Page |1

REPUBLIQUE DEMOCRATIQUE DU CONGO

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET UNIVERSITAIRE
INSTITUT SUPERIEUR D’INFORMATIQUE,
PROGRAMMATION ET ANALYSE
‘’ I.S.I.P.A.‘’
B.P 1895
KINSHASA I

MISE EN PLACE DES STRATEGIES POUR

LUTTER CONTRE LA CYBERCRIMINALITE DANS
LES PETITES ET MOYENNES ENTREPRISES EN
REPUBLIQUE DEMOCRATIQUE CONGO


Jérémie BONGISA LIKITI
Travail de fin d’études présenté et
défendu en vue de l’obtention du
diplôme de licence en Sciences
Informatiques
Option: Informatique Appliquée
Orientation: Télécommunications et
administration Réseau

Directeur : CT Dior MIZONZA BANTIKO

Ingénieur Informaticien

Session de Juillet 2016

 Page |2

EPIGRAPHE
‘’Dans les profondeurs de web, personne n’est à l’abri’’
Patricia ARQUETTE
 Page |3

DEDICACE
A nos parents Adolphe LIKITI KOLA et Eugénie MABALO MATEMBE, pour
tout leur sacrifice, soutient, affection et amour.
 Page |4

REMERCIEMENTS
Voilà pour nous, à la fin de notre deuxième cycle, saisir cette belle
occasion pour remercier tous ceux ou celles qui, de près ou de loin,
ont concouru à la réussite de nos études.

A l’issu de ce travail, il est pour nous un devoir et un honneur de

présenter nos sincères remerciements tout d’abord à l’Eternel Dieu qui
nous a donné souffle et vie pour être en vie jusqu’à ce jour.
Nous pensons à tout le corps professionnel et enseignant de l’Institut
Supérieur d’Informatique, Programmation et Analyse en général et celui
de la section de l’Informatique Appliquée dans son orientation de
Télécommunications et Administration Réseau en particulier pour leurs
enseignements de qualité dont nous avons bénéficiés pendant notre
formation. C’est ainsi que nous réalisons ce mémoire qui ne serait
parvenu aisément à ses fins sans la volonté de bien vouloir nous
orienter, la disponibilité et l’attention de l’Ingénieur
Informaticien, le Chef des Travaux Dior MIZONZA BANTIKO, qu’il trouve
ici notre sincère gratitude.
Nous témoignons notre gratitude en direction de mes chers parents en
l’occurrence Papa Adolphe LIKITI KOLA et Maman Eugénie MABALO MATEMBE
ainsi que toute la famille LIKITI : Jacquie LIKITI, Kabibi LIKITI, Gisèle LIKITI, Blandine
LIKITI, Olivier LIKITI, Dorcas MBELE LIKITI, Thérèse LIKITI et ma chère tante Jeanne
SUKA, mon cher oncle Richard MABALO qui n’ont cessé à chaque pas posé de
nous encourager et de nous soutenir inconditionné et spontané tant
matériel, spirituel que financier dans ce périple des études.
Mes vifs remerciements à mes chers amis de tout le temps en occurrence
Rodrigue LILOMBO, Patrick APOTO et tous les lecteurs de Saint Pierre
à Kinshasa qu’ils trouvent dans ce travail de quoi être satisfait et
aient la gratitude pour leur soutient.
A mes camarades Ingénieurs, compagnons d’élites dans ce périple des
études ; Gloire TSHIBAKA, Eben KHONDE, Albert TETE, Genuino GOMEZ
ANTONIO, Sim GATSHE, Marlin NKUNGA, Kenny EKWE, … qui ont constamment,
à tout temps et sans relâche été à nos côtés, et significativement ;
qu’ils trouvent ici l’expression de mes remerciements plus profonds.
Nous vous remercions.
Jérémie BONGISA LIKITI

LISTE DES ABREVIATIONS

ACL : Access Control List
APT : Advance Persistent Threats
 Page |5

AS : Autonomous System
ASP : Application Service Provider
B2B : Business To Business
B2C : Business To Consumer ou Business To Client
B2E : Business To Employee
B2G : Business To Government
BGP : Border Gateway Protocol
BGP : Border Gateway Protocol
BYOD : Bring Your Own Device
C2C : Consumer To Consumer
CADICEC : Centre d'Actions pour Dirigeants et Cadres d'Entreprises
Chrétiennes
CRM : Custormer Relationship Management
DDoS : Distributed denial of service attack
DMZ : DeMilitarized Zone
DNS : Domain Name System
DTA : la date au plus tard
DTO : la date au plus tôt
EDI : Échange de données informatisé
EGP : Exterior Gateway Protocol
FAI : Fournisseur d'Accès à Internet
FTP : File Transfer Protocol
FTPS : File Transfert Protocol Secure
GPRS : General Packet Radio Service
GPS : Global Positionning System
GSM : General System for Mobile Communication
HTTP : HyperText Transfer Protocol
IaaS : Infrastructure as a Service
ICCC : International Conference on Computer Communications
ICMP : Internet Control Message Protocol
IGP : Interior Gateway Protocol
IMAP : Internet Message Access Protocol
IP : Internet Protocol
IRC : Internet Relay Chat
ISP : Internet Service Provider
LID : Lutte Informatique Défensive
LIO : Lutte Informatique Offensive
LVM : Logical Volume Management
MIT : Massachusetts Institute of Technology
ML : Marge Libre
MT : Marge Totale
MTA : Mail Transfer Agent
MUA : Mail User Agent
NAS : Network Attached Storage
 Page |6

NNTP : Network News Transfer Protocol

NTIC : Nouvelle Technologie d’Information et de la Communication
OSSIR : l'Observatoire de la sécurité des systèmes d'information et
des réseaux
P2P : Pair to Pair
PaaS : Platform as a Service
PDA : Personal Digital Assistant
PERT : Program Evaluation Review Technique
PIN : Personal Identity Number
PPP : Point to Point Protocol
POP : Post Office Protocol
POP3 : Post Office Protocol version 3
QCD : Qualité-Coût-Délai
RAID : Redundant Array of Inexpensive Disks
RDC : République Démocratique du Congo
RFC 2487 : Request For Comments : 2487, Internet Mail Consortium de
l’extension de service SMTP pour sécuriser SMTP sur TLS
Janvier 1999
RFID : Identification par radiofréquence
RSI : Responsable de Système d’Informatique
RSSI : Responsable de Sécurité et de Système d’Informatique
RTC : Réseau Téléphonique Commuté
RVP : Réseau Virtuel Privé
SaaS : Software as a Service
SI : Système d’Information
SMTP : Simple Mail Transfer Protocol
SPRL : Société des Personnes à Responsabilité Limitée
SSL : Secure Sockets Layer
TCP/IP : Transmission Control Protocol/IP
TIC : Technologie de l'Information et de la Communication
TLS : Transport Layer Security
UDP : User Datagram Protocol
UIT : Union Internationale des Télécommunications
URL : Uniform Resource Locator (Localisateur Uniforme de
Resource)
USD : United States Devise (Dollars des Etats Unis d’Amérique)
VPN : Virtuel Privated Network
Wi-Fi : Wireless Fidelity
WWW : World Wide Web

LISTE DES TABLEAUX

Tableau 2.1 : Tâches, temps et coûts prévus pour chaque tâche
Tableau 2.2 : Tableau synthétique du PERT
 Page |7

Tableau 2.3 : Le cout total du projet

Tableau 4.1 : Tableau conçu à partir des données de la charte de PME

de mars 2006
Tableau 4.2 : Détails des effectifs
Tableau 4.3 : Secteurs d’activités
Tableau 4.4 : Détail des différents accès réseaux
Tableau 4.5 : Motifs de la décision de la connexion à l’internet
Tableau 4.6 : Développement d’applications de « mise en relation et
connaissance de l’environnement »
Tableau 4.7 : Domaines d’utilisation des NTIC avec les partenaires
Tableau 4.8 : L’utilisation des NTIC a permis à votre entreprise
Tableau 4.9 : Les acteurs externes avec lesquels
Tableau 4.10 : L’utilisation des NTIC a permis à votre entreprise de
trouver de nouveaux fournisseurs ou partenaires
 Page |8

LISTE DES FIGURES

Figure II.1 Graphe (Réseau) PERT non ordonné
Figure II.2 Graphe (Réseau) PERT ordonné
Figure III.1 Le Cloud Computing
Figure III.2 Les services de Cloud Computing
 Page |9

INTRODUCTION GENERALE
Dans les pays en développement, les Petites et Moyennes Entreprises
sont un moteur essentiel de la croissance économique et de la création
des richesses1. Les Technologies de l’Information et de la
Communication sont susceptibles de jouer un rôle fondamental pour leur
performance comme en témoigne la place de choix qu’elles occupent dans
les stratégies de développement dans des multiples domaines. C’est
pourquoi les PME sont des cibles susceptibles des cybercriminalités.

La cybercriminalité fait peser une menace grandissante sur chaque

citoyen et entame la confiance des consommateurs dans l’économie
numérique. Les cybercriminels agissent à partir de n’importe quel
point du globe pour s’attaquer à des infrastructures critiques, des
entreprises ou de simples particuliers en prenant un minimum de risques
et avec à la clé d’immenses gains financiers. Pour lutter efficacement
contre la cybercriminalité, il est important de bien comprendre le
phénomène et de l’anticiper. Pour atteindre cet objectif, ce travail
met en place des stratégies de base qui dévoilent toutes les facettes
de la cybercriminalité et de lutter contre ce phénomène.
1. PROBLEMATIQUE
Nous considérons la problématique comme un questionnement systématique
des postulats et implications d’une recherche scientifique qui évite
au chercheur de mené une étude sur base d’affirmations péremptions ou
d’informations compilées au gré du hasard. Elle est construite autour
d’hypothèses de recherche qui permettent de saisir les enjeux et la
portée de la question centrale concernant ce qui pose problème dans
le sujet traité.2
Les Petites, Moyennes Entreprises (PME) représentent une source
importante d’emplois et d’innovations dans le monde entier en général
et en République Démocratique du Congo en particulier. Elles évoluent
aujourd’hui dans un environnement de plus en plus numérique, qui
favorise incontestablement leur compétitivité et leur croissance. Pour
autant, les Nouvelles Technologies de l’Information et de la
Communication (NTIC), lorsqu’elles sont mal maîtrisées, peuvent être
à l’origine de vulnérabilités et faciliter les attaques sur
l’entreprise.
Puisque le système d’information est vital pour l’entreprise, tout ce
qui menace sa sécurité est potentiellement « mortel » pour
l’entreprise.

1
Ministère des Petites et Moyennes Entreprises, charte des petites, moyennes entreprises et de l’artisanat en
République Démocratique du Congo, Kinshasa, Août 2009, p.57.
2
G. OTEMA SANIMO, Méthodologie de la recheche scientifique, Note des Cours, TM2, ISIPA, 2007.
 P a g e | 10

Cela étant, l'expansion de la société de l'information s'accompagne

de nouveaux dangers et de graves menaces. En effet, des services
essentiels, tels que la distribution d'eau et d'électricité, les
transactions bancaires s'appuient aujourd'hui sur les NTIC. De même,
les voitures, la régulation du trafic, les ascenseurs, la
climatisation, le téléphone et même notre quotidien reposent sur la
bonne marche de ces nouvelles technologies. Ces quelques exemples
montrent à quel point les NTIC font aujourd'hui partie de notre
quotidien.
C’est ainsi qu’un nouveau genre des menaces et des attaques visant les
infrastructures de l'information et les services Internet sont donc
susceptibles de porter gravement atteinte à la société.
Face à de telles attaques et menaces: fraude en ligne, diffusion de
contenu pornographique mettant en scène des enfants, opérations de
piratage, les dénis de services, l’ingénierie sociale, pour ne citer
que quelques exemples d'infractions informatiques commises chaque jour
à grande échelle ainsi que les pertes financières dues à la
cybercriminalité qui sont extrêmement élevées ; plusieurs
interrogations peuvent être soulevées :
➢ Aujourd'hui, on compte 3 milliards d'internautes, soit un peu
plus de 40% de la population globale. Quotidiennement, ces
internautes ont des activités dans le cyberespace. En définitive,
quelles solutions efficaces, techniques ou juridiques,
pourraient être étudiées et mises en place au niveau individuel
et dans nos milieux professionnels pour enrayer le développement
important des escroqueries sur le cyberespace ?
➢ Les ordinateurs et Internet offrent de grands avantages aux PME.
Cependant, ils représentent également des opportunités
d'activités criminelles telles que fraude, vol d'identité,
espionnage etc. En tant qu'utilisateur d'Internet, quelles sont
les idées importantes et de mesures précises devrons-nous prendre
pour réduire le risque encouru de la cybercriminalité ?
➢ Face à l’actualité de la cybercriminalité qui constitue une
véritable menace pour la sécurité des réseaux informatiques, la
sécurité des cybercitoyens et cyberconsommateurs, est-il
nécessaire de fixer les grandes orientations de la stratégie de
prévention et de répression de la cybercriminalité en PME
Congolaise ?
➢ Les outils technologiques suffisent-ils pour garantir la
cybersécurité des SI dans les PME? Et Peut-on parler de sécurité
dans cet espace virtuel complexe qu’est Internet ?
Telle est la problématique fondamentale de la mise en place des
stratégies de cybersécurité des systèmes d’informations en Petite et
 P a g e | 11

Moyenne Entreprise. C’est à toutes ces interrogations que nous

essayerons d’ouvrir des pistes de réflexion dans ce travail.
2. HYPOTHESE
De l’hypothèse, nous pouvons affirmer qu’il s’agit d’une proposition
de réponse à la question posée. Elle tend à formuler une relation
entre des faits significatifs. Même plus au moins précise, elle aide
à sélectionner les faits observés. Ceux-ci ressemblés, elle permet de
l’interpréter, leur donner une signification qui, vérifiée,
constituera un élément possible de début de théorie3.
Pour y faire face, les PME n’ont pas toujours la possibilité de
recruter des profils dédiés à la sécurité informatique. Qui plus est,
l’approche qu’elles ont de la gestion des infrastructures
informatiques varie en fonction de l’utilisation qui en est faite, de
leur taille, du secteur économique et du budget qui y est consacré.
De fait, à l’exception de certains secteurs très spécifiques, le niveau
de perception et de prise en charge du cyber risque dans les PME est
aujourd’hui très faible.
Etant donné qu’aujourd'hui, on compte un peu plus de 40% de la
population globale de la planète soit plus de 3 milliards
d'internautes, dont quotidiennement, ces internautes jouent,
téléchargent, se renseignent, achètent, réalisent des virements dans
le cyberespace4 ; Cela fait un potentiel de victimes considérable,
d'autant que beaucoup d'internautes ne sont pas au fait de règles de
sécurité de base (choisir un bon mot de passe, mettre à jour ses
logiciels et son système, se protéger).
Une cybersécurité efficace exige davantage que des systèmes
sécuritaires. Les organisations doivent également se montrer
vigilantes et résilientes en surveillant l'environnement des
cybermenaces et en planifiant avec soin les activités d'intervention
et de reprise bien avant d'être victimes d'une cyberattaque.
Ainsi, la cybersécurité doit s’appréhender d’une manière globale. Des
solutions sécuritaires d’ordre uniquement technologique ne peuvent pas
suppléer à un manque de gestion cohérente et rigoureuse des besoins,
mesures, procédures et outils de la sécurité. La prolifération
désordonnée d’outils de sécurité ne peut qu’entraver l’usage,
qu’alourdir l’exploitation ou encore dégrader les performances des
ressources informatiques. La maîtrise de la sécurité informatique est
une question de gestion dont les outils et les services de sécurité

3
G. OTEMA SANIMO, Op-cit.
4
Shutterstock, Internet compte plus d’un milliard de sites, article, Les Échos - en ligne, 17 septembre 2014
 P a g e | 12

constituent une partie liée à l’administration opérationnelle des

systèmes.
3. CHOIX, INTERET ET BUT DU SUJET
Les questions posées à notre problématique sur la cybersécurité nous
ont poussé à réfléchir et à faire un choix de quelles stratégies de
bases pour aider les internautes à être à l’abri des cybermenaces.
Ainsi, les réponses qui les accompagnent dans le corps de ce travail
devraient permettre efficacement aux PME d’évaluer leur état de
travail; inciter dûment l’équipe responsable de la sécurité de
l’information à renforcer leurs mesures de cybersécurité en posant les
bonnes stratégies et en fournissant des informations essentielles; et
les aider à surveiller en permanence la résilience de leurs systèmes
et à l’améliorer petit à petit.
Le présent travail revêt un double intérêt : théorique et pratique.
Outre cela, il présente à la fois un intérêt personnel, professionnel
et scientifique.
Sur le plan théorique, ce travail apporte un intérêt important pour
tout chercheur qui voudrait s’intéresser à une recherche dans le même
sens que celle-ci.
Sur le plan pratique, il pourra contribuer à l’amélioration de la
pratique de la nouvelle technologie dans les PME congolaises en mettant
en garde les employés sur l’utilisation prudente et sécuritaire de
l’internet.
Sur le plan personnel, il nous permet, en tant qu’étudiant chercheur
dans le domaine de l’informatique, de bien cerner l’importance de la
cybersécurité dans les PME car elles sont le moteur de développement
d’une nation.
Sur le plan professionnel et scientifique, cette recherche contribue
et suscite la conscience des responsables de systèmes de sécurité
informatique dans les PME a bien comprendre et mettre en pratique les
garde-fous sur l’utilisation de NTIC.
En d’autres mots, si vous êtes propriétaires d’une entreprise, petite
ou moyenne, internaute, ce travail s’adresse à vous. La cybersécurité
est une responsabilité commune et selon la façon dont votre entreprise
est structurée, d’autres personnes – copropriétaires, gestionnaires
ou employés – devraient vraisemblablement connaitre l’informatique qui
s’y retrouve.
Vous n’avez pas à être un expert de l’informatique ou du web pour lire
ou mettre en application les stratégies que nous proposons dans ce
travail.
 P a g e | 13

4. DELIMITATION DU SUJET
Dans l’espace comme dans le temps, nous disons que le sujet de notre
travail sera valide aussi longtemps que tout internaute ou employé
d’une PME en RDC sera à mesure de mettre en application une des
stratégies proposées dans ce travail pour se protéger contre la
cybercriminalité.
Ainsi, ce présent travail qui développe les stratégies de base pour
lutter contre la cybercriminalité dans les petites et moyennes
entreprises en République Démocratique du Congo et tout au long de la
période couvrant du Mois Novembre 2015 au Mois de Juin 2016 traitant
de la cybersécurité dans les PME.
5. METHODE ET TECHNIQUE
Pour mener à bien notre étude, nous nous sommes permis d’appliquer les
principes par lesquels les chercheurs font recours pour aboutir à une
véritable scientifique ; les méthodes et techniques sont d’une
importance avérées dans un travail scientifique.
5.1 METHODES
Nous recourons aux méthodes ci-dessous pour se conformer aux normes
de la rédaction d’un travail scientifique :
➢ L’approche analytique nous a conduit à l’observation des faits,
à relever et à apprécier les stratégies de bases que mettent les
petites et moyennes entreprises en RD Congo pour lutter contre
la cybercriminalité.
➢ L’approche clinique nous a permis, de proposer, en hypothèse et
en étude d’opportunité, des solutions de nature à aider et des
stratégies à mettre en place pour empêcher les cyberdélinquants
d’opérer enfin faire disparaître certaines menaces potentielles.
➢ L’approche PERT qui nous a fournis une méthodologie et des moyens
pratiques pour décrire, représenter, analyser et suivre de
manière logique les tâches et le réseau des tâches à réaliser
dans le cadre d’une action à entreprendre ou à suivre. Cette
méthode est conventionnelle à la gestion de projet.

5.2 TECHNIQUES
Ces quatre techniques ci-dessous nous ont permis à bien réaliser ce
travail de licence.
➢ La technique d’observation directe nous a permis d’entrer en
possession des certaines négligences précieuses au niveau de la
cybersécurité relative aux PME congolaises, et aussi elle nous a
conduit à la considération attentive des faits de mieux les
connaitre ;
 P a g e | 14

➢ La technique d’enquête nous a permis d’établir un dialogue avec

un échantillon des petites et moyennes entreprises sises à
Kinshasa dont nous restons anonyme pour poser des questions et
avoir des réponses concernant le taux de pénétration des NTIC
dans leurs secteurs d’activités et le niveau de cybersécurité
mise en place ;
➢ La technique documentaire nous a permis de définir, à travers
des ouvrages, articles, revues scientifiques, cours et travaux
de fin de cycle et d’étude, les concepts clés ayant traits des
différents documents, les stratégies et les méthodes qui font
ici l’objet de notre étude ;
➢ La technique d’interview nous a permis de rencontrer quelques
responsables des SI des PME avec lesquels nous avons eu des
échanges fructueux en relation avec notre question spécifique de
notre recherche.

6. CANEVAS DU TRAVAIL
Hormis l’introduction générale et la conclusion générale, notre
travail s’articule autour de cinq chapitres et décrits de façons
suivantes :
➢ Dans le premier chapitre qui s’intitule la généralité sur la
cybercriminalité ; nous explorons cette forme d’utilisation
d’internet en donnant une idée générale sur cette manière de
commettre les infractions pénales via les réseaux informatiques,
notamment sur le réseau internet.
➢ Cependant, dans le deuxième chapitre qui est le cadrage de
projet, nous avons survolé succinctement la notion sur la gestion
de projet en ce qui concerne l’explication de toutes les étapes
du déroulement d’un projet, l’utilisation efficace de certaines
techniques de planification pour la réalisation de notre projet.
➢ Le troisième chapitre qui est la présentation des opportunités
de cyberespace ; ici nous étalons les opportunités, des services,
des avantages qu’offrent internet.
➢ Dans le quatrième chapitre, nous faisons une étude succincte sur
les besoins de cybersécurité dans les petites et moyennes
entreprises.
➢ Et enfin dans le cinquième chapitre, qui est l’application des
stratégies contre la cybercriminalité.
 P a g e | 15

CHAPITRE I : GENERALITES SUR LA CYBERCRIMINALLITE

I.1 INTRODUCTION

Dans ce chapitre, nous commençons notre exploration de cette forme

d’utilisation d’internet en donnant une idée générale sur cette manière
de commettre les infractions pénales via les réseaux informatiques,
notamment sur le réseau internet.
Ce chapitre s’adresse à ceux qui s’engagent dans la voix d’utilisation
d’internet pour leurs diverses activités. Lorsque vous aurez lu ce
chapitre, vous pourrez prendre une décision plus éclairée sur les
dangers qui vous guettent.
I.2 DEFINITION DES CONCEPTS

Le préfixe Cyber a donné avec Internet et la généralisation du

numérique un grand nombre de mots tels que Cyberespace, Cybersécurité,
Cyberdéfense, Cyberattaque, Cybercriminalité, Cybercafé,
Cyberculture, Cyberdémocratie, Cybermarché, Cyber-réputation.
➢ Cyberespace : Ensemble de données numérisées lié à
l’interconnexion des ordinateurs dans le monde.
➢ Cybersécurité :est un néologisme désignant l'ensemble des lois,
politiques, outils, dispositifs, concepts et mécanismes de
sécurité, méthodes de gestion des risques, actions, formations,
bonnes pratiques et technologies qui peuvent être utilisés pour
protéger les personnes et les actifs informatiques matériels et
immatériels (connectés directement ou indirectement à un réseau)
des états et des organisations (avec un objectif de
disponibilité, intégrité, authenticité, confidentialité, preuve
et non-répudiation)5.
➢ Cyberdéfense : regroupe l'ensemble des moyens physiques et
virtuels mis en place par un pays dans le cadre de la guerre
informatique menée dans le cyberespace.
➢ Cyberattaque6 : est un acte malveillant envers un dispositif
informatique via un réseau cybernétique.
➢ Cybercriminalité : est tout acte criminel perpétré à l'aide d'un
ordinateur ou sur un réseau, ou à l'aide de matériel
informatique. L'ordinateur ou le matériel peuvent être l'agent
de l'acte criminel, son facilitateur, ou sa cible. L'acte
criminel peut se produire sur l'ordinateur uniquement ou à
d'autres emplacements également. Il s’agit donc d’une nouvelle
forme de criminalité et de délinquance qui se distingue des

5
N. Arpagian, La Cybersécurité, PUF, collection « Que sais-je? », 26 août 2015
6
T. Krone, High Tech Crime Brief. Article, Australian Institute of Criminology, Canberra, Australie . 2005
 P a g e | 16

formes traditionnelles en ce qu’elle se situe dans un espace

virtuel, le « cyberespace »7.
➢ Cybermarché : est un supermarché en ligne, permettant de passer
commande sur le Web et de se faire livrer à domicile des produits
de consommation courante. Dans le même cadre on peut aussi parler
du Commerce électronique qui est l'échange pécuniaire de biens,
de services et d'informations par l'intermédiaire des réseaux
informatiques, notamment Internet. On emploie également la
dénomination anglaise e-commerce.
➢ Cybernétique : Ensemble des théories et des études sur les
systèmes considérés sous l’angle de la commande et de la
communication.
I.3 OBJECTIFS ET MOTIVATIONS DE CYBERCRIMENELS

Selon une étude du Computer Security Institute, plus de 40 % des

entreprises ont constaté au moins une tentative d’intrusion au cours
de l'année 2000. Serveurs piratés, numéros de cartes bancaires volés,
sites web défigurés : les pirates du Net font de plus en plus parler
d'eux. Mais leurs objectifs et le détail de leurs actions restent
inconnus du grand public. Quelles sont leurs cibles et par quels moyens
procèdent-ils ? Que cherchent-ils à obtenir en s'infiltrant dans les
systèmes informatiques ?
Selon leurs propres définitions, les hackers sont avant tout "des
passionnés des réseaux". Ils veulent comprendre le fonctionnement des
systèmes informatiques et tester à la fois les capacités des outils
et leurs connaissances. La plupart des hackers affirment s'introduire
dans les systèmes par passion pour l'informatique et pas dans
l'objectif de détruire ou de voler des données. Ils veillent ainsi à
se distinguer des crackers (criminels informatiques) ou des script-
kiddies (pirates débutants qui agissent uniquement à l'aide des
logiciels prêts à utiliser) qui sont dans une logique de destruction
ou de gain financier. Pour les experts du "monde underground", un vrai
hacker est celui qui s'infiltre dans un serveur pour découvrir les
failles de sécurité et qui alerte ensuite les responsables8.
Beaucoup d'entre eux affirment attaquer les systèmes pour le fun, pour
le challenge. On trouve aussi des pirates qui veulent se faire
connaître ou même trouver un emploi par ce moyen ! Une station de
radio canadienne avait par exemple embauché un pirate en tant que
responsable sécurité car celui-ci avait découvert des failles
importantes et il était le seul à savoir comment y remédier.
Contrairement aux idées reçues, les pirates qui attaquent des serveurs

7
M. Quéméner et Y. Charpenel, Cybercriminalité - droit pénal appliqué, Economica, 13 septembre 2010, p.272
8
G. Barrier, Cybercontrôles : Veille numérique et surveillance en ligne, Apogée, coll. « Médias & nouvelles
technologies », 2003
 P a g e | 17

pour gagner de l'argent ou accéder aux données financières ne sont pas

très nombreux. Car ce type de piratage nécessite des compétences de
très haut niveau. Or, le "monde underground" fourmille des script-
kiddies qui n'ont pas de compétences pointues et qui se contentent
d'installer des chevaux de Troie téléchargés sur le Net. Pour les
hackers, les script-kiddies sont responsables de près de 90 % des
attaques.
Les motivations des pirates ou des cybercriminels peuvent être
multiples, on peut citer:
• L'attrait de l'interdit ;
• L'intérêt financier ;
• L'intérêt politique ;
• L'intérêt éthique ;
• Le désir de la renommée ;
• La vengeance ;
• L'envie de nuire (détruire des données, empêcher un système de
fonctionner).

Les objectifs des white hat hackers « hackers » sont en règle générale
un des suivants :
• l'apprentissage ;
• l'optimisation des systèmes informatiques ;
• la mise à l'épreuve des technologies jusqu'à leurs limites afin
de tendre vers un idéal plus performant et plus sûr.
I.4 TECHNIQUES

Il existe plusieurs façons et techniques d’accéder à l’information

d’une manière illégale à partir du cyberespace. Mais dans ce paragraphe
nous étudierons quelques-unes en détails les plus courantes, et les
autres ne seront vues que de loin.
Les attaquants peuvent exploiter des vulnérabilités dans les logiciels
ou les matériels. Ils peuvent exploiter des vulnérabilités sur le plan
de la sécurité en amenant par la ruse des personnes à ouvrir des
courriels infectés ou à visiter des sites web corrompus qui leur
permettent d’infecter les ordinateurs avec des maliciels. Ils peuvent
aussi profiter des personnes qui n’appliquent pas les pratiques de
base en matière de cybersécurité, comme changer souvent leurs mots de
passe, mettre à jour périodiquement les logiciels antivirus …
I.4.1 L’INGENIERIE SOCIALE

L'ingénierie sociale (ou social engineering en anglais) est une forme

d'acquisition déloyale d'information et d'escroquerie, utilisée en
informatique pour obtenir d'autrui, un bien, un service ou des
informations clés. Cette pratique exploite les failles humaines et
 P a g e | 18

sociales de la structure cible, à laquelle est lié le système

informatique visé. Utilisant ses connaissances, son charisme,
l'imposture ou le culot, les moyens usuels (téléphone, email…) et en
usurpant une identité, l'attaquant abuse de la confiance, de
l'ignorance ou de la crédulité pour obtenir des renseignements
confidentiels auprès du personnel de l’entreprise en vue d’une
intrusion future9.
Il suffit aujourd'hui qu'un seul de vos salariés tombe dans le piège
d'un mail infesté pour que votre bouclier soit disant sans faille soit
totalement pris à revers. La mobilité et les réseaux sociaux
accroissent les dangers.
Au rang des solutions, à part la sensibilisation et la formation du
personnel permet de se protéger. Car en matière d'ingénierie sociale,
bien en amont de la technique informatique, la faille la plus courante
et la plus difficile à maîtriser est le facteur humain. Principale
fondation sur laquelle s'appuie le cybercriminel afin de mener à bien
son piratage.
I.4.2 HAMEÇONNAGE OU PHISHINNG

L’hameçonnage, phishing ou filoutage est une technique utilisée par

des fraudeurs pour obtenir des renseignements personnels dans le but
de perpétrer une usurpation d'identité. La technique consiste à faire
croire à la victime qu'elle s'adresse à un tiers de confiance — banque,
administration, etc. — afin de lui soutirer des renseignements
personnels : mot de passe, numéro de carte de crédit, date de
naissance, etc. C'est une forme d'attaque informatique reposant sur
l'ingénierie sociale. Elle peut se faire par courrier électronique,
par des sites web falsifiés ou autres moyens électroniques. Lorsque
cette technique utilise les SMS pour obtenir des renseignements
personnels, elle s'appelle SMiShing10.
Les cyberdélinquants ont mis au point des techniques sophistiquées
afin de s'assurer que l'utilisateur ne réalise pas qu'il est connecté
à un site d'espionnage, une bande d’escrocs par exemple.
L'objectif du hameçonnage est d'amener les victimes à révéler des
informations personnelles ou confidentielles. On distingue plusieurs
types d'attaques par hameçonnage parmi lesquels le hameçonnage par
courriel, qui comprend trois grandes phases. Au cours de la première
phase, les cyberdélinquants identifient des sociétés légitimes qui
proposent à leurs clients – les cibles potentielles – des services en
ligne et communiquent avec eux par voie électronique. Il s'agit par
exemple d'établissements financiers. Ils créent ensuite des sites

9
Ingénierie sociale, [en ligne], 26 Octobre 2015, disponible en ligne sur http://www.wikipedia.fr
10
CERT Société Générale : Le phishing ou hameçonnage, Article(2011)
 P a g e | 19

Internet qui ressemblent aux sites de ces sociétés. Ces "sites

d'espionnage" demandent aux victimes de s'identifier de manière
classique et collectent, ce faisant, des informations personnelles sur
les clients (numéros de compte, mots de passe pour les opérations
bancaires en ligne, etc.).
Pour les orienter vers ces sites d'espionnage, les cyberdélinquants
envoient aux internautes des courriels qui ressemblent à ceux
normalement émis par les sociétés dont ces derniers sont clients
commettant souvent par là-même une violation de la marque commerciale.
Dans le faux courriel, il est demandé au destinataire de se connecter
au site pour des motifs de mise à jour ou de contrôle de sécurité, et
il lui est précisé que des mesures seront prises s'il refuse de
coopérer (fermeture de compte par exemple). Pour orienter la victime
vers le site d'espionnage, ce faux courriel contient généralement un
lien sur lequel la victime doit cliquer, et ce, afin d'éviter qu'elle
ne saisisse manuellement l'adresse Internet correcte de
11
l'établissement .
Dès que les données personnelles sont divulguées, les cyberdélinquants
se connectent au compte de la victime et effectuent des opérations:
virement, demande de passeport, ouverture de compte, etc. Les attaques
réussies sont en augmentation, ce qui montre bien le potentiel de
cette technique. Les techniques de hameçonnage ne servent pas
uniquement à se procurer des mots de passe pour effectuer des
opérations bancaires en ligne, mais aussi à obtenir des codes d'accès
à des systèmes informatiques ou à des plates-formes d'enchères ainsi
que des numéros de sécurité sociale, éléments d'identification
particulièrement importants aux Etats-Unis, qui peuvent servir à
commettre des infractions de type "vol d'identité".
I.4.3 SHOULDER SURFING

Cette technique consiste à guetter quelqu’un lorsqu’il entre les

informations confidentielles (mot de passe, numéro de la carte de
crédit, …). Pour prévenir cette attaque, il est important de surveiller
son environnement avant de saisir les informations confidentielles.
En sécurité informatique, Shoulder Surfing se réfère à l'aide de
techniques d'observation directe, tels que la recherche sur l'épaule
de quelqu'un, pour obtenir des informations12. Il est couramment
utilisé pour obtenir les mots de passe, codes PIN, des codes de
sécurité et des données similaires. Shoulder Surfing est

11
Armes silencieuses pour guerre tranquilles, auteur inconnu [en ligne], [02 Janvier 2016], disponible sur :
http://infos_du_net.com/actualité/dossiers/Armes_silencieuses_pour_guerre_tranquilles

12
V. Gonthier, Vols de cartes plus fréquents en région, Le Journal de Montréal.com, Montréal, 2013.
 P a g e | 20

particulièrement efficace dans les endroits bondés, car il est

relativement facile d'observer quelqu'un lorsqu’il:

• Remplisse un formulaire ;
• Entre le code PIN à un guichet automatique ou un terminal de
point de vente ;
• Utilise une carte de téléphone à un téléphone public ;
• Entre un mot de passe dans un cybercafé, les bibliothèques
publiques et universitaires, ou des kiosques de l'aéroport
• Entre un code pour un casier loué dans un lieu public comme une
piscine ou un aéroport
• entrer un mot de passe sur leur Smartphone
Shoulder Surfing peut également être effectuée à distance à l'aide de
jumelles ou d'autres dispositifs de vision d'amélioration. Caméras de
télévision en circuit fermé peu coûteux, miniatures peuvent être
dissimulées dans les plafonds, les murs ou les appareils pour observer
l'entrée de données13.
I.4.4 ATTAQUE PAR DENI DE SERVICE

Une attaque par déni de service (denial of service attack, d'où

l'abréviation DoS) est une attaque informatique ayant pour but de ne
pas dérober des informations sur une machine distante, mais de
paralyser un service ou un réseau complet en vue de le rendre
indisponible un service, d'empêcher les utilisateurs légitimes d'un
service de l'utiliser. Il peut s'agir de :
• l’inondation d’un réseau afin d'empêcher son fonctionnement ;
• la perturbation des connexions entre deux machines, empêchant
l'accès à un service particulier ;
• l'obstruction d'accès à un service à une personne en particulier
;
• également le fait d'envoyer des milliards d'octets à un box
internet.

L'attaque par déni de service peut ainsi bloquer un serveur de

fichiers, rendre impossible l'accès à un serveur web ou empêcher la
distribution de courriel dans une entreprise.
L'attaquant hacker n'a pas forcément besoin de matériel sophistiqué.
Ainsi, certaines attaques DoS peuvent être exécutées avec des
ressources limitées contre un réseau beaucoup plus grand et moderne.
On appelle parfois ce type d'attaque « attaque asymétrique » (en raison
de la différence de ressources entre les protagonistes). Un hacker

13
V. Fabien, Criminalité itinérante et évolutive, La Libre.be, Bruxelles, 2011.
 P a g e | 21

avec un ordinateur obsolète et un modem lent peut ainsi neutraliser

des machines ou des réseaux beaucoup plus importants.

Avec la forte augmentation du nombre d’échanges commerciaux sur

Internet, le nombre de chantages au déni de service a très fortement
progressé (un hacker lance une attaque en DoS ou DDoS contre une
entreprise et lui demande une rançon pour arrêter cette attaque)14.
I.4.5 VIRUS

Les virus est un exécutable qui va exécuter des opérations plus ou

moins destructives sur votre machine. Les virus existent depuis que
l’informatique est née et se propageaient par disquettes de jeux ou
par flash disque ou logiciels divers… Sur Internet, les virus peuvent
contaminer une machine de plusieurs manières :

➢ Téléchargement de logiciel puis l’exécution de celui-ci sans

précautions ;
➢ Ouverture sans précautions de documents contenants des macros ;
➢ Pièces jointe de courrier électronique (exécutable, script type
vbs…) ;
➢ Ouverture d’un courrier au format HTML contenant du JavaScript
exploitant une faille de sécurité du logiciel de courrier
(normalement JavaScript est sans danger) ;
➢ Exploitation d’un bug du logiciel de courrier (effectuer
régulièrement les mises à jour)

La meilleure parade est l’utilisation d’un antivirus à jour et

d’effectuer les mises à jour des logiciels (pour éviter l’exploitation
des bugs).

I.4.6 CHEVAL DE TROIE

L’image retenue de la mythologie est parlante ; le pirate, après avoir

accédé à votre système ou en utilisant votre crédulité, installe un
logiciel qui va, à votre insu, lui transmettre par Internet les
informations de vos données. Un tel logiciel, aussi appelé troyen,
peut aussi être utilisé pour générer de nouvelles attaques sur d’autres
serveurs en passant par le votre.

La première mesure de protection face aux attaques, et de sécuriser

au maximum l’accès à votre machine et de mettre en service un antivirus
régulièrement mis à jour. Un nettoyeur de troyens peut aussi s’avérer
utile.

14
Attaque par déni de service, [en ligne], [25 Janvier 2016], disponible sur http://www.wikipedia.fr.
 P a g e | 22

I.4.7 ECOUTE DU RESEAU (SNIFFER)

Il existe des logiciels qui, à l’image des analyseurs de réseau,

permettent d’intercepter certaines informations qui transitent sur un
réseau local, en retranscrivant les trames dans un format plus lisible
(Network Packet Sniffing).

L’utilisation de switches (commutateurs) réduit les possibilités

d’écoute mais en inondant le commutateur, celui-ci peut se mettre en
mode hub par sécurité. La meilleure parade est l’utilisation de mot
de passe non rejouable, de carte à puce ou de calculette à mot de
passe.

I.4.8 INTRUSION

L’intrusion dans un système information a généralement pour but la

réalisation d’une menace et un donc une attaque. Les conséquences
peuvent être catastrophiques : vol, fraude, incident diplomatique,
chantage…

Le principal moyen pour prévenir les intrusions est le Pare-feu. Il

est efficace contre les fréquentes attaques de pirates amateurs, mais
d’une efficacité toute relative contre des pirates expérimentés et
bien informés. Une politique de gestion efficace des accès, des mots
de passe et l’étude des fichiers log (traces) est complémentaire.

I.4.9 FAILLES DE SECURITE

En entreprise, c’est le réseau local qui est connecté à l’Internet.

Il est donc indispensable de contrôler les communications entre le
réseau interne et l’extérieur. Les problèmes de sécurité qu’on peut
rencontrer sur un réseau d’entreprise ou sur l’Internet relèvent
d’abord de la responsabilité des victimes avant d’être imputables aux
hackers.

De plus une formation du personnel est indispensable (règles de

sécurité, déontologie, attention aux participations aux forums qui
sont archivées…)

Nous pouvons cités quelques failles qui peuvent être exploitées par
les hackers sur Internet :
➢ IP Spoofing : Usurpation d’adresse IP, on fait croire que la
requete provient d’une machine autorisée. Solution : Une bonne
configuration du routeur d’entrée permet d’éviter qu’une machine
extérieure puisse se faire passer pour une machine interne.
➢ DNS Spoofing : Pousse un serveur de DNS à accepter l’intrus.
Solution : Séparer le DNS du LAN de celui de l’espace public.
 P a g e | 23

➢ Flooding : RAID massif de connexion non terminées.

➢ Smurf : Saturation de la bande passante.
➢ Web Bug : L’ouverture de mail publicitaire envoyé en HTML même
si l’apparence est normale. Solution : Ne pas valider l’ouverture
automatique du format HTML ou ne pas ouvrir ses courriels en
ligne.
I.5 DOMAINES D’APPLICATION

Comme Internet devient plus omniprésent dans tous les domaines de

l'activité humaine, les individus ou les groupes peuvent utiliser
l'anonymat offert par le cyberespace pour menacer des citoyens, des
groupes spécifiques (c'est-à-dire avec adhésion basée sur
l'appartenance ethnique ou de conviction), des communautés et des pays
entiers, sans la menace inhérente à la capture, des blessures ou la
mort à l'assaillant que l'être physiquement présent apporterait. Alors
que l'Internet continue de s'étendre, et des systèmes informatiques
continuent d'être affectés plus de responsabilités tout en devenant
de plus en plus complexe et interdépendant, de sabotage et de
terrorisme via le cyberespace deviennent une menace plus grave.
I.5.1 CYBERGUERRE

La cyberguerre, guerre cybernétique (en anglais : cyberwarfare) ou

guerre de la toile consiste en l'utilisation d'ordinateurs et de
l'Internet pour mener une guerre dans le cyberespace15.
Depuis le début du XXIe siècle, le réseau global est devenu un lieu de
confrontation militaire majeur. L'utilisation de l'Internet permet de
s'infiltrer rapidement dans tous les réseaux les plus sensibles du
monde. De nouveaux champs de bataille se sont organisés avec comme
cibles les sites et organisations gouvernementales, les institutions,
les grandes et moyennes entreprises, les organisations privées et les
particuliers. Les acteurs de ces attaques sont les groupements de
pirates informatiques, les organisations terroristes, les escrocs de
tous genres mais aussi les armées et les organisations
16
gouvernementales .
Rencontré dans certains romans de science-fiction, le blocage
informatique des moyens informatiques et donc des centres de
commandements ou de transmission d'information est une pratique
redoutée par les personnes préoccupées par la sécurité informatique.
Les virus informatiques, les vers informatiques et les dénis de
services sont les premières armes de ce type d'attaque.

15
La guerre de toile, [en ligne], [réf : 27 Janvier 2016], disponible sur http://fr.euronews.com/2013/02/20/la-
guerre-de-la-toile-est-declaree
16
La cyberguerre est déclarée, article, L'Ordinateur individuel, n°252, septembre 2012, p. 40-42
 P a g e | 24

L'attaque informatique nécessite peu de moyens et peu d'hommes. Une

centaine d'ingénieurs informatiques et de hackers suffisent toujours
en ce 2016 pour infiltrer ou bloquer une partie du réseau mondial,
bien qu'une attaque de type Stuxnet, Flame ou mini-Flame demande
beaucoup plus de capacité informatique et l'intervention de services
secrets. Les pays les plus développés et les plus dématérialisés sont
aussi les plus vulnérables d'autant plus que certains d'entre eux
présentent d'importantes lacunes dans leur sécurité informatique.
Il existe plusieurs méthodes d'attaques, cette liste est les recenses
de la plus anodine à la plus grave :
• le vandalisme : attaques visant à modifier ou défigurer des pages
web, ou les attaques de déni de service. Ce type est simple à
combattre et cause généralement peu de dommages ;
• la propagande et la désinformation : des messages politiques (ou
autres) peuvent « bombarder » tout utilisateur de l'Internet ;
• l'espionnage politique/industriel ou la collecte de données (à
l'aide de chevaux de Troie et de spywares) : des informations
confidentielles qui ne sont pas correctement sécurisées peuvent
être interceptées et modifiées, rendant possible l'espionnage
d'un bout à l'autre du monde (voir Titan Rain et Moonlight Maze)
;
• l’arrêt ou le sabotage d'équipements : les activités militaires
qui mettent en œuvre des ordinateurs et des satellites permettant
de coordonner des moyens de défense sont particulièrement visés
par ce type d'attaques. Les ordres et les communications peuvent
être interceptés ou modifiés, mettant ainsi les troupes en danger
;
• attaques d'infrastructures sensibles : centrales électriques,
distribution d'eau, oléoducs et pétroliers, communications et
moyens de transports sont vulnérables à ce genre d'attaques.
I.5.2 CYBERATTAQUE

Une cyberattaque est un acte malveillant envers un dispositif

informatique via un réseau cybernétique. Une cyberattaque peut émaner
de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un
groupe de pirates ou plus récemment de vastes organisations ayant des
objectifs géopolitiques.
En réalité il existe de nombreux types d'"attaquants" catégorisés
selon leur expérience et selon leurs motivations :
• Les « white hat hackers », hackers au sens noble du terme, dont
le but est d'aider à l'amélioration des systèmes et technologies
 P a g e | 25

informatiques, sont généralement à l'origine des principaux

protocoles et outils informatiques que nous utilisons
aujourd'hui; Le courrier électronique est un des meilleurs
exemples ;
• Les « black hat hackers », plus couramment appelés pirates,
c'est-à-dire des personnes s'introduisant dans les systèmes
informatiques dans un but nuisible ;
o Les «script-kiddies » (traduisez gamins du script, parfois
également surnommés crashers, lamers ou encore packet
monkeys, soit les singes des paquets réseau) sont de jeunes
utilisateurs du réseau utilisant des programmes trouvés sur
Internet, généralement de façon maladroite, pour vandaliser
des systèmes informatiques afin de s'amuser.
o Les « phreakers » sont des pirates s'intéressant au réseau
téléphonique commuté (RTC) afin de téléphoner gratuitement
grâce à des circuits électroniques (qualifiées de box,
comme la blue box, le violet box, ...) connectés à la ligne
téléphonique dans le but d'en falsifier le fonctionnement.
On appelle ainsi « phreaking » le piratage de ligne
téléphonique.
o Les « carders » s'attaquent principalement aux systèmes de
cartes à puces (en particulier les cartes bancaires) pour
en comprendre le fonctionnement et en exploiter les
failles. Le terme carding désigne le piratage de cartes à
puce.
o Les « crackers » ne sont pas des biscuits apéritifs au
fromage mais des personnes dont le but est de créer des
outils logiciels permettant d'attaquer des systèmes
informatiques ou de casser les protections contre la copie
des logiciels payants. Un « crack » est ainsi un programme
créé exécutable chargé de modifier (patcher) le logiciel
original afin d'en supprimer les protections.
• Les « hacktivistes » (contraction de hackers et activistes que
l'on peut traduire en cybermilitant ou cyberrésistant), sont des
hackers dont la motivation est principalement idéologique. Ce
terme a été largement porté par la presse, aimant à véhiculer
l'idée d'une communauté parallèle (qualifiée généralement
d’underground, par analogie aux populations souterraines des
films de science-fiction.
 P a g e | 26

On peut noter qu’il existe d'autres types d'attaques, souvent moins

connues car nécessitant des compétences très pointues17 :
• Le cassage de logiciel (Cracking en version anglaise) : cette
technique a pour but la modification d’un programme pour déjouer
sa protection (en général pour permettre une utilisation
complète, ou à durée illimitée) ;
• La cryptanalyse : l’attaque de données chiffrées est réalisée
par interception et analyse des cryptogrammes circulant lors
d’une communication ou obtenus par une source quelconque ;
• L’exploitation des « format bugs » : Les logiciels - en
particulier les logiciels standards les plus répandus -
comportent des failles de sécurité qui constituent autant
d’opportunité d'intrusion indésirables ;
• La trappe : fonctionnalité utilisée par les développeurs pour
faciliter la mise au point de leurs programmes. Lorsqu’elle n'est
pas enlevée avant la mise en service du logiciel, elle peut être
repérée et servir de point de contournement des mesures de
sécurité ;
• Le souterrain : attaque ciblée sur un élément supportant la
protection du SI et exploitant une vulnérabilité existant à un
niveau plus bas que celui utilisé par le développeur pour
concevoir/tester sa protection ;
• Le salami: comportement d'un attaquant qui collecte des
informations de manière parcellaire et imperceptible, afin de
les synthétiser par la suite en vue d’une action rapide;
• L’inférence sur les données : l’établissement d'un lien entre un
ensemble de données non sensibles peut permettre dans certains
cas de déduire quelles soient les données sensibles;
• L’asynchronisme : ce mode de fonctionnement crée des files
d'attente et des sauvegardes de l'état du système. Ces éléments
peuvent être détectés et modifiés pour contourner les mesures de
sécurité ;
• Le canal caché : type d’attaque de très haut niveau permettant
de faire fuir des informations en violant la politique de
sécurité du SI. Les menaces peuvent concerner quatre types de
canaux cachés : canaux de stockage, canaux temporels, canaux de
raisonnement, canaux dits de "fabrication" ;
• Le détournement et utilisation de données Web : utilise un défaut
d'implantation ou de programmation de manière à faire exécuter à

17
G. Serries, Cyberattaque : l'Iran fait sauter la banque à Vegas, ZDNet,, 12 décembre 2014, p. 14
 P a g e | 27

distance par la machine victime un code non désiré, voire

malveillant. Cookie, CSS, CGI, vulnérabilités concernant les
langages PHP, ASP, SQL, etc.
Et il en existe d'autres ne nécessitant aucune compétence ou presque ;

• Messenger Spam : envoi de pourriels directement sur l'adresse IP

et ouverture d’une fenêtre intruse (pop-up en version anglaise)
; cette attaque est gênante mais généralement peu nuisible et
nécessite un système Microsoft Windows possédant le programme
messenger installé (à ne pas confondre avec le logiciel
exploitant MSN) et un accès au réseau local (si la cible est
derrière un routeur NAT celle-ci ne pourra pas être atteinte).
I.5.2.1 QUELQUES EXEMPLES DES CYBERATTAQUES

La première cyberattaque recensée visant une structure étatique durant

plusieurs semaines, avec des moyens suffisants pour saturer
durablement les sites visés et causer un déni de service prolongé, a
émané de sites russes contre des sites de l'administration estonienne,
ainsi que ceux de banques et de journaux de ce pays. La majorité des
institutions estoniennes ayant adopté une bureaucratie sans papier,
entièrement informatique et reliées entre elles par l'internet, ce
pays se trouve très vulnérable à ce type d'attaques. Il s'agit d'une
attaque simple mais efficace, qui consiste à connecter un maximum
d'appareils à un même réseau et ainsi déclencher une saturation de
celui-ci. Cette méthode est souvent utilisée pour sa discrétion (niveau
traçabilité) car elle est dirigée par une seule personne contrôlant
plusieurs ordinateurs infectés par celle-ci. Comme il y a un afflux
d'appareils, l'option du traçage IP est à rejeter (par l'abondance de
celles-ci). C'est la méthode dite du botnet18.
L'attaque survient à la suite du conflit diplomatique généré autour
du projet de déplacement du Soldat de bronze planifié par le
gouvernement estonien en avril 2007 mais ayant abouti à des nuits
d'émeutes, émanant d'une minorité de nationalistes russophones
implantée dans le pays19.
Dans les années 2009-2010, le monde occidental s'inquiète de la
prolifération de centrales nucléaires en Iran, officiellement civiles.
Tous les médias s'interrogent régulièrement sur la probabilité d'un
raid israélien qui permettrait d'en détruire au moins une pour envoyer
un signal fort, mais soulignent que cela serait techniquement
extrêmement risqué, impliquerait le survol de plusieurs pays qui s'y
opposeraient et pourrait résulter en une réplique démesurée de l'Iran,

18
B. Elgin et M. Riley, Now at the Sands Casino: An Iranian Hacker in Every Server, Bloomberg, Business week,
2014 p. 46
19
L'OTAN s'alarme des cyberattaques dont est victime l'Estonie [en ligne], disponible sur http://ww.lemonde.fr
 P a g e | 28

comme l'envoi de missiles à longue portée sur les principales villes

d'Israël.
La cyberattaque qui va paralyser la centrale nucléaire de Bouchehr
permet d'atteindre l'objectif visé (mettre la centrale iranienne hors
d'état) sans prendre le moindre risque ni humain, ni politique, ni
militaire. Elle va consister à paralyser les ordinateurs de la centrale
avec un virus d'un niveau de sophistication extrême dont Israël et les
États-Unis sont hautement soupçonnés.
Le virus impliqué s'appelle Stuxnet. Il est authentifié par Windows
comme étant sans danger, ce qui implique qu'il utilise des clés
numériques de sécurité volées dans des entreprises de logiciels de
Taïwan. Il a transité jusqu'à la centrale par des clés USB donc avec
des complices humains, le réseau informatique de la centrale n'étant
pas connecté au monde extérieur. Il a déréglé le contrôle des
automatismes, des robots, de la distribution d'électricité, tout un
système de pilotage complexe de type SCADA fabriqué par l'Allemand
Siemens. Le malware est passé inaperçu pendant des mois, causant
progressivement de nombreux dégâts dont le dérèglement de
centrifugeuses conduisant à leur destruction physique. Le
développement d'un tel virus a nécessité probablement un
investissement de plusieurs millions de dollars.
En 2011, c'est un second virus encore plus élaboré qui apparait,
dénommé Flame, et qui semble avoir un lien de parenté avec Stuxnet20
En février 2014, les établissements américains du groupe de loisirs
Las Vegas Sands sont victimes d'une cyberattaque majeure incluant le
piratage du réseau informatique, un vol massif de données
confidentielles puis la mise hors service d'une partie importante du
système d'information et de télécommunications21. Le piratage serait
attribué à un groupe de hackers iraniens et ferait suite à la
suggestion publique en octobre 2013 du milliardaire Sheldon Adelson,
actionnaire majoritaire de Las Vegas Sands, de « raser » Téhéran sous
le feu nucléaire22.

En novembre et décembre 2014, Sony Pictures Entertainment est victime

d'une très importante fuite de l'ensemble de ses données, qui sont
révélées par à-coup et revendiqué par le groupe « Guardian of Peace
»23.

20
C. Coantiec, Piratage de Sony : le rappel des faits date par date, [en ligne], Le Figaro, 2014
21
L'OTAN s'alarme des cyberattaques dont est victime l'Estonie, Op.cit., p. 4
22
B. Elgin et M. Riley, Op.cit. p. 55
23
T. Sotinel et S. Belouezzane, Sony cède aux hackeurs et annule la sortie de son film, [en ligne], Le Monde,
2014.
 P a g e | 29

I.5.3 CYBERTERRORISME

Le cyber terrorisme est un terme controversé. Certains auteurs

choisissent une définition très étroite, relatif aux mutations, par
des organisations terroristes connues, d'attaques contre la
désorganisation des systèmes d'information dans le but principal de
la création d'alarme et de panique. Par cette définition étroite, il
est difficile d'identifier toutes les instances du cyber terrorisme.
Le cyberterrorisme peut aussi être défini beaucoup plus généralement,
par exemple, comme «L'utilisation préméditée des activités
perturbatrices, ou la menace de celle-ci, contre des ordinateurs et /
ou réseaux, dans l'intention de causer un préjudice ou encore social,
idéologique, religieuse, politique ou autres objectifs. Ou pour
intimider toute personne dans la poursuite de tels objectifs. "Cette
définition large a été créée par Kevin G. Coleman, de l'Institut
Technolytics. Le terme a été inventé par Barry C. Collin24.
L'influence de plus en plus grande des réseaux informatiques dans
l'activité des populations et des États et leur dégradation par des «
cyberattaques » a fait naître l'idée d'un possible « cyberterrorisme
»25.
I.5.4 HACKING

En sécurité informatique, un hacker (ou hackeur) est un spécialiste

qui recherche les moyens de contourner les protections logicielles et
matérielles. Il peut vouloir signaler les failles trouvées au
propriétaire du système concerné (dans une démarche d'amélioration de
la sécurité de ce système), en tirer profit, les utiliser dans une
démarche militante (on parle alors d'hacktivisme) ou simplement
considérer le contournement (hacking) comme un défi26.
Dans un sens large, le « bidouillage » ou hacking concerne les
activités visant à détourner un objet de sa fonction première. Le
hacking a pour fonction de résoudre ou d'aider à résoudre des
problèmes, et cela dans de nombreux domaines27.
Le hacking, quand celui-ci s'apparente au piratage informatique est
une pratique visant à un échange « discret » d'informations illégales
ou personnelles. Cette pratique établie par les hackers, portion de
la population démocratisée en 1983 par le magazine Newsweek, émerge
lorsque les premiers ordinateurs font leur apparition dans les foyers.

24
Alexander, Y. Swetman, S. Michael, Cyber terrorisme et la guerre de l’information : menaces et réponses, éd
Transnational PublishersInc, US. 2001
25
Colarik et M. Andrew. Cyberterrorisme: implications politiques et économiques, éd Idea Group, États-
Unis.2006.
26
Idem ;
27
Idem ;
 P a g e | 30

De nombreux crackers ont commencé leur activité en essayant de casser

les restrictions anti-copie ou en détournant les règles des jeux
informatiques avant la généralisation d'Internet qui a alors ouvert
de plus larges horizons à leur activité. Le hacking place les hackers
« au cœur du développement de nos sociétés », c'est-à-dire au cœur de
l'information et du partage d’information. Cette place au centre du
développement des sociétés est surtout due à la curiosité des
hackers28. Les hackers utilisent les ressources des communautés de
hackers à travers l'échange et le partage pour la résolution d'un
problème, on perçoit ce comportement dans le logiciel libre. La
résolution se fait souvent en un temps record, car elle se fait par
passion, plaisir ou jeu.
I.5.4.1 CATEGORISATION DES HACKERS

Le jargon informatique classe les hackers en plusieurs catégories en

fonction de leurs objectifs, de leur compétence et de la légalité de
leurs actes. Ce vocabulaire fait référence aux films de western, où
le héros porte un chapeau blanc, et les méchants portent des chapeaux
noirs.
• Les chapeaux blancs ou white hat : professionnels de la sécurité
informatique (consultants en sécurité, administrateurs
réseaux...) effectuant des tests d'intrusions en accord avec
leurs clients et la législation en vigueur afin de qualifier le
niveau de sécurité de systèmes. Certains hackers se considèrent
comme white hat alors qu'ils transgressent les lois, leur but
étant de prévenir les responsables des failles de leurs systèmes.
Certains d'entre eux s'infiltrent dans les systèmes de sécurités
les plus coriaces justes pour la connaissance, pour se dire
qu'ils savent le faire.
• Les chapeaux bleus ou blue hat : consultants en sécurité
informatique chargés de vérifier l'absence de bogues et de
corriger d'éventuels exploits avant le lancement d'un système
d'exploitation sur le marché. Le terme est notamment employé par
Microsoft, désignant ses hackers et ingénieurs en sécurité
informatique qui ont pour rôle de trouver les vulnérabilités de
Windows.
• Les chapeaux noirs ou black hat : créateurs de virus, cyber-
espions, cyber-terroristes ou cyber-escrocs, agissant la plupart
du temps hors-la-loi dans le but soit de nuire, de faire du
profit ou d'obtenir des informations. Ces hackers n'ont pas la
même éthique que les White hats et sont souvent malveillants.
Les plus malveillants sont alors appelés crashers.

28
Alexander, Y. Swetman, S. Michael, Op.cit, p. 56
 P a g e | 31

• Les chapeaux gris ou grey hat : s'ils n'hésitent pas à pénétrer

dans les systèmes sans y être autorisés, ils n'ont pas de
mauvaises intentions. C'est souvent l'« exploit informatique »
qui les motive, une façon de faire la preuve de leur agilité.
Cette catégorie recouvre le large panel de personnes se situant
entre le black hat et le white hat. Cela dit, le fait de ne pas
obtenir d'autorisation préalable rend l'acte illégal.
• Les script kiddies ou lamer, littéralement « gamins qui utilisent
des scripts » : sans grande compétence, ceux-ci piratent en
utilisant des programmes codés par d'autres. Ces personnes ne
sont pas à proprement parler des hackers, mais elles peuvent se
considérer comme tels.
• Les hacktivistes : agissant afin de défendre une cause, ils
peuvent transgresser la loi pour attaquer des organisations afin
de les paralyser ou d'obtenir des informations
I.5.5 CYBERDEFENSE

Le cadre de la cyberdéfense dépasse la simple sécurité informatique

dans la mesure où elle a des conséquences directes sur la sécurité
nationale et vient donc intéresser les différents organismes de Défense
d'un pays. Avec la lutte informatique défensive (LID) et la lutte
informatique offensive (LIO), la cyberdéfense permet de défendre et
d'attaquer des ensembles de réseaux et d'ordinateurs qui contrôlent
un pays.
La cyberdéfense regroupe l'ensemble des moyens physiques et virtuels
mis en place par un pays dans le cadre de la guerre informatique menée
dans le cyberespace.
Avec des degrés d'importances plus ou moins grands, ces réseaux et
leurs systèmes de contrôle baptisés SCADAs peuvent permettre de
contrôler les systèmes suivants :
• surveillance de processus industriels ;
• transport de produits chimiques ;
• systèmes municipaux d'approvisionnement en eau ;
• commande de la production d'énergie électrique ;
• distribution électrique ;
• canalisations de gaz et de pétrole ;
• recherche et études scientifiques et industrielles.

Reconnaissant le caractère critique de la cyberdéfense, la plupart des

États s'emparent aujourd'hui du sujet pour le placer au cœur de leurs
doctrines militaires.
 P a g e | 32

I.6 CONCLUSION

De nos jours, le réseau Internet tient une place très importante,

voire majeure de bon nombre de personnes. En effet, Internet connaît
une infinité de fonctions, et celles qui nous viennent le plus
rapidement à l'esprit, ne représentent qu'une infime partie de cette
diversité. Aujourd'hui, quand on pense "Internet", les premiers mots
qui nous viennent à l'esprit sont peut être "communication", "loisirs",
"réseaux sociaux", "information", "actualité" ou peut-être même "vente
en ligne". Cependant, il existe une toute autre facette de ce média
tant apprécié par la majorité de la population, un côté obscur, où
l'on peut alors comprendre qu'Internet n'est pas toujours un espace
de liberté et de sécurité, car notre liberté s'arrête là où commence
celle des autres commence, et c'est là qu'interviennent les
cybercriminels et autres cyberdélinquants. D’où l’invocable terme dans
la surface web “It can happen to you… Personne n’est à l’abri”.
 P a g e | 33

CHAPITRE II : CADRAGE DE PROJET

II.1 INTRODUCTION

Ce chapitre est un survol sur la gestion de projet en ce qui concerne

l’explication de toutes les étapes du déroulement d’un projet,
l’utilisation efficace de certaines techniques de planification pour
la réalisation de notre projet. Nous allons faire l’évaluation de
notre projet de la mise en place des stratégies pour lutter contre la
cybercriminalité car de nos jours , il est possible d'effectuer des
transactions bancaires tout comme vérifier ses soldes, payer ses
factures, gérer ses comptes de carte de crédit, contrôler ses
investissements et mettre en place des transferts sans avoir à mettre
le pied dans une succursale.

C'est donc sans surprise que les cybercriminels ciblent les sites Web
d'institutions financières dans l'espoir de recueillir suffisamment
d'information pour accéder à des comptes personnels. Heureusement, ces
sites Web sont dotés d'un logiciel de sécurité très sophistiqué qui
les rend difficiles à pirater. Les cybercriminels doivent donc avoir
recours à d'autres moyens pour obtenir l'information. Car en élaborant
ce projet, nous aurons à faire des estimations nécessaires en rapport
avec sa durée, son coût et les dates qu’il nous faudra maitriser et
respecter pour la réalisation de ce projet.

II.2 DEFINITIONS ET ENJEUX DE LA GESTION DE PROJET

On appelle un projet un ensemble d’activités inter reliées, exécutées,

accomplies dans le but d’obtenir un résultat unique et défini pendant
une période de temps déterminée et à l’aide d’un budget établi de
ressources29.Il est également une démarche spécifique qui permet de
structurer méthodiquement et progressivement une réalité à venir30. En
pratique, "le projet est tourné vers l'objectif final, il doit être
adaptable à des modifications fréquentes, mais maîtrisé et planifié.
Donc toute modification doit rester planifiée. Et notamment, le projet
doit rester dynamique et équilibrer continuellement les contraintes
techniques, de coût et de délai."31

La gestion de projet est une démarche visant à organiser de bout en

bout le bon déroulement d’un projet. C'est tout l'opérationnel et le
tactique qui fait qu'un projet aboutit dans un triangle représentant
l'équilibre qualité-coût-délai (QCD). Le management de projet assume
le pilotage stratégique du projet.

Lorsque la gestion de projet porte sur un ensemble de projets

concourant à un même objectif, on parle de gestion de programme, de

29
Bertin SULA MANYONGA, Gestion des projets, notes de cours, ISIPA, L1, Kinshasa, 2015.
30
François Blondel, Gestion industrielle, éd. Dunod, Paris, 2eme édition, 2000, p. 277.
31
Idem
 P a g e | 34

programme de projets, de direction de projet ou de gestion de

portefeuille de projets suivant les industries et l'ampleur
concernée32.
Ce management du projet consiste à :
• établir un plan d'affaire pour le projet. Il s'agit d'une pré-
étude de rentabilité dite souvent Business Case, on y explique
pourquoi il faut prendre le risque de faire le projet,
• cela permet d'écrire une note d'opportunité, elle montre en quoi
le projet s'aligne sur la stratégie définie par la direction,
• définir un modèle d'affaire,
• inventorier les risques au préalable au métier et au projet qui
va être lancé.

Cette gestion de projet consiste à :

• planifier le projet dans le temps : c’est l’objet de
la planification,
• chiffrer et suivre le budgétisé (étude préalable des coûts et
avantages ou revenus attendus en contrepartie, des sources de
financement, étude des risques projets, opérationnels et
financiers et des impacts divers …),
• maîtriser et piloter les risques,
• atteindre le niveau de qualité souhaité,
• faire intervenir de nombreuses parties prenantes : c’est l’objet
des organisations qui identifient la maîtrise d'œuvre et la
maîtrise d'ouvrage ,
• responsabiliser le chef de projet ou le directeur de projet,
mettre en place un comité de pilotage,
• suivre des enjeux opérationnels et financiers importants.

II.3 CHOIX DE LA METHODE

Il existe plusieurs méthodes de planification du projet et

d'ordonnancements des activités, parmi lesquelles nous en citons les
suivantes :

▪ La méthode PERT (Program Evaluation Review Technique ou Program

Evaluation Research Task) : consiste à représenter sous forme de
graphe, un réseau de tâches dont l'enchaînement permet d'aboutir
à l'atteinte des objectifs d'un projet.
▪ La méthode Delphi : elle est basée sur le jugement d'expert ayant
comme principe de rechercher des analogies avec des projets de
référence qui sont choisis dans ou en dehors de l'entreprise.
▪ Le diagramme de GANTT : est utilisable pour tous types de
projets. Il est d'ailleurs si performant qu'il est encore le
moyen le plus efficace pour répertorier les activités nécessaires
en vue de mener à bien ses projets.

32
H. P. Maders, Manager une équipe projet, Paris, 3 éd, Eyrolles, 2003
 P a g e | 35

II.4 METHODE DE CONDUITE DE PROJET

Il est évident que tout travail scientifique recourt à une méthodologie

en vue d’imposer l’ordre selon lequel les différentes démarches
(activités) nécessaires vont se réaliser pour atteindre la fin. Le
choix d’une méthode est adopté afin d’aider les acteurs dans
l’exécution des activités et d’assurer la qualité des tâches
constituant le projet. Ce choix contribue aussi à la bonne intégration
des nouveaux arrivants, rend le travail facilement accessible à tous,
donne des points de repère et homogénéise les pratiques, et aussi
assoie une mise en œuvre de qualité.

Ainsi dans le cadre de notre projet, nous avons choisi la méthode PERT
(Program Evaluation Review Technique) c’est qui veut dire Technique
d’ordonnancement des tâches et contrôles des programmes33. Elle nous
permet de mettre en ordre sous la forme d'un graphe, plusieurs tâches
qui grâce à leur dépendance et à leur chronologie concourent tous à
la réalisation de notre projet. Cette méthode nous permet aussi de
calculer le meilleur temps de réalisation de notre projet et d'établir
le planning correspondant34.

II.4.1 REGLE ET NOTATION DE REPRESENTATION EN PERT

La méthode PERT utilise des graphes (ou réseaux maillés) pour

représenter l’enchaînement des opérations. Contrairement aux
diagrammes de Gantt, la méthode PERT utilise une représentation
indépendante du temps et ne représente que les positionnements relatifs
des opérations35.

Dans le système PERT, la tâche est représentée par une flèche, avec
une origine, une extrémité, une désignation et une durée. La longueur
de la flèche est indifférente et non liée à la durée de l’opération.
Le graphe permet de représenter des tâches par des arcs orientés
(l’orientation est indiquée par une flèche).

33
Méthode PERT, [en ligne], [réf. 05 Février 2016], disponible sur http://www.wikipedia.fr//methode PERT
34
François Blondel, Op.cit. , p281.
35
Idem
 P a g e | 36

Dans la méthode PERT, on calcule deux valeurs pour chaque étape :

➢ La date au plus tôt : il s’agit de la date à laquelle la tâche
pourra être terminée au plus tôt, en tenant compte du temps
nécessaire à l’exécution de tâches précédentes.
➢ La date au plus tard : il s’agit de la date à laquelle une
tâche doit être terminée à tout prix si l’on ne veut pas
retarder l’ensemble du projet.

II.4.2 CONSTRUCTION D’UN RESEAU PERT

Dans la construction d’un réseau PERT, la date de début d’une tâche

en aval s’obtient à partir de la plus tardive des dates de début des
tâches qui la précèdent (amont) et en ajoutant la durée de la tâche.
La date de début d’une tâche en amont s’obtient à partir de la plus
précoce des dates de début des tâches qui la suivent (aval) et en
retranchant la durée de la tâche36. Dans le cadre de notre travail,
nous avons recensé quelques tâches qui feront l’objet de notre
évaluation, à savoir :

➢
Etude préalable et de Faisabilité ;
➢
Recrutement des experts ;
➢
Analyse des besoins ;
➢
Elaboration du cahier des charges ;
➢
Détermination des ressources à sécuriser ;
➢
Evaluation des menaces et des risques ;
➢
Application des mesures de protection ;
➢
Panification de procédures en cas de pannes et retour
d’activité ;
➢ Faisabilité des rajustements en cas de besoin ;
➢ Test d’utilisation du système ;
➢ Formation des personnels.
II.4.3 ETABLISSEMENT DE TACHES ET DES TEMPS PREVUS POUR CHAQUE TACHE

Une tâche est une opération de production à placer sur un planning.

Le tableau ci-dessous décrit les tâches, la durée et le coût lié à
chaque tâche de notre projet. Le taux que nous utilisons

36
François Blondel, Op.cit., p.487.
 P a g e | 37

N° Tâches Activités Durée Estimation Estimation Contraintes

en de coût en de coût en antérieures
jours (USD) (CDF)

1 A Etude préalable et 6 252 000 FC -

240 $
de Faisabilité ;
2 B Recrutement des 7 441 000 FC A
420 $
experts
3 C Analyse des besoins 6 180 $ 189 000 FC B
4 D Elaboration du 5 C
cahier des charges ; 300 $ 315 000 FC
5 E Détermination des 10 D
ressources à 700 $ 735 000 FC
sécuriser
6 F Evaluation des 7 D, E
menaces et des 490 $ 514 500 FC
risques
7 G Application des 10 F
mesures de 900 $ 945 000 FC
protection
8 H Panification des 5 G
procédures en cas de 210 000 FC
200 $
panne et de retour
d’activité
9 I Test d’utilisation 6 126 000 FC H
120 $
du système
10 J Formation des 7 588 000 FC I
560 $
personnels
Tableau 2.1 : Taches, Temps et Couts prévus pour chaque tâche
Notons que dans le réseau PERT, la tâche la plus pénalisante est celle
qui a la plus longue durée de réalisation. Car, la tâche en cours ne
peut débuter que si toutes les tâches précédentes ont pris fin.
II.4.3.1 CONTRAINTES

Une contrainte est une relation existant entre deux tâches. Dans la
méthode PERT, les contraintes s’expriment le plus souvent sous forme
de contraintes de succession. Pour que l’opération B commence, il faut
que l’opération A soit commencée ou finie…

II.4.3.2 CONSTRUCTION DU GRAPHE

Le graphe ou représentation graphique du réseau permet de visualiser

l’ensemble des contraintes entre les tâches. Un graphe est d’abord un
ensemble de points (appelés nœuds ou sommets) reliés entre eux.
 P a g e | 38

A. LA GRAPHE PERT NON ORDONNEE

5jrs 7jrs
6jrs 7jrs 6jrs 10j 7jrs 10j 5jrs 6jrs

1 2 3 4 5 6 7 8 9 10 11
E F G H I J
A B C D

F’

Figure II.1 Graphe (Réseau) PERT non ordonné

 P a g e | 39

II.4.4 DETERMINATION DU DATE AU PLUS TOT ET DU DATE AU PLUS TARD

II.4.4.1 DATE AU PLUS TÔT

C’est la date la plus rapproché à laquelle il est possible de réaliser

une étape.
Formule: DTO (i) = max [DTO (J) + d (i)]
Avec:
➢ DTO(i) : la date au plus tôt de la tâche ciblée,
➢ DTO(j) : la date au plus tôt de la tâche antérieure,
➢ d(i) : la durée de tâche ciblée(i).

Calculons les Dates au plus tôt:

✓ DTO (A) = max [DTO (0) + d (A)]= 0 + 6 = 6
✓ DTO (B) = max [DTO (A) + d (B)]= 6 + 7 = 13
✓ DTO (C) = max [DTO (B) + d (C)]= 13 + 6 = 19
✓ DTO (D) = max [DTO (C) + d (D)]= 19 + 5 = 24
✓ DTO (E) = max [DTO (D) + d (E)]= 24 + 10 = 34
DTO (E) + d (F) = 34 + 7 = 41
✓ DTO (F) = max ( ) max 41
DTO (D) + d (F′) = 24 + 7 = 31
✓ DTO (G) = max [DTO (F) + d (G)]= 41 + 10 = 51
✓ DTO (H) = max [DTO (G) + d (H)]= 51 + 5 = 56
✓ DTO (I) = max [DTO (H) + d (I)]= 56 + 6 = 62
✓ DTO (J) = max [DTO (I) + d (J)]= 62 + 7 = 69

II.4.4.2 DATE AU PLUS TARD

C’est une date à laquelle il faut impérativement démarrer la tâche x

si on veut terminer absolument le projet dans sa durée minimale.
Formule: DTA (i) = min [DTA (J) – d (i)]
Avec :
➢ DTA(i) : la date au plus tard de la tâche ciblée,
➢ DTA(j) : la date au plus tard de la tâche précédente,
➢ d(i) : la durée de la tâche précédente.

Calculons les Dates au plus tard :

✓ DTA (J) = DTO (J) = 69
✓ DTA (I) = min [DTA (J) – d (J)]= 69 - 7 = 62
✓ DTA (H) = min [DTA (I) – d (I)]= 62 - 6 = 56
✓ DTA (G) = min [DTA (H) – d (H)]= 56 - 5 = 51
✓ DTA (F) = min [DTA (G) – d (G)]= 51 - 10 = 41
✓ DTA (F’)= min [DTA (G) – d (G)]= 51 - 10 = 41
✓ DTA (E) = min [DTA (F) – d (F)]= 41 - 7 = 34
DTA(E) − d(E) = 34 − 10 = 24
✓ DTA (D) = min ( ) min 24
DTA(F′) − d(F′) = 41 − 7 = 34
✓ DTA (C) = min [DTA (D) – d (D)]= 24 - 5 = 19
✓ DTA (B) = min [DTA (C) – d (C)]= 19 –6 = 13
✓ DTA (A) = min [DTA (B) – d (A)]= 13 –7 = 6
✓ DTA (0) = min [DTA (A) – d (A)]= 6 – 6 = 0
 P a g e | 40

II.4.4.3 CONSTRUCTION DE GRAPHE PERT

31
41 F’
7

1 A6 2 B7 C6 D5 J7
3 4 5 7 G10 9 H5 10 I6 11 12
0 6 13 51 5 56 62 69 69
19 24 41
0 6 13 1 56 62
19 24 41

E10 F7
6

34
34

Figure II.2 Graphe (Réseau) PERT ordonné

 P a g e | 41

II.4.5 DETERMINATION DES MARGES

II.4.5.1 MARGE LIBRE

La marge libre est le laps de temps pendant lequel on peut déplacer

une opération sans perturber les opérations précédente et suivante.
Formule: ML (i) = DTO (i) – DTO (j) – d (i)
Avec:
➢ ML(i) : marge libre de la tâche ciblée (i),
➢ DTO(i) : date au plus tôt de la tâche ciblée (i),
➢ DTO(j) : date au plus tôt de la tâche antérieure,
➢ d(i) : la durée de l’activité (i).

Calculons les marges libres :

✓ ML (A) = DTO (A) - DTO (0) – d (A)= 6 – 0 – 6 = 0
✓ ML (B) = DTO (B) - DTO (A) – d (B)= 13 – 6 – 7 = 0
✓ ML (C) = DTO (C) - DTO (B) – d (C)= 19 – 13 – 6 = 0
✓ ML (D) = DTO (D) - DTO (C) – d (D)= 24 – 19 – 5 = 0
✓ ML (E) = DTO (E) - DTO (D) – d (E)= 34 – 24 – 10 = 0
✓ ML (F) = DTO (F) - DTO (E) – d (F)= 41 – 34 – 7 = 0
✓ ML (F’)= DTO (F’) – DTO (D) – d (F’)= 31 – 24 – 7 = 0
✓ ML (G) = DTO (G) - DTO (F) – d (G)= 51 – 41 – 10 = 0
✓ ML (H) = DTO (H) - DTO (G) – d (H)= 56 – 51 – 5 = 0
✓ ML (I) = DTO (I) - DTO (H) – d (I)= 62 – 56 – 6 = 0
✓ ML (J) = DTO (J) - DTO (I) – d (J)= 69 – 62 – 7 = 0
II.4.5.2 MARGE TOTAL

La marge totale est la durée dont on peut augmenter une tâche sans que
le cycle de fabrication soit modifié.
Formule: MT (i) = DTA (i) – DTO (j) – d (i)
Avec:
➢ MT(i) : marge totale de la tâche (i) ;
➢ DTA(i) : date au plus tard de la tâche ciblée ;
➢ DTO(j) : date au plus tôt de la tâche antérieure ;
➢ d(i) : la durée de l’activité (i) ;
➢ AC : Activité Critique ;
➢ NC : Activité Non Critique
Calculons les marges totals:
✓ MT (A) = DTA (A) – DTO (0) – d (A)= 6 – 0 – 6 = 0 AC
✓ MT (B) = DTA (B) – DTO (A) – d (B)= 13 – 6 – 7 = 0 AC
✓ MT (C) = DTA (C) – DTO (B) – d (C)= 19 – 13 – 6 = 0 AC
✓ MT (D) = DTA (D) – DTO (C) – d (D)= 24 – 19 – 5 = 0 AC
✓ MT (E) = DTA (E) – DTO (D) – d (E)= 34 – 24 – 10 = 0 AC
✓ MT (F) = DTA (F) – DTO (E) – d (F)= 41 – 34 – 7 = 0 AC
✓ MT (F’)= DTA (F’)– DTO (D) – d (F’)=41 – 24 – 7 = 10 NC
✓ MT (G) = DTA (G) – DTO (F) – d (G)= 51 - 41 – 10 = 0 AC
✓ MT (H) = DTA (H) – DTO (G) – d (H)= 56 – 51 – 5 = 0 AC
✓ MT (I) = DTA (I) – DTO (H) – d (I)= 62 – 56 – 6 = 0 AC
✓ MT (J) = DTA (J) – DTO (I) – d (J)= 69 – 62 – 7 = 0 AC
 P a g e | 42

II.4.6 TACHES ET CHEMIN CRITIQUES

Ces notions constituent l'apport le plus appréciable de la méthode :

elles renseignent utilement et précisément le pilote de projet sur les
risques pesant sur son avancement. Grâce au suivi des tâches et du
chemin critique le pilote anticipe les conséquences futures du
déroulement de son projet. Deux perspectives d'examen sont
théoriquement possibles :

• le « pert time » qui exprime le chemin critique exprimé en termes

de délais et de calendrier ;

• le « pert cost » qui exprime le chemin critique exprimé en termes

de dépenses.

Une tâche de A vers B est critique si la différence entre la date au

plus tard de B et la date au plus tôt de A est égale à la durée de la
tâche à accomplir ou lorsqu’elle n’admet aucun retard dans son
exécution et sa marge totale est nulle. L'ensemble des tâches critiques
constitue le chemin critique, c'est-à-dire le chemin sur lequel aucune
tâche ne doit avoir de retard pour ne pas retarder l'ensemble du
projet.

II.4.7 INTERPRETATION DE RESULTATS

Au regard de ce qui précède, il sied de noter que la plus part des

tâches (A, B, C, D, E, F, G, H, I, J) de notre projet n’admettent pas
de retard dans leurs exécution, à l’instar de la tâche F’ qui peut
admettre un retard respectif de 10 jours avant qu’elle soit réalisée,
sans remettre en cause les dates au plus tard des tâches suivantes.

Par conséquent, nos tâches critiques sont : (A), (B), (C), (D),
(E),(F), (G), (H), (I), et (J). Ainsi notre chemin critique est : A,
B, C, D, E, F, G, H, I, J. Ensuite, notre projet s’étendra dans un
délai de 69 jours ouvrables de sa date au plut tôt, dès le jour de son
exécution.

II.4.8 L’ESTIMATION DE COUT TOTAL DU PROJET

Pour ce qui concerne cette estimation, nous prévoyons, vu la

fluctuation de taux d’échange de la monnaie nationale par rapport au
devise, 1$ équivaut 1050 Fc.

N° Tâches Activités Durée Estimation de Estimation de

en coût en (USD) coût en (CDF)
jours
 P a g e | 43

1 A Etude préalable et de Faisabilité ; 252 000 FC

6 40$x6=240 $
2 Pers. de comité de gestion 20$x2
2 B Recrutement des experts ;
1 Expert en sécurité Info 30$ 7 60$x7=420 $ 441 000 FC
1 Admin. Rx 30$
3 C Analyse des besoins 189 000 FC
6 30$x6=180 $
2 Pers. de comité de gestion 15$
4 D Elaboration du cahier des charges ;
1 Expert en sécurité Info 20$ 315 000 FC
5 60$x5=300 $
1 Admin. Rx 20$
2 Pers. de comité de gestion 20$
5 E Détermination des ressources à
sécuriser 735 000 FC
10 70$x10=700 $
1 Expert en sécurité Info 40$
1 Admin. Rx 30$
6 F Evaluation des menaces et des
risques 7 514 500 FC
70$x7=490 $
1 Expert en sécurité Info 40$
1 Admin.Rx 30$
7 G Application des mesures de
protection 945 000 FC
10 90$x10=900 $
1 Admin.Rx 30
2 Pers. de comité de gestion 30
8 H Panification des procédures en cas
de panne et de retour d’activité 210 000 FC
5 40$x5=200 $
1 Admin.Rx 20$
1 Expert en sécurité Info 20$
9 I Test d’utilisation du système
1 Pers. de comité de gestion 10$ 6 30$x6=120 $ 126 000 FC
2 Employés 10$
10 J Formation des personnels
1 Expert en sécurité Info 40$ 7 80$x7=560 $ 588 000 FC
1 Admin.Rx 40$
Coût total d’évaluation 4310 $ 4 525 500 FC
Imprévus =CTx10/100 431 $ 452 550 FC
Coût Total du Projet 4741 $ 4 978 050 FC
Tableau 2.3 : Le coût total estimatif du projet

II.5 CLONCLUSION

Au terme de ce chapitre qui présente et traite la manière dont toutes

les étapes du déroulement de notre projet, et passe en survol
l’évaluation, la planification et la mise en œuvre de notre projet.

Ce chapitre explore également une technique de gestion de projet dont

nous avons approfondi une minutieuse étude ; PERT, une méthode qui
nous permet de mettre en ordre sous la forme d'un graphe, plusieurs
tâches qui grâce à leur dépendance et à leur chronologie concourent
tous à la réalisation de notre projet. Cette méthode nous permet aussi
de calculer le meilleur temps de réalisation de notre projet et
d'établir le planning correspondant.
 P a g e | 44

Dans le chapitre qui suive, nous parlerons de tout ce qui est mis en
place dans l’environnement grand-public qu’est le cyberespace ainsi
que des opportunités qu’offrent ce dernier aux entreprises en termes
de support de leurs processus pour le développement.
 P a g e | 45

CHAPITRE III : PRESENTATION DES OPPORTUNITES DE CYBERESPACE

III.1 INTRODUCTION

Le cyberespace est pour moi un monde formidable où on peut apprendre

sans limites, discuter avec les autres continents, voyager tout en
restant à la maison, comprendre d'autres cultures et approfondir nos
connaissances générales. Par contre, il peut devenir un outil très
dangereux lorsqu'il est mal utilisé. Dans ce chapitre nous traiterons
des opportunités qu’offre le cyberespace. Mais nous passerons
superficiellement ces opportunités car elles sont tellement
nombreuses.
III.2 CONCEPTS GENERAUX

Le cyberespace se trouvant désormais au centre de l’infrastructure

mondiale de l’information et des communications, sa sécurité est
devenue une priorité plus urgente pour les PME, les entreprises et les
gouvernements à l’échelle internationale. Il est le monde électronique
créé par des réseaux interconnectés formés de systèmes de technologie
de l’information et de l’information qui se trouve sur ses réseaux. Le
cyberespace est un bien commun reliant plus de 1,7 milliard de
personnes qui échangent des idées et des services et qui tissent des
liens d’amitié.
Les technologies omniprésentes, interconnectées et qui offrent un
accès facile au cyberespace font désormais partie intégrante de notre
quotidien. De ce fait, nous dépendons de plus en plus du cyberespace
pour les interactions sociales, économiques et politiques. Le Web
constitue une plateforme pour tout un éventail de
secteurs et de services touchant les infrastructures essentielles,
notamment les soins de santé, l’alimentation et l’eau, les finances,
les technologies de l’information et des communications, la sécurité
publique, l’énergie et les services publics, le secteur de la
fabrication, le transport et le gouvernement. La connectivité du
cyberespace contribue à l’augmentation de tous ces secteurs
d’infrastructure essentiels et par conséquent, elle est vitale pour
la croissance économique future des PME Congolaises.
Par ailleurs, l’environnement Internet fait de plus en plus souvent
l’objet de menaces sophistiquées et ciblées; notre dépendance
croissante au cyberespace crée de nouvelles et importantes
vulnérabilités. Le risque est décuplé par un certain nombre de facteurs
: plus de données électroniques précieuses sont stockées et
traitées à très grande échelle, la plupart du temps dans le
cyberespace; de puissants appareils numériques portables comme les
téléphones intelligents, les tablettes numériques et les ordinateurs
portables font de plus en plus partie de toutes les facettes de notre
 P a g e | 46

vie; les renseignements sont échangés, combinés et liés à d’autres

renseignements à une plus grande fréquence; les relations avec des
tiers (par exemple, la sous-traitance à un fournisseur de services en
nuage) sont monnaie courante. À moins que les composantes soient toutes
aussi sûres les unes que les autres, c’est le système en entier qui
est vulnérable, les cybercriminels
sachant souvent très bien comment exploiter les faiblesses du
cyberespace.
III.3 CARACTERISTIQUES STRATEGIQUES DE CYBERESPACE

En fait, en considérant les intentions stratégiques des acteurs de

cyberespace, on peut remarquer que, le cyberespace présente deux
caractéristiques essentielles, qui vont orienter tous les calculs. Il
s’agit tout d’abord du principe de son universalité.
La première caractéristique du cyberspace est son universalité : non
seulement le cyber est désormais à la surface du globe, mais il est
également présent dans tous les aspects de nos vies.
La deuxième caractéristique du cyberespace tient à sa non-létalité :
La non-létalité du cyberespace fait que les actions qui s’y mènent
font peu de bruit, et surtout ne mobilisent pas aisément l’émotion
médiatique. Voici la deuxième opacité du cyberespace, qui est en fait
la conséquence de la première.
III.4 OPPORTUNITE STRATEGIQUES DE CYBERESPACE

Outre la découverte des biens faits qu’offrent l’internet par ses

services, il y a également de milliers de personnes y accèdent avec
la ferme intention et le rêve de démarrer leurs propres affaires. Mais
le problème est que la majorité de ces personnes ne savent même pas
par où commencer ou à qui se confier.
Il y a beaucoup d’opportunités d’affaires sérieuses sur Internet. Mais
comme il n’y a pas de rose sans épines, de milliers d’arnaques y
pullulent aussi. Si bien que si vous voulez vous lancer nouvellement,
vous devez tout faire pour distinguer une bonne opportunité d’une
arnaque.
Souvent, les arnaques sont faites d’une manière très attractive. Si
bien qu’il est difficile de résister à la tentation. Malgré tout, vous
pouvez réussir sur Internet. Il suffit juste de trouver la bonne
opportunité.

III.5 INTERNET

Le terme d'origine américaine « Internet » est dérivé du concept

d'internetting (en français : « interconnecter des réseaux ») dont la
 P a g e | 47

première utilisation documentée remonte à octobre 1972 par Robert E.

Kahn, au cours de la première ICCC (International Conference on
Computer Communications) à Washington37.
Les origines exactes du terme « Internet » restent à déterminer.
Toutefois, c'est le 1er janvier 1983 que le nom « Internet », déjà en
usage pour désigner l'ensemble d'ARPANET et plusieurs réseaux
informatiques, est devenu officiel38.
En anglais, on utilise un article défini et une majuscule, ce qui
donne the Internet. Cet usage vient du fait que « Internet » est de
loin le réseau le plus étendu, le plus grand « internet » du monde,
et donc, en tant qu'objet unique, désigné par un nom propre. Un
internet (un nom commun avec « i » minuscule) est un terme d'origine
anglaise utilisé pour désigner un réseau constitué de l'interconnexion
de plusieurs réseaux informatiques au moyen de routeurs.

III.5.1 CONCEPT

Internet est le réseau informatique mondial accessible au public.

C'est un réseau de réseaux, sans centre névralgique, composé de
millions de réseaux aussi bien publics que privés, universitaires,
commerciaux et gouvernementaux, eux-mêmes regroupés, en 2014, en 47
000 réseaux autonomes. L'information est transmise par internet grâce
à un ensemble standardisé de protocoles de transfert de données, qui
permet l'élaboration d'applications et de services variés comme le
courrier électronique, la messagerie instantanée, le pair-à-pair et
le World Wide Web.
L'internet ayant été popularisé par l'apparition du World Wide Web
(WWW), les deux sont parfois confondus par le public non averti. Le
World Wide Web n'est pourtant que l'une des applications d'internet.
L'accès à internet peut être obtenu grâce à un fournisseur d'accès via
divers moyens de communication électronique : soit filaire (réseau
téléphonique commuté (bas débit), ADSL, fibre optique jusqu'au
domicile), soit sans fil (WiMAX, par satellite, 3G+, 4G). Un
utilisateur d'internet est désigné par le néologisme « internaute».
III.5.2 TECHNIQUE

L'internet est constitué de la multitude de réseaux répartis dans le

monde entier et interconnectés. Chaque réseau est rattaché à une entité
propre (université, fournisseur d'accès à Internet, armée) et est
associé à un identifiant unique appelé Autonomous System (AS) utilisé
par le protocole de routage BGP (Border Gateway Protocol (BGP) est un

37
A. Beauchamp, La foi à l'heure d'internet, Washington, éd. Fides, 2001, p. 57
38
A. Beauchamp, Op.cit, p.57-58
 P a g e | 48

protocole d'échange de route utilisé notamment sur le réseau Internet.

Son objectif est d'échanger des informations de routage et
d'accessibilité de réseaux (appelés préfixes) entre Autonomous
Systems)39.
Ce transit du trafic IP entre un ordinateur et un serveur. Chaque
routeur oriente le trafic vers un routeur voisin plus proche de la
destination.
En pratique, ces connexions sont réalisées par des infrastructures
matérielles, et des protocoles informatiques. Ces connexions
permettent notamment de relier des connexions grand public à des Centre
de traitement de données.
L'accès à internet est souvent vendu sous la forme d'offre commerciale
de services, avec un abonnement fixe ou un paiement aux données
consommées. Certaines organisations, notamment les universités
européennes, disposent de leurs propres réseaux (ex. : Renater).
Pour accéder à internet il faut disposer d'un équipement IP ainsi que
d'une connexion à un fournisseur d'accès. Pour cela, l'utilisateur
emploie les matériel et logiciel suivants :
1. Un ordinateur personnel ou tout autre équipement terminal d'un
réseau :

➢ Assistant personnel,

➢ Tablette numérique,

➢ Console de jeux vidéo,

➢ Téléphone mobile ;

2. Un canal de communication vers le fournisseur d'accès :

o Fibre optique,

o Ligne téléphonique fixe : ligne analogique, xDSL,

o Ligne téléphonique mobile : 4G, LTE, 3G+, 3G, Edge, GPRS,

GSM (CSD),

o Internet par satellite

3. Un système (logiciel/matériel) client pour le protocole réseau

utilisé (PPP, PPPoX, Ethernet, ATM, etc.) ;

39
J. Vallée, Au cœur d'Internet : un pionnier français du réseau examine son histoire et s'interroge sur l'avenir,
éd Balland, 2004
 P a g e | 49

4. Un fournisseur d'accès à Internet (FAI) (en anglais ISP pour

Internet Service Provider).

Des logiciels sont, eux, nécessaires pour exploiter Internet suivant

les usages :
• Courrier électronique : un client SMTP et POP (ou POP3) ou IMAP
(ou IMAP4) ;

• Transferts de fichiers : un client ou un serveur FTP (File

Transfert Protocol) ;

• World Wide Web : un navigateur web ;

• Pair to pair : l'un des nombreux logiciels de P2P en fonction de

l'usage (partage de fichiers en pair à pair, Calcul distribué,
P2P VoIP, etc.).

III.5.3 PROTOCOLES LOGICIELS40

Les protocoles logiciels utilisés sur internet sont les conventions

structurant les échanges d'informations nécessaires au transfert des
contenus applicatifs pour l'usager final. Ils permettent notamment
d'identifier les interfaces (donc les machines), de s'assurer de la
réception des données envoyées, et de l'interopérabilité41.
L'internet fonctionne suivant un modèle en couches, similaire au modèle
OSI. Les éléments appartenant aux mêmes couches utilisent un protocole
de communication pour s'échanger des informations.
Un protocole est un ensemble de règles qui définissent un langage afin
de faire communiquer plusieurs ordinateurs. Ils sont définis par des
normes ouvertes, les RFC.
Chaque protocole a des fonctions propres et, ensemble, ils fournissent
un éventail de moyens permettant de répondre à la multiplicité et à
la diversité des besoins sur internet.
Les principaux sont les suivants, classés selon leur couche (IP, TCP
et UDP) ; couches applicatives :
➢ IP (Internet Protocol) aussi appelé IPv4 : protocole réseau qui
définit le mode d'échange élémentaire entre les ordinateurs
participant au réseau en leur donnant une adresse unique sur
celui-ci. Cependant, en raison du nombre d'internautes croissant,

40
Internet, [en ligne], [réf 05 Février 2016], disponible sur http://wikipedia.fr/internet
41
J. Vallée, Op.cit.
 P a g e | 50

une nouvelle norme voit le jour ; nommée IPv6, elle permet

d'accueillir un plus grand nombre d'utilisateurs.

➢ TCP : responsable de l'établissement de la connexion et du

contrôle de la transmission. C'est un protocole de remise fiable.
Il s'assure que le destinataire a bien reçu les données, au
contraire d'UDP.
▪ HTTP (HyperText Transfer Protocol) : protocole mis en œuvre
pour le chargement des pages web.
▪ HTTPS : pendant du HTTP pour la navigation en mode sécurisé.
▪ FTP (File Transfer Protocol) : protocole utilisé pour le
transfert de fichiers sur Internet.
▪ FTPS (File Transfer Protocol Secure) : pendant du FTP pour
le transfert de fichiers sécurisés
▪ SMTP (Simple Mail Transfer Protocol) : mode d'échange du
courrier électronique en envoi.
▪ POP3 (Post Office Protocol version 3) : mode d'échange du
courrier électronique en réception.
▪ IMAP (Internet Message Access Protocol) : un autre mode
d'échange de courrier électronique.
▪ IRC (Internet Relay Chat) : protocole de discussion
instantanée.
▪ NNTP (Network News Transfer Protocol) : protocole de
transfert de message utilisé par les forums de discussion
Usenet
▪ SSL ou TLS : protocoles de transaction sécurisée, utilisés
notamment pour le paiement sécurisé.
➢ UDP : permet de communiquer, de façon non fiable mais légère,
par petits datagrammes.
▪ DNS (Domain Name System) : système de résolution de noms
Internet.

➢ ICMP (Internet Control Message Protocol) : protocole de contrôle

du protocole IP.

À la suite de l'épuisement des adresses IPv4, le protocole IPv6 a été

développé. Celui-ci dispose d'un espace d'adressage considérable.
Indépendamment du transfert entre deux points, les routeurs doivent
pouvoir s'échanger des informations de routage. Un IGP (Interior
Gateway Protocol) et un EGP (Exterior Gateway Protocol) comme BGP
(Border Gateway Protocol) satisfont ce besoin.
 P a g e | 51

III.6 CLOUD COMPUTING

Aujourd’hui, le secteur informatique doit répondre aux évolutions

toujours plus rapides des environnements professionnels avec des
budgets limités, tout en cumulant la prise en charge des applications
héritées et des nouveaux logiciels. Les entreprises ne peuvent se
permettre de concevoir des applications totalement nouvelles pour le
Cloud42.
Le Cloud Computing, ou « informatique dans les nuages », est un «
nouveau » modèle informatique qui consiste à proposer les services
informatiques sous forme de services à la demande, accessibles de
n'importe où, n'importe quand et par n'importe qui. Il désigne l'accès
à distance pour stocker des informations à l'aide d'un navigateur.
Internet est un exemple de navigateur43. L'intérêt du cloud computing
est de travailler sur le même document avec plusieurs postes de travail
distant, c'est-à-dire entre plusieurs personnes ou à distance sur
plusieurs outils comme le smartphone ou un ordinateurs portable.
L'inconvénient est l'absence de contrôle des documents sur le stockage.

Figure III.1 Le Cloud Computing

III.6.1 CONCEPT

Le Cloud Computing est un concept de déportation sur des serveurs

distant des traitements informatiques traditionnellement localisés sur
le poste utilisateur via le cyberespace selon Wikipedia44.
Pour résumer, c’est demander à un prestataire externe de stocker vos
données, voir même de les traiter, depuis une plateforme (plusieurs
milliers de machines) dont vous ne connaissez ni le matériel ni la

42
G. Plouin, Cloud Computing, Sécurité, stratégie d'entreprise et panorama du marché, Collection InfoPro,
Dunod, 2013, p. 43
43
G. Plouin, Op.cit. p. 43
44
Cloud Computing, [en ligne], [réf 05 Février 2016], disponible sur https://wikipedia.fr/cloud computing,
 P a g e | 52

localisation, et que vous louez. Selon les services proposés cela

peut-être payant ou non.
Le Cloud computing est donc une technologie qui utilise Internet et
des serveurs centraux distants pour gérer les données et les
applications. Il permet aux consommateurs et aux entreprises
d’utiliser des applications sans installation et d’accéder à leurs
fichiers personnels depuis n’importe quel ordinateur ayant un accès à
Internet. Dans ce concept, les utilisateurs n’ont plus à se soucier
des aspects techniques (infrastructures, déploiement, mises à
jour…).Un exemple simple du Cloud computing est le service de
messagerie : Gmail, Yahoo, etc45. Vous n’avez pas besoin d’un logiciel
ou d’un serveur personnel pour consulter vos mails. Tout ce que vous
avez besoin c’est seulement une connexion Internet et vous pourrez
commencer à envoyer des mails46. Le serveur et le logiciel de gestion
de mail sont sur le nuage Internet et sont entièrement gérés par le
fournisseur de services de Cloud computing (Google, Yahoo, etc).

Figure III.2 Les services de Cloud Computing

III.6.2 PRINCIPALES CARACTERISTIQUES

Les caractéristiques essentielles d'un nuage sont la disponibilité

mondiale en libre-service, l'élasticité, l'ouverture, la mutualisation
et le paiement à l'usage 47:
➢ Accès aux services par l’utilisateur à la demande : La mise en
œuvre des systèmes est entièrement automatisée et c’est

45
R. Hennion, H. Tournier, E. Bourgeois, Cloud computing : Décider - Concevoir - Piloter - Améliorer, Paris,
Eyrolles, 2012
46
Rapport Cigref, Fondamentaux du Cloud Computing : Le point de vue des Grandes Entreprises, livre blanc
mars 2013
47
R. Heunion, H. Tournier, E. Bourgeois, Op.cit.
 P a g e | 53

l’utilisateur, au moyen d’une console de commande, qui met en

place et gère la configuration à distance.

➢ Accès réseau large bande : Ces centres de traitement sont

généralement raccordés directement sur le backbone Internet pour
bénéficier d’une excellente connectivité. Les grands
fournisseurs répartissent les centres de traitement sur la
planète pour fournir un accès aux systèmes en moins de 50 ms de
n’importe quel endroit.

➢ Réservoir de ressources (non localisées) : La plupart de ces

centres comportent des dizaines de milliers de serveurs et de
moyens de stockage pour permettre des montées en charge rapides.
Il est souvent possible de choisir une zone géographique pour
mettre les données “près” des utilisateurs.

➢ Redimensionnement rapide (élasticité) : La mise en ligne d’une

nouvelle instance d’un serveur est réalisée en quelques minutes,
l’arrêt et le redémarrage en quelques secondes. Toutes ces
opérations peuvent s’effectuer automatiquement par des scripts.
Ces mécanismes de gestion permettent de bénéficier pleinement de
la facturation à l’usage en adaptant la puissance de calcul au
trafic instantané.

➢ Facturation à l’usage : Il n’y a généralement pas de coût de mise

en service (c’est l’utilisateur qui réalise les opérations). La
facturation est calculée en fonction de la durée et de la quantité
de ressources utilisées. Une unité de traitement stoppé en ‘est
pas facturée.

III.6.3 MODÈLES DE SERVICES

Il existe trois catégories principales de services qui peuvent être

offerts en cloud computing : IaaS, PaaS et SaaS 48:
➢ Software as a Service (SaaS) : Ce modèle de service est
caractérisée par l’utilisation d’une application partagée qui
fonctionne sur une infrastructure Cloud. L’utilisateur accède à
l’application par le réseau au travers de divers types de
terminaux (souvent via un navigateur web). L’administrateur de
l’application ne gère pas et ne contrôle pas l’infrastructure
sous-jacente (réseaux, serveurs, applications, stockage). Il ne
contrôle pas les fonctions de l’application à l’exception d’un
paramétrage de quelques fonctions utilisateurs limitées ;

48
Rapport Cigref, Op.cit, p. 14
 P a g e | 54

➢ Platform as a Service (PaaS) :L’utilisateur a la possibilité de

créer et de déployer sur une infrastructure Cloud PaaS ses
propres applications en utilisant les langages et les outils du
fournisseur. .L’utilisateur ne gère pas ou ne contrôle pas
l’infrastructure Cloud sous-jacente (réseaux, serveurs,
stockage) mais l’utilisateur contrôle l’application déployée et
sa configuration.
➢ Infrastructure as a Service (IaaS) :L’utilisateur loue des moyens
de calcul et de stockage, des capacités réseau et d’autres
ressources indispensables (partage de charge, pare-feu, cache).
L’utilisateur a la possibilité de déployer n’importe quel type
de logiciel incluant les systèmes d’exploitation. L’utilisateur
ne gère pas ou ne contrôle pas l’infrastructure Cloud sous-
jacente mais il a le contrôle sur les systèmes d’exploitation,
le stockage et les applications. Il peut aussi choisir les
caractéristiques principales des équipements réseau comme le
partage de charge, les pare-feu, etc.

III.6.4 LES MODELES DE DEPLOIEMENT

Certains distinguent quatre modèles de déploiement. Nous les citons

ci-après bien que ces modèles n’aient que peu d’influence sur les
caractéristiques techniques des systèmes déployées49.
➢ Cloud privé : L’infrastructure Cloud est utilisée par une seule
organisation. Elle peut être gérée par l’organisation ou par une
tierce partie. L’infrastructure peut être placée dans les locaux
de l’organisation ou à l’extérieur. Il peut se déployer sous deux
formes distinctes :

o Cloud privé interne : hébergé par l’entreprise elle-même,

parfois partagé ou mutualisé en mode privatif avec les
filiales.

o Cloud privé externe : hébergé chez un tiers, il est

entièrement dédié à l’entreprise et accessible via des
réseaux sécurisés de type VPN.

➢ Cloud communautaire : L’infrastructure Cloud est partagée par

plusieurs organisations pour les besoins d’une communauté qui
souhaite mettre en commun des moyens (sécurité, conformité,
etc..). Elle peut être gérée par les organisations ou par une
tierce partie et peut être placée dans les locaux ou à
l’extérieur.

49
Eurocloud France : Le Cloud et la Distribution et de la distribution, Livre Blanc, 2011
 P a g e | 55

➢ Cloud public : L’infrastructure cloud est ouverte au public ou à

de grands groupes industriels. Cette infrastructure est possédée
par une organisation qui vend des services Cloud. C’est le cas
le plus courant. C’est celui de la plate-forme Amazon Web
Services déjà citée. Il est accessible par Internet et géré par un
prestataire externe, les ressources peuvent être partagées entre
plusieurs entreprises, parfois concurrentes.

➢ Cloud hybride : L’infrastructure Cloud est composée d’un ou

plusieurs modèles ci-dessus qui restent des entités séparées.
Ces infrastructures sont liées entre elles par la même
technologie qui autorise la portabilité des applications et des
données. C’est une excellente solution pour répartir ses moyens
en fonction des avantages recherchés. Il associe l’utilisation,
pour une même entreprise, d’un Cloud privé et d’un Cloud public.

III.6.5 LE CLOUD COMPUTING AU SEIN DES ENTREPRISES

Le Cloud Computing n’est pas seulement un moyen de gérer des ressources

internes mais va aussi permettre à une marque d’augmenter sa notoriété
sur le web. Une petite entreprise, qui a un budget restreint pour
financer son site Internet, ne pourra pas bénéficier d’un serveur
dédié très puissant. Cela aura de fâcheuses conséquences sur la
performance de la bande passante et provoquera certainement des
encombrements. Quelle erreur stratégique ! Se faire connaître va être
l’un des premiers objectifs pour une petite entreprise. Si les clients
potentiels sont bloqués dès leur première visite, l’image perçue ne
pourra qu’être mauvaise50. Le Cloud computing va permettre d’y remédier
et donner la possibilité à des petites structures de posséder un site
efficace grâce à un hébergement mutualisé. Les sites seront capables
d’accueillir de nombreux visiteurs, et les entreprises de réduire
leurs coûts. Les internautes satisfaits pourront alors véhiculer une
image positive de cette jeune marque. La loi du référencement naturel
fera le reste, plus il y aura de visites, plus le site remontera dans
les moteurs de recherche. La notoriété de l’entreprise augmentera
alors51.
Le Cloud computing est aujourd’hui une vraie révolution et une bonne
opportunité pour les entreprises, en particulier les plus petites.
L’ensemble de leur système d’exploitation est pris en charge par des
prestataires externes, impliquant des réductions budgétaires
remarquables. Que ce soit l’hébergement, les logiciels, la bande
passante… tout est géré en externe sous forme de location52. Ce concept

50
Eurocloud France, Op.cit
51
Rapport Cigref, Op.cit, p. 14
52
G. Plouin, Op.cit, p. 56
 P a g e | 56

est très intéressant car les avantages sont nombreux. Le Cloud

computing permet53 :
➢ Extensibilité et adaptabilité, nul besoin d’anticiper les
ressources nécessaires, il décharge les entreprises de toute
logistique, maintenance, mises à jour et permet un important
stockage de données.

➢ Virtualisation et mobilité, peu importe le lieu où l’on se

trouve, un simple navigateur et une connexion Internet suffisent
pour retrouver sa session et ses documents.

➢ Mutualisation et réduction des coûts, la consommation est gérée

par mutualisation, plus besoin d’investissement lourd dans du
personnel compétent ou dans du matériel rapidement obsolète.

Là est la véritable opportunité pour une petite structure. Les serveurs

deviennent virtuels, les entreprises ne payent que ce qu’elles
utilisent réellement, comme elles le feraient avec leur consommation
électrique. Plus de problèmes techniques ou d’encombrements, les
entreprises sont plus performantes face à la concurrence et bénéficient
des mêmes ressources que les plus grandes. Ce concept rentre vraiment
dans la stratégie de développement, de compétitivité et de
pérennisation des entreprises54
III.7 BIG DATA & ANALYTICS

Chaque jour, nous générons 2,5 trillions d’octets de données. A tel

point que 90% des données dans le monde ont été créées au cours des
deux dernières années seulement. Ces données proviennent de partout :
de capteurs utilisés pour collecter les informations climatiques, de
messages sur les sites de médias sociaux, d'images numériques et de
vidéos publiées en ligne, d'enregistrements transactionnels d'achats
en ligne et de signaux GPS de téléphones mobiles, pour ne citer que
quelques sources. Ces données sont appelées Big Data ou volumes massifs
de données55.

III.7.1 CONCEPT

Le Big data bouscule de fond en comble nos manières de faire du

"business". Le concept, tel qu'il est défini actuellement, englobe un
ensemble de technologies et de pratiques destinées à stocker de très
grandes masses de données et à les analyser très rapidement.
L’explosion quantitative (et souvent redondante) de la donnée
53
Rapport Cigref, Op.cit, p.14
54
Eurocloud France, Op.cit
55
M. Ouellet, A. Mondoux, M. Ménard, M. Bonenfant et F. Richert, "Big Data", gouvernance et surveillance,
Montréal, Université du Québec à Montréal, 2014, p. 65
 P a g e | 57

numérique contraint à de nouvelles manières de voir et analyser le

monde56.
III.7.2 PRINCIPE ET DIMENSION DU BIG DATA

Le Big Data s'accompagne du développement d'applications à visée

analytique, qui traitent les données pour en tirer du sens57. Ces
analyses sont appelées Big Analytics. En 2001, un rapport de recherche
du META Group (devenu Gartner) définit les enjeux inhérents à la
croissance des données comme étant tridimensionnels58: les analyses
complexes répondent en effet à la règle dite « des 3V » (volume,
vélocité et variété) c’est pour décrire le principe du big data, il est
coutumier de résumer ses caractéristiques majeures en utilisant 3 lettres
"V"59 :

➢ "V" pour Volume : La quantité de données générée est en pleine

expansion et suit une loi quasi exponentielle. Le commerce
électronique et les réseaux sociaux sont les grands contributeurs
de cette profusion de données.

➢ "V" pour Velocity (vélocité) : La vélocité représente à la fois

la fréquence à laquelle les données sont générées, capturées et
partagées et mises à jour ; c’est ainsi que la rapidité de
renouvellement des données dans un monde connecté n'est plus à
démontrer. Toutes les nouveautés et mises à jour sont stockées
en respect de la devise du big data : "On garde tout!".

➢ "V" pour Variety (variété) : Les bases de données spécialisées

sont en mesure de gérer la multiplicité des formats des données
: numérique, texte, image...

Il n'est pas inutile d'y ajouter un quatrième "V" pour "valeur" comme
le recommandent les pragmatiques qui sont aussi les mieux avertis (ou
déjà échaudés...) de la pratique des technologies de l'information.
Autrement dit, il faut bien que tout cela serve à quelque chose
"d'utile"...
III.7.3 ANALYSER LES DONNEES

Bien évidemment, stocker une telle quantité de données n'a d'autre

finalité que de tirer des enseignements pertinents afin d'accroître
notre connaissance sur notre environnement professionnel en
l'occurrence. Les finalités des analyses big data sont multiples. Que
ce soit pour des analyses prospectives afin de mieux comprendre les

56
Big Data, [en ligne], [ 04 Avril 2016] disponible sur htts://wikipedia.fr/big data
57
Delort, Le Big Data, Paris, Presses Universitaires de France, 2015, p. 4
58
Idem
59
Idem
 P a g e | 58

attentes des clients, la modélisation pour mieux fixer le prix d'une

nouvelle gamme de produits selon le segment visé ou encore une
simulation du type "que se passerait-il si ?", le champ d'investigation
est vaste.
III.7.4 DATA SCIENTIST ET MANAGER

Encore faut-il bien maitriser les techniques d'analyse et savoir

choisir la plus opportune afin de tirer les enseignements les plus
pertinents. Recherche de corrélation, analyse prospective,
modélisation, simulation, data vizualisation, voilà quelques
techniques que doit maitriser le spécialiste de l'analyse des données
big data, le "data scientist" que l'on pourrait traduire par le
scientifique des données. Le métier de data scientist est appelé à se
développer60.
III.7.5 TECHNOLOGIES DU BIG DATA

Le coût des technologies a drastiquement chuté. La mise en œuvre des

solutions de stockage et de traitements massivement "parallélisé" pour
traiter les "grandes" données est aujourd'hui tout à fait à la portée
de bien des entreprises. La majorité des logiciels de base sont de
surcroît disponible en open-source. Pour autant, comme c'est
d'ailleurs le cas pour tous les projets technologiques, la démarche
Big Data doit s'inscrire dans un schéma plus global, en conformité
avec les objectifs stratégiques de l'entreprise.
III.7.6 LES SOURCES DE DONNEES

Lorsque l'on aborde le sujet du Big Data on nous ressasse toujours

l'exemple des géants de l'Internet qui exploitent avec talent le web,
les réseaux sociaux et la géolocalisation. Dans la réalité, la majorité
des entreprises se contentent de traiter les données provenant de
"sources plus classiques" : ERP et CRM. Ces sources sont riches
d'informations, n'en doutons pas. Mais hormis la minorité
d'entreprises qui gèrent un commerce en ligne (B2C, B2B), elles sont
encore peu nombreuses à s'ouvrir sur l'extérieur, en achetant des
accès à des bases de données externes ou en exploitant l'Open Data par
exemple. Bien du chemin reste encore à parcourir, notamment avec une
plus large exploitation des objets connectés. Ils seront rapidement
indispensables pour optimiser au mieux les solutions de supply-chain.
III.8 INTERNET DES OBJECTS

Partout dans le monde, les gens se connectent à Internet pour trouver

des informations, pour interagir avec leurs homologues et pour
travailler. Mais les gens ne sont pas les seuls consommateurs

60
Delort, Op.cit, p. 128
 P a g e | 59

d'Internet : les objets l'utilisent également. Dans les secteurs de

l'industrie manufacturière et de l'énergie, les interactions machine
à machine sont répandues. Elles permettent de suivre les opérations
des machines-outils, de signaler les défaillances et d'envoyer des
alertes de maintenance61.
À cela s'ajoutent aujourd'hui les objets du quotidien, qui se
connectent au cloud pour former « l'Internet des objets »62.
III.8.1 CONCEPT

Bien que l’Internet des objets soit un concept relativement nouveau,

les technologies qui le rendent possible existent depuis quelque temps
déjà63. L’identification par radiofréquence a été inventée au milieu
du XXe siècle et les matériaux utilisant les nanotechnologies sont
commercialisés depuis plus de dix ans. L’association entre ces
technologies est à l’origine des fameux objets «intelligents» tels que
les robots, les «voitures intelligentes» et les «bâtiments
intelligents». Par ailleurs, les progrès de la miniaturisation font
que des objets de plus en plus petits ont la possibilité de se connecter
et d’interagir, tant avec le réseau que les uns avec les autres. Avec
l’application de technologies telles que l’identification par
radiofréquence (RFID), les capteurs sans fil et les nanotechnologies,
l’Internet va s’étendre à des objets bien réels64.
Lier un objet ou un lieu à Internet est un processus plus complexe que
la liaison de deux pages Web. L'Internet des objets exige sept
composants65 :
1. Une étiquette physique ou virtuelle pour identifier les objets
et les lieux. Quelques systèmes d'étiquetage sont décrits ci-
dessous. Pour permettre aux étiquettes physiques plus petites
d'être localisées elles doivent être embarquées dans des
marqueurs visuels.

2. Un moyen de lire les étiquettes physiques, ou de localiser les

étiquettes virtuelles.

3. Un dispositif mobile tel qu'un téléphone cellulaire, un organizer

ou un ordinateur portable.

61
S. Proulx, Penser les usages des technologies de l’information et de la communication aujourd’hui, éds,
Enjeux et usages des TIC : aspects sociaux et culturels, Tome 1, p.7-20.
62
S. Proulx, Op.cit, p. 20
63
B. Benhamou, L’internet des objets ; Défis technologiques, économiques et politiques, Revue Esprit, 2009,
p. 270
64
G. Zbinden, L'Internet des Objets, une réponse au réchauffement climatique, éd du Cygne, Genève, 2010
65
G. Zbinden, Op.cit
 P a g e | 60

4. Un logiciel additionnel pour le dispositif mobile.

5. Un réseau sans fil de type 2G, 3G ou 4G afin de permettre la

communication entre le dispositif portable et le serveur
contenant l'information liée à l'objet étiqueté.

6. L'information sur chaque objet lié. Cette information peut être

contenue dans les pages existantes du Web, les bases de données
comportant des informations de type prix, etc.

7. Un affichage pour regarder l'information sur l'objet lié. À

l'heure actuelle, il est probable que ce soit l'écran d'un
téléphone mobile.

III.9 E-COMMERCE

Le commerce électronique (ou commerce en ligne, vente en ligne ou à

distance, parfois cybercommerce) est l'échange pécuniaire de biens,
de services et d'informations par l'intermédiaire des réseaux
informatiques, notamment Internet. On emploie également la
dénomination anglaise e-commerce.
Dans le cadre des commerces inter-entreprises, on utilise depuis de
nombreuses années des réseaux de type Échange de données informatisé
(EDI). Des transactions électroniques se réalisent également sur les
réseaux téléphoniques mobiles.
III.9.1 TYPES DE COMMERCE ELECTRONIQUE

Ce type de commerce repose sur la nature de la relation vendeur-

acheteur, ces types sont :
➢ l'échange électronique entre entreprises et gouvernement,
souvent appelé B2G (business to government), d'entreprise à
gouvernement;

➢ le commerce électronique entre entreprises, souvent appelé B2B

(business to business), d'entreprise à entreprise;

➢ l'échange électronique entre une entreprise et ses employés,

souvent appelé Intranet ou B2E (business to employee),
d'entreprise à employé;

➢ le commerce électronique à destination des particuliers, ou B2C

(business to consumer ou business to client), d'entreprise à
consommateur ou d'entreprise à client : il s'agit de sites web
marchands ;
 P a g e | 61

➢ le commerce électronique entre particuliers, ou C2C (consumer to

consumer) : il s'agit de sites web de vente entre particuliers.

III.10 L’E-SANTE

Pour l’OMS, l’e-sante se définit comme « les services du numérique au

service du bien-être de la personne ». Elle se définit également comme
« l’utilisation des outils de production, de transmission, de gestion
et de partage d’informations numérisées au bénéfice des pratiques tant
médicales que médico-sociales ». Elle ne se résume pas à la
télémédecine et ne doit pas être assimilée au vaste ensemble des « TIC
santé ».

Les TIC santé englobent l’ensemble des applications numériques au

service de l’offre de soins. Cette dynamique d’informations du système
de santé concerne notamment les systèmes d’information hospitaliers
et logiciels de gestion de cabinet.
III.11 L’E-BANKING

La banque électronique ou l’e-banking est l’accès aux services

bancaires depuis une interface interactive, comme un navigateur web,
sa disponibilité permet l’accès aux comptes, d’effectuer des
transactions ou d’obtenir des informations financières récentes sur
son compte. Son accès peut s’effectuer depuis un guichet automatique
de banque (GAB), par téléphone, via un ordinateur ou grâce à un
assistant personnel (PDA) ayant l’internet.

La banque électronique est un mode d’accès interactif à des banques

ayant des agences bancaires, se distinguant de la banque directe qui
est une banque sans guichet totalement en ligne.
III.12 L’E-MARKETING

Le e-marketing correspond à l’ensemble des méthodes et des pratiques

de marketing sur internet: communication en ligne, optimisation du
commerce électronique, création de trafic au travers de tout support
numérique.

III.13 L’E-BUSINESS

L’e-business est le terme utilisé pour décrire les systèmes

d'information et les applications qui supportent et entrainent les
processus opérationnels à l’aide des technologies du web. En quelques
mots c’est l’utilisation des moyens électroniques pour réaliser des
affaires. Les technologies utilisées par l’e-business rassemblent les
technologies du Web, les techniques informatiques et les
télécommunications.
 P a g e | 62

Il permet aux entreprises de relier leurs processus internes et

externes avec plus d’efficacité et de travailler plus étroitement avec
leurs fournisseurs, leurs partenaires ; ceci dans le but de mieux
satisfaire les besoins et les attentes de leurs clients.
L’e-business est beaucoup plus qu'une simple présence sur le web. De
nombreux outils Internet sont à la disposition des entreprises à des
coûts non prohibitifs et aident les entreprises à travailler plus
intelligemment et sans pour autant être compliqués.
III.14 RESEAUX SOCIAUX

De nos jours, les réseaux sociaux sont utilisés presque partout, à la

maison, à l’école, au travail, avec les téléphones cellulaires, etc.
C'est pourquoi notre projet a pour but d’informer les personnes de
tout âge sur les impacts que peuvent avoir les réseaux sociaux. De ce
fait, il est clair qu’il ne faut pas moraliser les lecteurs de ce
travail, mais bien les faire réfléchir sur leurs propres utilisations,
sur ce qu’est une bonne utilisation dans le cyberespace. Il est donc
important de rester objectif en présentant les avantages qu’apportent
les réseaux sociaux, mais aussi de montrer les facettes négatives et
de montrer comment les gens peuvent les éviter ou du moins diminuer
les conséquences.
Évidemment, l’utilisation des réseaux sociaux englobe plusieurs
avantages qui sont largement connus. En effet, c’est facile
d’utilisation, peu coûteux, généralement gratuit, ça permet d’échanger
rapidement, mais surtout, avec ces technologies, il est maintenant
possible de rejoindre des milliers de personnes quasiment
instantanément. Par ailleurs, les réseaux sociaux engendraient
plusieurs avantages sur la santé émotionnelle des gens :

• Se connecter avec des amis que vous n’avez pas encore rencontrés
:
• Améliorer la communication avec votre famille :
• Se renouer avec les anciens amis ou membres de la famille :
• S’engager dans le réseau d’affaires :
• Clarifier ce qui est important pour vous :
• Partager avec le monde :
• Aider d’autres gens :

En général, les gens vont plus souvent voir les avantages liés aux
réseaux sociaux que les inconvénients.
Ainsi, bien que plusieurs avantages découlent des réseaux sociaux, les
inconvénients et les dangers qui en résultent sont aussi nombreux que variés.
Effectivement, lorsqu’on y pense vraiment, presque tout est virtuel dans ces
sites, les amis, les interactions, l’argent, tout n’est pas vrai. Le problème
 P a g e | 63

avec ça, c’est qu’à force de les utiliser, on finit par prendre ces choses
pour la réalité. Par contre, une seule chose est sûre, les dangers des
réseaux sociaux sont bien réels.

L’un des principaux problèmes de l’utilisation des réseaux sociaux est

sans aucun doute la propagation du narcissisme. En effet, même si la
plupart des gens ne s’en rendent pas compte, ils font preuve de
narcissisme sur ces sites. Ce qui arrive, c’est que les gens veulent
exposer leur vie.
De plus, l’un des dangers des réseaux sociaux est de ne pas protéger
correctement la confidentialité de votre profil, car le vol d’identité
est très courant. Alors, si vous ne limitez pas l’accès de votre profil
qu’à vos amis, les cybercriminels auront accès à toutes vos
informations, nom, prénom, adresse et numéro de téléphone, ainsi que
vos déplacements, intérêts, etc. De plus, il faut être prudent quant
à l’ajout d’amis que vous faites, car si vous ne connaissez pas la
personne, mais que vous l’ajouter dans votre liste d’amis, même si
vous avez bien sécurisé votre profil, maintenant il aura accès à toutes
vos informations et ces escrocs pourrons voler votre identité ou autre.
C’est ainsi que plusieurs précautions sont à prendre sur les réseaux
sociaux pour éviter les risques que ceux-ci peuvent engendrer. Voici
donc quelques conseils de sécurité :
• Réglez les paramètres de confidentialité afin de protéger votre
identité
• Choisissez soigneusement les personnes que vous acceptez comme
amis;
• Montrez à certains amis une version limitée de votre profil;
(Vous pouvez choisir de limiter l'accès qu'ont certains amis à
votre profil (« profil limité »). Cette option est utile si vous
avez des collègues auxquels vous ne désirez pas attribuer le
statut complet d'ami ou avec lesquels vous ne souhaitez pas
échanger certaines informations personnelles.)
• Donnez le minimum d’informations personnelles sur internet
• Réfléchir avant de publier quelque chose
• Se déconnecter avant de quitter l’ordinateur, car d’autres
personnes pourraient avoir accès à votre compte, alors elles
pourraient modifier votre profil ou publier des choses non
désirables
• Respectez les autres! Modérez vos propos dans vos publications
• Ne jamais publier de photos gênantes de toi ou des autres
• Vérifiez ce que les autres publient de toi sur le web
• Utilisez un pseudo si possible
• Ne pas choisir un mot de passe trop simple
• Ne pas communiquer votre mot de passe
 P a g e | 64

III.15 CONCLUSION

L’évolution continue du cyberespace en tant qu’univers entièrement

électronique créé à partir des réseaux interconnectés en parallèle
avec notre environnement physique se caractérise par une quantité
énorme de données. L’économie moderne dépend de plus en plus d’une
vaste quantité de données numériques générées par les opérations
financières, les communications, les activités de loisirs, les
voyages, les achats, l’exploration du Web et des centaines d’autres
activités de tous les jours dans le cyberespace.
Le cyberespace est devenu intrinsèquement complexe à gérer, et le
sécuriser constitue un défi. La connectivité constante et accrue, au
moyen d’un éventail toujours plus grand de dispositifs mobiles et de
services disponibles, les relations avec de tierces entreprises, les
infrastructures de services informatiques, les accords de partage
d’information et les autres processus opérationnels automatisés ou
intégrés dans le cyberespace sont autant d’éléments qui continuent de
comporter des risques tant pour la cybersécurité que la vie privée.
Les menaces dans le cyberespace continueront de cibler les maillons
les plus faibles de tout réseau complexe de relations d’affaires ou
de processus gouvernementaux, ce qui signifie que les acteurs dans le
domaine de la cybersécurité devront exercer un rôle commun dans la
protection de l’infrastructure et de l’information qui y circule.
Le chapitre suivant traitera de l’étude des besoins de cybersécurité
dans les Petites et Moyennes Entreprises.
 P a g e | 65

CHAPITRE IV: ETUDE DES BESOINS DE CYBERSECURITE DANS LES PME

IV.1 INTRODUCTION

Ce présent chapitre est l’une de parties constitutives de notre

travail car il traite de l’étude des besoins de cybersécurité dans les
Petites et Moyennes Entreprises (PME en sigle) comme l’indique son
intitulé. Ce dernier part de la présentation d’une PME Typique dans
le contexte générale et dans le contexte congolais. En outre il
présente ipso facto le résultat des enquêtes menées auprès desdites
PME qui, quelques-unes d’entre elles font maintenant appel à la
technologie informatique dans le but d’accroitre l’efficacité et
l’efficience de son système d’informations organisationnelles. Sur ce,
nous restons anonyme sur les PME parcourues.
Le secteur de la sécurité des entreprises dispose également d’un grand
potentiel d’innovation. Considérés comme des cibles de choix en matière
de données exploitables, les entreprises restent les victimes de
prédilection des pirates, c’est pourquoi elles ont besoin d’une
protection de pointe.
IV.2 DEFINITION DES PME DANS LE CONTEXTE CONGOLAIS

La catégorie des petites et moyennes entreprises (PME) est constituée

des entreprises qui occupent moins de 250 personnes, et qui ont un
chiffre d'affaires annuel inférieur à 50 millions d'euros ou un total
de bilan n'excédant pas 43 millions de dollars américains66.
Il en découle que la définition claire et précise de la PME parait
difficile, et que la notion de PME est nécessairement relative au
contexte socio-économique dans lequel elle vit et il semble plus
souhaitable de rechercher une dénomination commune en déterminant un
certain nombre de caractéristique globales des PME. C’est ainsi que
par sa Définition générale la PME est considéré comme une entreprise
à propriété indépendante non dominante dans un secteur d'activité.
L'entreprise est conçue comme une affaire de cent, deux cents, cinq
cents employés67.
En République Démocratique du Congo, on entend par les PME, les
entreprises agricoles, commerciales, industrielles, artisanales, de
services dont le capital est détenu uniquement par des personnes
physiques ou morales de nationalité congolaise et où le chef
d'entreprise est obligé d'assurer lui-même directement toutes les
fonctions que l'on retrouve dans une grande entreprise qui doivent

66
Petite moyenne entreprise, [en ligne], disponible sur http://www.insee.fr/fr/methodes/default.asp
/définitions/petite-moyenne-entreprise
67
A. Cortat et J-M. Olivier, Le profit dans les PME, perspectives historiques, Presses universitaires, Suisses, 2014,
p.20
 P a g e | 66

être remplies par un directeur commercial, un Directeur financier, un

Directeur de production et un Directeur personnel de grande entreprise.
Ce trait se trouve dans la plupart des définitions de la PME et
constitue un élément fondamental du comportement de ce type
d'entreprise. La PME est, en effet le plus souvent le fait d'une
personnalité.68
IV.3 CARACTERISTIQUES DES PME

Les PME jouent un rôle particulièrement important dans les pays en

développement et en transition. Elles constituent une source majeure
d’emplois, de revenus et de recettes à l’exportation. Si elles ont à
faire face aux mêmes difficultés que les PME du reste du monde, les
PME des pays en développement pâtissent plus encore que les autres de
la piètre qualité des capacités humaines et institutionnelles mises à
leur disposition et tardent à recueillir tous les bénéfices qu’elles
sont en droit d’attendre de la mondialisation. Les difficultés
auxquelles elles se heurtent sont notamment :
• Leur faible capacité de faire entendre leur voix au stade de la
formulation de l’action gouvernementale et l’absence de dialogue
institutionnalisé entre les secteurs public et privé.

• Des préjugés défavorables à propos du secteur privé et une

défiance réciproque entre les secteurs public et privé.

• L’absence de législation adéquate sur les droits de propriété et

de moyens pour la faire respecter, qui compromet l’accès au
crédit, en particulier pour les femmes.

• Le manque d’informations (sur les marchés, les normes, les

barrières à l’entrée et à la sortie et les obstacles interdisant
l’accès aux marchés), de données statistiques pertinentes et
d’institutions de soutien.

• La prépondérance des entreprises détenues par l’État et le rôle

prédominant du secteur public dans la promotion des exportations
et de l’investissement.

• Le pourcentage élevé de micro-entreprises/poids du secteur

informel et la complexité des réglementations/l’absence
d’incitations pour les entreprises du secteur informel à
rejoindre le secteur formel.

68
Ministere des Petites et Moyennes Entreprises, Op.cit, p. 52
 P a g e | 67

Les Petites et Moyennes Entreprises présentent un certain nombre des

caractéristiques que nous pouvons synthétiser comme suit :

IV.3.1. LE DIRIGEANT DE LA PME

Dans bien des cas, le dirigeant de la PME est son initiateur. C'est
dans le souci de pérenniser son œuvre qu'il prend souvent seul la
direction de son entreprise. Pour arriver à bon port, il est exigé à
l'entrepreneur un certain nombre de qualité à savoir : la probité, la
maîtrise de soit, le goût de risque, la large compréhension, etc.

IV.3.2 LA TAILLE

En RDC, la taille de l'entreprise est déterminée par l'effectif des

employés et le chiffre d'affaires. Dans ce petit tableau ci-dessous,
voyons la catégorisation :

Tableau 4.1 : tableau conçu à partir des données de la charte de PME

de mars 2006

Catégories Micro Petite Moyenne Grande

Critères entreprise entreprise entreprise entreprise
Nombre 1 à5 6 à 50 51 à 200 201 à plus
d'employés
Chiffre 1 à 10.000 10.001 à 60.001 à 400.001 à
d'affaires en 60.000 400.000 plus
(USD)

Dans ce tableau 4.1 , il ressort clairement que toute entreprise qui

engage jusqu'à 200 travailleurs dont le chiffre d'affaires ne peut pas
dépasser 400 000 USD se trouve bel et bien dans la catégorie de PME.

IV.3.3 L'ORGANISATION

Souvent les Petites et Moyennes Entreprises ne présentent pas une

bonne organisation administrative ou de gestion. L'essentiel des
tâches de la gestion sont assurées par le responsable lui-même ou une
personne très proche de lui.

IV.3.4 GESTION

La création, la survie et la croissance des Petites et Moyennes

Entreprises sont intimement liées à l'esprit d'entreprise. Les PME
posent beaucoup de problèmes concernant la gestion parce que toute la
gestion reste concentrée auprès du chef de l'entreprise. Certaines
sont ouvertes à la décentralisation mais le pouvoir décisionnel revient
au seul chef d'entreprise.
 P a g e | 68

IV.3.5 CARACTERISTIQUES DES PME CONGOLAISES

L'une des caractéristiques fondamentales de notre économie est le

refuge de la majeure partie de la population dans le secteur informel,
faute d'une politique d'emploi pouvant résorber une main d'œuvre
abondante et d'une politique salariale équilibrée. Mise à part le
nombre de valeur, le capital, et la consistance d'actif, il existe
d'autres éléments qui permettent de reconnaitre la PME pas les autres
entreprises. Nous avons regroupé d'une part les caractéristiques que
l'on peut vérifier et quelques faiblisse que cette dernière peuvent
engendrer dans toutes les PME congolaises de manière générale.
En référence à la définition du législateur, les PME congolaises se
caractérisent par les aspects suivants :
▪ Elles n'exigent pas d'investissements coûteux ;
▪ La possibilité d'opérer sur des marchés non règlementés mais
compétitifs ;
▪ L'utilisation d'un personnel réduit et peu qualifié ;
▪ Facilité d'accéder aux métiers y relatifs ;
▪ Concentration de la gestion entre les mains d'une personne qui
est l'élément intégrateur de l'ensemble des moyens mis en œuvre ;
▪ Face à la réalité économique du pays il ressort les
caractéristiques ci-dessous :
▪ Leur capacité de production est restreinte ;
▪ Difficulté d'accéder aux crédits ;
▪ Ces bénéfices sont majoritairement affectés aux besoins
du propriétaire ; Une activité très concentrée dans
l'informel.

La PME est une entreprise personnelle et familiale ; ce caractère

familial et personnel est une force, car il favorise motivation, esprit
de sacrifice il peut présenter des risques de faiblesse tels que :
▪ La répugnance à déléguer, à demander conseil ;
▪ La prédominance possible des objectifs personnels et familiaux
sur les objectifs de l'entreprise ;
▪ Ces dirigeants peu compétents en finance, en planification
stratégique...

IV.4 SORTES DES PME CONGOLAISES

Il existe deux sortes des Petites et Moyennes: il y a la PME structurée

(formelle) et la PME informelle.
 P a g e | 69

IV.4.1 LES PME DU SECTEUR FORMEL

En RDC, il est très difficile de faire une distinction entre entreprise

structurée et non structurée, formelle et non formelle en ce sens que
toutes les entreprises évoluent dans les mêmes branches économiques.
La seule différence est que pour les PME formelles la comptabilité est
solide, il y a souvent un contrôle du pouvoir public. Elles sont
officiellement reconnues par le régime fiscal et l'administration du
pays.
Selon le Centre d'Actions pour Dirigeants et Cadres d'Entreprises
Chrétiennes en sigle CADICEC, les PME formelles sont des entreprises
dont l'activité exige un minimum d'organisation et un personnel formé.
IV.4.2 LES PME DU SECTEUR INFORMEL

La PME de ce secteur exerce des activités économiques spontanées

échappant en grande partie au contrôle de l'administration, suivant
des obligations légales non recensées dans les statistiques nouvelles,
bénéficiant rarement des activités promotionnelles de l'Etat. La
majorité des PME Congolaises évoluent dans ce secteur.
IV.5 ROLES ET IMPORTANCES DE LA PME

IV.5.1 ROLES DES PME

Les PME sont des acteurs importants à la performance économique et

sociale des plusieurs pays du monde, elles permettent la résolution
des problèmes fondamentaux du développement par l'intégration de la
population au processus de développement économique.
IV.5.1.1 Rôle économique de PME

A. Augmentation de la consommation des ressources locales

Les PME sont aptes à utiliser les ressources locales. Suite à la

faiblesse de leurs investissements, elles éprouvent des difficultés
pour importer les matières qui nécessitent beaucoup de devise et
formalités. Pour pallier à cela, elles se tournent vers de sources
intérieures d'approvisionnement contribuant ainsi à réduire la
dépendance à l'égard des importations et à accroître le marché
intérieur.

B. Création des foyers de richesses

L'existence et/ou la promotion des PME constitue pour l'Etat une source
importante de mobilisation de recettes publiques par le biais de la
fiscalité. Elle facilité également la mobilisation de l'épargne privé.
 P a g e | 70

C. Intégration industrielle et innovation technologique

Les PME dans leur version PMI constitue à l'essor de l'industrie et

de l'innovation technologique. Elles sont des vecteurs de diffusion
des connaissances, lesquelles deviennent ainsi accessibles et peuvent
être commercialisées par la grande entreprise au travers de transferts
de technologie ou l'acquisition. Elles occupent aussi une place
prépondérante dans la fabrication des pièces et des composantes pour
la grande entreprise en raison de la spécialisation de leur compétence
et de leur coût de production.
D. Augmentation de la concurrence et la diversité sur le marché :

Les PME par leurs innovations, amènent des nouveaux produits adaptés
aux besoins des consommateurs sur le marché. Ce qui crée une
concurrence avec les anciens produits et amène une diversité sur le
marché. Cette situation amène les entreprises existantes à améliorer
la qualité de leur produit ainsi que leur productivité en fin de rester
compétitives sur le marché. Ce qui implique une augmentation du PIB.
IV.5.1.2 Rôle social de PME

A. Création d'emplois et lutte contre le chômage

Les PME constituent la catégorie d'entreprises longtemps marginalisées

pour tant créatrices de richesses et d'emplois. D'ailleurs, elles
contribuent largement à la lutte contre la pauvreté et constitue 80%
de l'économie formelle de la RDC.20
En RDC, le secteur de PME représente plus de 90% du marché de l'emploi
; il est relativement plus créateur d'emplois et réduit jusqu'à un
certain pourcentage de chômage. La lutte contre le chômage constitue
la préoccupation des tous les pays surtout les pays en voie de
développement qui souffrent d'un taux de chômage élevé. La RDC a été
victime de pillage des années 90 et 91 et de retombée de la guerre,
c'est ce qui a occasionné la destruction des unités de production, un
départ massif des entrepreneurs, la fermeture des plusieurs autres
entreprises locales. Ce désinvestissement a conduit au chômage ; c'est
dans cet environnement de dégradation du tissu économique que la
population s'est lancée dans la création des petites unités de
production entre autre le PME pour se prendre en charge.
B. Contribution à la lutte contre la pauvreté

La pauvreté constitue aujourd'hui l'un des facteurs incitatifs à la

création des PME, lesquels s'avère dans une certaine mesure comme une
stratégie de survie. Ainsi à ce sujet, l'effort de PME ne peut faire
l'objet de contestation car, elle arrive tout de même à faire vivre
 P a g e | 71

la population Congolaise ne fût-ce que satisfaire les besoins primaires

(besoin alimentaire, besoin vestimentaire, etc.).
C. Contribution à l'apprentissage et à la formation

Les PME constituent en fait un terrain où se forment beaucoup

d'entrepreneurs dans des domaines variés tels que la gestion, la
commercialisation et tant d'autres domaines (Par de séminaires). Elle
s'avère un lieu propice au développement de l'esprit d'innovation.
IV.5.2 IMPORTANCES DES PME

L'importance de la PME réside particulièrement dans des avantages

politiques, économiques, sociaux et fiscaux qui offrent son importance
au regard de sa contribution au développement.
IV.5.2.1 Sur le Plan Politique

L'existante des PME dans les pays favorise la naissance d'une

génération des entrepreneurs nationaux. Elle permet aussi de lancer
et de consolider le tissu économique adapté aux besoins du pays. Cette
importance, pour ne pas la restreindre au plan politique, s'étend
aussi au plan économique et au plan social.
IV.5.2.2 Sur le plan économique

En amont, les PME exercent des effets d'entrainement en ce sens

qu'elles contribuent à la valorisation des ressources nationales par
la création d’autres activités telles que l'agriculture pour le
commerce alimentaire, l'intégration du secteur artisanal pour une
entreprise manufacturière, etc.
En aval, elles contribuent au développement du secteur tertiaire de
même, elles concourent à l'accroissement de produit national brut.
La création des PME favorise particulièrement la diversification de
la structure industrielle, en même temps qu'elle aide à exploiter des
ressources inutilisées recelant ainsi la formation de capital.
En effet, lorsque la demande d'un produit déterminé est restreinte à
la production des petites quantités, est souvent la seule solution de
rechange à l'importation. La petite et moyenne entreprise facilite par
conséquent la substitution de fabrication locale aux importations.
Les PME orientées vers la production des éléments ou des pièces
détachées favorisent la croissance d'autres secteurs entrainant un
développement rapide et intègre de l'économie.
 P a g e | 72

IV.5.2.3 Sur le plan social

La création des PME est considérée comme un moyen de résorber le

chômage ; elle est aussi sans doute le signe de la vitalité du peuple
congolais et de sa capacité de s'adapter aux situations nouvelles.
Nombreux sont ceux qui trouvent dans les PME leur moyen de subsistance.
Les PME favorisent une répartition des richesses entre différentes
couches de la population par l'accès de celle-ci aux revenus du
travail, l'évaluer correctement est essentiel pour toutes les PME
implantées au Congo (RDC) surtout en période de crise.
Ainsi, les PME sont les centres de développement de la main d'œuvre
et de l'esprit d'entreprises locales indispensables à
l'industrialisation.
IV.5.2.4 Sur le plan fiscal

Il est impérieux pour l'Etat congolais de fiscaliser et de prêtée une

vigilance remarquable à ce secteur des PME car les petites et moyennes
entreprises se développent en partie non négligeable dans l'informel
et ne sont pas par conséquent contrôle par les pouvoirs publics. De
ce fait, l'élargissement de l'assiette fiscale vise du point de vue
financier, à étendre l'imposition de toutes les PME car le secteur
informel du gisement fiscal susceptible de renflouer la caisse de
l'Etat et contribuer ainsi au développement économique et même sociale
de notre pays.
Sur ce, l'importance de PME dans l'économie de la République
Démocratique du Congo, qu'il s'agisse de leur structure économique ou
de leur organisation, les petites et moyennes entreprises ne
ressemblent pas aux autres, ce qui les met en excellente position pour
jouer un rôle à la foi économique, sociale, politique de premier plan
du point de vue création d'emploi, de l'utilisation de ressources et
de la constitution de revenu et faire en sorte que le changement se
produise par degré sans convention.
En RDC, deux travailleurs sur trois sont employés dans une PME, les
PME représentent au moins le 80% de l'économie en termes d'activité
économique porteur de revenus.
Les PME congolaises englobent les entreprises commerciales et
artisanales, jouent un rôle moteur dans le développement intègre grâce
à l'utilisation d'une matière première locale et d'une technologie
adaptée au savoir-faire national.
L'installation d'un grand nombre de PME dans le pays devrait contribuer
à la stabilité sociale et au transfert de valeurs de la culture
 P a g e | 73

industrielle vers nos villages. Les domaines agricoles et de

l'industrie de transformation sont plus importants.
Il n'existe aucune estimation valable du chômage à Kinshasa, certain
prétendent qu'il atteint 70% de la population active.
La solution consiste à réduire l'émigration rurale par le développement
des PME rurales. Les PME agricoles défavorisent la croissance des PME
urbaines, surtout des plus petites avec leur dynamisme, leur créativité
et leur mode de production à forte intensité de main d'œuvre.
C'est ainsi qu'à Kinshasa, le secteur des petites entreprises se
révèle, le plus gros employeur de la ville avec plus de 80% des emplois
sont l'artisanal, le commerce et le transport, alors que le secteur
moderne n'en compte que dans 20 % emplois. L'éclosion de PME constitue,
certes la seule réponse aux problèmes de déséquilibre sur le marché
de l'emploi.
IV.6 PRESENTATION DE BESOINS DE NTIC DANS LES PME

Nous quittons l'ère de l'industrialisation pour entrer dans le monde

de l'information qui ne fait que commencer. En nous permettant
d'accélérer le traitement des données, les NTIC offrent de nouveaux
moyens de produire, de diffuser le savoir et semblent devoir modifier
en profondeur la structure et la vie de l'entreprise69.
Les NTIC sont entrain de modifier fondamentalement la structure et la
vie de l'entreprise. Les changements sont : leur manière d’être gérées,
et en particulier leur manière dont elles recherchent, traitent,
échangent et diffusent l'information. Les services financiers et non-
financiers disposent désormais de nouvelles technologies (comme
l’internet ou le téléphone portable70) qui deviennent de plus en plus
indispensables.
Les NTIC peuvent rendre possible des modes d'organisation totalement
nouveaux fondés sur l'innovation, la compétence collective, le partage
et la capitalisation du savoir, la responsabilité, la réactivité.
L’entreprise se doit donc d'intégrer un système d'information qui
permette à tout acteur d'obtenir les informations depuis son poste de
travail pour être plus performante et devenir une « entreprise réseau
». Pour l’homme d’affaire, il doit absolument se mettre à jour et
s’intégrer, donc se mettre en réseau, selon ses moyens, dans le système
commercial mondial, surtout dans le e-commerce.

69
S. Amabile, M. Gadille, R. Meissonier, Op.cit, p. 41-60
70
P.J. Benghozi, De l’organisation scientifique du travail à l’organisation scientifique du client. L’orientation-
client, focalisation de nouvelles pratiques managériales, Paris, éd Eyrolles, 1998, p. 13-29
 P a g e | 74

En effet les NTIC modifient profondément les façons de travailler et

nécessitent l'acquisition de nouvelles compétences
IV.6.1 STRATÉGIES D’USAGE DES NTIC, CAPACITÉS ORGANISATIONNELLES ET
OBTENTION D’AVANTAGES CONCURRENTIELS DANS LES PME

Dans le cas des PME, l’obtention d’avantages concurrentiels dans

l’usage des NTIC peut donc s’exprimer en termes de réduction des coûts,
de différenciation ou de diversification, en particulier des produits
et services. De fait, il est potentiellement intéressant d’étudier les
caractéristiques des entreprises parvenant à combiner effectivement,
à partir de leurs usages des NTIC, ces trois types d’avantages
concurrentiels.
Cette partie apporte des éléments sur la nature informatique et les
caractéristiques stratégiques ou organisationnelles des petites et
moyennes entreprises : celles qui réalisent principalement les deux
types d’avantages concurrentiels – réduction des coûts et
diversification des produits et services, population des « TIC-
performantes », et celles qui déclarent ne réaliser aucun de ce deux
types d’avantages concurrentiels – population des « TIC-insensibles
». Compte tenu de la faiblesse des effectifs dans la population des
TIC-performantes, il s’agit bien d’une phase exploratoire en termes
d’hypothèses et de problématique. La comparaison entre ces deux sous-
populations permet, in fine, de repérer les effets de dépendance du
chemin et d’apprentissages par l’usage tels qu’ils sont supposés par
Rosenberg71.
A. Nature sectorielle et création d’avantages concurrentiels
On précise la nature industrielle des PME dans les deux sous-
populations afin d’identifier au préalable l’existence de facteurs
discriminants en faveur de l’obtention ou non d’avantages
concurrentiels sur la base des usages des NTIC. Pour cela, on propose
de comparer les tailles, les secteurs, les taux d’équipements, les
dates de connexion à l’internet ainsi que les caractéristiques des
réseaux informatiques et télécommutés72.

Tableau 4.2 - DÉTAILS DES EFFECTIFS

DETAILS DES EFFECTIFS
TIC – performantes TIC – insensibles
0 à 10 4 27% 14 32%
11 à 30 3 20% 8 18%

71
P.J. Benghozi, Op.cit, p. 45
72
Idem
 P a g e | 75

31 à 50 4 27% 9 20%
51 à 401 4 27% 13 30%

Le tableau 4.2 sur les effectifs de ces PME permet de suggérer (vue
la stabilité entre les 2 populations) que le nombre d’employés ne
pourra – dans nos interprétations ultérieures – constituer une
explication pertinente des différences de valorisation des NTIC entre
les 2 populations.
Par contre, on observe une différence dans la nature des secteurs
représentés entre les deux populations. En effet, le tableau 3 montre
que les entreprises parvenant à allier réductions de coûts et
diversification sont plus nombreuses dans le secteur des services au
sein duquel le secteur des services aux entreprises joue un rôle moteur
dans la dynamique d’adoption de l’internet73. En sens inverse, la
population des TIC-insensibles se distingue par une surreprésentation
des secteurs les moins touchés (au moment de l’étude) par l’usage des
NTIC : agriculture, construction, transport. Nous repérons donc un
effet structurel de l’industrie sur la capacité des PME à utiliser et
valoriser les NTIC. Ces résultats rejoignent d’autres développements,
obtenus sur la population mère, mettant en perspective que le secteur
des services aux entreprises et des biens d’équipement tirent la
dynamique de diffusion des NTIC74.
Les dates de connexion à l’internet, qui renvoient en théorie à la
notion d’adoption de la technologie, constituent un indicateur du
temps passé pour l’apprentissage par l’usage et les possibilités de
développement de nouveaux usages. Leur analyse révèle qu’il y a, de
ce point de vue, peu de différences entre les deux populations et que
si différences il y a, elles montrent que les entreprises ne créant
pas d’avantages concurrentiels à partir de leurs usages des NTIC se
sont équipées plus tôt. De fait, le temps écoulé après l’adoption de
la technologie ne peut être considéré comme la seule base de
l’apprentissage et de la valorisation liés aux NTIC. Ces derniers
semblent également provenir des modalités d’usages de et dans
l’organisation75.
Tableau 4.3 - SECTEURS D’ACTIVITÉS
SECTEURS D’ACTIVITES

TIC-performantes TIC-insensible
Agriculture, transports, 1 7% 8 18%
construction

73
M. Gadille, A. d’Iribarne, Op.cit, p. 18
74
Idem
75
M. Gadille, A. d’Iribarne, Op.cit, p. 19
 P a g e | 76

Industries 2 13% 14 31%

Commerce 2 13% 6 13%
Services 10 67% 17 38%
Total répondants 15 45

Tableau 4.4 – DÉTAILDES DIFFÉRENTS ACCÈS RÉSEAUX

DETAIL DES DIFFERENTS ACCES RESEAUX

TIC-performantes TIC-insensibles
Accès internet par ordinateur 15 100% 39 100%
Réseau intranet 10 67% 6 15%
Réseau extranet 1 7% 0 0%
Réseau local ou propriétaire 14 93% 31 80%
Total répondants 15 39

Les équipements informatiques – mesurés dans un premier temps par le

nombre moyen d’ordinateurs – ne constituent pas non plus une variable
réellement discriminante pour l’obtention d’avantages concurrentiels
entre les deux populations. Alors que la répartition en fonction de
la taille des entreprises est homogène entre les deux populations, ces
dernières présentent des moyennes respectives de 28 et de 20
ordinateurs par PME.
En revanche, la présence de l’intranet semble différencier ces deux
populations (sous réserve de la significativité du nombre
d’entreprises concernées). En effet, un déséquilibre important
apparaît sur le nombre d’intranet développé (2 entreprises sur 3 dans
la population des TIC-performantes, moins d’une entreprise sur 6 au
sein des TIC-insensibles). Les entreprises TIC-performantes
s’approprieraient donc mieux la technologie intranet, connexe à
l’internet, qui permet d’échanger et de mutualiser des informations
sur un réseau interne à l’organisation, ce qui apparaît cohérent avec
une activité de service prédominante.
Il semble donc que la capacité de création d’avantages concurrentiels
en termes de coûts et d’innovation de produits et services soit moins
liée au fait de se connecter à l’internet qu’au contexte technologique,
sectoriel et organisationnel dans lequel l’entreprise se connecte. La
dépendance du chemin évoquée par les évolutionnistes serait donc
d’abord liée à la position du secteur d’appartenance de la PME par
rapport à la diffusion du paradigme technologique. Néanmoins, cette
dynamique sectorielle n’est pas suffisante pour expliquer la présence
de PME appartenant à d’autres secteurs. Probablement ce résultat
suggère que les entreprises compétitives au moyen des NTIC savent
généralement mieux articuler une technologie et une organisation
 P a g e | 77

tournée sur les échanges externes et une technologie et une

organisation tournée sur les échanges internes. Il convient donc
d’aborder les dimensions de stratégies d’usages et de capacités
organisationnelles76.
B. Stratégies d’usages des NTIC et source d’avantages concurrentiels
Les stratégies d’usages qui concernent tant le management que les
utilisateurs en général, ne sont pas forcément homogènes et cohérentes
dans l’entreprise, elles se distribuent selon des constructions
spécifiques d’acteurs de l’organisation. Il s’agit ici d’évaluer le
rôle de l’intentionnalité du dirigeant à partir des motifs d’adoption,
ainsi que l’effet d’une volonté stratégique en matière de développement
d’applications liées aux NTIC. Pour approfondir cela, nous abordons
également l’usage des accès réseaux dans l’organisation, selon
différentes activités et différents partenaires, et enfin, la
diffusion ou non dans l’entreprise des accès au réseau77.
Même si les effectifs des populations étudiées ne permettent pas
d’établir des résultats statistiquement significatifs, il paraît
opportun de souligner deux faits concomitants : 60 % des entreprises
de la population des entreprises TIC-performantes se sont connectées
dans le cadre d’un projet en vue d’applications précises (par exemple,
la mise en œuvre d’échanges de données informatisés) alors que…55 %
des entreprises des entreprises TIC-insensibles (soit 23 firmes) se
sont connectées à l’internet « pour voir » ! Le fait que les entreprises
déclarant valoriser les NTIC soient majoritairement celles pour
lesquelles un projet précédait la mise en place de ces dernières (la
connexion à l’internet tout au moins) mérite un approfondissement.
C’est ce que nous proposons de faire en comparant les deux populations
dans leurs stratégies de développement d’application78.
Tableau 4.5 - MOTIFS DE LADÉCISION DE LA CONNEXION À L’INTERNET

MOTIFS DE LA DECISION DE LA CONNEXION A L’INTERNET

TIC-performantes TIC-Insensibles
Pour voir 3 20% 23 55%
Par contrainte 3 20% 5 12%
Dans le cadre d’un projet en vue
9 60% 12 29%
d’applications précises
Autre 3 20% 14 33%

76
M. Bernasconi, Les systèmes d’information interorganisationnels sont-ils toujours une source d’avantages
concurrentiels durables, Systèmes d’Information et Management, n° 1, vol. 1,1996, p. 7-24.
77
E. Brousseau, A. Rallet, Op.cit, p. 54
78
M. Gadille, A. d’Iribarne, Op.cit, p. 75
 P a g e | 78

Tableau 4.6 - DÉVELOPPEMENT D’APPLICATIONS DE « MISE EN RELATION ET

CONNAISSANCE DE L’ENVIRONNEMENT »

DEVELOPPEMENT D’APPLICATION DE MISE EN RELATION ET

CONNAISSANCE DE L’EVIRONNEMENT
TIC- TIC-
performantes insensibles
A développé son site web : oui 15 100% 11 25%
Non 0 0% 33 75%
A développé des app. pr le marketing : oui 11 79% 4 9%
Non 3 21% 38 91%
A développé des app. pr la veille
6 55% 5 12%
économique : oui
Non 5 45% 37 88%

Avec des écarts allant de 43 points à 75 points en pourcentage, une

tendance claire se détache du tableau précédent. Cette tendance
s’accentue encore lorsqu’on vérifie que 87% des entreprises TIC-
performantes ont développé 2 des 3 applications citées…contre 16 %
pour les TIC-insensibles. On note que les applications les plus
discriminantes en faveur de la création d’avantages concurrentiels
sont celles liées au marketing (91 % de « non » au sein de la population
des entreprises TIC-insensibles). Cette observation confirme
l’hypothèse générale de mobilisation du système d’information pour
capter les aspirations des clients et ainsi anticiper au mieux les
évolutions de marchés79.
Cette dynamique d’usage pour soutenir l’attention des PME à leurs
environnements se retrouve également dans les domaines d’usages
mobilisés dans leurs relations (médiatisées par les NTIC) avec un
large spectre de partenaires80. Le tableau 7 montre que, s’il y a une
certaine stabilité sur la plupart des items, un écart manifeste
apparaît quant à la rubrique prospection de nouveaux marchés et
marketing. Cette différence d’intensité d’usage en faveur de ce dernier
domaine semble aller de pair avec l’existence de stratégies de
développement d’application marketing constatée au sein des
entreprises TIC-performantes qui semblent créer des avantages
concurrentiels sur cette base. Cette tendance se retrouve au niveau
de l’élargissement du portefeuille clientèle (tableau 8) : les
entreprises TIC - performantes qui réalisent des réductions de coûts
et une diversification de ses produits et services accroissent
également leur clientèle81.

79
P.J. Benghozi, Op.cit, p. 200
80
M. Bernasconi, Op.cit, p 7-24
81
M. Gadille, A. d’Iribarne, Op.cit, p.200
 P a g e | 79

Par ailleurs, si les entreprises des deux populations sont largement

amenées à utiliser les NTIC avec différents types de partenaires (ceci
dans des proportions relatives stables d’une population à l’autre),
nous notons que 40 % des entreprises TIC-performantes (pour seulement
12 % des entreprises TIC-insensibles) utilisent les NTIC pour échanger
avec des organismes professionnels ou des organismes consulaires.
Tableau 4.7 - DOMAINES D’UTILISATION DES NTIC AVEC LES PARTENAIRES

Tableau 4.8 - L’UTILISATION DES NTIC APERMIS À VOTRE ENTREPRISE

D’ELARGIR SON PORTEFEUILLE CLIENTELE

Ne révèle-t-on pas ici un comportement de renseignement, d’écoute et

d’ouverture sur l’environnement à travers des contacts avec les
organismes consulaires, les organismes de formation supérieure (afin
 P a g e | 80

de trouver de nouvelles compétences, par exemple) et d’autres

entreprises partenaires.
Il est possible d’apporter des éléments de réponse à cette question
en observant que, tout en étant relativement plus en relation via les
NTIC avec d’autres entreprises partenaires, les entreprises TIC-
performantes ont également trouvé de nouveaux partenaires grâce à
l’usage des NTIC (57 % des entreprises de cette population contre 23
% de la population des TIC-insensibles).
Tableau 4.9 - LES ACTEURS EXTERNES AVEC LESQUELS LES PME UTILISENT LES
NTIC

Peut-on supposer qu’au sein de ces partenaires se retrouvent surtout

des firmes avec lesquelles les organisations interrogées ont développé
des processus de coopération (pour de la R&D, de la formation, etc.),
des procédures de codéveloppement de produits, etc. On retrouverait
là, en partie, l’aspect de construction sectorielle des entreprises
de services aux entreprises dont l’utilisation de l’internet et la
production de services liés aux NTIC est centrale dans leur production
de valeur. Néanmoins cette appartenance sectorielle n’est pas une
condition suffisante ni même nécessaire pour créer à partir de
modalités d’usage des NTIC des avantages concurrentiels.
Tableau 4.10 - L’UTILISATION DES NTIC A PERMIS À VOTRE ENTREPRISE DE
TROUVER DE NOUVENAUX FOURNISSEURS OU PARTENAIRES
 P a g e | 81

IV.7 ANALYSE ET INTERPRETATION DE CYBERSECURITE DANS LES SI AU SEIN

DES PME

Les petites et moyennes entreprises doivent renforcer leurs défenses

face à une cybercriminalité de plus en plus professionnalisée. Vous
trouverez ici quelques conseils pour aider les PME à faire face aux
risques croissants en matière de sécurité informatique et à maîtriser
leurs dépenses.
Des études révèlent que la sécurité des données peut être un problème
essentiel pour la confiance des clients. Les PME présentent un plus
gros risque que les grandes entreprises puisqu’elles disposent d’un
budget limité pour la cybersécurité.
Des netbooks aux smartphones et tablettes, les employés deviennent de
plus en plus technophiles et apportent une grande quantité d’appareils
connectés à Internet à leur travail. Pour augmenter l’efficacité et
la mobilité, ils accèdent régulièrement aux données et aux réseaux de
leur entreprise en déplacement, tout en discutant avec leurs amis,
publiant des messages sur des réseaux sociaux, écoutant de la musique
et partageant des photos en ligne.
C’est pourquoi les PME devraient établir une politique BYOD claire
pour les appareils servant à consulter les messageries, à aller sur
Internet et portables.
Puisque les fuites de données sont amenées à être de plus en plus
fréquentes, voici quelques conseils pour obtenir la meilleure sécurité
des PME possible tout en maîtrisant les dépenses.
➢ Réalisez un audit de sécurité initial. Consacrez-vous davantage
à déterminer les menaces potentielles et moins aux lacunes
existantes.

➢ Renforcez la sécurité et la fidélité des employés. Veillez à quoi

les employés ont accès. Des documents confidentiels peuvent se
retrouver entre de mauvaises mains, par ingénierie sociale ou
parce qu’un employé est mécontent.
 P a g e | 82

➢ Regroupez vos actifs et simplifiez votre gestion en adoptant la

virtualisation, dans le cloud ou sur site.

➢ Vérifiez la réputation des fournisseurs et les contrats lors de

l’utilisation de services cloud et effectuez des mises à jour de
sécurité régulières sur tous les logiciels et services.

➢ Installez une solution de gestion de la sécurité pour regrouper

le contrôle des postes de travail virtualisés, physiques et
mobiles. Pensez à ajouter également des pare-feu. Protéger
l’ensemble des appareils augmentera également la connaissance
des malwares, rendant les employés plus conscients des dangers
en ligne, même lorsqu’ils naviguent sur Internet de chez eux.

➢ Effectuez des mises à jour de sécurité régulières sur tous les

logiciels et appareils et mettez en place une politique pour les
mots de passe respectée par tous (des mots de passe comprenant
au moins huit caractères, uniques et complexes, changés
régulièrement).

➢ Sécurisez votre réseau Wi-Fi et définissez une politique de

sécurité claire pour les e-mails, Internet et les appareils de
l’entreprise.

➢ Formez le personnel aux bonnes pratiques de sécurité concernant

les tendances actuelles et futures du BYOD. La plupart des
attaques commencent par une personne ouvrant à tort une pièce
jointe.

➢ Essayez de mettre en place l’authentification et des mécanismes

de sécurité basés sur des systèmes comme ceux utilisés pour
verrouiller les écrans Android. Des mots de passe à usage unique
et des générateurs de tokens peuvent vous aider à autoriser les
transactions et à fournir une sécurité présentant très peu
d’inconvénients.

➢ N’oubliez pas le danger de l’accès direct, indésirable aux

données confidentielles. Dans ce cas, la biométrie peut être un
rempart contre l’accès aux personnes étrangères à l’entreprise
dans des endroits clés comme la salle des serveurs.

IV.8 LES DEFIS DE LA CYBERSECURITE DANS LES PME CONGOLAISES

L’évolution exponentielle des outils informatiques apporte de

profondes mutations dans les usages et les acteurs économiques sont
de plus en plus dépendant d’internet dans le cadre de leurs activités
 P a g e | 83

commerciales et sociales ; et l’intégrité du réseau est éprouvée

quotidiennement par des attaques sévères et sophistiquées82.
La cybercriminalité concerne « l’ensemble des infractions susceptibles
de se commettre sur un ou au moyen d’un système informatique
généralement connecté à un réseau ciblant l’outil informatique comme
les atteintes aux systèmes automatisés de données, celles ou les
réseaux sont utilisés comme moyens pour commettre des crimes ou délits
classiques (escroqueries, fraudes, blanchiment d’argent) et notamment
celle ou les délinquants utilisent les technologies numériques comme
support d’infractions de contenus illicites tels que la
pédopornographie ou le racisme ».
Toutefois, cette nouvelle forme d’infraction regorge des enjeux
économiques énormes. En réalité il est presque impossible de procéder
à des estimations précises basées sur les chiffres communiqués, car
il est probable que nombreux sont les personnes et les entreprises qui
ne signalent pas les infractions dont ils sont victimes. Ainsi, « le
Norton Cybercrime and Reports » dans son rapport de 2011 avance qu’en
2010, les pertes économiques relatives à la cybercriminalité sont
estimées à 388 milliards de dollars, son coût mondial, notamment pour
le temps dépensé à solutionner les perturbations liées à la
cybercriminalité, estimé à quelques 274 milliard de dollars et les
moyens mis en œuvre pour résoudre ces problèmes, évalués à 114
milliards de dollars.
IV.9 CONCLUSION

Il était question dans ce chapitre de pouvoir expliciter tous les

concepts en rapport avec les petites et moyennes entreprises, dont
nous l'avons divisé en deux parties ; la première était consacrée à
la présentation de la Petite et Moyenne Entreprise en général et de
la RDC en particulier. Dans la deuxième, nous avons explicité les
besoins que les Petites et Moyennes Entreprises ont sur le NTIC, sujet
de plusieurs contestations dans notre pays en voie de développement.
Nous avons également présenté les différentes caractéristiques que
présentent les PME tout en mettant en exergue l'importance économique
et sociale de ces entités aussi importante pour le développement notre
nation.

82
M. Quéméner et J-P. Pinte, Op.cit, p 15.
 P a g e | 84

CHAPITRE V : APPLICATION DES STRATEGIES CONTRE LA CYBERCRIMINALITE

V.1 INTRODUCTION

Si votre entreprise est comme la plupart des petites et moyennes

entreprises à la République Démocratique du Congo, l’internet est pour
vous un outil de réussite indispensable dans l'économie numérique
moderne. La navigation en ligne vous permet de joindre de nouveaux
clients et de faire prospérer votre entreprise. Et, même si vous n'avez
pas de site Web, de page Facebook ou de compte Twitter vous aideront
de poster vos publicités. Vous pouvez compter probablement sur Internet
pour effectuer vos activités professionnelles quotidiennes, comme les
transactions bancaires, la paie ou les commandes de fournitures.
Cependant, l'utilisation d'Internet doit se faire de façon
sécuritaire. En tant que Petite ou Moyenne Entreprise, il est facile
de croire que vous n'avez pas assez d'importance pour que les
cybercriminels s'intéressent à vous. En fait, les cybercriminels
visent maintenant activement les petites entreprises, car ils croient
que leurs ordinateurs sont vulnérables.
En d'autres mots, si vous êtes propriétaire d'une entreprise, petite
ou moyenne, ce chapitre s'adresse à vous. La cybersécurité est une
responsabilité commune et, selon la façon dont votre entreprise est
structurée, d'autres personnes — copropriétaires, gestionnaires ou
employés — devraient vraisemblablement connaître l'information qui s'y
retrouve pour se protéger contre la cybercriminalité.
V.2 EXPLICATION DU TRAVAIL

L’étude de la cybercriminalité reste un sujet mal compris ou plutôt

mal apprécié. En effet, l’on a trop souvent réduit la lutte contre la
cybercriminalité à la création de lois répressives et au développement
d’outils technologiques ou techniques de sécurité (antivol, barrière
électriques, camera de surveillance, antivirus etc…)
Ce présent travail développe les stratégies de la mise en place de
cybersécurité des systèmes d’information pour les petites et moyennes
entreprises et nous aidons les internautes qui, employés dans une
petite et moyenne entreprise à comprendre les risques auxquels ils
sont confrontés en matière de cybersécurité, et nous leur fournit des
conseils pratiques sur la façon de mieux protéger leur entreprise
contre la cybercriminalité.
V.3 CONCEPTUALISATION DE LA CYBERSECURITE

La cybersécurité désigne la sécurité des informations numériques

stockées sur des réseaux électroniques, ainsi que la sécurité des
réseaux qui stockent et transmettent l’information. Mais la définition
 P a g e | 85

du terme est loin de faire l’unanimité. Cybersécurité est parfois

utilisé comme synonyme de sécurité de l’information – « la protection
de l’information et des systèmes d’information contre un accès, une
utilisation, une perturbation, une modification ou une destruction non
autorisées afin d’en assurer la confidentialité, l’intégrité et la
disponibilité »83. La sécurité de l’information et la cybersécurité
renvoient généralement à la même chose. Toutefois, le terme sécurité
de l’information est plutôt utilisé par les organisations et les
professionnels des IT, alors que l’on parle plutôt de cybersécurité
dans les débats sur les politiques et lorsque la sécurité de
l’information est considérée comme une question de sécurité nationale.
L’Union Internationale des Télécommunications (UIT) définit la
cybersécurité ainsi : « l’ensemble des outils, politiques, concepts
de sécurité, mécanismes de sécurité, lignes directrices, méthodes de
gestion des risques, actions, formations, bonnes pratiques, garanties
et technologies qui peuvent être utilisés pour protéger le cyber-
environnement et les actifs des organisations et des utilisateurs
comprenant les appareils informatiques connectés, le personnel, les
infrastructures, les applications, les services, les systèmes de
télécommunication et la totalité de l’information transmise et stockée
dans le cyber-environnement84 ... La cybersécurité cherche à garantir
que les propriétés de sécurité des actifs des organisations et des
utilisateurs sont assurées et maintenues par rapport aux risques
affectant la sécurité dans le cyber-environnement. Les objectifs
généraux en matière de sécurité sont les suivants: Disponibilité;
Intégrité, qui peut englober l’authenticité et la non-répudiation [et]
Confidentialité »85
V.4 FONDEMENTS DE LA CYBERSECURITE

Les solutions de la cybersécurité doivent contribuer à satisfaire les

critères de base de la sécurité que sont la disponibilité, l’intégrité
et la confidentialité (critères DIC). A ces trois premiers critères
s’ajoutent ceux qui permettent de prouver l’identité des entités
(notion d’authentification) et que des actions ou évènements ont bien
eu lieu (notions de non répudiation, d’imputabilité voire de
traçabilité).
V.4.1 DISPONIBILITE

La disponibilité des services, systèmes et données est obtenue, d’une

part, par un dimensionnement approprié et une certaine redondance des

83
R. Kissel, Glossary of Key Information Security Terms, National Institute of Science and Technology, US
Department of Commerce, Février 2011, p. 93.
84
C. Aghroum, Les mots pour comprendre la cybersécurité : Et profiter sereinement d'Internet, Paris, Ed Lignes
de Repères, 1er octobre 2010, p. 117.
85
L. P. Cambacedes et Y. Fourastier, Cybersecurite des installations industrielles, éd Cépaduès, juin 2015, p.25
 P a g e | 86

éléments constitutifs des infrastructures et, d’autre part, par une

gestion opérationnelle des ressources et des services.
La disponibilité est mesurée sur la période de temps pendant laquelle
le service offert est opérationnel. Le volume potentiel de travail
susceptible d’être pris en charge durant la période de disponibilité
d’un service, détermine la capacité d’une ressource (serveur ou réseau
par exemple). La disponibilité d’une ressource est, en outre,
indissociable de son accessibilité. Vous devez veiller à ce que les
systèmes (comme les réseaux), les services et les renseignements soient
accessibles, au besoin, par l'entreprise et ses clients.
V.4.2 INTEGRITE

Le respect de l’intégrité des données, traitements ou services permet

d’assurer qu’ils ne sont pas modifiés, altérés ou détruits tant de
façon intentionnelle qu’accidentelle. Cela contribue à assurer leur
exactitude, leur fiabilité et leur pérennité.
Il convient de se prémunir contre l’altération des données en ayant
la certitude qu’elles n’ont pas été modifiées lors de leur stockage
ou de leur transfert.
L’intégrité des données ne sera garantie que si elles sont protégées
des écoutes actives qui peuvent modifier les données interceptées.
Cette protection pourra être réalisée par la mise en œuvre de
mécanismes de sécurité tels que:
– un contrôle d’accès rigoureux;
– un chiffrement des données;
– des moyens de protection contre les virus, les vers ou les
chevaux de Troie.
V.4.3 CONFIDENTIALITE

La confidentialité est le maintien du secret des informations, des

flux, des transactions, services ou actions réalisées dans le
cyberespace. Il s’agit de la protection des ressources contre une
divulgation non autorisée. La confidentialité peut être réalisée par
la mise en œuvre de mécanismes de contrôle d’accès ou de chiffrement.
Le chiffrement des données (ou cryptographie), contribue à assurer la
confidentialité des informations lors de leur transmission ou de leur
stockage en les transformant de façon à ce qu’elles deviennent
inintelligibles aux personnes ne possédant pas les moyens de les
déchiffrer.
 P a g e | 87

V.4.4 IDENTIFICATION ET AUTHENTIFICATION

L’authentification doit permettre de ne pas avoir de doute sur

l’identité d’une ressource. Cela suppose que toutes les entités
(ressources matérielles, logicielles ou personnes) soient correctement
identifiées et que certaines caractéristiques puissent servir de
preuve à leur identification. Tous les mécanismes de contrôle d’accès
logique aux ressources informatiques nécessitent notamment de gérer
l’identification et l’authentification des entités.
Les processus d’identification et d’authentification sont mis en œuvre
pour contribuer à réaliser:
➢ la confidentialité et l’intégrité des données (seuls les ayant
droits identifiés et authentifiés peuvent accéder aux ressources
(contrôle d’accès et les modifier s’ils sont habilités à le
faire);
➢ la non répudiation et l’imputabilité (les entités identifiées et
authentifiées ont réalisées telle action), la preuve de l’origine
d’un message, d’une transaction (une entité identifiée et
authentifiée a effectué une émission), la preuve de la
destination (une entité identifiée et authentifiée est
destinatrice d’un message).

V.4.5 NON REPUDIATION

Dans certaines circonstances, il est nécessaire de prouver la

réalisation de certains évènements (action, transaction). A la non-
répudiation sont associés les notions de responsabilité
d’imputabilité, de traçabilité et éventuellement d’auditabilité.
L’établissement de la responsabilité nécessite l’existence de
mécanismes d'authentification des individus et d’imputabilité de leurs
actions. Les informations nécessaires à une analyse ultérieure
(journalisation des informations) permettant l’audit d’un système
doivent être sauvegardées. Cela constitue la capacité des systèmes à
être audités (notion d’auditabilité).
V.4.6 SECURITE PHYSIQUE
Les environnements qui abritent les postes de travail, les serveurs,
les zones d’exploitation informatique et de logistique (air
conditionné, tableaux de contrôle de l’alimentation électrique, etc.)
doivent être physiquement protégés contre des accès indus et des
catastrophes naturelles (feu, inondation, etc.). La sécurité physique
représente le contrôle le plus fondamental et le plus courant des
systèmes informatiques.
 P a g e | 88

V.5 OBJECTIFS

L’objet de la cybersécurité est de contribuer à préserver les forces

et les moyens organisationnels, humains, financiers, technologiques
et informationnels, dont se sont dotées les Institutions, pour réaliser
ses objectifs.
La finalité de la sécurité informatique est de garantir qu’aucun
préjudice ne puisse mettre en péril la pérennité de l’organisation.
Cela consiste à diminuer la probabilité de voir des menaces se
concrétiser, à en limiter les atteintes ou dysfonctionnements induits,
et autoriser le retour à un fonctionnement normal à des coûts et des
délais acceptables en cas de sinistre.
Ainsi, ce travail a pour objectif de réduire le risque en termes de
sécurité qui est généralement caractérisé par l’équation suivant :
Menace x Vulnérabilité
𝑅𝑖𝑠𝑞𝑢𝑒 =
Contre − mesure
D’où la menace représente le type d’action susceptible de nuire dans
l’absolu, tandis que la vulnérabilité représente le niveau
d’exposition face à la menace dans un contexte particulier. Enfin la
contre-mesure est l’ensemble des actions mises en œuvre en prévention
de la menace.
V.6 MISE EN PLACE D’ACTION

Les systèmes et principes de cybersécurité sont conçus pour protéger

les sites et les applications Web des cybercriminels qui cherchent à
interrompre, retarder, modifier ou rediriger le flux de données. Les
cibles, motifs, niveaux d'organisation et capacités techniques des
cybercriminels varient énormément, ce qui oblige les entreprises et
les organismes publics à adopter des mesures toujours plus nombreuses
pour prévenir les cyberattaques. Ainsi, nous traiterons dans ce
paragraphe, quelque mesures et actions à mettre en place pour ce se
protéger lorsque vous êtes en ligne.
La mise en place de stratégies de la cybersécurité dans l'entreprise
repose sur une bonne connaissance des règles par les employés, grâce
à des actions de formation et de sensibilisation auprès des
utilisateurs, mais elle doit aller au-delà et notamment couvrir les
champs suivants :

➢ Un dispositif de sécurité physique et logique, adapté aux besoins

de l'entreprise et aux usages des utilisateurs ;
➢ Une procédure de management des mises à jour ;
➢ Une stratégie de sauvegarde correctement planifiée ;
➢ Un plan de reprise après incident ;
 P a g e | 89

➢ Un système documenté à jour ;

V.6.1 SECURITE SUR LE WEB

Lorsqu’on aborde le sujet de la sécurité sur le web, la première chose

qui vient à l’esprit est le processus d’authentification et de
sécurisation des données de l’utilisateur.
En effet, la notion de sécurité des systèmes informatiques et des
données qu'ils traitent n'est pas nouvelle, d'autant que le
développement incessant des réseaux et singulièrement de l'Internet
en a fait une priorité absolue pour les entreprises. Et bien
qu'internet soit, a priori, un réseau techniquement optimisé pour
assurer le transport de données, le nombre considérable d'échanges de
produits et de services, rend la sécurité primordiale.
Pour leur propre sécurité et pour celle de votre entreprise, les
employés devraient protéger leurs renseignements personnels et
professionnels lorsqu'ils sont en ligne. Les renseignements personnels
et ceux de l'entreprise comprennent des éléments privés ou
confidentiels, comme des noms complet, des numéros d'assurance
sociale, des renseignements bancaires sur un compte ou autres et des
mots de passe.
Il est important que tous les employés comprennent pourquoi il est
essentiel de protéger les renseignements en ligne. Les criminels qui
veulent nuire à votre entreprise ou la voler commencent souvent par
amasser des renseignements personnels ou professionnels afin d'accéder
à vos systèmes informatiques et à l'information confidentielle.
Voici quelques conseils simples aux employés :
➢ Utilisez uniquement des sites Web légitimes et fiables lorsque
vous utilisez les ordinateurs de l'entreprise ou que vous
travaillez avec des renseignements professionnels;

➢ Avant de transmettre des renseignements personnels à qui que ce

soit, vérifiez qu'il s'agit d'une source sûre (par exemple, une
banque ne traiterait pas de questions personnelles par courriel;
il pourrait donc être sage d'appeler votre banque si vous recevez
ce genre de courriel);

➢ Si quelqu'un veut obtenir des renseignements personnels,

demandez-lui pourquoi ils sont nécessaires; Si la réponse ne
semble pas satisfaisante, ne les donnez pas ou demandez à parler
à son superviseur pour obtenir davantage de détails;
 P a g e | 90

➢ N'enlevez ou ne désactivez jamais les mesures de protection mises

en place dans les réseaux et les ordinateurs de l'entreprise
(comme l'antivirus).

Comment reconnaître un lien suspect dans une page Web ?

Lorsque vous placez votre curseur sur un lien, l'adresse URL de
destination apparaît, soit dans une petite fenêtre qui s'ouvre au-
dessus du lien ou au bas de la fenêtre de navigation. Essayez cela
avant de cliquer sur un lien et faites les vérifications suivantes :
• Si le texte relié est une URL, comparez-la avec la véritable
destination. Les cybercriminels utilisent souvent un texte du
genre « connectez-vous à www.mabanque.com pour mettre à jour les
renseignements sur votre compte », mais la véritable destination
est un site semblable hébergé en un autre lieu, comme
www.mafaussebanque.com.
• Vérifiez si des URL sont semblables à celles de sites que vous
connaissez, mais légèrement différentes (p. ex. Goggle.com ou
Google1.com à la place de Google.com). Cette technique est
souvent utilisée pour tromper la confiance des gens lorsqu'ils
visitent certains sites. Dans bien des cas, les faux sites sont
une imitation presque identique de l'original qu'ils copient.
• Méfiez-vous toujours des URL que vous ne reconnaissez pas.
• N'oubliez pas que des images, aussi bien que des textes, peuvent
être liées; avant de cliquer sur une image, soyez donc aussi
vigilant que si vous cliquiez sur un texte.
• Si vous avez des doutes, copiez l'URL et collez-la dans un moteur
de recherche pour identifier le site sans le visiter.
V.6.2 SECURITE DES COURRIERS ELECTRONIQUES

La libéralisation de la cryptographie et son utilisation dans les

protocoles courants changent les données en matière de sécurité email.
Vous pouvez choisir un seul service de courrier électronique pour
simplifier les mesures de sécurité. La sécurité devrait être l'un des
principaux critères de choix d'un service de courrier électronique.
Pour apporter de la sécurité en matière de courrier électronique, on
peut agir sur deux éléments : les MTA et les MUA ou autrement dit coté
serveur (TLS) et coté client (S/MIME). Il est vivement souhaitable que
les administrateurs système commencent par la sécurisation coté
serveur (ne plus transmettre de mots de passe en clair est
primordial !). Ensuite on pourra se concentrer sur la confidentialité
et authentification des messages.
 P a g e | 91

V.6.2.1 SECURISATION COTE SERVEUR

Sur le serveur il faut bien identifier les 2 types de flux à sécuriser.

Le flux de transport de courrier, qui utilise le protocole SMTP et le
flux de relève de boîte aux lettres qui utilise le plus souvent POP3
et IMAP.
Le protocole SMTP dispose désormais d'une extension STARTTLS définie
par la RFC 2487. Cette extension permet :
• l'authentification forte des serveurs SMTP (via un certificat);
• l'établissement d'une session TLS (chiffrée) entre 2 serveurs
(MTA-MTA) ;
• l'authentification forte des clients SMTP (via un certificat).

L’établissement d'une session TLS (chiffrée) entre le client et le

serveur (UA-MTA), l’authentification forte d'un serveur permet de
garantir qu'on (que ce soit le client ou le serveur) remet bien le
courrier au véritable serveur et non pas à un serveur qui détournerait
le Traffic (spoofing). Cette fonctionnalité est surtout intéressante
au sein d'un réseau d'entreprise utilisant internet. Elle permet à un
réseau de serveurs tous équipés de certificats de s'authentifier entre
eux.
L'intérêt évident de l'authentification forte par certificat est que
sur cette base, l'établissement d'une session cryptée est possible
(principe de SSL/TLS). Cela veut dire que grace à la présence d'un
certificat sur le serveur, l'autre extrémité peut ouvrir une session
TLS pour faire transiter toute la conversation SMTP chiffrée. L'autre
extrémité peut aussi bien être un serveur (dans ce cas on a un transfert
SMTP entre serveurs crypté) qu'un client (un logiciel de courrier
électronique). Il y a de nombreuses applications possibles, par exemple
le commercial itinérant qui veut envoyer du courrier électronique à
son entreprise : en se connectant au serveur SMTP TLS de son
entreprise, le contenu de la conversion SMTP est cryptée. L'ISP par
lequel le commercial se connecte ne peut pas prendre connaissance du
contenu des messages, ni même des destinataires (à la différence de
S/MIME où seul le corps de l'email est crypté, pas les entêtes).
V.6.2.2 SECURISATION DU COTE CLIENT

Ainsi, le logiciel avec lequel vous écrivez votre courrier électronique

est un client de messagerie, ou selon le jargon technique un Mail User
Agent (MUA, UA), ou encore, pour le désigner par le protocole employé
pour expédier le courrier, un client SMTP (Simple Mail Transport
Protocol). Ce client va établir une communication avec un serveur
SMTP, encore appelé Mail Transfer Agent (MTA) ou passerelle de
messagerie, avec lequel il va d’abord échanger quelques données de
 P a g e | 92

service afin que l’un et l’autre identifient leur interlocuteur et la

nature des échanges à venir, puis le client va envoyer au serveur des
messages que celui-ci se chargera de faire parvenir à leurs
destinataires, éventuellement par l’intermédiaire d’autres MTA, dits
relais. Notons que votre logiciel de courrier, qui est un client SMTP
pour envoyer des messages, est pour les recevoir un client Post Office
Protocol (POP) ou Internet Message Access Protocol (IMAP), en effet,
en règle générale, ce ne sont pas les mêmes protocoles qui servent à
émettre et à recevoir des messages de courrier électronique.
À chacun des protocoles que nous avons évoqués est attribué, par
convention, un numéro de port, et le serveur du protocole écoute les
connexions entrantes en provenance du réseau qui comportent ce numéro
comme port de destination ; c’est ainsi que les serveurs détectent les
connexions qui leur sont destinées : port 25 pour SMTP, 80 pour HTTP,
110 pour POP3, 143 pour IMAP, 137, 138, 139 et 445 pour Netbios et les
services associés, etc.
V.6.2.3 LA CRYPTOGRAPHIE ET LE CHIFFREMENT

La cryptographie désigne l'ensemble des techniques permettant de

chiffrer des messages, c'est-à-dire permettant de les rendre
incompréhensibles. Le fait de coder un message de telle façon à le
rendre secret s'appelle chiffrement. La méthode inverse, consistant à
retrouver le message original, est appelée déchiffrement. L’objectif
de la cryptographie moderne est d’assurer l’intégrité et la
confidentialité des données, et, notamment dans le cadre des échanges
électroniques, d’assurer l’identification et la signature des
émetteurs des messages considérés. On distingue :
➢ cryptage symétrique : une même clé est utilisée pour crypter
Le
et décrypter le message. Ex : DES, Triple DES, AES)
➢ Le cryptage asymétrique : Chaque utilisateur dispose d’un jeu
unique de clé, dont l’une est privée et l’autre publique. Ex :
RSA.
V.6.3 SECURITE DES DONNEES

Il est très important d’évoquer toute mesure de protection logique et

physique des données et des traitements convenable assurée. Il convient
donc d’accorder un soin jaloux aux points suivants :
➢ qualité du bâtiment qui abrite données et traitements, à
l’épreuve des intempéries et des inondations, protégées contre
les incendies et les intrusions ;
➢ contrôles d’accès adéquats;
➢ qualité de l’alimentation électrique;
➢ certification adéquate du câblage du réseau local et des accès
aux réseaux extérieurs; la capacité des infrastructures de
 P a g e | 93

communication est très sensible à la qualité physique du câblage

et des connexions ;
➢ pour l’utilisation de réseaux sans fil, placement méticuleux des
bornes d’accès, réglage de leur puissance d’émission et contrôle
des signaux en provenance et à destination de l’extérieur.
Ces précautions prises, il faut néanmoins envisager qu’elles puissent
se révéler insuffisantes, et que l’intégrité physique de votre système
d’information soit alors compromise. La compromission d’un système
d’information désigne le fait qu’un intrus ait pu, d’une façon ou
d’une autre, en usurper l’accès pour obtenir des informations qui
auraient dû rester confidentielles. Pour éviter que cette circonstance
n’entraîne la disparition de l’entreprise, il aura fallu prendre les
mesures suivantes :
➢ sauvegarde régulière des données sur des supports physiques
adéquats distincts des supports utilisés en production ;
➢ transport régulier de copies de sauvegarde en dehors du site
d’exploitation ;
➢ aménagement d’un site de secours pour les applications vitales.
Des solutions techniques existent pour toutes ces mesures, mais leur
mise en œuvre est complexe et onéreuse, ce qui conduit souvent à les
négliger.
La sécurité des données peut également être améliorée par le recours
aux possibilités des matériels modernes de stockage et de leurs
logiciels de pilotage : les systèmes NAS (Network Attached Storage)
offrent des possibilités intéressantes de prise d’instantanés
(snapshots) et de réplication à distance, les batteries de disques
RAID et les systèmes de fichiers virtuels tels que Logical Volume
Management (LVM) diminuent grandement les risques de perte de données
en cas de défaillance d’un disque.
V.6.3.1 DROIT D’ACCES

De façon très générale, la question de la protection d’un objet

informatique se pose dans les termes suivants, inspirés des concepts
mis en œuvre par le système Multics86 :

➢ Un objet a un propriétaire identifié, généralement l’utilisateur

qui l’a créé. Un objet est, sous réserve d’inventaire, soit un
fichier, soit un processus, soit des structures de données
éphémères créées en mémoire par un processus, mais pour Multics
tous ces objets sont en fin de compte des espaces de mémoire
virtuelle nommés segments ou sont contenus dans des segments.

86
Multicians. « Multics ». [en ligne], [réf 10 septembre 2006], disponible sur http://www.multicians.org/.
 P a g e | 94

➢ Le propriétaire d’un objet peut avoir conféré à lui-même et à

d’autres utilisateurs des droits d’accès à cet objet. Les types
de droits possibles sont en général les suivants (on peut en
imaginer d’autres) :
✓ droit d’accès en consultation (lecture) ;
✓ droit d’accès en modification (écriture, destruction,
création) ;
✓ droit d’accès en exécution; pour un programme exécutable,
la signification de ce droit est évidente ; pour un
répertoire de fichiers ce droit confère à ceux qui le
possèdent la faculté d’exécuter une commande ou un
programme qui consulte ce répertoire;
✓ droit de blocage, par exemple pour un processus en cours
d’exécution ou éligible pour l’exécution.
➢ À chaque objet est donc associée une liste de contrôle d’accès
(Access Control List : ACL) qui énumère les utilisateurs
autorisés et leurs droits.
➢ Avant toute tentative d’accès à un objet par un utilisateur,
l’identité de cet utilisateur doit être authentifiée.

V.6.3.2 LUTTE CONTRE LES MALVEILLANCES INFORMATIQUES

La prolifération des formes de malveillance informatique s’accomplit

parallèlement à la convergence de leurs méthodes : néanmoins
l’utilisateur n’est pas sans défense contre les attaques de plus en
plus nombreuses et de plus en plus puissantes, il existe des armes
défensives. Nous examinerons ici la plus nécessaire : le logiciel
antivirus. Le pare-feu et les systèmes de détection et de prévention
des intrusions ne seront que cités.

Ce que l’on peut dire de la lutte contre les virus s’applique aussi
dans une large mesure à la lutte contre les autres malfaisances
informatiques, car aujourd’hui les logiciels malfaisants sont très
polyvalents : la plupart des virus sont aussi des vers, qui ouvrent
des portes dérobées et pratiquent l’espionnage pour « améliorer »
leurs performances. Ils peuvent aussi à l’occasion émettre du courrier
non sollicité et se procurer des numéros de cartes bancaires.

A. ANTIVIRUS

Il existe des logiciels dits antivirus, qui peuvent s’installer

principalement en deux sortes d’endroits :

➢ soit à l’entrée d’un réseau local, là où arrivent les flux en

provenance de l’Internet ; certains de ces flux seront filtrés
pour y détecter des virus, essentiellement les flux relatifs aux
protocoles SMTP (courrier électronique) et HTTP (Web) ;
 P a g e | 95

➢ soit sur le poste de travail de l’utilisateur, et là l’antivirus

servira généralement à inspecter et désinfecter le disque dur
(il convient de garder à l’esprit que certains virus s’exécutent
en mémoire vive, sans s’enregistrer sur le disque).

Il y a essentiellement deux modes de fonctionnement des logiciels

antivirus :

➢ mode statique : le logiciel est activé uniquement sur ordre de

l’utilisateur, par exemple pour déclencher une inspection du
disque dur ;
➢ mode dynamique : le logiciel est actif en permanence, et il
scrute certains événements qui surviennent dans le système, ce
qui induit une consommation non négligeable de ressources telles
que temps de processeur et mémoire, mais permet une meilleure
détection des attaques, notamment par analyse comportementale
des logiciels suspects d’être contaminés.

B. LE PARE-FEU

Un pare-feu est un composant réseau qui permet non seulement de concentrer

l’administration de la sécurité en des points d’accès limités au réseau
d’entreprise mais aussi de créer un périmètre de sécurité, par exemple entre
le réseau intranet de l’entreprise et le réseau Internet.
Une architecture à base de pare-feu offre l’avantage de concentrer les
efforts de sécurité sur un unique point d’entrée. Grâce à des mécanismes de
filtrage en profondeur ainsi qu’à des fonctions de journalisation des
événements, les pare-feu sont en outre des éléments cruciaux pour les
investigations de sécurité.

Les principaux concepts de pare-feu sont le filtrage de paquets, pour filtrer

les paquets de la couche réseau (IP, etc.), le filtrage à mémoire, pour
filtrer les paquets de manière dynamique en adaptant les règles de filtrage,
la passerelle de niveau circuit, pour filtrer les paquets en gérant le
concept de session, et la passerelle de niveau applicatif, pour filtrer
jusqu’aux protocoles des couches applicatives.

V.6.4 SECURITE DE L’ACCES A DISTANCE

L'accès à distance à votre réseau professionnel et à vos renseignements

vous permet, ainsi qu'à vos employés, de travailler de votre domicile
ou en cours de déplacement et d'économiser temps et argent tout en
accroissant la productivité. Cependant, l'autorisation de l'accès à
distance peut exposer votre entreprise aux cybermenaces. Beaucoup de
ces menaces peuvent être combattues avec de bonnes habitudes de
sécurité de la part des employés et par la mise en place de mesures
de protection technique solides.
 P a g e | 96

Lorsque des employés peuvent accéder à distance aux ordinateurs de

votre entreprise, ils le font normalement par Internet; un réseau
virtuel privé (RVP) sécuritaire devrait donc être employé.
Le RVP est une extension de votre réseau professionnel interne (ou
d'un ordinateur à l'autre) dans Internet. Internet en soi n'est pas
considéré comme sécuritaire pour l'échange de renseignements
confidentiels, c'est pourquoi tous les renseignements qui passent par
un RVP sont chiffrés, ce qui les rend inutilisables, sauf pour le
destinataire et l'expéditeur légitimes. Le RVP est une solution
éprouvée que vous pouvez installer relativement simplement avec un
logiciel commercial ou gratuit ou en tant que service. Des
périphériques, comme un routeur et un pare-feu sont aussi nécessaires.
Une fois en place, le RVP permet aux utilisateurs d'accéder aux
fichiers et de les transmettre à partir du lieu où ils sont. Les
utilisateurs peuvent aussi communiquer avec leurs collègues par
courriel, comme s'ils étaient au bureau.
Un RVP devrait toujours être utilisé avec d'autres mesures de
protection (comme celles qui sont décrites dans le présent guide),
notamment un logiciel anti-programmes malveillants à jour et une
authentification à deux facteurs.
Voici quelques mesures de base que vous pouvez prendre pour protéger
votre entreprise en matière d'informatique à distance :
• Limitez l'accès à distance aux employés autorisés qui en ont un
besoin professionnel évident. L'accès devrait être accordé
uniquement aux applications, aux renseignements et aux services
requis par le travail à effectuer;

• Tous les employés à qui vous accordez l'accès à distance

devraient être dans l'obligation de signer une demande d'accès
simple, qui mentionne le système de renseignements dont le
demandeur a besoin, et dans laquelle ce dernier déclare
comprendre les règlements et responsabilités connexes;

• Vous devez adapter les privilèges d'accès à distance lorsque les

responsabilités changent. Par exemple, un employé qui passe de
la comptabilité aux ventes n'a plus besoin d'accéder à certaines
ressources de comptabilité, son accès devrait donc être modifié.
N'oubliez pas de révoquer tous les privilèges d'accès à distance
lorsque quelqu'un quitte votre entreprise;

• Lorsque cela est possible, fournissez un ordinateur de

l'entreprise aux employés au lieu de les laisser utiliser leurs
appareils personnels. L'ordinateur devra être configuré avec les
 P a g e | 97

logiciels d'application, les mesures de sécurité et les outils

d'accès à distance appropriés;

• Notez les numéros de série de tous les appareils informatiques

personnels utilisés pour l'accès à distance ou le travail à
l'extérieur du bureau — ordinateurs portatifs, téléphones
intelligents, tablettes — pour faciliter le suivi de leur
configuration (y compris les logiciels de sécurité) et les
retrouver en cas de perte ou de vol. Ces renseignements seront
utiles à la rédaction des rapports de police et d'assurance en
cas de perte ou de vol;

• Étiquetez les ordinateurs de l'entreprise qui sont utilisés à

l'extérieur en y apposant le nom de l'entreprise, des coordonnées
et un numéro d'inventaire.

V.6.4 SECURITE DES APPAREILS MOBILES

Cependant, l'emploi d'appareils mobiles pour envoyer et recevoir vos

renseignements professionnels peut exposer votre entreprise au risque
que ces renseignements soient vus ou utilisés par des personnes que
vous n'avez pas autorisées à le faire. En outre, le fait de permettre
à vos employés d'utiliser un appareil mobile de l'entreprise à des
fins personnelles, par exemple, d'y installer des applications qui ne
serviront pas au travail, pourrait entraîner la perte de renseignements
de nature délicate, des attaques de programmes malveillants ou d'autres
menaces.
Les tablettes et les téléphones intelligents offrent des
fonctionnalités extraordinaires, notamment la capacité de créer, de
stocker, d'envoyer et de modifier des données facilement. Cependant,
ces caractéristiques peuvent donner lieu à une mauvaise utilisation
accidentelle de la part d'employés ou à des manipulations par des
cybercriminels en cas de piratage ou de vol.
Parce que ces appareils sont petits et qu'ils ont de la valeur, ils
sont souvent la cible des voleurs. S'ils étaient compromis par un
programme malveillant, une mauvaise utilisation, une perte ou un vol,
les conséquences sur votre entreprise pourraient être graves, surtout
si l'appareil contient des renseignements de nature délicate ou des
outils de communication servant à la connexion à votre réseau
professionnel.
V.6.5 SECURITE MATERIELLES

La sécurité matérielle est en soi un domaine. Toutes les mesures de

protection de cybersécurité que vous prenez pour votre entreprise
pourraient donner des résultats mitigés si vous ne prenez pas les
 P a g e | 98

dispositions de sécurité matérielle appropriées. Si un employé

mécontent ou un visiteur accédait à l'un de vos ordinateurs, il
pourrait rapidement et facilement télécharger des données de nature
délicate dans une clé USB. Les mesures de protection de cybersécurité,
comme l'authentification et le chiffrement, doivent être complétées
par d'autres mesures de sécurité, par exemple, des serrures aux portes
et des procédures d'inscription des visiteurs.
V.6.6 SECURITE DANS LES RESEAUX SOCIAUX

Les sites de réseaux sociaux, comme Facebook, Twitter et LinkedIn

peuvent s'avérer de formidables outils pour entrer en contact avec des
clients potentiels et renforcer vos relations avec ceux que vous avez
déjà. Cependant, les sites et les services des réseaux sociaux
constituent pour les cybercriminels une façon de plus en plus populaire
d'essayer d'accéder à vos renseignements personnels ou professionnels
afin de pirater vos systèmes informatiques personnels ou ceux de votre
entreprise.
Si votre entreprise utilise les sites de réseaux sociaux à des fins
professionnelles ou publicitaires, vous devrez choisir un ou plusieurs
employés et autoriser uniquement cet employé ou ces employés à placer
du contenu au nom de l'entreprise.
Votre politique sur l'utilisation d'Internet devrait traiter des
réseaux sociaux et donner des directives claires aux employés. Voici
quelques questions sur les réseaux sociaux dont vous devriez tenir
compte :
➢ Établissez clairement quels renseignements concernant votre
entreprise peuvent être affichés en ligne, et qui peut le faire;

➢ Évitez d'inclure des renseignements de nature délicate à votre

profil d'entreprise ou à vos messages;

➢ Soyez prudents lorsque vous utilisez des applications dans les

sites de réseaux sociaux. Beaucoup proviennent de tiers et
pourraient ne pas être sécuritaires. Vérifiez toujours le
fournisseur de l'application en premier lieu;

➢ Sur les médias sociaux, méfiez-vous toujours de messages vous

demandant des renseignements de nature délicate sur l'entreprise
ou vos employés et leurs familles;

➢ Réfléchissez avant d'afficher un message! Ce que vous affichez

sur les médias sociaux est généralement permanent. Vous pourriez,
un jour, changer d'idée sur une chose que vous avez dite en
ligne, mais il sera impossible de l'éliminer ou de la modifier.
 P a g e | 99

Au travail, il est probable que vos employés utilisent les médias

sociaux pour des raisons personnelles, tant pour rester en contact
avec leurs amis et leur famille que pour suivre l'actualité. Il est
impératif que les employés suivent des lignes directrices similaires
pour protéger leurs propres renseignements sur les réseaux sociaux,
de même que sur les réseaux et les appareils de votre entreprise.
Voici quelques conseils supplémentaires concernant l'utilisation des
médias sociaux par les employés à des fins personnelles :
➢ Les criminels s'intéressent aux renseignements que vous affichez.
Afin que votre entreprise demeure sûre, veillez à utiliser les
contrôles de confidentialité du site et à ne pas répondre aux
demandes de gens que vous ne connaissez pas;

➢ Revoyez les politiques de confidentialité du site de réseautage

social et demeurez à jour (la plupart font des mises à jour
fréquentes) et modifiez vos réglages de renseignements personnels
de façon appropriée;

➢ Ne révélez jamais le lieu précis où vous êtes en ligne.

V.6.7 SENSIBILISATION A LA CYBERSECURITE

Nous sommes tous que conscient que la sensibilisation et l’éducation

sont essentielles pour que toutes les personnes concernées adoptent
les comportements adéquats dans le domaine de la sécurité de
l’information. Nombreuses sont les menaces qui visent à exploiter des
vulnérabilités humaines. Il est primordial de réduire ces
vulnérabilités en sensibilisant et en formant toutes les personnes
concernées en ce qui concerne les internautes.
Tenter de se maintenir à jour en matière de cybersécurité peut sembler
une tâche insurmontable. Un bon point de départ serait la mise en
place d'un programme de sensibilisation à la sécurité.
Un programme de sensibilisation à la sécurité est une façon pour vous
et vos employés de demeurer informés sur les bonnes pratiques en
matière de cybersécurité. Un tel programme peut être très simple et
facilement mis au point par vous ou d'autres employés. En premier
lieu, une formation de base doit être donnée au personnel. Avec le
temps, le programme devrait s'élargir pour inclure des mises à jour
et des rappels sur les politiques, les normes et les pratiques
exemplaires. Votre plan de sensibilisation à la sécurité devrait
comprendre une évaluation périodique en vue de mettre à jour les
mesures de protection existantes dans votre entreprise et d'adopter
de nouveaux moyens de protection (logiciels et matériel informatique)
au besoin.
 P a g e | 100

V.6.7.1 FORMATION DES UTILISATEURS

On considère généralement que la majorité des problèmes de sécurité

sont situé chez les utilisateurs, il faut une formation et
sensibilisation sur :
➢ La discrétion : La sensibilisation des utilisateurs à la
sécurité lors d’utilisation des outils de communication et à
l’importance de la non divulgation d’information par ces moyens
est indispensable.
➢ La charte : L’intérêt principal d’une charte d’entreprise est
d’obliger les employés à lire et à signer un document précisant
leurs droits et devoirs et par la même de leur faire prendre
conscience de leur responsabilité individuelle.
V.6.7.2 REGLES D’UTILISATION, DE SECURITE ET DE BON USAGE

Tout utilisateur est responsable de son usage des ressources

informatiques et du réseau auxquels il a accès. Il a aussi la charge,
à son niveau, de contribuer à la sécurité générale et aussi à celle
de son entité. L’utilisation de ces ressources doit être rationnelle
et honnête afin d’en éviter la saturation ou le détournement à des
fins personnelles.
En particulier :
➢ il doit appliquer les recommandations de sécurité de l’entité à
laquelle il appartient ;
➢ il doit assurer la protection de ses informations et il est
responsable des droits qu’il donne éventuellement à d’autres
utilisateurs, il lui appartient de protéger ses données en
utilisant les différents moyens de sauvegarde individuels ou mis
à sa disposition ;
➢ il doit signaler toute tentative de violation de son compte et,
de façon générale, toute anomalie qu’il peut constater ;
➢ il doit suivre les règles en vigueur au sein de l’entité pour
toute installation de logiciel ;
➢ il choisit des mots de passe sûrs, gardés secrets et il ne doit
en aucun cas les communiquer à des tiers ;
➢ il s’engage à ne pas mettre à la disposition d’utilisateurs non
autorisés un accès aux systèmes ou aux réseaux, à travers des
matériels dont il a l’usage ;
➢ il ne doit pas utiliser ou essayer d’utiliser des comptes autres
que le sien, ni tenter de masquer sa véritable identité ;
➢ il ne doit pas tenter, directement ou indirectement, de lire,
modifier, copier ou détruire des données autres que celles qui
lui appartiennent en propre ; en particulier, il ne doit pas
 P a g e | 101

modifier le ou les fichiers contenant des informations comptables

ou d’identification ;
➢ il ne doit pas quitter son poste de travail ni ceux en libre -
service en laissant des ressources ou services accessibles et il
doit se déconnecter, sauf avis contraire de l’administrateur du
réseau.
V.6.8 ÉLABORATION DE POLITIQUES ET DE NORMES
La politique de sécurité permet de traduire la compréhension des
risques encourus et de leurs impacts, en des mesures de sécurité à
implémenter. Elle facilite l’adoption d’une attitude préventive et
réactive faces aux problèmes de sécurité et permet de réduire les
risques et leurs impacts.
Sachant que le risque zéro n’existe pas et qu’il difficile de prévoir
toutes les nouvelles menaces, il faut réduire les vulnérabilités des
environnements et ressources à protéger car il est certain qu’une
grande partie des problèmes de sécurité y trouvent leur origine.
Une politique de sécurité spécifie entre autres, les moyens,
l’organisation, les procédures, les plans de défense et de réaction
qui permettent une véritable maîtrise des risques opérationnels,
technologiques et informationnels.
L’efficacité d’une politique de sécurité ne se mesure pas au budget
investi mais dépend de la politique de gestion du risque et de la
qualité de l’analyse des risques. Les risques varient notamment selon
le secteur d’activité d’une organisation, de sa taille, de son image,
de la sensibilité des systèmes, de leur environnement et des menaces
associées et de son degré de dépendance au système d’information.
Une politique en matière de sécurité est un document qui explique ce
que les employés peuvent ou ne peuvent pas faire en matière de
cybersécurité.
V.6.9 PLANIFICATION DE LA CYBERSECURITE

La mise au point d'un plan de cybersécurité devrait être une priorité

pour toute entreprise. Un plan de cybersécurité déterminera les biens
qui doivent être sécurisés, les menaces et les risques qui doivent
être ciblés et les mesures de protection à mettre en place — tout cela
selon un ordre de priorités.
Voici quelques étapes à suivre pour vous aider à préparer un plan de
cybersécurité pour votre entreprise :
1. Mettez ainsi en lumière les lacunes et les options relatives à
la cybersécurité dans votre entreprise;
 P a g e | 102

2. Dressez la liste de tous les biens de l'entreprise (comme les

ordinateurs et l'information professionnelle) et déterminez leur
importance et leur valeur pour l'entreprise;

3. Discutez des menaces à la cybersécurité avec les employés ou des

experts externes (au besoin) et déterminez quels biens
risqueraient de subir un dommage si l'une ou plusieurs de ces
menaces se concrétisaient;

4. Classez les risques par priorité selon l'échelle : élevé, moyen,

faible;

5. Avec l'aide d'employés ou d'experts externes, déterminez ce qui

peut être fait pour réduire ces risques;

6. Évaluez les menaces, les risques et les mesures de protection

possibles, et décidez ce qui peut être fait et ce qui devrait
être fait pour améliorer la cybersécurité au cours de l'année.
Souvent, une amélioration peut être réalisée conjointement avec
une autre afin de réduire l'ensemble des coûts. Par exemple, si
vous êtes en train d'installer un pare-feu pour votre réseau, il
pourrait inclure des options visant à bloquer les logiciels
malveillants et les pourriels;

7. Fixez des échéances accessibles pour toutes les tâches liées à

la cybersécurité et toutes les mesures de protection que vous
prévoyez acheter;

8. Déterminez les ressources qui seront nécessaires pour mettre le

plan en œuvre au cours de la première année, notamment les gens,
le temps et l'argent;

9. Énumérez les problèmes qui pourraient nuire à votre plan (comme

un manque de personnel ou un budget insuffisant);

10. Commencez à mettre le plan en œuvre;

11. Répétez l'étape 3, évaluation des menaces, au moins une fois par
année.

Prenez note de tous les changements dans le plan et informez-en toutes

les parties concernées (comme les fournisseurs) afin d'éviter la
confusion. Par exemple, si vous avez engagé un expert pour vous aider
à installer un pare-feu et que vous vous rendez compte que les
pourriels sont devenus une priorité plus urgente, vous devrez peut-
être modifier votre plan en ciblant les pourriels ou en incorporant
le blocage des pourriels au pare-feu.
 P a g e | 103

Vous devriez également évaluer les progrès à chaque clôture d'exercice

et faire les modifications nécessaires. Dans la plupart des cas, un
plan de cybersécurité pluriannuel nécessitera chaque année des mises
à jour afin d'être adapté aux priorités changeantes et aux ressources
de l'entreprise.
Le processus de mise en place d'un plan de cybersécurité peut sembler
imposant au début, mais n'oubliez pas que vous pourrez toujours le
revoir et l'élargir au fil du temps.
V.7 QUELQUES METHODES ET OUTILS D’ORIENTATION DE LA SECURISATION DE
L’INFORMATION EN ENTREPRISE

En amont de toute tentative de proposition de stratégie de sécurisation

de l’information en entreprise, un diagnostic basé sur des objectifs
clés tenant compte de la spécificité de l’entreprise doit être établi.
De nos jours, l’information est au cœur du développement des
entreprises. En effet, elle a acquis une importance capitale,
puisqu’elle représente une valeur marchande considérable et
incontestable. L’information constitue aujourd’hui le nerf de la
guerre économique. De manière générale, l’on distingue au sein de
l’entreprise, deux catégories d’informations: les informations
publiques et les informations privées (internes).
V.7.1 Contrôler les accès Internet de l'entreprise

Empêcher les intrusions entrantes, mais aussi contrôler le flux sortant

du réseau, c'est la mise en place d'un pare-feu. Selon la structure
informatique, il sera de type logiciel ou matériel.

V.7.2 Contrôler les accès WI-FI

Sécuriser les flux de données et les connexions au réseau sans fil,

cela passe par la configuration du réseau et l'utilisation d'un
matériel adapté à l'infrastructure.

V.7.3 Filtrer les sites Internet nuisibles

La mise en place de logiciel de filtrage peut-être envisagé, certaines

suites de sécurité possèdent des fonctionnalités paramétrables et
automatiques pour des sites à risques.

V.7.4 Restreindre des applications Cloud personnelles

Une politique interne et des solutions d'administration des systèmes

d'exploitation peuvent être mises en place, afin d'éviter les dérives
et surtout de créer des failles de sécurité qui provoqueraient une
possible intrusion.
 P a g e | 104

V.7.5 Contrer les attaques informatiques

La mise en place de défense proactive logicielle permet d'activer une

veille sur les activités des systèmes et de bloquer les attaques. La
majorité des failles de ces logiciels de défense sont dues à un facteur
humain !

V.7.6 Maintenir à jour les systèmes d'exploitation et les logiciels

Les grands éditeurs de logiciels, que ce soit logiciel système ou de

production, travaillent sur des corrections, bugs et failles de
sécurité. Ils fournissent des mises à jour gratuites, autant en tirer
profit !

V.7.7 Le facteur humain

Les professionnels de sécurité informatique appellent ce risque

« table-chaise », pas de moquerie, juste pour dire que le risque le
plus important de la sécurité informatique d'une entreprise se trouve
très souvent entre la table (le bureau) et la chaise. C'est bien sûr
l'utilisateur qui est cité ! Ce constat reste une critique
constructive, car nous savons tous, que ce n'est pas l'humain qui est
visé, mais le manque de connaissance et d'information à l’égard des
menaces qui lui font face.

V.7.8 Protéger les informations publiques

Pour leur propre sécurité et pour celle de votre entreprise, les

employés devraient protéger leurs renseignements personnels et
professionnels lorsqu'ils sont en ligne. Les renseignements personnels
et ceux de l'entreprise comprennent des éléments privés ou
confidentiels, comme des noms complet, des numéros d'assurance
sociale, des renseignements bancaires sur un compte ou autres et des
mots de passe.

Il est important que tous les employés comprennent pourquoi il est

essentiel de protéger les renseignements en ligne. Les criminels qui
veulent nuire à votre entreprise ou la voler commencent souvent par
amasser des renseignements personnels ou professionnels afin d'accéder
à vos systèmes informatiques et à l'information confidentielle.
Voici quelques conseils simples aux employés :
➢ Utilisez uniquement des sites Web légitimes et fiables lorsque
vous utilisez les ordinateurs de l'entreprise ou que vous
travaillez avec des renseignements professionnels;
 P a g e | 105

➢ Avant de transmettre des renseignements personnels à qui que ce

soit, vérifiez qu'il s'agit d'une source sûre (par exemple, une
banque ne traiterait pas de questions personnelles par courriel;
il pourrait donc être sage d'appeler votre banque si vous recevez
ce genre de courriel);

➢ Si quelqu'un veut obtenir des renseignements personnels,

demandez-lui pourquoi ils sont nécessaires; Si la réponse ne
semble pas satisfaisante, ne les donnez pas ou demandez à parler
à son superviseur pour obtenir davantage de détails;

➢ N'enlevez ou ne désactivez jamais les mesures de protection mises

en place dans les réseaux et les ordinateurs de l'entreprise
(comme l'antivirus).

V.7.9 Protéger les informations privées (internes)

La protection des informations privées ou internes de l’entreprise

pourrait constituer des éléments clés de la stratégie de sécurisation
de l’information. Nous penserons juste en superflue car les méthodes
sont nombreuses.
V.7.9.1 Création et gestion de mots de passe complexes

La création d’une stratégie de mots de passe complexes pour le service

informatique va permettre d’utiliser une série de combinaisons de
majuscules, de minuscules et de numéros. Il est conseillé de suivre
les règles suivantes :
➢ La taille du mot de passe ne doit pas être inférieure à 8
caractères ;
➢ Le mot de passe ne doit figurer sur aucune liste de mots de passe
dits classiques (12345, password, mot de passe, etc.) ;
➢ Le mot de passe ne doit pas être un mot du dictionnaire, car il
pourrait être cracké en utilisant la technique dite de brute
force ;
➢ La durée de validité du mot de passe doit être limitée pour les
accès aux comptes d’entreprises (messagerie, etc.), afin de
s’assurer que les mots de passe seront régulièrement changés

En outre il faut encourager et inciter les employés à créer des

méthodes de définition de mot de passe robustes. Une méthode très
simple mais autant efficace faisant appel à la mnémotechnique est
généralement utilisée. Il s’agit de traduire des phrases en mots de
passe, en utilisant les premières lettres de chaque mot pour constituer
le mot de passe. L’on pourrait inclure des chiffres, caractère spéciaux
 P a g e | 106

et lettres majuscules, afin de d’augmenter le niveau de complexité du

mot de passe, comme dans l’exemple qui suit.
Phrase : Je suis le père de deux enfants nommés Yves et Marie-claire
Traduction en mot de passe: JslPd2EnY&M-C
J (je) s (suis) l (le) P (père) d (de) 2 (deux) E (enfants) n(nommés)
Y (yves) & (et) M-C (Marie-Claire).
Bien évidemment, il existe de nombreuses techniques de création de
mots de passe forts ; qu’il faut mettre en œuvre, afin d’assurer un
niveau de force suffisant des mots de passe des employés de
l’entreprise. L’utilisation de mots de passe construits en combinant
des mots tirés de nos patois peut s’avérer être une stratégie efficace.
V.7.9.2 Installation d’un antivirus, un anti-troyen, un pare-feu

Chaque ordinateur doit disposer d’un antivirus et d’un anti-troyen

puissants et toujours actualisés (application de patches), ainsi que
d’un pare-feu correctement configuré par le service informatique. Une
mise à jour sera effectuée périodiquement, en fonction des exigences
et spécificités de la politique de sécurité.
V.7.9.3 Protection des corbeilles à papier et des poubelles

Les poubelles à papier de la majorité des entreprises regorgent

d’innombrables informations qui peuvent être subtilisées par un
attaquant. Une personne mal attentionnée peut trouver en fouillant
dans les poubelles, de nombreuses d’informations de niveau de criticité
variable, allant du petit mot entre collègues, au post-it du DAF,
jusqu’ au précieux mot de passe, etc. Dans de nombreux cas, les hackers
ont fouillé les poubelles d’entreprises, avant d’obtenir des
informations stratégiques qu’ils ont par la suite utilisées à leurs
fins malveillantes. Vous pourrez utiliser les destructeurs de papier
de façon systématique et garder précieusement les corbeilles à papier
à l’abri du personnel et du public en général.
V.7.9.4 Utilisation de systèmes biométriques dans des endroits
sensibles

Si l’entreprise conserve des informations sensibles, dont la fuite

pourrait compromettre l’avenir de la société, comme la diffusion de
secrets commerciaux, de codes source ou de recherches sur de futurs
projets avant dépôt d’un brevet, il est indispensable de développer
un système de sécurité biométrique. On dispose de trois types
d’identification :
➢ Empreintes digitales ou rétiniennes ;
➢ Reconnaissance faciale ;
➢ Présentation d’un badge infalsifiable.
 P a g e | 107

Certains services de sécurité biométriques ont déjà été l’objet de

fraude, d’où la nécessité de combiner tous ces types d’identification
ou du moins deux d’entre elles, afin de minimiser les risques d’abus.
Bien sûr ceci peut coûter très cher, mais il faut évaluer la criticité
des informations que l’on souhaite protéger et faire des
investissements en conséquence.
V.8 GESTION DE LA CYBERSÉCURITÉ EN ENTREPRISE

Puisque la cybersécurité et la sécurité globale, qui comprend la

sécurité physique et « concrète », sont si intimement liées, nous
croyons qu’il est important pour une entreprise d’adopter des
stratégies intégrées qui couvrent les deux types de sécurité. La
stratégie de prévention, de détection et de réaction d’une organisation
devrait refléter une approche globale et favoriser une vue commune des
activités, ainsi qu’une bonne connaissance de la situation à tous les
égards, qu’il s’agisse de cybersécurité ou de sécurité physique. En
adoptant une approche de défense en profondeur où chaque couche de
sécurité, physique ou logique, contribue à la sécurité globale – qui
englobe à la fois la sécurité de la société et celle des capteurs
intégrés aux infrastructures essentielles et aux réseaux de commande
des processus –, une organisation dont les
environnements de production sont interconnectés avec les réseaux
d’entreprise peut maintenir une bonne position globale en matière de
sécurité.
V.9 CADRE JURIDIQUE

Le cadre juridique est probablement le plus pertinent en matière de

stratégie de lutte contre la cybercriminalité. Il concerne, en premier
lieu, la mise en place des dispositions de fond en droit pénal
nécessaires à la pénalisation des actes de fraude informatique, d'accès
illicite, de brouillage de données, d'atteinte à la propriété
intellectuelle, de pornographie mettant en scène des enfants, etc. Il
convient de noter que l'existence, dans le code pénal, de dispositions
visant des actes analogues commis en dehors d'Internet n'implique pas
nécessairement que lesdites dispositions sont applicables à des actes
perpétrés sur le réseau. Il est donc essentiel d'analyser en détail
les lois nationales en vigueur afin d'identifier les lacunes
éventuelles. Outre des dispositions de fond en droit pénal, les
instances de répression doivent disposer des mécanismes et instruments
nécessaires pour instruire les affaires de cybercriminalité. Ce type
d'instruction présente plusieurs difficultés. D'une part, les auteurs
de ces infractions peuvent agir à partir de n'importe quel endroit sur
la planète (ou presque) tout en masquant leur identité. Les mécanismes
et les instruments nécessaires pour instruire ce type d'affaire peuvent
donc être assez différents de ceux utilisés pour enquêter sur les
 P a g e | 108

infractions classiques. D'autre part, du fait de la dimension

internationale de la cybercriminalité, le cadre juridique national
doit permettre la coopération avec les agences de répression
étrangères.
V.10 CONCLUSION

Dans ce chapitre, nous avons mis en œuvre des stratégies de base pour
une bonne prise en charge de la cybersécurité individuel ainsi que la
cybersécurité dans nos entreprises.

Cependant, l’utilisation d’internet doit se faire de façon

sécuritaire. En tant que petit ou moyenne entreprise, il est facile
de croire que vous n’avez pas assez d’importance pour que les
cybercriminels s’intéressent à vous. En fait, les cybercriminels
visent maintenant activement les petites entreprises, car ils croient
que leurs ordinateurs sont vulnérables.
Si nous parvenons à mettre en pratique ces différentes stratégies de
lutter contre la cybercriminalité, nous mettons à l’abri de
cybermenaces ainsi que nos PME à l’abri de cyberpiratage.
 P a g e | 109

CONCLUSION
La cybersécurité, comme nous l’avons examiné, relève de la conjugaison
de plusieurs efforts tant juridiques, technologiques que managériaux.
Le système d’information est de nos jours, au cœur de toutes les
entreprises modernes. Les nombreux avantages et opportunités immenses
qu’offrent le réseau des réseaux, font d’Internet un enjeu économique
capital, et montre à quel point les systèmes d’informations ont acquis
une place de premier choix dans la vie quotidienne de tout un chaqu’un
et dans le développement des entreprises, petites ou moyennes qu’elles
soient.

Certes que le cyberespace, espace virtuel transfrontalier, offre

d’énormes opportunités, tant sur les plans économiques, scientifique,
que culturel ; cependant, son apparition nous a grandement simplifié
la vie, il est indiscutable qu’il nous a également apporté son
corolaire de problèmes, inhérents à tous progrès scientifiques. Etant
donné que de nos jours, presque tout est effectué par le biais de
l’informatique : les transactions financières, la santé,
l’administration, le divertissement, etc. Puisque le système
d’information est vital pour l’entreprise, tout ce qui menace sa
sécurité est potentiellement « mortel » pour l’entreprise. D’où, la
sécurité de celle-ci demeure incontournable.
Cependant, il existe une toute autre facette de cyberespace tant
apprécié par la majorité de la population, un côté obscur, où l'on
peut alors comprendre qu'Internet n'est pas toujours un espace de
liberté et de sécurité, car notre liberté s'arrête là où commence
celle des autres commence, et c'est là qu'interviennent les
cybercriminels et autres cyberdélinquants. Les cybercriminels
organisent des diverses attaquent pour déstabiliser et mettre en péril
nos avantages et opportunités qu’offrent le cyberespace.
La cybercriminalité désigne toutes les infractions aux lois et
réglementations en vigueur commises par un individu via un ordinateur
connecté à un réseau informatique. Tous les types de violation de la
loi sur Internet sont inclus dans la cybercriminalité, depuis
l’escroquerie en ligne jusqu’aux piratages de système informatique
d’un particulier ou d’une entreprise. Connus sous l’appellation des
hackers, les cybercriminels utilisent une panoplie de techniques pour
parvenir à leurs fins malveillantes. Les virus, les spyware, le recueil
d’information depuis les réseaux sociaux ou encore l’infiltration
directe d’un système informatique font partie des techniques les plus
utilisées par ces hackers dans la cybercriminalité.
 P a g e | 110

Pour mettre en place une démarche de cybersécurité, il est important

de pouvoir identifier correctement les valeurs et les biens à protéger
afin de circonscrire le périmètre de sécurité à mettre en place pour
les protéger efficacement. Ceci implique une approche globale,
pluridisciplinaire et systémique de la sécurité. La cybersécurité n’est
pas compatible avec un monde libertaire, fluide et non contrôlé. Il faut
établir des grands principes d'éthique, de responsabilité, de transparence
au travers d’un cadre légal approprié et mettre en vigueur des règles du jeu
réalistes. Celles-ci doivent être applicables non seulement localement mais
aussi par l'ensemble de personnel.

Ce travail nous a permis de prendre connaissance des différentes

stratégies de lutter contre la cybercriminalité ainsi que leurs
spécificités.
C’est ainsi, il ne faut jamais divulguer des informations trop
personnelles ou des informations confidentielles de votre entreprise,
comme les coordonnées, les codes bancaire ou autres sur les sites
destinés au grand public.
D’où, la lutte contre les crimes en ligne concerne également tous les
utilisateurs d’Internet.
 P a g e | 111

BIBLIOGRAPHIE
B. OUVRAGES

1. Ministère des PME, Charte des PME et de l’artisanat en RDC,

Kinshasa, Août 2009.
2. Henri-Pierre Maders, Manager une équipe projet, 3°éd Eyrolles,
Paris, 2003.
3. Laurent BLOSH et Christophe WOLFHUGEL, Sécurité Informatique,
principes et méthodes, éd Eyrolles, Paris, 2007.
4. Myriam Quémener et Yves Charpenel, Cybercriminalité_droit pénal
appliqué, éd Economia, 2010.
5. Victh Fabien, Criminalité itinerante et évolutive, la libre.be,
Bruxelles, 2011.
6. François Blondel, Gestion industrielle, 2°éd Dunod, Paris, 2000.
7. André Beauchamp, la foi à l’heure d’internet, éd Fides, Montréal,
2001.
8. Gullaume Plouin, Cloud Computing, sécurité, stratégie d’entreprise
et panorama du marché, collection InfoPro, Dunod, Paris, 2013.
9. Geoffrey Zbinden, l’internet des objets, une réponse au
rechauffement climatique, éd Cygne, Genève, 2010.
10. C. Aghroum, Les mots pour comprendre la cybersécurité : Et
profiter sereinement d'Internet, éd Lignes de Repères, Paris, 1er
octobre 2010.
11. L. P. Cambacedes et Y. Fourastier, Cybersecurite des
installations industrielles, éd Cépaduès, juin 2015.
12. P.J. Benghozi, De l’organisation scientifique du travail à
l’organisation scientifique du client. L’orientation-client,
focalisation de nouvelles pratiques managériales, Paris, éd
Eyrolles, 1998.

C. COURS

1. SULA MANYONGA B, Gestion de projet, note de cours, L1/TAR, ISIPA,

Kinshasa, 2015, Inédit.
2. OTEMA SANIMO G, Méthodologie de la recherche scientifique, note de
cours, TM2B, ISIPA, Kinshasa, 2007.

D. ARTICLES

1. Alain Cortat et Jean-Marc Olivier, Le profit dans les PME,

perspectives historiques, Presses universitaires, Suisses, 2014.
2. R. Kissel, Glossary of Key Information Security Terms, National
Institute of Science and Technology, US Department of Commerce,
Février 2011
 P a g e | 112

3. Benhamou Bernard, l’internet des objets ; defis technologiques

économiques et politiques, Revue Esprit, 2009.
4. Valérie Gonthier, Vols de cartes plus frequents en région, le
journal de Montréal.com, Montréal, 2013.
5. Maxime Ouellet, André Mandoux, Marc Ménard, Maude Bonenfant et
Fabien Richert, « Big data », gouvernement et surveillance,
Université de Quebec à Montréal, Montréal, 2014.
6. Delort, Le Big Data, Paris, Presses Universitaires de France, 2015.
7. L'Ordinateur individuel, La cyberguerre est déclarée, article,
n°252, septembre 2012.

E. SUPPORT ELECTRONIQUE
1. Ingénierie sociale, [en ligne], 26 Octobre 2015, disponible en
ligne sur http://www.wikipedia.fr
2. Armes silencieuses pour guerre tranquilles, auteur inconnu [en
ligne], [02 Janvier 2016], disponible sur :
http://infos_du_net.com/actualité/dossiers/Armes_silencieuses_pou
r_guerre_tranquilles
3. Attaque par déni de service, [en ligne], [25 Janvier 2016],
disponible sur http://www.wikipedia.fr.
4. La guerre de toile, [en ligne], [réf : 27 Janvier 2016], disponible
sur http://fr.euronews.com/2013/02/20/la-guerre-de-la-toile-est-
declaree
5. L'OTAN s'alarme des cyberattaques dont est victime l'Estonie [en
ligne], disponible sur http://ww.lemonde.fr
6. Méthode PERT, [en ligne], [réf. 05 Février 2016], disponible sur
http://www.wikipedia.fr//methode PERT
7. Internet, [en ligne], [réf 05 Février 2016], disponible sur
http://wikipedia.fr/internet
8. Cloud Computing, [en ligne], [réf 05 Février 2016], disponible
sur https://wikipedia.fr/cloud computing,
9. Big Data, [en ligne], [ 04 Avril 2016] disponible sur
htts://wikipedia.fr/big data
10. Petite moyenne entreprise, [en ligne], disponible sur
http://www.insee.fr/fr/methodes/default.asp /définitions/petite-
moyenne-entreprise
 P a g e | 113

TABLE DES MATIERES

EPIGRAPHE… … … … … … … … … … … … … … … … … … … … … … … … … … … ……….i
DEDICACE … … … … … … … … … … … … … … … … … … … … … … … … … … … … .ii
REMERCIEMENT … … … … … … … … … … … … … … … … … … … … … … … … … … iii
LISTE DES ABREVIATIONS… … … … … … … … … … … … … … … … … … … … … … iv
LISTE DES TABLEAUX… … … … … … … … … … … … … … … … … … … … … … …… …vi
LISTE DES FIGURES… … … … … … … … … … … … … … … … … … … … … … …… …vii
INTRODUCTION GENERALE .............................................. 1
1. PROBLEMATIQUE ................................................. 9
2. HYPOTHESE .................................................... 11
3. CHOIX, INTERET ET BUT DU SUJET ............................... 12
4. DELIMITATION DU SUJET ........................................ 13
5. METHODE ET TECHNIQUE ......................................... 13
5.1 METHODES ..................................................... 13
5.2 TECHNIQUES ................................................... 13
6. CANEVAS DU TRAVAIL ........................................... 14
CHAPITRE I : GENERALITES SUR LA CYBERCRIMINALLITE ................. 15
I.1 INTRODUCTION .................................................. 15
I.2 DEFINITION DES CONCEPTS ...................................... 15
I.3 OBJECTIFS ET MOTIVATIONS DE CYBERCRIMENELS .................... 16
I.4 TECHNIQUES .................................................... 17
I.4.1 L’INGENIERIE SOCIALE ....................................... 17
I.4.2 HAMEÇONNAGE OU PHISHINNG .................................... 18
I.4.3 SHOULDER SURFING ........................................... 19
I.4.4 ATTAQUE PAR DENI DE SERVICE ................................. 20
I.4.5 VIRUS ....................................................... 21
I.4.6 CHEVAL DE TROIE ............................................. 21
I.4.7 ECOUTE DU RESEAU (SNIFFER) .................................. 22
I.4.8 INTRUSION ................................................... 22
I.4.9 FAILLES DE SECURITE ......................................... 22
I.5 DOMAINES D’APPLICATION ........................................ 23
I.5.1 CYBERGUERRE ................................................. 23
I.5.2 CYBERATTAQUE ............................................... 24
I.5.2.1 QUELQUES EXEMPLES DES CYBERATTAQUES ....................... 27
 P a g e | 114

I.5.3 CYBERTERRORISME ............................................. 29

I.5.4 HACKING ..................................................... 29
I.5.4.1 CATEGORISATION DES HACKERS ................................ 30
I.5.5 CYBERDEFENSE ............................................... 31
I.6 CONCLUSION .................................................... 32
CHAPITRE II : CADRAGE DE PROJET ................................... 33
II.1 INTRODUCTION ................................................. 33
II.2 DEFINITIONS ET ENJEUX DE LA GESTION DE PROJET ............... 33
II.3 CHOIX DE LA METHODE .......................................... 34
II.4 METHODE DE CONDUITE DE PROJET ................................ 35
II.4.1 REGLE ET NOTATION DE REPRESENTATION EN PERT ................ 35
II.4.2 CONSTRUCTION D’UN RESEAU PERT ............................. 36
II.4.3 ETABLISSEMENT DE TACHES ET DES TEMPS PREVUS POUR CHAQUE TACHE
.................................................................. 36
II.4.3.1 CONTRAINTES .............................................. 37
II.4.3.2 CONSTRUCTION DU GRAPHE ................................... 37
II.4.4 DETERMINATION DU DATE AU PLUS TOT ET DU DATE AU PLUS TARD .. 39
II.4.4.1 DATE AU PLUS TÔT ......................................... 39
II.4.4.2 DATE AU PLUS TARD ........................................ 39
II.4.4.3 CONSTRUCTION DE GRAPHE PERT .............................. 40
II.4.5 DETERMINATION DES MARGES ................................... 41
II.4.5.1 MARGE LIBRE .............................................. 41
II.4.5.2 MARGE TOTAL .............................................. 41
II.4.6 TACHES ET CHEMIN CRITIQUES ................................. 42
II.4.7 INTERPRETATION DE RESULTATS ................................ 42
II.4.8 L’ESTIMATION DE COUT TOTAL DU PROJET ....................... 42
II.5 CLONCLUSION ................................................. 43
CHAPITRE III : PRESENTATION DES OPPORTUNITES DE CYBERESPACE ....... 45
III.1 INTRODUCTION ................................................ 45
III.2 CONCEPTS GENERAUX ........................................... 45
III.3 CARACTERISTIQUES STRATEGIQUES DE CYBERESPACE ............... 46
III.4 OPPORTUNITE STRATEGIQUES DE CYBERESPACE .................... 46
III.5 INTERNET .................................................... 46
III.5.1 CONCEPT ................................................... 47
III.5.2 TECHNIQUE ................................................. 47
 P a g e | 115

III.5.3 PROTOCOLES LOGICIELS ...................................... 49

III.6 CLOUD COMPUTING ............................................. 51
III.6.1 CONCEPT ................................................... 51
III.6.2 PRINCIPALES CARACTERISTIQUES .............................. 52
III.6.3 MODÈLES DE SERVICES ....................................... 53
III.6.4 LES MODELES DE DEPLOIEMENT ................................ 54
III.6.5 LE CLOUD COMPUTING AU SEIN DES ENTREPRISES ................ 55
III.7 BIG DATA & ANALYTICS ........................................ 56
III.7.1 CONCEPT ................................................... 56
III.7.2 PRINCIPE ET DIMENSION DU BIG DATA ......................... 57
III.7.3 ANALYSER LES DONNEES ...................................... 57
III.7.4 DATA SCIENTIST ET MANAGER ................................. 58
III.7.5 TECHNOLOGIES DU BIG DATA .................................. 58
III.7.6 LES SOURCES DE DONNEES .................................... 58
III.8 INTERNET DES OBJECTS ........................................ 58
III.8.1 CONCEPT ................................................... 59
III.9 E-COMMERCE .................................................. 60
III.9.1 TYPES DE COMMERCE ELECTRONIQUE ............................ 60
III.10 L’E-SANTE .................................................. 61
III.11 L’E-BANKING ................................................ 61
III.12 L’E-MARKETING .............................................. 61
III.13 L’E-BUSINESS ............................................... 61
III.14 RESEAUX SOCIAUX ............................................ 62
III.15 CONCLUSION ................................................. 64
CHAPITRE IV: ETUDE DES BESOINS DE CYBERSECURITE DANS LES PME ...... 65
IV.1 INTRODUCTION ................................................ 65
IV.2 DEFINITION DES PME DANS LE CONTEXTE CONGOLAIS ............... 65
IV.3 CARACTERISTIQUES DES PME .................................... 66
IV.3.1. LE DIRIGEANT DE LA PME .................................... 67
IV.3.2 LA TAILLE .................................................. 67
IV.3.3 L'ORGANISATION ............................................. 67
IV.3.4 GESTION ................................................... 67
IV.3.5 CARACTERISTIQUES DES PME CONGOLAISES ..................... 68
IV.4 SORTES DES PME CONGOLAISES .................................. 68
IV.4.1 LES PME DU SECTEUR FORMEL ................................. 69
 P a g e | 116

IV.4.2 LES PME DU SECTEUR INFORMEL ............................... 69

IV.5 ROLES ET IMPORTANCES DE LA PME .............................. 69
IV.5.1 ROLES DES PME ............................................. 69
IV.5.1.1 Rôle économique de PME ................................... 69
IV.5.1.2 Rôle social de PME ....................................... 70
IV.5.2 IMPORTANCES DES PME ........................................ 71
IV.5.2.1 Sur le Plan Politique .................................... 71
IV.5.2.2 Sur le plan économique .................................. 71
IV.5.2.3 Sur le plan social ...................................... 72
IV.5.2.4 Sur le plan fiscal ...................................... 72
IV.6 PRESENTATION DE BESOINS DE NTIC DANS LES PME ................ 73
IV.6.1 STRATÉGIES D’USAGE DES NTIC, CAPACITÉS ORGANISATIONNELLES ET
OBTENTION D’AVANTAGES CONCURRENTIELS DANS LES PME ................. 74
IV.7 ANALYSE ET INTERPRETATION DE CYBERSECURITE DANS LES SI AU SEIN
DES PME ........................................................... 81
IV.8 LES DEFIS DE LA CYBERSECURITE DANS LES PME CONGOLAISES ...... 82
IV.9 CONCLUSION .................................................. 83
CHAPITRE V : APPLICATION DES STRATEGIES CONTRE LA CYBERCRIMINALITE 84
V.1 INTRODUCTION ................................................. 84
V.2 EXPLICATION DU TRAVAIL ........................................ 84
V.3 CONCEPTUALISATION DE LA CYBERSECURITE ......................... 84
V.4 FONDEMENTS DE LA CYBERSECURITE ............................... 85
V.4.1 DISPONIBILITE .............................................. 85
V.4.2 INTEGRITE .................................................. 86
V.4.3 CONFIDENTIALITE ............................................ 86
V.4.4 IDENTIFICATION ET AUTHENTIFICATION ......................... 87
V.4.5 NON REPUDIATION ............................................. 87
V.5 OBJECTIFS .................................................... 88
V.6 MISE EN PLACE D’ACTION ....................................... 88
V.6.1 SECURITE SUR LE WEB ........................................ 89
V.6.2 SECURITE DES COURRIERS ELECTRONIQUES ....................... 90
V.6.2.1 SECURISATION COTE SERVEUR ................................ 91
V.6.2.2 SECURISATION DU COTE CLIENT ............................... 91
V.6.2.3 LA CRYPTOGRAPHIE ET LE CHIFFREMENT ........................ 92
V.6.3 SECURITE DES DONNEES ....................................... 92
 P a g e | 117

V.6.3.1 DROIT D’ACCES ............................................ 93

V.6.3.2 LUTTE CONTRE LES MALVEILLANCES INFORMATIQUES ............. 94
V.6.4 SECURITE DES APPAREILS MOBILES ............................. 97
V.6.5 SECURITE MATERIELLES ....................................... 97
V.6.6 SECURITE DANS LES RESEAUX SOCIAUX .......................... 98
V.6.7 SENSIBILISATION A LA CYBERSECURITE ......................... 99
V.6.7.1 FORMATION DES UTILISATEURS ............................... 100
V.6.7.2 REGLES D’UTILISATION, DE SECURITE ET DE BON USAGE ........ 100
V.6.9 PLANIFICATION DE LA CYBERSECURITE ......................... 101
V.7 QUELQUES METHODES ET OUTILS D’ORIENTATION DE LA SECURISATION DE
L’INFORMATION EN ENTREPRISE ...................................... 103
V.7.1 Contrôler les accès Internet de l'entreprise .............. 103
V.7.2 Contrôler les accès WI-FI ................................. 103
V.7.3 Filtrer les sites Internet nuisibles ...................... 103
V.7.4 Restreindre des applications Cloud personnelles ........... 103
V.7.5 Contrer les attaques informatiques ........................ 104
V.7.6 Maintenir à jour les systèmes d'exploitation et les logiciels
................................................................. 104
V.7.7 Le facteur humain ........................................ 104
V.7.8 Protéger les informations publiques ........................ 104
V.7.9 Protéger les informations privées (internes) .............. 105
V.7.9.1 Création et gestion de mots de passe complexes .......... 105
V.7.9.2 Installation d’un antivirus, un anti-troyen, un pare-feu 106
V.7.9.3 Protection des corbeilles à papier et des poubelles ..... 106
V.7.9.4 Utilisation de systèmes biométriques dans des endroits
sensibles ........................................................ 106
V.8 GESTION DE LA CYBERSÉCURITÉ EN ENTREPRISE .................... 107
V.9 CADRE JURIDIQUE .............................................. 107
V.10 CONCLUSION .................................................. 108
CONCLUSION ....................................................... 109
BIBLIOGRAPHIE .................................................... 111
TABLE DES MATIERES ............................................... 113