Majeure2 Gouvernance de La Cybersecurite 1

Gouvernance de la
Cybersécurité
Cours 2022 : Amine TALEB

Gouvernance de la
Cybersécurité
Module 1 : notions de base

Plan du module
1. Les enjeux de la sécurité des S.I.
2. Les besoins de sécurité
3. Notions de vulnérabilité, menace, attaque
4. Panorama de quelques menaces
5. Le droit des T.I.C. et l’organisation de la sécurité en

France
3
1. Préambule
2. Les enjeux
3. Pourquoi les pirates s’intéressent aux S.I. ?
4. La nouvelle économie de la cybercriminalité
5. Les impacts sur la vie privée
6. Les infrastructures critiques
7. Quelques exemples d’attaques
4
a. Préambule
• Système d’Information (S.I.)
– Ensemble des ressources destinées à collecter, classifier, stocker,

gérer, diffuser les informations au sein d’une organisation
– Mot clé : information, c’est le « nerf de la guerre » pour toutes les

entreprises, administrations, organisations, etc.
Le S.I. doit permettre et faciliter la mission de l’organisation
5
a. Préambule
• Le système d’information d’une organisation contient un ensemble d’actifs :
actifs primordiaux
processus métiers
et informations
actifs supports
site personne matériel réseau logiciel organisation
ISO/IEC 27005:2008
La sécurité du S.I. consiste donc à assurer

la sécurité de l’ensemble de ces biens
6
b. Les enjeux
• La sécurité a pour objectif de réduire les risques pesant sur le

système d’information, pour limiter leurs impacts sur le
fonctionnement et les activités métiers des organisations…
• La gestion de la sécurité au sein d’un système d’information n’a pas

pour objectif de faire de l’obstruction. Au contraire :
– Elle contribue à la qualité de service que les utilisateurs sont en

droit d’attendre
– Elle garantit au personnel le niveau de protection qu’ils sont en droit

d’attendre
7
b. Les enjeux
Impacts financiers Impacts sur l’image

et la réputation
Sécurité
des S.I.
Impacts juridiques Impacts
et réglementaires organisationnels
8
c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou

au PC d’individus ?
• Les motivations évoluent
– Années 80 et 90 : beaucoup de bidouilleurs enthousiastes
– De nos jours : majoritairement des actions organisées et réfléchies
• Cyber délinquance
– Les individus attirés par l’appât du gain
– Les « hacktivistes »
– Motivation politique, religieuse, etc.
– Les concurrents directs de l’organisation visée
– Les fonctionnaires au service d‘un état
– Les mercenaires agissant pour le compte de commanditaires
– …
9
c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou

au PC d’individus ?
• Gains financiers (accès à de l’information, puis monétisation et revente)
– Utilisateurs, emails
– Organisation interne de l’entreprise
– Fichiers clients
– Mots de passe, N° de comptes bancaire, cartes bancaires
• Utilisation de ressources (puis revente ou mise à disposition en tant que

« service »)
– Bande passante & espace de stockage (hébergement de musique, films et autres contenus)
– Zombies (botnets)
• Chantage
– Déni de service
– Modifications des données
• Espionnage
– Industriel / concurrentiel
– Étatique
• …
10
d. La nouvelle économie de la cybercriminalité
• Une majorité des actes de délinquance réalisés sur Internet sont commis par des
groupes criminels organisés, professionnels et impliquant de nombreux acteurs
des groupes spécialisés dans le développement de programmes

1 malveillants et virus informatiques
des groupes en charge de l’exploitation et de la commercialisation de

2 services permettant de réaliser des attaques informatiques
un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des

3 hébergeurs malhonnêtes soit des hébergeurs victimes eux-mêmes d’une
attaque et dont les serveurs sont contrôlés par des pirates
4 des groupes en charge de la vente des données volées, et principalement

des données de carte bancaire
5 des intermédiaires financiers pour collecter l’argent qui s’appuient

généralement sur des réseaux de mules
11
d. La nouvelle économie de la cybercriminalité
• Quelques chiffres pour illustrer le marché de la cybercriminalité…
le prix moyen de commercialisation des numéros de

de 2 à10 $ cartes bancaires en fonction du pays et des plafonds
le tarif moyen de location pour 1 heure d’un botnet,

5$ système permettant de saturer un site internet
2.399 $ le prix de commercialisation du malware « Citadel »

permettant d’intercepter des numéros de carte bancaire
(+ un abonnement mensuel de 125 $ )
12
e. Les impacts de la cybercriminalité sur la vie privée (quelques

exemples)
• Impact sur l’image / le caractère Ces impacts – non exhaustifs – ne
signifient pas qu’il ne faut pas utiliser
/ la vie privée Internet, loin de là !
– Diffamation de caractère
– Divulgation d’informations personnelles Il faut au contraire apprendre à anticiper
– Harcèlement / cyber-bullying ces risques et à faire preuve de
discernement lors de l’usage
• Usurpation d’identité d’Internet/smartphones…
– « Vol » et réutilisation de logins/mots de
passe pour effectuer des actions au nom de la victime
• Perte définitive de données
– malware récents (rançongiciel) : données chiffrées contre rançon
– connexion frauduleuse à un compte « cloud » et suppression malveillante
de l’ensemble des données
• Impacts financiers
– N° carte bancaire usurpé et réutilisé pour des achats en ligne
– Chantage (divulgation de photos ou d’informations compromettantes si non
paiement d’une rançon)
13
e. Les impacts de la cybercriminalité sur les infrastructures critiques
• Infrastructures critiques = un ensemble d’organisations parmi les

secteurs d’activité suivants, et que l’État français considère comme
étant tellement critiques pour la nation que des mesures de sécurité
particulières doivent s’appliquer
– Secteurs étatiques : civil, justice, militaire…
– Secteurs de la protection des citoyens : santé, gestion de l’eau,
alimentation
– Secteurs de la vie économique et sociale : énergie, communication,
électronique, audiovisuel, information, transports, finances, industrie.
• Ces organisations sont classées comme Opérateur d’Importance

Vitale (OIV). La liste exacte est classifiée (donc non disponible au
public).
14
g. Quelques exemples d’attaques
15
g. Quelques exemples d’attaques
16
Sony Pictures Entertainment
• GOP pour Guardian of Peace

• Des données internes ont été publiées
contenant :
– les numéros de sécurité sociale et les
numérisations de passeport appartenant
aux acteurs et directeurs.
– des mots de passe internes
– des scripts non publiés
– des plans marketing
– des données légales et financières
– et 4 films entiers inédits
• La probabilité de vol d’identité est très
forte désormais pour les personnes dont
les informations ont été publiées.
« Si vous n’obéissez pas, nous publierons au monde les • Les studios concurrents de Sony, ont une
informations suivantes ». Ce message était affiché sur plusieurs visibilité sur les plans stratégiques de
ordinateurs de Sony Pictures Entertainment le 24 nov 2014 Sony.
La source de l’attaque reste à déterminer.

La Corée du Nord est soupçonnée d’être à l’origine de l’attaque.
http://www.tomsguide.com/us/biggest-data-breaches,news-19083.html
17
Vols de données en 2014
• L’année 2014 a été

l’année de tous les
records en matière de
fuite de données.
• Infographie réalisée par

www.silicon.fr
18
Quelques exemples d’attaques ciblant l’enseignement
Défacement de site
Vol de données
personnelles
19
Quelques exemples d’attaques ciblant l’enseignement
Vol de données
professionnelles
Rebond pour fraude externe
20
Quelques exemples d’attaques, ce qui pourrait arriver
Cyberattaques sur la
voiture connectée
envisagées à l’horizon 2020
Exemple : Prise de contrôle
du système de frein
Déploiement des smart grid

prévu à l’horizon 2030
Exemple : Blackout sur une
grille.
21
1. Introduction aux critères DIC

2. Besoin de sécurité : « Preuve »
3. Différences entre sureté et sécurité
4. Exemple d’évaluation DICP
5. Mécanisme de sécurité pour atteindre les besoins DICP
22
a. Introduction aux critères DIC
• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment évaluer si ce bien
est correctement sécurisé ?
• 3 critères sont retenus pour répondre à cette problématique, connus sous le nom de
D.I.C.
Disponibilité
Propriété d'accessibilité au moment voulu
des biens par les personnes autorisées (i.e. le bien
doit être disponible durant les plages d’utilisation prévues)
Bien à
protéger
Intégrité
Propriété d'exactitude et de complétude des biens
et informations (i.e. une modification illégitime
d’un bien doit pouvoir être détectée et corrigée)
Confidentialité
Propriété des biens de n'être accessibles
qu'aux personnes autorisées
23
b. Besoin de sécurité : « Preuve »
• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment

évaluer si ce bien est correctement sécurisé ?
• 1 critère complémentaire est souvent associé au D.I.C.
Preuve
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
Bien à lesquelles ce bien évolue. Cette propriété englobe
protéger Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs
L’imputabilité du responsable de l’action effectuée
c. Différences entre sureté et sécurité

« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.
L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.
Sûreté Sécurité
Protection contre les Protection contre les actions malveillantes
dysfonctionnements et accidents volontaires
involontaires
Exemple de risque : blocage d’un service,
Exemple de risque : saturation d’un modification d’informations, vol
point d’accès, panne d’un disque, d’information
erreur d’exécution, etc.
Non quantifiable statistiquement, mais il
Quantifiable statistiquement (ex. : la est possible d’évaluer en amont le niveau
durée de vie moyenne d’un disque est du risque et les impacts
de X milliers d’heures)
Parades : contrôle d’accès, veille sécurité,
Parades : sauvegarde, correctifs, configuration renforcée,
dimensionnement, redondance des filtrage…*
équipements…
* Certaines de ces parades seront présentées dans ce cours
c. Différences entre sureté et sécurité
Sûreté : ensemble de mécanismes mis en

place pour assurer la continuité de
fonctionnement du système dans les
conditions requises.
Sécurité : ensemble de mécanismes

destinés à protéger l'information des
utilisateurs ou processus n'ayant pas
l'autorisation de la manipuler et d’assurer
les accès autorisés.
Le périmètre de chacune des 2 notions

On constate sur le schéma que
n’est pas si clairement délimité dans la
la notion de sécurité diffère
réalité : dans le cas de la voiture
selon le contexte :
connectée on cherchera la sécurité et la
• sécurité ► innocuité
sûreté.
• sécurité ► immunité
d. Exemple d’évaluation DICP
Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur une
échelle permet de déterminer si ce bien est correctement sécurisé.
L’expression du besoin attendu peut-être d’origine :

• Interne : inhérente au métier de l’entreprise
• ou externe : issue des contraintes légales qui pèsent sur les biens de l’entreprise.
Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très
fort) :
Niveau de Disponibilité du bien Très fort

Niveau d’Intégrité du bien Moyen
Niveau de Confidentialité du bien Très fort
Niveau de Preuve du bien Faible
Le bien bénéficie d’un niveau de sécurité adéquat

d. Exemple d’évaluation DICP
• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses
services sur internet :
Disponibilité = Très fort Confidentialité = Faible

Un haut niveau de disponibilité du site Un faible niveau de confidentialité
web est nécessaire, sans quoi suffit. En effet, les informations
l’entreprise ne peut atteindre son contenues dans ce site web sont
objectif de faire connaitre ses services publiques par nature!
au public
Intégrité = Très fort Serveur Preuve = Faible

Un haut niveau d’intégrité des
informations présentées est
web Un faible niveau de preuve suffit.
nécessaire. En effet, l’entreprise ne En effet, ce site web ne permet
souhaiterait pas qu’un concurrent aucune interaction avec les
modifie frauduleusement le contenu du utilisateurs, il fournit simplement
site web pour y insérer des des informations fixes.
informations erronées (ce qui serait
dommageable)
e. Mécanismes de sécurité pour atteindre les besoins DICP
Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de
garantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes de
sécurité participant à cette garantie :
D I C P
Mécanisme technique permettant de détecter toute attaque
Anti-virus virale qui a déjà été identifiée par la communauté sécurité   
Mécanisme permettant d’implémenter du chiffrement et des

Cryptographie signatures électroniques   
Équipement permettant d’isoler des zones réseaux entre-elles
Pare-feu et de n’autoriser le passage que de certains flux seulement  
Mécanismes permettant de restreindre l’accès en

Contrôles d’accès lecture/écriture/suppression aux ressources aux seules   
logiques personnes dument habilitées
Sécurité physique des Mécanismes de protection destinés à protéger l’intégrité

physique du matériel et des bâtiments/bureaux.
  
équipements et locaux
e. Mécanismes de sécurité pour atteindre les besoins DICP
D I C P
Mécanismes organisationnels destinés à s’assurer de l’efficacité
Capacité d’audit et de la pertinence des mesures mises en œuvre. Participe à    
l’amélioration continue de la sécurité du S.I.
Mécanismes organisationnels destinés à s’assurer que les

Clauses contractuelles partenaires et prestataires mettent en œuvre les mesures
avec les partenaires nécessaires pour ne pas impacter la sécurité des S.I. de leurs    
clients
Mécanismes organisationnels dont l’objectif est d’expliquer aux

utilisateurs, administrateurs, techniciens, PDG, clients, grand
Formation et public, etc. en quoi leurs actions affectent la sécurité des S.I.
sensibilisation Diffusion des bonnes pratiques de sécurité.    
Le cours actuel en est une illustration !
Certains de ces mécanismes seront présentés dans le cadre cette

sensibilisation à la cybersécurité
3. Notions de vulnérabilité, menace,
attaque
1. Notion de « Vulnérabilité »
2. Notion de « Menace »
3. Notion d’« Attaque »
4. Exemple de vulnérabilité lors de la conception d'une application
5. Illustration d'un usage normal de l'application vulnérable
6. Illustration de l'exploitation de la vulnérabilité présente dans
l'application
a. Notion de « Vulnérabilité »
• Vulnérabilité
• Faiblesse au niveau d’un bien (au niveau de la conception, de la
réalisation, de l’installation, de la configuration ou de l’utilisation du
bien).
Vulnérabilités
b. Notion de « Menace »
• Menace
• Cause potentielle d’un incident, qui pourrait entrainer des dommages sur
un bien si cette menace se concrétisait.
Personnes extérieures malveillantes

Stagiaire
malintentionné
Perte de service
Menaces
Code malveillant
c. Notion d’« Attaque »
• Attaque
• Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une
attaque représente la concrétisation d’une menace, et nécessite
l’exploitation d’une vulnérabilité.
Attaques
c. Notion d’« Attaque »
• Attaque
• Une attaque ne peut donc avoir lieu (et réussir)
que si le bien est affecté par une vulnérabilité.
Ainsi, tout le travail des experts sécurité consiste à s’assurer que le

S.I. ne possède aucune vulnérabilité.
Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces
vulnérabilités plutôt que de viser un objectif 0 inatteignable.
d. Exemple de vulnérabilité : Contournement de l'authentification dans

l’application VNC
L’application VNC permet à un utilisateur de prendre en main sur une
machine distance, après qu’il se soit authentifié.
• La vulnérabilité décrite dans les planches suivantes est corrigée depuis de
nombreuses années. Elle est symptomatique d’une vulnérabilité dans la
conception d’une application ;
• L’application permet en temps normal à un utilisateur de se connecter à
distance sur une machine pour y effectuer un « partage de bureau » (i.e.
pour travailler à distance sur cette machine) ;
• En 2006, il est découvert que cette application – utilisée partout dans le
monde depuis de très nombreuses années – présente une vulnérabilité
critique : il est possible de se connecter à distance sur cette application
sans avoir besoin de s’authentifier (i.e. tout utilisateur sur internet peut
se connecter à distance sur les systèmes en question) ;
• Le diaporama suivant illustre la vulnérabilité technique sous-jacente à ce
comportement.
e. Illustration d’un usage normal de l’application vulnérable

Description du
fonctionnement normal de
l’application
L’utilisateur effectue une demande

de connexion au serveur depuis son 
PC client
Le serveur détermine le mode

d’authentification (aucune
 authentification, mot de passe,
certificat, etc.) et envoie cette
mdp = ? demande d’authentification à
l’utilisateur demandeur
L’utilisateur s’authentifie selon la 

méthode choisie par le serveur
mdp = Afh7ù
Le serveur valide l’authentification

 (si elle est correcte) et autorise donc
la connexion
Référence : CVE-2006-2369
f. Illustration de l’exploitation de la vulnérabilité présente dans

l’application
Description du
fonctionnement modifié par
L’attaquant effectue une demande
de connexion au serveur depuis son  un attaquant
PC client
Le serveur détermine le mode

d’authentification (aucune authentification,
 mot de passe, certificat, etc.) et envoie
cette demande d’authentification à
mdp = ? l’utilisateur demandeur
L’attaquant choisit de s’authentifier

avec le mécanisme de son choix, et
non pas avec le mécanisme choisi

par le serveur. Ici il choisit la authent = NON
méthode « pas d’authentification »
Le serveur valide l’authentification (car

 elle est valide i.e. aucune authentification
est une méthode valide) et autorise donc
la connexion
Référence : CVE-2006-2369
La vulnérabilité se situe ici : le serveur ne vérifie pas que le type d’authentification retourné par le client correspond à celui demandé. A la
place, il vérifie simplement que l’authentification est correcte (et « authent = NON » est effectivement une authentification qui est toujours
correcte)
1. Les sources potentielles de menaces

3. Hameçonnage & ingénierie sociale
4. Déroulement d’une attaque avancée
5. Violation d’accès non-autorisé
6. Fraude interne
7. Virus informatique
8. Déni de service Distribué (DDoS)
9. Illustration d’un réseau de botnets
a. Sources potentielles de menaces

capacité
Etat
tiers
Groupe de Capacité
cybercriminels degré d’expertise et ressources
de la source de menaces
Concurrents
Exposition
opportunités et intérêts de la
Personnel
source de menaces
interne
Cyber-
délinquant
exposition
Exemple d’une cartographie des principales sources de menaces
qui pèsent sur un S.I.
Attention : cette cartographie doit être individualisée à chaque organisation car toutes les
organisations ne font pas face aux mêmes menaces.
Exemple : le S.I. d’une administration d’état ne fait pas face aux mêmes menaces que le S.I. d’un e-commerce ou d’une université
b. Panorama de quelques menaces
Hameçonnage & Violation d’accès

Fraude interne non autorisé
ingénierie sociale
Déni de service
Virus informatique
distribué
c. Hameçonnage & ingénierie sociale

L’hameçonnage (anglais : « phishing ») constitue une « attaque de masse » qui vise à abuser de la
« naïveté » des clients ou des employés pour récupérer leurs identifiants de banque en ligne ou leurs
numéros de carte bancaire…
1 Réception d’un mail utilisant le logo et les

couleurs de l’entreprise
2 Demande pour effectuer une opération

comme la mise-à-jour des données
personnelles ou la confirmation du mot
de passe
3 Connexion à un faux-site identique à

celui de l’entreprise et contrôlé par
l’attaquant
4 Récupération par l’attaquant des

identifiants/mots de passe (ou tout autre
donnée sensible) saisie par le client sur
le faux site
L’ « ingénierie sociale » constitue une « attaque ciblée » qui vise à abuser de la

« naïveté » des employés de l’entreprise :
• pour dérober directement des informations confidentielle, ou
• pour introduire des logiciels malveillants dans le système d’information de la
banque
par téléphone par réseaux par e-mail

sociaux
les scénarios d’ingénierie sociale sont illimités, avec pour seules limites
l’imagination des attaquants et la naïveté des victimes…
Exemple de phishing ciblant les employés d’un grand groupe français…
Ce lien pointe en fait vers un site frauduleux, et non

pas vers un serveur légitime de l’entreprise
d. Déroulement d’une attaque avancée



d. Déroulement d’une attaque avancée (Exemple)
• Apple indique que :

– Ses services iCloud ou FindMyPhone
n’ont pas été compromis
– les comptes iCloud des stars
concernées ont été compromis par des
attaques ciblées de :
• compte utilisateur
• mot de passe
• questions de sécurité
• Le nombre de tentatives de mots de
Des photos intimes d’acteurs, chanteurs, présentateurs passe avant verrouillage du compte
célèbres stockées sur iCloud d’Apple ont été diffusées en
ligne.
était trop élevé.
Les célébrités incluaient Jennifer Lawrence, Kate Upton, – permettant des attaques par « brute
Rihanna, Kim Kadarshian, Selena Gomez entre autres. force »
• Il semblerait que l’attaque soit de type
« social engineering ».
– permettant de répondre aux questions
de sécurité.
http://www.wsj.com/articles/apple-celebrity-accounts-compromised-by-very-targeted-attack-1409683803
e. Fraude interne
La fraude interne est un « sujet tabou » pour les entreprises, mais un

véritable sujet d’importance !
Catégories de fraudeurs Vulnérabilités Typologies des fraudes
• Fraudeur occasionnel • Faiblesse des procédures • Le détournement des

de contrôle interne et de avoirs de la clientèle
• Fraudeur récurrent (petites
sommes de manière surveillance des opérations • Le détournement des
régulière) • Gestion permissive des avoirs de l’entreprise
• Personne qui se fait habilitations informatiques • La création de fausses
embaucher pour effectuer • Absence de séparation des opérations
une fraude tâches et de rotation
• La personne qui fausse
• Fraude en groupe ses objectifs pour
augmenter sa
rémunération
f. Violation d’accès non autorisé : mots de passe faibles
Des mots de passe simples ou faibles (notamment sans caractères spéciaux comme
« ! » ou « _ » et des chiffres) permettent – entre autre – à des attaquants de mener les
actions suivantes :
• Utiliser des scripts automatiques pour tester un login avec tous les mots de passe
couramment utilisés (issus d’un dictionnaire) ;
• Utiliser des outils pour tenter de « casser » le mot de passe. Ces outils sont très
efficaces dans le cadre de mots de passe simples, et sont beaucoup moins efficaces
dans le cas de mots de passe longs et complexes.
Réflexion sur l’utilisation des mots de passe : les mots de passe constituent une faiblesse
significative pour la cybersécurité. En effet, les êtres humains n’ont pas la capacité de
mémoriser de nombreux mots de passe, complexes, différents pour chaque
application, etc.
Pour cette raison, d’autres moyens d’authentification émergent, de façon à libérer les
individus des problématiques des mots de passe. Quelques exemples : la biométrie,
les tokens USB, les matrices papier, la vérification via un code SMS, les « one time
password », etc.
f. Violation d’accès non autorisé : intrusion
Les intrusions informatiques constituent des « attaques ciblées » qui exploitent une ou des
vulnérabilité(s) technique(s) pour dérober des informations confidentielles (ex. : mots de passe, carte
bancaire…) ou prendre le contrôle des serveurs ou postes de travail
Depuis le réseau Internet sur les ressources exposées : sites institutionnels, services de e-commerce, services
d’accès distant, service de messagerie, etc.
Depuis le réseau interne sur l’Active Directory ou les applications sensibles internes
Quelques chiffres issus de tests d’intrusion menés sur de nombreux S.I. :
80% des domaines Active Directory sont compromis

en 2 heures
75% des domaines Active Directory contiennent au moins 1

compte privilégié avec un mot de passe trivial
50% des entreprises sont affectées par un défaut de

cloisonnement de ses réseaux
des tests d’intrusion ne sont pas détectés par les

80% équipes IT
Sources : tests d’intrusion Orange Consulting 2012-2013
Active Directory : est un système d’annuaire sous Windows répertoriant les ressources du réseau notamment les sites, les
machines, les utilisateurs.
g. Virus informatique
Les virus informatiques constituent des « attaques massives » qui tendent…
• à devenir de plus en plus ciblés sur un secteur d’activité (télécommunication, banque, défense, énergie, etc.)
• à devenir de plus en plus sophistiqués et furtifs
Les principaux vecteurs d’infection…

• Message avec pièce-jointe
• Support amovible (clé USB…)
• Site Web malveillant ou piratés
• Partages réseaux ouverts, systèmes vulnérables…
… avec comme conséquences potentielles …

• Installation d’un « cheval de Troie » pour accéder au poste de
travail à distance
• Récupération de données ciblées : cartes bancaires,
identifiants/mots de passe…
• Surveillance à distance des activités : capture des écrans, des
échanges, du son ou de la vidéo !
Quelques virus récents et • Destruction des données des postes de travail
médiatiques : Citadel, Flame, • Chiffrement des données pour une demande de rançon
Stuxnet, Duqu, Conficker, Zeus, • …
Shamoon (Aramco)…
h. Déni de service distribué (DDoS)
La déni de service distribué (DDoS) constituent une « attaque ciblée » qui consiste à saturer un site
Web de requêtes pour le mettre « hors-service » à l’aide de « botnets », réseaux d’ordinateurs
infectés et contrôlés par les attaquants
… une menace majeure et en augmentation

pour les sites Internet
34,5 heures
durée moyenne d’une attaque
48,25 Gbps
bande passante moyenne d’une attaque
75 % des attaques au niveau infrastructure

25% des attaques au niveau application
i. Illustration d’un réseau de botnets

Cible de l’attaque
Milliers ou millions
d’ordinateurs infectés,
prêts à attaquer une cible
sur ordre de l’attaquant
Serveurs de
commande
(relais)
Un botnet est un ensemble de systèmes
contrôlables par un attaquant via des serveurs
de commande. Les propriétaires de ces
systèmes ne savent pas que leur PC participe à
un botnet (leur PC a été compromis au préalable
et à leur insu via l’exploitation d’une vulnérabilité)
Attaquant contrôlant le botnet
5. Le droit des T.I.C. et l’organisation
de la cybersécurité en France
1. L’organisation de la sécurité en France
2. Le contexte juridique
3. Le droits des T.I.C.
4. La lutte contre la cybercriminalité en France
5. Le rôle de la CNIL : La protection des données à caractère
personnel
5. Le droit des T.I.C. et l’organisation de la
cybersécurité en France
a. L’organisation de la sécurité en France
Cyberdéfense : un véritable enjeu de sécurité nationale
« Les cyberattaques, parce qu’elles n’ont pas, jusqu’à présent, causé la mort d’hommes,
n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dès aujourd’hui, et plus
encore à l’horizon du Livre blanc, elles constituent une menace majeure, à forte
probabilité et à fort impact potentiel » (Chapitre 4, Les priorités stratégiques, livre blanc
2013)
« Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué

» (Chapitre 7, Les moyens de la stratégie, , livre blanc 2013)
Organisation interministérielle :
Premier Ministre
Ministères
Pilotage de la politique nationale en Secrétaire général de la
matière de sécurité des systèmes défense et de la sécurité
d’information nationale (SGDSN) Défense
Intérieur
Affaires étrangères
Agence nationale de la Economie
sécurité des systèmes Budget
d’information (ANSSI) Industrie
…
Proposition des règles à appliquer pour la protection des S.I. de l’État.
Vérification de l’application des mesures adoptées
Conseil/soutien Sécurité aux administrations Hauts fonctionnaires de
Information du public défense et de sécurité
Contribution au développement de Services de confiance (HFDS)
…
Coordination de la préparation des mesures de
défense (Vigipirate) et chargés de la sécurité
des systèmes d'information
58
b. Le contexte juridique
• Quels domaines doivent être couverts ?

Liberté d’expression
Protection du e-commerce
Propriété intellectuelle
Protection de la vie privée
Protection des entreprises
Cybercriminalité
… et bien d’autres…
c. Le droit des T.I.C.
Code de la défense
Code civil
– Un droit non codifié : des dizaines de codes en vigueur Code pénal

– … et difficile d’accès
• Au carrefour des autres droits Droit du travail
• En évolution constante et rapide Code de la propriété

• Issu de textes de toute nature /niveaux intellectuelle
• Caractérisé par une forte construction jurisprudentielle* Code des postes et

communicat. électroniques
– nécessitant un effort de veille juridique.
Code de la consommation
(*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce qui
donne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société.
d. La lutte contre la cybercriminalité en France
Définition de la cybercriminalité :
Ensemble des actes contrevenants aux traités internationaux ou aux
lois nationales utilisant les réseaux ou les systèmes d’information
comme moyens de réalisation d’un délit ou d’un crime, ou les ayant
pour cible.
Définition de l’investigation numérique (forensics) :

Ensemble des protocoles et de mesures permettant de rechercher des
éléments techniques sur un conteneur de données numériques en vue
de répondre à un objectif technique en respectant une procédure de
préservation du conteneur.
La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans
tout ou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al.
1 du CP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum.
– Élément matériel de l’infraction : la notion d’accès ou maintien
– La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de
cause »
– Éléments indifférents :
• Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données)
• Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002)
• La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ;
affaire Anses / Bluetouff TGI Créteil, 23 avril 2013)
Jurisprudence sur la définition des STAD : Le réseau France Télécom, le réseau

bancaire, un disque dur, une radio, un téléphone, un site internet…
Tendance des tribunaux : une plus grande intransigeance à l’égard de

certaines « victimes » d’accès frauduleux dont le système n’est pas protégé de
manière appropriée
• Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du

CP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende
• L'introduction, la suppression ou la modification frauduleuse de données dans
un système de traitement automatisé (art. 323-3 du CP) est puni d’un maximum de 5
ans d'emprisonnement et de 75.000 € d'amende
• L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir,
de céder ou de mettre à disposition, sans motif légitime, un programme ou un
moyen permettant de commettre les infractions prévues aux articles 323-1 à 323-
3. (mêmes sanctions)
• Art. 323-4 : l’association de malfaiteurs en informatique

• Art. 323-5 : les peines complémentaires
• Art. 323-6 : la responsabilité pénale des personnes morales
• Art. 323-7 : la répression de la tentative
e. Le rôle de la CNIL : La protection des données à caractère
personnel
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et
aux libertés
• Quel est le champ d’application de la loi ?

– Art. 2 « La présente loi s’applique aux traitements automatisés de
données à caractère personnel, ainsi qu’aux traitements non
automatisés de données à caractère personnel contenues ou appelées
à figurer dans des fichiers, à l’exception des traitements mis en œuvre
pour l’exercice d’activités exclusivement personnelles, lorsque leur
responsable remplit les conditions prévues à l’article 5 (relevant du droit
national). »
• Qu’est qu’une donnée à caractère personnel ?

– « Constitue une donnée à caractère personnel toute information relative
à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d’identification
ou à un ou plusieurs éléments qui lui sont propres. »
personnel
La loi protège les droits des personnes physiques identifiées ou
identifiables par les données à caractère personnel
• Un traitement de données à caractère personnel doit être « loyal et

licite »
– Les données sont collectées pour des finalités déterminées explicites et
légitimes
– de manière proportionnée (adéquates, pertinentes et non excessives)
– avec le consentement de la personne concernée (sauf exception)
– pendant une durée n’excédant pas celle nécessaire à la réalisation des
finalités !
• Les personnes physiques disposent de différents droits sur les données

à caractère personnel qui font l’objet d’un traitement…
– Un droit d’information préalable au consentement
– Un droit d’accès aux données collectées
– Un droit de rectification
– Un droit d’opposition pour raison légitime
personnel
Le responsable de traitement est la personne qui détermine les finalités

et les moyens du traitement de données à caractère personnel
• Obligations administratives auprès de la CNIL

– Le régime de la déclaration préalable (art. 22 à 24)
• Le traitement peut faire l’objet d’une dispense de déclaration
• Le traitement échappe à l’obligation de déclaration car le responsable du
traitement a désigné un correspondant à la protection des données (CIL)
• Dans tous les autres cas, le traitement doit effectivement faire l’objet d’une
déclaration préalable
– Le régime d’autorisation préalable (art. 25 à 27)

• Régime applicable pour les « traitements sensibles » (listés à l’art. 25)
• Examen de la demande par la CNIL sous deux mois (le silence vaut rejet).
personnel
• Des obligations de confidentialité et de sécurité des traitements et de
secret professionnel
– De mettre en œuvre les mesures techniques et organisationnelles
appropriées, au regard de la nature des données et des risques, pour
préserver la sécurité des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès
(art. 34)
• Absence de prescriptions techniques précises
• Recommandation de réaliser une analyse de risques préalable voire, pour les
traitements les plus sensibles, une étude d’impact sur la vie privée (PIA)
• Publication par la CNIL de « guides sécurité pour gérer les risques sur la vie
privée » (méthodologie d’analyse de risques et catalogue de bonnes pratiques)
– De veiller à ce que, le cas échéant, les sous-traitants apportent des
garanties suffisantes au regard des mesures de sécurité techniques et
d’organisation
• Est considéré comme sous-traitant celui qui traite des données à caractère
personnel pour le compte et sous la responsabilité du responsable du traitement
(article 35)
personnel
Les différents risques et sanctions en cas de manquements aux
différentes obligations
• Des sanctions pénales (articles 226-16 et suivants du Code pénal) : Douze délits punis de 3 à 5
ans d’emprisonnement et jusqu’à 300.000 euros d’amende
– Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement de
données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi
n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros
d'amende » (art. 226-17)
• Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts en fonction
du préjudice causé aux personnes concernées
• Des sanctions administratives associées aux pouvoirs conférés à la CNIL

– Pouvoir d’injonction de cesser le traitement pour les fichiers soumis à déclaration ou de retrait de
l’autorisation accordée
– Pouvoir de sanction pécuniaire
– Procédure d’urgence : pouvoir d’interruption de la mise en œuvre du traitement ou de verrouillage

des données (3 mois)
– Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions
6. Intégrer de la sécurité au sein
d’une organisation
1. Préambule
2. Panorama des normes ISO 2700x
3. Système de Management de la Sécurité de l’Information (27001)
4. Code de bonnes pratiques pour le management de la sécurité de
l’information (27002)
5. Gestion des risques (27005)
6. Classification des informations
7. Gestion des ressources humaines
69
6. Intégrer la sécurité au sein d’une organisation
a. Préambule
• Les mesures de sécurité à mettre en place dépendent de l’activité, de

l’organisation et de la réglementation et des contraintes de son
écosystème.
• Afin d’évaluer le niveau de sécurité attendue, les questions suivantes

peuvent être posées :
• Qu’est ce que je veux protéger ?
• De quoi je veux me protéger ?
• A quel type de risques mon organisation est exposée ?
• Qu’est ce que je redoute ?
• Quelles sont les normes qui s’appliquent à mon organisation ?
• L’organisation peut s’inspirer de la famille de norme internationale ISO

27000 et des guides nationaux (ANSSI, CLUSIF, etc.), voire des
politiques de sécurité en usage dans l’État (PSSIE, RGS, etc.) pour
mettre en place la sécurité.
70
b. Panorama des normes ISO 27K
• Ensemble de normes internationales de sécurité de l’information,

destinées à protéger l’information. Elles découlent d’une recherche de
consensus commun sur le domaine.
• Néanmoins la conformité à une norme ne garantit pas formellement un
niveau de sécurité. Les normes ne prennent pas en compte l’état de
l’art récent et les exigences réglementaires.
• Quelques unes des principales normes inclues dans la série 27000 :
27001 • Systèmes de management de la sécurité de l’information
27002 • Code de bonnes pratiques
27004 • Mesures du management de la sécurité
27005 • Gestion des risques
27035 • Gestion des incidents de sécurité
27037 • Traitement des preuves numériques (forensics)
… •…
71
b. Panorama de normes ISO 2700x

• Dans le cadre de la mise en place de la sécurité au sein d’une organisation :
– La norme ISO 27001 permet à une organisation de mettre en œuvre et
d’améliorer le système de management de la sécurité :
• Une certification ISO 27001 délivrée par un organisme certificateur accrédité
garantie suite à un audit qu’une organisation a bien appliquée les exigences
de la norme en matière de sécurité. Cette certification est valable 3 ans, tous
les ans un audit de contrôle est effectué.
• Il peut être exigé à une organisation d’avoir cette certification pour accéder à
certains contrats : par exemple un organisme payeur d’aides agricoles
européennes.
– La norme ISO 27002 définit un ensemble de « bonnes pratiques » en
matière de sécurité répartie en plusieurs chapitres, l’organisation dispose :
• d’un référentiel de mise en œuvre ;
• d’une « check-list » en cas d’audit.
– La norme ISO 27005 définit des lignes directrices relatives à la gestion des
risques de sécurité dans une organisation. Une organisation peut
s’appuyer sur ce processus de gestion de risques pour intégrer la sécurité.
72
c. Système de Management de la Sécurité de l’Information (27001)
Une démarche calquée sur ISO 9000 (Plan / Do / Check / Act).
Phase Plan : Fixer des objectifs et des plans d'actions :

• Identification des actifs ou des biens ;
• Analyse de risques ;
• Choisir le périmètre du SMSI :
– Quel périmètre ? C’est le domaine d’application du SMSI, son choix est libre, mais il doit être
circonscrit, ce sont toutes les activités pour lesquelles l’organisation exige de la confiance.
– Quelle politique de sécurité ?
– Quel niveau de sécurité : intégrité, confidentialité, disponibilité de l’information au sein de
l’organisation ?
Noter que la norme n’impose pas de niveau minimum de sécurité à atteindre.

Attention : une entreprise peut donc être certifiée ISO 27001 tout en ayant
défini un périmètre réduit et une politique de sécurité peu stricte.
73
• Phase Do : mise en œuvre et exploitation des mesures et de la

politique
– Établir un plan de traitement des risques ;
– Déployer les mesures de sécurité ;
– Former et sensibiliser les personnels ;
– Détecter les incidents en continu pour réagir rapidement.
• Phase Check : mesurer les résultats issus des actions mises en œuvre
– Audits internes de conformité et d’efficacité du SMSI (ponctuels et
planifiés) ;
– Réexaminer l’adéquation de la politique SSI avec son environnement ;
– Suivre l'efficacité des mesures et la conformité du système ;
– Suivre les risques résiduels.
• Phase Act :
– Planifier et suivre les actions correctrices et préventives.
74

Avantages
• Description détaillée de la mise en œuvre des objectifs et des mesures de
sécurité ;
• Audits réguliers qui permettent le suivi entre les risques initialement
identifiés, les mesures prises et les risques nouveaux ou mis à jour. Objectif :
mesurer l’efficacité des mesures prises ;
• Sécurité : une amélioration continue de la sécurité : donc un niveau croissant
de sécurité et de maturité en SSI ;
• Meilleure maîtrise des différents risques ;
• Élimination des mesures de sécurité non usitées ;
• Amélioration de la confiance des associés, partenaires & clients ;
• Référentiel international qui facilite les échanges ;
• Indicateurs clairs et fiables produisant des éléments de pilotage financier
pour les dirigeants.
75
d. Code de bonnes pratiques pour le management de la sécurité de
l’information (27002) Organisationnel
Politique de sécurité de
l’information
• La norme ISO/IEC 27002:2013
Organisation de la sécurité de
constitue un code de bonnes l’information
pratiques. Elle est composée de
114 mesures de sécurité réparties
en 14 chapitres couvrant les
Sécurité liée aux
domaines organisationnels et Gestion des actifs
ressources humaines
techniques ci-contre.
Conformité
• C’est en adressant l’ensemble de Gestion de la continuité de
ces domaines que l’on peut avoir l’activité
Relations avec les
une approche globale de la fournisseurs
sécurité des S.I. Contrôle d'accès
Acquisition, dévpt. et maint.
des SI
Gestion de incidents liés à la
sécurité de l’information Sécurité des
communications
Cryptographie Sécurité
opérationnelle
Sécurité physique et environnementale

Opérationnel
76
d. Code de bonnes pratiques pour le management de la sécurité de
l’information (27002)
• Exemples de mesures sur le chapitre « Contrôle d’accès » :
– L’accès aux fichiers/répertoires doit être restreint conformément aux
politiques de contrôle d’accès :
• Seuls les professeurs autorisés doivent pouvoir accéder à un répertoire
contenant les épreuves des futurs examens/concours.
– Les propriétaires de l’information doivent vérifier les droits d’accès à
intervalles réguliers :
• Le responsable des concours doit contrôler les droits d’accès au répertoire
contenant les épreuves des futurs examens/concours pour s’assurer qu’il n’y a
pas d’étudiants qui auraient été rajoutés.
• Exemple de mesures sur le chapitre « Sécurité opérationnelle » :

– L’installation et la configuration de logiciels doivent être encadrés :
• Seuls les administrateurs doivent pouvoir installés un logiciel sur un poste.
– Des sauvegardes doivent êtres régulièrement effectuées et testées :
• Un espace de sauvegarde des données peut être mis à disposition des
utilisateurs.
77
e. Gestion des risques (27005)

La norme 27005 présente une démarche :
• Établissement du contexte de l’analyse des risques ;
• Définition de l’appréciation des risques SSI ;
• Choix pour le traitement du risque SSI ;
• Acceptation du risque ;
• Communication et concertation relative aux risques SSI ;
• Surveillance et revue du risque en SSI.
Avantages
• Définit une démarche rationnelle qui a donné lieu à des méthodes qui fonctionnent ;
• Grande souplesse : utilisée en toutes circonstances, surtout lors des changements ;
• Pragmatique et utilisable seule, elle peut aussi bien convenir aux petites organisations.
Limites
• L'organisation doit définir sa propre approche ;
• Méthodes nécessitant souvent de la formation et non adaptables à toutes les situations ;
• Dépendance vis-à-vis de la cartographie du SI : profondeur, étendue etc. ;
• Tendance à l'exhaustivité ;
• Accumulation de mesures techniques sans cohérence d'ensemble.
78
f. Classification des informations
• La classification selon la confidentialité des informations aide à

définir des mesures de protection appropriées pour chaque type
d’information.
Intitulé Explication Exemple Risque
C1 Accès libre Tout le monde peut y accéder Informations publiées sur le site Aucun
internet
C2 Accès à Seul le personnel de l’organisation est Nom, adresse des partenaires Atteinte à l’image,
l’organisation autorisé à accéder à l’information et fournisseurs de l’organisation gêne passagère
C3 Diffusion Au sein de l’organisation, seul un Plan technique d’un nouveau Situation à risques
limitée groupe de personnes est autorisé laboratoire ; Listes der ; pertes financières
comme les membres du même projet personnes admissibles avant acceptables
publication officielle…
C4 Confidentiel L’information est accessible à une Contenu des brevets déposés ; Pertes financières
liste très restreinte d’utilisateurs à Recherche en cours ; N° de inacceptables,
titre individuel sécurité sociale et noms… poursuites
judiciaires
79
f. Classification des informations
• Sur la base des niveaux de confidentialité définis, les mesures

suivantes peuvent être implémentées :
– Une politique de gestion des informations est définie :
• Création d’un modèle de document indiquant le niveau de confidentialité ;
• Sensibilisation du personnel et des partenaires à cette politique.
– Les informations de niveau « Confidentiel » doivent être :

• envoyées par mail de manière chiffrée et le mot de passe communiqué par
SMS aux destinataires ;
• stockées localement dans des conteneurs chiffrés.
– Les informations de niveau « Diffusion limitée » doivent être

échangées au travers au travers d’un système documentaire collaboratif
ayant des accès nominatifs contrôlés, par exemple MS SharePoint.
80
g. Gestion des ressources humaines
• Avant embauche :
– Sélection des candidats et interviews ;
– Vérification du CV (contacter les anciens employeurs, vérifier les diplômes,
certifications…) du candidat ;
– En fonction de la sensibilité du poste, un extrait de casier judiciaire peut être
demandé.
• Pendant l’embauche :
– Fourniture des accès logiques (création de comptes utilisateurs, accès aux
répertoires nécessaires…) et physiques (badges) adaptés à la fonction ;
– Sensibilisation aux politiques et procédures internes de l’organisation ;
– Sensibilisation régulière à la sécurité adaptée aux fonctions ;
– Processus disciplinaire en cas de non respect.
• Au terme du contrat de travail :

– Retrait des accès et restitution du matériel fourni (badge, ordinateur, …).
81
Conclusion
• Une politique de sécurité doit être adaptée à l'organisme et à ses

évolutions ;
• la sécurité ne s'improvise pas et nécessite des professionnels ;
• les normes sont une aide pour mettre en œuvre une démarche
d'amélioration continue de la sécurité ;
• les normes par nature ne délivrent pas un niveau de sécurité ;
• les normes ne prennent pas en compte toute la sécurité des
systèmes d'information.
82
7. Intégrer la sécurité dans les projets
1. Préambule
2. Sécurité dans l’ensemble du cycle de vie d’un projet
3. Sécurité prise en compte en fin de développement
4. Approche par l’analyse et le traitement du risque
5. Plan d’action SSI
83
a. Préambule
• Il s’agit de bien distinguer :

– la sécurité du système d’information qui est un des objets du projet ;
– et la sécurité du projet en lui-même (diffusion et traitement des
informations).
• Concernant la sécurité du SI en lui-même :

– toute activité étant gérée en mode projet, une bonne intégration de la sécurité
dans l’organisation nécessite l’intégration de la sécurité dans chaque projet dans
le respect de la réglementation ;
– isoler les traitements de données sensibles au sein de projet pour avoir une
meilleure maîtrise des risques et des mesures de sécurité à mettre en œuvre
pour réduire ces risques.
84
a. Préambule
• La sécurité doit être prise en compte dans toutes les étapes d’un projet :
– Application de la démarche d’amélioration continue ;
– Respect des impératifs et des contraintes notamment juridiques et réglementaires ;
– Responsabilisation des acteurs, documentations, gestion du temps.
85
b. Exemple d’intégration de la sécurité dans le cycle de vie d’un projet
• Perception d’un • Formalisation de • Développement • Déploiement dans • Libération des

besoin besoins fonctionnels logiciel ou matériel l’environnement de
Phases
ressources
• Expression des • Étude de marché • Construction de production • Fin du projet
besoins • Étude de faisabilité prototype • Test de performance
• Création d’un projet • Analyse de coût • Tests utilisateurs • Maintien en Condition
• Planification • Documentation Opérationnelle
• Identification des • Exploitation
entrée/sortie
Étude / Implémentation / Exploitation /

Conception Fin de vie
Initialisation Prototype / Test Maintenance
• Analyse de risques • Analyse de risques • Développement • Maintien en condition de • Archivage des

amont • Proposition de • Prise en compte des sécurité informations
• Consultation des mesures de sécurité bonnes pratiques • Gestion des incidents • Effacement sécurisé
équipes sécurité • Identification des • Top 10 OWASP • Analyse Forensique • Réversibilité
Sécurité
risques résiduels • Validation sécurité • Sauvegarde • Mise au rebut

• Expressions de besoins • Contrôle des • Supervision de sécurité • Obsolescence des
de sécurité mesures de sécurité • Veille de sécurité configurations
• Estimation de coûts • Audit (technique,
opérationnel)
• Tests d’intrusion
• Résilience
86
c. Sécurité prise en compte en fin de développement

• Exemple d’un projet de développement de site Web :
– L’audit de sécurité fait le constat que :
• Les versions de composants logiciels utilisés sont obsolètes et vulnérables ;
• La base de données n’a pas été correctement isolée, et les tables ont été
créées à l’intérieur d’une autre base de données à accès public ;
• La politique de gestion de mots de passe n’est pas conforme aux bonnes
pratiques : création de mots de passe faibles ; stockage de mots de passe en
clair…
• Le niveau de disponibilité attendu pour ce site ne peut être assurer avec
l’infrastructure existante.
– Conséquences :
• Besoin de rachats de licences logicielles : coût supplémentaire ;
• Recréation de la base de données sur un espace dédié correctement protégé ;
• Redéveloppement des modules de gestion des mots de passe : coût
supplémentaire ;
• Modification de l’infrastructure pour assurer le niveau de disponibilité requis.
Délai, coût et effort supplémentaires…
87
c. Sécurité prise en compte en fin de déploiement

• Exemple d’un projet de construction d’une nouvelle salle devant hébergée les
serveurs de l’organisation :
– L’audit de sécurité fait le constat que :
• Les baies de stockage des serveurs ne se ferment pas à clé ;
• Pas de mécanisme de contrôle d’accès (lecteur de badge) prévu tracer les accès ;
• Pas de redondance (alimentation, accès de télécommunications) des
équipements ;
• Aucune alarme anti-intrusion ou incendie n’est prévue ;
• L’arrivée de câbles dans la salle est exposée à des actes de malveillances ;
• La salle est construite en zone inondable.
– Conséquences :
• Rachat de matériel et d’équipements => coût supplémentaire ;
• Re-câblage de la salle, et travaux de génie civil à prévoir ;
• Relocation de la salle ou reconstruction => coût supplémentaire très importante.
Reconstruction de la salle ou relocation de la salle, délai et coût

supplémentaires…
88
d. L’approche par l’analyse et le traitement du risque
• L’analyse de risques doit être effectuée en amont du projet mais doit aussi
évoluer au fur et à mesure de l’exploitation du système (analyse de risque
dynamique dans la supervision du système (SOC)) et fonction de l’évolution
des risques (évolution des vulnérabilités, des menaces, du système
d'information).
• L’analyse de risque consiste à :

• identifier les biens à protéger,
• analyser de la fréquence et la gravité du danger pour évaluer la criticité du risque,
• établir une hiérarchisation des risques : fréquence vs gravité,
• établir un seuil d’acceptabilité pour chacun de ces risques,
• seuil au-delà duquel le risque doit être pris en compte par les mesures de
sécurité.
• identifier des mesures de sécurité.
• Les mesures ainsi identifiées peuvent constituer un cahier de charges

sécurité pour le projet qui soit réalisé en interne ou externalisé.
89
Une démarche d’analyse de risque peut être schématisée ci-dessous :
Identifier les biens à protéger Risque 1

Risque 2
Niveau de risque
Gravité
Risque 3
Seuil de prise en
Menaces
compte du risque
Probabilité Risque 4
d’occurrence
Risque 5
La hiérarchisation des risques permet de déterminer les risques qui :

• doivent absolument être traités et donc réduits par des mesures ;
• ceux qui sont acceptables et avec lesquels le système peut exister.
90
• Pour les risques dont le niveau est supérieur au seuil de prise en compte :
– Définir les objectifs de sécurité ;
– Définir les mesures techniques et organisationnelles qui vont permettre d’atteindre
ces objectifs.
• Pour les risques dont le niveau est inférieur au seuil de prise en compte :
– un risque résiduel est le risque subsistant après le traitement de risque (car – par
exemple – le coût pour compenser ce risque est trop élevé par rapport au risque
encouru).
Définition objectifs Contre-mesure(s)
Plan d’actions de SSI
Risque 1 sécurité technique(s) que l’entreprise va
devoir mettre en œuvre
Niveau de risque

Risque 2 sécurité technique(s) pour protéger son S.I.
Risque 3 sécurité organisationnelle(s)
Risque 4
Risque 5
91
Une analyse de risque peut être assez complexe et nécessite rigueur

et méthode, il faut notamment trouver le bon niveau abstraction.
Voici 3 exemples de méthodes d’analyses de risque compatibles avec
les lignes directrices de l’ISO 27005 :
• EBIOS : Expression des Besoins et Identification des Objectifs de

Sécurité
développée par le Club EBIOS auquel participe l’ANSSI, l’Agence nationale de
la sécurité des systèmes d’information
• MEHARI : MEthode Harmonisée d'Analyse de Risques
développée par le CLUSIF, Club de la Sécurité de l’Information Français
• OCTAVE : Operationally Critical Threat, Asset, and Vulnerability
Evaluation
développée par l’Université de Carnegie Mellon.
92
e. Plan d’actions SSI
Le défi vis-à-vis de la mise en place des mesures de sécurité est

asymétrique entre « attaquer » et « défendre » :
• L’attaque peut réussir par l’exploitation d’une seule vulnérabilité ;
• Tandis que la défense doit prendre en compte l’ensemble du système.
Un plan d’action des mesures de sécurité à mettre en place à l’issue

de l’analyse de risques devrait respecter le principe de « défense en
profondeur » qui recommande :
• d’avoir plusieurs lignes de défenses indépendantes ;
• que chaque ligne constitue une barrière autonome contre les attaques ;
• que la perte d’une ligne de défense implique qu’on passe à un niveau de
défense plus fort.
Les objectifs de la défense en profondeur sont :

– prévenir, bloquer, limiter, détecter, alerter, réagir, réparer.
93
e. Plan d’actions SSI
Politique de sécurité, procédure de secours, Politique,

sensibilisation… procédures
Gardiens, verrous, contrôle d’accès…

Sécurité physique
DMZ
Pare-feu, VPN, Zone démilitarisée…
Réseau
Interne
Sous-réseau, NIDS, VLAN…
Machine
Antivirus, Correctifs de sécurité, HIDS, Authentification
Contrôle des entrées, test d’intrusion, Application

communication (https, ssh…), traçabilité…
Donnée
Chiffrement, mots de passe, droit d’accès par fichier/répertoire
94
Conclusion
• La sécurité des systèmes d'information : un élément indispensable

d'un projet ;
• une sécurité globale et cohérente, et non une accumulation de
mesures et de produits de sécurité ;
• une politique de sécurité réaliste et pragmatique ;
• un élément clé : la connaissance du système d'information
(cartographie) et de son niveau de sécurité (contrôle, audit) ;
• une difficulté et une nécessité : le maintien en condition de sécurité
du système d'information ;
• un accroissement des besoins de sécurité : besoin en compétences
et en professionnels.
95
8. Difficultés liées à la prise en
compte de la sécurité
1. Compréhension insuffisante des enjeux
2. Implication nécessaire de la direction
3. Difficulté pour faire des choix en toute confiance
4. Délicat arbitrage entre commodité et sécurité
5. Suivre l’évolution des technologies
6. Frontières floues entre sphères professionnelle, publique, et privée
96
8. Difficultés liées à la prise en compte de la
sécurité
a. Une compréhension insuffisante des enjeux…
…liée à un problème d’éducation

• L’information a une valeur importante pour l’entreprise, pour les
concurrents, pour les États. On parle aujourd’hui de « guerre de
l’information ».
– Chaque année des centaines de compagnies en France sont victimes
d’espionnage industriel ou économique :
• Écoute des conversations ;
• Espionnage des écrans d’ordinateurs ;
• Social engineering, etc.
– Des actes aisés dans les transports : train, avion, etc.
Les voyageurs aux USA perdent environs

12 000 pc portables chaque semaine*
*source : Ponemon Institute
97
8. Difficultés liées à la prise en compte de la sécurité
a. Une compréhension insuffisante des enjeux
…liée à un problème de formation

• Des dirigeants qui n’ont pas tous une culture sécurité ;
• Des évolutions vers le poste de « RSSI », sans formation
complémentaire adéquate :
– personnel issu de la technique : administrateur réseau, système…
– personnel issu de la qualité : responsable qualité… ;
• Un coût lié à la sécurité qui rebute en période de crise :
– Authentification forte : achats de jetons/carte à puce ;
– Plan de secours : acheter en double certains équipements ;
– Personnel : former aux bonnes pratiques en sécurité…
98
a. Une compréhension insuffisante des enjeux…
…entrainant de nombreux risques pour l’entreprise ou pour

l’organisation
• Perte d’informations essentielles ;
• Arrêt de la production ;
• Détérioration de l’image/réputation ;
• Risques juridiques/réglementaires…
…entrainant de nombreux risques pour les États

• Indisponibilité de services ;
• Perte de crédibilité ;
• Divulgation d’informations sensibles ;
• Risques de conflits avec d’autres États…
99
b. L’implication nécessaire de la direction
Rien ne peut se faire sans l’aval de l’exécutif.
Le chef d’entreprise doit être conscient des enjeux de sécurité pour l’avenir
de son entreprise :
• Être proactif plutôt que réactif. La PSSI est une réflexion stratégique :
Elle permet de prévoir l’avenir de l’organisation ;
• Prendre le temps de comprendre, ne pas être absorbé que par ses

marchés, ses clients, ses concurrents, son relationnel ;
• La sécurité :
– va au-delà de la technique. L’humain joue un rôle central ;
– ne doit pas rester un domaine d’experts. La sécurité est l’affaire de tous
et une préoccupation de tous les responsables ;
– n’est pas seulement une contrainte coûteuse mais elle est aussi un
investissement, un atout supplémentaire pour l’organisation.
100
b. L’implication nécessaire de la direction
Investir dans la sécurité ne suffit pas. Il faut être conscient des enjeux vis-
à-vis de l’organisation. La dynamique sécurité viendra de la direction.
• Le dirigeant doit montrer l’exemple d’abord en y accordant un intérêt :

charismatique, il est le premier à sensibiliser les personnes
concernées ;
• Motiver son RSSI ou ses administrateurs pour faire appliquer la
politique de sécurité de l’organisation et maîtriser leurs systèmes le
mieux possible ;
• Responsabiliser : en désignant un responsable de la coordination, qui
distribuera les tâches au sein des équipes ;
• Réagir en cas d’attaque avérée : mettre des ressources à disposition,
permettre l’expertise juridique et porter plainte ;
• Impliquer ses personnels, les sensibiliser et leur permettre de suivre
des formations.
101
8. Difficultés liées à la prise en compte de la
sécurité
c. Difficulté pour faire des choix en toute confiance
Il est important de faire des choix éclairés en prenant en compte la

sécurité.
Le Gouvernement Chinois a adopté une

nouvelle régulation exigeant aux entreprises qui
vendent des ordinateurs aux banques chinoises
de fournir le code source et de se soumettre à
des audits.
102
c. Difficulté pour faire des choix en toute confiance
Quels sont aujourd’hui les matériels ou logiciels de

confiance ?
• Ceux issus de l’industrie nationale vs ceux de nos partenaires de
confiance : alliés, fournisseurs ;
• Ceux issus du monde libre (« open source ») ;
• Les matériels qualifiés par l’ANSSI.
Quels sont les organismes de confiance ?

• Les entreprises nationales ou européennes (mais qui sont les
actionnaires ) ;
• Nos partenaires de longue date ;
• Les autorités gouvernementales ;
• Les prestataires de service qualifiés par l’ANSSI.
103
d. Le délicat équilibre entre productivité et sécurité : contexte
• Authentification requise pour chaque application dans l’entreprise

– Problème pour l’utilisateur : « J’ai besoin de travailler chaque jour avec 5
applications et je dois à chaque fois y saisir un mot de passe différent ».
– Réaction pour l’utilisateur : « Je note certains mots de passe sur papier ».
• Utiliser une application de chiffrement pour partager les fichiers chiffrés
avec des partenaires
– Problème pour l’utilisateur : l’interface de Crypt&Share n’est pas
ergonomique.
– Réaction de l’utilisateur : « Je vais utiliser Box ou DropBox pour partager les
informations avec mes partenaires ».
• Les informations classifiées au niveau 4 (niveau de sensibilité le plus
élevé) ne doivent pas sortir du S.I.
– Problème pour l’utilisateur : J’ai besoin de l’avis d’un prestataire extérieur
sur certaines informations de niveau 4.
– Réaction de l’utilisateur : Déclassification des informations de manière à ne
jamais avoir de niveau 4 mais uniquement des niveaux 3 ou 2.
104
d. Le délicat équilibre entre productivité et sécurité
• Les usages fondent les pratiques… entre ce qui est acceptable à

l'utilisateur, ce qui est nécessaire au bon fonctionnement de
l'organisme et ses besoins de sécurité.
D’où l’importance :
• De la pédagogie : expliquer à quoi servent les procédures, leurs
bienfondés, leur intérêt pour l’organisation ;
• De l’implication des dirigeants : qui viendront renforcer ces convictions ;
• De la prise en compte des remarques et éventuelles oppositions des
utilisateurs : ergonomie, pratique, simplicité de mise en œuvre etc. ;
• La mise en place d’une charte informatique signée et connue de tous ;
• De régulièrement rappeler les règles : changer les mots de passe,
rejouer les procédures, créer une check-list etc. ;
• De sensibiliser en évoquant les incidents réels qui se produisent et
peuvent se produire dans l’organisation.
105
d. Le délicat équilibre entre productivité et sécurité
• Écouter les utilisateurs et prendre en compte leurs besoins lors de l’étude de

solutions de sécurité :
– Proposer des mesures en concertation et avec l’adhésion des utilisateurs concernés
autant que possible ;
– Former les utilisateurs pour les aider à prendre en main les nouveaux outils et à
bien appliquer les mesures.
• Tester les procédures, dans le but d’évaluer son efficacité (applicabilité,

réalisation des objectifs, risques encourues) :
– Éviter de multiplier les moyens de protection si ceux-ci ne sont pas respectés ;
– il faut parfois investir moins dans la sécurité mais avoir des procédures efficaces.
• Confier la responsabilité de la sécurité à un collaborateur qui a le pouvoir

ou les ressources pour la faire appliquer.
• Choisir les solutions les plus adaptées à sa propre structure, à son

fonctionnement, au niveau de maturité l’entreprise.
106
e. Suivre l’évolution des technologies : le Cloud
• Les technologies Cloud se popularisent de plus en plus au sein des entreprises.

Les raisons évoquées sont diverses et peuvent être :
– Réduction des coûts
– Meilleure accessibilité
– gestion confiée à un tiers
• Mais les mesures de sécurité et réglementaires constituent toutefois des
« freins ».
• Le SaaS (Software as a Service) est l’usage du Cloud le plus rencontré en
entreprise :
– SaaS est la fourniture d’applications sous forme de service à la carte. L’application est
installée dans le Cloud (Datacenter) et l’utilisateur paye une licence d’utilisation.
• Les utilisateurs finaux souscrivent aujourd’hui à des services SaaS sans l’aval
de la direction informatique et en dépit des règles de sécurité. Ils accèdent au
SaaS à travers divers terminaux souvent non contrôlés par l’entreprise. On parle
alors de « Shadow IT » :
– Dans une entreprise du CAC, le DSI estimait à près de 100 le nombre total
d’applications. Un audit de découverte du Cloud à révéler près de 2500 usages SaaS.
107
Le recours à des services type Cloud pose de nouvelles problématiques que

l’entreprise se doit de résoudre, notamment :
• Le choix d’un fournisseur
– Est-ce que le fournisseur dispose de certification relatives à l’hébergement (Exemple :
SAS 70 II)?
– Est-ce que le fournisseur est agréé par une autorité nationale?
• Le stockage
– A qui appartiennent légalement les données lorsqu’elles sont hébergées ?
– Quelles sont les mesures de protection des données stockées?
– Les systèmes sont-ils mutualisés avec d’autres clients ou nous sont-ils dédiés ?
– Qui doit fournir les clés cryptographiques ?
– Comment les données sont-elles sauvegardées, redondées ?
• Le transport des données
– Qui fournit l’infrastructure de transport?
– quels sont les mécanismes de sécurité en place?
• Fin de contrat : réversibilité
– Que deviennent les données lorsque le contrat expire ? Comment sont-elles
restituées au client, supprimées du Cloud et qu’advient-il des données sauvegardées
sur bande ?
108
• Les guides suivants peuvent être utiles pour choisir un fournisseur SAAS :
– Guide Contractuel SAAS : http://www.syntec-numerique.fr/content/publication-du-guide-
contractuel-saas
– Recommandations CNIL pour la souscription au SAAS :
http://www.cnil.fr/linstitution/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-
pour-les-entreprises-qui-utilisent-ces-nouveaux-services/
– Guide de l’ANSSI : « Sécurité de l’externalisation » :
http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/externalisation/
• Les Cloud Access Security Brokers (CASB) ou les Cloud Security Gateway
(CSG) sont des composants logiciels ou matériels qui se situent entre les
utilisateurs et le fournisseur SaaS et permettent :
– de protéger les données des utilisateurs de l’entreprise de manière à ce que
l’éditeur SaaS ne puisse les lire ;
– de gérer les accès et de l’authentification unique (SSO) ;
– de conserver les données en local via de la tokenisation ou de les chiffrer avant
de les envoyer vers le fournisseurs SaaS…
109
• Le Cloud pourrait à terme rendre les autres moyens de sauvegarde

désuets :
– sauvegarder une copie de son S.I. au sein du Cloud permettra à
l’organisation de redémarrer une activité saine à tout moment en cas
d’incident ;
– A partir d’une sauvegarde, un espace de travail peut être accessible de
n’importe quel endroit du monde pour tous ceux qui y sont autorisés.
• La fédération d’identité est un usage du Cloud qui peut permettre aux

entreprises de mieux gérer les identités de ses utilisateurs et de :
– centraliser les comptes utilisateurs ;
– d’octroyer et de retirer facilement les droits d’accès sur plusieurs
applications en interne ou en externe ;
– tracer les utilisateurs et leurs actions…
110
e. Suivre l’évolution des technologies : le Big Data
• « Big Data » recouvre l’exploitation des données massives impossibles à

manipuler avec les outils classiques comme les bases de données.
– Le « Big Data » comme outil de sécurité :
• Modélisation des comportements et détection des anomalies sur la base de corrélation
des données issues du trafic réseau ;
• Détection possible des attaques persistantes avancées (APT) ;
• Meilleure efficacité des outils tels que des SIEM, IDS, ou IPS ;
• Surveillance du trafic réseau pour identifier des botnets.
– Le « Big Data » représente un enjeu pour la sécurité des S.I. :
• La source de données doit être fiable, et intègre (comme dans toute collecte
d’information) ;
• L’anonymisation des données manipulées représente une véritable difficulté compte
tenu de leur volume important ;
• La localisation des données car le « big data » est souvent exploité dans le « cloud » et
les réglementations applicables ;
• La protection de données exploitées est importante et le chiffrement peut être difficile à
assurer. Un vol de données aura une ampleur beaucoup plus importante.
111
f. Des frontières floues entre sphères professionnelle, publique, et privée
Quel est le périmètre de confiance?
• Internet est un réseau mondial ouvert ; dans un monde concurrentiel, il est

naturel qu’il soit source de menaces ;
• Les réseaux d’entreprises sont des réseaux internes, généralement protégés de

façon périmétrique, mais peu protégés en interne…
• Les multinationales possèdent souvent de grands réseaux ouverts à des

exploitants, des services de télémaintenance et des sous-traitants qui ont des
d’accès conséquents sur ces réseaux, et qui possèdent eux-mêmes leurs
propres informations ;
• De plus, de nombreux « nouveaux » appareils sont utilisés (smartphones,

tablettes etc.) faiblement sécurisés et connectés directement à Internet (Wifi,
3G/4G, etc.) sans passer par les dispositifs de sécurité de l’entreprise ;
• Les données personnelles peuvent ainsi être présentes sur le réseau

d’entreprise.
112
BYOD - Focus sur le smartphone personnel (ou la tablette personnelle) :

– Il nous accompagne au travail, lors de nos déplacements ;
– On le connecte à notre PC de bureau pour le recharger en USB ;
– Il remplace souvent notre téléphone professionnel, peut-être moins
performant ou restreint en terme de fonctionnalités ;
– Pour des raisons de facilité, on y configure notre messagerie
professionnelle, nos contacts, notre emploi du temps… autant
d’informations qui peuvent potentiellement être sensibles pour l’entreprise.
• La frontière entre nos informations privées et nos informations

professionnelles devient donc très floue ;
• Dès que les informations sont stockées sur un smartphone personnel,

l’entreprise en perd la maitrise (l’équipement ne lui appartient pas, elle
ne peut pas imposer ses règles…).
113
Raconter, partager sa vie privée sur l’Internet c’est y être pour la

postérité…
• Nos données nous échappent dès l’instant où nous les publions : Dans le
meilleur des cas, on pourra effacer notre propre publication, mais on ne
pourra pas effacer les multiples copies que l’on ne contrôle pas (droit à
l’oubli illusoire par manque de maîtrise de l’information) ;
• C’est permettre à tout inconnu, d’entrer dans notre sphère privée ; la

restriction des accès aux « amis » n’est qu’illusoire dans l’absolu ;
• c’est permettre aux Ressources Humaines de filtrer notre CV ; et déterminer

le profil privé du candidat correspondant au profil professionnel recherché ;
• à nos collègues et supérieurs d’interpréter nos propos…
114
Partager les problèmes que l’on rencontre au travail : personnels,

techniques, relationnels ; consulter des sites personnels au travail…
• c’est peut-être mettre en danger son organisation : en offrant à un pirate ou

un concurrent des informations précieuses (version d’un logiciel, faille de
sécurité, fournisseurs, secrets commerciaux, informations RH…) ;
• transgresser la déontologie du travail, ou la charte de confidentialité ;
• potentiellement s’exposer à des sanctions en interne qui peuvent aller

jusqu’au pénal.
115
Conclusion
• Évolution des modes, des besoins, des technologies, des

habitudes ;
• au-delà des nouveautés, toujours le même problème : la non-prise
en compte de la sécurité (développement, implémentation,
exploitation, formation) ;
• un périmètre d'attaque et d'accident plus étendu mais peu nouveau ;
• une prise en compte permanente des enjeux et de la sécurité par
tous (hygiène informatique) et par le chef d'entreprise ;
• un accroissement des besoins de sécurité : besoin en compétences
et en professionnels.
116
9. Règlement Général
sur la Protection des Données
(RGPD)
1. Qu’est-ce que le RGPD ?

2. Les grands principes
3. Démarche de conformité
117
Qu’est ce que le RGPD ?
Le RGPD, officiellement nommé Règlement (UE) 2016/679, est un

texte réglementaire publié par le Parlement européen et le Conseil
le 27 avril 2016.
Il vise à protéger les personnes physiques, résidant dans l’Union
européenne, à l'égard du traitement de leurs données à caractère
personnel et garantir la libre circulation de ces données.
Tout le monde est concerné. Toutes les entreprises, collectivités,
associations, etc., quelle que soit leur taille, ont l’obligation de se
mettre en conformité au RGPD.
Le RGPD s’applique depuis le 25 mai 2018 dans tous les États
membres de l’Union européenne.
Définitions essentielles
Données à caractère personnel : toute information se rapportant à une

personne physique identifiée ou identifiable, directement ou indirectement.
Identification directe ou indirecte par :
• Un nom, un numéro d'identification, des données de localisation, un
identifiant en ligne…
• Un ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou sociale.
Traitement : toute opération ou tout ensemble d'opérations effectuées ou

non à l'aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel.
Exemples de traitement :
• Collecte, enregistrement, organisation, structuration, conservation,
adaptation ou modification, extraction, consultation, utilisation…
• Communication par transmission, diffusion ou toute autre forme de mise
à disposition, rapprochement ou interconnexion, limitation, effacement
ou destruction.
Fichier : tout ensemble structuré de données à caractère personnel

accessibles selon des critères déterminés, que cet ensemble soit
centralisé, décentralisé ou réparti de manière fonctionnelle ou
géographique.
Responsable du traitement : la personne physique ou morale, l'autorité
publique, le service ou un autre organisme qui, seul ou conjointement avec
d'autres, détermine les finalités et les moyens du traitement.
Sous traitant : la personne physique ou morale, l'autorité publique, le
service ou un autre organisme qui traite des données à caractère personnel
pour le compte du responsable du traitement.
Pourquoi le RGPD ?
Depuis une décennie :

• Explosion du nombre de plateformes digitales, app mobiles, objets
connectés, etc. et des applications de big data, profilage, retargeting,
analyse comportementale, personnalisation, achat automatisé, etc.
• Qui, à outrance pour la plupart, collectent, traitent, stockent,
partagent, transmettent des données personnelles.
L’Union européenne se devait de réformer profondément le droit pour faire
face aux exploitations abusives.
Avec le règlement général sur la protection des données (RGPD),
l’Europe s'est dotée d’un arsenal moderne de défense de la vie privée.
Objectifs de la RGPD ?
• Large extension des droits des personnes physiques à maîtriser et

reprendre le contrôle de leurs données personnelles.
• Responsabilisation totale des acteurs privés et publics quant aux
traitements de données personnelles.
• Renforcement des pouvoirs de l’autorité de contrôle de chaque État
membre (la CNIL en France).
• Harmonisation des politiques et des pratiques de traitement des données
personnelles au sein de l’Europe.
• Collaboration accrue entre les autorités de contrôle des États membres
de l’Union européenne.
Règlements, directives, lois
Concepts novateurs
Le RGPD introduit trois grandes nouveautés impliquant un important

changement culturel dans la protection au quotidien des données à
caractère personnel :
• Accountability (« rendre des comptes ») : logique de
responsabilisation reposant sur l’auto contrôle des mesures prises
pour garantir la conformité des traitements de données et la prouver.
• Privacy by Design : prise en compte de la protection de la vie privée

dès la conception d’un service ou d’un produit.
• Privacy by Default (étroitement lié au Privacy by Design) : principe

de protection des données au plus haut niveau possible par défaut.
De profonds changements
De profonds changements
Le délégué à la protection des données
Désignation Rôle
 Obligatoire pour une collectivité  Informer et de conseiller le responsable de
territoriale quel que soit la nature traitement ou le sous-traitant, ainsi que leurs
du traitement (article 37.1 du RGPD) employés ;
 Contrôler le respect du règlement et du droit
national en matière de protection des
Compétences données ;
 Conseiller l’organisme sur la réalisation
 Niveau d’expertise adapté à la sensibilité, la d’études d'impact sur la protection des
complexité et le volume des données données et d’en vérifier l’exécution ;
 Connaissance du secteur d’activité et de  Coopérer avec l’autorité de contrôle et être le
l’organisation du responsable de traitement ou point de contact de celle-ci.
du sous-traitant
 Compréhension suffisante des opérations de
traitement, des systèmes d’information et des Missions
besoins de l’organisme en termes de sécurité  S’informer sur le contenu des nouvelles
et de protection des données obligations ;
 Solide connaissance des règles et des  Sensibiliser les décideurs sur l’impact de ces
procédures administratives nouvelles règles ;
 Capacité à accomplir ses missions = qualités  Réaliser l’inventaire des traitements de
personnelles (intégrité, étique professionnelle), données de l’organisme ;
connaissances et bon positionnement au sein  Concevoir des actions de sensibilisation ;
de l’organisme  Piloter la conformité en continu
Quelle différence entre CIL et délégué ?
Correspondant Informatique et Liberté Délégué à la protection des données
 Désignation facultative  Désignation obligatoire
 Personne physique ou morale

 Exigences précisées sur ses qualifications (qualités
 Bénéficie des qualités requises pour exercer ses professionnelles, connaissances spécialisées du droit
missions (art. 22 III. LIL) et des pratiques en matière de protection des
données) et formation continue
 Absence de conflit d’intérêts
 Externe si moins de 50 personnes ont accès aux
 Interne ou externe
données
 Coordonnées dans la mention d’information
 Mission de conseil, d’information et de sensibilisation

 Veille au respect des obligations en matière de protection des données
 Point de contact des personnes concernées et de l’autorité de contrôle
 Mission de conseil en matière d’analyse d’impact et
de vérification de son exécution
 Consulté préalablement à la mise en œuvre de  Associé, d’une manière appropriée et en temps utile,
nouveaux traitements (art. 49 décret 2005) à toute question sur la protection des données
 Statut d’indépendance / pas de sanction du fait de l’accomplissement de ses missions

 Pas de responsabilité en cas de non-conformité
Mise en conformité : Règlement européen : se préparer en 6
étapes
• Avant 2018, nommer le correspondant informatique et

1 - Désigner un liberté (CIL)
pilote • En 2018, nommer le délégué à la protection des données
2 - Cartographier
• Recenser les traitements de données personnelles (Registre)
les traitements
• Compléter les informations liées aux nouvelles exigences du
de données RGPD
personnelles
3 - Prioriser les • Au regard des risques que font peser les traitements sur les
libertés des personnes concernées (types de données
actions à mener sensibles, sous-traitance, données transférées, …)
Règlement européen : se préparer en 6 étapes
• Mener une étude d’impact (PIA) sur la protection des

4 - Gérer les données (pour les données susceptibles d’engendrer des
risques risques élevés)
• Prendre en compte la protection des données personnelles dès la

conception
5 - Organiser les • Sensibiliser et organiser la remontée d’information
processus • Traiter les réclamations et les demandes des personnes concernées
• Anticiper la violation des droits
• Sur les traitements de données personnelles (registre, études

d’impact, des transferts de données hors UE)
6 - Documenter • L’information des personnes (mentions légales recueil de
la conformité consentement, procédures pour l’exercice des droits)
• Adapter les contrats qui définissent les rôles et responsabilités des
acteurs
Les chantiers à mener avec la DSI et les métiers
Actualisation du registre (informations liées aux nouvelles exigences du RGPD)
Mise en œuvre des analyses d’impacts (données personnelles sensibles)
Plan de communication RGPD : sensibilisation, réseau de référents (RIL)
Relations avec les éditeurs et hébergeurs (clauses dans les marchés et contrats)
Actualiser la Charte informatique
Cartographie des applications
Politique de sécurité du système d’information (PSSI)
Gouvernance des données
Processus d’information des personnes concernées
Processus de réponse aux demandes des personnes concernées
Processus de mobilisation en cas de contrôle de la CNIL

10. La responsabilité du DSI
133
Missions et responsabilités du DSI
Le DSI doit veiller à … et la sécurité des … en bonne intelligence

assurer le fonctionnement réseaux et du système … avec la direction…
normal …
En cas de mauvaise protection des Si le DSI entre en conflit avec la

bases de données personnelles de direction au sujet des solutions
l'entreprise, la responsabilité du tiers informatiques à adopter, il pourra être
Le licenciement est légitime lorsque le qui y a eu accès ne pourra pas être licencié pour cause réelle et sérieuse,
DSI n'est pas parvenu, après plusieurs retenue (CA Paris, 30 oct. 2002, Kitetoa c/Tati) en cas d'attitudes « totalement
années et plus d'un million de francs, négatives et persistantes » ayant des
Dès lors, c'est la responsabilité du DSI conséquences graves pour la société
à rendre utilisable le système
qui pourra être engagée pour (CA Paris, 27 nov. 1990)
informatique de l'entreprise (CA Lyon, 18
mars 1998)
manquement à l'obligation de
protection des données personnelles Le DSI qui commet une infraction,
(art. 226-17 C. pén.) fut-ce sous l'ordre de la direction,
 5 ans d'emprisonnement, demeure responsable de son acte
300.000 euros d'amende. (Cass. plen. 14 décembre 2001)
Renforcement de la responsabilité du DSI en
cas de délégation de pouvoir
Pourquoi une délégation de Une délégation de pouvoir

pouvoir ? en bonne et due forme
- existence d'un document daté (ex : contrat de travail)

- La délégation de pouvoir permet au dirigeant d’entreprise
de transférer à l'un de ses salariés : - acceptation expresse de la délégation
limitation de la délégation aux fonctions du DSI
 une partie de ses fonctions
- délégation à un salarié
 les responsabilités afférentes à ces fonctions (la délégation à un tiers n'est pas valable)
- choix d'une personne compétente,
- La responsabilité ainsi endossée par le DSI protège pourvue des moyens nécessaires à son action
l'entreprise en cas de condamnation et responsabilise le DSI.
 La compétence est appréciée par les juges en
Ex : l’entrave au fonctionnement d'un STAD et fonction : - des diplômes
l’introduction de données pirates est punie de - de l'ancienneté
3 ans d’emprisonnement et 45.000€ - de l'expérience
d'amende (art. 323-2 C. pén.)  Si le dirigeant ne dote pas le délégué de moyens
nécessaires, la délégation est privée d'effet (Cass.
Crim. 17 juillet 1990)
Attention : Le chef d'entreprise reste responsable, lorsqu’il - prend personnellement part à l'infraction
- s'immisce dans les affaires du délégué
DSI, responsabilité civile et responsabilité
pénale
Responsabilité civile Responsabilité pénale
Responsabilité
Responsabilité  Pour les fautes commises personnellement
 Pour les fautes commises personnellement  Pour les fautes commises par un préposé, si le DSI
bénéficie d’une délégation de pouvoir
 Pour les fautes commises par un préposé, si le DSI
bénéficie d’une délégation de pouvoir  Complicité par fourniture de moyens (sanctions
pénales identiques à celles de l’auteur - art. 121-7 C. pén.)
Fondements possibles : Fondements possibles :

- Manquement aux obligations définies au contrat de - Contrefaçon (2 ans d’emprisonnement et 150.000 € d'amende - art.
travail (notamment mesures disciplinaires, licenciement) 335-2 C.PI. )
- Responsabilité délictuelle du DSI (dommages et intérêts - - Diffamation (6 mois d’emprisonnement et 45.000 € d'amende - art. 32
art. 1382 du C. civ.) loi du 29 juillet 1881)
- Responsabilité du fait des préposés du DSI (dommages - Escroquerie (5 ans d’emprisonnement et 385.000 € d'amende - art.
313-1 C. pénal. )
et intérêts - art. 1384 al.5 du C. civ.)
- Atteinte à un “secret de fabrique “ : révélation de secret ou
savoir faire de l’entreprise (2 ans d’emprisonnement et 30.000 €
d'amende - art. 621-1 C.P.I. )
- Infractions à la loi informatique et libertés (5 ans
d’emprisonnement et 300.000 € d'amende - art. 226-16 ss C. pénal.)
- Intrusion non autorisée dans un système informatique (3 ans
d’emprisonnement et 45.000 € d'amende - art. 323-3 C. pénal.)
- Infractions à la loi relative à la conservation des données de
connexion aux fins de police (loi du 15 novembre 2001)
L’entreprise est responsable des infractions pénales commises par son salarié qui a utilisé le
matériel professionnel pour réaliser un site web en absence d’interdiction expresse
( CA Aix en Provence, 13 mars 2006 confirmant TGI Marseille, 11 juin 2003)
DSI, données personnelles et propriété
intellectuelle
Données personnelles Propriété intellectuelle
Dans le cadre de sa mission de surveillance des systèmes Le DSI devra veiller à ce que les réseaux dont il est en charge
d'information, le DSI peut-être amené à procéder au et les applications qui y sont installées soient en conformité
traitement automatisé des données personnelles des salariés avec le droit de la Propriété Intellectuelle.
de l'entreprise.
Ex : contrôle individuel des durées de connexions et des Si le DSI installe un logiciel sans licence (versions piratées) ou
sites visités. un logiciel sur un nombre de postes supérieur à ce que la
licence d'utilisation autorise, il se rend coupable de
Il doit en conséquence se mettre en conformité avec la loi contrefaçon (T. com. de Cusset, 12 avril 1996)
« Informatique et Libertés » du 6 janvier 1978, telle que
modifiée par la loi du 6 août 2004 : La contrefaçon est pénalement sanctionnée par 2 ans
d’emprisonnement et 150.000 € d'amende (art. 335-2 C. pénal).
 Déclaration à la CNIL du traitement automatisé des
données personnelles (art. 226-16 C. pén.) Il doit également veiller à informer les salariés de l’interdiction
(CA Lyon, 25 février 2004) de procéder au téléchargement de tout fichier en infraction au
 Durée de conservation de ces données limitée droit d’auteur.
(une durée de 6 mois est recommandée par la CNIL)
 Information préalable du salarié de l’installation de tout
dispositif tendant à collecter des informations le
concernant personnellement (art. L.121-8 C.du travail).
Le contrôle du DSI
Limite : vie privée (« sphère résiduelle »)

Principe : contrôle informatique (« activité du
personnel, sécurité et bon fonctionnement du SI ») « Le salarié a droit, même au lieu et au temps de travail, au respect de sa vie
privée […], l'employeur ne peut dès lors, sans violation de cette liberté
fondamentale prendre connaissance des messages personnels émis par le
salarié et reçu par lui […] » (Cass. 2 oct. 2001, "Nikon")
Le DSI peut contrôler l'activité des salariés et le contenu des courriers L’envoi et la réception de messages personnels depuis le poste de travail «
électroniques : dans les proportions raisonnables, correspond à un usage généralement et
« Les administrateurs […] sont conduits par leurs fonctions même à avoir socialement admis » (Rapport CNIL, 5 février 2002)
accès à l'ensemble des informations relatives aux utilisateurs (messagerie, « La consultation et l’animation de sites pornographiques au moyen de
connexion internet…) » (Rapport CNIL, 5 février 2002) l’ordinateur mis à disposition par l’employeur ne rentre pas dans le cadre de
« Il est dans la fonction des administrateurs de réseaux d'assurer le l’intimité de la vie privée » (Cass. Crim. 19 mai 2004)
fonctionnement normal de ceux-ci ainsi que leur sécurité, ce qui entraîne, « Sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers
entre autre, qu'ils aient accès aux messageries et à leur contenu […] » identifiés par le salarié comme personnels contenus sur le disque dur de
(CA Paris, 17 déc. 2002, "ESPCI") l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci
dûment appelé. » (Cass. Soc. 17 mai 2005 “Cathnet-Science“)
« Les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis
à sa disposition par son employeur pour l’exécution de son travail sont « Les messages envoyés et reçus par un salarié sur une adresse
présumés, sauf si le salarié les identifie comme étant personnels, avoir un électronique générique de l’entreprise dans le cadre de son travail,
caractère professionnel, de sorte que l’employeur peut y avoir accès hors sa consultables sur son seul poste, ont le caractère de messages personnels
présence » (Cass. Soc. 18 octobre 2006 « Techni-Soft ») soumis au secret des correspondances. Dès lors, l’employeur ne peut pas en
prendre connaissance, quand bien même il aurait interdit l’utilisation
« la préoccupation de la sécurité du réseau justifiait que les administrateurs personnelle de l’ordinateur » (CA Bordeaux, 4 juillet 2003)
(puissent) (…) prendre les mesures que cette sécurité imposait, (...) par
contre, la divulgation du contenu des messages ne relevait pas de ses «les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à
objectifs » (CA Paris 17 décembre 2001) sa disposition par son employeur pour l’exécution de son travail sont
présumés, sauf si le salarié les identifie comme étant personnels, avoir un
caractère professionnel de sorte que l’employeur peut y avoir accès hors sa
présence » (Cass. soc. 18 octobre 2006)
Conditions :
Proportionnalité des moyens Formalités CNIL
Transparence utilisés
En cas de traitement automatisé
Information et consultation préalable du CE ou Les moyens utilisés par le DSI de données personnelles par
des délégués du personnel sur la mise en doivent rester proportionnés au l’administrateur, ce dernier doit:
œuvre du dispositif de surveillance (art. L.432- but du contrôle (art. L.120-2 C.
2-1 du Code du travail) travail) - déclarer ce traitement à la CNIL
Exemple : - dûment informer les salariés de
Information préalable des salariés sur l’existence de ce traitement
l’existence de ce dispositif (art. L.121-8 du Le contrôle systématique du
Code du travail) par mention dans : contenu de chaque message
- le contrat de travail, ou peut s’avérer disproportionné.
- la charte informatique, ou
- le règlement intérieur
Contrôle externe du courrier électronique des
salariés
L’employeur ou le DSI peuvent, sans porter atteinte aux libertés fondamentales des salariés, contrôler :
Le nombre de messages émis et reçus L'origine et le destinataire de ces Le volume et le type de fichiers
par le salarié (flux) messages attachés à ces messages
Ce premier niveau de contrôle peut, à lui seul, aboutir au licenciement pour faute grave du salarié.
Ex : Licenciement d'un salarié dont la fréquence et le nombre de messages, identifiés comme personnels grâce à leur
titre, étaient nettement disproportionnés par rapport à ce qu'il pouvait être dans les boîtes électroniques de ses
collègues de travail ayant les mêmes fonctions (CA Rennes, 4 juillet 2000).
N.B. : Un e-mail envoyé ou reçu depuis le poste de travail est présumé être à caractère professionnel sauf indication
manifeste dans l’objet du message ou dans le nom du répertoire où le message est archivé (Rapport CNIL, 5 février
2002).
« Les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur
pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un
caractère professionnel, de sorte que l’employeur peut y avoir accès hors sa présence » (Cass. Soc. 18 octobre
2006 « Techni-Soft »)
N.B. : L’employeur ou le DSI peuvent également utiliser un « mailsweeper » , logiciel qui, sans révéler le contenu du
message, en analyse le contenu pour en diagnostiquer la dangerosité pour l'entreprise.
Contrôle du contenu du courrier électronique des
salariés
Contrôle par le DSI Contrôle par l'employeur

(Rapport CNIL, 5 déc. 2002)
Anomalie révélée par le contrôle externe

Dans le cadre de sa mission, le DSI peut être
amené à prendre connaissance du contenu +
des messages des salariés Infraction suspectée susceptible
d'être prouvée par le contenu du message
=
Volonté légitime de l'employeur de connaître le
Mais, soumis à un « secret professionnel »,
contenu du message
il ne peut divulguer ce contenu à l'employeur sans
contrevenir aux dispositions du Code pénal
relatives au secret des correspondances
(Cass. 2 oct. 2001, "Nikon")
message professionnel message personnel
Contrôle possible
Contrôle possible dans
uniquement sur requête
le respect du principe
auprès du tribunal
du contradictoire
compétent
La preuve est loyale (art. 9 NCPC., CA Bordeaux, 10 juin 2002, TGI Paris, 4
mars 2003)
N.B. Les même conditions s’appliquent pour toute autre moyen de
preuve (ex : saisie du disque dur)
Contrôles de connexion
La CNIL considère qu’un dispositif de surveillance globale et a posteriori des données de connexion, ou encore un contrôle
statistique des sites les plus visités, devrait suffire à répondre à l’impératif de proportionnalité, sans qu’il soit nécessaire de
procéder à un contrôle nominatif individualisé des sites accédés.
Un tel dispositif de contrôle non-individualisé doit faire l’objet d’une information des salariés faire l’objet d’une consultation du
comité d’entreprise.
Un dispositif de contrôle individualisé doit en revanche faire l’objet d’une déclaration à la CNIL et devra donc être justifié par
une finalité spécifique, et par la proportionnalité de la mesure. Les données de connexion doivent être conservées pendant un
temps raisonnable au regard de la finalité poursuivie.
« Le salarié a droit, même en temps et au lieu de travail, à une part irréductible de vie personnelle et privée qui doit être respectée ; sauf
interdiction ou restriction expresse de son employeur, le salarié peut donc se connecter, par le biais de l’ordinateur mis à sa
disposition, sur le réseau Internet à titre non professionnel, tout comme il peut passer un coup de téléphone, faire une photocopie ou
converser avec un collègue à titre personnel ; pour déclarer Jean-François X... coupable des faits reprochés, l’usage par lui de son
ordinateur professionnel pour consulter ou animer certains sites pornographiques, dont la consultation n’est pas en elle-même illicite, ne
rentrait pas dans le cadre de l’intimité de sa vie privée au respect de laquelle il avait droit, la cour d’appel a violé les textes susvisés »
(Cass. crim. 19 mai 2004)
La « sphère privée » est ici relativisée au regard des impératifs de sécurité et de fonctionnement du système, mais le contrôle doit
toujours répondre à l’impératif de proportionnalité aux finalités poursuivies.
141
141
Contrôle d’accès et vidéosurveillance
Contrôle d’accès Vidéosurveillance

Il répond à l’impératif de sécurité, mais constitue aussi un mode de
surveillance des salariés, en ce qu’il établit une trace des
mouvements des salariés (accès physique, badges) et/ou de leurs
horaires de connexion (identifiant / mots de passe) au SI. Elle répond à l’impératif de sécurité, mais constitue un TAD et doit
faire l’objet d’une déclaration CNIL
- Les conditions d’accès et de circulation doivent alors être indiquées au
Règlement Intérieur
- L’article L.122-39 du Code du travail permet également d’en informer Le dispositif doit respecter le principe de proportionnalité,
les salariés par des notes de service. (surveillance adéquate, pertinente, non-excessive et strictement
nécessaire au but poursuivi).
- L’article L.424-3 du Code du travail dispose que les représentant du
personnel ne peuvent se voir opposés les limitations de circulation Le dispositif fait l’objet d’une autorisation préfectorale (Loi no 95-73
au sein de l’entreprise. du 21 janvier 1995) et d’une déclaration auprès de la CNIL
Le contrôle d’accès au poste du salarié est inopposable à Assimilation des locaux professionnels n’accueillant pas le public au
l’employeur : « lieu privé » : article 226-1 Code pénal punit d’un an
d’emprisonnement et de 45.000 € d’amende le fait de fixer,
« attendu, cependant, que si le salarié n’est pas tenu de poursuivre une enregistrer ou transmettre, sans le consentement de celle-ci, l’image
collaboration avec l’employeur durant la suspension de l’exécution du contrat d’une personne se trouvant dans un lieu privé.
de travail provoqué par la maladie ou l’accident, l’obligation de loyauté
subsiste durant cette période et le salarié n’est pas dispensé de
communiquer à l’employeur, qui en fait la demande, les informations qui sont -- Respect de la vie privée (position et nombre des caméras)
détenues par lui et qui sont nécessaires à la poursuite de l’activité de -- Information préalable des salariés
l’entreprise ; d’où il suit qu’en statuant comme elle l’a fait, sans rechercher si
l’employeur avait effectivement la possibilité, sans recourir à la salariée, -- Consultation préalable des représentant du personnel
d’avoir communication du mot de passe informatique et si de ce fait, comme -- Durée de conservation des images limitée
le soutenait l’employeur en demandant la confirmation du jugement, la
-- Destinataires des images identifiés et limités
salariée n’a pas eu une volonté de bloquer le fonctionnement de l’entreprise,
la Cour d’appel a violé les textes susvisés. » (Cass. Soc. 18 mars 2003)
La biométrie, en ce qu’elle collecte des données à caractère personnel, doit « en statuant ainsi, alors qu'elle avait constaté que le système de vidéo
nécessairement faire l’objet d’une déclaration à la CNIL + impératif de surveillance de la clientèle mis en place par l'employeur était également
proportionnalité aux finalités poursuivies très fort) utilisé par celui-ci pour contrôler ses salariés sans information et consultation
préalables du comité d'entreprise, en sorte que les enregistrements du
« l’empreinte digitale constitue une donnée biométrique morphologique qui salarié constituaient un moyen de preuve illicite, la cour d'appel a violé le
permet d’identifier les traits physiques spécifiques qui sont uniques et texte susvisé ». (Cass. Soc. 7 juin 2006)
permanents pour chaque individu » et « son utilisation porte ainsi atteinte
aux libertés individuelles » , un système biométrique utilisé pour la gestion
de l’activité des salariés n’est « ni adaptée ni proportionnée » (TGI Paris, 19
avril 2005)
142
142
Le Correspondant Informatique & Libertés
 Innovation issue de la modification de la loi du 6 janvier 1978 (2004), art. 22-III), aux fins de gestion des problématiques I&L au sein
de l’entreprise
 Désignation : elle reste facultative mais permet d’alléger les obligations déclaratives de l’entreprise vis-à-vis de la CNIL, sauf
lorsqu'un transfert de données à caractère personnel à destination d'un état non-membre de la Communauté européenne est envisagé (L.
no 78-17, 6 janv. 1978, art. 22-III).
 Missions :
- tenir la liste des traitements automatisés et veiller à l’actualité de son contenu (finalités, responsables, description des données
collectées ou traitées, destinataires, conservation)
- répondre aux demandes émanant des personnes concernées (droit d’accès, de rectification, d’opposition…)
- accomplir une mission de médiation et d’alerte dans l’utilisation du système d’information, en cas de contestation, ou de
détection d’une non-conformité à la loi Informatique & Libertés.
 Information :
Elle doit être précédée de l’information des représentants du personnel par LRAR, et notifiée à la CNIL par LRAR selon un formulaire
spécifique. La désignation du CIL prend effet un mois après cette notification à la CNIL. La même procédure est observée en cas de
changement de CIL, qui prend alors effet 8 jours après la notification de modification.
143
143
Charte informatique : les clauses à prévoir
Thèmes Clauses
Introduction Contexte, enjeux pour la société, objectifs de la charte informatique

Les personnes concernées Toute personne intervenant dans l’entreprise (salariés, prestataires…)
Téléphone, autocommutateurs téléphoniques, télécopie, minitel, télex, visioconférence, caméras de
Les équipements concernés surveillance
Les réseaux informatiques Droit d'accès, mot de passe, modem, utilisation d'Internet, messagerie, respect du droit d'auteur,
signature électronique, fichier de journalisation; modération dans l’utilisation privative des outils
Les logiciels Installation, téléchargement, respect de la propriété intellectuelle, anti-virus, anti-spam, firewall
Règles générales, disquettes et autres supports de données, configuration du poste, mobilité du matériel
Les matériels informatiques informatique, responsabilité
La sécurité et la déontologie Analyse et contrôle de l'utilisation des ressources, respect de la confidentialité des informations,
informatique protection des données personnelles, protection des fichiers, règles générales de sécurité, respect de la
personne
Les règles particulières pour certaines Institutions représentatives du personnel, informaticiens et personnel du service informatique
catégories de salariés
Sanctions Sanctions disciplinaires, licenciement
Publicité, entrée en vigueur et Dépôt et date d'entrée en vigueur, modifications

modification de la charte
Charte informatique - quelle information ?
 Relativement à internet, la charte devrait préciser
- l’impératif de modération, préférable à une interdiction absolue et de principe faite aux salariés de naviguer sur le Web (peu réaliste selon la
CNIL)
- l’existence de solutions du filtrage de certains sites (pornographiques, racistes, révisionnistes, pédophiles, de jeu, de convivialité…)
- les modalités du contrôle, qui peut être global (temps de connexion ou sites les plus visités à l’échelle de l’entreprise) ou individualisé (sous
réserve de proportionnalité et de déclaration CNIL), les salariés devant en tout état de cause en être informés
 Relativement à l'utilisation à titre personnel de la messagerie
- l’impératif de modération, préférable à une interdiction absolue qui resterait sans effet compte tenu de la jurisprudence
- l’éventualité d’un contrôle des mails reçus et envoyés, mais seulement contrôle externe (secret des correspondances et vie privée)
- s'agissant des messages « entrants », toute indication portée dans l'objet du message et conférant indubitablement à ce dernier un caractère
privé
 Relativement aux règles de sécurité
- lorsqu'un pare-feu est mis en place, la signification des informations enregistrées et leur durée de conservation
- lorsqu'une copie de sauvegarde des messages est effectuée, la durée pendant laquelle les messages sont conservés sur la copie de
sauvegarde
- l'interdiction faite aux salariés de disposer d'une messagerie personnelle sur un serveur de messagerie gratuite (qui peut constituer une mesure
de sécurité légitime compte tenu des risques (contamination de virus, intrusion, etc.)
- l'interdiction faite aux salariés de laisser leur mail professionnel dans des forums de discussion ou d’y participer
- les systèmes de journalisation des connexions destinés à sécuriser l'accès à des fichiers informatiques, et tout particulièrement à ceux qui
comportent des données à caractère personnel.
 Les administrateurs de systèmes habilités à avoir accès aux données de connexion doivent être identifiés
145
145
La Charte informatique -
quelle opposabilité aux salariés ?
Opposabilité de la charte aux salariés =

Salariés contrevenant aux interdictions
engagent leur responsabilité
Pour rendre la charte opposable aux salariés,

il convient de l'insérer dans :
- le contrat de travail, ou
- Le manquement du salarié à ces
- prendre la forme d’une note de service, interdictions pourra être constaté sans
ou contrôle du contenu de ses messages
- intégrer le règlement intérieur de - Intérêt : simplicité de la constitution de la
l'entreprise (art. L. 122-34 Code du travail) preuve
(obligatoire si la charte comporte des
obligations de faire ou des interdictions ou
prévoit des sanctions disciplinaires)
Exception : si l’interdiction prévue dans la charte est contraire à la loi ou sanctionnée

par la jurisprudence
Ex : si la charte informatique comporte l'interdiction d'utiliser sa messagerie électronique à des fins privées, le
salarié qui fera un usage raisonnable de sa messagerie, et notamment à des fins privées, n'engagera pas sa
responsabilité (Cass., 2 oct. 2001)
Cybersurveillance – Principes directeurs
 Le droit positif autorise l'employeur à mettre en place des systèmes de surveillance et de contrôle des
salariés dans l'entreprise
- - lien de subordination inhérent au contrat de travail
- - contrôle de l’activité du personnel
- - contrôle de la confidentialité des biens de l’entreprise
- - contrôle de la sécurité
- - exécution de bonne foi de ses missions par le salarié
 Si le droit de surveillance de l'employeur est reconnu, il est alors borné par des limites
- respect d’une sphère de vie privée irréductible bien que résiduelle
 Exigence de transparence
- - le dispositif de contrôle doit faire l'objet d'une information des salariés, d'une consultation du comité d'entreprise (Art. L.432-2-1 Code du
travail), et le cas échéant d'une déclaration à la CNIL (dans les cas de contrôle des connexions portant sur les sites visités et les
messages envoyés, dans les cas d’écoutes téléphoniques ou de vidéosurveillance des postes de travail, et tout dispositif relevant les
données relatives aux salariés de façon individuelle.
- - à défaut l’employeur s’expose à une peine d’emprisonnement de 5 ans et à une amende de 300 000 €)
 Exigence de proportionnalité
- - le contrôle doit être justifié par un intérêt légitime qui s’exprime dans la finalité poursuivie, pertinent, non-excessif
 Si ces exigences ne sont pas respectées, l'employeur s'expose :
- à des sanctions pénales (délits d'entrave au comité d'entreprise, d'atteinte à la vie privée, de non-déclaration à la Cnil, etc.) ;
- à un risque civil (dommages et intérêts), si un préjudice a été subi ;
- au risque, au cas où une sanction a été prise par l'employeur sur la base d'agissements fautifs du salarié établis par le dispositif de
surveillance, que la preuve soit considérée comme illicite devant les juridictions civiles et écartée des débats.
147
147
PCI-DSS
• Payment Card Industry
• Norme bancaire réclamée à partir d’un certain C.A. associé à Internet
• Gratuite.
• 135 pages
• 12 conditions à respecter
– La moitié en technique
– La moitié en organisationnel
• Actuellement en version 3.2
• N’est pas une assurance de sécurité, mais de démarche sécurité.
• N’empêche absolument pas de se faire pirater du sol au plafond.
148
148
Les organismes pour vous aider
De nombreux organismes ou associations fournissent d’excellents supports

pour améliorer sa sécurité
– l’OSSIR https://www.ossir.org
– le CLUSIF https://www.clusif.fr
– les CLUSIRs : émanations régionales du CLUSIF
– les CERTs dont le CERTA https://www.ssi.gouv.fr
– le SANS https://www.sans.org
– la NSA https://www.nsa.gov d’excellents documents
– techniques de sécurisation
– CAIDA https://www.caida.org
– l’OWASP https://www.owasp.org
– l’association Club 27001 https://www.club-27001.fr/
149
149
11. PCI DSS
150
Sommaire
• Pourquoi le standard PCI DSS?
• Les niveaux de conformité et de validation
• Les données de titulaire de carte
• Les considérations juridiques
• Exécution d’un audit PCI DSS
• Réduction des frais grâce à l’automatisation
151
Qu’est-ce que c’est la standard PCI DSS (Payment
Card Industry Data Security Standard)?
• Le standard PCI DSS de sécurité de données de l'industrie de

carte de paiement est un ensemble normes déterminées par
les principales institutions financières de cartes de paiement
notamment VISA et MasterCard dans le but de protéger les
données de cartes de crédit et de débit
• Jusqu'ici, ces conditions régissent tous les canaux de

paiement comprenant les ventes au détail, les ventes par
correspondance, les commandes par téléphone et l'e-
commerce
• Au départ c'était une norme séparée de sécurité de

l'information, cependant, elle est maintenant devenue un
standard global de sécurité
152
Pourquoi le standard PCI DDS est-il requis?
• Le vol et la fraude de données de détenteur de carte existent

depuis le milieu des années 80 et ceci a incité Visa d’établir le
premier programme de sécurité
• L’infraction de sécurité perpétrée chez TJX au cours de

laquelle au moins 45.6 millions de numéros de cartes de crédit
et de débit ont été volés par des intrus qui s’étaient introduits
au sein de son réseau souligne le besoin accru d’une plus
grande sécurité
• Selon InformationWeek, les intrus peuvent vendre des

données de cartes de crédit volées sur le marché noir à un prix
de USD 490$ pour une carte avec un numéro secret
d’identification personnel ( PIN)
153
PCI Data Security Standard v1.1 (1/3)
• Le standard PCI DSS impose 12 conditions de sécurité qui

peuvent être groupées dans trois domaines principaux :
– Collection et stockage de tous les enregistrements de
données de sorte qu'ils soient disponibles pour l'analyse
– Compte rendu de toutes les activités afin de pouvoir
prouver la conformité sur demande
– Surveillance et alertes par lesquelles les administrateurs
peuvent constamment surveiller l'accès et l'utilisation des
données et sont avertis immédiatement en cas de
problèmes
154
 Le cadre du standard PCI DSS consiste également de six catégories

suivantes :
Catégories du standard PCI DSS
Construire et maintenir une infrastructure sécurisée

Protéger les données de propriétaire de carte de paiement
Maintenir un programme de gestion des vulnérabilités
Implémenter des mesures strictes de contrôles d'accès
Surveiller et tester régulièrement les réseaux d'information
Maintenir une politique de sécurité d’information
Conditions du standard PCI DSS

1. Installez et entretenez une configuration de firewall pour protéger les données de détenteurs de cartes
2. N’utilisez pas de mots de passe fournis par des fournisseurs ou tout autre paramètre de sécurité par défaut
3. Protégez les données stockées
4. Cryptez la transmission des données de titulaire de carte et de toute information sensible à travers les réseaux publics
5. Utilisez et mettez à jour régulièrement les logiciels ou programmes antivirus
6. Développez et maintenez la sécurité de vos systèmes et de vos applications
7. Limitez l'accès aux seules données de titulaire de carte dont l'utilisateur a besoin ("business need-to-know'")
8. Assignez un identifiant unique à chaque personne ayant accès à l'ordinateur
9. Limitez l'accès physique aux données de titulaire de la carte de paiement
10. Traquez et surveillez tout accès aux ressources du réseau et aux données de titulaire de carte de paiement
11. Testez régulièrement les systèmes et les processus de sécurité
12. Maintenez une politique axée sur la sécurité de l'information pour vos employés et les entrepreneurs
Qu’est-ce que c’est « les données de titulaire
de carte »?
• Toute information d'une carte de crédit/débit utilisée dans une

transaction - pcianswers.com
– Eléments d'information de titulaire de carte

• Numéro de compte principal (PAN)
• Nom de titulaire de carte
1234
• Date d’échéance
– Données Sensibles d'Authentification

• Données de la piste magnétiques 123
• Code de validation de carte (CVC)

• Numéro d'identification personnelle (PIN)
157
Stockage de données de titulaire de carte
• Le standard PCI DSS protège les données de titulaire de carte
• ll est autorisé de stocker les détails suivants aussi longtemps

qu'ils sont chiffrés, hachés ou tronqués :
– Numéro de compte principal (PAN), Nom de titulaire de
carte, date d’échéance, Code de service
Déroulement d’une transaction typique
Internet

Payment Gateway

$ 0.00
Merchant Merchant’s Bank



Credit Card
1234 5678 9012 3456
DATE: 01/01 Credit
Card
John Doe
Customer
purchase


LaLe
banque
La
Un
négociant
passerelle
client
garante
emploie
soumet
de consulte
paiement
une
la transaction
carte
laeffectue
centrale
de crédit
de
lad’échange
carte
transaction
pour de
payer
crédit
de par
les
cartes
à
del'intermédiaire
crédit ‘Credit
marchandises
Card
d'une
la passerelle
Interchange’
connexion
achetéesde chez
paiement
sécurisée
pourunobtenir
négociant
versl’autorisation
la banque
garante
de la transaction
du négociant Credit Card Interchange
159
Qui doit se conformer au standard PCI DSS?
• A partir du 30 septembre 30, 2007 toutes les entreprises

manipulant les données de carte de paiement –
indépendamment de leur taille– doivent se conformer aux
standards stricts de sécurité fixés par les principales
institutions financières de carte de paiement
• Ceci s’applique à toutes les organisations où les données de

carte de paiement sont:
– Stockées
– Transmises
– Traitées
• Toutes les organisations décrites comme négociants ou

fournisseurs de services doivent se conformer
160
Les négociants
• Les organisations qui acceptent le paiement par carte de crédit
• Exemples de secteurs affectés

– Commerce en ligne (par exemple ebay.com)
– Vente au détail (par exemple Wal-Mart)
– Enseignement supérieur (par exemple les universités)
– Santé (par exemple les hôpitaux)
– Voyage et divertissement (par exemple les restaurants)
– Energie (par exemple les stations de carburants)
– Finance (par exemple les compagnies d’assurance)
161
Niveaux de conformité des négociants
NIVEAUX DE NEGOCIANTS
Niveau 1
 Les négociants dont des données de titulaire de carte ont été compromises
 Les négociants effectuant plus de six millions de transactions annuelles de

carte de paiement
Niveau 2
 Les négociants effectuant entre 1 et 6 millions de transactions annuelles de

cartes de paiement
Niveau 3
 Les négociants effectuant entre 20.000 et 1.000.000 de transactions

annuelles de cartes de paiement
Niveau 4
 Tous les autres négociants

Les fournisseurs de services
• Entités qui fournissent des services aux négociants
• Exemples de services
– Passerelles de paiement (par exemple PayPal)
– Services de traitement de paiements
– Fournisseurs de service d’e-commerce
– Fournisseurs de service de contrôle
– Agences de contrôle de solvabilité
– Entreprises de gestion d’enregistrements de secours
– Entreprises de destruction de documents
163
Niveaux de conformité des fournisseurs de
services
NIVEAUX DE FOURNISSEURS DE SERVICES
Niveau 1
 Tous les agents de traitement et toutes les passerelles de paiement
Niveau 2
 Tout fournisseur de services qui n’est pas de Niveau 1 avec plus de 1 million
de transactions de comptes de cartes de crédit par an
Niveau 3
 Tout fournisseur de services qui n’est pas du Niveau 1 avec moins de 1

million de transactions de comptes de cartes de crédit par an
Procédures de conformité au standard PCI DSS
Négociant Audit de sécurité sur Questionnaire Balayage de réseau

place exigé d’autocontrôle exigé exigé
Niveau 1 Annuellement Trimestriellement
Fournisseur de service
Par: Assesseur de sécurité Interne Vendeur de balayage

agréé agréé
Document : Rapport de conformité Questionnaire Compte rendu du
d’autocontrôle balayage
Données de titulaire de carte compromises
• « L’intrusion sur un ordinateur où la divulgation non autorisée,

la modification ou la destruction de données de titulaire de
carte est suspectée »
- PCI DSS glossary
– Plan de réponse à un incident
• Condition 12.9
– Pourquoi rapporter une compromission de données?

• Limiter les dégâts
– Canaux de rapportage d’incidents

• Équipe interne de réponse aux incidents
• Associations et banques garantes de carte de crédit
• Agences locales d’application de la loi
– Qui court le risque d’une compromission?

166
Conséquences
• Financières
– Peut mener à des amendes pouvant atteindre $500.000
USD et des coûts élevés des procès
• Réputation
– Un mauvais incident peut avoir un grand impact sur l’image
de marque d’un produit et d’une entreprise
– Implication d’agences d’application de la loi
• Opérationnelles
– Niveaux 2, 3 ou 4 + compromise = Niveau 1
– Pourrait mener à une perte éventuelle de privilèges de
traitement de données de carte
167
Préparation à la conformité au standard PCI DSS
• Familiarisez-vous avec les conditions du standard PCI DSS
• Identifiez toutes les données de titulaire de carte et enlevez les

données qui ne sont pas nécessaires
• Effectuez une analyse de sécurité
• Créez un plan d'action et au besoin, consultez des experts pour

obtenir un conseil
168
Frais de conformité au standard PCI DSS
Négociant Audit de sécurité sur Questionnaire Balayage de réseau

place exigé d’autocontrôle exigé exigé
Fournisseur de service
Par : Assesseur de sécurité Interne Vendeur de balayage

agréé agréé
Document : Rapport de conformité Questionnaire Compte rendu du
d’autocontrôle balayage
Merci de votre attention

Majeure2 Gouvernance de La Cybersecurite 1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Majeure2 Gouvernance de La Cybersecurite 1

Transféré par

Droits d'auteur :

Formats disponibles

Gouvernance de la

Cours 2022 : Amine TALEB

Module 1 : notions de base

1. Les enjeux de la sécurité des S.I.

2. Les besoins de sécurité

3. Notions de vulnérabilité, menace, attaque

4. Panorama de quelques menaces

5. Le droit des T.I.C. et l’organisation de la sécurité en

• Système d’Information (S.I.)

– Ensemble des ressources destinées à collecter, classifier, stocker,

– Mot clé : information, c’est le « nerf de la guerre » pour toutes les

Le S.I. doit permettre et faciliter la mission de l’organisation

site personne matériel réseau logiciel organisation

La sécurité du S.I. consiste donc à assurer

• La sécurité a pour objectif de réduire les risques pesant sur le

• La gestion de la sécurité au sein d’un système d’information n’a pas

– Elle contribue à la qualité de service que les utilisateurs sont en

– Elle garantit au personnel le niveau de protection qu’ils sont en droit

Impacts financiers Impacts sur l’image

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou

• Utilisation de ressources (puis revente ou mise à disposition en tant que

d. La nouvelle économie de la cybercriminalité

des groupes spécialisés dans le développement de programmes

des groupes en charge de l’exploitation et de la commercialisation de

un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des

4 des groupes en charge de la vente des données volées, et principalement

5 des intermédiaires financiers pour collecter l’argent qui s’appuient

d. La nouvelle économie de la cybercriminalité

• Quelques chiffres pour illustrer le marché de la cybercriminalité…

le prix moyen de commercialisation des numéros de

le tarif moyen de location pour 1 heure d’un botnet,

2.399 $ le prix de commercialisation du malware « Citadel »

e. Les impacts de la cybercriminalité sur la vie privée (quelques

e. Les impacts de la cybercriminalité sur les infrastructures critiques

• Infrastructures critiques = un ensemble d’organisations parmi les

• Ces organisations sont classées comme Opérateur d’Importance

g. Quelques exemples d’attaques

g. Quelques exemples d’attaques

Sony Pictures Entertainment

• GOP pour Guardian of Peace

La source de l’attaque reste à déterminer.

Vols de données en 2014

• L’année 2014 a été

• Infographie réalisée par

Quelques exemples d’attaques ciblant l’enseignement

Quelques exemples d’attaques ciblant l’enseignement

Rebond pour fraude externe

Quelques exemples d’attaques, ce qui pourrait arriver

Déploiement des smart grid

1. Introduction aux critères DIC

a. Introduction aux critères DIC

b. Besoin de sécurité : « Preuve »

• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment

• 1 critère complémentaire est souvent associé au D.I.C.

c. Différences entre sureté et sécurité

c. Différences entre sureté et sécurité

Sûreté : ensemble de mécanismes mis en

Sécurité : ensemble de mécanismes

Le périmètre de chacune des 2 notions

d. Exemple d’évaluation DICP

L’expression du besoin attendu peut-être d’origine :

Niveau de Disponibilité du bien Très fort