CYBERSECURITÉ

F o n d a m e n t a u x , s e n s i b i l i s a t i o n , e n j e u x

GO2MILKYWAY Training marc.demerle.int@groupe-gema.com

 Please do not record this presentation.
Today’s contents should be kept secret because they are too useful ✔
You’ll receive them into your mail box 😉

2
WELCOME
 HELLO,
LET ME INTRODUCE MYSELF…

ME

Rich and varied personal and professional

experiences

CURIOSITY TECHNOLOGY PEOPLE REAL LEARN

CREATIVE STRATEGY NETWORKING VIRTUAL SHARE

Linkedin
mдemerл€

4
 O U R M O T TO F O R TO D AY
“Our time is limited, so don't waste it living someone else's life. Don't be trapped by dogma - which
is living with the results of other people's thinking. Don't let the noise of others' opinions drown out
your own inner voice. And most important, have the courage to follow your heart and intuition.”
Steve Jobs
« Vous connaîtrez la vérité, et la vérité vous rendra libres. »
Jesus (Bible)
« Impalpable et immatériel, l’expert ne laisse pas de trace ; mystérieux comme une divinité, il est
inaudible. C’est ainsi qu’il met l’ennemi à sa merci. »
Sun Tzu
5
 • La transformation numérique
• Les sources du cyberespace
Pour • L’approche sécuritaire
commencer • D’ARPNET à INTERNET
• Un espace aux dimensions infinies
• Quelques chiffres, un marché énorme, infographies, aujourd’hui
• Le Cyberespace

• Le piratage de cryptoactifs
Introduction • La cybersécurité

SESSION
• Les bonnes habitudes
• Une opportunité

• Aux origines, le logos…, le numérique…, le cyberespace un modèle multicouches

#1
• Définitions de base
Enjeux autour • Des enjeux stratégiques
• Des risques stratégiques: cygne noir, data centers, câbles sous-marins
de la sécurité • Enjeux - la sécurité SI, les impacts potentiels
C y b e r s é c u r i t é •
•
L’intérêt des attaquants, économie 2.0 virtuelle, un jackpot virtuel bien réel et en croissance
Les impacts sur les individus, les entreprises, les infrastructures
• Les besoins de sécurité, de preuve
• Critères DICP – synthèse

• Stratégie Nationale, quelques dates

Aspects • Organisation en France, de l’ANSSI, domaines de compétences
juridiques et • Le droit numérique, FOCUS : Règlement Général sur la Protection des Données
• Définition : qu’est-ce qu’une donnée à caractère personnel ?
organisationnels • Catégories particulières de données : principe d’interdiction
• Définition : qu’est-ce qu’un traitement de donnée à caractère personnel ?
• Champ d’application matériel, territorial
• Les acteurs de la protection des données
• Synthèse pratique, sécurité, politique de protection des DCP

6
SESSION
#1a Examen

D e v o i r d e
g r o u p e

7
 • L’Histoire
Attaques • De nos jours
informatiques • Choix stratégique de la France
• Notions de base : vulnérabilité, menace, attaque

• Le numérique est partout

• Quelles sont les propriétés du cyberespace ?
Panorama des • Les attaques indifférenciées
➢ Déni de Service Distribué, Botnets, Les logiciels malveillants
menaces ➢ Les rançongiciels, Phishing, méthodologie, Cryptojacking, spam

numériques • Les attaques ciblées

SESSION
➢ Les modes opératoires, La menace d’initié
➢ Dégradations physique, dommages, vols et pertes
➢ Espionnage, vol d’identité, data breach, Attaques d’applications et sites Internet
➢ Les APT, La Cyber Kill Chain

#2
➢ CORONAVIRUS

La gestion des • Evolution du risque criminel

risques et les
C y b e r s é c u r i t é
• De la cybercriminalité au e-conflit ?
objectifs de
•
•
Le risque est partout…
Comment évaluer le risque ?
• Résultats évaluation du risque
sécurité • La norme ISO 2700x, ISO 27005
• Standards connus pour les SI
• La méthode EBIOS, la méthode MEHARI
• Comparatif EBIOS et MEHARI

• La SSI au sein de l’entreprise

La cybersécurité • La maturité SSI globale
au sein d’une • La PSSI au sein de l’entreprise, contenu de la PSSI
• Le RSSI, présence, les interlocuteurs
organisation • Organisation de la SSI : SOC, CSIRT, CERT
• Bilan de la SSI française en 2018

8
SESSION
#2a Examen

D e v o i r
i n d i v i d u e l

9
 Le Cybershow
• Quels rôle pour les acteurs ?
• Les cybercriminels, les utilisateurs, le pentesteur, le RSSI
• Quelle hiérarchie parmi les acteurs ?

Veiller à votre santé numérique

SESSION •
•
Appréhender le SI
Le réseau, les terminaux, les utilisateurs, le nomadisme et la sécurité physique

#3 Contrôler votre santé numérique

•
•
Surveiller et superviser le SI
Auditer et corriger

M a n a g e y o u r •
•
Incidents de sécurité
Gestion des incidents de sécurité

c y b e r d é f e n s e • Plan de secours, référent SSI

Sensibilisation et formation
• Sensibiliser les gens aux risques
E x p e r t i s e • Retour dans le passé, la valeur de vos informations
p r a t i q u e • Vous êtes un ambassadeur de la cybersécurité
• Sensibiliser de façon classique, par le jeu, au futur
• Pour démarrer une première campagne
• Les 3D de l’information, comment protéger ?

Situation présente et cas pratiques

• Chiffres et tendances des cybermenaces 2019
• La cyber-liste pour les séniors, pour les jeunes
• Surfer avec Tor, BLOKADA, récupérer les données
• Créer un conteneur sécurisé, services et Outils qui chiffrent

10
SESSION • Retour sur les devoirs écrits individuels

#3a
• Présentations orales

11
 La France face au cyberespace
• Les PME/PMI industrielles
• Bilan 2020 ANSSI

La réalité d’une cyberguerre

• Wargames 1983, les jeux de guerre ont évolué

SESSION •
•
•
The Digital Electronic Warfare System
Electronic Warfare Battle Management
La cyberguerre devient réalité, une cyberguerre politique ?

#4 Perspectives
• Le réseau d’espionnage Echelon
Un cyberespace • Les opérations psychologiques
• La technologie transforme
multidimensionnel • La suprématie numérique

Une cyberguerre mondiale

E x p e r t i s e • Le coté obscur
p r a t i q u e • De nouvelles menaces ?
• Une attaque numérique parfaite !
• Faits d’actualité

Conclusion
• La cyberguerre contre la pensée
• Discerner et s’orienter

12
SESSION • Retour sur les devoirs écrits de groupe

#4a
• Présentations orales

13
Pour commencer
La transformation numérique

L’imprimerie… La vapeur… L’électricité… Le nucléaire…

Une évolution ? Une révolution ? Une mutation ? Une étape supplémentaire ?

15
La transformation numérique
Une métamorphose !
Les sources du cyberespace

Les
« visionnaires »

Les Les
« libertaires » « sécuritaires »

17
 Les Les
« libertaires » « sécuritaires »

Sécurité et liberté
Quelles libertés sommes-nous prêts à sacrifier pour être mieux protégés ?
L’approche sécuritaire

La sécurité par la supériorité technologique

Création, le 7 février 1958, par Dwight D. Eisenhower de

l ' A R PA ( A d v a n c e d R e s e a r c h P r o j e c t A g e n c y ) a u s e i n d u
Department of Defence (DoD): ne plus jamais être en
situation d’infériorité technologique face à l’ennemi.

Aujourd’hui DARPA (D= Defence)

19
D’ARPNET à INTERNET

ARPANET La métamorphose INTERNET

• Advanced Research Projects Agency • 1983 : MILNET (militaire) et ARPA- Et maintenant…
Network INTERNET (universitaire), Internet = mise • Le cloud computing (informatique dans les
• Réseau dédié au monde universitaire et en œuvre du protocole TCP/IP nuages)
non militaire • 1992 : Al Gore, futur vice-président des • L’intelligence artificielle
• Le premier réseau, le premier message USA, crée l’expression « les autoroutes de • La technologie Blockchain (dispositif
« login » l’information » d’enregistrement électronique partagé)

20
Un espace aux dimensions infinies

Perception - 1 Perception - 2 Perception - 3

La vue humaine La vue mathématique « non-perceptible » La vue réelle

Infiniment rapide

Infiniment grand

Infiniment petit

21
La dimension
numérique en
quelques
chiffres
- Des géants financiers
- Puissance du premier état
digital en 2019
 Un marché
énorme pour les
géants de
l’Internet
et…aussi pour
les pirates
⚔
Infographie DOMO
Data every minute
P é r i o d e 2 0 1 0 - 2 0 11
Data Never Sleeps 1.0
Chaque minute de chaque jour, des charges de données
sont générées. Combien, demandez-vous ?
Beaucoup de choses se passent en une minute :
• Les utilisateurs de YouTube téléchargent 48 heures de nouvelles
vidéos
• Les utilisateurs d'Instagram partagent 3 600 nouvelles photos
• Les marques et organisations sur Facebook reçoivent 34 722 "likes"
• Plus de 100 000 tweets sont envoyés

24
Infographie DOMO
Data every minute
Année 2020
Data Never Sleeps 8.0
Dans un monde de plus en plus numérique, intensifié par l'épidémie de COVID-
19, 2020 a introduit une nouvelle ère où la technologie et les données ont pris
une place plus importante dans notre vie quotidienne. Alors que nous
apprenons à nous adapter à cette nouvelle ère, les données ne dorment
jamais.
Les données sont constamment générées par les clics publicitaires, les
réactions sur les médias sociaux, les partages, les manèges, les transactions,
les contenus en streaming, et bien d'autres choses encore. Lorsqu'on les
examine, ces données peuvent vous aider à mieux comprendre un monde qui
évolue à une vitesse croissante.
Et les risques augmentent… les pirates eux aussi ne dorment jamais !

26
Aujourd’hui

1 GAFAM 4 Urbanisation
Ils ont le quasi monopole de la donnée Avec le Smart City, les villes deviennent intelligentes. Caméras,
mobilier connecté (lampadaires, poubelles) sont pilotés par un
ordinateur central

2 Consommation 5 Transports
Les grands enseignes de la distribution connaissent nos Conduite autonome, géolocalisation des marchandises, suivi du
habitudes de consommation temps de conduite, assistance à la conduite

3 Santé
Nombre de pas, rythme cardiaque, tension, calories… e-santé.
Nos données intéressent les assureurs afin de nous proposer des
tarifs optimisés
6 Surveillance
Grace aux méta données (informations qui disent tout d’une
communication; date, heure, durée, lieu… excepté le contenu),
les algorithmes décèlent le sens caché de nos comportements
(risque autour du profilage)

27
Bienvenue dans le Cyberespace
Cybersécurité : l’être humain reste le maillon faible

« L'homme et sa sécurité doivent constituer la première préoccupation de toute aventure

technologique. » Albert Einstein
28
Introduction
Pour comprendre…
Le piratage de cryptoactifs
C’est une discipline très à la
mode actuellement. Le grand
public fait face à un nouveau
monde numérique de type
VUCA, rempli de nouveaux
dangers dont l’impact a été
boosté par le COVID-19.
La cybersécurité Les bonnes habitudes Une opportunité
Les réseaux informatiques font Rançongiciel, hameçonnage, Jean-Baptiste est Pentesteur. Il
continuellement circuler des malware… Voici trois bons nous explique quelles sont les
informations. Pour une réflexes (non-exhaustifs) à grandes familles de métier dans
entreprise, comprendre le adopter pour préserver la la cybersécurité, comment y
danger, c’est bien. Parvenir à cybersécurité de vos données. faire carrière et quels sont les
l’anticiper et à le neutraliser, salaires dans ce domaine.
c’est encore mieux !
30
Le piratage de cryptoactifs

• Etes vous concernés, ou le serez vous demain ?

31
Le piratage de cryptoactifs
Nous sommes concernés :
• Interview CNBC du 24 aout 2021
• Découverte des cryptos il y a quelques années et ouverture d’un compte Coinbase (USA)
• Les américains doivent obligatoirement investir (marchés majoritairement) pour leur retraite
• Investissement familial de 45 k$, piraté a 168 k$ et il reste 587 $
• Le téléphone mobile personnel a été piraté, pas la plateforme et l’attaque est irréversible
• Support Coinbase uniquement par email, pas de hotline téléphonique, 1 mois sans accès
• Service support inadapté, pas de fonction ‘live chat’ et stratégie incohérente
• Coinbase se focus sur sa croissance : de 43+ à 68+ million d’utilisateurs (fin 2020 – juin 2021)
• Coinbase était centré sur ses résultats et son introduction en bourse (IPO) le 14/04/2021
• En octobre 2021, le problème continu : un autre couple s’est fait pirater 1 million de $
• Conclusion : communication et support désastreux, mais l’engouement du public pour les actifs
numériques est là… donc ca passe au second plan !
32
La cybersécurité

• Quelles conclusions peut-on en tirer ?

33
La cybersécurité

Les éléments à retenir :

• Réseaux informatiques = circulation d’information

• Besoin de maitriser et filtrer ces flux de données

• Les menaces pour l’entreprise évoluent

• Racket en tout genre

• 2 aspects: matériel, humain

• Axes de travail: comprendre, anticiper, neutraliser

34
Les bonnes habitudes

• Qu’avons-nous au menu ?

35
Les bonnes habitudes

Les éléments a savourer :

• Cyberdéfense = armée

• Organisation
➢ Préserver son anonymat ne pas utiliser le même mot de passe partout

• Courriels et pièces jointes

➢ Valider la provenance et le contenu

• Séparer les environnements professionnels et personnels

➢ Attention aux supports d’échange de données

36
Une opportunité

• La cybersécurité, un tremplin vers le monde professionnel ?

37
Une opportunité
Pour résumer :
• Le métier ‘Pentester’

• Une passion devenue un métier

• Les risques et menaces augmentent de manière exponentielle chaque année

• Déficit de compétences, de recrutements et un immense potentiel de postes à pourvoir

• Bataille entre les bons et les méchants

• Des acteurs qui vont des experts et aux managers

• Il faut aimer chercher et avoir un background technique transverse

• Les employeurs sont multiples et les possibilités d’évolution nombreuses

• Et ca paye bien…

38
 L'Ecole de
Guerre
Economique
publie la
cartographie des
métiers de la
cybersécurité
2020

Les zones bleues se

rapportent à des
familles de métiers
Cyber typés
management, alors que
celles en jaune sont
plus orientés
ingénierie et
technique.
 Découvrons
ensemble cet
univers… « Les peuples ne devraient pas avoir peur de leurs
gouvernements. Les gouvernements devraient avoir peur du
peuple. »

V Pour Vendetta - V
Enjeux autour de
la sécurité
Aux origines, le logos…
1834
Au niveau étymologique, la généalogie du terme « cybergéographie » remonte à la
publication en 1834 de l’Essai sur la philosophie des sciences d’André-Marie Ampère. Dans
cet ouvrage, il invente le terme « cybernétique », qu’il définit comme l’étude des moyens
de gouvernement. Le préfixe « cyber- » provient du grec κυβερναν (piloter ; naviguer) /
κυβερνητικη (art de piloter ; art de gouverner) / κυβερνητης (timonier).

1948
Le terme cybernétique a été réinventée par Norbert Wiener en 1948 dans son livre
‘Cybernetics’. Il fait une étude générale des formes de contrôle et de communication
dans les machines et les systèmes vivants.

1982
En 1982, William Gibson a utilisé pour la première fois le mot « cyberspace » dans ‘Burning chrome’,
une nouvelle publiée dans la revue de science fiction Omni. Mais c’est surtout son roman anti-
utopique ‘Neuromancer’ qui a rendu le terme populaire ; le cyberespace était alors représenté
comme un espace « virtuel », une zone numérique, globale, dont l’ontologie relevait de
« l’hallucination consensuelle ». Après la suite de Gibson, on en est venu à attribuer le préfixe cyber-
à tout ce qui se rattache à l’Internet et aux mondes virtuels.
42
Aux origines, le numérique…
• Cyber : ce préfixe est un mot base utilisé pour nommer tout ce qui touche directement à Internet
➢ Cybercafé, cyberconférence, cyberculture, cybermarché, cybersécurité

• Dans le domaine du droit sont venus s’ajouter de nouveaux termes dont plusieurs désignent des
actes criminels ou de simples délits commis à l’aide des réseaux informatiques
➢ Cyberattaque, cybercrime (sabotage, piratage, vol)
➢ Cybercriminel, cybercriminalité (ou sa variante, la criminalité informatique, numérique ou binaire)
➢ Cyberdélit (ou délit informatique)
➢ Cyberdélinquance (ou délinquance cybernétique, e-délinquance)
❑ « La cyberdélinquance englobe toute action illicite visant les systèmes informatiques soit comme formant l’objet du délit, soit comme constituant
le moyen de commettre l’infraction. Ainsi, le cyberdélinquant pourra utiliser l’ordinateur pour s’attaquer aux systèmes informatiques en utilisant
l’ordinateur comme relais ou comme cible par des actes portant atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données,
détruisant des données ou des sites, effectuant des intrusions, déposant des programmes pirates ou espions, envoyant des virus ou
usurpant des adresses ou des noms de domaine. Il pourra en outre utiliser l’ordinateur pour diffuser des contenus illicites, procéder à des
extorsions de fonds, commettre des actes de fraude commerciale, proférer des menaces ou se livrer à la cyberdélinquance financière par
des actes de blanchiment d’argent et de manipulation des cours de la bourse. »
➢ Cyberguerre, cyberjustice, cyberpédophilie, cyberpolice, cyberterrorisme

• Pour le Collège canadien de police, il existe deux catégories de cybercrimes : celle où l’ordinateur est
l’instrument de perpétration et celle où il est l’objet du crime
➢ « La cybercriminalité est la criminalité ayant l’ordinateur pour objet ou pour instrument de perpétration principale. »

43
Cyberespace On appelle cyberespace l’espace virtuel des ordinateurs reliés
entre eux par des réseaux télématiques. Le droit considère le
cyberespace comme un milieu global d’intérêt puisqu’il forme un
environnement dans lequel se produisent des événements qui
entraînent des conséquences juridiques diverses.
 Les 5 couches du modèle de cyberespace
Elle permet d’interpréter et de comprendre les informations en fonction de leur environnement. Elle inclut
également la prise de conscience des émotions lors de l’interprétation des informations.
Couche cognitive
Par exemple : la confiance, l’acceptation, l’expérience constituent autant de facteurs d’interprétation de
l’information, liés au contexte et aux émotions.

Elle comprend tous les services publics et commerciaux consommés par les utilisateurs, accessibles
Couche services généralement à partir du réseau Internet.
Par exemple : les services opérationnels (banque), médias (YouTube) et services publics.

Elle est composé de l’ensemble des données circulant sur le réseau. Elle comprend l’information et les
banques de données, hébergées dans les terminaux informatiques, ainsi que les différentes fonctions
Couche sémantique
d’administration au niveau de l’utilisateur.
Elle constitue le cœur de l’ensemble du réseau.

Elle est formée de différents programmes de gestion et de contrôle des systèmes, ainsi que les fonctions
Couche logique qui facilitent l’interaction entre les appareils connectés au réseau.
Par exemple : protocoles réseau, correction d’erreurs etc…

Elle comprend les éléments physiques pour les réseaux de Communication.

Couche physique
Par exemple : les appareils de réseaux, routeurs et commutateurs, connexion avec câble ou sans fil.

Source : Livre « Cybersécurité » de Hennion & Makhlouf

45
Définitions de base
Définition Représentation schématique

• Un Système d’information est composé de 2

Un Système d’Information (SI) c’est quoi ? ensembles d’actifs

• C’est un ensemble de ressources qui

permettent de collecter, classifier, traiter,
stocker et diffuser les informations au sein
d’une organisation

• La clé c’est « l’information », elle est au

cœur des entreprises, des organisations,
des administrations, etc

• Le SI est là pour accompagner et

simplifier le travail au sein de la structure
La sécurité du SI a pour vocation d’assurer la
organisationnelle sécurité de l’ensemble de ces actifs

46

Définition - Cybersécurité
La cybersécurité est transverse
Au sein des entreprises, des organisations et des
administrations, il existe des articulations entre
cybersécurité, sécurité économique et intelligence
économique

La cybersécurité consiste en l’organisation de :

la sécurité des SI (prévention) +
cyberdéfense (réaction) +
cybercriminalité (sanction)
Des enjeux stratégiques
Préambule

❑ La Cybersécurité n’est plus un sujet technique, mais stratégique.

Dans le monde numérique d’aujourd’hui, les enjeux de sécurité stratégiques

sont nombreux
• Le renseignement numérique, économique et industriel
• La propriété industrielle et littéraire/artistique
• Les actions entre les Etats
• L’organisation des pouvoirs publics en France et à l’étranger
• L’infrastructure numérique mondiale
➢ Les centres de production d’énergie
➢ Les data centers
➢ Les câbles sous-marins

48
Des risques stratégiques
Depuis le début du 21ème siècle, le développement du numérique s’est accru dans
l’ensemble du monde économique. En contigu de ce phénomène, les risques cyber ont
augmenté et cela pose un problème à toutes les organisations, et il est fort probable
qu’uniquement celles qui auront su prendre en compte ce changement subsisteront.
• En parallèle de cette accélération technologique, le phénomène numérique est passé au stade de révolution
planétaire. Le risque s’étend au-delà des limites des entreprises et devient systémique, il concerne même
les Etats, et les conséquences peuvent prendre l’apparence de « cygnes noirs »
➢ Baisse du PIB

➢ ‘Hacking’ et influence sur des élections

• La nécessité d’avoir une double approche :

➢ Conformité organisationnelle et technique

➢ Possibles impacts sur les métiers

En conclusion, il semble que seules les organisations qui s’adapteront et anticiperont ces
bouleversements globaux seront en mesure de subsister, et surtout pourront continuer à
se développer.
49
 L e c y g n e n o i r – l i v r e d e N a s s i m N i c h o l a s Ta l e b
Incertitude et cygne noir, quand la prédiction ne fonctionne pas…

C’est acquis. Tous les témoignages concordent et rapportent que tous les cygnes que l’on observe ont des plumes blanches. Dés lors, tous les cygnes sont
blancs, et un Cygne noir est impossible - ou au moins inexistant. Jusqu’en 1697, année au cours de laquelle des explorateurs allemands deviennent les premiers
Européens à voir des cygnes noirs en Australie occidentale. "Le terme a ensuite évolué pour désigner l'idée qu'une impossibilité théorisée pouvait ensuite être
réfutée."
 Interxion conçoit un data center géant à La Courneuve
Plus d'un milliard d'euros d'investissement, « le plus grand campus de France », selon la société Interxion, son
concepteur. Lové derrière un exo-squelette circulaire, le data center géant fera plus de vingt mètres de haut et offrira à
terme, 40 000 m2 de salles informatiques pour héberger les données numériques confidentielles de ses futurs clients,
le long de l'A 86, à La Courneuve. « Ça ressemblera à une grande soucoupe volante », résume Fabrice Coquio,
président d'Interxion France (groupe Digital Realty). – Le Parisien (le 19 juillet 2020)

Data centers en France

La cartographie 2020 des datacenters est sortie le 5 mars 2020
Comme chaque année, le magazine en ligne spécialisé en sécurité informatique Global Security Mag
publie une cartographie des datacenters neutres en France, à Monaco et au Luxembourg.

51
Submarine Cable Map 2020

52
 Monde câblé : 35 ans de câbles
sous-marins sur une carte
L’époque où les images chargeaient les pixels ligne par ligne est révolue depuis longtemps. Désormais, même les vidéos
de haute qualité sont instantanément accessibles de presque partout. Comment Internet est-il devenu si rapide ? Parce
qu’il se déplace à la vitesse de la lumière.
Amazon, Microsoft et Google détiennent près de 65 % du marché du stockage de données en cloud, il est donc compréhensible qu’ils
souhaitent également contrôler les moyens physiques de transport de ces données.
53
Monde câblé : 35 ans de câbles sous-marins sur une carte

54
Enjeux - la sécurité SI

• La sécurité a pour but de minimiser les

risques pesant sur le SI, afin de limiter leurs
possibles impacts sur le fonctionnement des
activités des organisations

• Au niveau opérationnel, la sécurité est là

pour accompagner l’activité :
➢ Elle participe à la qualité de service qu’attendent les
utilisateurs
➢ Elle garantit une protection optimale pour les
utilisateurs

55
Enjeux - les impacts potentiels

Impacts financiers Impacts sur l’image Impacts juridiques Impacts

et la réputation et réglementaires organisationnels

56
L’intérêt des attaquants
Quelles sont les motivations ?
• Période 1980 à 2000
➢ Epoque des premiers ordinateurs personnels : Atari, Commodore, Amstrad, W3.1, 95, etc
➢ Les pirates sont des bidouilleurs amateurs
• Période 2000 à 2010
➢ Les bidouilleurs se sont structurés en équipe, voir Etatisés
➢ Les actions sont étudiés et organisées et préparées
• Depuis l’an 2010
➢ La cupidité, le mercantilisme
➢ L’hacktivisme d’ONG, associations ou communautés
➢ Des finalités politiques, religieuses ou sexuelles
➢ Des objectifs étatiques, lobbying, concurrentiels
➢ Des pirates ‘achetés’ qui deviennent des mercenaires
• Quel est le but recherché par les pirates ?
➢ Gains financiers (revente d’informations)
➢ Chantage (DoS, suppression de données)
➢ Utilisation de ressources (machines zombies)
➢ Espionnage (secrets industriels)

57
Une économie 2.0 virtuelle
Quel intérêt pour la cybercriminalité ?
• La plupart des actes de délinquance commis dans le cyberespace sont le fait de groupes
criminels structurés, professionnels et associant plusieurs acteurs

1 des groupes spécialisés dans le développement de programmes malveillants et virus informatiques

des groupes en charge de l’exploitation et de la commercialisation de services permettant de réaliser des attaques
2
informatiques

un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des hébergeurs malhonnêtes soit des hébergeurs
3
victimes eux-mêmes d’une attaque et dont les serveurs sont contrôlés par des pirates

4 des groupes en charge de la vente des données volées, et principalement des données de carte bancaire

5 des intermédiaires financiers pour collecter l’argent qui s’appuient généralement sur des réseaux de mules
Source : CyberEdu

58
Un jackpot virtuel bien réel

Combien rapporte la cybercriminalité en 2021 ?

• Prix de 45 000 € pour exploiter des failles de sécurité
• Prix de 1350 € en moyenne pour un passeport UE, Canada ou des Etats-Unis
• Prix de 500 € en moyenne pour une carte d’identité UE
• De 250 à 300 € pour utiliser un compte PayPal volé
• De 130 à 135 € pour un compte Gmail piraté
• De 45 à 90 € pour des dossiers médicaux volés
• De 60 à 65 € pour un compte Facebook piraté
• De 45 à 50 € pour un compte Instagram piraté
• De 40 à 45 € pour un compte Twitter piraté
• De 10 à 30 € les numéros de cartes bancaires (fonction des pays, type de carte)

59
Un jackpot virtuel en croissance
• La révolution numérique a démultiplié des possibilités de
revenu pour les pirates
• Le mobile est devenu l’enjeu principal de la cybersécurité

60
 Une
cybercriminalité
qui suit l’actualité
et s’adapte
Les impacts sur les individus
• Perte de données
➢ Cloud : suite au piratage d’un compte en ligne l’accès aux données est impossible ou celles-ci sont effacées
➢ Ordinateur local : infection par un rançongiciel et chiffrement des données

• Impact financier
➢ Utilisation frauduleuse d’identifiants de carte bancaire volée pour des achats (magasin, en ligne)
➢ Demande de rançon contre non divulgation d’informations ou d’images préjudiciables

• Usurpation d’identité
➢ Un cybercriminel vole des identifiants de connections et les
réutilise en se faisant passer pour la victime

• Atteinte à l’image
➢ Divulgation d’informations personnelles compromettantes
➢ Cyberharcèlement

62
Les impacts sur les entreprises
Pour les entreprises et administrations, les conséquences d’une potentielle attaque peuvent
être considérables, car elles peuvent affecter un grand nombre d’individus en même temps.
Il existe 4 cyber risques :
• Sabotage
➢ Perte ou altération de données internes ou clients
➢ Tout ou parti d’un SI peut être rendu inopérant, ce qui pourra entrainer un arrêt de la production (site de vente)
• Cybercriminalité
➢ Fraude au Président : attaque consistant à convaincre un collaborateur d’effectuer un virement bancaire au nom d’un des dirigeants de l’entreprise (cout
de plusieurs centaines de millions €/an en France)
➢ Demande de rançon contre non divulgation d’informations ou d’images préjudiciables
• Atteinte à l’image
➢ Campagne de déstabilisation lancée sur les réseaux sociaux
➢ Site Internet public indisponible suite a un piratage
➢ Pertes de part de marchés
➢ Baisse de cours sur les marchés financiers, hausse des primes d’assurances
➢ Baisse des bénéfices
• Espionnage
➢ Vol d’informations sur des brevets, programmes de R&D, prototypes…
➢ Vol d’informations financières sur des FUSAC ou M&A, des compétences des salariés experts…

63
Les attaques sur
les entreprises
Les impacts sur les infrastructures
Certaines infrastructures sont considérées comme critique pour le pays par
l’Etat français, et des mesures de sécurité renforcées spécifiques doivent êtres
implémentées.

Nous pouvons citer les secteurs suivants :

➢ Régalien : institutions étatiques, militaire, police, justice

➢ Civil : santé, gestion de l’alimentation et de d’eau

➢ Economique : fournisseurs d’énergie, banques, transports

➢ Technologique : recherche, information, communication, industrie

Ces organisations sont indispensables au bon fonctionnement du pays et sont

classés comme Opérateur d’Importance Vitale (OIV).
65
Les besoins de sécurité
Au sein du Système d’Information, il est nécessaire de définir le niveau de
sécurité d’un bien, d’évaluer si celui-ci est correct et d’être en mesure de le
prouver.
Ce niveau est défini selon 4 critères, connus sous le sigle DICP :
• La Disponibilité
➢ L’information doit être continuellement disponible
• L’Intégrité
➢ L’information ne doit pas être modifiée
• La Confidentialité
➢ L’information doit être accessible seulement aux personnes autorisés
• La Preuve (ou Traçabilité)
➢ Tous les mouvements de données doivent êtres tracés et auditables

66
 Le besoin de
Preuve ou
d’auditabilité
Garantir la traçabilité suffisante pour tout
contrôle et administration de la preuve.
• La traçabilité des actions menées
• L’authentification des utilisateurs
• L’imputabilité du responsable de l’action
effectuée

67
Critères DICP - synthèse

Antivirus Pare-feu Cryptographie

Mécanisme technique permettant de détecter Équipement permettant d’isoler des zones Mécanisme permettant d’implémenter du
toute attaque virale qui a déjà été identifiée réseaux entre-elles et de n’autoriser le chiffrement et des signatures électroniques.
par la communauté sécurité. passage que de certains flux seulement.

D I C P D I C P D I C P
X X X X X X X X
68
Critères DICP - synthèse

Contrôles d’accès Sécurité physique Formation et sensibilisation

Mécanismes permettant de restreindre l’accès
en lecture/écriture/suppression aux ressources
aux seules personnes dument habilitées.
Mécanismes de protection destinés à protéger
l’intégrité physique du matériel et des
bâtiments/bureaux.
Mécanismes organisationnels dont l’objectif
est d’expliquer aux utilisateurs, techniciens,
administrateurs, dirigeants, clients, grand
public, … en quoi leurs actions affectent la
sécurité des SI.

D I C P D I C P D I C P
X X X X X X X X X X
69
Critères DICP - synthèse

Capacité d’audit Clauses contractuelles

Mécanismes organisationnels destinés à s’assurer de Mécanismes organisationnels destinés à s’assurer que les
l’efficacité et de la pertinence des mesures mises en œuvre. partenaires et prestataires mettent en œuvre les mesures
Participe à l’amélioration continue de la sécurité du SI. nécessaires pour ne pas impacter la sécurité des SI de leurs
clients.

D I C P D I C P
X X X X X X X X Source : CyberEdu

70
Aspects juridiques
et organisationnels
français
Stratégie Nationale
Le 16/10/2015 le premier ministre M. Valls a présenté la Stratégie
nationale pour la sécurité du numérique, destinée à accompagner
la transition numérique de la société française.
Une réponse face aux nouveaux enjeux numériques en 5 points :
1. Garantir la souveraineté nationale
➢ Intérêts fondamentaux, défense et sécurité des systèmes d’information de l’état et des
infrastructures critiques, crise informatique majeure

2. Apporter une réponse forte contre les actes de cybermalveillance

➢ Confiance numérique, vie privée, données personnelles, cybermalveillance

3. Informer le grand public

➢ Sensibilisation, formations initiales, formations continues

4. Faire de la sécurité numérique un avantage concurrentiel pour les

entreprises françaises
➢ Environnement des entreprises du numérique, politique industrielle, export et
internationalisation

5. Renforcer la voix de la France à l’international

➢ Europe, souveraineté numérique, stabilité du cyberespace

72
 …
Quelques dates
Au fil des années, la cybersécurité s’est
transformée. Elle est devenue un véritable
enjeu de sécurité nationale et européen.
De quoi DEMAIN sera-t-il fait ?
2009
En juillet, création en juillet de l'Agence
nationale de la sécurité des systèmes
d'information - ANSSI.
2008
Rapport sur la sécurité des systèmes
d’information (SSI) et le Livre blanc sur
la défense et la sécurité nationale de 2008
(LBDSM 1).
2012
Rapport Bockel : la cyberdéfense doit
être une priorité nationale et industrielle.
Quelle place pour l’option « cyber » dans
notre sécurité nationale ?
73
 …

2013
Promulguée le 19 décembre 2013, la loi
n°2013-1168 de programmation militaire –
LPM - suit les orientations fixées par le
Livre blanc sur la défense et la sécurité
nationale 2013 (LBDSM 2).
2015
La Stratégie nationale pour la sécurité
du numérique : une réponse aux
nouveaux enjeux des usages numériques.

2016
La directive Network and Information
Security (NIS) poursuit un objectif
principal : assurer un niveau de sécurité
élevé et commun pour les réseaux et les
systèmes d’information de l’UE.
…

74
 …
2018
Entrée en vigueur du règlement général
sur la protection des données - RGPD. Il
renforce et unifie la protection des
données pour les individus au sein de
l’UE.
2017
La première conférence « Construire la
paix et la sécurité internationales de la
société numérique », s’est tenue en avril à
l’UNESCO. But : envisager des pratiques
et des équilibres susceptibles de favoriser
une utilisation pacifique et sûre de
l’espace numérique.
2020
Rapport sur l’inventaire des menaces
dans l’UE : les cyberattaques deviennent
de plus en plus sophistiquées, ciblées et
massives.
75
Organisation Positionnement de l’ANSSI

en France Responsable en matière de défense et de

sécurité nationale

Coordination interministérielle en matière de

SGDSN défense et de sécurité nationale
Secrétariat Général de la Défense
et de la Sécurité Nationale

Autorité nationale en matière de sécurité

et de défense des systèmes d’information
ANSSI
Agence Nationale de Sécurité des
Systèmes d’Information
 Sous-direction Opérations (SDO) Évolution des effectifs
1 Veille, détection et défense des systèmes d’information
étatiques et d’importance vitale

Sous-direction Expertise (SDE)

2 Expertise et assistance technique

Sous-direction Stratégie (SDS)

3 Coordination des relations extérieures de l’ANSSI et

Organisation élaboration de la réglementation SSI

de l’ANSSI
Sous-direction Administration (SDA)
Les rôles des sous-directions
4 Gestion des affaires générales de l’ANSSI (juridique,
finances, RH, logistique)

77
Domaines de compétences

Autorité de sécurité
Renseignements
(prévention)

Autorité de défense
Actions offensives
(réaction)

78
Le droit numérique
❑ Le droit numérique est un véritable ‘mille feuille’ composé de plusieurs dizaines de textes
de codes (civil, défense, pénal, travail, propriété intellectuelle, postes et communications
électroniques, consommation, commerce, etc) en vigueurs difficiles d’accès.
• Il ressemble à un droit non codifié, en évolution constante, caractérisé par une forte
construction jurisprudentielle et nécessitant un effort de veille juridique constant
• Quelques textes de lois importants
➢ 1978 - Loi relative à l’informatique, aux fichiers et aux libertés
➢ 1988 - Loi Godfrain relative aux actes de criminalité informatique et de piratage
➢ 2004 - Loi Perben 2 pour contrer la délinquance et la criminalité organisée
➢ 2004 - Loi pour la confiance dans l’identité numérique
➢ 2011 - Loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI), renforçant la
lutte contre la cybercriminalité, informatique et Internet
➢ 2015 (24/07) - Loi sur le renseignement incluant des mesures controversées atteignant à la vie privée
➢ 2015 (30/11) - Loi relative aux mesures de surveillance des communications électroniques internationales
➢ 2016 (03/06) - Loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement

79
Le droit numérique
➢ 2016 (07/10) - Loi pour une République numérique, dite loi « Lemaire ». Elle succède à la Loi, de 2004, pour la
confiance dans l’identité numérique
➢ 2018 (06/07) - Loi transposant la directive Network and Information System Security (NIS) qui a pour objectif
de renforcer les standards de sécurité informatique d’acteurs indispensables à la vie quotidienne de nos
concitoyens
➢ 2018 (20/06) - La loi relative à la protection des données personnelles est promulguée (RGPD). Elle adapte la
loi "Informatique et libertés" du 6 janvier 1978 au "paquet européen de protection des données"
➢ 2018 (13/07) - Loi de Programmation Militaire, LPM 2019-2025, qui développe les capacités françaises dans le
cyberespace et le spatial
➢ 2018 (22/12) - Loi contre la manipulation de l’information, dite loi « fake news »
➢ 2020 (24/06) - Loi relative à la lutte contre les contenus haineux sur Internet, dite loi « Avia »
➢ 2020 (22/10) - Loi sur la certification de cybersécurité des plateformes numériques destinée au grand public

80
 1
Nouvelle
technologie
2
Nouvel
usage
3
Nouveau
mésusage
4
Nouvelle
Evolution du législation
5
droit numérique Nouvelle
La transformation numérique avance, le droit d’adapte face infraction
aux actions des pirates !

81
 FOCUS
Règlement Général sur la Protection des Données (RGPD)
Les données personnelles sont au cœur du monde numérique et il est
nécessaire de les protéger
RGPD
Le 25 mai 2018, le RGPD (GDPR en anglais) est entré en vigueur

• Il a fallu plusieurs années de travail aux instances européennes pour finaliser cette réforme
importante pour la protection des données
• Jusque là, la directive de 1995 sur la protection des données (directive 95/46/CE) était en vigueur,
mais les évolutions technologiques des dernières décennies ont rendu nécessaire une révision et
une amélioration de la législation
• Effectivement, en 1995, Internet naissait. Aujourd’hui, la protection des données à l’échelle de l’UE
doit faire face au GAFAM, réseaux sociaux, Big Data, à l’industrie 4.0, à la robotique et à l’IA
• L’objectif du RGPD est d’harmoniser le traitement des données au niveau de l’UE. Le Royaume-
Uni va devenir un pays tiers à partir du 01/01/2021 suite au Brexit
83
D é f i n i t i o n : q u ’ e s t - c e q u ’ u n e d o n n é e à
c a r a c t è r e p e r s o n n e l ?
Une donnée à caractère personnel correspond à :
❑ toute information relative à une personne physique (la « Personne Concernée »)
• Ex : clients, prospects, collaborateurs, candidats, partenaires, fournisseurs…
❑ identifiée ou qui peut être identifiée,
➢ directement
• Nom, prénom, photographie, dossier médical, assurances, empreinte digitale, bulletin de salaire, achat en
ligne…
➢ ou indirectement
• Compteur communicant Linky/Gaspar, adresse IP, adresse email, données de consommation, localisation,
cookie, plaque immatriculation, NIR, n° de permis de conduire, n° de comptes bancaire, numéro
d’identification interne de client ou d’utilisateur (GUID), etc…

• Les DCP ne se restreignent pas aux données de la vie privée (ex : adresse email professionnelle ou téléphone professionnel = DCP)
• Les données personnelles conservent leur statut peu importe que ces informations soient confidentielles ou publiques
• Dans les entreprises B2B, les clients sont majoritairement des personnes morales (collectivités publiques, sociétés privées…), cependant ce
type d’entreprise est bien évidemment concernée par la problématique des données personnelles tant au titre d’employeur que de
fournisseur de service

84
C a t é g o r i e s p a r t i c u l i è r e s d e d o n n é e s :
p r i n c i p e d ’ i n t e r d i c t i o n
Certaines sont définies comme « sensibles » :
• Les origines raciales ou ethniques

• Les opinions : politiques, philosophiques, religieuses

• Les données génétiques et biométriques

• Les données d’infractions, condamnations

• L’appartenance syndicale

• Les données de santé

• La vie et l’orientation sexuelle

En principe, le traitement des données sensibles est interdit, sauf exceptions.

86
D é f i n i t i o n : q u ’ e s t - c e q u ’ u n t r a i t e m e n t d e
d o n n é e à c a r a c t è r e p e r s o n n e l ?
Un traitement de donnée à caractère personnel correspond à :
❑ « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés
et appliquées à des données ou un ensemble de données à caractère personnel » telles que :

• la collecte • la structuration / organisation • le rapprochement

• l’enregistrement • l’extraction • la transmission
• l’adaptation / modification • la consultation • la limitation
• la conservation • l’utilisation • la diffusion
• l’effacement, la destruction • la mise à disposition • l’interconnexion

• Tant les traitements informatiques comme les traitements « papier » sont concernés
• Un traitement ne se manifeste pas uniquement au travers d’un fichier, d’une base de données ou d’un tableau Excel
➢ Exemples : fiches clients ou fournisseurs avec zones de commentaires libres, vidéosurveillance, systèmes de reconnaissance
biométrique, SharePoint, application RH, etc

87
Champ d’application matériel
Article 2 - la règlementation concerne tous les
organismes publics et privés, quels que soient leur
taille ou leur secteur d’activité mettant en œuvre
des traitements de données personnelles. Sont
notamment concernés :
• Les administrations et collectivités
locales
• Les entreprises privées quel que soit
leur effectif ou chiffre d’affaires
• Les associations, instances
représentatives du personnel et
organisations syndicales
Sont soumis aux dispositions de la règlementation :
• Tout traitement de données personnelles automatisé
en tout ou partie
• Tout traitement de données personnelles non
automatisé contenu ou appelé à figurer dans un
fichier (papier ou numérique)
A l’inverse, ne sont pas soumis à la règlementation :
• Les traitements de données personnelles mis en
œuvre à des fins strictement personnelles (agenda
personnel, le répertoire de contacts du téléphone
personnel)
• Les traitements comportant des données totalement
anonymisées (la réidentification des personnes
concernées doit être impossible)
88
 Traitement

Champ
Données à caractère personnel
d’application
matériel Fichier automatisé ou non

Pour résumer Application du RGPD

l’article 2
Exception : traitements des personnes physiques à but purement
personnel et domestique
Champ d’application territorial
Article 3 - la règlementation s’applique aux
traitements de données personnelles effectués
par :

❑ Un organisme établi sur le territoire de l’Union NON Offre de biens ou services

ou profilage d’une
Établissement
européenne (critère de l’établissement), que le dans l’UE
personne se trouvant sur
le territoire de l’UE
traitement ait lieu ou non dans l’UE
OUI NON

Non
❑ Un organisme dont l’activité cible des personnes qui se Applicable applicable
trouvent sur le territoire de l’UE (critère du ciblage).
Les organismes sont concernés lorsque le traitement
vise à offrir des biens ou services à de telles personnes
ou à suivre leur comportement au sein de l’Union

90
 RGPD non applicable :
• Personne morale
Données personnelles concernant une personne physique NON • Données anonymes

OUI

RGPD non applicable :

Traitement de données automatisé ou non NON • Traitement à usage
privé

OUI

Offre de biens ou services

RT ou ST
dans l’UE? NON personnes ou profilage de NON RGPD non applicable
personnes sur le sol UE

OUI OUI

RGPD applicable

Quand le RGPD s’applique-t-il?

Synthèse

91
Les acteurs de la protection des données

Toute personne physique identifiée ou identifiable

1 2
◆
par un traitement de données à caractère personnel ◆ La personne physique ou morale, l'autorité publique, le
la concernant service ou tout autre organisme qui reçoit
◆ Ce sont toutes les personnes qui voient leurs données communication de données à caractère personnel,
personnelles traitées : clients, prospects, partenaires, qu'il s'agisse ou non d'un tiers
La Personne Le Destinataire des
collaborateurs, y compris les personnalités publiques ◆ Ex : la Sécurité Sociale, les Impôts, Mutuelles
(politiques, acteurs, chanteurs)… concernée (« PC ») données
personnelles

◆ La personne physique ou morale, l'autorité publique, le

3 4
◆ La personne physique ou morale, l'autorité
service ou un autre organisme qui traite des données à
publique, le service ou un autre organisme qui, seul
caractère personnel pour le compte du responsable du
ou conjointement avec d'autres, détermine les
traitement
finalités et les moyens du traitement
◆ Attention, un ST peut être interne et externe à une
◆ Ex : Air France, Axa, Cap Gemini, Renault, ENEDIS,
Le Responsable de Le Sous-traitant entreprise !
Service interne (IT, Compta, BU)
Traitement (« RT ») (« ST ») ◆ Ex : SAP, Microsoft, paye externalisé, filiale IT…

92
Droits des personnes
R e n f o r c e m e n t e t n o u v e a u t é s

Attention à la loi locale / Nationale :

Droit d’accès

• En France, la Loi pour une

Consentement Droit de
renforcé rectification République numérique, dite « Loi
Lemaire » a crée un droit de
« succession numérique » qui
permet aux personnes concernées
Droit à la Droit à Droit à
de déterminer le sort de leurs
succession
numérique l’information l’effacement données après leur décès (article
Nouveauté 85)

• En fin d’année 2021, les décrets

Droit à la d’application concernant les
Droit à la
portabilité
limitation du
traitement
conditions d’application de ce
droit ne sont toujours pas paru
Nouveauté Droit Nouveauté
d’opposition

93
Synthèse pratique
❑ Les principes clés du RGPD
• DPO obligatoire dans
Selon l’infraction : certains cas
• De 10 millions d’€ ou 2% du • Champ d’application
CA mondial territorial élargi
• A 20 millions ou 4%

Renforcement
Fortes et
sanctions uniformisation
des règles

• Data Protection Impact

Assessment (DPIA) obligatoire • Garantir la conformité à la
dans certains cas Sécurité et règlementation
gestion des Accountability • Documenter les actions pour
• Obligation de notification des
risques preuve d’accomplissements
failles de sécurité dans les
72h des formalités

Privacy by
Renforcement
design,
des droits des
Privacy by
personnes
default
• Transparence
• Protection des données prise en
• Consentement renforcé
compte : dès la conception du projet,
et tout au long de son cycle de vie • Affirmation de nouveaux droits
(portabilité, limitation…)
• Limitation de la collecte au strict
nécessaire
94
Synthèse pratique
❑ Les règles d’or de la protection des données personnelles
Je collecte et traite les
DCP de manière loyale,
transparente et licite.
Je mets en place des mesures
organisationnelles et techniques
afin de protéger les données.

Sécurisation des Finalité des

données données

Respecter les
Pertinence des Je ne collecte que les données
droits des
données strictement nécessaires à la
personnes
collectées finalité que je poursuis.
concernées

J’informe les personnes concernées

du traitement de leur données et leur Conservation
permet d’exercer leurs droits. proportionnelle
au but
recherché

Je détermine une durée de conservation

des données que je collecte et traite. A son
terme, j’efface les données. 95
Sécurité
La sécurité est pierre fondatrice du RGPD.
• La sécurité répond au principe d’intégrité et de confidentialité du traitement (Article 5)
• Le niveau de sécurité est adapté au risque (Article 32)
• Les mesures de sécurité préconisées (Article 32a)
• Les notifications des violations de données (Article 33 et 34)
• L’analyse d’impact relative à la protection des données personnelles (Article 35)
• La consultation de l’autorité de contrôle (Article 36)

96
Politique de protection des DCP
Dans une entreprise, la politique de protection des données personnelles est
structuré selon 3 piliers
Objectifs Principes Moyens
• Adapter la Politique à • Finalités explicites, légitimes, loyales et • Sensibilisation et formation
l'organisation interne de transparentes
l’entreprise
• Pertinence, proportionnalité et minimisation des • Contrôles et audits
• Assurer que l’entreprise respecte données collectées
la réglementation • Cartographie des traitements
• Conservation limitée des données
• Renforcer la confiance des
• Données sensibles, fichiers sensibles et • Traitement d’incidents
employés et des clients quant à
la protection de leurs données traitements à risques
• Accords écrits
personnelles • Obligations de sécurité et de confidentialité
• Transferts internationaux • SYSTÈME DE MANAGEMENT ET
D’ACCOUNTABILITY
• Transparence et respect des droits des personnes
• Obligation des Sous-Traitants

97
SEE YOU NEXT TIME !
ANY QUESTIONS ?