de nombreux organismes exercent ou peuvent exercer un contrôle ou une censure
sur les informations qui y circulent.
Notons tout d'abord que pour fonctionner, le réseau est tributaire de câbles ou de satellites : en l'absence de
"canaux" suffisamment grands, le trafic peut être fortement ralenti. Aujourd'hui, de nombreux pays sont
dépendants, pour leur accès au réseau, d'un ou de deux câbles sous-marins ou souterrains.
Certains pays disposent techniquement de la capacité de bloquer ou de censurer tout ou partie d'Internet. Par
exemple l'Egypte à pu couper quasi-instantanément l'accès au réseau en faisant pression sur les FAI (Fournisseur
19
ssi.gouv.fr, consulté le 17/07/2019, https://www.cert.ssi.gouv.fr/csirt/
20
Annexe 1 - Les métiers de la SSI - Source ssi.gouv.fr

d'Accès à Interne). De nombreux pays exercent aussi un contrôle très fort sur le réseau. Par exemple en France,
la loi sur les jeux d'argent en ligne permet d'ordonner le filtrage des sites qui n'ont pas reçu un agrément. (21)
1.3.1.1 LOI INFORMATIQUE ET LIBERTES

La loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plus connue sous
le nom de "loi informatique et libertés", est une loi française qui réglemente la liberté de traitement des données
personnelles, c'est-à-dire la liberté de ficher les personnes. Les données personnelles correspondent à toute
information relative à une personne physique. Ces moyens d'identification sont nombreux : Nom, prénoms,
adresses, données médicales et génétiques, photos ...
Cette loi a été à l'origine de la création de la CNIL (Commission nationale de l'informatique et des libertés), dont
les 4 missions principales sont :
1/ D'informer, de protéger les particuliers et les professionnels. 2/ D'accompagner et de conseiller. 3/ De
contrôler et de sanctionner. 4/ D'anticiper. (22)
1.3.1.2 LA LOI GODFRAIN

La loi Godfrain du 5 janvier 1988, relative à la fraude informatique, est la première loi française
réprimant les actes de criminalité informatique et de piratage.
Nommée ainsi d'après le député Jacques Godfrain, c'est l'une des lois pionnières concernant le droit des NTIC
(Nouvelle Technologies de l'Information et de la Communication) après la loi Informatique et libertés de 1978,
qui introduit la notion de système de traitement automatisé de données (STAD). Elle concerne notamment les
obligations du responsable du traitement quant à la garantie de la sécurité des données. (23)
1.3.1.3 LCEN :
La loi pour la confiance dans l'économie numérique, n°2004-575 du 21 juin 2004, abrégée sous le sigle
LCEN, est une loi française sur le droit de l'internet, transposant la directive européenne 2000 / 31 / CE du 8 juin
2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de
la vie privée dans le secteur des communications électroniques.
Elle vise à promouvoir le commerce électronique au sein de l'Union européenne, suivant en cela la logique des
traités dont le crédo est "un espace sans frontière intérieure dans lequel la libre circulation des marchandises et
des services ainsi que la liberté d'établissement sont assurés" tel que préconisé par l'article 14-2 du Traité
instituant la communauté européenne. (24)
1.3.1.4 SECRET DES CORRESPONDANCES

Le secret des correspondances est un droit au maintien du caractère privé et secret. Il s'applique aux
correspondances dont l'expéditeur pouvait attendre qu'elles bénéficient d'un minimum de confidentialité.
En général, il s'applique aux courriers postaux et aux courriers électroniques. Une correspondance est en général
définie comme toute relation par écrit entre deux personnes identifiables, qu'il s'agisse de lettres, de messages ou
de plis ouverts ou fermés.
Au sein de l'Union européenne, le secret des correspondances est garanti par la directive européenne (97-66 du
15 décembre 1997). Cette dernière fait obligation aux Etats membres de garantir, par leur législation, la
confidentialité des communications passées par la voie des télécommunications et d'interdire "à toute autre
personne que les utilisateurs, sans le consentement des utilisateurs concernés, d'écouter, d'intercepter ou de les
soumettre à quelque autre moyen d'interception ou de surveillance, sauf lorsque ces activités sont légalement
autorisées". Il y a violation du secret des correspondances lorsqu'une tierce personne prend connaissance, sans le
consentement préalable de l'émetteur, d'un courrier à caractère privé.
En France, la violation du secret des correspondances, qu'elles circulent par voie postale ou par
télécommunication, est actuellement punie d'un an d'emprisonnement et de 45 000 euros d'amende. Cette peine
21
lemonde.fr, consulté le 15/07/2019, https://www.lemonde.fr/technologies/article/2011/09/01/qui-controle-
internet_1566544_651865.html#CP6LihRev4d6LPbl.99
22
cnil.fr, consulté le 15/07/2019, https://www.cnil.fr/fr/les-missions-de-la-cnil
23
wikipedia.org, consulté le 17/07/2019, https://fr.wikipedia.org/wiki/Loi_Godfrain
24
legifrance.gouv.fr, 17/07/2019, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164

peut s'alourdir à 3 ans d'emprisonnement pour les personnes facilitant cette violation dans l'exercice de leurs
fonctions. (25)
1.3.1.5 REFERENTIEL GENERAL DE SECURITE (RGS)

Le RGS a pour objectif de sécuriser les échanges et les transactions entre les usagers et les autorités
administratives. Il s'agit d'un cadre réglementaire permettant d'instaurer la confiance dans les échanges au sein de
l'administration (télé-services) et avec les citoyens.
Indirectement, le RGS s'adresse à l'ensemble des prestataires de services qui assistent les autorités
administratives dans la sécurisation des échanges électroniques qu'elles mettent en œuvre, ainsi qu'aux
industriels dont l'activité est de proposer des produits de sécurité. De façon générale, pour tout autre organisme
souhaitant organiser la gestion de la sécurisation de ses systèmes d'information et de ses échanges électroniques,
le RGS se présente comme un guide de bonnes pratiques conformes à l'état de l'art.
Il intègre les principes et règles liés à :
1/ La qualification des produits de sécurité et des prestataires de services de confiance.
2/ La gestion des accusés d'enregistrement et des accusés de réception.
3/ La description des étapes de la mise en conformité.
4/ La cryptologie et la protection des échanges électroniques.
5/ La validation des certificats par l'Etat. (26)
27
1.3.1.6 LOI DE PROGRAMMATION MILITAIRE 2019-2025 (LPM 2019-2025)
La LPM 2019-2025 établie les orientations en matière de défense et définie la programmation des
moyens militaires pour la période 2019-2020. Elle spécifie les dispositions en équipement des armées à l'horizon
2030, et les traduit en besoins financiers.
La LPM renforcera les services de cyberdéfense par la création de 6 000 postes supplémentaires maximum.
Le chapitre III de la LPM est entièrement consacré à la cyberdéfense. Il définit que pour des besoins de
sécurisation des SI, les opérateurs de télécommunication peuvent installer des systèmes de détection
d'évènements suspects sur leurs réseaux. Les opérateurs devront avertir l'ANSSI en cas d'événements suspects
sur leurs réseaux. L'ANSSI pourra exploiter les dispositifs de détections dans un but préventif. L'ANSSI pourra
recueillir des données dans un but de prévention de menaces futures. Les données recueillies ne pourront être
conservées plus de 5 ans. A la demande de l'ANSSI, un opérateur de télécommunication devra avertir ses
utilisateurs de la vulnérabilité de son réseau ou de l'atteinte de leurs SI. L'ANSSI peut mettre en œuvre sur le
réseau d'un opérateur ou sur un SI d'un OIV, un système de détection de cyberattaque.
28
1.3.1.7 PROPRIETE INTELLECTUELLE ET INDUSTRIELLE
La protection des créations est couverte par 4 grand droits de propriété intellectuelle et industrielle. Ils
ont la particularité d'être des droits territorialisés. Ces 4 droits sont :
+ Le droit de protection de la marque (renouvelable tout les 10 ans)
Des formes de cyberattaque peuvent nuire à une marque (cybercontrefaçon, dafaçage). Ces
cyberattaques visent à atteindre la réputation d'une organisation, en nuisant à son image de marque. Ce préjudice
peut nuire à la commercialisation exclusive d'une marque, de la gestion des licences de marque, royalties et des
droits dérivés d'exploitation y afférant.
Une marque doit être déposée auprès de l'INPI en France. Une marque protège toute désignation d'un produit à la
seule condition de représentation graphique. Une forme, un nom, une couleur, un slogan, un jingle sonore ...
peuvent être considérés comme une marque. Seul les odeurs et les bruits ne peuvent pas être considérés comme
des marques.
25
Legavox.fr, consulté le 17/07/2019, https://www.legavox.fr/blog/maitre-haddad-sabine/violation-secret-correspondances-
atteinte-privee-14549.htm
26
ssi.gour.fr, consulté le 17/07/2019, https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-
general-de-securite-rgs/
27
legifrance.gouv.fr, consulté le 30/07/2019,
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037192797&dateTexte=20191027
28
Nicole Ferry-Maccario ,HEC paris 18/10/2011, Propriété intellectuelle, droit d'auteurs, protection de création, dépose de
marque, https://www.youtube.com/watch?v=t8d_QotGXSY

+ Le droit de protection du brevet (durée de vie de 20 ans)

Le brevet est un titre de propriété industrielle, qui en échange d'un monopole temporaire de 20 ans sur la
commercialisation d'un produit dont l'invention est brevetée, l'entreprise se doit de divulguer au public son
invention. Un brevet se caractérise par sa durée, sa technicité et son territoire d'application.
Le dépôt d'un brevet se fait auprès de l'INPI. La demande se compose du titre de l'invention, sa technicité et sa
description qui permettra à un tiers son utilisation ou sa reproduction. Enfin, y figurent aussi des informations
caractérisant le cadre de la protection du brevet : les revendications. L'invention doit respecter trois critères
essentiels :
1/ La nouveauté : l'invention ne doit pas avoir été antérieurement divulguée au public par quelque moyen que ce
soit, en quelque lieu que ce soit.
2/ L'inventivité : une personne compétente dans le domaine considéré ne doit pas arriver automatiquement à la
solution technique pour laquelle le brevet est demandé lorsque cette personne est confrontée au problème
technique résolu par l'invention, ce problème technique étant exprimé en référence à l'état de la technique à la
date de l'invention ;
3/ L'applicabilité : l'invention doit pouvoir faire l'objet d'une application industrielle, c'est-à-dire qu'elle doit
revêtir un caractère technique.
L'obtention et la conservation du monopole conféré par le brevet s'accompagnent du paiement de taxes à l'office
compétent.29
Véritable arme industrielle, le brevet est l'objet d'une guerre industrielle. Par exemple un brevet étant attaché à
un territoire, un concurrent étranger, via une attaque de cyber espionnage, pourra s'emparer d'une innovation la
breveter à l'étranger et fermer l'exportation d'un produit à un marché entier (cf. Guerre Apple vs Samsung).
+ Le droit de protection des dessins et modèles (durée de vie de 25 ans)
Non concerné pour notre cas d'étude, un dessin ou modèle industriel traduit la dimension ornementale
ou esthétique d'un produit.
+ Le droit d'auteur (70 ans après la mort de l'auteur, transmissible aux héritiers de l'auteur)
Est définie comme œuvre toute création portant l'empreinte de son créateur. De ce fait un SI, une maquette
numérique etc peut être considérée comme une œuvre si son auteur est une personne physique ou morale (30) et
si sa création porte son empreinte. Le droit d'auteur protège une base de données comme œuvre de l'esprit. Elle
concerne uniquement l'architecture de la base de données à condition qu'elle soit originale et porte l'empreinte de
son créateur.
Si ces conditions sont réunies, l'auteur sera le propriétaire de 2 types de droits, les droits patrimoniaux et les
droits moraux de l'œuvre. Les droits patrimoniaux concernent les droits d'exploitation de l'œuvre, ils peuvent être
cédés. Les droits moraux concernent les respects de l'œuvre, ils seront conservés éternellement par son créateur
puis par ses héritiers. Et cela même si les droits patrimoniaux sont concédés.
Le droit d'auteur ne nécessite pas de dépôt d'une création. Cependant pour parer toute atteinte à l'œuvre il est
vivement conseillé de faire un dépôt d'enveloppe solo auprès de l'INPI pour justifier de la date de création de
l'œuvre.
+ Les bases de données un cas particulier
Une deuxième protection, valable 15 ans, en Europe, spécifique aux bases de données, concerne les
informations contenues par la base. Le droit sui generis donne un droit patrimonial au producteur de la base. La
condition à remplir est la suivante, celle de la valeur économique. "La base de données doit avoir été l'objet d'un
investissement qualitativement ou quantitativement substantiel. Le producteur de la base de données peut donc
interdire à tout utilisateur l'extraction d'éléments quantitativement ou qualitativement substantiels de la base, ou
l'extraction systématique de celle-ci." 31
Concernant les données publiques, elles restent publiques et libres de droit. Seule est protégée l'architecture
d'assemblage des données entre elles.
29
Wikipedia.org, consulté le 29/08/2019,
https://fr.wikipedia.org/wiki/Propri%C3%A9t%C3%A9_intellectuelle#La_propri%C3%A9t%C3%A9_industrielle
30
Caprioli-avocats.com, consulté le 28/08/2019, https://www.caprioli-avocats.com/fr/informations/une-personne-morale-ne-
peut-avoir-la-qualite-dauteur--proprietes-intellectuelles-21-146-0.html
31
Wikipedia.org, consulté le 126/07/2019,
https://fr.wikipedia.org/wiki/Propri%C3%A9t%C3%A9_intellectuelle#La_propri%C3%A9t%C3%A9_industrielle

1.3.1.8 LE DROIT DU SECRET DES AFFAIRES

Le droit du secret des affaires (LOI n° 2018-670 du 30 juillet 2018 relative à la protection du secret des
affaires) sert à protéger les informations sensibles d'une entreprise, quelque soit son support et sa nature (ex :
stratégie commerciale, données, SI, R et D ...). Le droit du secret des affaires définit comme informations
protégées :
" Art. L. 151-1.-Est protégée au titre du secret des affaires toute information répondant aux critères suivants :
1° Elle n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement
connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur
d'activité ;
2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret
3° Elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des
circonstances, pour en conserver le caractère secret." (32)
33
+ Protocole de protection par le secret à destination des entreprises
L'entreprise se doit de formaliser sa stratégie de protection vis-à-vis de ses données sensibles. Sans
formalisation, le droit du secret des affaires ne pourra s'appliquer, seul un juge pourra délibérer de la nature
"secrète" d'une information en cas de litige. Jean-Sébastien Mariez et Virginie Reynès propose le protocole
suivant.
1/ Mettre en place des mesures juridiques grâce à des accords de confidentialité qui vont restreindre ou interdire
l'utilisation de certaines données. Pour cela l'avocat d'affaire est le spécialiste à solliciter.
2/ Mettre en place des mesures organisationnelles, dirigées vers les collaborateurs par des listes d'accréditations
pour limiter les accès par exemple. Et vers les tiers (les sous-traitants et fournisseurs) définissant la restitution ou
l'effacement des données.
3/ Mettre en place des mesures techniques liées au SI, afin de se prémunir des cyberattaques. Ces mesures
peuvent s'apparenter à celles misent en place dans le cadre de la RGPD. L'entreprise devra dans un premier
temps identifier les informations à protéger par le secret. Pour cela l'entreprise doit effectuer un audit servant à
établir une cartographie des informations à sa disposition. Puis de les qualifier en fonction de leur degré de
confidentialité (Très secret, secret, confidentielle, restreinte ou publique). Ensuite l'entreprise devra tracer un
historique des données qu'elle souhaite protéger afin d'en assurer l'origine et la traçabilité (création,
enregistrement, modification, échanges et diffusion, archivage). Puis l'entreprise devra renseigner les différents
droits d'accès à ces données.
4/ Formaliser. L'entreprise devra documenter toutes les différentes séries de mesures de protection des données
sensibles.
Toutefois, les entreprises devront être en mesure d’identifier toute violation de leurs secrets ainsi que leurs
utilisations non autorisées. Un travail de veille devra être entrepris pour identifier toute violation d'un secret de
l'entreprise.
1.3.2 LEGISLATION ET DROIT EN EUROPE
1.3.2.1 LA DIRECTIVE NIS (DIRECTIVE NETWORK AND INFORMATION SECURITY)

Elle s'inscrit dans la lignée de la "stratégie sur la cybersécurité" dans l'Union européenne, publiée en
2013 par la Commission. Cette stratégie a pour but de promouvoir un cyberespace "libre et sécurisé" dans
l'Union européenne afin de prévenir et de réagir aux cyberattaques et d'assurer ainsi la croissance de l'économie
numérique. Le but de cette directive est d'assurer un niveau commun élevé de cybersécurité dans l'Union
européenne. En améliorant les capacités de cybersécurité des Etats membres. En améliorant la coopération entre
les Etats et entre les secteurs publics et privés. En exigeant que les entreprises de secteurs critiques - par exemple
l'énergie, le transport, la finance et la santé - ainsi que des services internet clés adoptent des pratiques de gestion
des risques et communiquent les accidents majeurs aux autorités nationales.
La directive est structurée autour de 4 axes :
32
Legifrance.gouv.fr, consulté le 02/07/2019,
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037262111&dateTexte=&categorieLien=id
33
Jean-Sébastien Mariez et Virginie Reynès, Secret des affaires : comment maitriser son contentieux ? 22/01/2019,
https://www.youtube.com/watch?v=JaQOAiZiubo

1/ Le renforcement des capacités nationales de cybersécurité. Les Etats membres doivent notamment se doter
d'autorités nationales compétentes en matière de cybersécurité, d'équipes nationales de réponse aux incidents
informatiques (CSIRT) et de stratégies nationales de cybersécurité. Dans le cas de la France, l'ANSSI, le CERT-
FR et la Stratégie nationale pour la sécurité du numérique.
2/ L'établissement d'un cadre de coopération volontaire entre Etats membres de l'UE via la création d'un
"groupe de coopération" des états membres sur les aspects politiques de la cybersécurité et d'un "réseau européen
des CSIRT" des Etats membres. Ce dernier visera notamment à faciliter le partage d'informations techniques sur
les risques et les vulnérabilités.
3/ Le renforcement par chaque Etat de la cybersécurité "d'opérateurs de services essentiels" au
fonctionnement de l'économie et de la société via la définition au niveau national de règles de cybersécurité
auxquelles ces derniers devront se conformer.
4/ L'obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs
services essentiels. L'instauration de règles européennes communes en matière de cybersécurité : des
prestataires de services numériques dans les domaines du cloud, des moteurs de recherches et places de e-
commerce. (34)
1.3.2.2 REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES (RGPD)

Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel
de l'Union européenne le 4 mai 2016 et entrera en application en 2018. La CNIL est très impliquée dans la mise
en place de cette règlementation. A ce titre, elle a proposé une consultation en ligne des acteurs français afin de
co-construire un cadre de régulation efficace et opérationnel. L'adoption de ce texte, fruit des travaux du G29
(groupe des CNIL européennes), doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique.
La réforme de la protection des données poursuit 3 objectifs :
- Renforcer les droits des personnes, notamment par la création d'un droit à la portabilité des données
personnelles et de dispositions propres aux personnes mineures.
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants).
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui
pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux,
et renforcer les sanctions. (35)
1.3.3 LEGISLATION ET DROIT DANS LE MONDE
Au niveau mondial, les structures les plus fondamentales d'internet sont sous le contrôle de l'ICANN,
"l'Internet Corporation for Assigned Names and Numbers". Cet organisme a un statut particulier, puisqu'il s'agit
d'une société à but non lucratif, soumise au droit californien.
Composé de nombreuses commissions, qui gèrent des problématiques structurelles, l'ICANN encadre
notamment les noms de domaine ou le fonctionnement des adresses IP. Le pouvoir de l'ICANN est fondamental,
puisque l'organisation peut suspendre des noms de domaines entiers.
1.3.3.1 PATRIOT ACT (USA)

C'est une loi antiterroriste qui a été votée par le Congrès des USA et signée par GW Bush le
26/10/2001. L'un des axes centraux de ce texte est d'effacer la distinction juridique entre les enquêtes effectuées
par les services de renseignement extérieur et les agences fédérales responsables des enquêtes criminelles (FBI)
dès lors qu'elles impliquent des terroristes étrangers. Dans la pratique, cet "Act of Congress" autorise les services
de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation
préalables et sans en informer les utilisateurs. Cette loi, conséquence directe des attentats du 11/09/2001,
renforce énormément les pouvoirs des différentes agences gouvernementales des USA (FBI, CIA, NSA) et de
l'armée américaine. Elle fut considérée comme une loi d'exception, dont certaines dispositions n'étaient valables
que pour 4 années. En France, ce contrôle est possible uniquement sur instruction judiciaire.
34
ssi.gouv.fr, consulté le 17/07/2019, https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/
35
cnil.fr, consulté le 15/07/2019, https://www.cnil.fr/fr/comprendre-le-rgpd

1.3.3.2 LE CLOUD ACT (USA)

Le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act (H.R. 4943) est une loi fédérale des
États-Unis adoptée en 2018 sur la surveillance des données personnelles, notamment dans le Cloud. Elle modifie
principalement le Stored Communications Act (SCA) de 1986 en permettant aux forces de l'ordre américaine de
contraindre les fournisseurs de services américains, par mandat ou assignation, à fournir les données demandées
stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers (36). En résumé toutes
les données hébergées sur un service Cloud américain peuvent être exploitées par le gouvernement américain à
son profit. Les sites hébergés en France sont plus dignes de confiance car de nombreuses lois vous garantissent la
protection de vos données, en revanche les risques sont accrus lorsqu'un fournisseur est situé à l'étranger.
1.4 LE CADRE NORMATIF

1.4.1 LES NORMES ISO 27XXX
L'ensemble des normes ISO 27XXX sont issues de la norme iso-31000 encadrement la gestion du
risque. L'iso 27000 contient les recommandations en matière de gestion des risques appliquées au système
d'information. Elles découlent d’une recherche de consensus commun sur le domaine. Néanmoins la conformité
à une norme ne garantit pas formellement un niveau de sécurité. Les normes ne prennent pas en compte l’état de
l’art récent et les exigences réglementaires.
L'ensemble des normes ISO 27XXX englobent une vingtaine de normes, décrivant les pratiquent liées au
management de la sécurisation de l'information pour l'initialisation, l'implémentation ou le maintien de systèmes
de management de la sécurité de l'information (SMSI). Certaines sont très utilisées et d'autres réservées à des
secteur très particuliers (santé ou les télécom par exemple). La norme ISO/CEI 27000 est une norme
d'introduction et de présentation de l'ensemble des normes de la famille des ISO27k. Elle propose un glossaire
des termes communs.
Nous nous concentrerons sur les trois normes principales :
- L'ISO/CEI 27001 : Normes d'exigence des SMSI
- L'ISO/CEI 27002 : Guides des bonnes pratiques en SMSI
- L'ISO/CEI 27005 : Normes de gestion de risques liés à la sécurité de l'information.
En remarque, les normes ISO27000 ne traitent pas de sécurité informatique mais de sécurité de l'information. De
ce fait, le domaine que couvre ces normes est plus large et englobe les personnes, les supports de l'information,
par exemple une conversation dans un lieu public peut être concernée par ces normes.
37
1.4.1.1 L'ISO/CEI 27001:2013 :
C'est une norme que l'on peut rapprocher de la norme ISO-9001 liée à la qualité et l'ISO-14001 liée à la
protection de l'environnement dans une entreprise. Cette norme découle du BS799-2.
L'ISO-27001 décrit les exigences d'un SMSI (Système de Management de la Sécurité de l'Information) en termes
techniques et organisationnels pour un environnement donné. Elle décrit comment gérer la sécurité de
l'information dans une entreprise en vue d'une certification de l'organisme via 113 points de contrôle dans 14
domaines (cf. annexe A).
Un SMSI sert à permettre de décrire les actifs d'un environnement à protéger : ex. la maquette BIM de tel projet.
Un SMSI sert à permettre de sélectionner les mesures de protection adéquate : ex. code d'accès à la maquette
numérique. Un SMSI sert à instaurer la confiance auprès des tiers, des clients ou des fournisseurs en leur
garantissant que l'organisation sait manager sa sécurisation. Un SMSI facilite les relations avec les autorités de
tutelles en cas d'incident de sécurité (ex. ANSSI pour la France)
L'ISO-27001 est composé en 4 chapitres : Planification (Plan), Faire ou déployer (Do), Vérification (Check),
Agir (Act). C'est la démarche PDCA.
36
Wikipedia, consulté le 26/08/2019 https://fr.wikipedia.org/wiki/CLOUD_Act
37
ISO/IEC 27001:2013 Management de la sécurité de l'information. Organisation Internationale de normalisation, 2013, 23
pages

Plan (sert à anticiper une crise) : Décrit le périmètre du SMSI et identifie les risques et leurs
couvertures. Au préalable il est recommandé de dresser une cartographie des informations sensibles à disposition
de l'organisation. Ensuite il faut définir ce que l'on souhaite sécuriser, c'est le périmètre de sécurisation. Il est
conseillé de commencer avec des petits périmètres dont la taille pourra être étendue par la suite. Puis une analyse
des risques est mise en place pour dégager les vulnérabilités et les menaces de l'objet à sécuriser. Ensuite il faut
définir les mesures techniques et organisationnelles pour contrer les vulnérabilités et les menaces. A ce stade il
est recommandé de dresser un tableau récapitulatif des mesures de sécurité sélectionnées et de justifier celles qui
ont été exclues. Et en parallèle rédiger via des chartes ou des conventions la politique de sécurité de
l'organisation.
Do (sert à définir comment réagir pendant une crise) : Décrit l'exploitation du SMSI (ressources
nécessaires, procédures suivies, formations des acteurs). Mise en place de plan de gestion de crise et de reprise
d'activité après un acte malveillant.
Check (sert à mesurer les dispositifs de sécurité mis en place) : Mise en place de d'indicateur de
mesure, et mise en place d'audit ou de tests d'intrusion.
Act : Décrit le plan des actions correctrices pour améliorer la couverture des risques. Décrit le plan des
actions d'amélioration pour étendre la couverture des risques. Revue de l'identification des risques, amélioration
de l'exploitation, traitement des non-conformités éventuellement détectées par l'audit, description des actions
correctrices ou préventives ...
Illustration de la démarche PDCA ( cf. roue de Deming) de l'ISO 27001 source SquadLab#MixYourTalent
Une certification ISO 27001 délivrée par un organisme certificateur accrédité garantie suite à un audit
qu’une organisation a bien appliquée les exigences de la norme en matière de sécurité. Cette certification est
valable 3 ans, tous les ans un audit de contrôle est effectué. Il peut être exigé à une organisation d’avoir cette
certification pour accéder à certains contrats. La norme n’impose pas de niveau minimum de sécurité à atteindre.
Une entreprise peut donc être certifiée ISO 27001 tout en ayant défini un périmètre réduit et une politique de
sécurité peu stricte

38
1.4.1.2 L'ISO/CEI 27002:2013
C'est une norme adjacente à l'iso-27001 et sert à présenter les bonnes pratiques liées de sécurité vis-à-
vis des points de contrôle de l'annexe A (39). C'est un recueil des bonnes pratiques de la SMSI appliquées aux
entreprises et organisations, ceci quelque soit leur taille ou secteur d'activité. Cette norme propose un ensemble
de mesures de sécurité (organisationnelles et techniques) mais n'impose une solution.
La norme iso-27002 se décompose en 114 mesures de SMSI appliqué à 14 domaines :
1/ Politiques de sécurité de l'information, 2/ Organisation de la sécurité de l'information, 3/ Sécurité des

ressources humaines, 4/ Gestion des actifs, 5/ Contrôle des accès, 6/ Cryptographie, 7/ Sécurité physique et
environnementale 8/ Sécurité liée à l'exploitation, 9/ Sécurité des communications, 10/ Acquisition,
développement et maintenance des systèmes d'informations, 11/ Relations avec les fournisseurs, 12/ Gestion des
incidents liés à la sécurité de l'info. 13/ Aspects de la sécurité de l'info dans la gestion de la continuité d'activité,
14/ Conformité.
40
1.4.1.3 L'ISO/CEI 27005:2018
L'objectif de cette norme est de définir une démarche de management des risques appliqués au
système d'information. L'analyse de risque est une étape cruciale du SMSI est se met en place après la définition
du périmètre à sécuriser. Un grand nombre de méthode d'analyse de risque (EBIOS, MEHARI...) a été utilisé
pour la confection de la norme ISO 27005. Pour qu'une analyse de risque soit durable, elle doit répondre à deux
caractéristiques. Elle doit être mesurable et reproductible. L'analyse de risque est une étape cruciale du SMSI est
se met en place après la définition du périmètre à sécuriser.
Un risque se défini en étant la probabilité de l'impact d'une menace pouvant s'exercer sur une vulnérabilité d'un
système. Les principales raisons de mener une analyse de risque sont :
1/ Pour identifier les risques : reconnaitre les menaces et vulnérabilités et leurs conséquences pour l'organisation.
2/ Pour anticiper les incidents possibles en identifiant les éléments pour lesquels un événement peut entrainer des
conséquences néfastes. Et de réduire les vulnérabilités via un plan de traitement.
3/ Pour déterminer les risques supportables.
4/ Pour interroger ces mesures sécuritaires qu'elles soient organisationnelles et techniques.
5/ Pour améliorer l'efficacité de la sécurité tout en alliant coût et réduction du risque.
La norme iso 27005 se décompose en 6 clauses et 5 annexes permettant d'illustrer le propos de la norme.
38
ISO/IEC 27002:2013 Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour le
management de la sécurité de l'information, Organisation Internationale de normalisation, 2013, 88 pages
39
ISO/IEC 27001:2013 Management de la sécurité de l'information. Organisation Internationale de normalisation, 2013, 23
pages
40
ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management,
Organisation Internationale de normalisation, 2013, 88 pages

Illustration de la démarche d'analyse de risque de l'ISO 27005 source SquadLab#MixYourTalent
La méthode d'analyse de risque proposée par l'ISO 27005 s'articule autour de deux activités
séquentielles et itératives : l'appréciation du risque et son traitement. En sécurisation de l'information les 4
critères à protéger sont : la disponibilité, l'intégrité, la confidentialité et la traçabilité. L'analyse des risques porte
sur ces 4 critères. La définition du périmètre est primordiale. Il se doit d'être mesuré. Trop étroite, l'étude en sera
inefficace. Trop large, l'étude en sera complexifiée. Ensuite l'analyse des risques consistera à identifier dans le
périmètre les différents risques (menaces + vulnérabilités + occurrence) et les besoins de protection. Puis on
tente d'estimer et d'évaluer les conséquences des risques dans le but de proposer des mesures de protection et
d'évaluer si les risques résiduels sont acceptables ou non.

Illustration du tableau d'appréciation du risque de l'ISO 27005 source SquadLab#MixYourTalent
Evaluer le niveau d'un risque permet de hiérarchiser son acceptabilité. Pour cela il suffit de dévaluer l'impact
(menace), et l'occurrence d'un tel risque. Un risque dont l'impact est grave et dont l'occurrence serait élevée
devra être traité en priorité.
Le traitement du risque visera à :
- Réduire le risque par la mise en œuvre de mesures de sécurisé pour ramener le risque à un niveau acceptable.
Le traitement pourra viser la diminution du niveau de la menace, la diminution de la vulnérabilité du système ou
à limiter l'occurrence du risque.
- Accepter le risque. Par ce que le coût de réduction du risque est trop élevé vis à vis des bénéfices. Ou par ce
que le risque est faible qu'il n'est pas une menace.
- Eviter le risque. Le risque est trop élevé, aucune solution fiable existe, l'organisation se sépare des actifs ou de
l'activité concerné.
- Transférer le risque. Un tiers gérera le risque plus efficacement, ou une assurance couvrira le risque.

Illustration de la démarche du traitement du risque de l'ISO 27005 source SquadLab#MixYourTalent
1.4.2 ISO/TC 59/SC 13/WG 13 (ISO 19650 - PARTIE 5) 41
La norme ISO-19650 concerne l'organisation des informations du BTP. La gestion de l'information se

fait au travers du BIM. La norme ISO-19650, fournit des recommandations pour définir un cadre de gestion de
l'information incluant l'échange, l'enregistrement, le contrôle de version et l'organisation, à destination de tous les
acteurs. Il s'applique à la totalité du cycle de vie de tout actif bâti, y compris la planification stratégique, la
conception initiale, l'ingénierie, le développement, la documentation et la construction, l'exploitation
quotidienne, la maintenance, la réhabilitation, la réparation et la fin de vie.
Actuellement en préparation la partie 5 de l'ISO-19650 (ISO/TC 59/SC 13/WG 13), s'inspire du PAS1192-5 et
des normes ISO-27XXX, en reprenant l'approche PDCA (Plan, Do, Check, Act) et le processus d'analyse de
risque. Ce projet de norme tente de décrire le processus de sécurisation comme l'iso-27002, c'est à dire de
manière holistique en incluant les aspects suivants : la gouvernance, la responsabilisation, les personnes, les
données, la sécurité physique et technologique. Ce projet de norme tente de spécifier le SMSI aux spécificités
d'un projet BIM. Cette norme indique de traiter le problème de manière globale : par la gouvernance, la
responsabilisation et responsabilité, l'aspect relatif au personnel, l'aspect physique, la sécurité des données et de
l'information, l'aspect technique, la communication de données et/ou d'informations à des tiers, l'accès du public
aux données et/ou à l'information, les présentations publiques de projet, les agréments d'échange de donnée et de
l'information, le cadre contractuel, le suivi et l'audit du plan gestion de la sécurité, l'examen du plan de gestion de
la sécurité, l'élaboration d'un plan de gestion des brèches et des incidents de sécurité.
41
ISO/TC 59/SC 13/WG 13 n94 : 2018, Implementation of collaborative working over the asset lifecycle, Organisation
Internationale de normalisation, 2013, 88 pages

Esquisse de l'approche SMSI l'ISO 19650-partie 5
Ce projet de norme propose certaines particularités.

- La première réside dans le fait que les projets menés grâce au BIM demandent la collaboration active de
plusieurs organisations hétérogènes. C'est pour cela que la mise en place de norme sécuritaire peut être onéreuse
pour de petites organisations (TPE et TPME).
Remarque : Par projet BIM, il faut comprendre la volonté de réaliser un actif bâti, de gérer
l'exploitation d'un actif bâti, ou de fournir divers services concernant un actif bâti. De ce fait, l'approche
collaborative du projet s'axera sur l'aspect sécuritaire. Un actif bâti n'est pas limité en taille et peut s'étendre
d’un abri bu à un réseau de transport entier par exemple.
- La deuxième particularité est organisationnelle. Le projet de norme recommande d'attribuer un rôle de
responsable de la sécurité. Cela peut être une personne assurant la responsabilité de la sécurité projet. Ou bien un
responsable sera nommé par une organisation participant au projet. Ou alors une structure indépendante aura la
responsabilité du SMSI. Le choix dépendra de la nature du projet.
- La troisième particularité consiste à établir un lien direct entre le SI d'un actif bâti et le bâti lui même. En effet
le SI d'un actif bâti sert à gérer son cycle de vie. De ce fait les risques pesants sur le SI menacent le bâti lui même
et in fine ses utilisateurs.
- La quatrième particularité définie ce qu'est un actif bâti à sécuriser : c'est une infrastructure nationale critique
(les réseaux de transport, les aéroports), un site militaire, un site de protection civile, un bâtiment administratif de

l'état, un bâtiment judiciaire, un bâtiment ayant une activité financière (banques)... La norme indique que les
OIV ont des actif bâtis sensibles à sécuriser.
- La cinquième particularité introduit les risques liés au IOT appliqué aux actifs bâtis.
- La sixième particularité concerne l'échange d'information. Le processus de conception / réalisation /
exploitation d'un bâtiment fait intervenir une grande palette d'acteurs. Il est nécessaire de contrôler les échanges
d'informations entre les différentes parties. Le modèle contient-il des informations sensibles ? Peut on déduire
des informations sensibles du modèle ? ... Un contrôle pragmatique des statuts des différents acteurs, un contrôle
des accès et des échanges d'information apparait comme primordiale. Un politique d'agrément de partage
d'information est proposé par le projet de norme.
Un agrément devra décrire à minima :
1/ les but du partage de l'info. 2/ Décrire les destinataires et les circonstances d'accès à l'info. 3/ La nature de
l'info. à partager 4/ La qualité de l'info. à partager en terme de disponibilité, d'intégrité, de confidentialité et sa
traçabilité. 5/ Les exigences en termes de protection (droits d'accès, droits d'utilisation, responsabilité) 6/ Les
exigence en termes de cycle de vie (demande de suppression de l'information ou modalité d'archivage par
exemple) 7/ les dispositions prises pour protéger l'info. 8/ Les droits d'accès et de partages de l'info. 9/ Le suivit
et l'audit de l'agrément de partage. 10/ Les sanctions prévues pour non-respect de l'agrément.
- La septième particularité concerne la contractualisation entre acteurs et concerne :
1/ Les agréments d'échanges d'information, la confidentialité des informations contractuelles.
2/ L'analyse du volet sécuritaire dans le cadre d'une analyse des offres.
3/ Les clauses modificatives (en fonction de l'environnement politique, législatif ou réglementaire.)
4/ Les procédure d'examens du respect des mesures de sécurité.
5/ Les authentifications, certifications, labels en matière de norme de sécurité devront apparaitre dans le contrat.
6/ Les dispositifs de sécurité misent en place par l'organisation pour la prise en charge des exigences.
7/ Les sous-traitances.
8/ Les références des contractants.
9/ La vérification de la restitution, ou la destruction des informations sensibles lors de la résiliation du contrat.
Remarques : L’implémentation d’une telle démarche pour un projet BIM n'est actuellement pas possible
étant donné que la norme est en cours d'élaboration. Une démarche d'implémentation utilisant les normes iso
27XXX peut aisément convenir. Cependant ceci requière un travail d’expert à part entière, dont la discipline est
mature. Il faudra cependant spécifier les particularité du BIM afin qu'ils puissent en saisir tout les risques
potentiels, pouvant être plus grave qu'une simple usurpation de coordonnées bancaires. Le projet de norme iso
29650 partie 5 devrait insister sur ces spécificités.
--------------------------------------------------------
Ce premier chapitre a permis de présenter l'ensemble des outils que je mobiliserai dans les
chapitres suivants.
Il faut retenir que les cyberattaques sont considérées comme la deuxième source de menace en
France derrière le terrorisme. De ce fait, certaines organisations requièrent une protection toute
particulière : ce sont les Opérateurs d'Importance Vitale (ex. les CHU). De ce fait l'Etat français les
accompagne dans la défense de leur système d'information. Les maquettes numériques qui ont servis à
la conception-réalisation-exploitation entrent ce cadre de défense.
Lorsque l'on évoque la sécurisation des informations trois critères essentiels doivent être
considérés : la disponibilité, l'intégrité et la confidentialité d'une information. Une attaque visera
toujours à corrompre un de ces trois critères.
Hormis les mesures techniques ou organisationnelles, le cadre juridique national et
international constitue la première défense. Ce cadre mériterait d'être renforcé afin de prévenir les
attaques internationales et améliorer leurs investigations.
Enfin il faut retenir que l'outil le plus efficace à considérer pour bâtir la sécurité d'un SI est
d'entreprendre une analyse du risque de son SI. Ce processus est décrit à travers les norme iso 27XXX.
Elles seront dans un futur proche réinterprétées et enrichies pour le BIM grâce à la norme iso 19650
partie 5.

CHAPITRE 2 LES RECOMMANDATIONS EN MATIERE DE

SECURITE DE L'INFORMATION
L'état des lieus du précédent chapitre a démontré que la gestion de la sécurité de l'information
s'appuie sur divers outils. L'objet de ce chapitre sera de faire émerger un certain nombre de
recommandation plus spécifique au secteur du BTP et du processus BIM.
Les divers normes, méthodes, et recommandations font apparaitre un schéma commun pour
établir une cybersécurité d'un système d'information. Elles s'appuient sur le cycle de Shewart servant à
apprendre quelque chose, et à améliorer un produit ou un processus. Ce cycle appeler PDCA (voir
chapitre 1) contient 4 phases, la planification (Plan), l'action (Do), la vérification (Check), et l'agir
(Act). Appliqué à la sécurisation des systèmes d'information le cycle PDCA constitue le corps de l'iso
27001. La partie planification (PLAN) constituera la trame du présent chapitre.
Dans un premier temps, il sera mis en évidence que toute démarche de sécurisation commence
par un besoin qu'il faut formuler à travers un cadre contractuel et des clauses particulières. Dans cette
première partie, nous verrons comment la différence de type de marché n'influence en rien les
différentes clauses liées à la sécurité du SI de la maquette numérique. Certains paramètres de clauses
seront présentés afin que les professionnels puissent s'en saisir. Ces particularités concerneront le droit
d'auteur, les responsabilité liées aux données, et les assurances. Puis dans un deuxième temps, des
guides élémentaires d'hygiène seront présentés. Ils constituent la base des recommandations à mettre
en place au sein d'une organisation, avant de se lancer dans une processus de gestion de risque plus
profond. Dans un troisième temps une méthode de cartographie d'un système d'information sera
présenté. Cela permet de définir les objectifs, d'inventorier son SI et de déterminer le périmètre à
sécuriser. Cartographier son SI permet de faciliter grandement la phase suivante : l'analyse du risque.
L'analyse du risque est un processus permettant de mesurer un certains nombre de paramètres liés aux
risques d'un SI (vraisemblance, gravité ...) afin de proposer un ensemble de mesures de traitements
nommé barrières . Cette phase doit être considérées comme un outil facilitant l'écriture d'un cahier des
charges à destination d'expert de conception et d'implémentation de système de cybersécurité. La
méthode d'analyse de risque EBIOS RM2018 sera présentée. Enfin une stratégie de traitement sera
décrite. En effet, l'ensemble des barrières sont organisées entre elles pour permettre une défense en
profondeur du système d'information.
2.1 LE CADRE CONTRACTUEL
Le BIM constitue une évolution dans les méthodes de travail traditionnelles d’une opération de
construction : il induit un travail collaboratif des différents intervenants au travers de la maquette numérique
alimentée et dont les données sont partagées par l’ensemble des acteurs de l’opération, préfigurant ainsi, dans
toutes ses composantes, l’ouvrage à réaliser et à exploiter. Mener un projet en BIM c’est ainsi s’engager dans un
processus qui va affecter le contenu et les processus de l’ensemble des prestations nécessaires à la conception et
à la réalisation du projet. Mener un projet en BIM affecte les interactions et les responsabilités des prestataires
entre eux. Dès lors que les méthodes de travail et les relations entre le maître d'ouvrage, les maîtres d'œuvres, et
les entreprises sont susceptibles d’être bouleversées, des questions, voire des incertitudes surgissent
immanquablement, quant aux impacts de ce nouveau processus et de ses outils sur les conditions et modalités
d’exécution des missions et prestations. Aujourd’hui, dans la mesure où le cadre législatif et réglementaire est
quasi inexistant en la matière, il revient aux parties de préciser dans le contrat les conséquences induites par
l’utilisation du BIM sur leurs missions et les conditions dans lesquelles elles vont les exécuter. C’est donc
aujourd’hui grâce à la technique contractuelle et aux instruments contractuels, caractérisés par leur souplesse,
que ces nouveaux rapports entre les différents acteurs d’une opération en BIM vont pouvoir être définis,

précisés, organisés à chaque étape du projet et de développement du bâtiment, des prémices de la programmation
de l’opération par le maître d'ouvrage jusqu’au à la gestion technique et patrimoniale du bâtiment.
Les projets du BTP se caractérisent par un nombre de prestataires hétérogènes employés dans des
phases particulières du cycle de vie d'un bâtiment / infrastructure. Le déploiement actuel du BIM doit
s'accompagner d'une mise en perspective vis à vis de la sécurité des informations des maquettes numériques
et des systèmes d'information qui les sous-tendent. Le corpus42 de chartes BIM, cahiers des charges BIM,
conventions BIM et guides de rédactions révèlent que le thème de la sécurité des système d'informations est très
rarement abordé.
L'objet de cette partie est de déterminer les modalités selon lesquelles les rapports contractuels entre les
acteurs d’une opération menée en BIM peuvent être formalisés au regard de la sécurité de l'information
2.1.1 MARCHES PUBLICS ET MARCHES PRIVES
Les contrats privés (=marchés privé) sont caractérisés par la liberté contractuelle dont dispose les parties
pour définir et organiser leurs relations : non seulement le contenu du contrat est librement négocié entre les
parties, mais surtout ses clauses sont librement fixées par les parties. Le maître d'ouvrage privé dispose d’une
liberté la plus totale pour choisir les prestataires auxquels il décide de confier une mission. Le contrat ne revêt
aucune forme particulière, il peut même être oral (ce n’est toutefois pas conseillé). Les maîtres d’ouvrage privés
ont bien évidemment la faculté d’organiser une mise en concurrence leur permettant de sélectionner les
prestataires avec lesquels ils décideront de travailler (architectes, bureaux d’études, entreprises, etc). Le principe
de la liberté contractuelle des parties n’est toutefois pas sans limite. Le contrat doit se plier au code civil.
Passation des contrats : Le maître d'ouvrage privé dispose d’une liberté la plus totale pour choisir les
prestataires auxquels il décide de confier une mission. Le contrat ne revêt aucune forme particulière. Les maîtres
d’ouvrage privés ont bien évidemment la faculté d’organiser une mise en concurrence leur permettant de
sélectionner les prestataires avec lesquels ils décideront de travailler (architectes, bureaux d’études, entreprises,
etc). Cette procédure peut être, au choix du maître d’ouvrage, plus ou moins légère : de la simple comparaison de
devis sollicités auprès de quelques entreprises ou maîtres d'œuvre à l’organisation d’une procédure plus détaillée
se rapprochant des principes définis par le code des marchés publics, là encore, tout est possible pour le maître
d'ouvrage privé. Il convient toutefois de souligner que dès lors qu’il décide d’organiser une véritable mise en
concurrence faisant référence à un cahier des charges voire à un règlement de la consultation, le maître d'ouvrage
privé est tenu de respecter les règles ainsi définies.
Les documents contractuels : Les parties sont libres de signer un contrat, de l’intituler et de le formaliser
selon les modalités qu’elles déterminent librement, aucun document particulier n’étant imposé. En pratique les
documents contractuels tendent vers l'exigence contractuel d'un marché public. Si dans les contrats privés les
parties demeurent entièrement libres de formaliser leurs rapports comme elles le souhaitent, en pratique, on
observe dans la plupart des cas l’utilisation de document de type «C.C.A.P. » utilisés dans les marchés publics.
Traditionnellement, il est plutôt d’usage dans les contrats privés de procéder par adjonction d’annexes au contrat
: il est ainsi courant qu’y figurent, par exemple pour les marchés de maîtrise d'œuvre, le programme de
l’opération, l’enveloppe financière définie par le maître d'ouvrage, le planning de l’opération... Dans le cadre
d'un contrat BIM, le maitre d'ouvrage rédigera une charte BIM générale, qui lui servira de ligne directrice pour la
rédaction du cahier des charges BIM, programme, règlement de consultation par projet. Un ensemble de clauses
générales et particulières sera alors inscrit et fera l'objet de critère de sélection du prestataire.
Les contrats publics (=marchés publics) sont quant à eux cadrés et réglementés. Cet encadrement des
marchés publics se justifie par le but qu’ils poursuivent : l’exécution d’un service public ou une mission d’intérêt
général. De ce fait un contrat public est déséquilibré en faveur de la personne publique. Et la passation des
contrats publics doit faire l'objet d'une mise en publicité de l'appel d'offre et en concurrence des candidatures.
Cette mise en concurrence peut être restreinte ou ouverte. Les opérations liées aux infrastructures / bâtiments
sont encadrées par la loi MOP. Cette loi défini notamment le contenu des différentes missions encadrant le
développement d'un projet.
42
Charte BIM - société du Grand Paris / Cahier des charges BIM atelier Abscisse ref B1707_CCB / Convention commune
BIM - Testimonio II / Guide de rédaction convention BIM v2- BuildingSmart / Cahier des charges BIM / Guide de
recommandations à la maitrise d'ouvrage - PTNB /

Passation des contrats : La mise en concurrence des candidats à un marché public est un principe
fondamental du droit des marchés publics affirmé dès l’article 1er du code des marchés publics. La mise en
concurrence dois respecter trois principes : 1/ La liberté d’accès implique que tous les opérateurs intéressés
puissent proposer leurs services pour répondre au besoin exprimé par le pouvoir adjudicateur, ce qui suppose
qu’ils puissent en être informés grâce à l’organisation d’une publicité adéquate. 2/ L’égalité de traitement
interdit toute pratique discriminatoire de nature à favoriser certains opérateurs ou candidats au marché ; cette
égalité de traitement s’impose à tous les stades de la mise en concurrence. 3/ La transparence des procédures est
la garantie d’une véritable mise en concurrence, elle implique notamment que le pouvoir adjudicateur fasse
connaître non seulement la nature de son besoin, mais aussi les conditions dans lesquelles il sera procédé à la
sélection de l’attributaire du marché.
Les documents contractuels : Le contrat doit nécessairement comporter un certain nombre de mentions
obligatoires parmi lesquelles : l’identification des parties contractantes, l’énumération des pièces du marché, la
durée d’exécution du marché, les conditions de règlement, les conditions de résiliation, etc…. Le contrat doit
impérativement être composé d’un acte d’engagement et d’un cahier des charges. L’acte d’engagement est la
pièce signée par le candidat et dans laquelle il propose son offre de prix ; l’acte d’engagement est en droit public
le fondement de la relation contractuelle entre le maître d'ouvrage et son cocontractant. Les cahiers des charges
définissent les conditions d’exécution du marché ; il en existe deux types : le cahier des clauses administratives
particulières (C.C.A.P.) qui fixe les modalités administratives d’exécution du marché (contenu de la mission,
délais, condition de versement du prix, pénalités, conditions de résiliation, etc…) et le cahier des clauses
techniques particulières (C.C.T.P.) qui décrit les modalités technique d’exécution de la mission . Concernant les
annexes les marchés publics procèdent plutôt par voie d’insertion, dans les documents contractuels des pièces
auxquelles le maître d'ouvrage entend donner valeurs contractuelle. Il est y généralement distingué deux
catégories de pièces contractuelles : les annexes particulières au marché (CCAP / CCTP / programme ...). Et
les annexes générales (Missions MOP / CCAG / règlement concours ...)
Qu’il s’agisse de marché privé ou public, dès lors que, matériellement le contrat est composé de
plusieurs documents distincts, il convient de hiérarchiser l’ensemble des documents à valeurs contractuelles.
Cette hiérarchisation a pour objectif de définir un ordre de priorité parmi l’ensemble des dispositions
contractuelles qui s’imposent aux parties et de résoudre ainsi les éventuelles difficultés nées d’une contradiction
ou d’une incohérence existant entre les stipulations de deux documents. Sans qu’il ne soit besoin de le spécifier
dans le contrat, les pièces particulières du marché (acte d’engagement, C.C.A.P., C.C.T.P., etc…)
prévalent toujours sur les pièces générales.
Qu’il s’agisse de marché privé ou public des annexes définissant les besoins en termes de sécurité de
l'information sont particulièrement utiles pour imposer une démarche BIM sécurisée.
2.1.2 LES ANNEXES
Rendre des annexes contractuelles en les insérant dans un marché, qu'il soit public ou privé, permet au
maitre d'ouvrage de rendre ses besoin en sécurité opposables à ses prestataires.
2.1.2.1 CCSC (Cahier de clauses simplifiées de cybersécurité) - voir annexe 2

Le CCSC est un texte qui fixe les dispositions qui assurent un cadre de sécurisation des systèmes
d’information et des données associées via tout type de marché, aussi bien un marché à objet principal
directement associé aux technologies de l’information et de la communication (ordinateurs, logiciels,
développements ou hébergement d’application via le web) que des fournitures et services annexes (extranet de
commande et service clients), ou même les simples échanges d’information par messageries électroniques.43 Le
cahier de clauses simplifiées de cybersécurité (CCSC) est une annexe particulière au marché qui s’y réfère. Le
CCSC est un clausier générique réclamant une démarche de gestion de risque liée aux système d'information. Il
43
marché-public.fr, consulté le 17/10/2019, http://www.marche-public.fr/Marches-publics/Definitions/Entrees/CCSC.htm

fixe les règles qu'un prestataire doit respecter au travers du PSSIE 44, les labels et certificats à justifier. Il fixe les
modalités de contrôle, le signalement de sécurité, l'hébergements des données ...
Cependant le CCSC ne réclame aucune police d'assurance particulière afin de garantir tout risque
d'indisponibilité, de perte d'intégrité ou de confidentialité sur les données. Enfin il est rappelle qu'un label ou
certification iso 27XXX ne certifie ni du périmètre ni de la qualité de la sécurisation du SI. Le CCSC devra être
adapté en fonction des projets et le maitre d'ouvrage devra mettre en place les outils d'évaluation de chacune des
clauses. Pour cela un acteur public comme l'ANSSI peut aider. Il est clair que l'AMO BIM s'emparera de ce sujet
dans un avenir proche.
Un prestataire BIM devra justifier en priorité que son processus BIM et les données de sa maquette
numérique qui en découle sont sécurisés en DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Il devra
justifier que son SI respecte les règles d'hygiène élémentaires données par l'ANSSI.
2.1.2.2 Droit d'auteur

Comme vue dans la partie 1.3.1.7, le droit d'auteur s'applique aux maquettes numériques, a condition
qu'elles portent l'empreinte de la personnalité de l'auteur. Il est nécessaire de clarifier les types de droits d'auteur
sur les informations de la maquette numérique. Pour cela il convient d'analyse les natures des interfaces entre les
différent prestataires qui ont contribués à la maquette numérique. On peut remarquer que dans la pratique, le
BIM n’est pas un processus collaboratif total mais un processus d’échanges limités, en fonction des besoins
(droit d'accès, statuts, responsabilité ...).
Le droit d'auteur n'est que très rarement évoqué lors de litige dans le secteur du BTP. Or de nos jours
(en 2019) les informations constituent une véritable manne financière que beaucoup d'acteurs souhaitent
exploiter et valoriser. Il convient à chacun des acteurs d'anticiper ce risque de recours judiciaire en stipulant
contractuellement la manière dont les droit d'auteur seront cédés. Cette cession répond à des exigences formelles
et à des mentions obligatoires, et il est conseillé de s'entourer d'avocats et juristes spécialisés.
Les plans d’architecte, les croquis, les maquettes, mais également les édifices conçus par l’architecte
sont protégés par le droit d’auteur, dès lors qu’ils présentent un caractère original (Cass. 1e civ. 6 mars 1979,
SARL Le Mas Provençal / Carlier ; Cass., 1ère civ., 12 novembre 1980, n° 79-13.544).45
Ainsi lorsque l'architecte, l'auteur de la maquette numérique et du bâtiment qu'elle représente, transfère
son modèle à un nouvel acteur du BTP (ex. un BET), chacun des acteurs sera amené à céder ou concéder une
licence sur ses droits de propriété intellectuelle à l'auteur originel ou au nouvel intervenant. Le BIM manager
peut également jouir de ses droits d'auteurs sur les structures des bases de données (régime sui generis) qu'il a
généré à condition que l'originalité de la base de données puisse être appréciée. L'originalité est reconnue suivant
deux critères : 1/ Le "caractère artistique certain", c’est-à-dire, lorsque l’architecte auteur crée des formes
particulières, quel qu’en soit le mérite ou le caractère esthétique, "distinctes des nécessités techniques",
2/ "Le fait qu’il ne s’agisse pas d’une construction en série" (CA Riom 26 mai 1967).
En l'absence de cession ou de licence, il existe trois forme de régimes lorsque plusieurs intervenants
participent à la création de la maquette numérique : l’œuvre composite, l’œuvre collective et l’œuvre de
collaboration.
1/ L’œuvre composite est une œuvre nouvelle à laquelle est incorporée une œuvre préexistante sans la
collaboration de l’auteur de cette dernière 46. Dans le BIM de niveau 2, un fichier est envoyé par un premier
contributeur et ce fichier est utilisé voir modifié par un autre contributeur à la maquette numérique. Dans ce cas,
il n’y a pas de collaboration du premier contributeur dans le travail du second, cependant son travail est tout de
même incorporé dans la nouvelle œuvre. L’œuvre composite est la propriété de l’auteur qui l’a réalisée, sous
réserve des droits de l’auteur s’appliquant à l’œuvre préexistante547. L’auteur de l’œuvre première n’est ainsi pas
l’auteur de l’œuvre composite.
44
ssi.gouv.fr, consulté le 17/10/2019https://www.ssi.gouv.fr/entreprise/reglementation/protection-des-systemes-
dinformations/la-politique-de-securite-des-systemes-dinformation-de-letat-pssie/
45
village-justice.com/, consulté le 17/10/2019, https://www.village-justice.com/articles/droit-auteur-des-
architectes,25567.html
46
L’article L.113-2 du Code de la propriété intellectuelle
47

La maquette numérique sera considérée comme une chaine de succession d'œuvre dont le dernier
contributeur sera le titulaire des droits sur l'œuvre composite. Attention il ne sera pas titulaire des différentes
maquettes antérieures qui ont servi à l'incrémentation de la maquette finale.
En terme de sécurité de l'information chacun des contributeurs sera responsable de la disponibilité,
l'intégrité, la confidentialité de la maquette numérique qu'il produit. La traçabilité et la non répudiation des
information de la maquette numérique seront deux critères d'appréciations.
2/ L’œuvre collective est "l’œuvre créée sur l’initiative d’une personne physique ou morale qui l’édite, la publie
et la divulgue sous sa direction et en son nom et dans laquelle la contribution personnelle des divers auteurs
participant à son élaboration se fond dans l’ensemble en vue duquel elle est conçue, sans qu’il soit possible
d’attribuer à chacun d’eux un droit distinctif sur l’ensemble réalisé "48 Dans le cas de la maquette numérique,
l’œuvre collective est imaginable dans le cas ou une personne gérerait l’intégralité de la maquette numérique. Ce
rôle reviens au groupement de maitrise d'œuvre, chapoté par l'architecte. En ce sens, l’œuvre pourrait être créée
sur son initiative et ce serait en son nom et sous sa direction que la maquette numérique serait livrée au client.
L’œuvre collective serait alors la propriété de la personne physique ou morale sous le nom de laquelle
elle est divulguée, cette personne serait investie des droits d’auteur.
En terme de sécurité de l'information la personne détenant les droits d'auteur sur l'œuvre collective
(l'architecte) sera responsable de la disponibilité, l'intégrité, la confidentialité de la maquette numérique qu'il
produit. La traçabilité et la non répudiation des information de la maquette numérique seront deux critères
d'appréciations pour l'architecte.
3/ L’œuvre de collaboration est une l’œuvre sur laquelle plusieurs auteurs ont travaillé. Les auteurs ont travaillé
ensemble à l’élaboration de l’œuvre de telle sorte qu’il est impossible de déterminer avec précision les apports
des différents auteurs. Pour des raisons de responsabilité juridique et de structuration des projets ce type d'œuvre
est extrêmement rare. Même dans le cas d'un projet mené en BIM niv3 l'œuvre ne pourra être considérée comme
collaborative, car elle remettrai en question la hiérarchisation des responsabilités.
In fine, les données contenues dans la maquette peuvent faire l’objet d’une protection individuelle
(clauses contractuelles) mais la maquette numérique dans son ensemble peut également faire l’objet d’une
protection au titre du droit d’auteur en raison de son originalité. En principe, la maquette numérique est originale
car elle a vocation à s’appliquer à un projet immobilier donné (supposé originale). De plus, la maquette
numérique peut être considérée comme une base de données. Cela signifie alors qu’elle ferait l’objet de deux
protections : la représentation graphique par le droit d’auteur et la protection de l’investissement du créateur
d’une base de données par le droit sui generis. La maquette numérique doit être considérée comme une œuvre à
part entière susceptible d’une protection par le droit d’auteur.
Aujourd’hui, la maquette de conception contient le niveau de détail qui permet de l’entretenir, ce qui
augmente sa valorisation. De plus il est nécessaire de réguler le niveau de détail associé au processus de
construction. Cependant, certains niveaux de détail issus de l’industrie et couverts par le secret industriel n’ont
pas vocation à être dévoilés, cela doit être réglé par la confidentialité associée au contrat. L'enjeux est de garantir
le DICT des informations au cour du cycle de vie du bâtiment, afin d'obtenir des informations de grande qualité.
2.1.2.3 Responsabilités vis à vis des données

La gestion de la maquette numérique doit permettre d’assurer l'intégrité, la disponibilité, la
confidentialité des données circulant en son sein. Cette gestion devra aussi prendre en compte la traçabilité des
données simplifiant la recherche de responsabilité. Une maquette numérique suivant les évolutions du cycle du
vie du bâtiment auquel elle est rattachée, constituera la mémoire d’un projet immobilier.
Dans un système collaboratif, l’écueil est que tous les contributeurs se sentent moins responsables du
fait même de la collaboration. La responsabilité s'en ressent diluée. Au regard de la trés grande valeur des
informations d'une maquette numérique, il convient de nommer un responsable de la sécurité des informations de
la maquette numérique (DICT). Il est recommandé de consentir des droits d’accès aux données de la maquette en
fonction des contributeurs et de la phase d’utilisation de la maquette : Qui accède à la maquette numérique ?
Sous quel statut (droit d'accès) ? Quand a-t-on accès à la maquette ? Pour quels usages ? ... Ce responsable sera
un interlocuteur désigné en début de projet. Mais quel acteur le mandatera (MOE ou MO ?) cette question devra
48

être abordée au même titre que celle du BIM manager l'a été dans le passé. Au regard des fonctions actuelles du
BIM manager, il apparait comme évident que la responsabilité du SI de la maquette numérique lui revient. Tout
d'abord il est un acteur transversale en intervenant durant toutes les phases du cycle de vie du bâtiment (de la
programmation à la déconstruction). Ensuite il assure déjà malgré lui des fonctions de sécurisation du SI de la
maquette numérique. Il veille notamment à l'intégrité et à la traçabilité des données et à la pertinence de ces
dernières via le BEP ou convention BIM. Il veille également à la disponibilité de la maquette numérique en
administrant les diverses plateformes de travail collectif. L'ensemble des mesures servant à sécuriser le SI d'une
maquette numérique devra se renforcer. L'aide de spécialiste en analyse de risque (ANSSI, CNIL ...) permettra
au BIM manager de monter en compétence. Enfin responsabiliser ce nouveau métier à travers la sécurisation des
SI permettra de lui accorder beaucoup plus de crédit dans le secteur du BTP. Il pourra garantir par exemple la
sécurité du SI de la maquette numérique de manière décennale. Il pourra mener des audits et voir même assurer
la certification de maquette numérique ou de SI des différents prestataires.
Concernant les données liées aux maquette numériques, nous pouvons les distinguer en deux catégories.
Les données non personnelles et les données personnelles.
1/ Données non personnelles : Lors des phases de programmation-conception-réalisation ce type de données sont
majoritaires. Elles peuvent faire l’objet d’une protection, du seul fait de leur création (droit d’auteur) ou d’une
protection spécifique (brevets, marques, dessins et modèles) sous réserve de remplir les conditions définies au
chapitre1 et partie 2.1.2.2. Si les données n’étaient pas particulièrement valorisées dans la construction jusqu’à
lors, elles peuvent l’être désormais, qu’elles soient nouvelles ou non. En effet, ces données ont de la valeur
préalablement à leur entrée dans la maquette numérique, mais elles en ont d’autant plus lorsqu’elles en sortent.
Les données lorsqu’elles entrent dans la maquette sont des données utiles pour la construction et elles peuvent, si
elles sont pérennes, perdurer dans la phase d’exploitation du bâtiment. Ainsi, leur valeur en sera
considérablement accrue. Cette valorisation des données justifie le besoin impératif de les identifier et de
déterminer leur statut juridique ainsi que les droits relatifs à ces données dès leur entrée dans la maquette. Ces
données bien que non personnelles devront, dans le cas d'une démarche de sécurisation des informations, faire
l'objet d'une analyse de risque en DICT
2/ Données personnelles (RGPD) : Lors des phases de programmation-conception-réalisation ce type de données
sont minoritaires. Est caractérisée comme personnelle une donnée rendant identifiable une personne. De ce fait
dans le cas d'une intervention sur un bâtiment existant, des données personnelles peuvent être modélisées. Le
géomètre expert par exemple attachera à un bâtiment des informations sur le propriétaire. Ainsi il conviendra
d'assurer une sécurité maximale sur ce type de données et de respecter le RGPD (Règlement Générale de
Protection des Données).
2.1.2.4 Responsabilités et assurance

De manière théorique si une nouvelle fonction de spécialiste des techniques virtuelles et des données
serait introduite dans le processus de création par le BIM, cette personne devra naturellement travailler en étroite
collaboration avec un intervenant de la construction pour valider l’insertion des données dans la maquette
numérique. Cette nouvelle fonction se rapproche plus de celle d’un prestataire de services informatiques et de
maintenance. En ce sens, la responsabilité décennale ne devrait pas s’appliquer et il sera assujetti à sa seule
responsabilité civile professionnelle. Cependant dans la pratique, le secteur du BTP favorisera toujours un
"constructeur", dans le sens où le BIM management est considéré comme une fonction et non comme un métier à
part entière. En ce sens il sera soumis à la responsabilité décennale.
Lorsque qu'une atteinte au DICT des informations de la maquette numérique survient, le responsable de
l'erreur engagera sa responsabilité civile à condition que l'ouvrage n'en ai subit un préjudice (ex erreur sur le
dimensionnement (mauvaise saisie) d'une section de poutre sur la maquette numérique ayant entrainé la ruine
d'un plancher.) C'est à ce moment là que la traçabilité et la non répudiation des informations voient tout leur
intérêt pour investiguer la source de l'erreur. La maquette numérique apparait come un outil d'investigation pour
les experts judiciaires ou amiables. Dans le consensus validé par le parlement, la commission et le conseil
européen le 15 décembre 2015, il est fait référence à la responsabilité du responsable de la sécurité du SI en cas
d’intrusion ou de pertes de données personnelles mais aussi à sa responsabilité pour la véracité des données. De
plus, le sous-traitant pourra lui aussi être responsable vis-à-vis des tiers à ce sujet.
Les assureurs comptent développer des nouveaux produits d’assurance, en proposant des polices pour
des activités de prestations informatiques spécifiques au secteur du bâtiment. De plus, l’apparition de risques
nouveaux liés au BIM ainsi que des nouvelles polices d’assurance liées n’entrainera pas un surcoût assurantiel

dans la mesures où le BIM peut aussi être à l’origine d’une réduction de la sinistralité notamment par la
meilleure concertation des différents acteurs intervenant sur le chantier, permise par le BIM. Les assureurs
souhaitent avoir un accès limité à la maquette compte tenu de la valeur des données intégrées. Il conviendra de
cibler les moments et les points d’accès de la maquette par les assureurs et les experts.
2.1.1 HYGIENNE(ref. annexe 3 à 6)
L'ANSSI à éditer des guides de bonne pratiques à destination des entreprises et des particulier
permettant de construire une culture "cybersécurité" et d'améliorer leurs niveaux de sécurité. L'ensemble des
règles s'applique à tout à chacun autant à titre personnel que professionnel au sein d'une entreprise. Or l'ensemble
des systèmes d'information s'interconnectent entre eux, et l'existence d'un système vulnérable peut compromettre
l'ensemble d'un réseau lors d'une infection. Ces règles, non exhaustives, constituent un ensemble de
recommandations permettent de limiter grandement les risques de cyberattaque et leurs propagations à
l'ensemble d'un réseau, en renforçant de manière individuelle les systèmes d'information. L'application de ces
règles ne constituent pas une cyberdéfense cohérente mais constitue un pré requis. Si une organisation souhaite
maitriser ses risques liés à son SI, elle devra dans un premier temps veiller à l'application de ces
recommandation, puis entamer un processus de gestion du risque.
Les trois guides fournis en annexe offrent des mesures de prévention efficaces et facile à mettre en place
pour une organisation.
+ Annexe 3 : Guide d'hygiène informatique - ANSSI: Ce guide présente 42 mesures d’hygiène informatique
essentielles pour assurer la sécurité d'un SI et les moyens de les mettre en œuvre. Non exhaustives, ces mesures
représentent cependant le socle minimum à respecter pour protéger les informations de votre organisation. Une
fois ces règles partagées et appliquées, une grande partie des risques courant sont couverts : risques sur la
disponibilité, l'intégrité et la confidentialité des informations.
+ Annexe 4 : Recommandations sur le nomadisme numérique - ANSSI: Le nomadisme numérique désigne les
nouvelles formes de travail où le professionnel peut accéder au SI de son organisation à distance (ex télétravail,
co-working ...). Ce guide n'est pas exhaustif et se focalise sur les risques liés à cette nouvelle forme de travail.
+ Annexe 5 : - Sécurité numérique - bonnes pratiques à l'usage des professionnels en déplacement - ANSSI : Les
professionnels sont de plus en plus amener à voyager. Ce guide concentre 9 bonnes pratiques à adopter avant,
pendant et retour d'un déplacement
2.2 CARTOGRAPHIER49
Cartographier désigne le fait de représenter schématique l'ensemble des informations et leurs
structuration spatialement. Les informations représentées sont minutieusement choisies pour répondre
efficacement à la ou aux questions posées. Les cartographies se structurent généralement en plusieurs
dimensions et avec une échelle de précision.
Les cyberattaque sont de plus en plus nombreuses et complexes. La sécurité des systèmes
d’information est un enjeu essentiel au bon fonctionnement des administrations et des entreprises (pour rappel :
les cyberattaques constituent la seconde source de menace en France après le terrorisme). La cartographie est un
outil essentiel à la maîtrise du système d’information. Elle est la première étape du processus de sécurité d'un SI.
Elle permet d’avoir connaissance de l’ensemble du SI et de ses composants. Elle permet d’obtenir une meilleure
lisibilité de celui-ci à travers plusieurs cartes. L’élaboration d’une cartographie du système d’information
s’intègre dans une démarche globale de gestion des risques. Dans notre contexte d'étude, le numérique, la
cartographie permet de représenter le SI d'une organisation ainsi que ses connexions avec l'extérieur. Cette
représentation peut être plus ou moins détaillée et inclure, par exemple, les biens matériels, logiciels, les réseaux
de connexion, personnes , informations, activités et processus qui reposent sur ces biens. La cartographie doit
permettre de :
+ Réaliser l’inventaire des biens du système d’information, à savoir la liste des composants du SI et leur
description détaillée.
49
Cartographie du système d'information, guide d'élaboration en 5 étapes, ANSSI, 11/2018, 54 pages,
https://www.ssi.gouv.fr/uploads/2018/11/guide-cartographie-systeme-information-anssi-pa-046.pdf

+ Présenter les connexion entre ces différents biens qui formeront des grappes de sous-système (l'ensemble des
équipements reliés au réseau wifi par exemples). Les interconnexions entre ces différents sous-systèmes
(l'interconnexion entre le réseau wifi et le réseau intranet par exemple). Et les connexions de ces sous-systèmes
avec le milieu extérieur (internet ou autre organisations par exemple).
+ Définir le niveau de détail de l'étude (son échelle).
+ Caractériser les limites du SI. Les systèmes d'information sont devenus tellement complexes qu'il est
nécessaire des les considérer par tranche de plusieurs sous-ensemble.
Il existe 3 grandes familles de carte d'un SI.
La carte métier : Elle sert à présenter les différentes entités avec lesquelles le SI interagit pour remplir sa
fonction. Cette carte permet également de présenter les différents processus métier du système d’information.
C'est une carte mettant l'action sur les action du SI. Elle constitue la première carte à établir.
Par exemple : une personne souhaite contrôler les passages de voiture à distance à un péage. La carte métier
représentera le processus de pilotage de visualisation par vidéosurveillance et le processus de pilotage de la
barrière. La carte applicative : Elle sert à présenter les différents flux de données ainsi que les niveau d'accès.
La carte infrastructure : Elle sert à présenter les différents équipement physique du SI et leurs interactions.
La construction d'une cartographie d'une SI se fait en 5 étapes : l'amorçage, le choix du modèle de carte,
le choix de l'outillage, la construction de la carte et la maintenance de la carte.
2.2.1 ETAPE 1 : L'AMORÇAGE
La première étape sert à mettre en place les enjeux de la cartographie, les acteurs à mobiliser, le
périmètre du système d’information à représenter, le niveau de précision de l’inventaire et les types de vues à
réaliser. Cette étape doit être impulsée par la direction qui en exprimera les besoins.
En premier lieu il convient de définir clairement les objectifs et les enjeux du projet pour répondre aux
besoins. Ensuite il convient de définir de définir les parties prenantes à l'étude cartographique. Dans le cas où la
démarche s'oriente sur la sécurité numérique, le nombre de partie prenante sera limité au stricte minimum. Le
responsable de la sécurité des SI (RSSI) est suffisant à condition qu'il implique les différents métiers de
l'organisation à sécuriser. Sans cela la cartographie risque de passer sous silence des éléments du processus
critique. Dans le cas où une organisation ambitionne d'engager une démarche plus complète, une équipe plus
conséquente devra être mise en place; Cette équipe réunira potentiellement le DSI (directeur du SI), le RSSI, les
architectes en infrastructure informatique, les métiers, le DPO (RGPD), les responsables sûreté, les équipes
d’audit et de conformité.
En deuxième lieu il convient de définir le périmètre de la cartographie. Il est recommandé de
cartographier les systèmes les plus exposés ou les plus critiques, c'est à dire les plus vulnérables par rapport à
leur exposition aux menaces.
Dans un troisième temps il convient de définir le niveau de précision de l'inventaire. Plus la criticité est
considérée comme élevée, plus le niveau de précision devra être élevé. Pour un système d’information de taille
importante, il est recommandé de commencer par une cartographie limitée à certaines cartes et centrée sur les
systèmes critiques ou exposés, qui sera complétée avec d’autres cartes par la suite. Pour un SI de petite taille, il
est possible de réaliser une cartographie cumulant plusieurs cartes dès le départ.
2.2.2 ETAPE 2 : LE CHOIX DU MODELE LA CARTE
La seconde étape sert à recenser toutes les informations disponibles en rassemblant les inventaires et
schémas de représentation du système d’information déjà constitués.
Pour chacune des cartes il convient de choisir les objets et attributs à représenter ainsi que leur format.
Les objets sont un ensemble d’éléments référencés dans la cartographie, qui sont les valeurs métier et les biens
support. Par exemple la valeur métier modélisation d'une maquette numérique peut être associée aux biens
support PC+revit+plateforme BIM+Base d'objets. Les relations entre objets peuvent également être
représentées.
Les attributs quant à eux sont des informations essentielles aux futures analyses. Par exemple, on peut
distinguer pour une application son type (développement interne, logiciel, progiciel, algo...), ses besoins de

sécurité (un algorithme breveté demandera un besoin plus grand) ou encore son exposition vis-à-vis de
l’extérieur. Le modèle de cartographie doit définir la liste des attributs correspondant à chaque objet choisi, avec
une priorité pour ceux qui sont liés à la sécurité numérique.
Enfin la charte graphique de représentation doit être définie afin d'homogénéiser et améliorer la
compréhension des cartes.
2.2.3 ETAPE 3 : LA CHOIX DE L'OUTILLAGE
La troisième étape sert à définir les outils permettant la réalisation des différentes cartes. Le choix devra
s'orienter vers les outils permettant de constituer des inventaires, de réaliser des vues lisible, et de faciliter la
mise à jour des cartes suivant l'évolution du SI par exemple.
L'accent sera mis sur le choix d'outils de modélisation du système d’information. Ils permettent, de
réaliser des schémas des inventaires, de simplifier les actions de mise à jour et le partage des informations. Par
exemple, certains modifient automatiquement les changements effectués sur les cartes graphiques dans
l’inventaire (et inversement). La cohérence est alors assurée. Les outils de modélisation du système
d’information facilitent la collecte, permettent un gain de temps important et garantissent la cohérence de
l'étude. Ces outils permettent une exportation automatique des rapports.
Référence d'outils : Agile Risk Manager (All4tec), Risk Manager (Egerie).
2.2.4 ETAPE 4 : LA CONSTRUCTION DE LA CARTE
La quatrième étape concerne la réalisation des cartes grâce à l'outillage choisi. Une attention particulière
devra concerner le caractère sensible des informations comprises dans l'inventaire et les graphiques. Un statut
pourra être définie pour l'étude (ex Très secret défense / Secret défense /Confidentiel défense /Restreint / Public).
Lors de la réalisation de l'inventaire du SI il est conseillé de s'appuyer sur les documents internes
existant, des entretiens ciblé, et une exploration progressive des différent élément matériel du SI (liste d'objets,
connexion en les objets).
La réalisation des cartes ne doit pas faire apparaitre l'ensemble des objets et attribut de l'inventaire. Les
cartes peuvent avoir différent niveau de précision. Ces schéma sont important car ils constitue les premiers
éléments exploité par un audit. Ils permettent une compréhension rapide du SI.
Remarque : Chaque schéma doit comporter un titre, une date, un numéro de version et une légende.
2.2.5 ETAPE 5 : LA MAINTENANCE DE LA CARTE
Les étapes précédentes permettent de constituer une vision d'ensemble du SI de l'organisation. Tout
l'intérêt de la cartographie réside dans sa communication et sa mise à jour. La communication devra s'appuyer
sur le statut de confidentialité de l'étude. La cartographie du SI est un élément essentiel de l'organisation. Il
convient de garantir à minima la disponibilité, l'intégrité et la confidentialité des informations qu'elle contient :
mesures de sauvegarde, de stockage sécurisé, conservation des supports papier ...
Remarque : Une cartographie ne doit jamais être stockée sur la SI qu'elle est censée représenter, afin d'éviter de
fournir des informations sur le SI dans l'éventualité qu'une cyberattaque. Elle doit être consultable par un cercle
de personnes restreint concernées.
La réalisation d'une cartographie n'est pas une fin en soi. Le maintien à jour des cartes est indispensable
et permettra d'éviter l'apparition de plusieurs versions. La bonne pratique consiste à instaurer des campagnes
régulières de mise à jour avec les différentes parties prenantes. Lors des revues cartographiques le groupe de
travail pourra se demander si le périmètre d'étude doit être étendu ou s'il faut affiner l'étude.
En conclusion la construction cartographique est complexe et peut se heurter à plusieurs obstacles

(humains, ressources, techniques ...). Afin d'aboutir à une cartographie cohérente il existe des facteurs clefs de
réussite à prendre en compte. Tout d'abord la cartographie devra s'appuyer sur une démarche projet : la
construction d'une cartographie d'un SI doit s'appuyer sur des objectifs réalistes en termes de contenu et de
planning. Le projet devra être soutenu au plus haut niveau hiérarchique. Il conviendra de privilégier plutôt les
informations macroscopique et à jour que les informations microscopiques et obsolètes. Ensuite la construction

de la cartographie devra se faire de manière itérative. La construction d'une carte d'un SI est complexe et longue.
Elle s'inscrit dans une démarche d'amélioration en continu faisant collaborer différentes parties prenantes. Cette
démarche permet d'élargir le périmètre de représentation, sa précision et d'améliorer le niveau de maturité aux
risques de l'organisation. De plus, communiquer à chaque étape du projet constitue une autre clef de réussite. En
particulier il est important de bien communiquer sur les enjeux et rappeler les objectifs dès le début du projet afin
de fédérer les différents acteurs. Enfin, une démarche de mise à jour régulière est indispensable à la pérennité de
la cartographie. Pour cela le choix d'un outil efficace, un planning de mise à jour et un cadre structuré d'itération
garantiront des mises à jour en cohérence avec l'évolution du SI dans le temps.
Cette démarche de cartographie sera illustrée dans le chapitre 3 à travers l'étude du SI d'une agence
d'architecture réalisant des projets BIM niveau 2.
2.3 ANALYSE DU RISQUE : APPROCHE GLOBALE

Les SI actuels sont de plus en plus complexes. Ils comportent un grand nombres d'éléments en
interaction. Le fonctionnement n'est pas toujours complètement défini ou même connu. Et ils sont en perpétuelle
évolution. Et le BIM n'a pas épargné le secteur du BTP.
Vouloir modéliser les SI actuels dans tous ses détails est une tâche très lourde. Par ailleurs pour réaliser
l'analyse des risques, il n'est pas nécessaire de modéliser en détaillant l'ensemble d'un SI. Une méthode
d'approche globale de type TOP-DOWN est adaptée aux SI complexes dans un premier temps. L'approche
globale de modélisation systémique vise à décomposer un système (ex. le système d'information d'une
entreprise) en un ensemble de sous-systèmes (ex. le réseau wifi d'une entreprise). Elle permet de comprendre
progressivement l'ensemble des éléments du SI et leurs interactions. L'objectif étant de décrire l'ensemble des
défaillances qualitatives.
2.3.1 NOTIONS
Le risque : Un risque est constitué dès lors qu'une menace parvient à exploiter une vulnérabilité sur un
actif en contournant les mesures de protection.
Exemple : Un pirate informatique à réussi à voler un fichier client stocké sur une base de données non chiffrée.
Ici le risque est le vol du fichier client, la menace le hacker, l'actif le fichier client, les mesures de protection
inexistantes sont l'absence de chiffrement et de code d'accès par exemple.
Illustration du concept de risque
La problématique de gestion du risque réside dans son évaluation. Il est possible qu'un risque évalué
potentiellement dangereux ne le soit pas et vis et versa. La mesure d'un risque s'obtient grâce à l'évaluation de
son impact et de sa vraisemblance.
Vraisemblance d'un risque : La vraisemblance est la mesure de l'incertitude qu'un risque ai lieu.
Plusieurs éléments peuvent être évalués entre eux pour obtenir une mesure fine de la vraisemblance d'un risque.
Ces éléments doivent concerner l'évaluation de la menace, l'évaluation de la vulnérabilité, l'actif convoité, ou le
niveau de protection de l'ensemble des mesures.

Exemple : Un pirate informatique souhaite voler un fichier client stocké sur une base de données non chiffrée.
Les éléments constitutifs de la vraisemblance du risque sont le niveau de motivation du pirate, les ressources à sa
disposition, et sa connaissance de l'entreprise. La mesure de la vulnérabilité (fichier non chiffré). Le rapport
coûts/bénéfice du vol du fichier.
Impact d'un risque : L'impact d'un risque lié à un système d'information concerne la donnée et le
système d'information. Il conviendra d'évaluer l'impact sur la disponibilité, l'intégrité, la confidentialité et la
traçabilité d'une donnée.
Exemple : Un pirate informatique souhaite voler un fichier client stocké sur une base de données non chiffrée.
Cette donnée concerne les identités bancaires du client. L'impact sur la disponibilité est faible car le client peut
recommander à sa banque ses données bancaires . L'impact sur l'intégrité est faible pour les mêmes raisons.
Cependant l'impact sur la confidentialité est très élevée, le pirate pourra jouir des informations bancaires
impactant ainsi les finances du client.
Mesure d'un risque : La mesure s'apprécie en comparant la vraisemblance et l'impact du risque, grâce à
un diagramme de Farmer. Ce genre de diagramme permet d'évaluer les différentes mesures de protection et de
prévention d'un risque. Un diagramme est composé d'une courbe de tolérance séparant une zone de risque
inacceptable d'une zone de risque acceptable. En fonction du risque envisagé cette courbe de tolérance peut être
accentuée ou affaiblie. En fonction du niveau de vraisemblance et d'impact , un risque sera évalué comme
acceptable ou inacceptable. Un risque inacceptable fera l'objet de mesure protection et de prévention.
Une mesure de protection permettra de limiter les conséquences d'un risque en agissant sur son impact
Exemple : Chiffrer la donnée susceptible d'être volée. Cette mesure n'empêchera pas le vol mais empêchera le
voleur de jouir de la donnée.
Une mesure de prévention permettra de limiter qu'un risque se produise en agissant sur sa vraisemblance.
Exemple : Supprimer la donnée non chiffrée. Cette mesure diminue le risque qu'une donnée non chiffrée soit
exposer au risque de vol.
Illustration d'une courbe de Farmer permettant d'apprécier un risque et les différentes mesures de traitement.

Illustration d'évaluation de risque permettant la hiérarchisation des risques prioritaires.
Barrière : Une barrière est un moyen de sécurité capable de protéger une partie du système
d'information contre au moins une menace. Une barrière peut être humaine, procédurale ou technique, statique
ou dynamique, manuelle ou automatique. Elle doit bénéficier d'un moyen de contrôle de son état. 50
Exemple : Un fichier sensible peut faire l'objet d'un chiffrement afin de protéger sa confidentialité lors d'un vol.
Le chiffrement est alors une barrière.
Ligne de défense : Une ligne de défense est un ensemble de barrières dont le franchissement provoque
un incident dont la gravité dépend du nombre de barrières restantes à franchir par la menace pour atteindre le
bien protégé. Toute ligne de défense doit être munie des dispositifs et moyens de détection/veille et de
notification. 51
Exemple afin de protéger une donnée sensible stockée sur un serveur, une entreprise va mettre en place un
ensemble de barrières (mot de passe, chiffrement, droit d'accès, pare-feu...) permettant de filtrer les salariés
autorisés à exploiter la donnée sensible de l'ensemble des autres salariés. Le salarié ayant accès à la donnée
sensible sera inscrit dans un registre listant les personnes ayant eu accès à la donnée sensible.
50
DCSSI, La défense en profondeur appliquée aux systèmes d'information version 1.1 France, DCSSI, 19/07/2004, 51 pages,
p.19, https://www.ssi.gouv.fr/uploads/IMG/pdf/mementodep-v1-1.pdf
51

Illustration du concept d'ensemble de lignes de défense constituant une défense en profondeur.
2.3.2 METHODE EBIOS 52
Remarque : Le chapitre 04 (Etude de cas) sera une application de la méthode EBIOS appliquée à une
agence d'architecture fictive qui souhaite mener une analyse des risques détaillés liée à son SI.
La modélisation détaillée est réservée uniquement aux parties d'un SI considérées comme critiques (ex.
la base de données client, l'archivage des brevets...).
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode
d’appréciation et de traitement des risques numériques développée par la DCSSI puis l'ANSSI. La méthode est
compatible avec les normes iso 27000 et iso 31000. EBIOS RM permet d’apprécier les risques numériques et
d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser. Elle permet aussi de valider le niveau de
risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. En dernier lieu
cette méthode permet de communiquer des arguments utiles et à la prise de décision. Cette méthode peut être
utilisée pour :
- Initier ou améliorer un processus de management du risque numérique au sein d’une entreprise.
- Préparer une homologation de sécurité.
- Définir le niveau de sécurité à atteindre pour un produit ou un service selon ses cas d’usages envisagés
et les risques à contrer, dans la perspective d’une certification ou d’un agrément par exemple.
EBIOS adopte une approche de management du risque numérique partant du plus haut niveau (grandes
missions de l’objet étudié) pour atteindre progressivement les fonctions métier et techniques, par l’étude des
scénarios de risques possibles. Elle vise à obtenir une synthèse entre « conformité » et « scénarios », en
positionnant ces deux approches complémentaires là où elles apportent la plus forte valeur ajoutée. Cette
démarche est symbolisée par la pyramide du management du risque numérique.
52
ANSSI, EBIOS RISK MANAGER, France, ANSSI, 12/2019, 91 pages,
https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/

Illustration de la pyramide du management du risque numérique. Source Guide Méthode EBIOS ANSSI
L’approche par conformité est utilisée pour déterminer le socle de sécurité sur lequel s’appuie
l’approche par scénarios pour élaborer des scénarios de risque particulièrement ciblés ou sophistiqués. Cela
suppose que les risques accidentels et environnementaux sont traités à priori via une approche par conformité au
sein du socle de sécurité. L’appréciation des risques par scénarios, telle que l'a décrite la méthode EBIOS RM, se
concentre donc sur les menaces intentionnelles.
Illustration de la pyramide du management du risque numérique. Source Guide Méthode EBIOS ANSSI

L'étude se déroule en 5 ateliers :

+ Atelier 1 : Cadrer et déterminer le socle de sécurité :
Ce premier atelier vise à identifier l'objet de l'étude, les participants aux ateliers suivants et le cadre
temporel. La méthode EBIOS s'adapte très facilement aux méthodes Agile 53. Cet atelier s'appuie sur la
cartographie établie au préalable. Le but de ce premier atelier est de définir le cadre de l’étude, son périmètre
métier et technique, les événements redoutés associés et le socle de sécurité. 54 Cette étape est indispensable pour
l'appréciation des risques.
+ Atelier 2 : Identifier les sources de risque :
Ce second atelier permet d'identifier les source de risques (SR) et les objectifs qu'elles visent (OV). Les
couples SR/OV jugés les plus pertinent seront retenus et sont inventoriés dans une carte des sources de risque.
+ Atelier 3 : Concevoir les scénario stratégiques :
Ce troisième atelier sert à anticiper les chemins d'attaque qu'une source de risque est capable de suivre
pour atteindre un objectif visé. Ces scénarios sont évalués selon leurs degrés de gravité (=impact). Le but étant
de proposer des mesures de sécurité sur l'écosystème.
+ Atelier 4 : Concevoir les scénario opérationnels :
Ce quatrième atelier sert à anticiper les chemins techniques qu'une source de risque est capable de
suivre pour atteindre un objectif visé. Cet atelier fonctionne en tandem avec l'atelier 3, à la différence que dans
cet atelier l'accent est mis sur les biens critiques. Ces scénarios techniques/opérationnels sont évalués selon leurs
degrés de vraisemblance.
Remarque : les ateliers 3 et 4 fonctionnent de manière de manière itérative. Les ateliers 2, 3 et 4 permettent
d'apprécier les risques numériques, ce qui constitue le haut de la pyramide du management du risque numérique
+ Atelier 5 : Traiter les risques :
Au cour de ce cinquième atelier, une synthèse des ateliers différents est réalisée. L'objectif étant de
définir une stratégie de traitement de risque, d'en décliner les mesures dans un plan d'amélioration en continu.
Les risques résiduels sont évalués et un cadre de suivi des risques est défini.
Illustration du processus de traitement de risque EBIOS RM 2018. Source Guide Méthode EBIOS ANSSI
53
ANSSI, AGILITE ET SECURITE NUMERIQUES, France, ANSSI, 10/2018, 60 pages,
https://www.ssi.gouv.fr/guide/agilite-et-securite-numeriques-methode-et-outils-a-lusage-des-equipes-projet/
54
ANSSI, EBIOS RISK MANAGER, France, ANSSI, 12/2019, 91 pages, p.9

2.4 LA POLITIQUE DE LA SSI : LA DEFENSE EN PROFONDEUR

Le défis vis à vis de la mise en place des mesures de sécurité est de combler l'asymétrie entre les
"attaquants" et le système de "défense". En effet il suffit d'une seule vulnérabilité dans une défense pour
permettre à une attaque de réussir. Tandis qu'un système de défense doit prendre en compte le système
d'information dans sa globalité.
Pour protéger son système d'information et éviter les conséquences ravageuses d'une cyberattaque, une
stratégie de défense peut être mise en place. C'est la défense en profondeur. Cette stratégie de défense provient
du domaine militaire, et a été théorisée par Vauban. Son objectif est de retarder l'ennemi le plus possible. Le
concept a été repris ensuite dans le cadre plus général de l'industrie (chimie) et des transports (RATP). Dans le
milieu industriel, la défense en profondeur permet de compléter l'analyse de risques probabiliste par un aspect
déterministe et une modélisation au niveau des composants. Le concept a été ensuite repris au niveau de la
sécurité des systèmes d'information aux Etats-Unis principalement mais sans le développer réellement, car il
semble regrouper différentes notions qui tournent autour du mot profondeur dans le sens de "plusieurs moyens
redondants ou complémentaires". La stratégie de défense en profondeur appliquée au système d'information à
été théorisée en 2004 par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) dans le
mémento La défense en profondeur appliquée aux systèmes d'information version 1.1
Elle définit La défense en profondeur du système d'information comme est une défense globale et
dynamique, coordonnant plusieurs lignes de défense couvrant toute la profondeur du système. terme profondeur
doit être compris au sens le plus large, c’est à dire dans l’organisation du SI, dans sa mise en œuvre et enfin
dans les technologies utilisées. Il s’agit alors de permettre des actions de neutralisation des atteintes contre la
sécurité, à moindre coût, grâce à une gestion des risques, un système de renseignement, une planification des
réactions et l'enrichissement permanent grâce au retour d'expérience. Cette défense en profondeur a un double
but : i) renforcer la protection du système d'information par une approche qualitative permettant de vérifier la
complétude et la qualité du dispositif, ii) donner un moyen de communication fort permettant aux décideurs et
aux utilisateurs de prendre conscience de la gravité des incidents de sécurité"55. La défense en profondeur des
système d'information fonctionne comme une succession de couche de défense, pour éviter qu'un attaquant
pénètre dans le système. Chacune des couches de défense exploite une technique de sécurité différente. Ceci
ayant pour but de réduire le risque si un composant particulier de sécurité est compromis ou défaillant. Le
principe de la défense en profondeur revient à sécuriser chaque sous-ensemble du système d'information. Ainsi
chaque composant d'un système d'information est sécurisé de manière indépendante et effectue lui même toutes
les validations nécessaires pour garantir sa sécurité. Les objectifs de la défense en profondeurs sont de prévenir
une attaque, la bloquer, la limiter, de détecter et d'alerter lors d'une intrusion non autorisée, de réagir via des
mesures et de réparer les dommages.
Plusieurs facteurs peuvent influencer les systèmes de défense.
1/ L'évolution technologique. La découverte de nouvelle technique ou encore l'ampleur des attaques ont un
impact sur les systèmes de défense mis en place. Par exemple : L'apparition de boulets métalliques au XVème
siècle capables de détruire les fortifications verticales entraîne la construction de fortifications beaucoup plus
basses qui utilisent la profondeur du terrain. En matière de sécurité des système d'information il existera toujours
une nouvelle forme d'attaque, car le domaine évolue vite et qu'il est difficile d'anticiper toutes les menaces.
2/ Le renseignement. Tout comme les actions militaire, la veille technologique sur les nouveaux produits, des
attaques ou des menaces va permettre d'anticiper les malveillances en confirmant ou infirmant des hypothèses
pour éviter l'effet de surprise. Le renseignement est la première ligne de défense : depuis l’information sur les
menaces effectives, la détection d’agissements souvent précurseurs d’attaques, jusqu’à toute détection non
seulement d’attaques avérées et identifiées, mais encore de tout comportement « anormal » et donc suspect56
3/ L'interaction entre les mesures de sécurité. Les mesures mises en place pour assurer une défense en
profondeur sont de différente natures : techniques, organisationnelles ou humaines. En effet comme évoqué
55
56
La défense en profondeur appliquée aux systèmes d'information version 1.1 DCSSI, 19/07/2004, 51 pages

précédemment chaque composant doit être sécurisé, mais il important de souligner que cette sécurité doit être
considérée dans un ensemble cohérent pour faire face aux menaces.
Pour résumer, pour qu'il ait défense en profondeur il faut un minimum de 2 lignes de défense,
indépendantes capables de se défendre contre plusieurs attaques (une ligne assure seule sa propre défense). La
perte d'une ligne de défense est prévue et impliquera une ligne de défense plus difficile à franchir. Ensuite il est
nécessaire que ces lignes de défenses coopèrent entre elles de manière synergique (l'ensemble des lignes de
défenses présente une force de défense supérieure à la somme de défense de chacune des lignes)
Illustration du concept de défense en profondeur appliqué au SI BIM
Le concept de défense en profondeur obéit aux principes généraux suivants :

GLOBALITE La défense doit être globale, ce qui signifie qu’elle englobe toutes les
dimensions du système d’information :
a) aspects organisationnels ;
b) aspects techniques ;
c) aspects mise en œuvre.
COORDINATION La défense doit être coordonnée, ce qui signifie que les moyens mis en
place agissent :
a) grâce à une capacité d’alerte et de diffusion ;
b) à la suite d’une corrélation des incidents.
DYNAMISME La défense doit être dynamique, ce qui signifie que le SI dispose d’une
politique de sécurité identifiant :
a) une capacité de réaction ;
b) une planification des actions ;
c) une échelle de gravité.
SUFFISANCE La défense doit être suffisante, ce qui signifie que chaque moyen de
protection (organisationnel ou technique) doit bénéficier :
a) d’une protection propre ;
b) d’un moyen de détection ;
c) de procédures de réaction.

COMPLETUDE La défense doit être complète, ce qui signifie que :

a) les biens à protéger sont protégés en fonction de leur criticité ;
b) que chaque est protégé par au minimum trois lignes de défense ;
c) le retour d’expérience est formalisé.
DEMONSTRATION La défense doit être démontrée, ce qui signifie que :
a) la défense est qualifiée ;
b) il existe une stratégie d’homologation ;
c) l’homologation adhère au cycle de vie du système d’information.
Tableau des principes caractérisant une défense en profondeur57
En matière de sécurité des systèmes d'informations l'habitude la plus dangereuse est de se reposer sur
une fausse assurance. Par exemple faire reposer la sécurité d'un système d'information est une erreur
d'appréciation souvent rencontrée. De même penser qu'une solution technique de sécurité de type pare-feu
antivirus ou logiciel de chiffrement est un remède universel serait illusoire. Il n'existe pas de remède universel
contre les cyberattaques. Une démarche saine consiste à gérer l'incertitude, maintenir une inquiétude raisonnée et
entretenir une véritable vigilance.
Remarque : La stratégie de défense en profondeur appliquée au système d'information a été théorisée

en 2004 par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) dans le mémento: La
défense en profondeur appliquée aux systèmes d'information version 1.1. En pratique dans le domaine de la SI,
ce modèle n'est appliqué que partiellement car dédoubler tous les contrôles de sécurité est pratiquement
impossible. Il est d'ailleurs préférable de consolider plusieurs contrôles de sécurité dans un composant réservé à
cette fin. Ce composant devra être considéré comme étant sûr par l'ensemble du système d'information.
--------------------------------------------------------
Ce second chapitre à permis de dresser les premières recommandations que j'estime

indispensables. Ce chapitre est non exhaustif. Il mériterait d'être complété au fur et à mesure par
l'ensemble des acteurs du secteur de la construction. Le but étant d'obtenir à terme des
recommandations communes prenant en compte les spécificité de chacun des métiers.
Il faut retenir que le besoin de sécurisation peut être initié par un maitre d'ouvrage qui craint
pour la sécurité de la maquette numérique et du bâtiment réalisé. Un cadre contractuel apparait comme
indispensable à ce moment là. Ce besoin de sécurisation peut également être initié de manière
autonome par l'ensemble des acteurs voulant se protéger d'un risque de contagions provenant des
partenaires les moins protégés. Il faut retenir qu'il n'existe aucune défense parfaite, mais un grand
nombre de risque peut être évité grâce à quelques mesures simples à mettre en place. Celle-ci pouvant
être complétées par une démarche plus profonde de gestion du risque. Cette démarche commençant
par une cartographie du SI pour déterminer les éléments critiques à protéger (périmètre de
sécurisation). Cette démarche aboutissant par la mise en place d'un système de défense en profondeur
dont l'objectif est de retarder et décourager les cyberattaques. Une méthode permet d'y aboutir, c'est la
méthode EBIOS RM 2018.
L'objet du chapitre suivant sera une application de mes recommandations à travers un cas
d'étude simple. Une agence d'architecture souhaite évaluer les risques liés à son SI. Lors de la
soutenance je vous présenterai une étude complémentaire plus globale et axée sur l'évaluation du
processus BIM en lui même.
57

CHAPITRE 3 ETUDE DE CAS

Le BIM est un processus de projet se basant sur la création et l'exploitation d'un avatar
numérique d'un bâtiment. Cet avatar numérique prend la forme d'une maquette numérique et peut être
considéré comme un modèle d'information généré par la collaboration de différents spécialistes métier
au cours du cycle de vie du bâtiment. La maquette numérique constitue le bien le plus précieux et donc
le plus sensible. De ce fait la sécurisation du processus BIM devra prendre en compte deux
dimensions.
1/ La sécurisation du processus projet c'est-à-dire le processus BIM.
Le processus projet BIM est "l'environnement" au sein du quel la maquette numérique subira
le plus d'intervention. La sécurisation du projet doit prendre en compte toutes les étapes de ce dernier.
Elle tendra à appliquer une démarche d'amélioration continue et à respecter les impératifs juridiques,
normatifs et contractuels (voir chapitre1); et à responsabiliser l'ensemble des acteurs via une culture
cyber commune et à l'application d'une hygiène numérique élémentaire. Ainsi un processus projet
sécurisé diminuera les risques d'attaque sur la maquette numérique. Cette dimension sera abordée au
cours de la soutenance. Elle s'attachera à évaluer les risques du processus projet BIM, qui a ses propres
particularités. Une approche globale de l'analyse des risques sera mise en œuvre. L'étude portera
exclusivement sur un projet BIM niveau 2, constituant en 2019 la majorité des projet BIM. L'iso
19650 partie 2 et le processus de marché public en loi MOP aidera à modéliser ce processus, afin d'en
réaliser une analyse de risque.
2/ La sécurisation des systèmes d'informations c'est-à-dire la maquette numérique et les SI des
spécialistes métiers.
Une cyberattaque à pour objectif d'atteindre la donnée ou le système qui la sous-tend. La
maquette numérique est un modèle de donnée d'un bâtiment constitué d'un ensemble d'informations
structurées par un format particulier, le format IFC (format générique). Ces informations sont
enrichies par différent spécialiste métier au cours du cycle de vie du bâtiment. Sécuriser une maquette
numérique consiste à sécuriser les données qui y sont attachées, en veillant à garantir leurs niveaux de
disponibilité, d'intégrité, et de confidentialité. Ce troisième chapitre s'attachera à évaluer les risques
liés à la maquette numérique. Une approche globale de l'analyse des risques sera mise en œuvre.
L'étude portera exclusivement sur un projet BIM niveau 2, constituant en 2019 la majorité des projet
BIM. Un projet mené en BIM niveau 2 suggère que chaque spécialiste métier crée sa propre maquette
à partir des informations tirées des maquettes numériques des autres acteurs du projet. Les différentes
maquettes sont ensuite comparées, synchronisées, enrichies puis fusionnées. Une vigilance sera
accordée à la modélisation des caractéristiques minimales d'un SI chez les spécialistes métier.
Ce troisième chapitre tendra à illustrer la démarche de gestion des risques numériques à

travers un cas d'application : l'agence d'architecture Wattstudio, qui souhaite évaluer les risques liés à
son système d'information et à l'usage du BIM. Pour ce faire je m'aiderai de la méthode EBIOS 2018
RM, reconnue dans le milieu numérique et vue dans le chapitre précédent.
Dans un premier temps, une cartographie de l'entreprise Wattstudio sera établie. Cette étape
est indispensable. Elle permet de réaliser l’inventaire patrimonial du système d’information, à savoir la
liste des composants du SI et leur description détaillée, et de présenter le système d’information sous
forme de vues, à savoir des représentations partielles du SI, de ses liens et de son fonctionnement.
Elles visent à rendre lisibles et compréhensibles les différents aspects du système d’information. Enfin
j'appliquerai la méthode EBIOS via ses 5 ateliers.

Rappel : L'application d'une démarche de gestion des risques des SI pour un projet BIM est un travail
d’expert à part entière. L'étude de cas suivante n'est pas exhaustive et n'est qu'une expérimentation de la
méthode EBIOS 2018 RM. Le nom de Wattstudio, donné à la société fictive dont il est question dans ce
document, a été inventé et n'est utilisé que pour présenter une étude de cas du déroulement de la méthode
EBIOS. Cette partie s'appuie sur l’étude de cas @rchimed, illustrant la méthode EBIOS 2010 et réalisée par
l'ANSSI 58.
3.1 ATELIER 0 : CARTOGRAPHIE DE L'ENTREPRISE

Remarque : Au préalable à tout étude d'évaluation des risques il est indispensable d'entreprendre une
cartographie de l'écosystème de l'entreprise, de son système d'information, et de ses connexions avec l'extérieur.
Ceci dans le but de définir l'objet de l'étude sur lequel viendra s'appliquer l'analyse de risque (voir chapitre 2
partie 2.1.1).
3.1.1 ACTIVITE
La société Wattstudio est une agence d'architecture multidisciplinaire ayant fondée sa culture sur l'usage
des outils du numérique. Cette PME lyonnaise est constituée d’une douzaine de personnes. L'agence a bâti sa
réputation grâce à des solutions architecturales originales basées sur des techniques innovantes. L'entreprise
concourt pour de grands projets nationaux ou internationaux.
La société Wattstudio réalise des plans de bâtiment civil et militaire, en marché privé ou public sous loi
MOP en mission complète (de la phase FAISA à AOR). Pour cela, elle s'appuie sur la démarche BIM en
élaborant de manière collaborative une maquette numérique avec ses collaborateurs. Elle s'appuie aussi sur des
algorithmes d'aide à la conception brevetés. L'agence s’appuie pour cela sur son système informatique. Elle
attache également une importance extrême à la qualité des documents remis et plus précisément aux maquettes
numériques qu'elle place au centre de sa production. Enfin, son site Internet à été conçu pour être la vitrine de
l'agence. Chaque projet est visitable à travers des maquettes numériques sur la page Web.
3.1.2 CLIENTELE
Cette entreprise compte de nombreux clients, privés ou publics, ainsi que plusieurs professionnels du
bâtiment. L’entreprise a dernièrement perdu un marché : la rénovation d'un bâtiment public. Lors de la
présentation des projets, il est apparu de curieuses similitudes entre la maquette numérique Wattstudio et la
proposition d’un concurrent de Nice. Le directeur de Wattstudio soupçonne une compromission du projet qu’il
avait présenté. Il a maintenant des craintes sur la confidentialité de certains projets, voir de la confidentialité du
code des algorithmes.
D’autre part, de plus en plus de contrats pour lesquels Wattstudio se positionne sont conditionnés par la
capacité à assurer l'intégrité et la confidentialité relative aux aspects techniques du projet. Par exemple, l’appel
d’offre pour la rénovation de certaines installations de la marine nationale entre dans ce cadre.
L'ensemble des projets sont menés en BIM niveau 2 de ce fait une grande place est faite à la
collaboration. Cependant la nature confidentielle des projets qu'elle réalise, notamment pour la marine nationale,
pousse l'agence à réinterroger sa pratique afin de sécuriser les informations de ces projets sensibles.
3.1.3 ORGANIGRAMME
Wattstudio est divisé en 4 entités :
1/ La direction :
1 chef d'entreprise, architecte de formation. Il gère les dossiers clients. Il est le seul à traiter avec
l'extérieur. Il est garant de l'image de marque de l'agence. Il fixe les grandes lignes des différents projets et
58
ANSSI, EBIOS etude de cas @rchimed, France, ANSSI, 25/01/2010,64 pages,
https://www.ssi.gouv.fr/uploads/2011/10/EBIOS-EtudeDeCas-Archimed-2010-01-25.pdf

collabore étroitement avec le service architecture et BET interne. Il est chargé des négociations et fixe les
honoraires de l'agence.
1 assistante de direction en charges de la comptabilité (devis, coûts, fiches salaires ...). Elle compose les
dossiers administratifs d'appel d'offre.
2/ Service architecture :
4 architectes, ils gèrent l'élaboration des projets BIM niveau 2 de la phase FAISA au AOR. Ils assurent
tous les documents nécessaires aux différents rendus pour le client. Ils fournissent les documents aux différents
jalons (Permis de construire, pièces DCE, réserves ...). Ils assurent la collaboration avec le service BET interne.
Ils endossent une fonction de BIM managers. Ils assurent les suivis de chantier.
3 assistants-architectes, principalement ils modélisent la maquette numérique, en s'aidant d'algorithme
d'aide à la conception brevetés par l'agence.
3/ Service BET :
2 ingénieurs, 1 structure et 1 fluide. Ils gèrent l'élaboration des projets BIM niveau 2 de la phase APD
au AOR. Ils assurent tous les documents nécessaires aux différents rendus pour le client. Ils fournissent les
documents aux différents jalons (Permis de construire, pièces DCE, réserves ...). Ils assurent la collaboration
avec le service architecture. Ils assurent les suivis de chantier. Ils établissent les calculs de résistances de
structure et le dimensionnement des différents réseaux.
4/ Service informatiques et web:
1 ingénieur informatique chargé de l'administration du réseau, de la mise à jour du site et du
développement des différents algorithmes d'aide à la conception. Il travail sur un projet d'algorithme nouvelle
génération permettant la génération automatique de plan grâce à l'IA.
Organigramme de la société
Le choix du périmètre de l'étude de risque se portera sur le cœur de métier de Wattstudio. C'est à dire la
gestion des projets BIM niveau 2 avec l'ensemble des collaborateurs extérieurs. La gestion des projets BIM
niveau 2 sert à la production des maquettes numériques, la production des livrables pour les différents jalons, les
notes de calculs... La gestion des relations commerciales sert à l'établissement des fiches clients, des devis,
estimatifs projets ... La gestion informatique et web sert au maintien de la SI de Wattstudio, la gestion du site
web, et le développement des différents algorithmes. La gestion administrative est écartée du périmètre de
l'étude de risque.
L'agence Wattstudio comporte beaucoup d'interfaces. Les clients, les partenaires et les hébergeurs web
par interface interpersonnelle, téléphone, mail et connexion web (HTTP SMTP) vers plateforme BIM.

Les principaux processus métiers de Wattstudio
3.1.4 SYSTEME INFORMATIQUE
Le SI de Wattstudio est composé de deux réseaux locaux, un wifi servant pour l'ensemble de l'agence et
un Ethernet servant à cloisonner les études des projets BIM.
Matériel : L’informatique de la société est relié par un réseau Wifi et le BET interne + le service
architecture dispose d’un réseau local de type Ethernet. Le site Internet est hébergé sur un serveur externe. La
direction possède 2 ordinateurs et un kit de nomadisme composé d'un smartphone, une tablette, et ordinateur
portable. Le BET possède 1 ordinateur par personne et 1 kit nomade par personne. Le service architecture 1
ordinateur par personne et 4 kits nomade. Le service informatique d'un ordinateur administrateur et de
développement, et d'un serveur pour le réseau interne. Le service site web est hébergé sur un serveur externe.
Logiciels : Le cabinet a acquis des logiciels : la suite Autodesk (Revit/Robot/BIM360/CADMEP...)
pour réaliser de manière collaborative les maquette numérique. La suite Adobe pour la réalisation des documents
de communication (photoshop, illustrator, indsign ...). Un ensemble d'application pour tablette (gestion chantiers,
armoire à plans ...). Ces outils sont le fruit d'un lourd investissement de la part de l'agence. L'ensemble des
ordinateurs sont équipés d'une suite de bureautique et de messagerie. L'ensemble des ordinateurs fonctionnent
sous Windows 8. Les tablettes et smartphones pros fonctionnent sous OS (Apple).
L'ensemble des actifs informationnels de l'agence sont créés, traités et stockés sur le SI avec deux
particularités. La première est que les données des projets sont partagées sur une plateforme BIM extérieure. La
seconde est que pour la gestion des projets, des salariés sont amenés à travailler à l'extérieur (chantier, synthèse
...) pour cela l'agence met à disposition des kits nomades (laptops pro, tablettes pro, smartphones pro). Ces kits
nomades sont utilisés au sein de l'agence sur le réseau wifi et à l'extérieur de l'agence.

Carte général du SI

Carte technique sommaire du système d'information sans protection
La cartographie de l'état des lieux du SI Wattstudio fait apparaitre plusieurs enjeux :

+ Sécuriser les ouvertures vers l'extérieur.
+ Assurer la protection des projets sensibles.
+ Assurer la protection de la R et D
+ Sécuriser le processus collaboratif.

De ces enjeux, des améliorations primaires peuvent être apportées au SI de Wattstudio :

+ Afin de garantir la disponibilité des informations plusieurs mesures de protection et de prévention doivent être
mises en place : Redondance des serveurs interne, politique de sauvegardes.
+ Afin de garantir la confidentialité des informations plusieurs mesures de protection et de prévention doivent
être mises en place : Contrôle des accès, firewall, détection des intrusions, VPN, chiffrement
+ Afin de garantir l'intégrité des informations plusieurs mesures de protection et de prévention doivent être mises
en place : Journalisations, chiffrement.
Carte technique sommaire du système d'information avec mesures de protections et préventions.

3.1.5 ELEMENTS DE CONTEXTE

Sécurité générale :
Certaines mesures de sécurité générale sont installées au sein de WattStudio :
+ Moyens réglementaires de lutte contre l’incendie.
+ Consignes de fermeture à clé des locaux (sans contrôle des accès).
+ Climatisation.
+ Alarme anti-intrusion active durant les heures de fermeture (19h-7h).
+ Service de nettoyage de 7h à 8h.
+ Les bureaux se situent en centre-ville, la direction est située au premier étage d’un immeuble ; les BET, le
service architecture et informatique, sont au rez-de-chaussée.
+ Les clients sont reçus dans les locaux de direction, et les visites se font dans l'ensemble des locaux (pour
démonstration).
+ Le serveur central situé dans une pièce isolée, contiguë au bureau d’étude, bénéficie d’une alimentation
secourue ; c’est dans cette pièce que sont également disposées les imprimantes.
Sécurité du système d'information :
L'agence compte appliquer le guide d'hygiène des SI de l'ANSSI. Il n'existe pas de charte informatique,
ni de politique de sécurité, seulement quelque règle.
+ Contrôle d’accès se fait par identifiant /mot de passe libre
+ Principe de sauvegarde de tout fichier sur le serveur interne : chaque personne est responsable du fichier qu’il
traite, les fichiers sont sauvegardés sur le serveur interne et sauvegardés en clone sur des disques USB stockés
dans une armoire fermant à clé, située dans le local de direction.
+ Documents papiers stockés dans une armoire forte du service architectural.
Conjoncture :
L'implémentation du SI s’est effectuée avec succès et a permis d'optimiser les délais des études et à
réduire les erreurs grâce au BIM niv2. Wattstudio développe des algorithmes d'aide à la conception qui lui offre
un avantage concurrentiel. De plus Wattstudio envisage de développer une plateforme de relation client où ils
pourront suivre le développement de leurs projets et gérer la communication directement avec les experts
bâtiments (BET et architectes).
Wattstudio travaille de façon très ouverte. Or, seuls les BET et les architectes peuvent accéder aux
logiciels de conception et de modélisation. Un programme de formation a été mis en place pour ces experts.
Chacun est conscient de ses responsabilités financières, civiles et pénales associées à l'usage des informations
qu’il manipule : dossier client, données nominatives…
L'agence assure des projets confidentiels pour la marine notamment. Or l'entreprise suspecte la
compromission d'un projet qu'elle a présentée lors d'un concours, (rénovation d'une mairie). Elle craint pour la
confidentialité de certain de ses projets.
Le choix d’une étude de sécurité s’impose donc pour, d’une part, déterminer les conditions qui
permettent l’ouverture du système informatique vers l’extérieur et d’autre part pour déterminer les mesures de
sécurité nécessaires à la protection des projets sensibles.
A l'issue de l'atelier 0 l'organisation de wattstudio a été décrite, ce qui a permis de définir le périmètre
métier de l'agence. Nous constatons que le cœur de métier de l'agence est la conception et la réalisation de
projets architecturaux sous BIM niv 2. Pour cela 3 groupes collaborent :
+ Le groupe gestion de projet (BET+archi) : ils conçoivent tous les projets confidentiels et non confidentiels de
l'agence. Ils s'appuient pour cela sur des algorithmes "maison" d'aide à la conception et de maquettes numériques
qu'ils partagent avec les partenaires extérieurs du projet (entreprise BTP, spécialistes, BIM manager ...). Ils sont
en charge d'éditer et de partager l'ensemble des livrables des projets (dossier concours, permis de construire,
DCE ...). Ce groupe possède un réseau informatique Ethernet cloisonné du réseau WIFI de l'agence. Ils
possèdent des Laptop, Ipad et Iphone professionnels pour pouvoir travailler à l'extérieur de l'agence (chantier,
clients, visite de site ... )
Valeurs métier retenues :
Gestion de projet : Modélisation des maquettes numériques et calcul technique en BIM niveau 2.
Gestion de projet : Création et partage des livrables
+ Le groupe de gestion Web et développement informatique : Ce groupe gère l'hébergement du site Web,
l'administration du SI, le développement des algorithmes "maison" d'aide à la conception., et le futur
développement de la plateforme relation-client. Ce groupe a accès à l'ensemble du SI de Wattstudio.
Développement informatique : Développement de la plateforme relation client et algorithme.

+ Le groupe de gestions relations commerciales : Ce groupe a pour objectif d'établir les honoraires de l'agence
pour les appels d'offre et d'estimer les coûts de réalisation des projets. Ce groupe a uniquement accès au réseau
WIFI de l'agence.

Gestion relations commerciales : Honoraire, coût de projet
A l'issue de l'atelier 0, un inventaire technique des éléments du SI de Wattstudio a été établi. De
nombreuses vulnérabilités existent et certaines mesures de protection élémentaire peuvent dans un premier temps
être misent en place. Par exemple lorsqu'un architecte part à l'extérieur et est amené à utiliser le Laptop pro, la
connexion vers le serveur interne à Wattstudio doit passer par des filtres (Firewall+VPN) garantissant la
confidentialité des informations, et le contrôle des accès.
L'atelier suivant évaluera la gravité des menaces pouvant s'exercer sur les différentes valeurs métier de
Wattstudio.
3.2 ATELIER 1 : CADRE ET LE SOCLE DE SECURITE

Pour cet atelier veuillez vous référer à l'annexe 5 rapport de sécurité - Wattstudio - atelier 1 qui
condense l'ensemble des illustrations. La partie "définition du cadre" est hypothétique et n'a que peu de valeur.
Ce faisant cette partie ne sera pas décrite. La partie "périmètre de l'étude" a été décrite dans la partie 3.1Atelier 0.
RAPPEL : Le risque : Un risque est constitué dès lors qu'une menace parvient à exploiter une vulnérabilité sur
un actif en contournant les mesures de protection.
Il convient donc de définir au préalable les différents critères de sécurité et d'évaluer leurs niveaux
d'échelle. Ces trois critères retenus sont : la disponibilité de l'information, intégrité de l'information et
confidentialité de l'information.
CRITERE DE SECURITE Définitions
Propriété d'accessibilité au moment voulu des biens

Disponibilité essentiels. (exemple : information inaccessible,
interruption totale ou partielle de service,
impossibilité de réaliser une phase d’un processus)
Propriété d'exactitude et de complétude des biens
Intégrité essentiels. (exemple : falsification ou modification
d’une information, détournement d’usage d’un service,
altération d’un processus)
Propriété des biens essentiels de n'être accessibles
Confidentialité qu'aux utilisateurs autorisés. (exemple : divulgation
d’information, accès non autorisé à un service,
compromission d’un secret)
Critère de sécurité
DISPONIBILITE Description
Le bien essentiel peut être indisponible plus de 72 heures.

Plus de 72h
Le bien essentiel doit être disponible dans les 72 heures.

Entre 24 et 72h
Entre 4 et 24h Le bien essentiel doit être disponible dans les 24 heures.
Le bien essentiel doit être disponible dans les 4 heures.

Moins de 4h
Echelle disponibilité

INTEGRITE Description
Le bien essentiel peut ne pas être intègre si l'altération est

Détectable
identifiée.
Le bien essentiel peut ne pas être intègre, si l'altération est
Maîtrisée
identifiée et l'intégrité du bien essentiel retrouvée.
Intègre Le bien essentiel doit être rigoureusement intègre.
Echelle intégrité
CONFIDENTIALITE Description
Le bien essentiel peut ne pas être intègre si l'altération est

Publique
identifiée.
Le bien essentiel peut ne pas être intègre, si l'altération est
Limitée
identifiée et l'intégrité du bien essentiel retrouvée.
Réservée Le bien essentiel doit être rigoureusement intègre.
Le bien essentiel ne doit être accessible qu'à des personnes

Privée
identifiées et ayant le besoin d'en connaître.
Echelle confidentialité
GRAVITE Description
Wattstudio surmontera les impacts sans aucune difficulté.

Négligeable
Wattstudio surmontera les impacts malgré quelques

Limitée
difficultés.
Wattstudio surmontera les impacts avec de sérieuses
Importante
difficultés.
Wattstudio ne surmontera pas les impacts (sa survie est
Critique
menacée).
Echelle gravité
VRAISEMBLANCE Description
Cela ne devrait pas se (re)produire.

Minime
Cela pourrait se (re)produire.

Significative
Forte Cela devrait se (re)produire un jour ou l'autre.
Maximale Cela va certainement se (re)produire prochainement.
Echelle vraisemblance

3.2.1 IDENTIFICATION DES MISSIONS
Le périmètre d'étude des risques repose sur la mission principale de l'agence Wattstudio : la conception
et la réalisation de projets architecturaux sous BIM niv 2. Pour cela l'agence repose sur cinq valeurs métiers
essentielles (= 5 actifs), pouvant subir trois évènements redoutés (atteinte à la disponibilité, à l'intégrité et à la
confidentialité) dont la gravité et l'impact sont évalués.
1/ VALEUR METIER : Développement informatique : développement de la plateforme relation client et

algorithme
Le développement informatique est assuré par l'ingénieur info de l'agence. Ces projets sont menés en
interne en collaboration avec les services projet BIM. Ces événements ne seront pas pris en compte pour la suite
de l'étude de risque.
Processus Informations essentielles concernées Dépositaires
Valeur métier : Développement informatique : Développement de la plateforme

relation client et algorithme
+Algo.
+Informations relatives au SI
+Gérer le contenu des pages Web
+Projet de plateforme Service Web info.
+Développement des algo. et plateforme relation-client.
+Mail
+Discussions téléphoniques
Évènement redouté Impacts Gravité
Valeur métier : Développement informatique : Développement de la plateforme

relation client et algorithme
Impacts sur le développement des
Indisponibilité de la R et D 2. Gravité limitée
projets
Altération de la R et D 2. Gravité limitée
projets
Impacts financiers
Compromission de la R et D Impacts sur le développement des 2. Gravité limitée
projets
Identification de l'évènement redouté 1
2/ VALEUR METIER : Gestion de projet : Création et partage des livrables

La création et la gestion des diffusions des livrables projets est assuré par les BET et les architectes.
L'altération des livrables est considéré avec un niveau de gravité critique car la modification d'une note de calcul
ou d'un plan EXE peut entrainer la ruine d'un bâtiment si elle n'est pas détectée. Il est question de la vie des
personnes. Au regard des projets militaires dont le caractère confidentiel doit être assuré pour des raisons de
défense nationale, la compromission des livrables (DOA papiers) peut nuire vitalement à la nation. Ces
événements seront pris en compte pour la suite de l'étude de risque.
Valeur métier : Gestion de projet : Création et partage des livrables

+Jeux de plans techniques
+Dossiers techniques
+Paramètres techniques
Création des jeux plans, des notes de calculs, des
+Notes de calculs Service BET et
différents dossiers jalon (DCE, PC ...) et maquettes
+Images de commercialisation Archi
numériques
+PV chantier
+Planning
+Décomptes financiers

+Visa
+Maquette numérique livrable
+Mail
+Discussions téléphoniques
+Envois postaux
Valeur métier : Gestion de projet : Création et partage des livrables
1. Gravité
Indisponibilité des livrables
négligeable
Impacts financiers
Impacts juridiques
Impacts sur l'image et la confiance
Impacts sur la sécurité des biens et des 4. Gravité
Altération des livrables
personnes critique
Impacts sur les missions et services de

l'organisme
Impacts financiers
Impacts juridiques
Impacts sur la sécurité des biens et des 4. Gravité
Compromission des livrables
personnes critique

l'organisme
3/ VALEUR METIER : Gestion de projet : Création et partage des livrables

La modélisation des projets via des maquettes numériques est assurée par les BET et les architectes. La
perte de disponibilité des maquettes numériques (effacement ou chiffrement) est d'une gravité importante en
impactant directement sur les capacités de Wattstudio à faire aboutir un projet. En effet l'altération des maquettes
numériques est considérée comme de gravité critique car elle impacte toute la chaine de conception et de
réalisation si elle n'est pas détectée. De plus la maquette constituant la source de la plupart des livrables, altéré
une maquette reviens à altéré également par ricoché aux livrables. Au regard des projets militaire dont le
caractère confidentielle doit être assuré pour des raison de défense nationale, la compromission des maquettes
numériques peu nuire vitalement à la nation. Ces événements seront pris en compte pour la suite de l'étude de
risque.
Valeur métier : Gestion de projet : Modélisation des maquettes numériques et

calcule technique en BIM niveau 2
+Modèle IFC
+Modélisation de maquette numérique de
+BEP BIM
conception. Service BET et
+Paramètres techniques
+Gestion collaborative du projet via plateforme Archi
+Données de paramétrage
BIM.
bâtiment.

+Charte maquette numérique.

+Administration de la plateforme
+Mail
+Discussions téléphonique
+Envois postaux
+Base de données d'objet BIM
+Base de données ancienne
maquette
Valeur métier : Gestion de projet : Modélisation des maquettes numériques et calcul technique
en BIM niveau 2
projets
Impacts sur l'image et la confiance 3. Gravité
Indisponibilité de la maquette numérique
Impacts financiers importante
l'organisme
Impacts financiers
Impacts juridiques
Impacts sur la sécurité des biens et des
Altération de la maquette numérique personnes 4. Gravité critique
projets
l'organisme
Impacts financiers
Impacts juridiques
Compromission de la maquette numérique Impacts sur la sécurité des biens et des 4. Gravité critique
personnes
l'organisme
4/ VALEUR METIER : Valeur métier : Gestion relations commerciales : Honoraire, coût de projet ...
La gestion commerciale est assurée par la direction de Wattstudio. Ces informations sont importantes
dans le cadre des appels d'offre car elles constituent un des grands critères d'attribution d'un marché. Ces
événements seront pris en compte pour la suite de l'étude de risque.
Valeur métier : Gestion relations commerciales : Honoraire, coût de projet ...
+Programmes / cahier des charges

+ Info administrative de l'agence.
+Données bancaires
+ Etablissement des honoraires pour les appel d'offres.
+Base de données clients Direction
+ Estimation des coûts de construction des projet.
+Contrats
+Descriptif des honoraires
+Estimations financières

+Base de donné de prix

+Fiches techniques produit.
+Mail
+Envois postaux
Valeur métier : Gestion relations commerciales : Honoraire, coût de projet ...
Impacts financiers
Indisponibilité des devis 2. Gravité limitée
Impacts financiers

Altération des devis 3. Gravité importante
l'organisme
Impacts financiers
Compromission de devis Impacts juridiques 3. Gravité importante

5/ VALEUR METIER : Valeur métier : Gestion web : Gérer les contenus web
La gestion du site web est assurée par l'ingénieur info de l'agence. La gravité des évènements est peu
élevée. Ces événements ne seront pas pris en compte pour la suite de l'étude de risque.
Valeur métier : Développement info : Développement de la plateforme relation

client et algorithme
+Site web
+Info sur l'agence
+Gérer le contenu
+Projets Service Web info.
des pages Web
+Mail
Valeur métier : Gestion web : Gérer les contenus web
1. Gravité
Indisponibilité du site web Impacts sur l'image et la confiance
négligeable
Impacts sur l'image et la confiance 2. Gravité
Altération du site web
Impacts financiers limitée
1. Gravité
Compromission du site web
négligeable

3.2.2 LES BIENS SUPPORTS
Sans les détailler Wattstudio a retenu 5 systèmes en interactions, 3 organisations et 1 local.( La liste
complète des biens supports se situe dans l'annexe 5 rapport de sécurité - Wattstudio - atelier 1-Identification
des misions.)
Dans les locaux de Wattsudio nous avons :
SYS – Réseau interne / SYS – Sous réseau Ethernet / SYS – Sous réseau Wifi / ORG – Organisation du cabinet /
LOC – Locaux du cabinet
En relation avec Wattstudio nous avons :
SYS – Système de l'hébergeur (via Internet et par courrier électronique) / ORG – Hébergeur (via courrier papier
et discutions téléphonique) / SYS – Internet (pour des accès distants et le courrier électronique) / ORG –
Partenaire (cotraitants bâtiment, clients…)
Le schéma suivant décompose les biens supports et les positionne les uns par rapport aux autres :
Schéma des biens supports

3.2.3 SOCLE DE SECURITE
Déterminer le socle de sécurité permet d'adopter une approche par conformité. Trois sources de mesures
reconnues existent : les guides d'hygiènes info. de l'ANSSI, les textes réglementaires en vigueur et les normes
iso27XXX. Pour cette étude les mesures iso27XXX ont été utilisées comme référentiel de sécurité pour
Wattstudio. Le référentiel de sécurité choisi est présent dans l'annexe 5. Parmi ce référentiel comportant 88
mesures seules 12 mesures été appliqués au sein de WattStudio.
A l'issue de l'atelier 1, des menaces (=événement redouté) très graves pour Wattstudio ont été évaluées.
Ces menaces touches 3 valeurs métiers : la création et partage des livrables / la modélisation des maquettes
numériques et calcul technique en BIM niveau 2/ Gestion relations commerciales : Honoraire, coût de projet. Un
socle de mesure de sécurité basé sur les recommandation des normes iso 27XXX a été établi.
Le prochain atelier aura pour objectif d'identifier les différentes source de risque et leurs objectifs. Qui
ou quoi pourrait porter atteinte aux missions et valeurs métier identifiées dans l’atelier 1, et dans quels buts ?59
3.3 ATELIER 2 : SOURCE DE RISQUE
condense l'ensemble des illustrations.
La finalité de cet atelier consiste à identifier l'ensemble des personnes ou groupes de personnes
susceptible de porter atteinte à la SI de Wattstudio. Et de définir les objectifs susceptibles d'être visés par les
sources de risque. Puis la pertinence de ces différents couples source de menaces et objectifs visé sont évalués
suivant 3 critères : la motivation de la source de risque, ses ressources (financières, compétences, infrastructures
d’attaque) et sa proximité avec les activités de Wattstudio.
3.3.1 SOURCES DE RISQUES
Les profils de sources de risques peuvent être classés en 3 grandes catégories. Le premier profil
concernent les organisations structurées recherchant l’efficacité de l'attaque et disposant de moyens sophistiqués,
voire quasi illimités (États, crime organisé). Le second type de profil concernent les organisations ou groupes
guidés par une motivation idéologique et disposant de moyens significatifs mis en œuvre de façon relativement
coordonnées (terroristes, activistes). Le troisième type de profil désigne les attaquants disposant de moyens
limités mais spécialisés (individus isolés, groupes d’individus ou officines). Toutes ces catégories collaborent de
façon opportuniste entre elles. Citons l'exemple d'une organisation terroriste utilisant des supports d'un Etat par
exemple. Le tableau suivant inventorie la plupart des sources de risques susceptibles de nuire à Wattstudio. Le
tableau du guide EBIOS aide à inventorier les différentes source de risque. 60
Source de risque Description
États, agences de renseignement.

Attaques généralement conduites par des professionnels, respectant un
calendrier et un mode opératoire prédéfini. Ce profil d’attaquant se
caractérise par sa capacité à réaliser une opération offensive sur un temps
long (ressources stables, procédures) et à adapter ses outils et méthodes à la
Etat malveillant
topologie de la cible. Par extension, ces acteurs ont les moyens d’acheter ou
de découvrir des vulnérabilités jour zéro (0-Day) et certains sont capables
d’infiltrer des réseaux isolés et de réaliser des attaques successives pour
atteindre une ou des cibles (par exemple au moyen d’une attaque visant la
chaîne d’approvisionnement).
59
ANSSI, EBIOS RISK MANAGER, France, ANSSI, 12/2019, 91 pages, p.18
60
ANSSI, EBIOS RISK MANAGER, supplément France, ANSSI, 12/2019, 91 pages, p.22
https://www.ssi.gouv.fr/uploads/2018/10/fiches-methodes-ebios_projet.pdf

Source de risque Description
Agences concurrentes.
Attaque menée par des « cyber mercenaires» dotés de capacités informatiques
Concurrent généralement élevées sur le plan technique, avec un but lucratif. De tels
groupes peuvent s’organiser en officines spécialisées proposant de véritables
services de piratage.
Aucune intention de nuire, mais les vulnérabilités de leurs SI les expose à de
nombreuses attaques. (Non respect du guide d'hygiène info).
Partenaires-Collaborateur Le risque est qu'un partenaire infecté devienne une porte d'entrée pour une
infection plus globale et notamment chez les entreprises avec qui elles
collabore.
Infection du SI par un ou des malwares.
Malwares non ciblé
Attaque non ciblée affectant le fonctionnement de l'agence.
Maladie Contamination de l'agence, provoquant sa fermeture partielle.
Employés peu sérieux Non respect du guide d'hygiène info, mauvaises manipulations ...
Inventaire des différentes sources de risque.
3.3.2 OBJECTIFS VISES
Les trois réseaux de l'agence constituent les objectifs principaux d'une attaque en menaçant directement
Wattstudio. Internet, les SI des partenaire et la plateforme de collaboration BIM, constituent les objectifs
secondaires d'une attaque car menacent de manière indirecte WattStudio. Ces différentes sources de risque
menacent la disponibilité, l'intégrité et la confidentialité des informations. Il y a en tout 20 objectifs qu'une
source de risque peut atteindre.
3.3.3 GRILLE D'EVALUATION DES COUPLES SOURCE DE RISQUE (SR) ET OBJECTIFS

VISES (OV)
La pertinences des couples SR/OV est évalué suivant trois critères la motivation de la source de risque à
atteindre son objectif ; ses ressources (financières, compétences, infrastructures d’attaque) ; son activité (est-elle
active dans le périmètre de l’objet de l’étude, dans l’écosystème, dans l’industrie concernée, dans une industrie
similaire, etc.).
Le tableau suivant synthétise l'évaluation de la pertinence des couples SR/OV. Seul les couples ayant
une pertinence forte et maximale sont retenus.
√ Source de risque Objectif visé Motivation Ressources Activité Pertinence
SR7 - Malware non OV1 - Menaces sur le réseau interne

++ + + 1. Minime
ciblé causant une indisponibilité
SR6 - Employé peu OV2 - Menaces sur le réseau interne 2.
+ ++++ ++++
sérieux causant une altération Significatif
√ SR5 - Etat malveillant OV3 - Menaces sur le réseau interne +++ ++++ + 3. Forte
causant une compromission
SR7 - Malware non OV4 - Menaces sur le sous réseau Ethernet
++ + + 1. Minime
√ SR6 - Employé peu OV5 - Menaces sur le sous réseau Ethernet

+ ++++ ++++ 3. Forte
sérieux causant une altération

√ Source de risque Objectif visé Motivation Ressources Activité Pertinence
√ SR12 – Concurrent OV6 - Menaces sur le sous réseau Ethernet

++++ +++ ++++ 4. Maximal
SR7 - Malware non OV7 - Menaces sur le sous réseau Wifi

++ + + 1. Minime
SR6 - Employé peu OV8 - Menaces sur le sous réseau Wifi

+ +++ ++++ 3. Forte
sérieux causant une altération
√ SR12 – Concurrent OV9 - Menaces sur le sous réseau Wifi

++++ +++ ++++ 4. Maximal
OV10 - Menaces sur l’organisation 2.

SR10 – Maladie + +++ +
Wattstudio causant une indisponibilité Significatif
SR6 - Employé peu OV11 - Menaces sur l’organisation 2.

+ + ++++
sérieux Wattstudio causant une altération Significatif
√ SR11 - Personnel OV12 - Menaces sur l’organisation

+++ ++++ ++++ 4. Maximal
d'entretiens Wattstudio causant une compromission
SR15 - Fournisseur OV13 - Menaces sur Internet causant une 2.

+ ++++ +
d'accès internet indisponibilité Significatif
OV15 - Menaces sur Internet causant une

SR12 – Concurrent ++++ +++ +++ 3. Forte
compromission
SR14 - Partenaires- OV16 - Menaces sur un partenaire causant 2.

+ + ++++
Collaborateurs une indisponibilité Significatif
SR14 - Partenaires- OV17 - Menaces sur un partenaire causant

+ +++ ++++ 3. Forte
Collaborateurs une altération
SR14 - Partenaires- OV18 - Menaces sur un partenaire causant
+ +++ ++++ 3. Forte
Collaborateurs une compromission
SR15 - Fournisseur OV19 - Menaces sur la plateforme de
+ ++++ ++++ 3. Forte
d'accès internet collaboration causant une indisponibilité
√ SR14 - Partenaires- OV20 - Menaces sur la plateforme de

+ +++ ++++ 4. Maximal
Collaborateurs collaboration causant une altération
√ SR5 - Etat malveillant OV20 - Menaces sur la plateforme de ++ ++++ ++++ 3. Forte
collaboration causant une compromission
Evaluation des couples SR/OV
Les différents couples SR/OV sont analysés plus finement via des diagrammes radar. La distance
radiale correspond au niveau de pertinence évalué pour l’élément (plus les cercles sont proches du centre, plus ils
sont estimés dangereux pour l’objet de l’étude). La sélection des couples SR/OV est réalisée en privilégiant des
couples situés près du centre et suffisamment éloignés les uns des autres, afin de disposer d’un panel de sources
de risque et d’objectifs visés variés. Ainsi 7 couples SR/OV sont retenus pour la suite de l'étude.

Diagramme radar de pertinence des source de risque
Diagramme radar de pertinence des source de risque

3.4 ATELIER 3 : SCENARIOS STRATEGIQUE

condense l'ensemble des illustrations.
L’objectif de l’atelier 3 est de disposer d’une vision claire de l’écosystème, afin d’en identifier les
parties prenantes les plus vulnérables. Un écosystème est l'ensembles des partenaires gravitant autour de
Wattstudio mais contribuant à la conception et à la réalisation des projet en BIM. En effet de plus en plus de
mode opératoire d'attaque exploitent les maillons les plus vulnérables. Il s’agit ensuite de bâtir des scénarios
d'attaques éventuelles, appelés scénarios stratégiques. Ces derniers sont autant de chemins d’attaque que pourrait
emprunter une source de risque pour atteindre son objectif (cf. voir atelier 2) .
3.4.1 EVALUATION DES PARTIES PRENANTES
La première étape est de dresser un inventaire des parties prenantes externes et internes de Wattstudio.
Catégorie Partie Prenante
+ Plateforme BIM
Prestataires + Société d'entretiens
+ Formateurs
+ BIM Manager externe
+ Employés Wattstudio
+ BET externes spécialisé (Géomètres, Géothec. , Economistes ...)
Partenaires
+ Entreprises BTP
+ Services urbaines
+Marine Nationale
Clients +Maitres d'ouvrages privés
La seconde étape consiste à évaluer l'ensemble des partie prenantes par rapport à la grille d'analyse suivante.
DÉPENDANCE PÉNÉTRATION MATURITÉ CYBER CONFIANCE
Pas d’accès ou accès avec Des règles d’hygiène Les intentions de la partie
privilèges de type utilisateur informatique sont prenante ne peuvent être
à des terminaux utilisateurs appliquées ponctuellement évaluées.
Relation non nécessaire aux
1 (poste de travail, téléphone et non formalisées. La
fonctions stratégiques.
mobile, etc.). capacité de réaction sur
incident est incertaine.
Accès avec privilèges de Les règles d’hygiène et la Les intentions de la partie

type administrateur à des réglementation sont prises prenante sont considérées
terminaux utilisateurs (parc en compte, sans intégration comme neutres.
2 Relation utile aux fonctions informatique, flotte de dans une politique globale.
stratégiques terminaux mobiles, etc.) ou La sécurité numérique est
accès physique aux sites de conduite selon un mode
l’organisation. réactif.
Accès avec privilèges de Une politique globale est Les intentions de la partie
type administrateur à des appliquée en matière de prenante sont connues et
serveurs «métier» (serveur sécurité numérique. Celle-ci probablement positives.
Relation indispensable mais de fichiers, bases de est assurée selon un mode
3 non exclusive. données, serveur web, réactif, avec une recherche
serveur d’application, etc.). de centralisation et
d’anticipation sur certains
risques.
Relation indispensable et Accès avec privilèges de La partie prenante met en Les intentions de la partie
4
unique (pas de substitution type administrateur à des œuvre une politique de prenante sont parfaitement

DÉPENDANCE PÉNÉTRATION MATURITÉ CYBER CONFIANCE
possible à court terme). équipements d’infrastructure management du risque. La connues et pleinement

(annuaires, DNS, DHCP, politique est intégrée et se compatibles avec celles de
commutateurs, pare-feu, réalise de manière proactive. l’organisation étudiée.
hyperviseurs, baies de
stockage, etc.) ou accès
physique aux salles serveurs
de l’organisation.
Maturité Fiabilité
Partie prenante Dépendance Pénétration Exposition Confiance Menace Crit.
cyber cyber
Clients
Marine Nationale 3 1 3 4 4 16 0.2
Maitres d'ouvrages privé 3 1 3 1 4 4 0.8
Partenaires
Employé Wattstudio 4 4 16 1 4 4 4.0 √
BET externes spécialisé
(Géomètres, Géothec. , 4 3 12 1 3 3 4.0 √
Economistes ...)
Entreprises BTP 4 3 12 1 3 3 4.0 √
Services urbaines 4 1 4 2 4 8 0.5
Prestataires
Plateforme BIM 4 3 12 4 2 8 1.5 √
Société d'entretiens 2 4 8 1 2 2 4.0 √
Formateurs 2 2 4 2 3 6 0.7
BIM Manager externe 4 3 12 2 3 6 2.0 √
Vendeurs
VRP (fabriquant, revendeurs
1 1 1 1 1 1 1.0 √
...)
Evaluation des parties prenantes.
Le niveau de menace que représente une partie prenante est analysée plus finement via un diagramme
radar. La distance radiale correspond au niveau de menace selon l’échelle d’évaluation utilisée. Plus une partie
prenante fait peser une menace numérique importante pour Wattstudio, plus elle se situe près du centre. Ainsi les
parties prenantes situées dans les zones de danger et de contrôle seront prises en compte dans l'élaboration des
scénarios stratégiques.

Diagramme radar du niveau de menace des parties prenantes existant.
Les entreprises de BTP, les BET externes spécialisés, les employés Wattstudio, la société d'entretien, la
plateforme BIM, et les BIM managers externes sont des acteurs vulnérable susceptible d'être vecteur d'une
attaque sur Wattstudio.
3.4.2 ELABORATION DES SCENARIOS STRATEGIQUE D'ATTAQUE
L’objectif est maintenant d’imaginer des scénarios réalistes d'attaque, indiquant de quelle façon un
attaquant pourrait procéder pour atteindre son objectif. Ces scénarios dits stratégiques sont identifiés par
déduction. Dans cette démarche, l'ensemble des éléments des différents ateliers sont sollicités.
L'ensemble des 7 scénarios stratégiques sont présents dans l'annexe 5.
Par exemple pour le couple SR/OV "Un concurrent menace d'espionner Wattstudio via le réseau Ethernet (réseau
cloisonné pour la modélisation des maquettes numérique)", 2 type chemins d'accès sont possibles :
Le concurrent introduit des malware d'espionnage :
1/ En tentant de corrompre un employé de Wattstudio ou un membre de société de nettoyage pour installer par
exemple une clef usb infectée sur un PC de modélisation.
2/ En espionnant directement via des malwares les partenaires extérieurs de Wattstudio qui ont à leurs
dispositions les informations souhaitées (ex. maquette numérique d'un concours). Si le réseau de Wattstudio n'est
pas protégé, le concurrent peut infecter par ricochet l'agence en infectant un de ses partenaires.
Scénario stratégique SR12/OV6 - Un concurrent menace d'espionner Wattstudio via le réseau Ethernet
Source de risque Objectif visé Gravité proposée Gravité retenue

SR12 – Concurrent OV6 - Menaces sur le sous réseau 4. Gravité critique 4. Gravité critique
Ethernet causant une compromission
Scénarios de risque
√ R8 - Concurrent Ethernet - Vol des MN projet

Schéma d'un scénario d'attaque stratégique.
3.4.3 IDENTIFICATION DES MESURES DE SECURITE
L’objectif est maintenant d'utiliser l'ensemble du socle de sécurité (cf. atelier 1) afin de réduire le niveau
de menaces des parties prenantes. Des mesures de sécurité ont été définies en priorité pour les entreprise de BTP,
les BET externes spécialisés, les employés de wattstudio et les société d'entretiens car ils constituent des portes
d'entrée critiques pour une attaque éventuelle. Dans un second temps les mesures de sécurité sont définies pour
les BIM managers externes et la plateforme BIM. En illustration les mesures de sécurité à mettre en place pour
diminuer la vulnérabilité des employé de Wattstudio, permettent de diminuer l'exposition à plusieurs scénarios
de risque : vol des maquettes numériques par un concurrent via le réseau Ethernet ou bien modification
accidentelle des livrables projets. L'application des objectifs de sécurité permet de se protéger et de prévenir des
attaques venant de parties prenantes vulnérables. On écarte ainsi les sources de menace.
L'ensemble des application des différentes mesures de sécurité sont présentes dans l'annexe5.

Diagramme radar du niveau de menace des parties prenantes après mise en place de mesure de sécurité.
3.5 ATELIER 4 : SCENARIOS OPERATIONNELS

L’objectif de l’atelier 4 est de construire des scénarios opérationnels. C'est à dire de schématiser
techniquement les modes opératoires que pourraient mettre en œuvre les sources de risque pour réaliser les
scénarios stratégiques. Ensuite les scénarios opérationnels obtenus sont évalués en termes de vraisemblance.
3.5.1 ELABORATION DES SCENARIOS OPERATIONNELS

L'élaboration des scénarios opérationnels nécessite des compétences d'expert que je n'ai pas. J'ai donc
sauté cette étape.
3.5.2 EVALUATION DE LA VRAISEMBLANCE DES SCENARIOS OPERATIONNELS

La vraisemblance globale d'un scénario opérationnel reflète sa probabilité de réussite ou de faisabilité.
SR/OV Vraisemblance
SR11/OV12 - Un membre du personnel d'entretien menace d'espionner via les documents papiers
2. Significatif
R1 Pers. entretiens - Vol de devis
SR5/OV20 - Un Etat hostile menace espionner un équipement militaire via la plateforme BIM
2. Significatif
R2 Etat hostile - Vol des MN projet
SR12/OV9-Un concurrent menace d'espionner Wattstudio via son réseau WIFI
R3 Concurrent Wifi - Vol de devis 3. Forte

SR/OV Vraisemblance
SR5/OV3 - Un Etat hostile menace d'espionner la marine via son réseau interne
R4 Etat hostile - Vol de l'ensembles des MN de

2. Significatif
Wattstudio
SR14/OV20 - Un partenaire menace de modifier par erreur le projet
R5 Erreur partenaire - Modification de devis 2. Significatif
R6 Erreur partenaire - Modification des MN projet 4. Maximale
R7 Erreur partenaire - Modification livrables 4. Maximale
SR12/OV6 - Un concurrent menace d'espionner Wattstudio via le réseau Ethernet
R8 Concurrent Ethernet - Vol des MN projet 4. Maximale
SR6/OV5 - Un employé menace de modifier le projet par erreur via le réseau Ethernet de Wattstudio
R9 Erreur employé - Modification devis 1. Minime
R10 Erreur employé - Modification MN projet 3. Forte
R11 Erreur employé - Modification livrable 3. Forte
Ainsi le risque qu'un concurrent vole les maquettes numérique sur le réseau Ethernet est quasi certain.
En effet Wattstudio suspecte la compromission d'un projet qu'elle a présentée lors d'un concours, (rénovation
d'une mairie). Le projet d'un de ses concurrent été très similaire au sien. Elle craint pour la confidentialité de
certain de ses projets. Le concurrent peut s'appuyer sur de nombreux prestataires en lien avec Wattstudio pour
compromettre ses maquettes numériques. Ces prestataires ont un niveau d'hygiène informatique très faible et se
connecte souvent sur le réseaux Ethernet de l'agence lorsqu'ils viennent travailler dans les locaux. Et Wattstudio
n'a pas encore mis en place les dispositifs pour sécuriser son SI. La combinaison de ces facteurs aggravants rend
une opération d'intrusion et d'exfiltration de données très facile pour un attaquant et en employant un minimum
de ressource.
3.6 ATELIER 5 : TRAITEMENT DU RISQUE

Le but de cet atelier est de réaliser une synthèse des scénarios des risques identifiés et de définir une
stratégie de traitement du risque. Cette stratégie aboutit à la définition de mesures de sécurité, recensées dans un
plan d’amélioration continue de la sécurité (PACS). Les risques résiduels sont ensuite identifiés ainsi que le
cadre de suivi de ces risques.
3.6.1 SYNTHESE DES SCENARIOS DE RISQUE

L'utilisation d'un diagramme de Farmer permet de synthétiser l'ensemble des atelier 1 à 4, afin d'évaluer
l'ensembles des scénarios de risque. Nous obtenons le diagramme suivant :

Diagramme de Farmer
Légende :
R1 - Pers. entretiens - Vol de devis / R2 - Etat hostile - Vol des MN projet / R3 - Concurrent Wifi - Vol de devis /
R4 - Etat hostile - Vol de l'ensembles des MN de Wattstudio / R5 - Erreur partenaire - Modification de devis / R6
- Erreur partenaire - Modification des MN projet / R7 - Erreur partenaire - Modification livrables / R8 -
Concurrent Ethernet - Vol des MN projet / R9 - Erreur employé - Modification devis / R10 - Erreur employé -
Modification MN projet / R11 - Erreur employé - Modification livrable
3.6.2 STRATEGIE DE TRAITEMENT DES RISQUES

Sur le diagramme de Farmer nous constatons que les risques R3/R6/R7/R8/R10 et R11 doivent
impérativement être pris en compte à court terme. Quant aux risques R1 / R2 / R3 / R4 / R5 / R9 il seront traités
dans un second temps mais feront l'objet d'une surveillance.
Afin de traiter chacun des risques, l'utilisation du socle de sécurité est nécessaire (voir atelier1). Ces mesures
peuvent être décrites en 4 grandes familles d'option de traitement du risque.
1/ Mesures de réductions : elles consistent à diminuer la vraisemblance d'un risque par des mesures de
préventions. Et à diminuer la gravité d'un risque par des mesures de protections.
Par exemple les mesures de réduction d'un risque de type "divulgation d'un code secret" seraient en prévention
de ne jamais partager son code. Et en mesure de protection d'avoir un code fort (+ de 8 caractères, majuscules,
caractère spéciaux et aucun sens).
2/ Mesures d'évitements : elles consistent à ne pas effectuer l'action risquée.
3/ Mesures d'acceptations : elles consistent à effectuer l'action sans rien faire pour contrer le risque (pour des
raison de moyen par exemple). Cependant cette option implique de connaitre le risque et ses conséquences. Elles
nécessitent de mettre en place des mesures de surveillance. Elles nécessitent de mettre en place des moyens de
résilience (plan de gestion de crise).
4/ Mesures de partage : elles consistent à partager les conséquences d'un risque avec un tiers,
Par exemple les mesures de réduction d'un risque de type "vol de données" serait de mettre en place un système
d'alarme connectée à une centrale de surveillance, ou bien de contracter une police d'assurance, ou bien d'exiger
des mesures particulières chez ses partenaire grâce au contrat.

Le tableau suivant présente les options choisi de traitement de risque. L'agence wattstudio
SR/OV Option de traitement du risque
SR11/OV12 - Un membre du personnel d'entretien menace d'espionner via les documents papiers
Mesures de réduction (prévention+protection)

R1 Pers. entretiens - Vol de devis
Mesure de partage
SR5/OV20 - Un Etat hostile menace espionner un équipement militaire via la plateforme BIM
Mesure de maintien
R2 Etat hostile - Vol des MN projet
Mesure de partage
SR12/OV9-Un concurrent menace d'espionner Wattstudio via son réseau WIFI
R3 Concurrent Wifi - Vol de devis Mesures de réduction (prévention+protection)
SR5/OV3 - Un Etat hostile menace d'espionner la marine via son réseau interne
R4 Etat hostile - Vol de l'ensembles des MN de Mesure de maintien

Wattstudio Mesure de partage
SR14/OV20 - Un partenaire menace de modifier par erreur le projet
R5 Erreur partenaire - Modification de devis Mesures de réduction (prévention+protection)
R6 Erreur partenaire - Modification des MN projet Mesures de réduction (prévention+protection)
R7 Erreur partenaire - Modification livrables Mesures de réduction (prévention+protection)
SR12/OV6 - Un concurrent menace d'espionner Wattstudio via le réseau Ethernet
Mesures de réduction (prévention+protection)

R8 Concurrent Ethernet - Vol des MN projet
Mesure de partage
SR6/OV5 - Un employé menace de modifier le projet par erreur via le réseau Ethernet de Wattstudio
R9 Erreur employé - Modification devis Mesures de réduction (prévention+protection)
R10 Erreur employé - Modification MN projet Mesures de réduction (prévention+protection)
R11 Erreur employé - Modification livrable Mesures de réduction (prévention+protection)
L'ensemble de ces mesures de traitement sont ensuite échelonnées dans le temps en fonction des
moyens qu'elles nécessitent a être implémentées et la priorité du risque à traiter. Elles sont documentées dans un
PACS (plan d’amélioration continue de la sécurité) dans l'annexe 5 atelier 5. Le PACS constitue une partie du
plan de défense en profondeur de Wattstudio.

Coût /
Mesure de sécurité Éléments associés Scénarios de risque Échéance Statut
Complex
R4 - Etat hostile - Vol de

l'ensembles des MN de
wattstudio
2 - Etat hostile - Vol des MN
projet
Employé R8 - Concurrent Ethernet -
Wattstudio Vol des MN projet
BET externes
R3 - Concurrent Wifi - Vol
spécialisé de devis
(Géomètres, R5 - Erreur partenaire -
10.0 - Chiffrement des Géothec. ,
Modification de devis - de 1000
fichiers liés aux M.N. / Economistes ...) R6 - Erreur partenaire - 1 année Non appliqué
DEVIS / LIVRABLES à l'aide Entreprises BTP Modification des MN projet euros
de certificats électroniques
Plateforme BIM R7 - Erreur partenaire -
Société Modification livrables
d'entretien R9 - Erreur employé -
BIM Modification devis
Manager
externe R10 - Erreur employé -
Modification MN projet
R11 - Erreur employé -
Modification livrable
R1 - Pers. entretiens - Vol
de devis
Extrait du PACS
3.6.3 EVALUATION DES RISQUES RESIDUELS

L'ensemble des mesures mises en œuvre grâce au PACS permettra d'ici deux années de réduire
l'ensemble des risques. La cartographie du risque résiduel obtenue pourra servir de référence lorsqu'un audit ou
une certification iso sera réalisée. Elle constitue un outil d’aide à la décision pour l’acceptation des risques
résiduels. Se référer à l'annexe 5 -atelier 5 pour l'évaluation des risques résiduels par jalon.
La direction de Wattstudio a décidé de maintenir les risques R6 / R7 / R8 à un niveau résiduel de
surveillance. Concernant les risques R6 / R7, des procédures de vérification seront mises en place afin d'éviter
toutes erreurs de modifications involontaires. Des formations complémentaires seront mises en place si besoin.
Et enfin le processus de conception-réalisation BIM niv2 permet à l'ensemble des partenaires de se contrôler
mutuellement (CT, entreprises ...). Concernant le risque R8, des modification en profondeur du SI sont
nécessaires. Cependant si des maquettes numériques sont encore compromises par un concurrent la direction
envisage de mener des recours devant la justice. Ainsi la direction ne prévoit pas de nouveau plan de
financement pour la modification du SI. Elle souhaite partager le risque en contractant une police d'assurance
spéciale afin de couvrir les recours judiciaires postérieurs.

Diagramme de Farmer des risques résiduels après traitement des risques.

Légende :
R1 - Pers. entretien - Vol de devis / R2 - Etat hostile - Vol des MN projet / R3 - Concurrent Wifi - Vol de devis /
R4 - Etat hostile - Vol de l'ensembles des MN de Wattstudio / R5 - Erreur partenaire - Modification de devis / R6
- Erreur partenaire - Modification des MN projet / R7 - Erreur partenaire - Modification livrables / R8 -
Concurrent Ethernet - Vol des MN projet / R9 - Erreur employé - Modification devis / R10 - Erreur employé -
Modification MN projet / R11 - Erreur employé - Modification livrable
Risque R1 - Pers. entretiens - Vol de devis
Gravité Vraisemblance Niveau de risque

Initiale Résiduelle Initiale Résiduelle Initial Résiduel
3. Gravité 3. Gravité 2. Vraisemblable 1. Peu 2. Significatifs Négligeables
importante importante vraisemblable
Évènements redoutés concernés Mesures de traitement du risque existantes et complémentaires
8.0 - Signature d'un engagement de confidentialité par les partenaires, prestataires, les
clients
Compromission de devis
86.0 - Établissement de la liste des exigences réglementaires
87.0 - Contrôle annuel de l’application des mesures de sécurité
Extrait du tableau d'évaluation du risque résiduel après traitement des risques

--------------------------------------------------------
Ce troisième chapitre à permis d'illustrer la démarche de gestion des risques numériques

EBIOS RM2018 à travers un cas d'application : l'agence d'architecture Wattstudio. La méthode est
claire en permettant de définir clairement les acteurs, leurs rôles et interactions. Elle permet une
approche exhaustive. Alors que certaines approches d'analyse des risques s’attachent aux scénarios, la
démarche EBIOS permet de décortiquer l'ensemble des éléments constitutifs du risque (source de
risque, objectifs visés, scénarios d'attaques, socle de mesures ...). Le cadre de la démarche EBIOS
permet de faciliter une procédure de certification (iso 27001), en fournissant des éléments d'évaluation
et de contrôle du risque. Enfin la démarche s'adapte et s'ajuste à la taille de l'organisation à analyser.
Cependant une cartographie sommaire de l'organisation est nécessaire au préalable, sans quoi la
démarche EBIOS manquera d'élément d'appréciation. La cartographie a permis d'identifier en amont
des vulnérabilités majeures sur le SI de l'agence. De plus la démarche EBIOS ne fournit pas de
recommandations ni de solutions de traitement de risque. Elles doivent être établies au préalable en
s'appuyant sur le cadre de l'iso 27002, les guides de l''ANSSI, le cadre juridique, le cadre contractuel
par exemple. Enfin la démarche étant très structurées, il est recommandé de s'appuyer sur des
spécialistes certifiés EBIOS.
Ce troisième chapitre à permis d'analyser des risques menaçant un acteur majeur du BTP :
l'agence d'architecture. Cependant cet acteur intervient à un moment particulier de la vie d'un bâtiment
: la conception et la réalisation. Le BTP a la particularité de mettre en collaboration un grand nombre
d'intervenant hétérogène entre eux. L'analyse a démontré que la présence d'acteurs vulnérables,
augmentent considérablement les risques de compromission, altération et d'indisponibilité des
informations. Les niveaux de responsabilités juridiques et de garanties obligatoires de chacun des
acteurs du BTP impliquent deux nouveaux critères à prendre en compte pour une meilleure gestion du
risque : la traçabilité sure et la non répudiation de l'information.
La numérisation des acteurs du BTP, portée par l'implémentation du BIM, est une occasion
unique de remettre en perspective l'ensemble des processus de programmation-conception-réalisation-
exploitation. L'étude de cas a démontré que le BIM introduit des risques majeurs pour une organisation
et peut au regard de certains projets particuliers (OIV) mettre en danger la nation ! Ainsi une bonne
implémentation du BIM devra s'accompagner d'une démarche de gestion des risques des SI en
parallèle. Ceci est une occasion à saisir pour les nouveaux acteurs du BTP comme le BIM manager par
exemple. Cet acteur est tout désigné pour garantir la sécurité des informations d'un projet BIM.

CONCLUSION
La mise en place du BIM constitue une transformation profonde pour une organisation. Et au
regard du niveau de maturité du secteur de la construction, une révolution ! Le BIM tient ses
promesses. Ce processus commence à arriver à maturité et nous constatons des gains de qualité et de
réduction des temps, cela grâce à l'utilisation de la maquette numérique. Le collectif constitue le liant
des projets de construction et le BIM tend à le sublimer. Cependant cette transition n'est pas sans
risque et l'agence dans laquelle je travaille peut en témoigner. Cette thèse contient tous les éléments
permettant à un expert en BIM et profane en SSI de comprendre ce sujet de manière globale. Cette
thèse constitue un ensemble de recommandation et un programme d'actions à mener pour qu'une
agence puisse sécuriser sa transition numérique. En effet je me suis inspiré du processus qui a permis à
l'agence dans laquelle je travaille de renforcer la sécurisation de son SI au regard du BIM. Ce sujet est
très jeune et mériterait que des spécialistes le prennent en charge au regard des risques évoqués. Avec
le cas d'étude Wattstudio nous avons à peine pu effleurer le sujet. J'aborderai avec vous lors de la
soutenance la sécurisation du processus BIM en lui même.
Cette thèse doit être considérée comme non aboutie. L'ensemble des acteurs se doit de
s'approprier le sujet, de trop grands risques persistent et le BIM ne fait que les amplifier. Nous avons
une responsabilité envers les personnes que nous abritons. La suite des pages reste à écrire par
l'ensemble des acteurs du secteur de la construction, afin de pouvoir réussir une transition du secteur
en toute sécurité.

Thèse - BIM Et Sécurité de L'information

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Thèse - BIM Et Sécurité de L'information

Transféré par

Droits d'auteur :

Formats disponibles

2018-2019

BIM ET SECURITE DE L'INFORMATION

Tuteur Ecole : M. Christophe Castaing

Je tiens à remercier Christophe CASTAING pour m'avoir débloqué à l'amorce de la rédaction de la

Je tiens à remercier Amaury DROUX, Benjamin LAUSENAZ, Quentin FOURNIER, Jean-François

Harbi Amir – Département Génie Civil et Construction 2

Mots-clés : Sécurité des systèmes d'informations, BIM, gestion du risque

Harbi Amir – Département Génie Civil et Construction 3

Keywords: Information systems security, BIM, risk management

Harbi Amir – Département Génie Civil et Construction 4

TABLE DES MATIERES

Harbi Amir – Département Génie Civil et Construction 5

1.4.1 LES NORMES ISO 27XXX ...................................................................................................................... 29

Harbi Amir – Département Génie Civil et Construction 6

Harbi Amir – Département Génie Civil et Construction 7

LISTES DES ANNEXES

Harbi Amir – Département Génie Civil et Construction 8

Le nombre de cyberattaques ne risque pas de décroitre dans le futur. Et leurs niveaux de

Le premier chapitre établira un état de l'art de la cybersécurité au regard du BIM. Dans un

Harbi Amir – Département Génie Civil et Construction 9

Le deuxième chapitre présentera les premières recommandations que j'estime indispensables

Le troisième chapitre sera l'application de mes recommandations au cas d'étude suivant :

Harbi Amir – Département Génie Civil et Construction 10

CHAPITRE 1 ETAT DE L'ART

1.1 LES GRANDS CONCEPTS

1.1.1 SYSTEME D'INFORMATION (S.I.)

1.1.2 CYBERESPACE OU CYBER-ENVIRONNEMENT

Harbi Amir – Département Génie Civil et Construction 11

"La cyberdéfense rassemble, la cybersûreté, la cybersécurité, la cyberrésilience (lutte informatique

1.1.3.1 LE LIVRE BLANC POUR LA DEFENSE ET LA SECURITE NATIONALE

Harbi Amir – Département Génie Civil et Construction 12

Il ressort trois priorités de ce livre :

Les points d'importance vitale (PIV) :

Harbi Amir – Département Génie Civil et Construction 13

Illustration de la réparation des OIV, source http://www.sgdsn.gouv.fr/uploads/2016/10/plaquette-saiv.pdf

Harbi Amir – Département Génie Civil et Construction 14

4/ Le rôle des industries.

• isponibilité. • Intégrité. • Confidentialité.11 et de plus en plus la Traçabilité • non Répudiation

Harbi Amir – Département Génie Civil et Construction 15

1.1.5.1 CYBERATTAQUE DE MASSE

Harbi Amir – Département Génie Civil et Construction 16

1.1.5.2 CYBERATTAQUE CIBLEE

1.1.5.3 TYPE DE LOGICIEL MALVEILLANTS (MALWARE)

Harbi Amir – Département Génie Civil et Construction 17

1.1.7 DATA OU DONNEES

Harbi Amir – Département Génie Civil et Construction 18

1.1.7.2 CLASSIFICATION DE L'INFORMATION

1.1.7.3 DROITS D'ACCES

Harbi Amir – Département Génie Civil et Construction 19

1.1.7.4 CYCLE DE VIE DE L'INFORMATION

Illustration du cycle de vie d'une information, source https://www.ssi.gouv.fr/

1.1.7.5 LES RISQUES SUR LES DONNES

Harbi Amir – Département Génie Civil et Construction 20

1.2 LES DIFFERENTS ACTEURS DE LA SSI

Harbi Amir – Département Génie Civil et Construction 21

1.2.2 CNIL (Commission Nationale Informatique et Libertés)

1.2.3 CERT OU CSIRT

En novembre 1988, un étudiant de l'Université de Cornell implémenta un code malveillant dans le

Harbi Amir – Département Génie Civil et Construction 22

1.2.4 LES EXPERTS METIERS

De nombreux professionnels en sécurité des SI peuvent accompagner des entreprises ou organisation

1/ Pilotage, organisation et gestion des risques (POG)

1.3 LE CADRE LEGAL DE LA SSI