Académique Documents
Professionnel Documents
Culture Documents
THESE PROFESSIONNELLE
Département Génie Civil et Construction
Mastère Spécialisé BIM, Conception intégrée et cycle de vie du bâtiment et des infrastructures
M. Amir Harbi
REMERCIEMENTS
Je tiens à remercier ma mère pour son aide précieuse, tu as été un guide et un soutien à toute épreuve.
Sans toi cette thèse n'aurait pas abouti !
Je tiens à remercier ma compagne Amélie pour son soutien moral et son aide au quotidien, grâce à toi
j'ai pu mener à bien ce mémoire.
Je tiens à remercier l'ENPC et l'ESTP pour leurs ressources de qualité et leur encadrement toujours
bienveillant nous permettant de travailler sereinement.
Je tiens à remercier l'ANSSI, qui est une mine d'information. Les ressources documentaires de l'agence
permettent une vulgarisation du sujet des risques numériques.
Et enfin, je tiens à remercier l'ensemble des master BIM. Sans la convivialité et le support de la
communauté tant de difficultés n'auraient pu être surmontées.
RESUME
Le nombre de cyberattaques ne risque pas de décroitre dans le futur. Et leurs niveaux de sophistication
pourraient augmenter afin de cibler plus précisément une organisation ou un bâtiment par exemple. Une
organisation doit anticiper ses risques lorsqu'elle compte se numériser. L'ensemble du secteur qui se numérise
grâce au BIM n'a pas encore pris conscience des enjeux liés à la sécurité de ses systèmes d'informations. La
première particularité du secteur du BTP est qu'elle rassemble pour un projet donné un grand nombre d'acteurs
hétérogènes. Ces acteurs travaillent de manière collective et échangent leurs maquettes numériques tout au long
du processus. Il suffirait qu'un acteur vulnérable subisse une cyberattaque pour que celle ci puisse se diffuser trés
facilement et rapidement. La seconde particularité est qu'au delà de la survie d'une entreprise, les bâtiments et les
infrastructures que nous construisons sont des éléments vitaux pour les groupes d'individus. D'ailleurs, attaquer
un bâtiment n'est pas un acte anodin et constitue dans certain cas un acte de déclaration de guerre. Que penser
d'une attaque visant la maquette numérique d'un bâtiment : vol des données personnelles de l'ensemble des
locataires pour un bailleur social, modification des notes de calcul conduisant à la ruine d'un bâtiment ... La
numérisation du secteur à travers le BIM entrainera forcement des risques de cybersécurité, ayant des impacts
financiers et humains inacceptables.
ABSTRACT
The number of cyberattacks is not likely to decline in the future. And their levels of sophistication could
increase to specifically target an organization or a building for example. An organization must anticipate its risks
when it plans to digitize. The entire sector that is digitizing thanks to BIM has not yet become aware of the
issues related to the security of its information systems. The first peculiarity of the construction sector is that it
brings together for a given project a large number of heterogeneous actors. These actors work collectively and
exchange their digital mock-ups throughout the process. It would be enough for a vulnerable actor to undergo a
cyberattack so that it can spread easily and quickly. The second peculiarity is that beyond the survival of a
company, the buildings and infrastructures we build are vital elements for groups of people. Moreover, attacking
a building is not an insignificant act and in some cases constitutes a declaration of war. What about an attack on
the digital model of a building: theft of personal data of all tenants for a social lessor, modification of the
calculation notes leading to the ruin of a building ... Digitization of the sector through the BIM will necessarily
lead to cybersecurity risks, with unacceptable financial and human impacts.
INTRODUCTION
En juin 2017 une cyberattaque a failli faire fermer l'agence d'architecture où je travaillais
depuis 3 ans. Cette agence est de taille modeste. Elle compte 5 personnes, 4 architectes, et une
assistante de direction. Il y a deux ans et demi nous avons décidé d'implanter le BIM de manière
progressive. Et 6 mois plus tard au cours d'un concours nous avons subit une cyberattaque qui a eu
pour effet de détruire l'ensemble de notre base de données. Pour être précis, l'ensemble de notre base
de données a été chiffrée la rendant inutilisable. Nous avions appris plus tard que cette attaque a été
rendue possible à la suite de l'insertion d'un objet BIM corrompu dans une maquette numérique
provenant d'un de nos partenaires. Cette cyberattaque était mondiale et porte le nom de NotPetya.
La force du BIM est que ce processus améliore le travaille collectif avec ses partenaires. Mais
dans notre cas cette force s’est transformée en faiblesse lors de la cyberattaque, et a permis au virus
(caché dans l'objet de la maquette numérique) d'infecter l'ensemble des systèmes des partenaires. Cette
cyberattaque a engendré le black-out total de notre agence et de nos partenaires. Cette cyberattaque
s’est appuyée sur un virus informatique militaire russe qui a servait à l'origine à déstabiliser les
systèmes d'informations du gouvernement Ukrainien. L'agence s'en est finalement sortie car nous
avons pu récupérer notre base de données via un ensemble de sauvegarde, mais nous avions perdu le
concours. Malheureusement deux entreprises partenaires ont dû déposer bilan. Nous avions appris que
cette cyberattaque avait eu un coût financier considérable pour de grandes entreprises du secteur,
s'élevant en plusieurs centaines de millions d'euros !
Dans ce contexte j'entreprend cette thèse comme une formidable opportunité pour défricher le
sujet de la cybersécurité pour une agence d'architecture. Cette thèse est à aborder comme le carnet de
bord d'un architecte, à qui sa direction à demander d'apporter des éléments de réponse pour sécuriser
son système d'information au regard de sa transition BIM.
cybersécurité qu'une agence peut solliciter, en France. Enfin je décrirai le cadre légal et normatif de la
sécurité des systèmes d'information.
Attention cette thèse nécessite une base de connaissance en BIM pour comprendre certain des
concepts.
C'est un terme générique qui désigne un système servant à faire transiter de l'information.
L'informatique grand public s'est fortement développée à partir des années 80, générant des gains de productivité
sans commune mesure. Les unités centrales d'IBM étaient incontournables pour les entreprises. Pourtant la
saisie, le traitement et la distribution des données entre unités centrales se faisait manuellement d'un système à
un autre, via des bandes magnétiques ou des disquettes. Pour prospérer, les entreprises avaient besoin de se
passer de ce système d'information. Les ordinateurs étaient alors reliés entre eux par l'intermédiaire de
connectiques nouvelles générations. En 1996 par exemple un système informatique ressemblait à un ensemble de
terminaux reliés entre eux (Fax+téléphone+ordinateur+minitel). Internet existait mais n'était pas accessible aux
collaborateurs au seins d'une entreprise. Puis à mesure du développement de l'informatique grand public, les
particuliers s'équipèrent d'ordinateurs, et les réseaux de données se développèrent. Les ordinateurs passèrent de
boitiers autonomes à celui de systèmes interconnectés. Dans les années 90, l'infrastructure de télécommunication
se développa également. Le réseau se structura pour devenir un vaste réseau d'autoroute mondiale dans lequel
pouvait transiter de plus en plus d'informations. Les ordinateurs étaient reliés entre eux, rendant possible l'accès à
des données se situant à l'extérieur d'un PC ou sur un réseau. C'est l'internet. De nos jours avec l'apparition des
objets du connectés (avions, vidéo-surveillance, montres, smartphone ...), le réseau s'est complexifié. Notre
mode de vie actuel ne pouvant se passer d'objets connectés, au sens large, et comme une connexion à un réseau
rend possible une intrusion, tous ces éléments sont susceptibles de subir une attaque menaçant le système
d'information sur lequel ils sont reliés. Le fait d'augmenter les interconnections entre elles augmentent la surface
de cyberattaque nous rendant inter-vulnérable.
Terme apparu en 1982 dans la nouvelle Burning Chrome de W. Gibson, il représente un milieu abstrait
désignant l'ensemble des utilisateurs, réseaux, dispositifs, logiciels, processus, informations en mémoire ou en
cours de transmission, applications, services et systèmes qui peuvent être raccordés directement ou indirectement
à des réseaux. (1)
Du point de vue de l'étymologie ce terme sert à désigner l'environnement de communication menant à
l'information. Il a pour caractéristique d'être créé par l'intercommunication mondiale des ordinateurs (la toile, le
réseau, WWW).
1
Union Internationale des télécommunications, X.1205 Présentation générale de la cybersécurité, 04/2008.
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) définit dans son glossaire en
ligne le Cyberespace comme l'espace de communication constitué par l’interconnexion mondiale d’équipements
de traitement automatisé de données numériques. (2)
Le cyber-environnement ou le cyberespace possède ses propres caractéristiques "dimensionnelles".
La dimension spatiale du cyber-environnement permet à deux individus ou groupes d'individus de communiquer,
quelle que soit la distance qui les sépare et à n'importe quel moment. L'interlocuteur semble réellement présent
réduisant la notion de distance entre chaque individu. Le cyberespace est sans frontière concrète. C'est l'ubiquité
du cyberespace. Cependant les réseaux reposent sur une infrastructure de télécommunication bien réel se situant
dans des territoires délimités par des frontières. En effet dans certains pays, il est interdit de posséder ou de faire
transiter une donnée qui serait chiffrée sans permission. De nombreux Etats souhaitent contrôler les frontières
numériques pour des raisons de souveraineté nationale, de sécurité ... L'objectif étant de bannir du réseau
national tout élément nuisible aux pays.
La dimension temporelle du cyber-environnement permet des interactions instantanées. Il est possible de stocker
chez l'utilisateur, ou dans le réseau, et de "rejouer" des sessions de communication. C'est la mémoire du
cyberespace.
Les contenus des individus sont hautement volatils. Ils sont accessibles et partageables n'importe où et
n'importe quand. Ces contenus constituent le "profil" ou "l'identité" d'un individu. L'accès à ces données est
dépendant du niveau de sécurité. L'ensemble des données liées à un individu peut être représenté par un avatar
numérique.
Le cyberespace possède une double dimension : il s'agit à la fois d'un espace social de partage de biens
immatériels et de connaissances, mais aussi un support à de nombreux services critiques (comme la gestion d'une
usine via son avatar numérique).
Toutes ces caractéristiques donnent un avantage certain aux attaquants, car l'impact peut être immédiat.
L'attaquant bénéficie d'un effet de surprise très avantageux. La défense se doit d'être réactive, anticipatrice et
prospectrice.
Le cyberespace permet l'asymétrie des affrontements. Auparavant un Etat déclenchait une guerre envers
un autre Etat, une organisation affrontait une autre organisation etc... Le cyberespace permet à une organisation
d'attaquer un Etat en touchant des points névralgiques vitaux (hôpitaux, centre de traitement d'eau par exemple).
Le cyberespace permet à des Etats d'acquérir des armes cyber à moindre frais et de nuire gravement à des Etats
puissants sans armes conventionnelles qui sont extrêmement coûteuses.
1.1.3 CYBERDEFENSE
2
Page web ANSSI, consultée le 07/07/2019, https://www.ssi.gouv.fr/entreprise/glossaire/c/
3
Nicolas Ténèze, Combattre les cyberagressions, Nuvis, 2018, 578 pages (ISBN 978-2-36367-082-3), p.31.
4
Coustillère, « La défense française dans le cyberespace », Les rands ossiers de iplomatie, n°23, 10-11/ 2014.
l'espionnage et la subversion. Cette menace concerne l'ensemble des acteurs français, aussi bien économiques
qu'administratifs. Il faut noter que le premier livre blanc de la Défense et de la Sécurité Nationale de 2008
mettait déjà en évidence la menace que représentent les attaques informatiques et a ainsi permis la création de
l'ANSSI.
En résumé, le livre blanc montre que l'Etat a conscience des évolutions technologiques et cherche à assurer sa
protection dans le domaine numérique. Pour cela il prévoit un effort budgétaire nécessaire pour créer des
protections cryptographiques et des systèmes de détection d'intrusion purement français, afin de conserver
l'indépendance de la France sur ce terrain et investir dans la formation pour anticiper la demande croissante de
compétences.
1.1.3.2 OIV
L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés
parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires
d’établissements mentionnés à l’article L. 1332-2. Un opérateur d’importance vitale : exerce des activités
mentionnées à l’article R. 1332-2 et comprises dans un secteur d’activités d’importance vitale ; gère ou utilise au
titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou
l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait,
directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité
de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.
Concrètement un opérateur d'importance vitale (OIV) est, en France, une organisation identifiée par l'État
comme ayant des activités indispensables ou dangereuses pour la population. Il y en a 249 dans 12 secteurs
d'activité (5)
D'après l'article R. 1332-2 du Code de la Défense, un OIV est constitué d'activités concourant à un même
objectif : (6) Production et distribution de biens ou de services indispensables / Présenter un danger grave pour la
population.
Un opérateur d'importance vitale, tel que défini par l'article R. 1332-1 du Code de la Défense, est une
organisation qui : " exerce des activités comprises dans un secteur d'activités d'importance vitale " ;
" gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le
dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme
risquerait, directement ou indirectement : d'obérer gravement le potentiel de guerre ou économique, la sécurité
ou la capacité de survie de la Nation ; ou de mettre gravement en cause la santé ou la vie de la population ". (7)
5
Page web SGDSN, consulté le 10/07/2019, http://www.sgdsn.gouv.fr/communication/la-securite-des-activites-dimportance-
vitale/
6
Code de la Défense - Article R. 1332-2 [archive] - Légifrance.
7
Code de la Défense - Article R. 1332-1 [archive] - Légifrance.
Quelque chiffre : 9 ministres coordonnateurs / 12 secteurs d’activités / 22 directives nationales de sécurité / 249
opérateurs d’importance vitale / 1 369 points d’importance vitale / 300 agents de l’Etat travaillant
quotidiennement sur les questions de saiv (8)
9
1.1.3.3 LA STRATEGIE NATIONALE POUR LA SECURITE DU NUMERIQUE
En 2015, le premier ministre a officialisé la première stratégie pour la sécurité du numérique.
L'ambition de la France est de faire partie des quelques nations qui comptent dans tous les domaines stratégiques
et notamment la cybersécurité. La stratégie nationale pour la sécurité du numérique n'est pas une stratégie pour la
cyberdéfense mais bien pour la sécurité du numérique, terme plus englobant et traduisant mieux les enjeux et
défis qui se posent. Les 5 axes de la stratégie sont :
1/ Les questions de sécurité numérique auprès des OIV (Opérateur d'Importance Vitale).
Le premier axe de la stratégie nationale pour la sécurité du numérique consiste à réaffirmer que les questions de
sécurité numérique auprès des OIV sont liées à celles de la souveraineté nationale. En effet, aujourd'hui, de
nombreuses infrastructures vitales (centrales nucléaires, barrages, circulation routière, ...) sont gérées
numériquement (avatar numérique, IOT ...) ce qui peut générer de gros dommages potentiels en cas de
cyberattaque.
2/ Le rôle des entreprises non OIV.
Le deuxième point n'en est pas moins important, il explique que les entreprises non OIV ont également un rôle
important à jouer puisque des attaques informatiques massives contre les industries et PME/PMI peuvent devenir
des questions de sécurité nationale. Aujourd'hui les entreprises non-OIV composent la grande majorité du tissu
industriel français. En effet, bien qu'une cyberattaque isolée mettant en difficulté une PME n'ait pas d'incidence
en termes de sécurité nationale, la généralisation des attaques peut entrer dans le domaine de la sécurité
nationale. Ces entreprises sont souvent moins sensibilisées aux problématiques de sécurité informatique et donc
potentiellement plus vulnérables à un risque de contamination. Il faut pouvoir apporter une réponse à cette
menace dans les domaines de la prévention et de la sensibilisation mais surtout, il est nécessaire d'agir en aidant
les victimes d'actes de cyber- malveillance. Actuellement, le statut de ces victimes n'est pas reconnu clairement,
ce qui rend plus difficile la recherche de réponses judiciaires efficaces et le passage par des organismes
traditionnels de compensation des risques (assurances).
3/ La formation à la cybersécurité.
Le troisième axe promeut la formation à la cybersécurité, par la création de formation, de label afin de
sensibiliser les individus dès le plus jeune âge.
8
Page web SGDSN, consultée le 10/07/2019, http://www.sgdsn.gouv.fr/communication/la-securite-des-activites-
dimportance-vitale/
9
Cabinet du 1er Ministre, Stratégie nationale pour la sécurité du numérique. France, 16/10/2015
1.1.4 CYBERSECURITE
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) définit ce terme comme étant "
l'état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace
susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou
transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait
appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité
et sur la mise en place d’une cyberdéfense." (10)
Ce terme désigne le rôle de l'ensemble des outils, des lois, des politiques, des concepts de sécurité, des
mécanismes de sécurité, des lignes directrices, des méthodes de gestion des risques, des actions, des formations,
des bonnes pratiques, des garanties et des technologies qui peuvent être utilisées pour protéger le cyber-
environnement et les actifs des organisations et des utilisateurs. Les actifs des organisations et des utilisateurs
comprennent les dispositifs informatiques connectés, le personnel, l'infrastructure, les applications, les services,
les systèmes de télécommunication, et la totalité des informations transmises et/ou stockées dans le cyber-
environnement. La cybersécurité cherche à garantir que les propriétés de sécurité des actifs des organisations et
des utilisateurs sont assurées et maintenues par rapport aux risques affectant la sécurité dans le cyber-
environnement. Les objectifs généraux en matière de sécurité sont les suivants :
La cybersécurité relève de la souveraineté du cyber-environnement d'un Etat-Nation. Elle englobe des enjeux
économiques, politiques et stratégiques d'un Etat et ne se limite pas qu'a la seule sécurité des systèmes
d'information. "La cybersécurité s'aborde de manière holistique pour prendre en compte les aspects
économiques, sociaux, éducatifs, juridiques, techniques, diplomatiques, militaires et de renseignement". (12)
Une stratégie nationale sur la cybersécurité s'aborde sur le long terme. C'est au travers de publication comme les
"livres blancs" que chacun des Etat expose sa stratégie nationale et internationale en termes de cybersécurité.
Chacun des cyberespaces nationaux s'interconnecte pour former un réseau mondialisé. La cybersécurité doit être
alors envisager à l'échelle internationale par l'ensemble des Etats. C'est au travers de l'UTI (Union Internationale
des télécommunications) que chacun des Etats intensifie ses efforts en matière de cybersécurité. L'UTI évalue
chacun des Etats au travers de l'indice GCI (Global Cybersecurity Index) en mesurant cinq piliers stratégiques :
juridique, technique, organisation, prise de conscience / savoir-faire, coopération internationale. (13)
10
Page web ANSSI, consulté le 07/07/2019, https://www.ssi.gouv.fr/entreprise/glossaire/c/
11
Union Internationale des télécommunications, X.1205 Présentation générale de la cybersécurité, 04/2008.
12
Daniel Ventre, Étude prospective et stratégique - Les évolutions de la cybersécurité : contraintes, facteurs, variables, sur
defense.gouv.fr, juin 2015
13
Union Internationale des télécommunications, Global Cybersecurity Index v3, 2018-2019
1.1.5 CYBERATTAQUES
Le cyberespace comprend un ensemble d'objets allant de la montre connectée, aux serveurs de Google,
en passant par les voitures nouvelle génération par exemple. Tous ces objets sont développés différemment et se
connectent de différentes façons au réseau. Ils s'interconnectent de plus en plus en échangeant des volumes de
données de plus en plus grands, les rendant plus utiles au quotidien mais aussi plus vulnérables au risque de
cyberattaque. Le cyberespace est un milieu à hauts risques d'attaques.
Une cyberattaque est un acte d'atteinte à des systèmes d'information réalisé dans un but malveillant.
Selon A. Coustillère, vice-amiral chargé de la cyberdéfense française, une cyberattaque est "une action
volontaire, offensive ou malveillante, menée au travers du cyberespace et destinée à provoquer un dommage aux
informations et aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support" (14). Une
cyberattaque vise différent composant d'un dispositif informatique isolé ou en réseau (périphériques, objets
connecté, serveurs, PC)
L'ANSSI l'intègre comme étant une action de cybercriminalité "Actes contrevenants aux traités
internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de
réalisation d’un délit ou d’un crime, ou les ayant pour cible." (15). Elle peut avoir pour objectif de voler des
données (secrets militaires, diplomatiques ou industriels, données personnelles bancaires, etc.), de détruire,
endommager ou altérer le fonctionnement normal de systèmes d’information (dont les systèmes industriels). Il
existe 4 types de risque cyber aux conséquences diverses : la cybercriminalité, l'atteinte à l'image, l'espionnage et
le sabotage.
Selon N.Ténèze, les cyberattaques se répartissent dans 12 grandes familles (16):
Les ADS (Attaque par Déni de Services pour neutraliser un système informatique et le rendre inopérant) / le
cyberespionnage / le cyberharcèlement / la cyberfraude / le cyber-whistleblowing / la cybercontrefaçon - le
cyberrecel / la cyberfinance criminelle / la cyberpropagande / la cyberusurpation d'identité / le
cybercambriolage / le défaçage (modifier l'apparence d'un site, d'un blog, etc.)
Les attaque de déstabilisation (cybercriminalité+atteinte à l'image) sont fréquentes et peu sophistiquées.
L'exfiltration, la défiguration ou le défacement (modifier l'apparence d'un site, d'un blog, etc.) porte atteinte à
l'image de la victime et sont très lourdes en conséquence.
Les attaques d'espionnage sont très ciblées et sophistiquées, elles ont de lourdes conséquences
économiques ou nationales. En effet il faut parfois des années pour qu'une organisation puisse se rendre compte
de ce type d'attaque étant donné que le but recherché est de maintenir un accès aux informations le plus
longtemps et le plus discrètement possible.
Les attaque de sabotage informatique sont le fait de rendre inopérant un système d'information.
Les conséquences d'une cyberattaque touchent les données ou le système d'information en affectant leurs
disponibilités (données cryptées par exemple), leur intégrité (données modifiées par exemple) ou leurs
confidentialité (données secret défense rendues publique par exemple). Une cyberattaque impacte l'image d'une
entreprise. En effet si une entreprise a du mal à protéger son système d'information, comment peut elle protéger
ses utilisateurs ? Les pertes financières sont une conséquence d'une cyberattaque en impactant directement le bon
fonctionnement d'une organisation ou son image.
Une cyberattaque peut être massive ou ciblée.
14
France, Défense Nationale, « Glossaire interarmées de terminologie opérationnelle », PIA-7.2.6.3_GIAT-0(2012),
n°001/DEF/CICDE/NP
15
Page web ANSSI, consulté le 07/07/2019, https://www.ssi.gouv.fr/entreprise/glossaire/c/
16
TENEZE Nicolas, Combattre les cyberagressions, France : nuvis éditions 01/2018, 578p, Isbn 978-2-36367-082-3
système informatique et le rendre inopérant). Une forme de cyberattaque concerne le rançonnage. L'objectif est
que l'attaque soit le plus large possible pour avoir un impact maximal et récolter le plus d'argent possible. Cette
technique consiste, à l'aide d'un logiciel malveillant, à crypter l'ensemble des données d'un système d'information
et de demander une rançon contre la clef de décryptage. Cette technique se diffuse par le biais de mail
d'apparence officiel ou de lien de téléchargement qui poussera l'utilisateur à installer le logiciel malveillant sur
son système qui cryptera ses données. Cette technique visant à piéger l'utilisateur se nomme le phishing. Il faut
s'avoir que le cryptage est irréversible et qu'il est donc inutile de céder à la rançon.
1.1.5.4 MOTIVATIONS
Plusieurs motivations peuvent pousser un individu ou un groupe d'individu à commettre une
cyberattaque. Tout d'abord par défi technique, il n'est pas rare d'ailleurs que les meilleurs hackers soient
employés par la suite pour concevoir la cybersécurité d'un système d'information qu'ils ont compromis. Ensuite il
y a la revente de faille technique. De profils très technique, les attaquant vont s'atteler à rechercher des failles
informatiques inconnues et mettre à disposition des outils simples pour les exploiter. De tels attaquant peuvent
même vendre certaines découvertes. Ces failles se nomment 0-day et valent des fortunes ! Au-delà de l'aspect
lucratif, certains hackers attaquent par activisme. Ce sont les hacktivistes. Ils recherchent l'impact de masse afin
de diffuser un message idéologique et d'influencer l'opinion à travers des cyberattaques. Ils tentent souvent de
nuire à l'image d'une organisation. Les attaques étatiques se caractérisent généralement par leurs aspects très
ciblés, leurs degrés de sophistication et l'utilisation de vulnérabilités inconnues de manière coordonnée. Des
lanceurs d'alerte ont par exemple informé l'opinion publique que certains opérateurs téléphoniques fournissaient
l'ensemble des données téléphoniques aux services de renseignement américain. L'espionnage peut être une
motivation pour une cyberattaque. Les attaquants rechercheront à exfiltrer le plus discrètement possible, le plus
longtemps possible les données de l'organisation visée. Ainsi le Spyware "REGIN" à pu espionner pendant plus
de 6 ans des organisations publiques et privées (48% des organisations visées été des PME) (17). La vengeance
est source de motivation pour une cyberattaque. Connaissant en profondeur l'entreprise qui l'a licencié par
exemple, un ancien collaborateur peut être à l'origine d'une cyberattaque très ciblée. Le vol de données peut être
à l'origine de cyberattaque. Ces données sont souvent les identifiants/mot de passe ou des coordonnées bancaires.
Elles visent à exploiter une faille (humaine ou technique) dans un système d'information afin d'accéder à des
données confidentielles.
Pour un individu ou une organisation les conséquences sont généralement une perte financière
engendrée par une fraude (acte commis dans l'intention de nuire et d'en tirer un profit illicite). Les attaquants
peuvent alors détruire ou accumuler les données de la victime, afin d'en détourner de l'argent. Le cas de la
"fraude au président" en est un bon exemple. Cette attaque consiste à obtenir un virement vers un compte à
l'étranger sur ordre supposé du dirigeant ou d'un fournisseur, derrière lequel se cache en réalité le hacker. Au
delà de l'aspect financier, les cyberattaques nuisent à l'image d'une organisation ou d'un individu. Par exemple en
2015, la divulgation des profils d'un site de rencontre a entrainé des suicides chez certain de leurs utilisateurs.
Certaines cyberattaques peuvent saboter en détruisant physiquement des systèmes d'information (serveur par
exemple). Ce type de cyberattaque de sabotage constitue le principal risque pour les bâtiments gérant via leurs
avatars numériques dans notre cas. Les conséquences d'un sabotage d'un hôpital géré via avatar numérique
pourraient être désastreuses.
1.1.6 LE CLOUD
Dans le domaine des systèmes d'information, le recours à l’externalisation est devenu une pratique
courante qui présente un certain nombre d’avantages, mais aussi de risques. Il convient à cet égard de ne pas
opposer sécurité et externalisation. Le cloud est un ensemble de solutions d'externalisation.
Aujourd'hui, de nombreux sites internet proposent de communiquer et d'héberger des données au travers
d'espaces en ligne appelés "cloud". Les plateformes BIM sont des solutions hébergement et d'API web sous
cloud par exemple.
Le cloud consiste en la mutualisation des ressources de calcul et de stockage distribuées dans des data-
centers répartis dans le monde entier. Il n'est alors pas nécessaire de stocker les données sur un poste de travail
ou d'être connecté à un réseau local pour consulter ces données. Seul une bonne connexion internet est
nécessaire. Cependant malgré le fait que nos données hébergées sur un cloud sont sauvegardées sur plusieurs
serveurs, un attaquant peut y avoir accès si l'accès au cloud n'est sécurisé. De plus l'utilisation des données qu'en
fait l'hébergeur est souvent obscure.
Une "donnée" doit être largement entendue puisqu'elle englobe plusieurs caractéristiques : un type, une
criticité, des droits, et des moyens d'accès.
Une donnée peut se présenter sous différents formats, elle peut être physique (documents papiers, affiches,
livres, etc.) ou numérique, c'est-à-dire comprenant des fichiers électroniques (rvt, pdf, ifc, videos, sons, ect.).
Selon leur forme et leur criticité, ces données seront stockées sur différents supports, eux-mêmes plus ou moins
accessibles à d'éventuelles personnes malveillantes. Indépendamment de tout support, retenons qu'une donnée est
une information. Au niveau informatique, la donnée est stockée dans le temps sur un support de stockage (disque
dur, clé USB, serveur de fichiers, SI, etc.).
A un instant T elle peut également être présente dans la mémoire vive d'un ordinateur, transiter sur le réseau, ou
encore être analysée par un système de détection d'intrusion, etc. Une donnée est générée et stockée sur des
moyens informatiques de notre système d'information. Ces supports permettent de la produire, de l'utiliser, de
l'archiver, de la modifier et de la partager.
17
Symantec.com, 23/11/2104, consulté le 26/08/2019 https://www.symantec.com/connect/blogs/regin-top-tier-espionage-
tool-enables-stealthy-surveillance
1.1.7.1 CRITICITE
La principale notion caractérisant les données est la criticité, c'est-à-dire leur importance. Les données
constituent l'un des biens les plus précieux d'un système d'information appartenant à une entreprise ou à un
individu. Elles sont la mémoire et l'intelligence d'un SI. Elles sont le patrimoine informationnel d'une entreprise,
constituant sa richesse au quotidien et son capital de développement futur (portefeuilles clients, projets, R et D
...). Les données sont des éléments sensibles pouvant leur porter atteinte si elles sont divulguées à des tiers.
Très secret défense : La divulgation est de nature à nuire très gravement à la défense nationale.
Secret défense : La divulgation est de nature à nuire gravement à la défense nationale.
Confidentiel défense : Réservé aux informations et supports dont la divulgation est de nature à nuire à la défense
nationale ou pourrait conduire à la découverte d'un secret de la défense nationale classifié.
Restreint : La divulgation publique d'une telle information pourrait causer des effets indésirables.
Public : Niveau utilisé pour les documents dont le niveau de sensibilité ne correspond pas à d'autres classes
citées. Leur lecture ne nécessite pas d'habilitation spécifique.
La classification d'une information déterminera sont niveau de cyber-protection.
Illustration des classifications des droits d'accès (de gauche à droite, lecture seul, écriture, administrateur), source
https://www.ssi.gouv.fr/
1.2.1 ANSSI 18
Créée en 2009, la cyberdéfense est assurée par l'ANSSI (Agence nationale de la sécurité des systèmes
d'information) qui répond directement au premier ministre et au Ministère de la Défense. A ce titre, elle prévoit
des mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d'information vitaux
de la Nation.
Elle coordonne l'action gouvernementale en matière de défense des systèmes d'information. Elle anime et
coordonne les travaux interministériels en matière de sécurité du numérique, élabore les mesures de protection
des systèmes d'information et veille à l'application de celles-ci notamment par le biais d'inspections. Elle conçoit,
fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques. Elle délivre
des agréments aux produits et aux prestataires de services destinés à protéger les systèmes d'information des
entreprises.
En 2015, l'ANSSI déploie un dispositif territorial chargé de relayer et de coordonner l'action de l'ANSSI dans les
territoires ainsi que de contribuer au partage d'expérience entre les acteurs locaux de cybersécurité. Ce dispositif
est formé par des référents territoriaux en régions spécialistes de la sécurité du numérique. Ceux-ci
accompagnent la mise en œuvre des politiques de cybersécurité avec les structures et les autorités régionales
existantes pour prévenir les incidents et sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques
informatiques.
ANSSI participe aux négociations internationales et assure la liaison avec ses homologues étrangers. Elle assure
une liaison avec ses homologues étrangers dans le but d'établir une veille constante sur les systèmes
d'information.
Anticipation des menaces : L'ANSSI se charge de l'anticipation de la menace pour la sécurité du
numérique. Pour cela, 6 laboratoires de recherche lui permettent de rester à la pointe de l'état de l'art en matière
de cybersécurité. Lorsque les menaces sont détectées, l'ANSSI identifie les failles utilisées par les codes
malveillants, ce qui permet d'avoir une vision plus générale sur l'analyse de la menace. Pour les cas les plus
extrêmes un dispositif de crise peut être activer pour répondre à un événement majeur. L'ANSSI dispose pour
cela d'un centre opérationnel qui fonctionne7j/7 et 24h/24, lui permettant d'effectuer une veille permanente et
une supervision de l'activité sur les différents réseaux couverts, afin de détecter des attaques potentielles auprès
des services ministériels. Enfin, le centre opérationnel collecte et assure la synthèse des informations nécessaires
à la compréhension des attaques.
Maintenir un cadre réglementaire : En parallèle, l'ANSSI se charge de mettre en place et de
maintenir un cadre réglementaire adapté aux technologies et à l'état de la menace. Dans un premier temps,
l'ANSSI gère le dispositif réglementaire, issu de la Loi de Programmation Militaire, qui encadre la sécurité
numérique des Opérateurs d'Importance Vitale (OIV). Elle édite également le Référentiel Général de Sécurité
(RGS) qui fixe les règles que doivent respecter certaines fonctions de sécurité et qui cadrent par exemple les
aspects sécuritaires des échanges entre les services de l'administration et les particuliers, comme la déclaration
d'impôts en ligne.
Accompagner les OIV : Depuis 1998, plus de 200 Opérateurs d'Importance Vitale (OIV) ont été
identifiés en France par secteur d'activité, par le Secrétariat Général de la Défense et de la Sécurité Nationale
(SGDSN). L'ANSSI se charge également d'accompagner les OIV, c'est-à-dire les organisations privées ou
publiques identifiées par l'Etat comme ayant des activités indispensables à la vie de la Nation, dans le but de
protéger leur système d'information à importance vitale (SIIV). Pour assurer leur sécurisation, elle recommande
l'utilisation de produits qualifiés ainsi que des prestataires de service de confiance. Elle réalise des audits de
certains systèmes d'information afin de contrôler la robustesse des mesures mises en place et apporte ses
recommandations.
Qualifier des prestataires de confiance : L'ANSSI qualifie des produits et des prestataires de services
pour démultiplier ses actions auprès du secteur économique. Le PASSI (Prestataires D'audits de la Sécurité des
Systèmes d'Information) : sert à qualifier un prestataire reconnu comme réalisant des audits de sécurité dans le
but de vérifier la conformité à des exigences. Le PRIS (Prestataire de Réponse aux Incidents de Sécurité) : sert à
qualifier un prestataire menant les investigations nécessaires pour qualifier les incidents et proposant des
mesures pour stopper les attaques en cours et protéger le système d'information contre de nouvelles menaces. Le
PDIS (Prestataire de Détection des Incidents de Sécurité) : sert à qualifier un prestataire utilisant des outils de
détection d'incident dans le but d'alerter en cas d'événement suspicieux. Le CESTI (Centre d'Evaluation de la
Sécurité des Technologies de l'Information) : sert à qualifier un prestataire réalisant des évaluations de produit.
Le SecNumCloud, labelCloud : sert à qualifier un prestataire de service Cloud qui aura pour but de sécuriser des
services Cloud divers (ex Korqi drive). Pour obtenir ces labels de L'ANSSI, les entreprises doivent respecter des
critères de qualité sur des sujets très sélectifs.
Informer et former : L'ANSSI propose aussi d'informer et de sensibiliser le public sur les bonnes
pratiques à mettre en place pour protéger les systèmes d'information. Elle offre des formations sur des sujets
vastes ou précis (crypto, analyse de risques...). L'objectif est d'augmenter la culture de la sécurité du numérique
pour augmenter le degré de cybersécurité de la France.
In fine, l'ANSSI se charge d'évaluer et de faire évaluer la sécurité de nouveaux dispositifs ou de projets à l'étude.
Elle se charge également de mettre en place des labels (Label Cloud, SecuCloud, CSPN), des qualifications
(PASSI, PRIS,PDIS), des référentiels (RGS), des outils de sécurisation et de bonnes pratiques, et du respect
général de sécurité (surveillance des menaces, centre de crise et mise en place d'une plateforme de signalement
des failles de sécurité).
Même si la cybersécurité n'est pas son cœur d'action, la CNIL possède une action très liée à la
thématique de la sécurité des SI. En effet, elle accompagne les professionnels dans leur mise en conformité et
aide les particuliers à maitriser leurs données personnelles et à exercer leurs droits. Elle analyse l'impact des
innovations technologiques et des usages émergents sur la vie privée et les libertés. En matière d'information et
de sensibilisation, la CNIL met à disposition, des particuliers et des entreprises, des outils pratiques et
pédagogiques pour participer à l'éducation au numérique qui permettent de mieux appréhender les mesures de
sécurité par la suite. L'objectif principal de la CNIL est de veiller à ce que le développement des nouvelles
technologies et les usages numériques ne portent atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la
vie privée, ni aux libertés individuelles ou publiques.
18
ssi.gouv.fr, consulté le 17/07/2019, https://www.ssi.gouv.fr/
La cybersécurité est avant tout une affaire humaine. Au sein d'une organisation, il est nécessaire
d'identifier une personne qui aura la charge de coordonner les différentes mesures de sécurité. Cette personne
peut être un Responsable de la Sécurité des Systèmes d'Information (RSSI), si la taille de la structure est
suffisamment importante ou un simple référent pour les plus petites entreprises. Celui-ci s'assure généralement
d'impulser la culture cybersécurité à travers des actions de sensibilisation, de formations, de démonstration
d'attaque, de REX ... Il a la responsabilité opérationnelle de faire appliquer les règles de sécurité à l'ensemble du
domaine informatique. Il s'assure également de rédiger les politiques et chartes informatiques devant être
facilement compréhensibles et applicables par les utilisateurs.
Contrairement à ce que l'on pourrait penser, le cyberespace n'est pas totalement libre et désordonné.
Cependant, la nature décentralisée d'internet fait de lui un espace "contrôlé" par plusieurs organismes, Etats ou
entreprise. A tous les échelons, de nombreux organismes exercent ou peuvent exercer un contrôle ou une censure
sur les informations qui y circulent.
Notons tout d'abord que pour fonctionner, le réseau est tributaire de câbles ou de satellites : en l'absence de
"canaux" suffisamment grands, le trafic peut être fortement ralenti. Aujourd'hui, de nombreux pays sont
dépendants, pour leur accès au réseau, d'un ou de deux câbles sous-marins ou souterrains.
Certains pays disposent techniquement de la capacité de bloquer ou de censurer tout ou partie d'Internet. Par
exemple l'Egypte à pu couper quasi-instantanément l'accès au réseau en faisant pression sur les FAI (Fournisseur
19
ssi.gouv.fr, consulté le 17/07/2019, https://www.cert.ssi.gouv.fr/csirt/
20
Annexe 1 - Les métiers de la SSI - Source ssi.gouv.fr
d'Accès à Interne). De nombreux pays exercent aussi un contrôle très fort sur le réseau. Par exemple en France,
la loi sur les jeux d'argent en ligne permet d'ordonner le filtrage des sites qui n'ont pas reçu un agrément. (21)
1.3.1.3 LCEN :
La loi pour la confiance dans l'économie numérique, n°2004-575 du 21 juin 2004, abrégée sous le sigle
LCEN, est une loi française sur le droit de l'internet, transposant la directive européenne 2000 / 31 / CE du 8 juin
2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de
la vie privée dans le secteur des communications électroniques.
Elle vise à promouvoir le commerce électronique au sein de l'Union européenne, suivant en cela la logique des
traités dont le crédo est "un espace sans frontière intérieure dans lequel la libre circulation des marchandises et
des services ainsi que la liberté d'établissement sont assurés" tel que préconisé par l'article 14-2 du Traité
instituant la communauté européenne. (24)
21
lemonde.fr, consulté le 15/07/2019, https://www.lemonde.fr/technologies/article/2011/09/01/qui-controle-
internet_1566544_651865.html#CP6LihRev4d6LPbl.99
22
cnil.fr, consulté le 15/07/2019, https://www.cnil.fr/fr/les-missions-de-la-cnil
23
wikipedia.org, consulté le 17/07/2019, https://fr.wikipedia.org/wiki/Loi_Godfrain
24
legifrance.gouv.fr, 17/07/2019, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164
peut s'alourdir à 3 ans d'emprisonnement pour les personnes facilitant cette violation dans l'exercice de leurs
fonctions. (25)
27
1.3.1.6 LOI DE PROGRAMMATION MILITAIRE 2019-2025 (LPM 2019-2025)
La LPM 2019-2025 établie les orientations en matière de défense et définie la programmation des
moyens militaires pour la période 2019-2020. Elle spécifie les dispositions en équipement des armées à l'horizon
2030, et les traduit en besoins financiers.
La LPM renforcera les services de cyberdéfense par la création de 6 000 postes supplémentaires maximum.
Le chapitre III de la LPM est entièrement consacré à la cyberdéfense. Il définit que pour des besoins de
sécurisation des SI, les opérateurs de télécommunication peuvent installer des systèmes de détection
d'évènements suspects sur leurs réseaux. Les opérateurs devront avertir l'ANSSI en cas d'événements suspects
sur leurs réseaux. L'ANSSI pourra exploiter les dispositifs de détections dans un but préventif. L'ANSSI pourra
recueillir des données dans un but de prévention de menaces futures. Les données recueillies ne pourront être
conservées plus de 5 ans. A la demande de l'ANSSI, un opérateur de télécommunication devra avertir ses
utilisateurs de la vulnérabilité de son réseau ou de l'atteinte de leurs SI. L'ANSSI peut mettre en œuvre sur le
réseau d'un opérateur ou sur un SI d'un OIV, un système de détection de cyberattaque.
28
1.3.1.7 PROPRIETE INTELLECTUELLE ET INDUSTRIELLE
La protection des créations est couverte par 4 grand droits de propriété intellectuelle et industrielle. Ils
ont la particularité d'être des droits territorialisés. Ces 4 droits sont :
+ Le droit de protection de la marque (renouvelable tout les 10 ans)
Des formes de cyberattaque peuvent nuire à une marque (cybercontrefaçon, dafaçage). Ces
cyberattaques visent à atteindre la réputation d'une organisation, en nuisant à son image de marque. Ce préjudice
peut nuire à la commercialisation exclusive d'une marque, de la gestion des licences de marque, royalties et des
droits dérivés d'exploitation y afférant.
Une marque doit être déposée auprès de l'INPI en France. Une marque protège toute désignation d'un produit à la
seule condition de représentation graphique. Une forme, un nom, une couleur, un slogan, un jingle sonore ...
peuvent être considérés comme une marque. Seul les odeurs et les bruits ne peuvent pas être considérés comme
des marques.
25
Legavox.fr, consulté le 17/07/2019, https://www.legavox.fr/blog/maitre-haddad-sabine/violation-secret-correspondances-
atteinte-privee-14549.htm
26
ssi.gour.fr, consulté le 17/07/2019, https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-
general-de-securite-rgs/
27
legifrance.gouv.fr, consulté le 30/07/2019,
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037192797&dateTexte=20191027
28
Nicole Ferry-Maccario ,HEC paris 18/10/2011, Propriété intellectuelle, droit d'auteurs, protection de création, dépose de
marque, https://www.youtube.com/watch?v=t8d_QotGXSY
29
Wikipedia.org, consulté le 29/08/2019,
https://fr.wikipedia.org/wiki/Propri%C3%A9t%C3%A9_intellectuelle#La_propri%C3%A9t%C3%A9_industrielle
30
Caprioli-avocats.com, consulté le 28/08/2019, https://www.caprioli-avocats.com/fr/informations/une-personne-morale-ne-
peut-avoir-la-qualite-dauteur--proprietes-intellectuelles-21-146-0.html
31
Wikipedia.org, consulté le 126/07/2019,
https://fr.wikipedia.org/wiki/Propri%C3%A9t%C3%A9_intellectuelle#La_propri%C3%A9t%C3%A9_industrielle
32
Legifrance.gouv.fr, consulté le 02/07/2019,
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037262111&dateTexte=&categorieLien=id
33
Jean-Sébastien Mariez et Virginie Reynès, Secret des affaires : comment maitriser son contentieux ? 22/01/2019,
https://www.youtube.com/watch?v=JaQOAiZiubo
1/ Le renforcement des capacités nationales de cybersécurité. Les Etats membres doivent notamment se doter
d'autorités nationales compétentes en matière de cybersécurité, d'équipes nationales de réponse aux incidents
informatiques (CSIRT) et de stratégies nationales de cybersécurité. Dans le cas de la France, l'ANSSI, le CERT-
FR et la Stratégie nationale pour la sécurité du numérique.
2/ L'établissement d'un cadre de coopération volontaire entre Etats membres de l'UE via la création d'un
"groupe de coopération" des états membres sur les aspects politiques de la cybersécurité et d'un "réseau européen
des CSIRT" des Etats membres. Ce dernier visera notamment à faciliter le partage d'informations techniques sur
les risques et les vulnérabilités.
3/ Le renforcement par chaque Etat de la cybersécurité "d'opérateurs de services essentiels" au
fonctionnement de l'économie et de la société via la définition au niveau national de règles de cybersécurité
auxquelles ces derniers devront se conformer.
4/ L'obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs
services essentiels. L'instauration de règles européennes communes en matière de cybersécurité : des
prestataires de services numériques dans les domaines du cloud, des moteurs de recherches et places de e-
commerce. (34)
Au niveau mondial, les structures les plus fondamentales d'internet sont sous le contrôle de l'ICANN,
"l'Internet Corporation for Assigned Names and Numbers". Cet organisme a un statut particulier, puisqu'il s'agit
d'une société à but non lucratif, soumise au droit californien.
Composé de nombreuses commissions, qui gèrent des problématiques structurelles, l'ICANN encadre
notamment les noms de domaine ou le fonctionnement des adresses IP. Le pouvoir de l'ICANN est fondamental,
puisque l'organisation peut suspendre des noms de domaines entiers.
34
ssi.gouv.fr, consulté le 17/07/2019, https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/
35
cnil.fr, consulté le 15/07/2019, https://www.cnil.fr/fr/comprendre-le-rgpd
L'ensemble des normes ISO 27XXX sont issues de la norme iso-31000 encadrement la gestion du
risque. L'iso 27000 contient les recommandations en matière de gestion des risques appliquées au système
d'information. Elles découlent d’une recherche de consensus commun sur le domaine. Néanmoins la conformité
à une norme ne garantit pas formellement un niveau de sécurité. Les normes ne prennent pas en compte l’état de
l’art récent et les exigences réglementaires.
L'ensemble des normes ISO 27XXX englobent une vingtaine de normes, décrivant les pratiquent liées au
management de la sécurisation de l'information pour l'initialisation, l'implémentation ou le maintien de systèmes
de management de la sécurité de l'information (SMSI). Certaines sont très utilisées et d'autres réservées à des
secteur très particuliers (santé ou les télécom par exemple). La norme ISO/CEI 27000 est une norme
d'introduction et de présentation de l'ensemble des normes de la famille des ISO27k. Elle propose un glossaire
des termes communs.
Nous nous concentrerons sur les trois normes principales :
- L'ISO/CEI 27001 : Normes d'exigence des SMSI
- L'ISO/CEI 27002 : Guides des bonnes pratiques en SMSI
- L'ISO/CEI 27005 : Normes de gestion de risques liés à la sécurité de l'information.
En remarque, les normes ISO27000 ne traitent pas de sécurité informatique mais de sécurité de l'information. De
ce fait, le domaine que couvre ces normes est plus large et englobe les personnes, les supports de l'information,
par exemple une conversation dans un lieu public peut être concernée par ces normes.
37
1.4.1.1 L'ISO/CEI 27001:2013 :
C'est une norme que l'on peut rapprocher de la norme ISO-9001 liée à la qualité et l'ISO-14001 liée à la
protection de l'environnement dans une entreprise. Cette norme découle du BS799-2.
L'ISO-27001 décrit les exigences d'un SMSI (Système de Management de la Sécurité de l'Information) en termes
techniques et organisationnels pour un environnement donné. Elle décrit comment gérer la sécurité de
l'information dans une entreprise en vue d'une certification de l'organisme via 113 points de contrôle dans 14
domaines (cf. annexe A).
Un SMSI sert à permettre de décrire les actifs d'un environnement à protéger : ex. la maquette BIM de tel projet.
Un SMSI sert à permettre de sélectionner les mesures de protection adéquate : ex. code d'accès à la maquette
numérique. Un SMSI sert à instaurer la confiance auprès des tiers, des clients ou des fournisseurs en leur
garantissant que l'organisation sait manager sa sécurisation. Un SMSI facilite les relations avec les autorités de
tutelles en cas d'incident de sécurité (ex. ANSSI pour la France)
L'ISO-27001 est composé en 4 chapitres : Planification (Plan), Faire ou déployer (Do), Vérification (Check),
Agir (Act). C'est la démarche PDCA.
36
Wikipedia, consulté le 26/08/2019 https://fr.wikipedia.org/wiki/CLOUD_Act
37
ISO/IEC 27001:2013 Management de la sécurité de l'information. Organisation Internationale de normalisation, 2013, 23
pages
Plan (sert à anticiper une crise) : Décrit le périmètre du SMSI et identifie les risques et leurs
couvertures. Au préalable il est recommandé de dresser une cartographie des informations sensibles à disposition
de l'organisation. Ensuite il faut définir ce que l'on souhaite sécuriser, c'est le périmètre de sécurisation. Il est
conseillé de commencer avec des petits périmètres dont la taille pourra être étendue par la suite. Puis une analyse
des risques est mise en place pour dégager les vulnérabilités et les menaces de l'objet à sécuriser. Ensuite il faut
définir les mesures techniques et organisationnelles pour contrer les vulnérabilités et les menaces. A ce stade il
est recommandé de dresser un tableau récapitulatif des mesures de sécurité sélectionnées et de justifier celles qui
ont été exclues. Et en parallèle rédiger via des chartes ou des conventions la politique de sécurité de
l'organisation.
Do (sert à définir comment réagir pendant une crise) : Décrit l'exploitation du SMSI (ressources
nécessaires, procédures suivies, formations des acteurs). Mise en place de plan de gestion de crise et de reprise
d'activité après un acte malveillant.
Check (sert à mesurer les dispositifs de sécurité mis en place) : Mise en place de d'indicateur de
mesure, et mise en place d'audit ou de tests d'intrusion.
Act : Décrit le plan des actions correctrices pour améliorer la couverture des risques. Décrit le plan des
actions d'amélioration pour étendre la couverture des risques. Revue de l'identification des risques, amélioration
de l'exploitation, traitement des non-conformités éventuellement détectées par l'audit, description des actions
correctrices ou préventives ...
Illustration de la démarche PDCA ( cf. roue de Deming) de l'ISO 27001 source SquadLab#MixYourTalent
Une certification ISO 27001 délivrée par un organisme certificateur accrédité garantie suite à un audit
qu’une organisation a bien appliquée les exigences de la norme en matière de sécurité. Cette certification est
valable 3 ans, tous les ans un audit de contrôle est effectué. Il peut être exigé à une organisation d’avoir cette
certification pour accéder à certains contrats. La norme n’impose pas de niveau minimum de sécurité à atteindre.
Une entreprise peut donc être certifiée ISO 27001 tout en ayant défini un périmètre réduit et une politique de
sécurité peu stricte
38
1.4.1.2 L'ISO/CEI 27002:2013
C'est une norme adjacente à l'iso-27001 et sert à présenter les bonnes pratiques liées de sécurité vis-à-
vis des points de contrôle de l'annexe A (39). C'est un recueil des bonnes pratiques de la SMSI appliquées aux
entreprises et organisations, ceci quelque soit leur taille ou secteur d'activité. Cette norme propose un ensemble
de mesures de sécurité (organisationnelles et techniques) mais n'impose une solution.
La norme iso-27002 se décompose en 114 mesures de SMSI appliqué à 14 domaines :
40
1.4.1.3 L'ISO/CEI 27005:2018
L'objectif de cette norme est de définir une démarche de management des risques appliqués au
système d'information. L'analyse de risque est une étape cruciale du SMSI est se met en place après la définition
du périmètre à sécuriser. Un grand nombre de méthode d'analyse de risque (EBIOS, MEHARI...) a été utilisé
pour la confection de la norme ISO 27005. Pour qu'une analyse de risque soit durable, elle doit répondre à deux
caractéristiques. Elle doit être mesurable et reproductible. L'analyse de risque est une étape cruciale du SMSI est
se met en place après la définition du périmètre à sécuriser.
Un risque se défini en étant la probabilité de l'impact d'une menace pouvant s'exercer sur une vulnérabilité d'un
système. Les principales raisons de mener une analyse de risque sont :
1/ Pour identifier les risques : reconnaitre les menaces et vulnérabilités et leurs conséquences pour l'organisation.
2/ Pour anticiper les incidents possibles en identifiant les éléments pour lesquels un événement peut entrainer des
conséquences néfastes. Et de réduire les vulnérabilités via un plan de traitement.
3/ Pour déterminer les risques supportables.
4/ Pour interroger ces mesures sécuritaires qu'elles soient organisationnelles et techniques.
5/ Pour améliorer l'efficacité de la sécurité tout en alliant coût et réduction du risque.
La norme iso 27005 se décompose en 6 clauses et 5 annexes permettant d'illustrer le propos de la norme.
38
ISO/IEC 27002:2013 Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour le
management de la sécurité de l'information, Organisation Internationale de normalisation, 2013, 88 pages
39
ISO/IEC 27001:2013 Management de la sécurité de l'information. Organisation Internationale de normalisation, 2013, 23
pages
40
ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management,
Organisation Internationale de normalisation, 2013, 88 pages
La méthode d'analyse de risque proposée par l'ISO 27005 s'articule autour de deux activités
séquentielles et itératives : l'appréciation du risque et son traitement. En sécurisation de l'information les 4
critères à protéger sont : la disponibilité, l'intégrité, la confidentialité et la traçabilité. L'analyse des risques porte
sur ces 4 critères. La définition du périmètre est primordiale. Il se doit d'être mesuré. Trop étroite, l'étude en sera
inefficace. Trop large, l'étude en sera complexifiée. Ensuite l'analyse des risques consistera à identifier dans le
périmètre les différents risques (menaces + vulnérabilités + occurrence) et les besoins de protection. Puis on
tente d'estimer et d'évaluer les conséquences des risques dans le but de proposer des mesures de protection et
d'évaluer si les risques résiduels sont acceptables ou non.
Evaluer le niveau d'un risque permet de hiérarchiser son acceptabilité. Pour cela il suffit de dévaluer l'impact
(menace), et l'occurrence d'un tel risque. Un risque dont l'impact est grave et dont l'occurrence serait élevée
devra être traité en priorité.
Le traitement du risque visera à :
- Réduire le risque par la mise en œuvre de mesures de sécurisé pour ramener le risque à un niveau acceptable.
Le traitement pourra viser la diminution du niveau de la menace, la diminution de la vulnérabilité du système ou
à limiter l'occurrence du risque.
- Accepter le risque. Par ce que le coût de réduction du risque est trop élevé vis à vis des bénéfices. Ou par ce
que le risque est faible qu'il n'est pas une menace.
- Eviter le risque. Le risque est trop élevé, aucune solution fiable existe, l'organisation se sépare des actifs ou de
l'activité concerné.
- Transférer le risque. Un tiers gérera le risque plus efficacement, ou une assurance couvrira le risque.
41
ISO/TC 59/SC 13/WG 13 n94 : 2018, Implementation of collaborative working over the asset lifecycle, Organisation
Internationale de normalisation, 2013, 88 pages
Remarque : Par projet BIM, il faut comprendre la volonté de réaliser un actif bâti, de gérer
l'exploitation d'un actif bâti, ou de fournir divers services concernant un actif bâti. De ce fait, l'approche
collaborative du projet s'axera sur l'aspect sécuritaire. Un actif bâti n'est pas limité en taille et peut s'étendre
d’un abri bu à un réseau de transport entier par exemple.
- La deuxième particularité est organisationnelle. Le projet de norme recommande d'attribuer un rôle de
responsable de la sécurité. Cela peut être une personne assurant la responsabilité de la sécurité projet. Ou bien un
responsable sera nommé par une organisation participant au projet. Ou alors une structure indépendante aura la
responsabilité du SMSI. Le choix dépendra de la nature du projet.
- La troisième particularité consiste à établir un lien direct entre le SI d'un actif bâti et le bâti lui même. En effet
le SI d'un actif bâti sert à gérer son cycle de vie. De ce fait les risques pesants sur le SI menacent le bâti lui même
et in fine ses utilisateurs.
- La quatrième particularité définie ce qu'est un actif bâti à sécuriser : c'est une infrastructure nationale critique
(les réseaux de transport, les aéroports), un site militaire, un site de protection civile, un bâtiment administratif de
l'état, un bâtiment judiciaire, un bâtiment ayant une activité financière (banques)... La norme indique que les
OIV ont des actif bâtis sensibles à sécuriser.
- La cinquième particularité introduit les risques liés au IOT appliqué aux actifs bâtis.
- La sixième particularité concerne l'échange d'information. Le processus de conception / réalisation /
exploitation d'un bâtiment fait intervenir une grande palette d'acteurs. Il est nécessaire de contrôler les échanges
d'informations entre les différentes parties. Le modèle contient-il des informations sensibles ? Peut on déduire
des informations sensibles du modèle ? ... Un contrôle pragmatique des statuts des différents acteurs, un contrôle
des accès et des échanges d'information apparait comme primordiale. Un politique d'agrément de partage
d'information est proposé par le projet de norme.
Un agrément devra décrire à minima :
1/ les but du partage de l'info. 2/ Décrire les destinataires et les circonstances d'accès à l'info. 3/ La nature de
l'info. à partager 4/ La qualité de l'info. à partager en terme de disponibilité, d'intégrité, de confidentialité et sa
traçabilité. 5/ Les exigences en termes de protection (droits d'accès, droits d'utilisation, responsabilité) 6/ Les
exigence en termes de cycle de vie (demande de suppression de l'information ou modalité d'archivage par
exemple) 7/ les dispositions prises pour protéger l'info. 8/ Les droits d'accès et de partages de l'info. 9/ Le suivit
et l'audit de l'agrément de partage. 10/ Les sanctions prévues pour non-respect de l'agrément.
- La septième particularité concerne la contractualisation entre acteurs et concerne :
1/ Les agréments d'échanges d'information, la confidentialité des informations contractuelles.
2/ L'analyse du volet sécuritaire dans le cadre d'une analyse des offres.
3/ Les clauses modificatives (en fonction de l'environnement politique, législatif ou réglementaire.)
4/ Les procédure d'examens du respect des mesures de sécurité.
5/ Les authentifications, certifications, labels en matière de norme de sécurité devront apparaitre dans le contrat.
6/ Les dispositifs de sécurité misent en place par l'organisation pour la prise en charge des exigences.
7/ Les sous-traitances.
8/ Les références des contractants.
9/ La vérification de la restitution, ou la destruction des informations sensibles lors de la résiliation du contrat.
Remarques : L’implémentation d’une telle démarche pour un projet BIM n'est actuellement pas possible
étant donné que la norme est en cours d'élaboration. Une démarche d'implémentation utilisant les normes iso
27XXX peut aisément convenir. Cependant ceci requière un travail d’expert à part entière, dont la discipline est
mature. Il faudra cependant spécifier les particularité du BIM afin qu'ils puissent en saisir tout les risques
potentiels, pouvant être plus grave qu'une simple usurpation de coordonnées bancaires. Le projet de norme iso
29650 partie 5 devrait insister sur ces spécificités.
--------------------------------------------------------
Ce premier chapitre a permis de présenter l'ensemble des outils que je mobiliserai dans les
chapitres suivants.
Il faut retenir que les cyberattaques sont considérées comme la deuxième source de menace en
France derrière le terrorisme. De ce fait, certaines organisations requièrent une protection toute
particulière : ce sont les Opérateurs d'Importance Vitale (ex. les CHU). De ce fait l'Etat français les
accompagne dans la défense de leur système d'information. Les maquettes numériques qui ont servis à
la conception-réalisation-exploitation entrent ce cadre de défense.
Lorsque l'on évoque la sécurisation des informations trois critères essentiels doivent être
considérés : la disponibilité, l'intégrité et la confidentialité d'une information. Une attaque visera
toujours à corrompre un de ces trois critères.
Hormis les mesures techniques ou organisationnelles, le cadre juridique national et
international constitue la première défense. Ce cadre mériterait d'être renforcé afin de prévenir les
attaques internationales et améliorer leurs investigations.
Enfin il faut retenir que l'outil le plus efficace à considérer pour bâtir la sécurité d'un SI est
d'entreprendre une analyse du risque de son SI. Ce processus est décrit à travers les norme iso 27XXX.
Elles seront dans un futur proche réinterprétées et enrichies pour le BIM grâce à la norme iso 19650
partie 5.
Les divers normes, méthodes, et recommandations font apparaitre un schéma commun pour
établir une cybersécurité d'un système d'information. Elles s'appuient sur le cycle de Shewart servant à
apprendre quelque chose, et à améliorer un produit ou un processus. Ce cycle appeler PDCA (voir
chapitre 1) contient 4 phases, la planification (Plan), l'action (Do), la vérification (Check), et l'agir
(Act). Appliqué à la sécurisation des systèmes d'information le cycle PDCA constitue le corps de l'iso
27001. La partie planification (PLAN) constituera la trame du présent chapitre.
Dans un premier temps, il sera mis en évidence que toute démarche de sécurisation commence
par un besoin qu'il faut formuler à travers un cadre contractuel et des clauses particulières. Dans cette
première partie, nous verrons comment la différence de type de marché n'influence en rien les
différentes clauses liées à la sécurité du SI de la maquette numérique. Certains paramètres de clauses
seront présentés afin que les professionnels puissent s'en saisir. Ces particularités concerneront le droit
d'auteur, les responsabilité liées aux données, et les assurances. Puis dans un deuxième temps, des
guides élémentaires d'hygiène seront présentés. Ils constituent la base des recommandations à mettre
en place au sein d'une organisation, avant de se lancer dans une processus de gestion de risque plus
profond. Dans un troisième temps une méthode de cartographie d'un système d'information sera
présenté. Cela permet de définir les objectifs, d'inventorier son SI et de déterminer le périmètre à
sécuriser. Cartographier son SI permet de faciliter grandement la phase suivante : l'analyse du risque.
L'analyse du risque est un processus permettant de mesurer un certains nombre de paramètres liés aux
risques d'un SI (vraisemblance, gravité ...) afin de proposer un ensemble de mesures de traitements
nommé barrières . Cette phase doit être considérées comme un outil facilitant l'écriture d'un cahier des
charges à destination d'expert de conception et d'implémentation de système de cybersécurité. La
méthode d'analyse de risque EBIOS RM2018 sera présentée. Enfin une stratégie de traitement sera
décrite. En effet, l'ensemble des barrières sont organisées entre elles pour permettre une défense en
profondeur du système d'information.
Le BIM constitue une évolution dans les méthodes de travail traditionnelles d’une opération de
construction : il induit un travail collaboratif des différents intervenants au travers de la maquette numérique
alimentée et dont les données sont partagées par l’ensemble des acteurs de l’opération, préfigurant ainsi, dans
toutes ses composantes, l’ouvrage à réaliser et à exploiter. Mener un projet en BIM c’est ainsi s’engager dans un
processus qui va affecter le contenu et les processus de l’ensemble des prestations nécessaires à la conception et
à la réalisation du projet. Mener un projet en BIM affecte les interactions et les responsabilités des prestataires
entre eux. Dès lors que les méthodes de travail et les relations entre le maître d'ouvrage, les maîtres d'œuvres, et
les entreprises sont susceptibles d’être bouleversées, des questions, voire des incertitudes surgissent
immanquablement, quant aux impacts de ce nouveau processus et de ses outils sur les conditions et modalités
d’exécution des missions et prestations. Aujourd’hui, dans la mesure où le cadre législatif et réglementaire est
quasi inexistant en la matière, il revient aux parties de préciser dans le contrat les conséquences induites par
l’utilisation du BIM sur leurs missions et les conditions dans lesquelles elles vont les exécuter. C’est donc
aujourd’hui grâce à la technique contractuelle et aux instruments contractuels, caractérisés par leur souplesse,
que ces nouveaux rapports entre les différents acteurs d’une opération en BIM vont pouvoir être définis,
précisés, organisés à chaque étape du projet et de développement du bâtiment, des prémices de la programmation
de l’opération par le maître d'ouvrage jusqu’au à la gestion technique et patrimoniale du bâtiment.
Les projets du BTP se caractérisent par un nombre de prestataires hétérogènes employés dans des
phases particulières du cycle de vie d'un bâtiment / infrastructure. Le déploiement actuel du BIM doit
s'accompagner d'une mise en perspective vis à vis de la sécurité des informations des maquettes numériques
et des systèmes d'information qui les sous-tendent. Le corpus42 de chartes BIM, cahiers des charges BIM,
conventions BIM et guides de rédactions révèlent que le thème de la sécurité des système d'informations est très
rarement abordé.
L'objet de cette partie est de déterminer les modalités selon lesquelles les rapports contractuels entre les
acteurs d’une opération menée en BIM peuvent être formalisés au regard de la sécurité de l'information
Les contrats privés (=marchés privé) sont caractérisés par la liberté contractuelle dont dispose les parties
pour définir et organiser leurs relations : non seulement le contenu du contrat est librement négocié entre les
parties, mais surtout ses clauses sont librement fixées par les parties. Le maître d'ouvrage privé dispose d’une
liberté la plus totale pour choisir les prestataires auxquels il décide de confier une mission. Le contrat ne revêt
aucune forme particulière, il peut même être oral (ce n’est toutefois pas conseillé). Les maîtres d’ouvrage privés
ont bien évidemment la faculté d’organiser une mise en concurrence leur permettant de sélectionner les
prestataires avec lesquels ils décideront de travailler (architectes, bureaux d’études, entreprises, etc). Le principe
de la liberté contractuelle des parties n’est toutefois pas sans limite. Le contrat doit se plier au code civil.
Passation des contrats : Le maître d'ouvrage privé dispose d’une liberté la plus totale pour choisir les
prestataires auxquels il décide de confier une mission. Le contrat ne revêt aucune forme particulière. Les maîtres
d’ouvrage privés ont bien évidemment la faculté d’organiser une mise en concurrence leur permettant de
sélectionner les prestataires avec lesquels ils décideront de travailler (architectes, bureaux d’études, entreprises,
etc). Cette procédure peut être, au choix du maître d’ouvrage, plus ou moins légère : de la simple comparaison de
devis sollicités auprès de quelques entreprises ou maîtres d'œuvre à l’organisation d’une procédure plus détaillée
se rapprochant des principes définis par le code des marchés publics, là encore, tout est possible pour le maître
d'ouvrage privé. Il convient toutefois de souligner que dès lors qu’il décide d’organiser une véritable mise en
concurrence faisant référence à un cahier des charges voire à un règlement de la consultation, le maître d'ouvrage
privé est tenu de respecter les règles ainsi définies.
Les documents contractuels : Les parties sont libres de signer un contrat, de l’intituler et de le formaliser
selon les modalités qu’elles déterminent librement, aucun document particulier n’étant imposé. En pratique les
documents contractuels tendent vers l'exigence contractuel d'un marché public. Si dans les contrats privés les
parties demeurent entièrement libres de formaliser leurs rapports comme elles le souhaitent, en pratique, on
observe dans la plupart des cas l’utilisation de document de type «C.C.A.P. » utilisés dans les marchés publics.
Traditionnellement, il est plutôt d’usage dans les contrats privés de procéder par adjonction d’annexes au contrat
: il est ainsi courant qu’y figurent, par exemple pour les marchés de maîtrise d'œuvre, le programme de
l’opération, l’enveloppe financière définie par le maître d'ouvrage, le planning de l’opération... Dans le cadre
d'un contrat BIM, le maitre d'ouvrage rédigera une charte BIM générale, qui lui servira de ligne directrice pour la
rédaction du cahier des charges BIM, programme, règlement de consultation par projet. Un ensemble de clauses
générales et particulières sera alors inscrit et fera l'objet de critère de sélection du prestataire.
Les contrats publics (=marchés publics) sont quant à eux cadrés et réglementés. Cet encadrement des
marchés publics se justifie par le but qu’ils poursuivent : l’exécution d’un service public ou une mission d’intérêt
général. De ce fait un contrat public est déséquilibré en faveur de la personne publique. Et la passation des
contrats publics doit faire l'objet d'une mise en publicité de l'appel d'offre et en concurrence des candidatures.
Cette mise en concurrence peut être restreinte ou ouverte. Les opérations liées aux infrastructures / bâtiments
sont encadrées par la loi MOP. Cette loi défini notamment le contenu des différentes missions encadrant le
développement d'un projet.
42
Charte BIM - société du Grand Paris / Cahier des charges BIM atelier Abscisse ref B1707_CCB / Convention commune
BIM - Testimonio II / Guide de rédaction convention BIM v2- BuildingSmart / Cahier des charges BIM / Guide de
recommandations à la maitrise d'ouvrage - PTNB /
Passation des contrats : La mise en concurrence des candidats à un marché public est un principe
fondamental du droit des marchés publics affirmé dès l’article 1er du code des marchés publics. La mise en
concurrence dois respecter trois principes : 1/ La liberté d’accès implique que tous les opérateurs intéressés
puissent proposer leurs services pour répondre au besoin exprimé par le pouvoir adjudicateur, ce qui suppose
qu’ils puissent en être informés grâce à l’organisation d’une publicité adéquate. 2/ L’égalité de traitement
interdit toute pratique discriminatoire de nature à favoriser certains opérateurs ou candidats au marché ; cette
égalité de traitement s’impose à tous les stades de la mise en concurrence. 3/ La transparence des procédures est
la garantie d’une véritable mise en concurrence, elle implique notamment que le pouvoir adjudicateur fasse
connaître non seulement la nature de son besoin, mais aussi les conditions dans lesquelles il sera procédé à la
sélection de l’attributaire du marché.
Les documents contractuels : Le contrat doit nécessairement comporter un certain nombre de mentions
obligatoires parmi lesquelles : l’identification des parties contractantes, l’énumération des pièces du marché, la
durée d’exécution du marché, les conditions de règlement, les conditions de résiliation, etc…. Le contrat doit
impérativement être composé d’un acte d’engagement et d’un cahier des charges. L’acte d’engagement est la
pièce signée par le candidat et dans laquelle il propose son offre de prix ; l’acte d’engagement est en droit public
le fondement de la relation contractuelle entre le maître d'ouvrage et son cocontractant. Les cahiers des charges
définissent les conditions d’exécution du marché ; il en existe deux types : le cahier des clauses administratives
particulières (C.C.A.P.) qui fixe les modalités administratives d’exécution du marché (contenu de la mission,
délais, condition de versement du prix, pénalités, conditions de résiliation, etc…) et le cahier des clauses
techniques particulières (C.C.T.P.) qui décrit les modalités technique d’exécution de la mission . Concernant les
annexes les marchés publics procèdent plutôt par voie d’insertion, dans les documents contractuels des pièces
auxquelles le maître d'ouvrage entend donner valeurs contractuelle. Il est y généralement distingué deux
catégories de pièces contractuelles : les annexes particulières au marché (CCAP / CCTP / programme ...). Et
les annexes générales (Missions MOP / CCAG / règlement concours ...)
Qu’il s’agisse de marché privé ou public, dès lors que, matériellement le contrat est composé de
plusieurs documents distincts, il convient de hiérarchiser l’ensemble des documents à valeurs contractuelles.
Cette hiérarchisation a pour objectif de définir un ordre de priorité parmi l’ensemble des dispositions
contractuelles qui s’imposent aux parties et de résoudre ainsi les éventuelles difficultés nées d’une contradiction
ou d’une incohérence existant entre les stipulations de deux documents. Sans qu’il ne soit besoin de le spécifier
dans le contrat, les pièces particulières du marché (acte d’engagement, C.C.A.P., C.C.T.P., etc…)
prévalent toujours sur les pièces générales.
Qu’il s’agisse de marché privé ou public des annexes définissant les besoins en termes de sécurité de
l'information sont particulièrement utiles pour imposer une démarche BIM sécurisée.
Rendre des annexes contractuelles en les insérant dans un marché, qu'il soit public ou privé, permet au
maitre d'ouvrage de rendre ses besoin en sécurité opposables à ses prestataires.
43
marché-public.fr, consulté le 17/10/2019, http://www.marche-public.fr/Marches-publics/Definitions/Entrees/CCSC.htm
fixe les règles qu'un prestataire doit respecter au travers du PSSIE 44, les labels et certificats à justifier. Il fixe les
modalités de contrôle, le signalement de sécurité, l'hébergements des données ...
Cependant le CCSC ne réclame aucune police d'assurance particulière afin de garantir tout risque
d'indisponibilité, de perte d'intégrité ou de confidentialité sur les données. Enfin il est rappelle qu'un label ou
certification iso 27XXX ne certifie ni du périmètre ni de la qualité de la sécurisation du SI. Le CCSC devra être
adapté en fonction des projets et le maitre d'ouvrage devra mettre en place les outils d'évaluation de chacune des
clauses. Pour cela un acteur public comme l'ANSSI peut aider. Il est clair que l'AMO BIM s'emparera de ce sujet
dans un avenir proche.
Un prestataire BIM devra justifier en priorité que son processus BIM et les données de sa maquette
numérique qui en découle sont sécurisés en DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Il devra
justifier que son SI respecte les règles d'hygiène élémentaires données par l'ANSSI.
44
ssi.gouv.fr, consulté le 17/10/2019https://www.ssi.gouv.fr/entreprise/reglementation/protection-des-systemes-
dinformations/la-politique-de-securite-des-systemes-dinformation-de-letat-pssie/
45
village-justice.com/, consulté le 17/10/2019, https://www.village-justice.com/articles/droit-auteur-des-
architectes,25567.html
46
L’article L.113-2 du Code de la propriété intellectuelle
47
L’article L.113-2 du Code de la propriété intellectuelle
La maquette numérique sera considérée comme une chaine de succession d'œuvre dont le dernier
contributeur sera le titulaire des droits sur l'œuvre composite. Attention il ne sera pas titulaire des différentes
maquettes antérieures qui ont servi à l'incrémentation de la maquette finale.
En terme de sécurité de l'information chacun des contributeurs sera responsable de la disponibilité,
l'intégrité, la confidentialité de la maquette numérique qu'il produit. La traçabilité et la non répudiation des
information de la maquette numérique seront deux critères d'appréciations.
2/ L’œuvre collective est "l’œuvre créée sur l’initiative d’une personne physique ou morale qui l’édite, la publie
et la divulgue sous sa direction et en son nom et dans laquelle la contribution personnelle des divers auteurs
participant à son élaboration se fond dans l’ensemble en vue duquel elle est conçue, sans qu’il soit possible
d’attribuer à chacun d’eux un droit distinctif sur l’ensemble réalisé "48 Dans le cas de la maquette numérique,
l’œuvre collective est imaginable dans le cas ou une personne gérerait l’intégralité de la maquette numérique. Ce
rôle reviens au groupement de maitrise d'œuvre, chapoté par l'architecte. En ce sens, l’œuvre pourrait être créée
sur son initiative et ce serait en son nom et sous sa direction que la maquette numérique serait livrée au client.
L’œuvre collective serait alors la propriété de la personne physique ou morale sous le nom de laquelle
elle est divulguée, cette personne serait investie des droits d’auteur.
En terme de sécurité de l'information la personne détenant les droits d'auteur sur l'œuvre collective
(l'architecte) sera responsable de la disponibilité, l'intégrité, la confidentialité de la maquette numérique qu'il
produit. La traçabilité et la non répudiation des information de la maquette numérique seront deux critères
d'appréciations pour l'architecte.
3/ L’œuvre de collaboration est une l’œuvre sur laquelle plusieurs auteurs ont travaillé. Les auteurs ont travaillé
ensemble à l’élaboration de l’œuvre de telle sorte qu’il est impossible de déterminer avec précision les apports
des différents auteurs. Pour des raisons de responsabilité juridique et de structuration des projets ce type d'œuvre
est extrêmement rare. Même dans le cas d'un projet mené en BIM niv3 l'œuvre ne pourra être considérée comme
collaborative, car elle remettrai en question la hiérarchisation des responsabilités.
In fine, les données contenues dans la maquette peuvent faire l’objet d’une protection individuelle
(clauses contractuelles) mais la maquette numérique dans son ensemble peut également faire l’objet d’une
protection au titre du droit d’auteur en raison de son originalité. En principe, la maquette numérique est originale
car elle a vocation à s’appliquer à un projet immobilier donné (supposé originale). De plus, la maquette
numérique peut être considérée comme une base de données. Cela signifie alors qu’elle ferait l’objet de deux
protections : la représentation graphique par le droit d’auteur et la protection de l’investissement du créateur
d’une base de données par le droit sui generis. La maquette numérique doit être considérée comme une œuvre à
part entière susceptible d’une protection par le droit d’auteur.
Aujourd’hui, la maquette de conception contient le niveau de détail qui permet de l’entretenir, ce qui
augmente sa valorisation. De plus il est nécessaire de réguler le niveau de détail associé au processus de
construction. Cependant, certains niveaux de détail issus de l’industrie et couverts par le secret industriel n’ont
pas vocation à être dévoilés, cela doit être réglé par la confidentialité associée au contrat. L'enjeux est de garantir
le DICT des informations au cour du cycle de vie du bâtiment, afin d'obtenir des informations de grande qualité.
48
L’article L.113-2 du Code de la propriété intellectuelle
être abordée au même titre que celle du BIM manager l'a été dans le passé. Au regard des fonctions actuelles du
BIM manager, il apparait comme évident que la responsabilité du SI de la maquette numérique lui revient. Tout
d'abord il est un acteur transversale en intervenant durant toutes les phases du cycle de vie du bâtiment (de la
programmation à la déconstruction). Ensuite il assure déjà malgré lui des fonctions de sécurisation du SI de la
maquette numérique. Il veille notamment à l'intégrité et à la traçabilité des données et à la pertinence de ces
dernières via le BEP ou convention BIM. Il veille également à la disponibilité de la maquette numérique en
administrant les diverses plateformes de travail collectif. L'ensemble des mesures servant à sécuriser le SI d'une
maquette numérique devra se renforcer. L'aide de spécialiste en analyse de risque (ANSSI, CNIL ...) permettra
au BIM manager de monter en compétence. Enfin responsabiliser ce nouveau métier à travers la sécurisation des
SI permettra de lui accorder beaucoup plus de crédit dans le secteur du BTP. Il pourra garantir par exemple la
sécurité du SI de la maquette numérique de manière décennale. Il pourra mener des audits et voir même assurer
la certification de maquette numérique ou de SI des différents prestataires.
Concernant les données liées aux maquette numériques, nous pouvons les distinguer en deux catégories.
Les données non personnelles et les données personnelles.
1/ Données non personnelles : Lors des phases de programmation-conception-réalisation ce type de données sont
majoritaires. Elles peuvent faire l’objet d’une protection, du seul fait de leur création (droit d’auteur) ou d’une
protection spécifique (brevets, marques, dessins et modèles) sous réserve de remplir les conditions définies au
chapitre1 et partie 2.1.2.2. Si les données n’étaient pas particulièrement valorisées dans la construction jusqu’à
lors, elles peuvent l’être désormais, qu’elles soient nouvelles ou non. En effet, ces données ont de la valeur
préalablement à leur entrée dans la maquette numérique, mais elles en ont d’autant plus lorsqu’elles en sortent.
Les données lorsqu’elles entrent dans la maquette sont des données utiles pour la construction et elles peuvent, si
elles sont pérennes, perdurer dans la phase d’exploitation du bâtiment. Ainsi, leur valeur en sera
considérablement accrue. Cette valorisation des données justifie le besoin impératif de les identifier et de
déterminer leur statut juridique ainsi que les droits relatifs à ces données dès leur entrée dans la maquette. Ces
données bien que non personnelles devront, dans le cas d'une démarche de sécurisation des informations, faire
l'objet d'une analyse de risque en DICT
2/ Données personnelles (RGPD) : Lors des phases de programmation-conception-réalisation ce type de données
sont minoritaires. Est caractérisée comme personnelle une donnée rendant identifiable une personne. De ce fait
dans le cas d'une intervention sur un bâtiment existant, des données personnelles peuvent être modélisées. Le
géomètre expert par exemple attachera à un bâtiment des informations sur le propriétaire. Ainsi il conviendra
d'assurer une sécurité maximale sur ce type de données et de respecter le RGPD (Règlement Générale de
Protection des Données).
dans la mesures où le BIM peut aussi être à l’origine d’une réduction de la sinistralité notamment par la
meilleure concertation des différents acteurs intervenant sur le chantier, permise par le BIM. Les assureurs
souhaitent avoir un accès limité à la maquette compte tenu de la valeur des données intégrées. Il conviendra de
cibler les moments et les points d’accès de la maquette par les assureurs et les experts.
L'ANSSI à éditer des guides de bonne pratiques à destination des entreprises et des particulier
permettant de construire une culture "cybersécurité" et d'améliorer leurs niveaux de sécurité. L'ensemble des
règles s'applique à tout à chacun autant à titre personnel que professionnel au sein d'une entreprise. Or l'ensemble
des systèmes d'information s'interconnectent entre eux, et l'existence d'un système vulnérable peut compromettre
l'ensemble d'un réseau lors d'une infection. Ces règles, non exhaustives, constituent un ensemble de
recommandations permettent de limiter grandement les risques de cyberattaque et leurs propagations à
l'ensemble d'un réseau, en renforçant de manière individuelle les systèmes d'information. L'application de ces
règles ne constituent pas une cyberdéfense cohérente mais constitue un pré requis. Si une organisation souhaite
maitriser ses risques liés à son SI, elle devra dans un premier temps veiller à l'application de ces
recommandation, puis entamer un processus de gestion du risque.
Les trois guides fournis en annexe offrent des mesures de prévention efficaces et facile à mettre en place
pour une organisation.
+ Annexe 3 : Guide d'hygiène informatique - ANSSI: Ce guide présente 42 mesures d’hygiène informatique
essentielles pour assurer la sécurité d'un SI et les moyens de les mettre en œuvre. Non exhaustives, ces mesures
représentent cependant le socle minimum à respecter pour protéger les informations de votre organisation. Une
fois ces règles partagées et appliquées, une grande partie des risques courant sont couverts : risques sur la
disponibilité, l'intégrité et la confidentialité des informations.
+ Annexe 4 : Recommandations sur le nomadisme numérique - ANSSI: Le nomadisme numérique désigne les
nouvelles formes de travail où le professionnel peut accéder au SI de son organisation à distance (ex télétravail,
co-working ...). Ce guide n'est pas exhaustif et se focalise sur les risques liés à cette nouvelle forme de travail.
+ Annexe 5 : - Sécurité numérique - bonnes pratiques à l'usage des professionnels en déplacement - ANSSI : Les
professionnels sont de plus en plus amener à voyager. Ce guide concentre 9 bonnes pratiques à adopter avant,
pendant et retour d'un déplacement
2.2 CARTOGRAPHIER49
Cartographier désigne le fait de représenter schématique l'ensemble des informations et leurs
structuration spatialement. Les informations représentées sont minutieusement choisies pour répondre
efficacement à la ou aux questions posées. Les cartographies se structurent généralement en plusieurs
dimensions et avec une échelle de précision.
Les cyberattaque sont de plus en plus nombreuses et complexes. La sécurité des systèmes
d’information est un enjeu essentiel au bon fonctionnement des administrations et des entreprises (pour rappel :
les cyberattaques constituent la seconde source de menace en France après le terrorisme). La cartographie est un
outil essentiel à la maîtrise du système d’information. Elle est la première étape du processus de sécurité d'un SI.
Elle permet d’avoir connaissance de l’ensemble du SI et de ses composants. Elle permet d’obtenir une meilleure
lisibilité de celui-ci à travers plusieurs cartes. L’élaboration d’une cartographie du système d’information
s’intègre dans une démarche globale de gestion des risques. Dans notre contexte d'étude, le numérique, la
cartographie permet de représenter le SI d'une organisation ainsi que ses connexions avec l'extérieur. Cette
représentation peut être plus ou moins détaillée et inclure, par exemple, les biens matériels, logiciels, les réseaux
de connexion, personnes , informations, activités et processus qui reposent sur ces biens. La cartographie doit
permettre de :
+ Réaliser l’inventaire des biens du système d’information, à savoir la liste des composants du SI et leur
description détaillée.
49
Cartographie du système d'information, guide d'élaboration en 5 étapes, ANSSI, 11/2018, 54 pages,
https://www.ssi.gouv.fr/uploads/2018/11/guide-cartographie-systeme-information-anssi-pa-046.pdf
+ Présenter les connexion entre ces différents biens qui formeront des grappes de sous-système (l'ensemble des
équipements reliés au réseau wifi par exemples). Les interconnexions entre ces différents sous-systèmes
(l'interconnexion entre le réseau wifi et le réseau intranet par exemple). Et les connexions de ces sous-systèmes
avec le milieu extérieur (internet ou autre organisations par exemple).
+ Définir le niveau de détail de l'étude (son échelle).
+ Caractériser les limites du SI. Les systèmes d'information sont devenus tellement complexes qu'il est
nécessaire des les considérer par tranche de plusieurs sous-ensemble.
Il existe 3 grandes familles de carte d'un SI.
La carte métier : Elle sert à présenter les différentes entités avec lesquelles le SI interagit pour remplir sa
fonction. Cette carte permet également de présenter les différents processus métier du système d’information.
C'est une carte mettant l'action sur les action du SI. Elle constitue la première carte à établir.
Par exemple : une personne souhaite contrôler les passages de voiture à distance à un péage. La carte métier
représentera le processus de pilotage de visualisation par vidéosurveillance et le processus de pilotage de la
barrière. La carte applicative : Elle sert à présenter les différents flux de données ainsi que les niveau d'accès.
La carte infrastructure : Elle sert à présenter les différents équipement physique du SI et leurs interactions.
La construction d'une cartographie d'une SI se fait en 5 étapes : l'amorçage, le choix du modèle de carte,
le choix de l'outillage, la construction de la carte et la maintenance de la carte.
La première étape sert à mettre en place les enjeux de la cartographie, les acteurs à mobiliser, le
périmètre du système d’information à représenter, le niveau de précision de l’inventaire et les types de vues à
réaliser. Cette étape doit être impulsée par la direction qui en exprimera les besoins.
En premier lieu il convient de définir clairement les objectifs et les enjeux du projet pour répondre aux
besoins. Ensuite il convient de définir de définir les parties prenantes à l'étude cartographique. Dans le cas où la
démarche s'oriente sur la sécurité numérique, le nombre de partie prenante sera limité au stricte minimum. Le
responsable de la sécurité des SI (RSSI) est suffisant à condition qu'il implique les différents métiers de
l'organisation à sécuriser. Sans cela la cartographie risque de passer sous silence des éléments du processus
critique. Dans le cas où une organisation ambitionne d'engager une démarche plus complète, une équipe plus
conséquente devra être mise en place; Cette équipe réunira potentiellement le DSI (directeur du SI), le RSSI, les
architectes en infrastructure informatique, les métiers, le DPO (RGPD), les responsables sûreté, les équipes
d’audit et de conformité.
En deuxième lieu il convient de définir le périmètre de la cartographie. Il est recommandé de
cartographier les systèmes les plus exposés ou les plus critiques, c'est à dire les plus vulnérables par rapport à
leur exposition aux menaces.
Dans un troisième temps il convient de définir le niveau de précision de l'inventaire. Plus la criticité est
considérée comme élevée, plus le niveau de précision devra être élevé. Pour un système d’information de taille
importante, il est recommandé de commencer par une cartographie limitée à certaines cartes et centrée sur les
systèmes critiques ou exposés, qui sera complétée avec d’autres cartes par la suite. Pour un SI de petite taille, il
est possible de réaliser une cartographie cumulant plusieurs cartes dès le départ.
La seconde étape sert à recenser toutes les informations disponibles en rassemblant les inventaires et
schémas de représentation du système d’information déjà constitués.
Pour chacune des cartes il convient de choisir les objets et attributs à représenter ainsi que leur format.
Les objets sont un ensemble d’éléments référencés dans la cartographie, qui sont les valeurs métier et les biens
support. Par exemple la valeur métier modélisation d'une maquette numérique peut être associée aux biens
support PC+revit+plateforme BIM+Base d'objets. Les relations entre objets peuvent également être
représentées.
Les attributs quant à eux sont des informations essentielles aux futures analyses. Par exemple, on peut
distinguer pour une application son type (développement interne, logiciel, progiciel, algo...), ses besoins de
sécurité (un algorithme breveté demandera un besoin plus grand) ou encore son exposition vis-à-vis de
l’extérieur. Le modèle de cartographie doit définir la liste des attributs correspondant à chaque objet choisi, avec
une priorité pour ceux qui sont liés à la sécurité numérique.
Enfin la charte graphique de représentation doit être définie afin d'homogénéiser et améliorer la
compréhension des cartes.
La troisième étape sert à définir les outils permettant la réalisation des différentes cartes. Le choix devra
s'orienter vers les outils permettant de constituer des inventaires, de réaliser des vues lisible, et de faciliter la
mise à jour des cartes suivant l'évolution du SI par exemple.
L'accent sera mis sur le choix d'outils de modélisation du système d’information. Ils permettent, de
réaliser des schémas des inventaires, de simplifier les actions de mise à jour et le partage des informations. Par
exemple, certains modifient automatiquement les changements effectués sur les cartes graphiques dans
l’inventaire (et inversement). La cohérence est alors assurée. Les outils de modélisation du système
d’information facilitent la collecte, permettent un gain de temps important et garantissent la cohérence de
l'étude. Ces outils permettent une exportation automatique des rapports.
Référence d'outils : Agile Risk Manager (All4tec), Risk Manager (Egerie).
La quatrième étape concerne la réalisation des cartes grâce à l'outillage choisi. Une attention particulière
devra concerner le caractère sensible des informations comprises dans l'inventaire et les graphiques. Un statut
pourra être définie pour l'étude (ex Très secret défense / Secret défense /Confidentiel défense /Restreint / Public).
Lors de la réalisation de l'inventaire du SI il est conseillé de s'appuyer sur les documents internes
existant, des entretiens ciblé, et une exploration progressive des différent élément matériel du SI (liste d'objets,
connexion en les objets).
La réalisation des cartes ne doit pas faire apparaitre l'ensemble des objets et attribut de l'inventaire. Les
cartes peuvent avoir différent niveau de précision. Ces schéma sont important car ils constitue les premiers
éléments exploité par un audit. Ils permettent une compréhension rapide du SI.
Remarque : Chaque schéma doit comporter un titre, une date, un numéro de version et une légende.
Les étapes précédentes permettent de constituer une vision d'ensemble du SI de l'organisation. Tout
l'intérêt de la cartographie réside dans sa communication et sa mise à jour. La communication devra s'appuyer
sur le statut de confidentialité de l'étude. La cartographie du SI est un élément essentiel de l'organisation. Il
convient de garantir à minima la disponibilité, l'intégrité et la confidentialité des informations qu'elle contient :
mesures de sauvegarde, de stockage sécurisé, conservation des supports papier ...
Remarque : Une cartographie ne doit jamais être stockée sur la SI qu'elle est censée représenter, afin d'éviter de
fournir des informations sur le SI dans l'éventualité qu'une cyberattaque. Elle doit être consultable par un cercle
de personnes restreint concernées.
La réalisation d'une cartographie n'est pas une fin en soi. Le maintien à jour des cartes est indispensable
et permettra d'éviter l'apparition de plusieurs versions. La bonne pratique consiste à instaurer des campagnes
régulières de mise à jour avec les différentes parties prenantes. Lors des revues cartographiques le groupe de
travail pourra se demander si le périmètre d'étude doit être étendu ou s'il faut affiner l'étude.
de la cartographie devra se faire de manière itérative. La construction d'une carte d'un SI est complexe et longue.
Elle s'inscrit dans une démarche d'amélioration en continu faisant collaborer différentes parties prenantes. Cette
démarche permet d'élargir le périmètre de représentation, sa précision et d'améliorer le niveau de maturité aux
risques de l'organisation. De plus, communiquer à chaque étape du projet constitue une autre clef de réussite. En
particulier il est important de bien communiquer sur les enjeux et rappeler les objectifs dès le début du projet afin
de fédérer les différents acteurs. Enfin, une démarche de mise à jour régulière est indispensable à la pérennité de
la cartographie. Pour cela le choix d'un outil efficace, un planning de mise à jour et un cadre structuré d'itération
garantiront des mises à jour en cohérence avec l'évolution du SI dans le temps.
Cette démarche de cartographie sera illustrée dans le chapitre 3 à travers l'étude du SI d'une agence
d'architecture réalisant des projets BIM niveau 2.
2.3.1 NOTIONS
Le risque : Un risque est constitué dès lors qu'une menace parvient à exploiter une vulnérabilité sur un
actif en contournant les mesures de protection.
Exemple : Un pirate informatique à réussi à voler un fichier client stocké sur une base de données non chiffrée.
Ici le risque est le vol du fichier client, la menace le hacker, l'actif le fichier client, les mesures de protection
inexistantes sont l'absence de chiffrement et de code d'accès par exemple.
La problématique de gestion du risque réside dans son évaluation. Il est possible qu'un risque évalué
potentiellement dangereux ne le soit pas et vis et versa. La mesure d'un risque s'obtient grâce à l'évaluation de
son impact et de sa vraisemblance.
Vraisemblance d'un risque : La vraisemblance est la mesure de l'incertitude qu'un risque ai lieu.
Plusieurs éléments peuvent être évalués entre eux pour obtenir une mesure fine de la vraisemblance d'un risque.
Ces éléments doivent concerner l'évaluation de la menace, l'évaluation de la vulnérabilité, l'actif convoité, ou le
niveau de protection de l'ensemble des mesures.
Exemple : Un pirate informatique souhaite voler un fichier client stocké sur une base de données non chiffrée.
Les éléments constitutifs de la vraisemblance du risque sont le niveau de motivation du pirate, les ressources à sa
disposition, et sa connaissance de l'entreprise. La mesure de la vulnérabilité (fichier non chiffré). Le rapport
coûts/bénéfice du vol du fichier.
Impact d'un risque : L'impact d'un risque lié à un système d'information concerne la donnée et le
système d'information. Il conviendra d'évaluer l'impact sur la disponibilité, l'intégrité, la confidentialité et la
traçabilité d'une donnée.
Exemple : Un pirate informatique souhaite voler un fichier client stocké sur une base de données non chiffrée.
Cette donnée concerne les identités bancaires du client. L'impact sur la disponibilité est faible car le client peut
recommander à sa banque ses données bancaires . L'impact sur l'intégrité est faible pour les mêmes raisons.
Cependant l'impact sur la confidentialité est très élevée, le pirate pourra jouir des informations bancaires
impactant ainsi les finances du client.
Mesure d'un risque : La mesure s'apprécie en comparant la vraisemblance et l'impact du risque, grâce à
un diagramme de Farmer. Ce genre de diagramme permet d'évaluer les différentes mesures de protection et de
prévention d'un risque. Un diagramme est composé d'une courbe de tolérance séparant une zone de risque
inacceptable d'une zone de risque acceptable. En fonction du risque envisagé cette courbe de tolérance peut être
accentuée ou affaiblie. En fonction du niveau de vraisemblance et d'impact , un risque sera évalué comme
acceptable ou inacceptable. Un risque inacceptable fera l'objet de mesure protection et de prévention.
Une mesure de protection permettra de limiter les conséquences d'un risque en agissant sur son impact
Exemple : Chiffrer la donnée susceptible d'être volée. Cette mesure n'empêchera pas le vol mais empêchera le
voleur de jouir de la donnée.
Une mesure de prévention permettra de limiter qu'un risque se produise en agissant sur sa vraisemblance.
Exemple : Supprimer la donnée non chiffrée. Cette mesure diminue le risque qu'une donnée non chiffrée soit
exposer au risque de vol.
Illustration d'une courbe de Farmer permettant d'apprécier un risque et les différentes mesures de traitement.
Barrière : Une barrière est un moyen de sécurité capable de protéger une partie du système
d'information contre au moins une menace. Une barrière peut être humaine, procédurale ou technique, statique
ou dynamique, manuelle ou automatique. Elle doit bénéficier d'un moyen de contrôle de son état. 50
Exemple : Un fichier sensible peut faire l'objet d'un chiffrement afin de protéger sa confidentialité lors d'un vol.
Le chiffrement est alors une barrière.
Ligne de défense : Une ligne de défense est un ensemble de barrières dont le franchissement provoque
un incident dont la gravité dépend du nombre de barrières restantes à franchir par la menace pour atteindre le
bien protégé. Toute ligne de défense doit être munie des dispositifs et moyens de détection/veille et de
notification. 51
Exemple afin de protéger une donnée sensible stockée sur un serveur, une entreprise va mettre en place un
ensemble de barrières (mot de passe, chiffrement, droit d'accès, pare-feu...) permettant de filtrer les salariés
autorisés à exploiter la donnée sensible de l'ensemble des autres salariés. Le salarié ayant accès à la donnée
sensible sera inscrit dans un registre listant les personnes ayant eu accès à la donnée sensible.
50
DCSSI, La défense en profondeur appliquée aux systèmes d'information version 1.1 France, DCSSI, 19/07/2004, 51 pages,
p.19, https://www.ssi.gouv.fr/uploads/IMG/pdf/mementodep-v1-1.pdf
51
DCSSI, La défense en profondeur appliquée aux systèmes d'information version 1.1 France, DCSSI, 19/07/2004, 51 pages,
p.19, https://www.ssi.gouv.fr/uploads/IMG/pdf/mementodep-v1-1.pdf
Remarque : Le chapitre 04 (Etude de cas) sera une application de la méthode EBIOS appliquée à une
agence d'architecture fictive qui souhaite mener une analyse des risques détaillés liée à son SI.
La modélisation détaillée est réservée uniquement aux parties d'un SI considérées comme critiques (ex.
la base de données client, l'archivage des brevets...).
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode
d’appréciation et de traitement des risques numériques développée par la DCSSI puis l'ANSSI. La méthode est
compatible avec les normes iso 27000 et iso 31000. EBIOS RM permet d’apprécier les risques numériques et
d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser. Elle permet aussi de valider le niveau de
risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. En dernier lieu
cette méthode permet de communiquer des arguments utiles et à la prise de décision. Cette méthode peut être
utilisée pour :
- Initier ou améliorer un processus de management du risque numérique au sein d’une entreprise.
- Préparer une homologation de sécurité.
- Définir le niveau de sécurité à atteindre pour un produit ou un service selon ses cas d’usages envisagés
et les risques à contrer, dans la perspective d’une certification ou d’un agrément par exemple.
EBIOS adopte une approche de management du risque numérique partant du plus haut niveau (grandes
missions de l’objet étudié) pour atteindre progressivement les fonctions métier et techniques, par l’étude des
scénarios de risques possibles. Elle vise à obtenir une synthèse entre « conformité » et « scénarios », en
positionnant ces deux approches complémentaires là où elles apportent la plus forte valeur ajoutée. Cette
démarche est symbolisée par la pyramide du management du risque numérique.
52
ANSSI, EBIOS RISK MANAGER, France, ANSSI, 12/2019, 91 pages,
https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/
Illustration de la pyramide du management du risque numérique. Source Guide Méthode EBIOS ANSSI
L’approche par conformité est utilisée pour déterminer le socle de sécurité sur lequel s’appuie
l’approche par scénarios pour élaborer des scénarios de risque particulièrement ciblés ou sophistiqués. Cela
suppose que les risques accidentels et environnementaux sont traités à priori via une approche par conformité au
sein du socle de sécurité. L’appréciation des risques par scénarios, telle que l'a décrite la méthode EBIOS RM, se
concentre donc sur les menaces intentionnelles.
Illustration de la pyramide du management du risque numérique. Source Guide Méthode EBIOS ANSSI
Illustration du processus de traitement de risque EBIOS RM 2018. Source Guide Méthode EBIOS ANSSI
53
ANSSI, AGILITE ET SECURITE NUMERIQUES, France, ANSSI, 10/2018, 60 pages,
https://www.ssi.gouv.fr/guide/agilite-et-securite-numeriques-methode-et-outils-a-lusage-des-equipes-projet/
54
ANSSI, EBIOS RISK MANAGER, France, ANSSI, 12/2019, 91 pages, p.9
https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/
55
DCSSI, La défense en profondeur appliquée aux systèmes d'information version 1.1 France, DCSSI, 19/07/2004, 51 pages,
p.19, https://www.ssi.gouv.fr/uploads/IMG/pdf/mementodep-v1-1.pdf
56
La défense en profondeur appliquée aux systèmes d'information version 1.1 DCSSI, 19/07/2004, 51 pages
précédemment chaque composant doit être sécurisé, mais il important de souligner que cette sécurité doit être
considérée dans un ensemble cohérent pour faire face aux menaces.
Pour résumer, pour qu'il ait défense en profondeur il faut un minimum de 2 lignes de défense,
indépendantes capables de se défendre contre plusieurs attaques (une ligne assure seule sa propre défense). La
perte d'une ligne de défense est prévue et impliquera une ligne de défense plus difficile à franchir. Ensuite il est
nécessaire que ces lignes de défenses coopèrent entre elles de manière synergique (l'ensemble des lignes de
défenses présente une force de défense supérieure à la somme de défense de chacune des lignes)
En matière de sécurité des systèmes d'informations l'habitude la plus dangereuse est de se reposer sur
une fausse assurance. Par exemple faire reposer la sécurité d'un système d'information est une erreur
d'appréciation souvent rencontrée. De même penser qu'une solution technique de sécurité de type pare-feu
antivirus ou logiciel de chiffrement est un remède universel serait illusoire. Il n'existe pas de remède universel
contre les cyberattaques. Une démarche saine consiste à gérer l'incertitude, maintenir une inquiétude raisonnée et
entretenir une véritable vigilance.
--------------------------------------------------------
57
DCSSI, La défense en profondeur appliquée aux systèmes d'information version 1.1 France, DCSSI, 19/07/2004, 51 pages,
p.20, https://www.ssi.gouv.fr/uploads/IMG/pdf/mementodep-v1-1.pdf
Rappel : L'application d'une démarche de gestion des risques des SI pour un projet BIM est un travail
d’expert à part entière. L'étude de cas suivante n'est pas exhaustive et n'est qu'une expérimentation de la
méthode EBIOS 2018 RM. Le nom de Wattstudio, donné à la société fictive dont il est question dans ce
document, a été inventé et n'est utilisé que pour présenter une étude de cas du déroulement de la méthode
EBIOS. Cette partie s'appuie sur l’étude de cas @rchimed, illustrant la méthode EBIOS 2010 et réalisée par
l'ANSSI 58.
3.1.1 ACTIVITE
La société Wattstudio est une agence d'architecture multidisciplinaire ayant fondée sa culture sur l'usage
des outils du numérique. Cette PME lyonnaise est constituée d’une douzaine de personnes. L'agence a bâti sa
réputation grâce à des solutions architecturales originales basées sur des techniques innovantes. L'entreprise
concourt pour de grands projets nationaux ou internationaux.
La société Wattstudio réalise des plans de bâtiment civil et militaire, en marché privé ou public sous loi
MOP en mission complète (de la phase FAISA à AOR). Pour cela, elle s'appuie sur la démarche BIM en
élaborant de manière collaborative une maquette numérique avec ses collaborateurs. Elle s'appuie aussi sur des
algorithmes d'aide à la conception brevetés. L'agence s’appuie pour cela sur son système informatique. Elle
attache également une importance extrême à la qualité des documents remis et plus précisément aux maquettes
numériques qu'elle place au centre de sa production. Enfin, son site Internet à été conçu pour être la vitrine de
l'agence. Chaque projet est visitable à travers des maquettes numériques sur la page Web.
3.1.2 CLIENTELE
Cette entreprise compte de nombreux clients, privés ou publics, ainsi que plusieurs professionnels du
bâtiment. L’entreprise a dernièrement perdu un marché : la rénovation d'un bâtiment public. Lors de la
présentation des projets, il est apparu de curieuses similitudes entre la maquette numérique Wattstudio et la
proposition d’un concurrent de Nice. Le directeur de Wattstudio soupçonne une compromission du projet qu’il
avait présenté. Il a maintenant des craintes sur la confidentialité de certains projets, voir de la confidentialité du
code des algorithmes.
D’autre part, de plus en plus de contrats pour lesquels Wattstudio se positionne sont conditionnés par la
capacité à assurer l'intégrité et la confidentialité relative aux aspects techniques du projet. Par exemple, l’appel
d’offre pour la rénovation de certaines installations de la marine nationale entre dans ce cadre.
L'ensemble des projets sont menés en BIM niveau 2 de ce fait une grande place est faite à la
collaboration. Cependant la nature confidentielle des projets qu'elle réalise, notamment pour la marine nationale,
pousse l'agence à réinterroger sa pratique afin de sécuriser les informations de ces projets sensibles.
3.1.3 ORGANIGRAMME
1/ La direction :
1 chef d'entreprise, architecte de formation. Il gère les dossiers clients. Il est le seul à traiter avec
l'extérieur. Il est garant de l'image de marque de l'agence. Il fixe les grandes lignes des différents projets et
58
ANSSI, EBIOS etude de cas @rchimed, France, ANSSI, 25/01/2010,64 pages,
https://www.ssi.gouv.fr/uploads/2011/10/EBIOS-EtudeDeCas-Archimed-2010-01-25.pdf
collabore étroitement avec le service architecture et BET interne. Il est chargé des négociations et fixe les
honoraires de l'agence.
1 assistante de direction en charges de la comptabilité (devis, coûts, fiches salaires ...). Elle compose les
dossiers administratifs d'appel d'offre.
2/ Service architecture :
4 architectes, ils gèrent l'élaboration des projets BIM niveau 2 de la phase FAISA au AOR. Ils assurent
tous les documents nécessaires aux différents rendus pour le client. Ils fournissent les documents aux différents
jalons (Permis de construire, pièces DCE, réserves ...). Ils assurent la collaboration avec le service BET interne.
Ils endossent une fonction de BIM managers. Ils assurent les suivis de chantier.
3 assistants-architectes, principalement ils modélisent la maquette numérique, en s'aidant d'algorithme
d'aide à la conception brevetés par l'agence.
3/ Service BET :
2 ingénieurs, 1 structure et 1 fluide. Ils gèrent l'élaboration des projets BIM niveau 2 de la phase APD
au AOR. Ils assurent tous les documents nécessaires aux différents rendus pour le client. Ils fournissent les
documents aux différents jalons (Permis de construire, pièces DCE, réserves ...). Ils assurent la collaboration
avec le service architecture. Ils assurent les suivis de chantier. Ils établissent les calculs de résistances de
structure et le dimensionnement des différents réseaux.
4/ Service informatiques et web:
1 ingénieur informatique chargé de l'administration du réseau, de la mise à jour du site et du
développement des différents algorithmes d'aide à la conception. Il travail sur un projet d'algorithme nouvelle
génération permettant la génération automatique de plan grâce à l'IA.
Organigramme de la société
Le choix du périmètre de l'étude de risque se portera sur le cœur de métier de Wattstudio. C'est à dire la
gestion des projets BIM niveau 2 avec l'ensemble des collaborateurs extérieurs. La gestion des projets BIM
niveau 2 sert à la production des maquettes numériques, la production des livrables pour les différents jalons, les
notes de calculs... La gestion des relations commerciales sert à l'établissement des fiches clients, des devis,
estimatifs projets ... La gestion informatique et web sert au maintien de la SI de Wattstudio, la gestion du site
web, et le développement des différents algorithmes. La gestion administrative est écartée du périmètre de
l'étude de risque.
L'agence Wattstudio comporte beaucoup d'interfaces. Les clients, les partenaires et les hébergeurs web
par interface interpersonnelle, téléphone, mail et connexion web (HTTP SMTP) vers plateforme BIM.
Le SI de Wattstudio est composé de deux réseaux locaux, un wifi servant pour l'ensemble de l'agence et
un Ethernet servant à cloisonner les études des projets BIM.
Matériel : L’informatique de la société est relié par un réseau Wifi et le BET interne + le service
architecture dispose d’un réseau local de type Ethernet. Le site Internet est hébergé sur un serveur externe. La
direction possède 2 ordinateurs et un kit de nomadisme composé d'un smartphone, une tablette, et ordinateur
portable. Le BET possède 1 ordinateur par personne et 1 kit nomade par personne. Le service architecture 1
ordinateur par personne et 4 kits nomade. Le service informatique d'un ordinateur administrateur et de
développement, et d'un serveur pour le réseau interne. Le service site web est hébergé sur un serveur externe.
Logiciels : Le cabinet a acquis des logiciels : la suite Autodesk (Revit/Robot/BIM360/CADMEP...)
pour réaliser de manière collaborative les maquette numérique. La suite Adobe pour la réalisation des documents
de communication (photoshop, illustrator, indsign ...). Un ensemble d'application pour tablette (gestion chantiers,
armoire à plans ...). Ces outils sont le fruit d'un lourd investissement de la part de l'agence. L'ensemble des
ordinateurs sont équipés d'une suite de bureautique et de messagerie. L'ensemble des ordinateurs fonctionnent
sous Windows 8. Les tablettes et smartphones pros fonctionnent sous OS (Apple).
L'ensemble des actifs informationnels de l'agence sont créés, traités et stockés sur le SI avec deux
particularités. La première est que les données des projets sont partagées sur une plateforme BIM extérieure. La
seconde est que pour la gestion des projets, des salariés sont amenés à travailler à l'extérieur (chantier, synthèse
...) pour cela l'agence met à disposition des kits nomades (laptops pro, tablettes pro, smartphones pro). Ces kits
nomades sont utilisés au sein de l'agence sur le réseau wifi et à l'extérieur de l'agence.
Carte général du SI
A l'issue de l'atelier 0 l'organisation de wattstudio a été décrite, ce qui a permis de définir le périmètre
métier de l'agence. Nous constatons que le cœur de métier de l'agence est la conception et la réalisation de
projets architecturaux sous BIM niv 2. Pour cela 3 groupes collaborent :
+ Le groupe gestion de projet (BET+archi) : ils conçoivent tous les projets confidentiels et non confidentiels de
l'agence. Ils s'appuient pour cela sur des algorithmes "maison" d'aide à la conception et de maquettes numériques
qu'ils partagent avec les partenaires extérieurs du projet (entreprise BTP, spécialistes, BIM manager ...). Ils sont
en charge d'éditer et de partager l'ensemble des livrables des projets (dossier concours, permis de construire,
DCE ...). Ce groupe possède un réseau informatique Ethernet cloisonné du réseau WIFI de l'agence. Ils
possèdent des Laptop, Ipad et Iphone professionnels pour pouvoir travailler à l'extérieur de l'agence (chantier,
clients, visite de site ... )
Valeurs métier retenues :
Gestion de projet : Modélisation des maquettes numériques et calcul technique en BIM niveau 2.
Gestion de projet : Création et partage des livrables
+ Le groupe de gestion Web et développement informatique : Ce groupe gère l'hébergement du site Web,
l'administration du SI, le développement des algorithmes "maison" d'aide à la conception., et le futur
développement de la plateforme relation-client. Ce groupe a accès à l'ensemble du SI de Wattstudio.
Valeurs métier retenues :
Développement informatique : Développement de la plateforme relation client et algorithme.
+ Le groupe de gestions relations commerciales : Ce groupe a pour objectif d'établir les honoraires de l'agence
pour les appels d'offre et d'estimer les coûts de réalisation des projets. Ce groupe a uniquement accès au réseau
WIFI de l'agence.
DISPONIBILITE Description
Entre 4 et 24h Le bien essentiel doit être disponible dans les 24 heures.
Echelle disponibilité
INTEGRITE Description
Echelle intégrité
CONFIDENTIALITE Description
GRAVITE Description
VRAISEMBLANCE Description
Echelle vraisemblance
Le périmètre d'étude des risques repose sur la mission principale de l'agence Wattstudio : la conception
et la réalisation de projets architecturaux sous BIM niv 2. Pour cela l'agence repose sur cinq valeurs métiers
essentielles (= 5 actifs), pouvant subir trois évènements redoutés (atteinte à la disponibilité, à l'intégrité et à la
confidentialité) dont la gravité et l'impact sont évalués.
+Visa
+Maquette numérique livrable
+Mail
+Discussions téléphoniques
+Envois postaux
Évènement redouté Impacts Gravité
1. Gravité
Indisponibilité des livrables
négligeable
Impacts financiers
Impacts juridiques
Impacts sur l'image et la confiance
Impacts sur la sécurité des biens et des 4. Gravité
Altération des livrables
personnes critique
Impacts financiers
Impacts juridiques
Impacts sur l'image et la confiance
Impacts sur la sécurité des biens et des 4. Gravité
Compromission des livrables
personnes critique
Valeur métier : Gestion de projet : Modélisation des maquettes numériques et calcul technique
en BIM niveau 2
Impacts sur le développement des
projets
Impacts sur l'image et la confiance 3. Gravité
Indisponibilité de la maquette numérique
Impacts financiers importante
Impacts sur les missions et services de
l'organisme
Impacts financiers
Impacts juridiques
Impacts sur l'image et la confiance
Impacts sur la sécurité des biens et des
Altération de la maquette numérique personnes 4. Gravité critique
Impacts sur le développement des
projets
Impacts sur les missions et services de
l'organisme
Impacts financiers
Impacts juridiques
Impacts sur l'image et la confiance
Compromission de la maquette numérique Impacts sur la sécurité des biens et des 4. Gravité critique
personnes
Impacts sur les missions et services de
l'organisme
Identification de l'évènement redouté 3
4/ VALEUR METIER : Valeur métier : Gestion relations commerciales : Honoraire, coût de projet ...
La gestion commerciale est assurée par la direction de Wattstudio. Ces informations sont importantes
dans le cadre des appels d'offre car elles constituent un des grands critères d'attribution d'un marché. Ces
événements seront pris en compte pour la suite de l'étude de risque.
Processus Informations essentielles concernées Dépositaires
Impacts financiers
Indisponibilité des devis 2. Gravité limitée
Impacts sur l'image et la confiance
Impacts financiers
Impacts financiers
5/ VALEUR METIER : Valeur métier : Gestion web : Gérer les contenus web
La gestion du site web est assurée par l'ingénieur info de l'agence. La gravité des évènements est peu
élevée. Ces événements ne seront pas pris en compte pour la suite de l'étude de risque.
1. Gravité
Indisponibilité du site web Impacts sur l'image et la confiance
négligeable
Impacts sur l'image et la confiance 2. Gravité
Altération du site web
Impacts financiers limitée
1. Gravité
Compromission du site web
négligeable
Identification de l'évènement redouté 5
Sans les détailler Wattstudio a retenu 5 systèmes en interactions, 3 organisations et 1 local.( La liste
complète des biens supports se situe dans l'annexe 5 rapport de sécurité - Wattstudio - atelier 1-Identification
des misions.)
Dans les locaux de Wattsudio nous avons :
SYS – Réseau interne / SYS – Sous réseau Ethernet / SYS – Sous réseau Wifi / ORG – Organisation du cabinet /
LOC – Locaux du cabinet
En relation avec Wattstudio nous avons :
SYS – Système de l'hébergeur (via Internet et par courrier électronique) / ORG – Hébergeur (via courrier papier
et discutions téléphonique) / SYS – Internet (pour des accès distants et le courrier électronique) / ORG –
Partenaire (cotraitants bâtiment, clients…)
Le schéma suivant décompose les biens supports et les positionne les uns par rapport aux autres :
Déterminer le socle de sécurité permet d'adopter une approche par conformité. Trois sources de mesures
reconnues existent : les guides d'hygiènes info. de l'ANSSI, les textes réglementaires en vigueur et les normes
iso27XXX. Pour cette étude les mesures iso27XXX ont été utilisées comme référentiel de sécurité pour
Wattstudio. Le référentiel de sécurité choisi est présent dans l'annexe 5. Parmi ce référentiel comportant 88
mesures seules 12 mesures été appliqués au sein de WattStudio.
A l'issue de l'atelier 1, des menaces (=événement redouté) très graves pour Wattstudio ont été évaluées.
Ces menaces touches 3 valeurs métiers : la création et partage des livrables / la modélisation des maquettes
numériques et calcul technique en BIM niveau 2/ Gestion relations commerciales : Honoraire, coût de projet. Un
socle de mesure de sécurité basé sur les recommandation des normes iso 27XXX a été établi.
Le prochain atelier aura pour objectif d'identifier les différentes source de risque et leurs objectifs. Qui
ou quoi pourrait porter atteinte aux missions et valeurs métier identifiées dans l’atelier 1, et dans quels buts ?59
Pour cet atelier veuillez vous référer à l'annexe 5 rapport de sécurité - Wattstudio - atelier 2 qui
condense l'ensemble des illustrations.
La finalité de cet atelier consiste à identifier l'ensemble des personnes ou groupes de personnes
susceptible de porter atteinte à la SI de Wattstudio. Et de définir les objectifs susceptibles d'être visés par les
sources de risque. Puis la pertinence de ces différents couples source de menaces et objectifs visé sont évalués
suivant 3 critères : la motivation de la source de risque, ses ressources (financières, compétences, infrastructures
d’attaque) et sa proximité avec les activités de Wattstudio.
Les profils de sources de risques peuvent être classés en 3 grandes catégories. Le premier profil
concernent les organisations structurées recherchant l’efficacité de l'attaque et disposant de moyens sophistiqués,
voire quasi illimités (États, crime organisé). Le second type de profil concernent les organisations ou groupes
guidés par une motivation idéologique et disposant de moyens significatifs mis en œuvre de façon relativement
coordonnées (terroristes, activistes). Le troisième type de profil désigne les attaquants disposant de moyens
limités mais spécialisés (individus isolés, groupes d’individus ou officines). Toutes ces catégories collaborent de
façon opportuniste entre elles. Citons l'exemple d'une organisation terroriste utilisant des supports d'un Etat par
exemple. Le tableau suivant inventorie la plupart des sources de risques susceptibles de nuire à Wattstudio. Le
tableau du guide EBIOS aide à inventorier les différentes source de risque. 60
59
ANSSI, EBIOS RISK MANAGER, France, ANSSI, 12/2019, 91 pages, p.18
https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/
60
ANSSI, EBIOS RISK MANAGER, supplément France, ANSSI, 12/2019, 91 pages, p.22
https://www.ssi.gouv.fr/uploads/2018/10/fiches-methodes-ebios_projet.pdf
Agences concurrentes.
Attaque menée par des « cyber mercenaires» dotés de capacités informatiques
Concurrent généralement élevées sur le plan technique, avec un but lucratif. De tels
groupes peuvent s’organiser en officines spécialisées proposant de véritables
services de piratage.
Aucune intention de nuire, mais les vulnérabilités de leurs SI les expose à de
nombreuses attaques. (Non respect du guide d'hygiène info).
Partenaires-Collaborateur Le risque est qu'un partenaire infecté devienne une porte d'entrée pour une
infection plus globale et notamment chez les entreprises avec qui elles
collabore.
Infection du SI par un ou des malwares.
Malwares non ciblé
Attaque non ciblée affectant le fonctionnement de l'agence.
Employés peu sérieux Non respect du guide d'hygiène info, mauvaises manipulations ...
Les trois réseaux de l'agence constituent les objectifs principaux d'une attaque en menaçant directement
Wattstudio. Internet, les SI des partenaire et la plateforme de collaboration BIM, constituent les objectifs
secondaires d'une attaque car menacent de manière indirecte WattStudio. Ces différentes sources de risque
menacent la disponibilité, l'intégrité et la confidentialité des informations. Il y a en tout 20 objectifs qu'une
source de risque peut atteindre.
La pertinences des couples SR/OV est évalué suivant trois critères la motivation de la source de risque à
atteindre son objectif ; ses ressources (financières, compétences, infrastructures d’attaque) ; son activité (est-elle
active dans le périmètre de l’objet de l’étude, dans l’écosystème, dans l’industrie concernée, dans une industrie
similaire, etc.).
Le tableau suivant synthétise l'évaluation de la pertinence des couples SR/OV. Seul les couples ayant
une pertinence forte et maximale sont retenus.
√ Source de risque Objectif visé Motivation Ressources Activité Pertinence
√ SR5 - Etat malveillant OV3 - Menaces sur le réseau interne +++ ++++ + 3. Forte
causant une compromission
SR7 - Malware non OV4 - Menaces sur le sous réseau Ethernet
++ + + 1. Minime
ciblé causant une indisponibilité
√ SR5 - Etat malveillant OV20 - Menaces sur la plateforme de ++ ++++ ++++ 3. Forte
collaboration causant une compromission
Evaluation des couples SR/OV
Les différents couples SR/OV sont analysés plus finement via des diagrammes radar. La distance
radiale correspond au niveau de pertinence évalué pour l’élément (plus les cercles sont proches du centre, plus ils
sont estimés dangereux pour l’objet de l’étude). La sélection des couples SR/OV est réalisée en privilégiant des
couples situés près du centre et suffisamment éloignés les uns des autres, afin de disposer d’un panel de sources
de risque et d’objectifs visés variés. Ainsi 7 couples SR/OV sont retenus pour la suite de l'étude.
L’objectif de l’atelier 3 est de disposer d’une vision claire de l’écosystème, afin d’en identifier les
parties prenantes les plus vulnérables. Un écosystème est l'ensembles des partenaires gravitant autour de
Wattstudio mais contribuant à la conception et à la réalisation des projet en BIM. En effet de plus en plus de
mode opératoire d'attaque exploitent les maillons les plus vulnérables. Il s’agit ensuite de bâtir des scénarios
d'attaques éventuelles, appelés scénarios stratégiques. Ces derniers sont autant de chemins d’attaque que pourrait
emprunter une source de risque pour atteindre son objectif (cf. voir atelier 2) .
La première étape est de dresser un inventaire des parties prenantes externes et internes de Wattstudio.
Catégorie Partie Prenante
+ Plateforme BIM
Prestataires + Société d'entretiens
+ Formateurs
+ BIM Manager externe
+ Employés Wattstudio
+ BET externes spécialisé (Géomètres, Géothec. , Economistes ...)
Partenaires
+ Entreprises BTP
+ Services urbaines
+Marine Nationale
Clients +Maitres d'ouvrages privés
La seconde étape consiste à évaluer l'ensemble des partie prenantes par rapport à la grille d'analyse suivante.
DÉPENDANCE PÉNÉTRATION MATURITÉ CYBER CONFIANCE
Pas d’accès ou accès avec Des règles d’hygiène Les intentions de la partie
privilèges de type utilisateur informatique sont prenante ne peuvent être
à des terminaux utilisateurs appliquées ponctuellement évaluées.
Relation non nécessaire aux
1 (poste de travail, téléphone et non formalisées. La
fonctions stratégiques.
mobile, etc.). capacité de réaction sur
incident est incertaine.
Accès avec privilèges de Une politique globale est Les intentions de la partie
type administrateur à des appliquée en matière de prenante sont connues et
serveurs «métier» (serveur sécurité numérique. Celle-ci probablement positives.
Relation indispensable mais de fichiers, bases de est assurée selon un mode
3 non exclusive. données, serveur web, réactif, avec une recherche
serveur d’application, etc.). de centralisation et
d’anticipation sur certains
risques.
Relation indispensable et Accès avec privilèges de La partie prenante met en Les intentions de la partie
4
unique (pas de substitution type administrateur à des œuvre une politique de prenante sont parfaitement
Maturité Fiabilité
Partie prenante Dépendance Pénétration Exposition Confiance Menace Crit.
cyber cyber
Clients
Partenaires
Employé Wattstudio 4 4 16 1 4 4 4.0 √
BET externes spécialisé
(Géomètres, Géothec. , 4 3 12 1 3 3 4.0 √
Economistes ...)
Entreprises BTP 4 3 12 1 3 3 4.0 √
Services urbaines 4 1 4 2 4 8 0.5
Prestataires
Plateforme BIM 4 3 12 4 2 8 1.5 √
Société d'entretiens 2 4 8 1 2 2 4.0 √
Formateurs 2 2 4 2 3 6 0.7
BIM Manager externe 4 3 12 2 3 6 2.0 √
Vendeurs
VRP (fabriquant, revendeurs
1 1 1 1 1 1 1.0 √
...)
Evaluation des parties prenantes.
Le niveau de menace que représente une partie prenante est analysée plus finement via un diagramme
radar. La distance radiale correspond au niveau de menace selon l’échelle d’évaluation utilisée. Plus une partie
prenante fait peser une menace numérique importante pour Wattstudio, plus elle se situe près du centre. Ainsi les
parties prenantes situées dans les zones de danger et de contrôle seront prises en compte dans l'élaboration des
scénarios stratégiques.
Les entreprises de BTP, les BET externes spécialisés, les employés Wattstudio, la société d'entretien, la
plateforme BIM, et les BIM managers externes sont des acteurs vulnérable susceptible d'être vecteur d'une
attaque sur Wattstudio.
L’objectif est maintenant d’imaginer des scénarios réalistes d'attaque, indiquant de quelle façon un
attaquant pourrait procéder pour atteindre son objectif. Ces scénarios dits stratégiques sont identifiés par
déduction. Dans cette démarche, l'ensemble des éléments des différents ateliers sont sollicités.
L'ensemble des 7 scénarios stratégiques sont présents dans l'annexe 5.
Par exemple pour le couple SR/OV "Un concurrent menace d'espionner Wattstudio via le réseau Ethernet (réseau
cloisonné pour la modélisation des maquettes numérique)", 2 type chemins d'accès sont possibles :
Le concurrent introduit des malware d'espionnage :
1/ En tentant de corrompre un employé de Wattstudio ou un membre de société de nettoyage pour installer par
exemple une clef usb infectée sur un PC de modélisation.
2/ En espionnant directement via des malwares les partenaires extérieurs de Wattstudio qui ont à leurs
dispositions les informations souhaitées (ex. maquette numérique d'un concours). Si le réseau de Wattstudio n'est
pas protégé, le concurrent peut infecter par ricochet l'agence en infectant un de ses partenaires.
Scénario stratégique SR12/OV6 - Un concurrent menace d'espionner Wattstudio via le réseau Ethernet
Scénarios de risque
√ R8 - Concurrent Ethernet - Vol des MN projet
L’objectif est maintenant d'utiliser l'ensemble du socle de sécurité (cf. atelier 1) afin de réduire le niveau
de menaces des parties prenantes. Des mesures de sécurité ont été définies en priorité pour les entreprise de BTP,
les BET externes spécialisés, les employés de wattstudio et les société d'entretiens car ils constituent des portes
d'entrée critiques pour une attaque éventuelle. Dans un second temps les mesures de sécurité sont définies pour
les BIM managers externes et la plateforme BIM. En illustration les mesures de sécurité à mettre en place pour
diminuer la vulnérabilité des employé de Wattstudio, permettent de diminuer l'exposition à plusieurs scénarios
de risque : vol des maquettes numériques par un concurrent via le réseau Ethernet ou bien modification
accidentelle des livrables projets. L'application des objectifs de sécurité permet de se protéger et de prévenir des
attaques venant de parties prenantes vulnérables. On écarte ainsi les sources de menace.
L'ensemble des application des différentes mesures de sécurité sont présentes dans l'annexe5.
Diagramme radar du niveau de menace des parties prenantes après mise en place de mesure de sécurité.
SR/OV Vraisemblance
SR11/OV12 - Un membre du personnel d'entretien menace d'espionner via les documents papiers
2. Significatif
R1 Pers. entretiens - Vol de devis
SR5/OV20 - Un Etat hostile menace espionner un équipement militaire via la plateforme BIM
2. Significatif
R2 Etat hostile - Vol des MN projet
SR/OV Vraisemblance
SR5/OV3 - Un Etat hostile menace d'espionner la marine via son réseau interne
SR6/OV5 - Un employé menace de modifier le projet par erreur via le réseau Ethernet de Wattstudio
Ainsi le risque qu'un concurrent vole les maquettes numérique sur le réseau Ethernet est quasi certain.
En effet Wattstudio suspecte la compromission d'un projet qu'elle a présentée lors d'un concours, (rénovation
d'une mairie). Le projet d'un de ses concurrent été très similaire au sien. Elle craint pour la confidentialité de
certain de ses projets. Le concurrent peut s'appuyer sur de nombreux prestataires en lien avec Wattstudio pour
compromettre ses maquettes numériques. Ces prestataires ont un niveau d'hygiène informatique très faible et se
connecte souvent sur le réseaux Ethernet de l'agence lorsqu'ils viennent travailler dans les locaux. Et Wattstudio
n'a pas encore mis en place les dispositifs pour sécuriser son SI. La combinaison de ces facteurs aggravants rend
une opération d'intrusion et d'exfiltration de données très facile pour un attaquant et en employant un minimum
de ressource.
Diagramme de Farmer
Légende :
R1 - Pers. entretiens - Vol de devis / R2 - Etat hostile - Vol des MN projet / R3 - Concurrent Wifi - Vol de devis /
R4 - Etat hostile - Vol de l'ensembles des MN de Wattstudio / R5 - Erreur partenaire - Modification de devis / R6
- Erreur partenaire - Modification des MN projet / R7 - Erreur partenaire - Modification livrables / R8 -
Concurrent Ethernet - Vol des MN projet / R9 - Erreur employé - Modification devis / R10 - Erreur employé -
Modification MN projet / R11 - Erreur employé - Modification livrable
Le tableau suivant présente les options choisi de traitement de risque. L'agence wattstudio
SR11/OV12 - Un membre du personnel d'entretien menace d'espionner via les documents papiers
SR5/OV20 - Un Etat hostile menace espionner un équipement militaire via la plateforme BIM
Mesure de maintien
R2 Etat hostile - Vol des MN projet
Mesure de partage
SR5/OV3 - Un Etat hostile menace d'espionner la marine via son réseau interne
SR6/OV5 - Un employé menace de modifier le projet par erreur via le réseau Ethernet de Wattstudio
L'ensemble de ces mesures de traitement sont ensuite échelonnées dans le temps en fonction des
moyens qu'elles nécessitent a être implémentées et la priorité du risque à traiter. Elles sont documentées dans un
PACS (plan d’amélioration continue de la sécurité) dans l'annexe 5 atelier 5. Le PACS constitue une partie du
plan de défense en profondeur de Wattstudio.
Coût /
Mesure de sécurité Éléments associés Scénarios de risque Échéance Statut
Complex
--------------------------------------------------------
CONCLUSION
La mise en place du BIM constitue une transformation profonde pour une organisation. Et au
regard du niveau de maturité du secteur de la construction, une révolution ! Le BIM tient ses
promesses. Ce processus commence à arriver à maturité et nous constatons des gains de qualité et de
réduction des temps, cela grâce à l'utilisation de la maquette numérique. Le collectif constitue le liant
des projets de construction et le BIM tend à le sublimer. Cependant cette transition n'est pas sans
risque et l'agence dans laquelle je travaille peut en témoigner. Cette thèse contient tous les éléments
permettant à un expert en BIM et profane en SSI de comprendre ce sujet de manière globale. Cette
thèse constitue un ensemble de recommandation et un programme d'actions à mener pour qu'une
agence puisse sécuriser sa transition numérique. En effet je me suis inspiré du processus qui a permis à
l'agence dans laquelle je travaille de renforcer la sécurisation de son SI au regard du BIM. Ce sujet est
très jeune et mériterait que des spécialistes le prennent en charge au regard des risques évoqués. Avec
le cas d'étude Wattstudio nous avons à peine pu effleurer le sujet. J'aborderai avec vous lors de la
soutenance la sécurisation du processus BIM en lui même.
Cette thèse doit être considérée comme non aboutie. L'ensemble des acteurs se doit de
s'approprier le sujet, de trop grands risques persistent et le BIM ne fait que les amplifier. Nous avons
une responsabilité envers les personnes que nous abritons. La suite des pages reste à écrire par
l'ensemble des acteurs du secteur de la construction, afin de pouvoir réussir une transition du secteur
en toute sécurité.