Cyber et stratégies industrielles

Sécu’ de l’info’

SMSI : système de management de la sécu’ de l’info’. Tt les ent’ ont un SMSI pour sécu’ l’info’. Tt ent’
manip’ de l’info’ donc faut assu’ la sécu’ de cette info’. Pour ce faire, on va mettre en place un
système de management

La norme internat’ qui gère le SMSI c’est la norme ISO IEC 27001 (elle donne des
exigences/prescriptions). Tt les normes de la série 27000 touche à la sécu’ de l’info’. La norme ISO
IEC 27001 elle raconte comment mettre en place et maintenir en état un SMSI. A quoi sert la 27001  ?
A mettre en place la PDCA, c’est comment fonctionne le 27001. PDCA = Plan Do Check Amelioration.
Aspect vital au cœur de la 27001 c’est l’amélioration, sinon, l’info’ sera plus protégée. C’est dur car y
a de la résistance au changement, même à des spécialistes ça plaît pas

CDI ou CIA : confidentialité, dispo’ et intégrité de l’info’. Si le SMSI garantit ça, on est bon. Y a svt des
pb de confidentialité. PDCA ça sert à assu’ CDI

Sécu’ de l’info’ c’est la sécu’ de tt type d’info’. HUMINT : human intelligence

Importance de la sensibilisation/forma’. Être actualisé. C’est un pb car y a pas de forma’ importante

et du coup y a de la vulnérabilité

Ciblage. Tamponnage

Cybersécu’

C’est tout ce qui est co’ à Internet. Tt les ent’ de techno’ sont des cibles actives

Les données perso’ ont jamais été aussi attaquées que mtn

Les normes

ISO 27000 c’est le voc’. Dans les 27000 et quelques (e.g. 27002) y a des guides de bonne pratique,
d’explications de la 27001, qui est une norme d’obligation

Sécu’ de l’info’ – Cybersécu’ – Continuité de l’info’ (22301)

27701 est candidat norme pour le RGPD

Les référentiels de sécu’ internat’ et soft power

On a décidé qu’on allait mettre en place des normes pour protéger les info’ de qq ent’, des grd. Mais
les p’tits fournisseurs qui se co’ on a tendance à les oublier. Les USA, en avance, veillent à ce que
l’info’ non-classifiée soit protégée. Controlled Unclassfied Information
NIST (National Institute of Standards and Techno’) : instit’ am’ qui fait la pluie et le beau temps en
termes de cybersécu’. Edite des normes. Formulation de manière à ce que ce soit juste les US qui
maîtrisent. Ils fixent les règles donc sont maîtres du jeu. Interactions/télescopage avec les normes
étrangères

Cyber et stratégies étatiques

Modèles de cybersécu’ : Israël/USA/Russie… Doctrines défensives ou offensives. Il faudrait combiner

les 2

Ex’ israélien/estonien/rwandais

Israélien : le cyber-campus a été construit sur le modèle israélien. L’hist’ c’est de concentrer tt les
forces cyber en un seul endroit, ça revient à mettre tous les œufs dans le même panier. Les Israéliens
avaient un système décentralisé et ont centralisé.
Au milieu des années 2000 : changement stratégique. Guerre de l’info’ et décision organisationnelle.
Créa’ d’un campus cyber dans le désert. Arrière-pensée stratégique = créa’ d’un écosystème autour
d’une uni’ avec le gouv’, des centres de R scientifique… Il s’agissait de maximiser les échanges, cad,
aller vite, très vite. Créa’ d’une masse critique
Mais tout ça c’est risqué. Après peut-être qu’officieusement la Fr’ centralise pas (la Bretagne si,
sûrement). Les Israéliens c’est quasi certain que non, centralise pas. Disperser les capacités sur le
territoire, c’est î mais pas tant, ce qui est î c’est de disperser dans le monde. Les Israéliens sont
présents en Corée du Sud par ex’. Les Russes ont SOC (Security Operations Center) avec Singapour…

Rwanda : un écosystème top down, vertical donc ça va vite. Projet de reconstruction du Rwanda
post-génocide sur les TIC. Déploiement de la fibre optique, tous les services de l’Etat sont rapidement
passés au numérique, avant même la Fr’. Appuis sud-coréen, am’, chinois… Kagamé a tjrs joué sur les
deux sphères. Y a de + en + de pays afr’ qui vont faire ça, genre faire rentrer USA – Chine – Russie
dans la boucle. Kagamé, contrairement a bcp de dirigeants, maîtrise Les TIC. Dans les 2010’s, il
manquait quand même encore la pièce cyber au Rwanda. Le Rwanda a fait alliance avec les
Israéliens. Duplication du modèle israélien. Limites : très bonne com’ du Rwanda sur le cyber mais y a
pas de R, de techno’ prod’ localement… Alliance aussi avec la Russie. Le deal avec Putin c’est de faire
un peu de nucléaire au Rwanda. Les Chinois sont là aussi même si invisibles mais sont là éco’. Pb de
l’interdépendance vis-à-vis de l’étranger, tout peut s’effondrer de l’exté’. Tous les pays afr’ y sont
sujets mais le Rwanda est celui qui a été le + loin le + vite

Classement ITU (Internat’ Telecom’ Union) : Ile Maurice, Kenya, Rwanda. Maroc, Côte d’Ivoire,
Sénégal, tente de monter, Côte d’Ivoire est le pays en meilleure voie

Estonie : s’est présenté comme le leader euro’ de la cybersécu’, déjà dans les 2010’s. L’Estonie se
fonde sur des grd principes : 1ère cyber-guerre c/ la Russie en 2007 / Skype / expérimentations
numériques car y a qu’1 million d’hab’ / OTAN / soft power (com’). L’Estonie absorbe alors le marché
scandinave et est présent sur d’autres continents, genre l’Afr’. Mais c’est de la com’, y a pas tant que
ça de boîtes de cybersécu’ en Estonie. L’Estonie se vend comme euro’, mais c’est l’OTAN qu’il y a
derrière
Cyberarmes – Cyberguerres

Unités d’assaut cyber : dizaines de milliers d’experts aux US, qq milliers en Fr’… 17 agences de
renseignement aux US et sont en concu’, un pays n’est pas monolithique. Le + grd danger ajd ds le
monde ce sont les stock piles de zero days. Ce sont toutes les failles qui ne sont pas connues des
experts. Avoir un zero day c’est un avantage énorme. Les services de renseignement tentent d’en
accumuler pour formuler des attaques permanentes et pénétrer des logiciels. Les agences devraient
com’ les zero days au niveau de l’Etat, mais non, font de la rétention d’info’. En plus l’exécutif
comprend pas de toute façon

Ransomware ce qui est dangereux c’est qu’un Etat peut faire passer ça pour une D de rançons alors
que ce serait de l’espionnage d’un Etat étranger. Ça peut aussi faire partie d’une guerre larvée /b/
Etats. Les Etats sont ceux qui ont la capacité d’agir la + forte
Les proxy ce sont des gr’ qui agissent pour le compte de…
Espionnage ind’ mais aussi déstabilisation par rebonds
Les journalistes, les pol’, connaissent rien au cyber et sont malléables. Les techniciens connaissent
rien à la pol’ donc ça les dépasse aussi d’une autre manière

Du côté de Rennes encore, la cyberfactory. Bruz

S’appeler cyberfactory c’est déjà presque un aveu. 44 millions d’€, on fait quoi avec ça ?

Cyberarmes : virus, ver (il s’auto-réplique et peut envoyer des info’ à son centre de commande et de
contrôle), cheval de Troie… Malware, maliciel, logiciels d’attaque. Tous ces logiciels d’attaque
utilisent des zero days. Cyberattaque c’est aussi du hardware quand tu transformes des puces pour
les rendre vulnérables, c’est du shipping. Backdoors : les sociétés utilisent un outil de test pour voir si
on des vulnérabilités et les pirates rentrent dedans pour profiter de l’analyse. Des outils de
protection peuvent eux-mêmes devenir des menaces. Cobalt strike, une IEM = impulsion
électromagnétique car ça peut neutraliser des appareils électriques et électroniques, il s’agirait
d’utiliser une arme nucléaire en haute atmosphère pour « pas » faire de morts mais agir. Les
microbes, on utilise du biologique pour prod’ des composants de device électroniques. Il s’agirait de
détruire des composants par la bio’. Les radiations diverses et variées pour capter de l’info’. On va
très au-delà de l’aspect purement cyber. Spoofing = usurper des ID. Deep fakes, c’est basé sur l’IA,
c’est pour créer une fausse vidéo par ex’. Les opérations de guerre psycho’ (PSYOP), elles sont très
vénéneuses car pas facilement détectables. Ça peut être sur du soft power pour modif’ la perception
d’un allié ou d’un adversaire. Les Am’ sont forts là-dessus. C’est plus poussé que la guerre d’info’

Stuxnet, découvert en 2010 mais déjà depuis 2007/2008. C’est découvert par une petite boîte
biélorusse. C’est la plus grosse cyberarme mondiale. Ne traînait pas qu’en Iran. C’est bizarre que
perso’ ait rien vu avant. Qd l’info’ sort Simon Tech, proche de la CIA, prend l’initiative de détourner
l’info’ du ver Stuxnet vers les centres de commande et contrôle ID. Perso’ n’a réagi. Perso’ n’a fait de
remarques. Ça montre que le cyber internat’ c’est le far west. Y a du détournement de flux. Le
logiciel en q, c’est un malware, perso’ comprend ce que ça fait. La Chine a cru que l’Inde l’attaquait et
vice-versa. Les + grosses contaminations ont eu lieu en Inde alors que 1 er cas en Iran. Le malware
devait toucher les centrifugeuses nucléaires iraniennes en dégradant l’uranium. C’était un 9/11 info’
ANSSI

Attrib’ les cyberattaques c’est compliqué, c’est dur d’avoir des preuves
Y a une seule attrib’ de cyberattaque qui a été faite à la Fr’ de la part des Canadiens, une attaque
pour cyber-espionnage en Afr’, qui visait aussi Syrie, Iran…

4 sujets, 2H puis présentation de 10min

NSO/Pégasus : logiciel de cyberattaque crée par les Israéliens, un gr’ qui ferait la presse, un autre le
Maroc (on a rien fait), un autre les Israéliens (on vend des logiciels pour protéger pas espionner)

dbourra@gmail.com

COMCYBER : Le commandement de la cyberdéfense (COMCYBER) est un commandement

opérationnel composé, de l’ensemble des forces de cyberdéfense des armées, directions et services,
sur lesquels il exerce une tutelle organique ou fonctionnelle. Placé sous l’autorité directe du chef
d’état-major des armées, le COMCYBER est responsable de la manœuvre cyber globale.

DRSD : dir’ du renseignement et de la sécu’ de la déf’

Olympic games : L’opération Olympic Games (« Jeux olympiques ») est une série de cyberattaques
secrètes américaine contre le programme nucléaire iranien.

L’unité 8200 (prononcé 8-200, en hébreu : 8200 ‫יחידה‬, Yehida Shmone-Matayim, également appelée
Israeli SIGINT National Unit ou ISNU) est une unité de renseignement de l'Armée de défense d'Israël,
responsable du renseignement d'origine électromagnétique et du décryptage de codes. L'unité est
également désignée dans certaines publications militaires sous le nom de Central Collection Unit of
the Intelligence Corps1.

APT : Une Advanced Persistent Threat (Anglais: traduction littérale, menace persistante avancée ;
souvent abrégé APT) est un type de piratage informatique furtif et continu, ciblant une entité
spécifique. Comme son nom l'indique une APT doit être: Sophistiquée (advanced): l'attaque est d'un
haut niveau technique ce qui lui permet de pénétrer furtivement les systèmes d'informations
d'acteurs évolués notamment les grandes entreprises ou les États. Persistante (persistent): l'attaque
est capable de se maintenir pour de longue période de temps dans ces systèmes et d'y agir ou d'en
extraire des informations sans se faire repérer. Le terme Advanced Persistent Threat est également
couramment utilisé par métonymie pour désigner des acteurs opérant des APT (aussi appelés
"groupes APT"). La mise en œuvre d'une APT nécessite des ressources importantes (équipes de
techniciens très qualifiés) stables dans le temps c'est pourquoi ce secteur a été traditionnellement
considéré comme relevant d’États ou de groupes sponsorisés par des États cependant certains
experts considèrent que la dissémination des outils APT, notamment la reprise d'outils APT étatiques,
a pu permettre l'émergence de groupes APT criminels indépendants.
Ordonnanceur de tâches : Dans les systèmes d'exploitation, l’ordonnanceur est le composant du
noyau du système d'exploitation choisissant l'ordre d'exécution des processus sur les processeurs
d'un ordinateur. En anglais, l'ordonnanceur est appelé scheduler.
Rootkit : Rootkit : A "rootkit" is a stealthy type of software, typically malicious, designed to hide the
existence of certain processes or programs from normal methods of detection and enable continued
privileged access to a computer. Un rootkit (le nom « outil de dissimulation d'activité » est également
utilisé, ainsi que « maliciel furtif » et « trousse administrateur pirate »), parfois simplement « kit »,
est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d'obtenir
et de pérenniser un accès (généralement non autorisé) à un ordinateur de la manière la plus furtive
possible, à la différence d'autres logiciels malveillants.

Acteur majeur de la cyber sécurité, l'ANSSI apporte son expertise et son assistance technique aux
administrations et aux entreprises avec une mission renforcée au profit des opérateurs d'importance
vitale (OIV). Elle assure un service de veille, de détection, d'alerte et de réaction aux attaques
informatiques

Un opérateur d'importance vitale (OIV) est, en France, une organisation identifiée par l'État comme
ayant des activités indispensables à la survie de la nation ou dangereuses pour la population. Il y en a
environ 250 dans 12 secteurs d'activité2. Pour des raisons de sécurité nationale, la liste des OIV n'est
pas publique et il est demandé aux entreprises désignées de ne pas communiquer sur leur
implication au dispositif.
Un secteur d'activités d'importance vitale (SAIV), tel que défini par l'article R. 1332-2 du Code de la
Défense, est constitué d'activités : concourant à un même objectif, la production et distribution de
biens ou de services indispensables :
à la satisfaction des besoins essentiels pour la vie des populations,
à l'exercice de l'autorité de l'État,
au fonctionnement de l'économie,
au maintien du potentiel de défense,
ou à la sécurité de la Nation ;
ou présentant un danger grave pour la population

Un système de contrôle et d’acquisition de données en temps réel (SCADA) (anglais : Supervisory

Control And Data Acquisition1, sigle : SCADA) est un système de télégestion à grande échelle
permettant de traiter en temps réel un grand nombre de télémesures et de contrôler à distance des
installations techniques