Cyberespace Et Cyberattaque Comprendre Et Se Protéger!

boutique.afnor.
org/livres
Lucie Brenet & Thierry Brenet
CYBERESPACE
et CYBERATTAQUE
Comprendre
et se protéger !
Kidnapping numérique,
rançongiciel, vol de données.
Un monde, des menaces
et des armes à comprendre !
CYBERESPACE
et CYBERATTAQUE
Comprendre
et se protéger !
© AFNOR 2022
ISBN 978-2-12-465800-8
Édition : Dominique Cohen
Secrétaire d’édition : Jeanne Labourel
Création de maquette : Gilda Masset
Mise en page : Corinne Cadieu
Fabrication : Philippe Malbec
Crédit photo : Adobe Stock, 2022
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des
pages publiées dans le présent ouvrage, faite sans l’autorisation de l’éditeur est illicite et constitue
une contrefaçon. Seules sont autorisées, d’une part, les reproductions strictement réservées à
l’usage privé du copiste et non destinées à une utilisation collective et, d’autre part, les analyses et
courtes citations justifiées par le caractère scientifique ou d’information de l’œuvre dans laquelle
elles sont incorporées (loi du 1er juillet 1992 - art. L 122-4et L 122-5, et Code Pénal art. 425).
AFNOR – 11, rue Francis de Pressensé, 93571 La Plaine Saint-Denis Cedex

Tél. : +33 (0) 1 41 62 80 00 – boutique.afnor.org/livres
Une guerre aurait donc éclaté et nous l’ignorerions ?
Cent batailles d’un type inédit commencent.
François-Bernard Huyghe
Les auteurs
Lucie Brenet est titulaire de deux masters de droit, public et privé. Au sein
d’une société de conseil, elle a travaillé à des dossiers dans ces deux domaines.
Elle s’est également investie sur des questions de veille « cyber » et de stratégie
en matière de relations internationales, de gestion des risques, ainsi que sur le
RGPD. Enfin, elle écrit des articles de vulgarisation, des notes et des dossiers
sur ces différentes questions, en réponse à des demandes pouvant émaner
d’organisations diverses.
Thierry Brenet est dirigeant d’une société de conseil, après avoir dirigé un
syndicat patronal et exercé différentes fonctions dans une chambre consulaire,
ainsi que dans des entreprises du secteur industriel, dans la grande distribution
et au sein d’une banque française. Il accompagne des entreprises sur le chemin
de la certification pour les normes ISO 9001/14001. Il forme des étudiants dans
le monde universitaire (L1M2) et en école de commerce, sur des thématiques
variées (dans les filières RH, marketing, gestion), la plupart utilisant des outils liés
au Web 2.0. Il anime également des formations destinées à de futures infirmières
IBODE et des cadres de santé.
Sommaire
Les auteurs ...................................................................................................... VII

Remerciements ................................................................................................ XI
Préambule ...................................................................................................... XV
Avant-propos ............................................................................................... XVII
Introduction ...................................................................................................... 1
Partie I - Cyber, comme cyberarme, cybercombattant
et donc cyberrisques ...................................................................... 5
1 L’arme cyber et son champ de bataille ................................................... 7
1.1 Le cyberespace .............................................................................................. 7
1.2 L’arme cyber ............................................................................................... 30
2 L’utilisation de l’arme cyber ................................................................... 59
2.1 Qui utilise les armes cyber ? ...................................................................... 59
2.2 Pourquoi utiliser ces armes ? ..................................................................... 90
En guise de conclusion à cette première partie ........................................ 117
Partie II - Après le constat du danger, quelle cyberprotection ? ........... 121
3 Construire notre protection ................................................................. 123
3.1 De l’hygiène et du besoin de protection ................................................. 123
3.2 Organisations à protéger, organisations aidantes .................................. 162
3.3 En matière de répression ......................................................................... 181
4 Le cyberespace, entre droit et doctrines nationales ......................... 187
4.1 Un espace n’échappant pas (totalement)
aux considérations juridiques ................................................................. 187
4.2 États et doctrines. Vers quoi se dirige-t-on ? .......................................... 208
En guise de conclusion à cette seconde partie ......................................... 229
Conclusion générale .................................................................................... 231
Table des figures .......................................................................................... 235
Références .................................................................................................... 237
Bibliographie....................................................................................................... 237
Sitographie indicative......................................................................................... 238
Ailleurs sur Internet (podcast, etc.).................................................................... 238
Remerciements
Nous sommes deux à afficher nos noms en couverture de ce livre et, même si la
vie nous permet de partager nombre de souvenirs et d’expériences, nos parcours
ont suffisamment différé pour que se pose la question de l’organisation des
remerciements.
******
Le privilège de l’âge me permet de démarrer ce difficile travail qui, en quelques

lignes, ne doit oublier personne, tout en évitant toute flagornerie. Aussi, me
limiterai-je à citer ici un journaliste, deux livres et quatre personnes.
Je lis évidemment tout ce qui me tombe sous la main en matière cyber.
Par contre, s’il est un journaliste qui me nourrit et m’interpelle très régulièrement,
c’est bien Martin Untersinger, journaliste du quotidien Le Monde. Merci à lui de
ce rôle de vigie face au cyberespace et à ses acteurs.
Parmi les ouvrages qui m’ont donné envie d’engager ce travail avec ma fille
Lucie, L’ennemi à l’ère numérique1 de François-Bernard Huyghe a été un livre
de prise de conscience de certains aspects importants du monde cyber que
nous avons créé et dans lequel nous vivons sans toujours nous rendre compte
de ses dangers. Merci à lui.
Dans un domaine tout autre, je souhaite remercier Marc Lévy. Il a su, en effet,
donner vie, fort concrètement, à des hackeurs dans Le crépuscule des fauves 2,
sonder leur psychologie et nous donner à voir certaines de leurs actions.
C’est, je crois, un des rares textes où l’on se penche par-dessus l’épaule d’un
de ces mystérieux personnages.
Enfin, je souhaite remercier quatre personnes sans lesquelles vous ne me liriez pas.
1 PUF, 2001.
2 Robert Laffont/Versilio, 2021.
XII Cyberespace et cyberattaque – Comprendre et se protéger
Pour commencer, je citerai Claude. Il préside aux destinées d’une école de

commerce et, il y a bien longtemps, connaissant mon travail dans certains
domaines, il m’a confié des enseignements auprès de futurs DRH. Au contact de
ces personnes, j’ai pu constater à quel point, il était nécessaire – hier – de travailler
sur le poids et l’intérêt des réseaux sociaux et – aujourd’hui – de poursuivre
sur la nécessité de prendre compte et développer ce que dans ces pages nous
qualifions d’« hygiène numérique ».
Ensuite, et sans que ce mot induise une quelconque hiérarchie dans les
remerciements, je souhaite remercier Véronique, mon épouse. Elle est depuis
longtemps la relectrice attentionnée de tous mes textes et articles. Pour ce livre,
elle a mené ce difficile travail, certes de lire nos pages traitant d’un univers qui
n’était pas le sien, mais aussi de nous faire comprendre que parfois, nous n’étions
pas toujours très clairs.
Enfin, je tiens à remercier ma fille Lucie sans laquelle, c’est clair, ce livre
n’existerait pas. En effet, au fil de ses études, le monde cyber est devenu une
de ses spécialités. Elle a ensuite mené dans le cadre de mon entreprise plusieurs
missions et a beaucoup écrit. Lorsque je l’entendais et la lisais sur ces questions,
je ne pouvais que mesurer le fossé séparant son propos des généralités souvent
énoncées par de pseudo-experts convoqués sur les chaînes d’information en
continu.
À chaque fois, je savais qu’elle ferait mieux.
Le problème c’est qu’une fois qu’elle accepta l’idée d’écrire ce livre, elle
m’embarqua dans l’aventure, parce que, effectivement, dans mes cours et
interventions en entreprise, je mettais souvent en lumière tel ou tel risque cyber.
Merci enfin à mon éditrice, Dominique Cohen. Elle sut en effet m’écouter lorsque
je lui parlai d’arme cyber, de monde cyber. Les pandémies numériques qui
ponctuent aujourd’hui nos semaines étaient alors moins nombreuses, moins
médiatisées et ne touchaient pas un panel de cibles aussi varié d’entreprises et
d’organisations autres. Merci à elle d’avoir mesuré tout l’intérêt d’écrire pour
le plus grand nombre.
Thierry Brenet
Remerciements XIII
Pour ma part, mes premiers remerciements vont à deux enseignants qui m’ont
marquée durant mes études supérieures.
Tout d’abord, merci à Pascal Chatonay qui a su éveiller mon intérêt pour le
monde cyber à une époque où ce terme restait peu connu.
Ensuite, merci à Ève Tourny, qui m’a confortée dans l’intuition que je trouverais
dans ce « nouveau monde » un chemin passionnant à défricher, un chemin
jamais monotone.
Ce chemin, dont je ne sais où il me mènera, j’ai plaisir à le partager à mon tour

grâce à une éditrice, Dominique Cohen. Sa confiance me permet de transmettre
ici encore plus largement à d’autres ce qu’est le monde cyber, ce que sont ses
armes et ses dangers.
Enfin, j’aimerais remercier les dirigeants et cadres d’entreprise rencontrés lors

de l’écriture de ce livre à quatre mains. Merci pour le temps qu’ils m’ont donné.
À leur contact, j’ai pu tout à la fois mesurer l’éloignement qui pouvait exister entre
leur connaissance du monde cyber et la grande palette de dangers existants et,
dans le même temps, leur envie de savoir et de transmettre.
Ces contacts ont également été importants en termes de positionnement de

nos travaux d’écriture, d’explication et de mise en lumière de sujets qui sont
encore trop souvent vus de loin et de manière anecdotique.
Merci à eux en espérant que ce livre leur donnera matière à aller plus loin dans
la sensibilisation de leurs salariés.
Lucie Brenet
Préambule
Il y a quelques années, les notions de cyberespace, de pirates ou encore de

cybercombattants ne faisaient partie ni des marronniers de la presse, ni des
préoccupations premières des dirigeants d’organisations publiques ou privées.
Si nous avions à l’époque interrogé des directeurs d’hôpitaux et leur avions

demandé de dresser une liste des risques principaux auxquels ils étaient
confrontés, le risque cyber serait certainement apparu très loin dans le bas du
classement de leurs préoccupations.
Le cyberespace renvoyait à des robots flottant dans l’espace, les hackeurs étaient
souvent vus comme de vieux anarchistes « baba cool » pratiquant l’informatique
pour le plaisir. Certes, des piratages avaient lieu, mais ils ne relevaient plus
dans la transposition de techniques d’espionnage d’État. De temps en temps,
on pouvait lire une brève sur les velléités russes ou américaines de « pirater »
leurs ennemis de toujours. Ces actes de piraterie interétatique, pas encore
qualifiée de numérique par le citoyen, pouvaient certes déborder sur d’autres
structures que les administrations, mais on restait dans la démonstration de
force et, partant, dans la démonstration de la faiblesse de la cible.
Plus près de nous, des « illuminés » commencèrent à évoquer la prise de contrôle

à distance de barrages, de centrales nucléaires ou de réseaux d’eau potable,
mais encore une fois, cela semblait tellement éloigné pour les citoyens.
Malheureusement, parmi ces citoyens, nous pouvions ranger les chefs d’entreprise
et nombre de nos décideurs politiques.
Avec le RGPD, nous avons découvert que nos données personnelles avaient
de la valeur. Pire encore, qu’elles pouvaient faire l’objet de « fuites », être
revendues, etc. On ne faisait pas forcément le lien avec un nouveau monde,
le cyberespace où agissaient des pirates, mais il y avait un début de sensibilisation.
XVI Cyberespace et cyberattaque – Comprendre et se protéger
Bizarrement, à part Facebook revendant des données à Cambridge Analytica3,

on entendait parler de données volées, mais jamais de voleurs. À vrai dire,
comment être curieux d’un monde parallèle où tout est numérique quand on
ne le connaît pas, quand on ne nous a pas expliqué son existence, ses règles,
ses acteurs, etc. ?
Lorsque nous avons engagé l’écriture de ce livre, certes l’actualité des

cyberattaques jouait en notre faveur, la presse se faisait l’écho de hacking,
de phishing, de DDoS. Un ver numérique, un cheval de Troie tout autant
numérique traversait les journaux télévisés, mais la culture cyber des Français,
et plus largement des Européens – à l’exception peut être des républiques
baltes – restait microscopique.
Dans le secret de leur Codir, les grands groupes privés recrutaient pour organiser
leur défense, construire des murs, mais parmi les PME et les ETI, la sensibilisation
« démarrait ».
Côté particulier, nous connaissions tous des personnes dont le compte bancaire
avait été piraté, mais comme les banques, généralement, couvraient la perte
financière, cela tenait plus de l’anecdote. Côté entreprises, si l’information
commençait à circuler, nous n’étions pas à une mobilisation massive pour se
protéger.
Quant à la protection, il y avait (en projet), mais elle tenait essentiellement de

l’investissement informatique, et peu de la formation des hommes.
Malheureusement, si le gardien de la cité oublie ses clés à la taverne, les laisse

à une personne qui dit devoir rentrer tard, ou ne ferme pas le pont-levis,
vous pouvez élever toutes les murailles que vous voulez, cela ne sert à rien.
Aujourd’hui, dans nombre d’entreprises encore, nous en sommes là.

Quand investissement il y a, on privilégie le matériel et son fonctionnement,
mais pas la formation. Un chef d’entreprise interrogé sur ce non-sens l’expliquait
avec le sourire, en disant : « C’est normal, le matériel, c’est visible et ça s’amortit… »
C’est pour apporter notre contribution à la nécessaire sensibilisation des

entreprises et organisations, et plus largement, pour combattre également un
certain nombre de clichés, que nous avons décidé d’écrire ce livre.
3 En 2014, une entreprise (Cambridge analytica) a utilisé les données personnelles de plus de
50 comptes Facebook pour analyser les comportements de leurs propriétaires et, ensuite,
tenter d’influencer leurs intentions de vote.
Avant-propos
Si l’armée française, nos gouvernements successifs, l’ANSSI (Agence nationale

de la sécurité des systèmes d’information), la Cnil ou AFNOR participent, chacun
en fonction de ses responsabilités et missions, au développement d’une culture
française cyber, une partie de celle-ci nous est cachée et c’est logique, puisque
cela renvoie à un effort de défense qui ne peut être dévoilé.
Aussi, hormis certains cursus spécialisés, il est difficile d’accéder à autre chose
que des explications fragmentées sur ce qu’est tel ou tel vecteur permettant de
« hacker » un ordinateur. Avec cet ouvrage, nous avons souhaité faire la synthèse
de ce qui est nécessaire à un cadre, à un dirigeant d’entreprise privée ou de
service public pour comprendre le nouveau monde dans lequel il évolue et les
risques qu’il croisera ou qui atteindront sa structure.
Nous allons un peu plus loin, évidemment, et tout ce que vous trouverez dans
ces pages peut être utilisé pour concevoir une action préalable à une formation.
Vous pouvez reprendre nos infographies4 dans ce même objectif de sensibilisation.
Pour autant, le cyberespace et l’arme cyber, deux notions que nous allons définir
et développer, renvoient à un monde vivant et même secrètement mouvant.
Nous vous engageons donc à ne pas négliger les sources d’information que sont
les sites Internet des organismes que nous citons au fil des chapitres. Ce sera,
pour vous, le meilleur moyen d’ajouter des briques aux bases déjà conséquentes
que nous vous proposons ici.
Enfin, la conclusion de ce livre ne s’achèvera pas sans que nous vous donnions
le moyen de nous consulter si vous souhaitez aller plus avant sur tel ou tel point.
4 À l’exception d’une infographie utilisée avec l’accord de l’entreprise Deloitte (figure 3.3), et
d’un tableau présentant le « Schéma national de classement des attaques informatiques »
(figure 1.5), toutes les autres ont été créées par Thierry Brenet.
Introduction
La culture d’une majorité des Français en matière cyber n’est pas très développée.
Comment leur en vouloir lorsque l’on compte le peu d’ouvrages vulgarisant ce
sujet et donnant une vision globale de ce thème avec les interactions entre les
différents types d’acteurs et les armes existantes ?
Beaucoup pensent certainement que cela n’a rien de grave, le cyber étant un
domaine de spécialistes, à l’image de la chose militaire. Le problème est que
ce qui vaut pour l’art de la guerre – nous n’avons pas besoin de tous savoir
comment fonctionne un drone Ripper, ce qu’est le projet de SCAF5 ou comment
fonctionnent les munitions vagabondes6 – ne vaut pas pour le monde cyber et
les risques qui lui sont inhérents.
Comme nous l’écrivions plus haut, en utilisant l’image du gardien d’une cité,
s’il ne ferme pas le pont-levis, peu importe l’épaisseur et la hauteur des murailles,
les barbares pourront entrer dans la cité, la piller et repartir.
Dans le monde cyber, si un salarié de TPE, de PME ou d’ETI ouvre une pièce
jointe ajoutée à un mail et que celle-ci contient un malware, bien des protections
mises en œuvre ne serviront à rien.
Notre volonté, forts de cette certitude, a donc été d’offrir une caisse à outils aux
dirigeants et cadres de ces entreprises pour, dans un premier temps, leur faire
découvrir et comprendre ce nouveau monde et, ensuite, d’avoir la matière et les
modus operandi leur permettant de sensibiliser et former leurs salariés.
Pour ce faire, nous avons procédé en deux temps. À la manière de certaines pièces de
théâtre, romans ou films, nous avons commencé à planter le décor (première partie).
5 SCAF est l’acronyme de « système de combat aérien du futur » et correspond à un projet

international d’un ensemble de systèmes d’armes aériens interconnectés.
6 On nomme « munitions vagabondes » ou « munitions rôdeuses » des drones suicides qui sont
la munition et non pas son transport. Ces drones, a priori, lorsqu’ils sont lancés, n’ont pas
forcément déjà leur cible déterminée.
2 Cyberespace et cyberattaque – Comprendre et se protéger
Cela fait, nous en sommes venus naturellement aux comportements qui doivent
être les nôtres, nous salariés, dirigeants d’entreprise et d’autres types de structures
(deuxième partie) et de rappeler qu’une grande partie de ce qui se passe dans
ce monde est lié aux doctrines et visions des États.
Dans la première partie, parce que cela nous semblait primordial, nous avons
défini le cyberespace et son champ de bataille (chapitre 1).
Si l’on assimile ce nouvel espace à un champ de bataille, il est effectivement celui

où des États se livrent des guerres longues et la plupart du temps discrètes,
mais c’est aussi là que des voleurs recyclés et de nouvelles mafias agissent.
Par contre, contrairement aux guerres classiques, aux actions délictueuses que
notre monde a connues pendant des siècles, cet espace est différent, il ne connaît
pas de frontières ni de temporalité. Par contre, sans le savoir, nous baignons
tous, 24 heures sur 24 par délégation dans cet océan numérique. La division,
travail/vie privée n’y a plus lieu d’être, un rapt numérique pouvant démarrer dans
l’une (vie privée) et se poursuivre dans l’autre (cadre de l’entreprise, pour un vol
de données, par exemple).
Ces nouvelles réalités – pas toujours agréables à découvrir, parce que pas
toujours confortables –, décortiquées, nous nous sommes attaqués à l’arme
cyber. Contrairement au revolver du truand, au char Leclerc ou au porte-avions,
cette arme se cache assez facilement, dans un document d’un smartphone, dans
des lignes de code d’un programme présent sur un ordinateur avec lequel on
passe n’importe quelle frontière, sur une clé USB ou dans un mail.
Pour clore la première partie de ce livre, dans notre chapitre 2, nous vous avons
concocté quelques bonnes pages – du moins, c’est notre souhait – sur l’utilisation
de cette arme cyber. Truands, salariés d’entreprise ou bien hackeurs professionnels,
ils sont nombreux ceux qui peuvent l’utiliser et, hélas, leurs commanditaires ne
manquent pas.
Bien évidemment, l’idée n’est pas de vous dire que « tout est foutu », comme
s’est exclamé un dirigeant d’entreprise auquel nous faisons une présentation
— le changement climatique se chargera bien tout seul de nous conduire à cette
échéance. Notre propos est de vous aider à comprendre ce monde, qui utilise cette
arme et pourquoi afin de mettre en place les actions de protection nécessaires,
lesquelles – vous l’avez compris – ne doivent pas se limiter à de nouvelles murailles
plus épaisses et plus hautes.
Le décor sera donc planté. Le contexte vous sera alors familier et vous connaîtrez
les différents uniformes (ou non uniformes) que peuvent endosser les acteurs,
il sera temps, alors de passer à la seconde partie de ce livre qui va traiter de
notre protection.
Introduction 3
Puisque vous avez compris ce qu’est l’arme cyber, vous ne serez pas étonné
des contre-feux que nous vous proposons. Cela passera, évidemment, par une
hygiène collective. Sans vouloir faire de mauvais jeux de mots, un certain nombre
de risques peuvent être évités en respectant et en promouvant auprès de ses
collègues, des salariés, des prestataires, etc., un certain nombre de gestes
barrières qui ont fait leurs preuves.
Pour n’en citer qu’un qui peut sembler particulièrement primaire, on n’ouvre pas
la pièce jointe associée à un mail que nous adresse une personne que nous ne
connaissons pas ! Bien entendu, s’il s’agit d’un échange important, on respecte
certaines règles et, si nous cochons toutes les bonnes cases, on peut se rassurer
et continuer…
Et puis, il y a des organismes dont la mission est de vous aider, des outils qui
ont fait leurs preuves dans le monde de l’entreprise. Nous en ferons le tour
ensemble. À vous ensuite de poursuivre l’approfondissement de ce que nous
vous apportons en prenant contact avec les organismes étudiés ici.
Enfin, le dernier chapitre de cet ouvrage sera consacré au droit prévalant en

matière cyber et doctrines nationales. Cet aspect, certes moins concret, nous
a semblé quand même nécessaire pour deux raisons.
D’une part, on entend souvent dire du cyberespace que c’est un far west numérique
où aucun arsenal juridique n’existe pour nous nous protéger. C’est évidemment
faux. De plus, il est intéressant de connaître les sources du droit existant pour,
en cas de problème, savoir comment agir et vers quelle institution se tourner.
D’autre part, comme dans n’importe quelle guerre, les affrontements qui existent
entre pays, même par délégation, peuvent influer sur le quotidien des entreprises et
de nos infrastructures. Aujourd’hui, pour faire simple, lorsque tel pays s’insurge ou
s’oppose aux menées de tel autre grand pays, les infrastructures les plus diverses
du premier, comme par hasard, peuvent être bloquées. Cela signifie des difficultés
de fonctionnement de réseaux vitaux et – en bout de chaîne – des entreprises.
Qui dit agression potentielle, même indirecte, dit besoin de protection. Il importe
donc de savoir, face à ce danger, ce qui est développé. D’où l’intérêt de présenter
la doctrine de la France, celles de pays alliés et d’autres…
En fonction de votre niveau de connaissance, bien évidemment, vous pourrez

vous connecter à nos présentations là où bon vous semble. Le reste ne sera
pas à dédaigner. Il pourra en effet vous être utile pour sensibiliser d’autres
personnes autour de vous.
Afin de vous faciliter ce « picorage » ou, pour d’autres, de préférer une lecture
thématisée, chaque sous-partie de chapitre est encadrée par quelques lignes
intitulées : « Avant de plonger » et d’autres nommées : « Ce qu’il faut retenir. »
Chaque fois que cela nous a semblé utile, nous avons utilisé des infographies.
À une exception près, elles ont été créées par Thierry Brenet pour son site
Internet (https://www.thierrybrenet.fr/infographie/).
Il ne nous reste plus qu’à souhaiter que la lecture de ce livre vous soit utile et
– pourquoi pas – vous permette de diffuser la bonne parole.
Partie I
Cyber, comme
cyberarme,
cybercombattant
et donc cyberrisques
1
L’arme cyber et son
champ de bataille
1.1 Le cyberespace
Un ensemble de chiffres, des suites de « zéro » et de « un », des lignes de codes,
voilà l’image que nous renvoie le plus souvent le cyberespace. Mais une telle
représentation est-elle juste ? Peut-on réellement ne voir de cet espace que des
éléments qui existent sans pour autant être complètement réels ? Je crois qu’il
est temps pour nous tous de voir au-delà de ces approches.
1.1.1 Aux origines du cyberespace
AVANT DE PLONGER
Un peu d’histoire et des évolutions mises en lumière par quelques chiffres
sont souvent utiles, pour ne pas dire nécessaires, pour savoir où l’on « met
les pieds ».
Commençons par un peu d’histoire. Si nous sommes extrêmement familiarisés avec

Internet, nous ne connaissons pas aussi bien son ancêtre. En 1969, des ingénieurs
américains créent un réseau interne à l’armée américaine, Arpanet. Ce dernier ne
connecte alors que quatre ordinateurs. Bien que semblant manquer d’envergure,
ce réseau interne vise à maintenir les échanges de données en toute sécurité, et
ce dans le cadre de la guerre froide. Dans l’hypothèse où cette guerre se serait
traduite par un affrontement nucléaire entre les États-Unis et la Russie, Arpanet
devait permettre d’éviter une rupture totale des communications vitales dans un
contexte de totale désorganisation de la plupart des circuits « normalement »
utilisés par les infrastructures qui innervent un pays, lui permettent de vivre et
de se défendre !
On voit donc qu’à l’origine, ce réseau n’a nullement été conçu pour être globalisé
et être mis à disposition des 7,8 milliards d’habitants de notre planète.
En 1971, les ingénieurs travaillant sur ce réseau sont parvenus à envoyer des
messages électroniques entre des ordinateurs situés à différents endroits des
États-Unis, inaugurant ainsi le premier e-mail.
En 1977, la National Science Foundation met en place Arpanet grâce à des centres
informatiques d’une très grande puissance. Ces plateformes permettent à un
plus grand nombre d’utilisateurs de se connecter depuis quasiment n’importe
où aux États-Unis.
En faisant cela, les ingénieurs militaires créent l’Internet sans se douter de

l’ampleur planétaire qu’il va prendre.
En 1980, Arpanet se divise en un réseau militaire (Milnet), qui deviendra Defense

Data Network, et un réseau universitaire, NCFNET.
Dernière date importante, au plan symbolique, 1982, avec l’invention d’un

nouveau protocole. Qui dit nouveau protocole, dit nouvelles règles, lesquelles
vont permettre d’ouvrir plus largement encore ce réseau.
Ce réseau se mondialise et devient progressivement un outil incontournable

dans notre quotidien. Cette omniprésence se renforce avec la diffusion de plus
en plus large d’écrans mobiles, nos smartphones et autres tablettes utilisant
des infrastructures toujours plus puissantes. Celles qui se cachent derrière des
acronymes 3G, 4G et 5G, portent ce développement, pour le meilleur et pour
le pire.
La place prise par Internet, nous le savons, est importante, mais quelques
chiffres permettent d’en évaluer l’ampleur : en 2018, 4 milliards de personnes
sont connectées à Internet, soit 53 % de la population mondiale. Évidemment,
l’Amérique du Nord et l’Europe sont les plus connectées.
En 2020, 4,79 milliards de personnes seraient reliées à Internet, alors qu’il n’y
en avait que 1,97 milliard en 2010.
Internet n’est pour autant que la pointe émergée de l’iceberg. Cette partie
visible est un bon observatoire de son évolution, puisqu’elle permet de se rendre
compte de la place prise par le cyberespace dans notre histoire récente.
Ce terme de cyberespace va d’abord apparaître, et être popularisé, dans l’œuvre

de romanciers, dans des ouvrages de science-fiction, avant d’être repris aussi bien
dans le lexique de l’Agence nationale de la sécurité des systèmes d’information
(ANSSI) ou nos dictionnaires les plus connus, comme le Petit Robert. L’actualité
se chargera enfin de l’imposer dans notre vocabulaire usuel.
L’arme cyber et son champ de bataille 9
Ce qu’il faut retenir

La scène du théâtre où se joue la pièce du cyberespace est assez grande pour
accueillir des acteurs par milliards, alors que la pièce jouée devant nous ne
s’écrit pas depuis si longtemps.
1.1.2 De l’imaginaire à la réalité
AVANT DE PLONGER
Imaginé par un auteur de science-fiction, le cyberespace s’est déplié partout
et nous est devenu indispensable.
En 1984, William Gibson a inauguré l’usage de ce terme dans son roman le

Neuromancien7 ; pour lui, il s’agissait d’une « hallucination consensuelle vécue
quotidiennement en toute légalité par des dizaines de millions d’opérateurs,
dans tous les pays, par des enfants à qui des concepts mathématiques sont
ainsi enseignés… une représentation graphique de données extraites des
mémoires de tous les ordinateurs du système humain ». Cette description était
particulièrement visionnaire :
 nous faisons effectivement partie des millions d’opérateurs qui, au quotidien,
utilisent cet espace auquel nous avons confié une quantité non négligeable
de nos données ;
 nous voyons sur nos écrans des assemblages de textes et d’images créés
par notre demande et qui n’existeront que le temps de notre consultation ;
 enfin, sans les « ordinateurs » stockant les données que nous leur confions
et utilisant les programmes informatiques créés par l’homme, rien de cela
ne serait accessible partout dans le monde et souvent simultanément.
Pour autant, cette « hallucination consensuelle » et mondiale qu’est le cyberespace

n’est pas seulement un assemblage de lignes de code, il a une forme et une
présence propre, du fait de notre activité digitale.
Ainsi, dans les années 1990, ce terme de cyberespace fut repris par l’armée
américaine afin de désigner l’ensemble de ses réseaux d’échanges de données
numériques qui commençaient alors à émerger. On trouve ici un élément qui
rejoint notre usage quotidien du cyberespace : les réseaux d’échanges numériques.
7 Titre original : Neuromancer. Traduction française : La Découverte, 1985 (trad. par Jean Bonnefoy).
Le principal usage du cyberespace, ce sont effectivement les échanges numériques

que nous réalisons, notamment via le réseau Internet. Mais ne vous méprenez pas,
Internet n’est pas le seul réseau d’échanges numériques au sein du cyberespace,
même si nous avons souvent tendance à nous limiter à ce dernier lorsqu’on
évoque cet espace.
Ainsi, dans le cadre de cours en distanciel, je « pointe » les étudiants présents

grâce à une application installée sur mon smartphone. Cela fait, je signe en tant
qu’enseignant et j’envoie automatiquement un mail à chaque étudiant pour qu’il
signe à son tour. Enfin, l’ensemble de ces informations numérisées sont envoyées
à l’école pour laquelle j’interviens. Tous ces échanges sont numérisés, comme
sont automatisés les constats d’absence de départ en avance ou de retard…
Prenons un autre exemple. Les systèmes de gestion de trafic routier, lorsqu’ils

sont numérisés, tout d’abord gèrent, par exemple, le fonctionnement des feux
de circulation qui nécessitent qu’un échange de données puisse se réaliser
correctement sous peine d’accidents. Ils pourront également prendre en compte
le retard pris par un bus de ville en faisant passer au vert les feux tricolores qu’il
va rencontrer sur son parcours.
Un autre système essentiel auquel on ne pense pourtant que trop peu est le
système bancaire, lequel repose essentiellement sur le système numérique.
En dehors de la monnaie que nous conservons pour les machines à café, nous
avons souvent fort peu d’argent liquide sur nous, puisque nous effectuons la
majorité de nos paiements avec des cartes bancaires. Comme vous le savez
lorsque nous utilisons notre carte de crédit, l’argent que nous dépensons ne
représente en réalité que des écritures numériques. Nos banques ne disposent
pas des sommes présentes sur nos comptes en monnaie sonnante et trébuchante.
La distribution de l’eau, de l’électricité, le transport aérien, le transport ferroviaire,

tous ces services reposent également sur des systèmes numériques dont il serait
inconcevable d’envisager de se passer.
Vous le voyez bien, le cyberespace est devenu vital pour le fonctionnement de

nos activités quotidiennes, et ce dans nombre de domaines.
Pour autant, s’il repose, peut-être en partie sur des lignes de codes, il ne peut
être limité à cela. C’est ce que nous allons nous attacher à détailler, car l’utilisation
de ces architectures numériques pour faire circuler aussi bien de l’argent que
des trains ou de l’eau et de l’électricité nous renvoie à des risques que le cinéma
ne manque pas de nous donner à voir. C’est le cas par exemple dans l’un des
volets de la célèbre série Die Hard qui met en avant un groupe de hackeurs
s’attaquant à des infrastructures étasuniennes afin de liquider les biens américains.
Pour commencer, ils coupent les communications avant de s’en prendre aux
places boursières ainsi qu’aux installations du gaz et de l’électricité.
Arrivés à ce point de nos découvertes, retenons que ce fameux cyberespace,

même s’il nous semble encore être un monde opaque, consiste en la mise en
réseau d’un grand nombre de périphériques.

Sans que nous y prenions garde, parce que nous sommes avides de progrès,
de facilité et de rapidité, parce que notre monde fonctionne – en temps
normal – de manière plus fluide en réseau, le cyberespace nous est devenu
indispensable, même dans des secteurs on ne peut plus stratégiques, pour
faire circuler l’eau, l’électricité et l’argent…
1.1.3 La toile de notre quotidien
AVANT DE PLONGER
La pandémie a accéléré notre basculement collectif et quotidien sur des
outils de communication numériques. Découvrez dans les quelques lignes
qui suivent comment nous nourrissons l’« ogre cyber ».
C’est cette mise en réseau qui a permis au cyberespace de prendre l’ampleur

qu’on lui connaît aujourd’hui. Loin de se limiter à de simples échanges entre
ordinateurs, le cyberespace vit grâce à de multiples interconnexions et mises en
réseau. C’est ce qui lui permet de mettre à notre disposition nombre de facilités
dans notre quotidien, et ce dans tous les domaines.
Par exemple, si je me suis tordu une cheville, je peux remplacer mon rendez-vous
physique par un rendez-vous en distanciel. Dans un tout autre domaine, avant
de partir faire une marche d’une journée dans les Alpes suisses, je peux vérifier,
toujours avec mon smartphone, la prévision météorologique ou la manière dont
vont tourner les vents. Au retour, je pourrai visualiser le circuit réalisé, le nombre
de kilomètres parcourus et même les calories dépensées…
Les échanges et les relations humaines ont été, et sont en permanence, impactés
par le développement du cyberespace. Cet espace s’est affranchi de certaines
contraintes classiques, tout particulièrement concernant le temps et la distance.
Ainsi, la vente via Internet fait que, si telle ou telle boutique n’est ouverte que
9 à 13 heures par jour, d’autres le seront 24 h/24, 7 jours/7, et ce pour des clients
se connectant même de l’autre bout de la planète.
Vous vous souvenez des cartes postales envoyées d’un lieu de vacances ?
Nous devions les écrire assez tôt pour ne pas rentrer avant elles ! Là aussi,
dans des gestes anodins, le cyberespace a révolutionné le temps nécessaire
pour que deux individus puissent communiquer. Il n’est plus nécessaire
d’écrire une lettre, de se déplacer pour la poster, d’attendre qu’elle arrive à
son destinataire, que ce dernier la lise avant de rédiger une réponse qui suivra
le même cheminement postal. Désormais, tout cela, grâce au cyberespace,
ne prend plus que quelques secondes. Nous écrivons un message que nous
envoyons avec notre smartphone et presque aussitôt, celui-ci arrive à notre
correspondant, qu’il se trouve à 500 mètres de vous, 500 ou 5 000 kilomètres.
Il est devenu courant que l’on possède un ou plusieurs dispositifs nous reliant
au cyberespace. Comme moi vous possédez très certainement un ordinateur,
un smartphone, voire une tablette. Certains d’entre nous possèdent plusieurs
de ces éléments. Il y a le téléphone « professionnel » et le « personnel »,
l’« ordinateur du bureau » et celui que nous utilisons pour nos activités familiales,
etc. Même les plus jeunes en possèdent — le smartphone particulièrement est
très répandu chez les adolescents, qui en conserveront certainement tout au
long de leur vie. Un étudiant quant à lui possédera certainement, en plus de
son smartphone, au moins un ordinateur personnel et souvent une tablette.
Je ne doute pas qu’en plus de ces éléments certains parmi vous possèdent
également une montre connectée, une balance connectée, une enceinte
connectée, etc., qui nous font baigner dans le cyberespace. Celui-ci structure
insidieusement notre quotidien dans notre travail, dans notre vie personnelle,
dans nos démarches administratives, dans nos rendez-vous médicaux, etc.

Sans nous en rendre compte, telle une armée de Petits Poucets, nous laissons
derrière nous des montagnes de signes de notre passage dans le monde cyber,
des traces qui sont autant d’informations renseignant sur nos comportements.
1.1.4 Composition du cyberespace
AVANT DE PLONGER
Depuis quelques pages, nous nous sommes mis à parler du cyberespace.
Après en avoir tracé le périmètre, pour éviter le « hors-sujet », est venu le
temps de définir cette réalité qui, faisons simple, est la somme de trois strates
de réalités, des strates habituellement qualifiées de couches.
Si l’on décortique le cyberespace, on se rend compte que ce dernier fonctionne

selon trois couches différentes.
La première couche, la couche physique, correspond aux différents éléments

matériels que l’on utilise au quotidien, nos ordinateurs, leurs disques durs, etc.
Cette couche contient les infrastructures physiques permettant de mettre en place
et de maintenir l’accès à cet espace. Parmi ces infrastructures, on peut penser
aux réseaux, aux câbles, ainsi qu’à tous les outils permettant de transmettre des
données. Par exemple, si je veux envoyer une photo à partir de mon téléphone,
j’ai besoin de mon téléphone évidemment, mais aussi du réseau 4G et donc
d’une borne, de câbles, etc.
Je viens de vous parler de câbles et, contrairement à ce que l’on peut penser
parfois, un grand nombre des données que l’on envoie en utilisant Internet,
ne passent pas par des satellites ou des antennes, mais par des câbles qui
relient les continents entre eux. Pour nous comme pour l’immense partie de
la population, nous n’avons jamais vu et ne verrons probablement jamais l’un
de ces câbles puisque ceux-ci passent par les océans pour relier un continent
à un autre.
Actuellement, on dénombre plus de 400 câbles représentant plus d’un million de

kilomètres. Ces câbles prennent souvent les mêmes routes que les grandes voies
maritimes et donc les mêmes voies que les échanges économiques mondiaux.
Certains de ces câbles traversent l’océan Atlantique afin de relier l’Europe et

l’Amérique du Nord, d’autres relient l’Amérique du Sud et l’Afrique, mais il y a
également des câbles reliant différents lieux d’un même pays, c’est le cas par
exemple en Australie.
La planète est recouverte de ces câbles, mais tous les pays ne sont pas desservis
de la même façon, l’Europe comptant un grand nombre de câbles arrivant sur
ses côtes, alors que certains pays n’en disposent que d’un.
Une anecdote pour illustrer cela : en Arménie, il y a quelques années, une

femme de 75 ans qui cherchait du cuivre pour le revendre au vu de sa valeur
marchande, a coupé les connexions Internet de toute l’Arménie et d’une partie
de la Géorgie. En creusant pour trouver le précieux minerai, elle a sectionné
un câble sous-terrain qui reliait ce pays à Internet. Cet accident met en lumière
à quel point ces câbles sont stratégiques. En coupant certains câbles, il est
possible d’isoler un État de son lien avec Internet et ainsi le placer en position
de faiblesse.
Cette couche, physique, donne au cyberespace son implantation géographique

et concrète. Ces éléments sont également source de risques pour la survie même
du cyberespace, même si, souvent, une seule personne malintentionnée ne
pourrait suffire pour détruire ou ralentir le cyberespace, en s’en prenant à l’un
de ces câbles.
La deuxième couche du cyberespace, la couche logicielle, représente l’ensemble

des outils qui permettent d’assurer le traitement et la transmission des données
entre différents points. Ici, il va s’agir notamment des protocoles réseau,
des systèmes d’exploitation de votre ordinateur, mais aussi de votre smartphone.
Il faut que les différents ordinateurs et leurs logiciels soient en mesure de
communiquer entre eux pour s’échanger des données, etc.
Prenons l’exemple d’un selfie réalisé avec votre téléphone. Vous n’avez pas
besoin de vous soucier de la marque du smartphone ni du logiciel de visualisation
qu’utilise la personne à laquelle vous souhaitez envoyer cette image. En effet,
un protocole a été créé pour gérer ce type d’échange.
Au-delà de ces protocoles, il y a aujourd’hui le Web 2.0, cet ensemble d’outils

et applications que nous partageons « tous » et qui facilitent nos échanges sans
que nous ayons besoin de taper la moindre ligne de code. C’est magique…
enfin presque !
Dans ce domaine, j’ai récemment vécu un exemple parfait de l’utilisation de

tels outils. Un transporteur polonais venait à mon domicile pour prendre en
charge un meuble vendu via une application mettant en relation acheteurs et
vendeurs. Comme il n’arrivait pas à me faire comprendre quelque chose, il a pris
son smartphone, a tapoté quelques instants dessus puis s’est mis à parler dans sa
langue. Contrairement à ce que je pensais, il ne communiquait pas avec quelqu’un
de son entreprise. En effet, il actionna une touche de son téléphone, le tendit
dans ma direction. Il avait utilisé une application lui permettant de traduire ce
qu’il voulait me dire instantanément. Au final, sa question m’a été posée par une
voix digitalisée.
Je vous laisse compter le nombre de protocoles rendus nécessaires pour en

arriver là, pour passer à la dernière couche constitutive du cyberespace.
Cette troisième couche est la couche informationnelle. Elle correspond au

contenu des messages envoyés, à l’ensemble des données qui sont véhiculées
au sein du cyberespace. À titre d’exemple, parmi ces données, il y a toutes
celles générées par l’utilisation de votre carte bancaire, la date et l’heure, chez
votre médecin pour régler le prix d’une consultation, l’utilisation de votre carte
vitale qui indique à la Sécurité sociale que le médecin vous a reçu. Ensuite, la
pharmacie va également utiliser votre carte vitale ainsi que votre carte bancaire.
D’autres données sont évidemment plus sensibles, mais toutes celles échangées
grâce à cette couche sont extrêmement convoitées, les capter ou faire dominer
sa propre information étant devenu un enjeu primordial dans notre société.
Ainsi, à partir des informations générées par les paiements aux médecins, une
société avait créé une sorte de répertoire des médecins avec les honoraires
pratiqués, et ce afin que tout un chacun puisse choisir un praticien en pleine
connaissance de ses pratiques financières.
Cette application a rapidement été interdite, ce qui n’est pas le cas, par exemple,
d’applications participatives permettant de savoir où, dans une ville par exemple,
l’essence est la moins chère.
Tout cela crée des montagnes de données, et c’est ce que l’on appelle le big data,
lequel vous l’imaginez sans peine est en plein essor.
Aujourd’hui, il existe un règlement européen, le Règlement général sur la

protection des données (RGPD), qui régit l’utilisation de nos données personnelles.
Certes, nous sommes ces individus lambda, lorsque nous nous considérons
individuellement, mais collectivement, nos comportements prennent un tout
autre sens.
Prenons un exemple dans nos vies concrètes. Au moment d’une élection, si

on me demande à la sortie du bureau de vote pour qui j’ai voté, ma réponse
ne renseignera que sur ma couleur politique ou sur mon rejet de tel ou tel
événement, dossier, etc. Par contre, si l’on agrège ma réponse en fonction de
mon âge, de ma catégorie socioprofessionnelle, avec d’autres, le regroupement
de ces informations prend du sens.
Aussi, il n’est pas étonnant qu’à côté des sondages politiques, un grand nombre
d’entreprises désirent récolter nos données, car elles constituent des mines de
renseignements. Vos données permettent, par exemple, de cibler les publicités
que vous allez recevoir et ainsi vous proposer un produit que vous seriez plus
susceptible d’acheter.
Je suis certain que vous avez déjà vécu la situation suivante. Après être allé
consulter un site de vente d’équipements de sport pour connaître le prix de la
veste de pluie qui vous intéresse, ce produit, ainsi que d’autres articles similaires,
a été, comme par hasard affiché comme publicité ou pop-up sur les autres pages
Internet que vous consultez et qui ne traitent absolument pas d’équipement
sportif. Ce faisant, le vendeur du produit vous relance, alimente votre envie de
vous procurer cet article. Vous êtes constamment tenté, ce qui risque de vous
pousser à l’acheter.
Là encore, nous étions sur l’utilisation des données d’une personne, mais si l’on
ajoute à vos données celles de milliers, voire de millions d’autres personnes,
alors l’intérêt est encore plus grand. Ces données vont permettre d’étudier des
comportements de société et ainsi trouver quel produit doit être développé
puisqu’il correspond à un besoin, quelle est la période la plus propice pour
annoncer sa sortie, etc. C’est également à partir de ces données qu’il est possible
d’aiguiller, non plus seulement les consommateurs, mais aussi les citoyens et les
électeurs vers différents choix et ainsi favoriser l’un d’eux.
Ces données sont également utilisées pour développer des intelligences

artificielles. Pour qu’une intelligence artificielle (IA) soit utile, il faut la nourrir
au préalable. Pour faire simple, l’une des techniques utilisées est de la nourrir
avec un grand nombre d’informations similaires. Imaginons que vous voulez
qu’une IA puisse reconnaître des chats. Alors, vous allez lui donner à « voir »
des milliers et des milliers de photos de chats, de toutes les couleurs et dans
toutes les positions. Au bout d’un certain temps, vous allez glisser parmi un jeu
de photos celle d’un chien. Si l’IA a suffisamment intégré des visuels de chats,
elle va rejeter cette photo. Elle sait ! Sinon, il sera nécessaire de la nourrir encore
de visuels de chats.
Une autre technique est d’abreuver cette IA avec des milliers de dossiers médicaux
intégrant les métiers occupés et les maladies soignées, chacun correspondant
à une suite de données pour une personne. Dans un deuxième temps, vous
allez lui demander de comparer ces enregistrements et de créer des sortes de
familles homogènes. Imaginons que parmi ces dossiers, il s’en trouve provenant
de travailleurs de l’amiante. Notre IA va peut-être trouver un nombre de dossiers X
où il y a, à la fois « travail au contact de l’amiante » et « cancer des voies
respiratoires ». Plus le nombre de dossiers de travailleurs de l’amiante présentera
la seconde caractéristique, plus il sera clair que l’amiante intervient, d’une manière
ou d’une autre, dans le développement du cancer évoqué.
Sur cette question, plus les spécialistes en santé publique auront de données
à fournir à leur intelligence artificielle, plus elle pourra devenir précise et
performante.
Nous venons de passer en revue les trois couches les plus souvent présentées
comme constitutives du cyberespace. Les spécialistes en ajoutent deux autres
qui, à leur énoncé, ne devraient pas vous surprendre.
La première de ces deux autres couches sous-tend les précédentes : la couche

énergétique. Pour que le cyberespace puisse fonctionner, il a besoin d’une
grande quantité d’énergie. C’est sur cette couche que se construit le reste de
l’infrastructure.
On peut également mettre une couche au-dessus de toutes les autres,

la couche sociale ou humaine. Si aucun chercheur, aucun technicien n’avait été
là, le cyberespace n’existerait pas. En plus des personnes qui l’ont inventé, il est
nécessaire que d’autres aient besoin, ou envie, de s’en servir. Une technologie a
en effet peu d’intérêt si elle n’est pas utilisée. Chacun d’entre nous joue un rôle
dans l’existence du cyberespace et dans son évolution. Les comportements que
nous adoptons sont pris en compte lors de la création de nouvelles applications
ou de nouvelles fonctionnalités. Nous pouvons donc impacter la manière dont le
cyberespace évolue et est utilisé. Vous, comme moi, sommes nécessaires pour
créer la technologie, mais aussi pour s’en servir.
Par exemple, lorsqu’une application pour smartphone fonctionne extrêmement

bien, car un grand nombre d’utilisateurs l’utilisent, d’autres applications vont tenter
de développer des fonctionnalités similaires afin de conserver leurs utilisateurs,
d’en attirer des nouveaux et donc de rester pertinentes dans leur milieu.
Cette structuration est essentielle pour le cyberespace, alors même que nous ne
la décelons pas au quotidien. Pour nous, le cyberespace est un tout. Malgré cela,
ces différentes couches sont source d’enjeux qui lui sont propres et confèrent
au cyberespace ses dimensions et sa complexité.

Passer en revue ces trois couches – physique, logicielle et informationnelle –
nous permet de mieux comprendre comment vit, et évolue ce nouveau
monde numérique et surtout, qui en sont les acteurs. Pour la suite, lorsqu’il
sera question des dangers que nous courons dans ces contrées – particuliers,
administrations, infrastructures et acteurs économiques –, cette vision nous
sera diablement utile.
1.1.5 Un espace social ?
AVANT DE PLONGER
Les confinements liés à la pandémie de Covid-19 nous l’ont montré,
le cyberespace est une sorte de second monde, un monde de substitution
pour donner un cours, négocier, échanger des informations. Il est intéressant
d’aller plus loin et de faire le tour des outils qui nous amènent à voguer sur
des mers cyber, pas toujours calmes.
Le cyberespace dépasse les seuls outils informatiques, comme nous le montrent

ses différentes couches.
Il s’agit d’un espace universel, il est présent partout sur le globe et aucun aspect
de notre vie ne lui échappe. Même les pays en voie de développement ont à cœur
d’étendre les différents réseaux, téléphonie, Internet, etc. sur leurs territoires.
Dans nos sociétés modernes et très complexes, le cyberespace est partout,

Internet est accessible presque sur tous nos territoires, la couverture téléphonique
est également extrêmement bien développée. Le cyberespace est donc partout !
Nos administrations sont de plus en plus présentes dans le cyberespace. Grâce
à des applications jouant le rôle d’interfaces entre notre clavier et ses dossiers,
l’administration nous offre la possibilité de déclarer nos revenus, payer nos
impôts et, si le besoin s’en fait sentir, de moduler nos mensualités.
Nous avons une amende à payer ? Qu’à cela ne tienne ! Il n’est plus nécessaire
d’aller acheter des timbres fiscaux ou d’envoyer un chèque. Il nous est possible de
la régler directement grâce à une application téléchargée sur notre smartphone.
Et toutes ces informations circulent… devinez où ?
Autre exemple, avec un réseau social professionnel que l’on me dit être nécessaire
pour des recherches d’emploi 2.0…
Pour être lisible sur ce réseau, je vais donc créer mon profil. Les concepteurs
de ce réseau, pour me faire aller aussi loin que possible dans la description de
mes expériences, vont me rappeler que je peux encore compléter telle ou telle
rubrique. Je vais envoyer des invitations, réagir à un « post » et le commenter,
écrire des recommandations et en solliciter d’autres. Enfin, bref, je vais me
rendre visible, tisser une toile tout aussi visible, parce que digitale et utilisant
les algorithmes de ce réseau social.
Le cyberespace s’impose donc de plus en plus comme un espace social. Il a

intégré nos vies privées, il met en relation des individus, il permet aux individus
d’exprimer leurs opinions.
Un rapprochement très net s’est opéré entre nos habitudes, nos comportements
quotidiens et le cyberespace.
En se développant, le cyberespace est devenu un lieu d’échange et de partage.

Les réseaux sociaux ont pris une place majeure dans nos vies. Grâce à eux,
nous pouvons échanger des photographies, des vidéos, partageant ainsi nos
expériences quotidiennes, nos voyages, nos opinions et même échanger avec
nos proches.
Les réseaux sociaux ont permis la création de plateformes ou de communautés

fédérant des individus autour d’un centre d’intérêt commun.
Historiquement, on trouve cette démarche sur les blogs et les forums qui ont
émergé dès les premiers pas d’Internet. Les premiers grands réseaux sociaux,
MySpace (2003) et Facebook (2004) ont permis d’aller au-delà, créant une véritable
bulle virtuelle avec des contacts, des partages sur tous les sujets possibles, des
photos, des vidéos, etc.
Le développement de ces réseaux, sur la base des contenus que nous y déposons
tous de manière plus ou moins acharnée, amène certains chercheurs à évoquer
le terme de « médias sociaux ».
Si vous cherchez la définition d’un média, vous obtiendrez une formulation

vous disant que c’est un moyen, un outil, un support, de diffusion massive
d’informations. Avec le blogging et le microblogging, nous avons bien des outils
nous permettant de diffuser des messages plus ou moins structurés.
Ces nouveaux médias sociaux ont également modifié la position de chacun

d’entre nous dans la diffusion d’informations. Ainsi, il y a quelques décennies,
lorsque nous souhaitions faire connaître un événement, notre position — ou
réaction — par rapport à une prise de parole politique, par exemple, nous avions
le choix entre le comptoir du café de la poste ou la place du village si le localier
ne souhaitait pas en faire une brève pour son journal.
Aujourd’hui, parce que le Web 2.0 nous offre une multitude de supports, nous
pouvons très simplement et très facilement emprunter les voies de distribution
que nous offre le cyberespace sans « passer sous les fourches caudines des
gens de presse » pour le meilleur et, évidemment, pour le pire, comme nous le
constatons quasiment chaque jour.
À côté de ces réseaux sociaux, d’autres se sont développés avec des centres
d’intérêt plus ciblés, c’est le cas notamment d’Instagram qui se concentre sur les
photographies et sur les vidéos très courtes, ou de LinkedIn, qui est un réseau
social à but professionnel.
YouTube est également un réseau social très important, sur lequel des vidéos
sont partagées par des créateurs.
Cette plateforme est l’exemple même des facilités octroyées à chacun de

nous grâce au cyberespace. C’est particulièrement visible avec les plus jeunes
générations qui ont grandi en même temps que le cyberespace ou qui n’ont pas
connu un monde sans lui. Ils ont les réflexes et les habitudes de ce cyberespace,
n’imaginant pas comment l’on vivait avant son apparition. S’ils veulent faire du
sport, ils vont sur YouTube ou sur une application dédiée aux entraînements
sportifs afin d’y trouver le contenu qu’ils souhaitent. Peu importe ce que vous
voulez apprendre à faire, vous trouverez des tutoriels ou de l’aide sur YouTube.
Cela ne s’arrête pas au sport, si je veux apprendre à faire un nœud de cravate

ou à coudre des vêtements, mon premier réflexe est d’aller consulter Internet
que ce soit via un moteur de recherche ou sur un réseau social précis.
Mais les réseaux sociaux sont loin d’être le seul élément faisant du cyberespace
un espace social.
Les jeux en ligne se sont développés en même temps que le cyberespace.

Les premiers jeux multijoueurs en ligne se développent dès la fin des années 1990.
Grâce à eux, des joueurs du monde entier peuvent se retrouver pour partager
leur passion. Ils permettent de créer des communautés de joueurs, qui forment
ainsi des équipes afin d’améliorer leurs compétences et de faire partie d’un
nouveau cercle de connaissances partageant un même intérêt.
Parmi les équipes de jeux vidéo les plus connues, on peut citer le FaZeClan qui
rassemblait plus de 19 millions de followers en 2019.
Ces équipes participent également à des compétitions de jeux vidéo. Il ne s’agit

pas là d’un phénomène de mode, mais d’une véritable discipline : l’e-sport.
Cette forme digitalisée du sport, qu’il est convenu de qualifier d’e-sport, est
apparue dans les années 1970, mais n’a réellement pris de l’ampleur que dans
les années 1990. À l’époque, les participants se retrouvaient à un même endroit
avec leur matériel personnel afin de s’affronter les uns les autres. La globalisation
d’Internet a permis à l’e-sport de prendre une dimension plus massive. L’e-sport
se pratique seul ou en équipes, qui peuvent être professionnelles ou semi-
professionnelles. Il n’y a plus de terrain pour s’affronter, ou plutôt si, un terrain
virtuel, sans localisation exacte, dans le cyberespace.
Quant au spectateur, chacun peut désormais avoir accès à ces compétitions,

qui se déroulent sur consoles ou ordinateurs et pour un grand nombre via des
jeux vidéo. La multiplication des tournois avec des récompenses importantes a
professionnalisé l’e-sport. Les équipes se sont structurées comme des équipes
sportives traditionnelles, avec des joueurs, des entraîneurs, des analystes
stratégiques et même des commentateurs pour les retransmissions de matchs
en direct. Différentes marques sponsorisent ces équipes, dont notamment
Orange qui soutient la Team Vitality.
Une enquête réalisée pour France Esports, et portant sur l’année 2020, montre
à quel point ces sports numériques mobilisent. En effet, un peu moins de
8 millions des internautes de plus de 15 ans sont consommateurs d’e-sport et/
ou pratiquants8.
8 Pour plus de détails sur cette étude, voir : https://www.france-esports.org/barometre-france-

esports-resultats-de-ledition-2020/
Sur ce registre social, et pour être exhaustifs sur les traces des comportements
que nous laissons dans ce nouveau monde numérique, reste à dire quelques
mots d’autres pratiques totalement digitalisées.
Pour continuer dans cette logique de jeux abordée avec l’e-sport, nous ne
pouvons pas laisser de côté une autre pratique liée aux jeux vidéo : le streaming.
La plateforme Twitch est l’une des plus connues en la matière puisque 15 millions
de personnes l’utiliseraient. Sur celle-ci, il y aurait 9 millions de chaînes dont
54 500 proposant du contenu en direct en même temps. En ce qui concerne les
téléspectateurs, la plupart auraient entre 18 et 34 ans.
Cette pratique est extrêmement populaire auprès des adolescents et des jeunes
adultes, qui peuvent ainsi découvrir le scénario d’un jeu vidéo et décider s’ils
veulent se le procurer ou non. Par ailleurs, certains jeux vidéo sont tellement
bien réalisés que lorsqu’une autre personne y joue, on peut la regarder jouer
comme s’il s’agissait d’un film.
Pour certains streamers, cette activité leur permet de dégager un salaire, grâce
à des abonnements ou des promotions de produits, comme un nouveau jeu vidéo.
Pendant la période de pandémie due au coronavirus en 2020-2021, l’étendue du
cyberespace a permis à nombre d’entre nous de continuer à travailler depuis leur
domicile. Le cyberespace, sans lequel le développement du télétravail n’aurait
pas été possible, s’est à nouveau enrichi de connexions multiples, et encore plus
de données sont partagées.
Cet enrichissement du cyberespace peut se voir comme un développement de
notre cerveau. Toute nouvelle activité à laquelle nous nous livrons permet de créer
de nouveaux chemins entre nos neurones, l’activation de neurones et de synapses.
Ces « autoroutes », une fois créées, ne demandent plus qu’à être utilisées.
Dans notre vie quotidienne, cela va se traduire par des utilisations familiales,
par exemple la vulgarisation des outils de visioconférence utilisés en famille ou
avec des amis pour entretenir les liens.
Durant cette période troublée, le cyberespace a été une source de réconfort
et d’informations pour beaucoup d’entre nous. Il nous a offert également ce
confort avec de nouvelles façons de travailler en nous appuyant toujours plus
sur le cyberespace et ses avantages. Et, par ailleurs, ce nouveau monde a ouvert
de nouvelles mines débordantes d’informations sur nous-mêmes, nos activités,
nos comportements, etc. Il est désormais possible de consulter via une application
dédiée sur votre smartphone. Il est en effet possible de téléconsulter son médecin
généraliste autant qu’un spécialiste sur une plage horaire importante, et ce tous
les jours. Avec notre généraliste, ces consultations nous permettent d’obtenir
une ordonnance sans nous déplacer.
Pour parachever cette partie consacrée à la dimension sociale de ce cyberespace,

voici une bordée de chiffres 9. Ils sont tout à la fois l’illustration de notre
fréquentation de cet univers numérique, le reflet de nos comportements digitaux,
mais aussi et surtout l’indication des montagnes de traces que nous y laissons :
 chaque jour, 306,4 milliards de mails seraient envoyés et l’on atteindra
347 milliards en 2022 ;
 selon les périodes, les spams constituent entre 55 % et 95 % du trafic total
d’e-mails ;
 3,96 milliards de personnes utilisent les médias sociaux, soit 51 % de la
population mondiale ;
 en moyenne, une personne est inscrite sur 9 réseaux sociaux différents ;
 près de 4 milliards de personnes utilisent les réseaux sociaux sur leur
smartphone ;
 les réseaux sociaux les plus actifs seraient : Facebook avec 2,701 milliards
d’utilisateurs, YouTube avec plus de 2 milliards et WhatsApp ;
 720 000 heures de vidéos sont ajoutées sur YouTube chaque jour ;
 il vous faudrait 82 ans pour visionner toutes les vidéos mises en ligne en
une heure sur YouTube.
Plus impressionnant encore, quelques données chiffrées10 relatives à ce qui s’est
passé, durant une minute, sur Internet, ces dernières années :
 en 2019, 18,1 millions de SMS ont été envoyés, c’est impressionnant, mais
on ne s’est pas arrêté là. En 2020, la barre des 19 millions était atteinte et
en 2021, celle des 21 millions se rapproche ;
 en 2019, il y aurait eu 3,8 millions de recherches sur Google puis 4,1 millions
en 2020 ;
 Twitch, la plateforme de stream mondialement connue enregistrait 1 million
de vues en 2019, puis 1,2 million en 2020 avant d’atteindre les 2 millions
en 2021.
Je vous laisse imaginer la quantité d’informations que nous laissons sur nous
dans le cyberespace, que nous ayons conscience ou non que nous les déposons,
potentiellement, à la vue de tous.

Le big data ! Derrière cet anglicisme, il y a cette masse sans cesse plus
importante d’informations qui se crée sur la base de nos comportements
numériques. Évidemment, les programmes informatiques, pour rendre
intelligible cette matière, se développent. Reste à savoir ce que l’on cherche,
ce que l’on veut mettre en évidence, comprendre… mais la matière est là.
Elle attend ses mineurs cyber.
9 Ces données sont issues du site « arobase.org ».

10 Ces données sont issues du site « Bonhihplus.com ».
1.1.6 Une technologie hybride
AVANT DE PLONGER
Lorsqu’une technologie est développée, elle n’est ni bonne ni mauvaise, elle est
neutre. C’est l’utilisation qui en sera faite qui va lui conférer son caractère
positif ou négatif. Dans de nombreuses situations, une même technologie sera
utilisée pour des visées de progrès et d’autres, hélas, négatives. C’est le cas
de l’énergie nucléaire, par exemple. D’un côté, elle permet à la France d’avoir
une énergie bon marché, à court terme. Elle a permis de nombreuses avancées
dans le domaine de la science et de la médecine. Par ailleurs, sans même parler
de guerre nucléaire, le nucléaire peut être un danger pour notre santé.
Pour le cyberespace, la logique est la même. De la sorte, même si la presse se fait
régulièrement l’écho de piratages spectaculaires, on ne peut qualifier ce nouvel
espace de vie « sur support digital » de bon ou de mauvais dans l’absolu. On peut
avoir un usage positif du cyberespace, partager nos connaissances, télétravailler
pendant une pandémie, soigner à distance, transformer l’éducation pour le bien de
populations qui ne pouvaient accéder à certains savoirs, par exemple. Mais nous
sommes également obligés de constater qu’il est possible d’en avoir un usage
totalement dévoyé, en tentant de voler les informations bancaires d’une personne,
en l’utilisant pour espionner des entreprises, par exemple.
En cela, le cyberspace n’est qu’un outil dont nous disposons. Nous sommes les
acteurs et ce sont nos intentions qui comptent et qui vont avoir un impact sur
la technologie.
Le cyberespace nous apporte beaucoup au quotidien, mais il ne faut pas oublier
qu’il s’agit également d’un outil dangereux si l’on ne prend pas garde.
L’interconnexion profite également à ceux qui veulent tirer un profit personnel
du cyberespace. Il s’agit notamment des personnes qui conçoivent des logiciels
malveillants afin de s’enrichir personnellement ou pour causer du tort à autrui.
Parce qu’il est important de ne pas oublier les éventuels dangers qui peuvent
venir du cyberespace, nous traiterons un certain nombre d’entre eux plus loin dans
cet ouvrage. Notez dès à présent qu’il faut être attentifs lorsque nous utilisons
nos smartphones, ordinateurs, etc. Attentifs et débarrassés de toute naïveté
lorsque nous trouvons dans notre boîte mail des messages venant d’inconnus
et qui nous proposent d’ouvrir une pièce jointe… Idem, lorsqu’un message
vocal, laissé sur notre smartphone par une personne inconnue nous enjoint de
rappeler un numéro tout aussi inconnu. Le fait d’évoluer une bonne partie de
nos journées dans ou grâce au monde virtuel que, collectivement, nous avons
créé et faisons grandir, ne doit pas nous affranchir des principes de prudence
que nous appliquons dans le monde réel.

Avec le temps passé sur des jeux vidéo en ligne, en échangeant avec d’autres
via des plateformes de blogging et microblogging, en télétravaillant, etc., nous
nourrissons un nouveau monde qui nous est toujours plus utile. Le problème
est que nos activités côtoient celles d’autres personnes moins honnêtes que
nous, moins naïves.
1.1.7 Un espace sans frontière ?
AVANT DE PLONGER
Dans le cyberespace, il y a le mot « espace ». Cela peut donner envie de lever
la tête, d’autant plus qu’une partie des flux d’informations passent par ces
canaux. Pour autant, ce serait une erreur de ne le voir qu’au-dessus de nos
têtes. Rappelez-vous les trois couches évoquées plus haut… il est partout.
Partout, mais alors il ne connaît pas les frontières ? Pour le savoir… plongez !
Les frontières sont une caractéristique essentielle des États, puisqu’elles identifient
le territoire sur lequel leur souveraineté s’applique. Les frontières ont toujours
revêtu une importance particulière pour les États, car elles contribuent à assurer
leur identité. Elles suivent généralement des repères géographiques précis.
Ce n’est évidemment pas le cas dans le cyberespace et cela peut nous amener
à nous interroger sur le cyberespace et la façon dont cet espace sans frontière
coïncide avec nos territoires nationaux aux frontières parfois tourmentées.
En d’autres termes, cet espace virtuel n’étant pas un espace réellement physique,
a-t-il un impact sur les frontières que nous connaissons ?
Malgré ce qu’on pourrait croire au premier abord, le cyberespace ne laisse pas nos
frontières territoriales indifférentes. Cet espace, bien qu’essentiellement virtuel,
a permis d’ouvrir les frontières des États, notamment lors de la mondialisation.
Le cyberespace a en effet été l’un des outils de la mondialisation. Il est au centre
de la dématérialisation des échanges financiers, de l’amélioration des moyens
de communication, de la mise en relation des différents gouvernements et de
leurs citoyens, etc.
Le cyberespace facilite également les échanges des biens et des services

entre les pays. C’est bien grâce au cyberespace que vous pouvez gérer la
réservation de vos billets de train, que le contrôle aérien peut être aussi précis,
etc. Il est également essentiel pour nos déplacements et les échanges de biens.
Une grande partie des biens manufacturés traversent le globe grâce à des
conteneurs. S’il est possible de suivre l’itinéraire d’un conteneur, de savoir
à qui il appartient, c’est grâce à la puce d’identification par radiofréquence qui
équipe les conteneurs. Il en va de même pour la livraison de vos colis. Si vous
commandez des chaussures manufacturées dans un autre pays, vous pouvez les
acheter en ligne. Elles vous sont expédiées depuis un pays étranger, mais vous
pouvez suivre l’acheminement depuis chez vous.
Les flux de toutes sortes ont pris une ampleur inégalée auparavant avec la
mondialisation et le cyberespace permet de gérer une grande partie de ces flux.
Prenons le cas du transport de pétrole brut par bateau ; pendant son transport
entre le lieu de chargement et son terminal d’arrivée, la cargaison va changer
plusieurs fois de propriétaire. Cela s’explique par des variations de cours liées
à des événements fort concrets (économiques, géostratégiques, par exemple)
et, là encore le cyberespace permet le transit, les reventes, mais aussi les
changements de route, car, qui dit changement de propriétaire peut signifier
changement de port de livraison…
Les frontières étatiques restent une réalité concrète même si la mondialisation,

soutenue par le cyberespace, les a rendues plus poreuses facilitant ainsi
les échanges et les interconnexions entre États. De bien des façons, donc,
le cyberespace semble remettre en question les frontières territoriales classiques.
En raison du développement du cyberespace, les comportements des immigrés

installés dans un pays étranger ont été impactés. Historiquement, une personne
fraîchement émigrée dans un pays étranger cherchait à s’installer et à s’intégrer
à son nouveau pays rapidement. Mais avec le développement du cyberespace,
les choses ont évolué. Désormais, cette intégration peut être plus lente.
Le cyberespace permet de garder un contact plus soutenu avec son pays et
sa famille d’origine notamment en visioconférence, il permet d’envoyer de
l’argent rapidement et facilement. Le cyberespace réduit la distance entre le
pays d’origine et le pays d’accueil de l’immigré.
D’une certaine manière, l’existence du cyberespace, plutôt que de supprimer

des frontières physiques, en recrée d’autres. Chaque famille peut en effet en
l’utilisant recréer dans un autre pays une enclave aux couleurs de ses origines,
qu’il s’agisse d’être en ligne directe avec les médias de son pays d’origine,
de commander tout un éventail de produits de ce pays.
Ainsi, si nous voulons visualiser, là, à l’instant, le cyberespace, ce dernier serait

partout autour de nous, au-dessus de nous et sous nos pieds sans possibilité de
distinguer quelque part des frontières. Alors, y en a-t-il que je ne verrais pas ?
Nous sommes, d’une certaine manière devant la même question existentielle

que pour l’univers dans lequel évolue notre planète. Celui-ci peut être infini
puisqu’il est établi aujourd’hui qu’il est en expansion avec le développement de
nouvelles technologies, d’objets connectés et d’outils que nous ne connaissons
pas encore aujourd’hui, mais qui seront notre quotidien dans quelques années.
Si l’on devait visualiser le cyberespace, ce dernier serait partout autour de

nous, au-dessus de nous, sous nos pieds. Mais a-t-il lui aussi des frontières ?
Certainement, car nous l’avons construit et nous le construisons encore avec le
développement de nouvelles technologies, mais personne n’a été en mesure
d’en tracer les contours, on ne sait donc pas exactement jusqu’où il s’étend.
Il n’est cependant pas possible de transposer les frontières de nos États au

cyberespace. Nous ne disposons pas d’un cyberespace national qui flotterait
au-dessus de nos frontières et qui serait limité par les mêmes considérations que
nos territoires classiques, avec des postes douaniers permettant de surveiller
ce qui entre et sort de notre espace.

Le cyberespace est donc partout, jusque – par exemple – au fond de nos
poches, là où nous glissons nos smartphones. Reste la question des frontières.
Le fait qu’il n’y a pas de douaniers dans cet espace pourrait nous amener à
dire qu’il n’y a pas de frontières. Ce n’est pas tout à fait vrai, ni tout à fait
faux. Pour éviter de fallacieuses interprétations, nous devons aller plus loin,
car nous avons de multiples législations. Certaines parlent même de lui !
1.1.8 Des barrières internes ?
AVANT DE PLONGER
Tous les ailleurs accessibles à l’homme – les océans, l’espace – ont fait au fil des
siècles l’objet de réglementations. Ces espaces, comme les ressources qu’ils
recèlent, sont couverts pour la plupart par la notion de « biens communs », ces
biens qui n’appartiennent à personne, tout en appartenant à tout le monde.
La France considère que l’espace aérien situé au-dessus de nos têtes ne
peut être utilisé n’importe comment et par n’importe quel pays. Des règles
organisent son utilisation. Idem pour les océans qui baignent nos côtes et
les ressources qu’ils contiennent. Un droit de la mer les régit avec des règles
qui vont différer selon la proximité ou l’éloignement de nos côtes. Cela posé,
quid du cyberespace ?
S’il est vrai que la notion de frontières territoriales ne peut s’appliquer au

cyberespace, cela ne signifie pas pour autant qu’il n’y a pas des éléments
internes à cet espace qui peuvent agir comme des frontières.
La première frontière que l’on peut identifier est celle qui sépare le monde réel
du monde virtuel. Cette frontière se matérialise lorsque nous utilisons un appareil
nous permettant de nous connecter au cyberespace. Ce sera surtout le cas avec
un ordinateur, une tablette ou un smartphone. Ce sont ces périphériques qui
nous permettent de pénétrer dans le cyberespace.
Par ailleurs, au sein du cyberespace, on peut créer des espaces virtuels propres
à certains États. C’est notamment le cas de la création d’un Internet national
comme en Chine. Il s’agit de la « grande muraille numérique », qui correspond
à un Internet fermé destiné uniquement à la population chinoise. Dans cet
espace numérique en vase clos, il est impossible d’utiliser certains moteurs de
recherche, certains réseaux sociaux ou applications que nous utilisons dans
l’Internet ouvert que nous connaissons. Des filtres ont été installés afin de bloquer
l’accès à certains sites Internet ou réseaux sociaux. Au moment du coup d’État
qui a renversé le gouvernement civil en Birmanie début février 2021, c’est ce
qui s’est passé, avec le blocage de Facebook, puis de Twitter.
Au-delà de l’atteinte à la liberté de chacun installant dans certaines situations
une sorte de frontière autour des individus pour interdire toute communication
interpersonnelle via les réseaux sociaux, cette mesure montre qu’il est possible
de délimiter des frontières au sein du cyberespace.
Cette frontière s’apparente alors aux frontières interétatiques telles que
nous les connaissons. En créant de tels espaces, les États peuvent disposer
d’espaces nationaux dont ils peuvent fixer les règles pour mieux exercer leur
contrôle. Ainsi les États projetteraient un territoire virtuel sur lequel exercer
leur souveraineté. Même s’il est techniquement possible de créer un tel espace,
cela va à l’encontre de la liberté à laquelle aspirent tous les internautes et de
multiples possibilités qu’offre le cyberespace.
Les couches du cyberespace, que l’on a vues plus haut, permettent d’observer
des éléments susceptibles de constituer des barrières, des frontières. Ces couches
sont nécessaires au fonctionnement du cyberespace, mais elles ne se mélangent
pas pour autant.
Les infrastructures qui sous-tendent le cyberespace, dans sa couche physique,
se trouvent sur le territoire de certains États, donc au sein de leurs frontières.
Il est tout à fait possible de faire une carte de ces infrastructures permettant aux
frontières étatiques de conserver leur réalité et leur rôle. Les règles juridiques
de chaque État s’appliqueront aux éléments se trouvant dans leurs frontières.
Les deux autres couches peuvent également agir comme des frontières.
La couche logicielle repose sur différentes strates de protocoles et de langages

informatiques permettant aux ordinateurs de communiquer. À moins d’avoir
accès à ces éléments, il n’est pas possible de pénétrer cette couche. De plus,
les langages et protocoles constituent des barrières pour ceux qui ne parleraient
pas le bon langage.
La couche informationnelle quant à elle concerne nos données. Elles sont soumises
à des réglementations propres qui ont tendance à s’appliquer en respectant les
frontières territoriales d’un État.
La réglementation s’appliquant à chacune de ces couches ne sera pas forcément
la même. La couche informationnelle sera régulée par des règles sur la protection
des données ou sur la diffamation, par exemple. Ces règles n’auront pas à être
appliquées pour les autres couches qui, elles, ne concernent pas les données.
D’une certaine manière, le RGPD, par sa volonté de protéger les données
à caractère personnel de tout citoyen européen, crée une frontière. Celle-ci n’est
pas hermétique, mais impose des obligations à toute organisation (entreprise
commerciale, média, par exemple) souhaitant nouer et entretenir des relations avec
un citoyen européen. À noter que ces contraintes s’imposeront que l’organisation
travaille directement ou indirectement avec ce citoyen.
Enfin, une dernière frontière peut être mise en avant. Il s’agit de celle qui délimite
le cyberespace que nous utilisons tous quotidiennement et dans lequel on agit
en toute légalité à une partie plus délicate de cet espace. Internet n’est pas un
ensemble uniforme, il peut être divisé en différentes parties.
On trouve tout d’abord le Web classique, sur lequel on peut tous aller et effectuer
nos recherches. Sur cette partie du Web, on trouve tous les sites qui ont été indexés
au moment de leur création. Lors de la conception d’un site, on peut choisir de
l’indexer ou non. Les sites communs sont indexés et donc lors de la formulation
d’une requête sur un moteur de recherche, on trouvera ces sites parmi les résultats.
Aujourd’hui, il est plus souvent question du Web 2.0. L’idée est de prendre
en compte la formidable évolution des interactions devenues possibles avec
l’ensemble des réseaux sociaux, un ensemble vivant qui voit de nouveaux réseaux
naître, d’autres être absorbés et certains, enfin, disparaître.
Puis on trouve aussi le deep Web qui correspond, cette fois, aux pages qui ne
sont pas indexées. Ici, il s’agit notamment des pages auxquelles on ne peut
accéder qu’après s’être identifié. On ne peut pas accéder directement à ces
pages dans un moteur de recherche. Lorsque vous vous connectez à votre
compte bancaire en ligne, cette page n’est heureusement pas indexée dans les
moteurs de recherche. Vous trouverez la page d’accueil de votre banque dans
un moteur de recherche, au mieux la page sur laquelle vous vous connecterez
et le reste ne sera accessible qu’à vous après vous être identifié.
Il n’est pas illégal d’utiliser le deep Web. En revanche, il y a une troisième partie
plus sombre sur Internet, le darknet. C’est souvent cette partie que les criminels
utilisent en pensant y trouver une certaine impunité. Le darknet a une très
mauvaise réputation, car il permet de faire vivre un grand nombre de trafics et
activités illégales de toute nature.
C’est à ces usages illégaux développés à partir d’outils divers et variés, mais logés
dans ce darknet, que s’est attaqué en février 2021 un regroupement de polices
allant du Canada, des États-Unis, à Europol en passant par la Lituanie et de
l’Ukraine. Ce faisant, il semble que « le logiciel malveillant le plus dangereux au
monde », Emotet, ait été « perturbé ». L’objectif de cette opération de police,
de ce raid même d’ampleur mondiale était de prendre le contrôle d’Emotet et
d’arrêter des membres de ce réseau cybercriminel.
Emotet, faisons simple, est un logiciel implanté à votre insu dans un ordinateur,
ou un réseau informatique pour dérober, puis utiliser des informations sensibles
relatives à votre ou vos comptes bancaires. On parle aussi de cheval de Troie.
Repéré pour la première fois en 2014, Emotet était au départ un logiciel à visée
malveillante, ici bancaire, qui a évolué au fil des années comme n’importe quel
logiciel en se dotant de nouvelles fonctionnalités. Pour Emotet, cela passa par
un « service de diffusion de spams » et de malware.
Néanmoins, certains utilisent cette même partie sans mauvaises intentions.
Les dissidents politiques peuvent notamment s’en servir pour communiquer, ou
pour ceux qui désireraient envoyer un document à Wikileaks. Il s’agit d’un site
Internet créé en 2006 qui s’est donné pour objectif de publier des documents
confidentiels qui lui sont remis par des lanceurs d’alerte, dont le nom restera
anonyme.
Enfin, pour achever ce rapide tour d’horizon du darknet, il faut savoir qu’on ne
peut pas tomber par hasard dans le dark Web. Pour y accéder, il est nécessaire
d’utiliser un navigateur spécifique, Tor, qui permet entre autres de naviguer
anonymement sur Internet.
À l’origine, le cyberespace est neutre, mais nous avons su développer des outils
pour en tirer profit et pour reproduire les comportements les plus nuisibles
dont l’être humain est capable dans la vraie vie. Nous allons voir des matchs de
football au stade, nous pouvons aussi les voir en direct en ligne.
Il n’est pas étonnant que des personnes aient trouvé comment utiliser le
cyberespace pour leurs intérêts personnels au détriment de ceux des autres.
Ces outils ont pris une importance telle qu’ils sont aujourd’hui désignés comme
des armes virtuelles. Ces armes cyber représentent une nouvelle menace que
nous devons tous connaître pour nous en protéger.

Oui, il existe des frontières, même au sein du cyberespace. On peut
effectivement évoquer celles dressées par des États dictatoriaux qui peuvent
aujourd’hui « fermer leur Internet face à un extérieur » qui permet de diffuser
des idées libres, impertinentes, corrosives. Et puis – retour aux trois couches –
quand le cyberespace dépend d’outils matériels (logiciels, stockage, etc.),
ceux-ci sont implantés dans des pays où des législations diverses et variées
(sociales, fiscales, etc.) s’appliquent. À cela, depuis quelques années, un bouclier
de protection de nos données personnelles protège chaque citoyen européen.
Ce n’est pas un bouclier figé dans l’espace, mais plutôt un bouclier que nous,
Européens, baladons avec nous.
1.2 L’arme cyber

Vous l’avez peut-être rencontré, le terme d’« arme cyber » est de plus en plus
souvent usité, que ce soit dans des articles de presse, des rapports, des interviews.
La généralisation de ce terme va de pair avec l’importance prise par cette arme

dans notre arsenal militaire comme l’a confirmé le 18 janvier 2019 la ministre
des Armées Florence Parly : « Nous considérons l’arme cyber comme une arme
opérationnelle à part entière. »
Il est cependant curieux de relever que ce terme n’est ni défini ni expliqué.

Évidemment, si je vous parle de cyber arme, vous avez une idée de ce que cela
peut être. Vous vous doutez bien qu’il s’agit d’un élément venu du cyberespace
qui est utilisé pour causer du tort à autrui. Mais ce n’est pas suffisant pour
comprendre ce qu’est une arme cyber.
Il me semble important de chercher à définir l’arme cyber. On peut tout

d’abord constater que cette arme n’existe que depuis la révolution numérique,
qui a commencé dans les années 1960, révolution qui a permis l’expansion du
cyberespace.
D’autant plus que cette arme n’existerait pas sans cette révolution numérique
que nous avons créée et l’expansion connue par le cyberespace. Il s’agit de deux
phénomènes relativement récents, surtout si l’on considère que la première arme
créée par un être humain remonte au xiiie siècle, en Chine.
Je pense que pour comprendre ce qu’est une arme cyber, il faut commencer
par définir ce qu’est une arme traditionnelle.
1.2.1 La place des armes
AVANT DE PLONGER
Les armes ne sont pas un élément inconnu de notre réalité. Même si,
au quotidien, la plupart d’entre nous n’en croisent pas, les médias ou les
séries télévisées nous ont tous familiarisés avec les armes blanches, les armes
à feu ou les armes improvisées. Y a-t-il des raisons pour que ces réalités
n’existent pas dans le cybermonde ? C’est ce que nous allons voir dans les
lignes qui suivent.
Dans notre quotidien, nous ne côtoyons des armes que dans les différents métiers
de la sécurité, dans le domaine militaire, sans oublier les activités réglementées
comme la chasse ou le tir sportif.
Dans le domaine de la défense, il est normal que les militaires, les gendarmes, les
policiers, les agents des douanes soient autorisés à porter des armes. Si l’on prend
la situation des militaires, le maniement des armes est au cœur de leur métier.
Chaque militaire apprend à manier une arme et à l’entretenir, et ce dans les trois
armées et pour tous les grades. L’arme est un élément essentiel du quotidien
d’un soldat. Chaque soldat est doté d’une arme précise avec un numéro de série
propre. Cette arme suivra le militaire durant ses différentes opérations, que ce
soit sur le territoire national ou sur d’autres théâtres d’opérations. Les soldats
français ont longtemps été équipés de fusils de type Famas, mais ces derniers
sont désormais progressivement remplacés par le HK 416. En plus de ce fusil
d’assaut, les soldats sont également équipés d’armes de poing, similaires à celles
qui équipent généralement la plupart des policiers, gendarmes, douaniers, etc.
La formation initiale d’un militaire comporte un important volet dédié à l’armement,

à son importance, son utilisation, son entretien et ses dangers. En effet, tous les
soldats doivent obtenir un certificat d’aptitude au tir, qui est délivré en deux temps :
une première phase théorique et une seconde pour la pratique.
Comme vous le voyez, il est assez facile de comprendre de quel type d’armes sont
équipés les militaires français. Il est tout aussi simple de trouver une définition
de ce que représentent ces armes. À titre d’exemple, le dictionnaire L’internaute
définit le fusil d’assaut comme : « Une arme destinée aux militaires qui se cale au
niveau de l’épaule pour assurer un tir d’une portée de 300 mètres, en rafales ou
au coup par coup, qui peut être équipée d’une lunette pour plus de précision. »
Par ailleurs, selon le site Internet Service public, une arme à feu de poing est :
« Une arme permettant le tir de plus de 21 munitions sans réapprovisionnement
avec un système d’alimentation de cartouches. »
S’il est facile de comprendre ce qu’est une arme de poing ou un fusil d’assaut,
rien n’est aussi évident dans le domaine cyber. L’armée française dispose de
combattants spécialisés dans le monde cyber, mais il n’est pas aussi simple de
trouver des informations à ce sujet. En effet, en cherchant sur Internet ou dans
la presse généraliste, on ne trouve que peu d’éléments sur les méthodes de
formation des spécialistes cyber des forces armées françaises. Alors même que des
articles fleurissent sur la volonté de l’armée de recruter des « cybercombattants ».
On peut néanmoins trouver des éléments sur les cursus proposés, d’une part, par
l’école de Saint-Cyr Coëtquidan dans son mastère spécialisé cyberdéfense qui
aborde notamment des matières telles que : « Architecture, réseaux, plateforme,
OS », « Vulnérabilités and malwares », « Anticipation et renseignement » ; d’autre
part, l’école des transmissions de Rennes présente également dans ses formations
des matières comme : « Virologie », « Cryptologie », « Sécurisation d’un réseau de
type intranet ». Ces deux formations prennent en compte des éléments nécessaires
à la formation d’un spécialiste en arme cyber. Bien que ces éléments permettent
d’avoir une idée des cours dispensés par ces formations, on ne cerne toujours pas
ce que peut représenter un « cybercombattant », ou une « arme cyber ».

Arrivés à ce point dans notre découverte de ce monde et de ses « outils »,
on sait que nos armées recrutent des hommes et des femmes en tant que
cybercombattants. Difficile d’imaginer que ces derniers ne soient pas armés.
Continuons donc dans la compréhension de ce que peuvent être ces armes…
1.2.2 Un terme assez flou
AVANT DE PLONGER
Notre monde – réel – peut sembler manquer de règles pour préserver les
peuples des guerres et de la sauvagerie. C’est à la fois vrai et faux. En effet,
un « droit de la guerre » existe et des instances internationales enquêtent,
sévissent et condamnent sur la base d’actes d’accusation documentés.
Pour ce faire, un certain nombre de définitions existent, qu’il s’agisse des
armes, des limites fixées à leur utilisation, voire leur interdiction. Sans un tel
cadre, difficile d’agir…
Si l’on en croit le département américain de la Défense, il n’existait déjà pas

en 2011 de consensus sur la définition à donner à l’arme cyber. Les choses ne
semblent pas avoir évolué sur ce point à l’heure où nous écrivons ces lignes.
Il existe toujours des disparités entre la facilité avec laquelle on peut trouver des
informations sur les armes traditionnelles et le flou entourant les armes cyber.
Chacun peut en faire l’expérience. En cherchant « arme cyber » dans un moteur

de recherche, les résultats ne seront sûrement pas à la hauteur de vos attentes,
sauf si vous n’attendez rien. En effet, aucune réponse n’apparaît dans les premiers
résultats. Il vous sera même proposé de corriger votre recherche en entrant
plutôt : « armée cyber ».
Peut-être qu’inverser l’ordre des mots peut résoudre ce problème, me direz-

vous ? Pas vraiment en réalité. En cherchant « cyberarme », vous serez plutôt
orienté vers une recherche autour de la cyberguerre ou sur des articles traitant
plutôt de cyberattaques ou de cyberdéfense.
Aucune définition évidente n’apparaît dans les premières recherches, alors que
pour de nombreux termes, le moteur de recherche propose une définition,
même succincte, des termes. C’est notamment le cas lorsqu’on effectue une
recherche autour des termes : « cyberdéfense » ou « cyberattaque ». Ces requêtes
conduisent à une définition de chacun de ces termes dès la première page de
résultats. Même si ces définitions ne sont ni précises ni complètes, elles permettent
cependant d’obtenir une première approche sémantique.
Par exemple, si je cherche « cyberdéfense » dans mon moteur de recherche,

la première proposition de résultat est : « La cyberdéfense regroupe l’ensemble
des moyens physiques et virtuels mis en place par un pays dans le cadre de la
guerre informatique menée dans le cyberespace ».
En ajoutant le mot « définition » à ma recherche, cela ne fonctionne guère mieux.

En recherchant ces deux termes, aucune définition de l’arme cyber ne vous sera
proposée par le moteur de recherche. Une fois encore, les définitions proposées
se rapporteront plutôt à la cyberguerre.
Les choses sont très différentes si l’on effectue une recherche similaire, mais en
anglais cette fois. Si vous recherchez “cyberweapon”, vous pourrez constater que
le premier résultat mène à une page Wikipédia donnant une première définition
de ce terme. Sur cette page, on peut lire : “A cyberweapon is a malware agent
employed for military, paramilitary, or intelligence objectives.” En français, cela
signifie qu’une arme cyber est un agent malveillant employé à des fins militaires,
paramilitaires ou de renseignement.
Par ailleurs, sur certains moteurs de recherche, si vous ajoutez le terme

« définition » à votre requête, une première définition vous sera proposée.
En l’occurrence, lors de ma recherche, il s’agissait de : “Cyber weapon: a piece
of computer software or hardware used to commit cyberwarfare. This cyber
weapon is reportedly capable of altering text and audio, intercepting keyboard
input, and disrupting network traffic.”
On peut traduire cette définition comme : « Un logiciel ou un matériel informatique

utilisé pour commettre une cyberguerre. Cette arme cyber serait capable de
modifier du texte et de l’audio, d’intercepter des saisies au clavier et de perturber
le trafic réseau. »
Cette différence de résultat est fort dérangeante, d’autant plus que nombre
d’entre nous ne pensent pas à effectuer la même recherche dans une autre
langue. En l’absence d’une définition évidente, nous devrions peut-être remonter
le fil qui a mené à la création de cette arme.

En 2021, il n’y a pas de consensus réel sur la définition à donner à l’arme cyber.
Plus exactement, bien que faisant partie des préoccupations de nombreux
pays, l’arme cyber n’a été définie qu’en langue anglaise, comme si elle n’était
pensée que par le monde anglo-saxon !
1.2.3 D’une innovation à l’autre

AVANT DE PLONGER
La révolution qui a permis aux armes cyber d’émerger s’apparente à d’autres
grands bouleversements qui jalonnent notre histoire commune. C’est le cas
notamment de l’invention de la poudre à canon, de l’aviation ou encore de
l’énergie nucléaire. Toutes ces innovations de rupture ont eu des conséquences
importantes sur les rapports de force entre les États, et plus particulièrement
sur le développement de nouvelles armes, leur propagation, leur contrôle,
etc. En raison de ces avancées, les États ont dû s’adapter, faisant ainsi évoluer
leurs doctrines, leurs moyens militaires, etc. Ces avancées technologiques
ont radicalement modifié l’environnement stratégique dans lequel évoluent
les États et c’est encore le cas avec l’arme cyber.
Au xive siècle, les systèmes défensifs ont dû s’adapter après avoir été mis à mal par
l’apparition de l’artillerie. L’artillerie a instauré un nouveau niveau de puissance
et de capacité de destruction qui a révolutionné la manière de faire la guerre.
La violence des combats a changé de nature, de nouvelles blessures sont apparues,
de nouvelles stratégies offensives et défensives également. D’une certaine
manière, la violence était plus accessible.
Par la suite, d’autres nouveautés ont entraîné de profonds bouleversements des

opérations militaires. L’aviation a ouvert un nouveau champ opérationnel, ne limitant
plus les opérations militaires aux domaines terrestre et maritime. En se développant,
l’aviation a permis d’atteindre plus rapidement des théâtres d’opérations très
éloignés en déployant moins de soldats que lors d’une opération terrestre.
Loin de n’être utilisées que par elles-mêmes, les forces aériennes sont également
couplées aux forces terrestres et maritimes afin d’enrichir les capacités
opérationnelles des États. Ces derniers ont ainsi pu développer des stratégies
plus pointues leur permettant d’atteindre une plus grande précision dans leur
action et limitant le nombre de soldats engagés sur une opération.
Puis une étape incontournable dans ces innovations a été le développement de
l’arme nucléaire à la fin de la Seconde Guerre mondiale. La conception de cette
arme a profondément marqué le monde entier. Cette arme dépasse toutes les
autres au niveau de sa puissance et de sa létalité. D’après les estimations, les
bombardements d’Hiroshima et de Nagasaki ont entraîné la mort de 155 000
à 250 000 personnes. Aucune autre arme n’est à même de provoquer autant
de dégâts à elle seule en une fois. Cette arme provoque des dégâts humains,
environnementaux, économiques et politiques majeurs.
C’est pour cela qu’il s’agit d’une arme de dissuasion, qui ne vise pas à être
utilisée. Elle a un rôle essentiellement politique. L’arme nucléaire est un des
piliers de notre arsenal de défense, qui s’appuie en grande partie sur le concept
de dissuasion. La peur découlant des conséquences de la destruction mutuelle
qu’elle instaure empêche les États d’y recourir. Cette crainte est d’autant plus
présente si l’on considère qu’après une première frappe, il est fort possible qu’un
autre détenteur de l’arme nucléaire riposte avec la même arme, engendrant une
destruction mutuelle de ces États.
Ces innovations ne sont que quelques exemples de toutes les révolutions
tactiques et stratégiques qui ont conduit à notre réalité.

En permettant la création de l’arme cyber, la révolution numérique et le
développement du cyberespace ont ainsi instauré un nouveau tournant majeur.
Le cyberespace apparaît comme un nouveau théâtre d’opérations avec des
caractéristiques propres, mais surtout avec des armes spécifiques.
Même le Livre blanc sur la défense et la sécurité nationale publié en juin 2008
retient l’attaque informatique de grande envergure contre les infrastructures
nationales comme une menace majeure pour la France.
1.2.4 Premières définitions

AVANT DE PLONGER
Savoir exactement ce qu’est cette arme, les dégâts qu’elle peut occasionner
et surtout identifier la législation applicable est incontournable.
Cette arme représente, en effet, un enjeu politique et militaire majeur et
grandissant.
Si l’on part d’une des définitions trouvées en anglais, une arme cyber est :
« Un logiciel ou un matériel informatique utilisé pour commettre une cyberguerre.
Cette arme cyber serait capable de modifier du texte et de l’audio, d’intercepter
des saisies au clavier et de perturber le trafic réseau. »
Cette définition présente l’arme cyber comme un matériel informatique, ce qui

ne représente pas grand-chose pour nous. En plus, l’arme cyber, si l’on en croit
cette définition est essentiellement un moyen de contribuer à la cyberguerre.
Puisque les armes traditionnelles ne sont pas utilisées uniquement en cas de
guerre, on peut donc envisager qu’il en soit de même pour les armes cyber.
Nos policiers et nos gendarmes sont équipés d’armes, alors qu’ils ne participent
à aucun acte de guerre. Par ailleurs, d’autres personnes en France possèdent une
arme. Certaines y sont autorisées par la loi, c’est le cas par exemple de celles
qui pratiquent le tir sportif, les fonctionnaires des douanes, certains agents de
surveillance, des personnes pratiquant la chasse ou encore certaines personnes
dont la vie est particulièrement en danger.
En plus de celles autorisées à porter une arme, ne nous voilons pas la face,
il arrive que des personnes en possèdent une en toute illégalité.
Par ailleurs, les militaires sont équipés d’armes lors de toutes leurs missions.
Pourtant, toutes ces missions ne font pas partie d’une situation de guerre.
C’est le cas par exemple de la mission Sentinelle, opération déployée sur le
territoire national afin de renforcer la sécurité.
Les soldats participant à cette mission sont équipés d’armes, mais pour autant,
ils ne sont pas engagés dans une situation de guerre. Il en va de même lors de
missions de lutte contre l’orpaillage par exemple.
Si jamais lors de l’une de ces opérations, les militaires se retrouvent dans une
situation où ils doivent faire usage de leurs armes alors ils sont en droit de
le faire, du moment qu’ils respectent les conditions d’engagement prévues,
mais l’utilisation de leurs armes ne transforme pas l’opération en guerre. Ici, on
peut faire un parallèle avec l’éventuel usage de l’arme cyber. La seule utilisation
d’une arme cyber déclenche-t-elle automatiquement une situation de guerre
dans le cyberespace ?
Une cyberguerre se définit comme une attaque électronique contre des

systèmes informatiques pour les utiliser comme moyens de propagande et
de désinformation, ou pour paralyser les activités vitales d’un pays. Donc on
peut estimer que, comme pour les armes traditionnelles, chaque utilisation
d’arme cyber n’entraîne pas forcément le déclenchement d’une cyberguerre.
Pour déclencher une cyberguerre, on peut envisager qu’il soit nécessaire que
l’arme cyber atteigne un certain niveau de létalité ou engendre des dégâts
suffisamment importants.
Différentes cyberattaques peuvent avoir des niveaux d’importance et des
conséquences extrêmement diverses. Imaginez, d’un côté, un collégien frustré
qui décide de modifier les résultats de ses examens, de l’autre côté, une
personne qui décide de défigurer le site Internet d’une banque, par exemple.
Ces deux attaques se passent sur le cyberespace, mais elles n’ont pas du tout la
même importance. Les conséquences de l’attaque du collégien sont extrêmement
limitées. En revanche, la défiguration du site Internet d’une banque peut avoir
des conséquences financières importantes ainsi qu’un impact sur la réputation
de cette dernière.
Nyman Gibson Miralis11 donne une autre définition de l’arme cyber. Pour lui,
il s’agirait « des logiciels et les systèmes informatiques qui, par le biais des
réseaux TIC, manipulent, perturbent, dégradent ou détruisent des systèmes ou
réseaux ». On observe ici une certaine continuité avec la première définition.
Elle met en avant le caractère destructeur de l’arme cyber et les effets ravageurs
qu’elle peut avoir. Néanmoins, ici, l’utilisation de l’arme cyber n’est pas limitée
à la cyberguerre.
Grâce à ces définitions, vous avez une approche assez générique de l’arme
cyber. On peut envisager cette arme comme un logiciel capable de modifier
les données contenues par une machine, de perturber un réseau, de sorte
d’engager, ou non, une cyberguerre. On commence donc à avoir une idée plus
précise de ce que peut être une telle arme.
Pour ceux qui recherchent plus de précision, Kaspersky Lab12 estime qu’il s’agit
des « logiciels malveillants utilisés au niveau national ou international pour recevoir
des données précieuses et atteindre des objectifs militaires et politiques ».
Cette définition introduit un nouvel élément. L’usage d’une arme cyber peut avoir
des conséquences au niveau national ou international. Cette distinction peut
avoir son importance. Selon le niveau auquel se situe l’attaque, cela fournit un
indice sur la qualité de cette attaque, s’il s’agit ou non d’un acte de cyberguerre.
Par ailleurs, cette définition se concentre sur la notion de « données précieuses »
qui doit attirer votre attention. La « donnée » a un caractère central et constitue
une cible essentielle des cyberattaques. Les données de nos entreprises ont une
importance vitale pour nous et pour la survie de nos entreprises.
11 yman-Gibson-Miralis est un cabinet d’avocats australiens travaillant, entre autres domaines,

N
sur le cybercrime.
12 Kaspersky lab, plus connu sous le seul nom de Kaspersky est une entreprise d’origine russe,
mondialement connue pour ses logiciels antivirus.
Cette définition met également en avant la dualité possible de l’utilisation d’une

arme cyber. Elle peut servir un objectif stratégique ou militaire tout autant que
des fins politiques ou financières.
Nos données sont une cible de choix pour les cyberattaquants et de plus en plus,
chacun de nous en dépose sur le cyberespace, via le cloud ou les recherches
Internet par exemple. Les cibles sont donc de plus répandues, puisqu’il devient
banal de diffuser nos données personnelles sur Internet. Cette banalisation des
données risque d’entraîner une augmentation des attaques les visant et donc
le développement des armes cyber.
Il est possible de se demander si la définition d’une arme traditionnelle peut
être transposée à l’arme cyber.
Une arme conventionnelle est un instrument de combat utilisé de façon défensive
ou offensive permettant de neutraliser, blesser ou tuer des personnes ou
d’endommager, de détruire différents biens.
Si l’on essaye d’appliquer cela à l’arme cyber, évidemment une arme cyber peut
être utilisée de manière offensive ou après une attaque pour se défendre ou
répliquer.
Par exemple, si l’on se rapporte aux propos de la ministre des Armées
Florence Parly : « Fin 2017, des connexions anormales sur le serveur de la
messagerie Internet du ministère des Armées ont été constatées. Ces connexions
ont révélé qu’un attaquant cherchait à accéder directement au contenu de boîtes
mail de 19 cadres du ministère, parmi elles, celles de quelques personnalités
sensibles. Sans notre vigilance, c’est toute notre chaîne d’alimentation en carburant
de la Marine nationale qui aurait été exposée.13 » Face à une telle attaque, il
aurait été tout à fait possible pour les cyberattaquants français de riposter afin
de se défendre. Dans cette hypothèse une arme cyber aurait servi dans une
situation défensive. Les cybercombattants ont donc appliqué une stratégie
défensive face à une attaque qui visait des serveurs du ministère.
Une différence importante demeure tout de même entre les armes conventionnelles
et l’arme cyber. Les armes conventionnelles auront des conséquences principalement
sur la vie humaine, elles peuvent tuer ou blesser, plus ou moins gravement une
personne. Si elles sont utilisées en direction de biens mobiliers, elles peuvent
engendrer des destructions matérielles de plus ou moins grande envergure.
En revanche, la plupart des armes cyber n’auront pas directement d’impact sur
la vie humaine. Elles seront surtout utilisées pour ralentir des réseaux, implanter
de fausses informations ou en voler, mais très peu pour blesser un être humain.
13 éclaration de Mme Florence Parly, ministre des Armées, sur le volet de la cyberdéfense des
D
armées, à Paris le 18 janvier 2019.
Notez tout de même que si certaines cyberattaques peuvent avoir des conséquences
dramatiques sur la vie humaine, le plus souvent il s’agit d’une conséquence indirecte.
Par exemple, une incapacité d’accéder à certains sites Internet.
On peut tout à fait imaginer qu’une cyberattaque prive d’électricité un hôpital,
ce qui pourrait mettre en danger les patients dont la vie dépend de machines.
Même si l’on peut envisager que le but de cette cyberattaque soit de blesser une
personne précise, il y a de plus fortes chances qu’il s’agisse d’une conséquence
indirecte de l’attaque.
Le développement de ces armes et la numérisation toujours plus importante ne
permettent pas d’assurer que cette situation perdurera.
L’informatisation de notre quotidien augmente ce danger. Prenons l’exemple des
voitures connectées, ces dernières sont de plus en plus répandues, mais, comme
tout objet connecté, le risque de piratage est présent. Il est désormais tout à fait
possible de détourner à distance une voiture dont les systèmes sont connectés
à Internet. Il est tout à fait envisageable de développer une arme cyber capable
de prendre le contrôle du volant de la voiture, la personne à l’intérieur ne pouvant
plus contrôler la trajectoire et se trouvant en situation de grande vulnérabilité.
La connectivité de ces voitures est sans pareil et les attaques peuvent concerner
le système de verrouillage, les freins, les systèmes de conduite, etc.
Un grand nombre de composants de la voiture peuvent être la cible d’une
cyberattaque, il faut donc les prendre en compte et envisager la sécurité
nécessaire pour les protéger d’atteintes extérieures.
Par exemple, en 2020, à Lille, au Forum international de la cybersécurité,
un hackeur14 a fait la démonstration d’un piratage d’une voiture de série. Pour ce
faire, il passait par un émetteur-récepteur situé dans les valves de pneus des
voitures, ces valves transmettant des informations à l’ordinateur de bord des
voitures. En passant par cette valve, le hackeur démontrait la possibilité d’arrêter
la voiture.
Dès 2015, la presse américaine donnait des exemples de prises de contrôle de
voiture à distance, des prises de contrôle pouvant tout autant prendre la main
sur le niveau sonore de la radio que couper les freins !
Les armes cyber, contrairement aux armes traditionnelles, peuvent ne provoquer
aucun dégât matériel. Il s’agira notamment des codes qui visent seulement
à observer le fonctionnement d’une entreprise ou à voler des informations.
Ces codes doivent rester discrets pour être efficaces et pour cela, il est essentiel
qu’ils ne fassent pas de vague afin de ne pas être repérés.
14 Gaël Musquet se considère comme hacker « citoyen ». Il est membre du collectif YesWeHack.
Dans ce cas, les dégâts causés se situent essentiellement au niveau informationnel

et en termes de réputation pour l’entreprise ou l’administration touchée. Il est donc
nécessaire d’entendre le terme « dommage » au sens large, sans le restreindre
aux simples dommages matériels.
Pour l’heure, l’atteinte à la vie humaine n’est pas le principal objectif de ces armes.
Actuellement, pour neutraliser, blesser ou tuer une personne, le moyen le plus
efficace n’est pas – encore – d’utiliser une arme cyber. Par contre, s’il s’agit de
porter atteinte à des biens, de les endommager, il est tout à fait possible d’y
parvenir grâce à une arme cyber. Si vous voulez perturber le réseau de signalisation
routière, une cyberattaque sera plus adaptée que tout autre moyen d’action.
Une définition possible de l’arme cyber serait : « Un code malveillant utilisé ou

conçu afin de menacer ou provoquer des dommages en pénétrant dans les
systèmes, réseaux et machines, tout en restant anonyme. »
Elle permet ainsi à tous ceux qui le désirent et qui en ont la capacité de provoquer
différents types de dommages, grâce au cyberespace, sans pour autant agir en
pleine lumière, puisqu’il est difficile d’identifier la personne utilisant cette arme.
Ses utilisateurs peuvent poursuivre des buts très variés, politiques ou militaires,
et ce à la fois au niveau national et international. De plus, cette arme n’est pas
palpable et n’est pas détruite après avoir été utilisée comme l’est une balle ou un
engin explosif. On peut même envisager qu’un code malveillant puisse être réutilisé.

Dans ces pages, nous avons avancé sur ce que peut-être une arme cyber et
ses capacités à provoquer des dommages jusque dans des actes les plus
banals de notre quotidien, comme conduire une voiture…
1.2.5 Éléments composant l’arme cyber
AVANT DE PLONGER
Du fait de ses particularités, lorsqu’on utilise l’arme cyber, les conséquences
seront différentes d’une arme traditionnelle. Ainsi, en utilisant l’arme cyber,
le besoin d’engager des forces humaines sur des théâtres d’opérations
est moins important. Dans le cadre de la logique militaire, cela permet de
préserver la vie de soldats.
Si l’on se place au niveau de l’entreprise, alors cela donne un avantage certain

à vos attaquants potentiels qui disposent de nouveaux moyens pour vous nuire.
Imaginons que je désire m’en prendre à une entreprise qui m’aurait licencié
récemment. Je n’ai pas besoin d’aller en personne cambrioler ses locaux,
ou vandaliser sa façade. En me déplaçant moi-même, je prends le risque d’être
filmé ou d’être aperçu par un gardien par exemple. Il serait donc idéal pour moi de
rester chez moi et tout de même réussir à commettre mon méfait. C’est possible,
si j’utilise le cyberespace. En effet, en utilisant le cyberespace je peux modifier
l’apparence du site Internet de l’entreprise, voler des données appartenant aux
employés ou aux clients de cette entreprise. Je peux causer beaucoup de tort
sans même me déplacer, la seule exigence étant de ne pas laisser de traces
permettant de m’identifier.
Une telle effraction est totalement illégale, puisqu’il est interdit de pénétrer
volontairement dans un système fermé, mais de même qu’en janvier 2021
un ingénieur au chômage a tué une directrice des ressources humaines et un
employé de Pôle emploi, il aurait pu s’en prendre depuis son écran d’ordinateur,
au système informatique de la société qui l’a licencié ou de celle qui n’a pas
souhaité l’embaucher.
Chacun de nous comprend bien que le cyberespace permet de faire l’économie
du déplacement humain.
Une autre caractéristique des armes cyber est qu’elles peuvent être utilisées
sans cibles définies. On peut envisager qu’une arme cyber soit libérée dans le
cyberespace sans cible précise. C’est par exemple ce qui s’est passé en 1988
avec le ver Morris. Ce dernier s’est répandu à partir du 2 novembre 1988 depuis
un ordinateur du MIT. Selon son créateur, l’objectif de ce ver était de mesurer
la taille du réseau Internet. Mais il n’est pas devenu célèbre pour être parvenu à
cette mesure, mais du fait des conséquences désastreuses et non prévues par
son créateur qu’il a entraînées. En effet, du fait d’erreurs dans son code, ce ver a
infecté un grand nombre de machines, les rendant chacune inutilisable. Selon les
estimations réalisées a posteriori, il aurait infecté 10 % des machines existantes
à l’époque.
En raison de l’importance des dommages causés par ce ver, la première
condamnation pour violation du Computer Fraud and Abuse Act a été prononcée.
Une condamnation qui nous paraît assez peu importante à l’heure actuelle, puisqu’il
s’agissait de 10 000 dollars d’amende et de 400 heures de travaux d’intérêt général.
Cette première cyberattaque a également été l’occasion d’alerter une partie du
grand public sur les considérations de sécurité liées à l’utilisation des ordinateurs.
Vous vous en doutez sûrement maintenant, l’arme cyber n’est pas aisée à contrôler
et peut échapper à son créateur, engendrant ainsi des conséquences non désirées
ou plus importantes que prévues. Cette arme n’évite pas les conflits, mais au
lieu de se dérouler aux yeux de tous, ils prennent place dans le cyberespace,
à l’abri de nombreux regards.
Une cyberattaque d’envergure illustre cela. Une arme cyber a été utilisée à des
fins politiques et a ensuite échappé au contrôle de ses créateurs. Il s’agit du ver
informatique Stuxnet qui a touché les centrifugeuses de la centrale nucléaire
iranienne de Natanz.
En juin 2010, le ver Stuxnet a été repéré dans différents systèmes d’entreprises
dans le monde. Stuxnet reste célèbre dix ans après sa création pour plusieurs
raisons : son code était plus complexe que ceux utilisés pour d’autres
cyberattaques. En effet, il était en mesure de perturber le fonctionnement des
centrifugeuses de cette centrale sans que les opérateurs système s’aperçoivent
du dysfonctionnement.
Pour parvenir à ses fins, Stuxnet exploitait plusieurs failles Zero Day non rendues
publiques. Une faille Zero Day est une faille informatique qui n’a pas encore été
découverte par le propriétaire de l’infrastructure ou une faille pour laquelle
aucun correctif n’a encore été créé.
De plus, Stuxnet avait été conçu pour ne devenir opérationnel que lorsqu’il
détectait sa cible — en attendant, il restait en sommeil. Stuxnet se conduisait
comme un animal en hibernation, attendant que la saison douce revienne pour
s’éveiller. Selon les experts qui ont analysé cette arme, elle aurait été créée par la
NSA américaine ainsi qu’une unité israélienne spécialisée dans le domaine cyber.
La cible de Stuxnet était les centrifugeuses de Natanz ; en s’activant, il visait
à les perturber et ainsi ralentir le programme d’enrichissement nucléaire iranien.
L’une des conséquences indirectes, mais bien réelle, de cette cyberattaque a été
la signature de l’accord sur le nucléaire iranien du 14 juillet 2015.
Stuxnet illustre parfaitement comment une arme cyber peut être utilisée pour
atteindre un but politique ou stratégique en évitant d’utiliser des méthodes plus
classiques, et peut-être dans ce cas, plus dangereuses. On peut en effet imaginer
que le déploiement de troupes étrangères en Iran, même de façon discrète,
si elles avaient été découvertes, aurait pu déclencher un conflit potentiellement
lourd de conséquences.
Vous vous en doutez, l’Iran, une fois la cyberattaque découverte, a riposté.
Ainsi, les Iraniens ont mis hors service plus de 30 000 ordinateurs du groupe
pétrolier Aramco grâce à un virus de suppression des données. En ripostant
de cette façon, l’Iran a pu montrer sa capacité à utiliser le cyberespace pour
nuire et à développer des armes cyber pouvant servir ses intérêts. Vous aviez
probablement déjà entendu parler de Stuxnet. Cette attaque est souvent
considérée comme la première utilisation d’une arme cyber créée volontairement,
initiant ainsi le combat numérique.
Afin d’avoir une vision synthétique de l’impact de ces vers, la Figure 1.1 (voir
page 43) vous présente le fonctionnement de Stuxnet en sept points.
Figure 1.1 Le ver informatique Stuxnet en 7 points
Stuxnet ne devait pas devenir une infection de grande échelle, mais en choisissant
ce mode de transport, ses concepteurs ne pouvaient contrôler sa dispersion.
Malgré l’intention de départ, Stuxnet n’a pas touché que l’Iran. C’est l’innocence
d’un des employés de la centrale qui a permis à Stuxnet de se répandre dans le
monde. Pour infecter la centrale, le virus a été introduit via une clé USB piégée
transportée par un employé. Ce dernier, ne sachant pas ce que contenait sa
clé USB, l’a connectée à un ordinateur relié à Internet. C’est à ce moment que
Stuxnet a pu se répandre dans le monde entier.
Contrairement à Stuxnet, certaines attaques ont été conçues pour atteindre
différents pays. C’est le cas du ransomware Cryptolocker.
Le terme ransomware ne doit pas vous être inconnu (son équivalent en français est
rançongiciel). Il s’agit d’un logiciel malveillant développé pour prendre en otage
nos données, peu importe l’appareil utilisé. Que l’on soit un État, une entreprise
ou un individu, si l’on est touché par l’un de ces logiciels, l’accès à notre appareil
et à nos données nous sera impossible. On parle de rançongiciel, car comme lors
d’une prise d’otage classique, une demande de rançon est exigée, non pas en
échange de notre liberté, mais en échange de l’accès à nos données. Cet accès
est une forme de liberté de nos jours.
En 2013, Cryptolocker chiffrait les données des appareils infectés tout en stockant
sa clé de déchiffrement sur un serveur distant. Il s’est propagé par e-mails et
exigeait des propriétaires d’ordinateurs infectés le versement d’une rançon
en bitcoins ou en argent traditionnel, dans un délai déterminé s’ils voulaient
récupérer leurs données.
Pour les cyberattaquants, il s’agit d’un moyen relativement sûr de gagner de
l’argent. En effet, qui ne serait pas prêt à débourser une certaine somme d’argent
pour avoir accès à ses données ?
On constate que les cyberattaquants ne demandent pas nécessairement de
grosses rançons, mais plutôt de petites sommes à un grand nombre de victimes,
ce qui les incite à payer, sachant que le pactole global pour le cyberattaquant
reste conséquent.
Si l’on veut mettre toutes les chances de son côté pour éviter la plupart des
demandes de rançon, l’idéal est de conserver des sauvegardes de nos données,
sans elles nous sommes plus susceptibles de payer.
Pour qu’une telle attaque soit rentable, il faut cibler un grand nombre d’utilisateurs
au niveau mondial, les cyberattaquants augmentant ainsi leurs chances d’obtenir
un retour financier. Plus il y aura de personnes touchées par cette attaque, plus le
nombre de personnes prêtes à payer sera important.
Afin d’avoir une vision synthétique de la mécanique que lance un ransomware,
la Figure 1.2 (voir page 45) vous présente son fonctionnement en sept points.
Figure 1.2 Le ransomware en 7 points
Ces exemples montrent bien que les armes cyber qui s’attaquent à nos données
sont en mesure de provoquer des dégâts importants et de différentes natures.
Par ailleurs, on n’est jamais à l’abri de ne jamais revoir nos données, même si
nous versons les rançons et pire, les preneurs d’otages peuvent tout à fait les
revendre à nos concurrents ou à toute entreprise intéressée. Ici, les attaquants
doubleraient leurs gains : nous les avons payés, mais en plus, ils sont payés par
un tiers désireux d’accéder à nos données. N’oublions pas que nous sommes
dans une économie où les données, la connaissance, sont cruciales et sont donc
très convoitées.
Une autre difficulté liée à l’arme cyber est qu’elle peut être réutilisée par une
autre personne que son créateur. Il est tout à fait possible de réutiliser une
arme cyber.
Contrairement à une grenade qui, une fois dégoupillée, explose et donc disparaît,
l’arme cyber, elle, ne disparaît pas après avoir été utilisée puisqu’elle continue
d’exister dans le cyberespace. Il est possible pour des personnes assez qualifiées
de créer de nouveaux logiciels malveillants beaucoup plus vite que s’ils avaient dû
les créer entièrement. Voyez cela comme une sorte de recyclage sans que l’on soit
dans un cercle vertueux comme le recyclage au nom du développement durable.
Cela permet au cyberattaquant de ne pas utiliser ses propres outils et de ne pas

risquer d’être démasqué si l’attaque est détectée. Il sera donc plus difficile de
l’identifier comme auteur de cette attaque. Il y a plus de chances que l’attaque
soit attribuée aux auteurs originaux du code qui a été repris.
Ce détournement augmente le risque de nouvelles vies accordées à des logiciels

malveillants.
De plus, l’arme cyber peut être utilisée seule pour parvenir à un objectif défini,
mais elle peut également agir en complément d’opérations plus traditionnelles.
À ce titre il est possible de citer le général Lecointre : « On emploie l’arme cyber,
qui s’avère vraiment efficace et produit des effets tangibles sur le champ de
bataille – par exemple la localisation et la perturbation des réseaux ennemis en
Syrie ou en Irak15. » Si c’est vrai pour les forces armées, cela peut aussi s’appliquer
à des criminels. Ces derniers peuvent décider d’améliorer le rendement de
leurs opérations frauduleuses en les numérisant en partie. Par exemple, si des
criminels décident de voler une œuvre d’art dans un musée, ils peuvent utiliser le
cyberespace pour pirater les caméras de surveillance, surveiller les alentours, etc.
Les conséquences que peuvent avoir les armes cyber sont extrêmement
diversifiées, mais pour autant, selon les objectifs des attaquants, ils n’utiliseront
pas exactement les mêmes méthodes. Comme pour les armes traditionnelles,
on adapte le choix de l’arme cyber à la mission menée et aux objectifs à atteindre.
15 Propos recueillis par Nathalie Guibert, Le Monde, 12 juillet 2019.


De Stuxnet à Cryptlocker, vous devenez plus familiers de l’arme cyber et
des dégâts qu’elle peut générer, sachant qu’à la différence d’une arme
traditionnelle, ces dégâts ne sont pas toujours immédiats.
1.2.6 À chaque arme, son objectif
AVANT DE PLONGER
Les armes cyber prennent des formes très variées, selon du but recherché,
l’arme choisie ne sera pas la même. Elles sont généralement désignées par
le terme de malware, ou logiciel malveillant en français. Il s’agit d’un terme
générique pour désigner les logiciels créés pour causer du tort, quelle que
soit la méthode. Tous les malwares sont différents, car ils sont conçus pour
réaliser une cyberattaque précise. Même similaires, les cyberattaques ne
sont jamais identiques.
Nous avons vu précédemment qu’en prenant en otage des données pour obtenir
une rançon, l’agresseur utilise un ransomware. Passons à d’autres possibilités.
Il est également possible de recourir à des attaques d’hameçonnage, que l’on

nomme souvent phishing. Ce type d’attaque vise essentiellement à récupérer
certaines de nos données personnelles.
Ici, il ne s’agit pas de voler les données de force, mais, via une arnaque, de nous
contraindre à les confier de nous-même à l’attaquant.
Les données les plus recherchées sont nos informations bancaires, nos identifiants
et mots de passe. Nos données peuvent être utilisées par l’attaquant pour son
profit personnel. Dans certaines de ses formes les plus avancées, le phishing
peut permettre de voler notre identité.
Vous voyez forcément à quoi ressemble un acte de phishing, car nous sommes
certains que vous y avez déjà été confronté. Il s’agit d’e-mails tentant de se faire
passer pour notre banque, notre opérateur téléphonique, une administration
comme le service des impôts, ou une entreprise, qui pourraient nous amener
à être moins attentifs. En général, ces e-mails nous enjoignent à donner nos
coordonnées bancaires ou d’autres données personnelles ou à suivre un lien via
lequel nous devrions renseigner ce genre d’information.
Par exemple, vous recevez un mail imitant l’affichage de votre « relais colis »
habituel. Ce dernier vous prévient d’un problème de livraison engendrant un
surcoût, que l’on vous propose de régler en suivant un lien contenu dans l’e-mail.
Il est aussi tout à fait possible que ce même e-mail vous informe qu’un colis
est arrivé dans votre point relais et que pour avoir plus d’information sur ce
point relais, il faut cliquer sur un lien. Évidemment, si vous cliquez, vous serez
redirigé vers une page qui vous proposera de télécharger un document et si
vous le faites, un virus infectera votre ordinateur. Dans cette hypothèse, le virus
en question pourra avoir plusieurs conséquences : le vol de vos données,
vous espionner, etc.
Prenons l’exemple d’une entreprise maintenant. Airbus, en 2018-2019, a été

victime d’opérations d’espionnage. Celles-ci passaient par des sous-traitants
de l’avionneur et utilisaient des failles dans les systèmes de protection de ces
derniers. Cela fait, en se faisant passer pour ces sous-traitants, les cyberpirates
pénétraient (ou tentaient de le faire) les réseaux d’Airbus en utilisant un VPN
(virtual private network), un réseau privé chiffré reliant plusieurs entreprises pour
communiquer de manière sécurisée.
Notons au passage que le groupe Airbus fait partie d’entreprises et d’équipements

participant pleinement au potentiel de guerre ou économique, ainsi qu’à la
sécurité de l’État français. À ce titre, il fait l’objet d’une attention particulière,
voire d’un accompagnement spécifique dans le cadre de la sécurisation de
ses systèmes d’information sensibles. C’est un opérateur d’importance vitale
(OIV), catégorie d’équipements et d’acteurs économiques sur lesquels nous
reviendrons plus loin.
Revenons au phishing, pratique plus courante. Celle-ci tente de déjouer votre

vigilance en vous faisant croire que l’e-mail est légitime, quand il est bien imité.
De ce fait, vous ne vous méfiez pas et vous pouvez être amené à confier vos
informations les plus personnelles sans vous douter que vous êtes victime d’une
arnaque.
Ces campagnes de phishing, qui peuvent être associées à des spams, sont
envoyées à un très grand nombre de personnes afin d’augmenter les chances
que certaines baissent la garde et fournissent leurs informations recherchées.
Ces attaques fonctionnent grâce à la naïveté des internautes, mais aussi parce
que le flot d’e-mails que vous recevez vous empêche d’être parfaitement attentif.
À l’origine, les e-mails de phishing étaient très faciles à repérer, car ils étaient
pleins de fautes d’orthographe, les logos n’étaient pas forcément les bons ou pas
de la bonne couleur, etc. Avec le temps, leurs concepteurs se sont réellement
améliorés, ce qui rend difficile de les identifier.
Faites attention quand vous recevez un e-mail qu’il corresponde bien à une de
vos actions.
Pour déjouer encore plus notre attention, ces e-mails de phishing sont souvent
envoyés lors des périodes de pic d’activité pour les achats en ligne, pendant les
soldes, les fêtes de fin d’année, etc. Si vous recevez un e-mail vous demandant
de payer des frais de port supplémentaires pour un colis identifié par un numéro,
vous risquez de croire qu’il s’agit de l’une de vos commandes pour les fêtes,
alors que pendant une période plus calme ce colis ne correspondrait à aucune
commande.
Contrairement aux ransomwares, les campagnes de phishing n’ont pas le même

retentissement médiatique. Ces dernières sont plus régulières, voire banales
pour certains d’entre nous.
Un autre type d’attaque très répandu est le déni de service (distributed

denial of service : DDoS). Cette attaque est très différente de celles que nous
avons vues jusqu’ici. Ici, le cyberattaquant veut submerger un serveur ou un
système informatique, avec un grand nombre de requêtes auquel il ne peut
pas répondre. Toutes ces requêtes dépassent ce que le système peut gérer et
il devient inaccessible. C’est une manière de rendre indisponible un site Internet,
par exemple.
Pour pouvoir réaliser ce genre d’attaques, des centaines d’ordinateurs sont

infectés au préalable par un malware afin de pouvoir être contrôlés par le
cyberattaquant. Ces ordinateurs forment un botnet, un réseau d’ordinateurs
zombies, qui va permettre à l’attaquant d’avoir les capacités nécessaires pour
envoyer un grand nombre de données vers la cible. Ces attaques sont très
efficaces pour rendre inactif un système à un moment précis.
Pour résumer la logique et l’impact d’une attaque DDoS, la Figure 1.3 (voir
page 50) synthétise son fonctionnement en sept points.
Une telle cyberattaque peut perturber partiellement ou totalement le

fonctionnement d’un serveur informatique.
Wikipédia, par exemple, a subi une telle attaque en septembre 2019. Elle a rendu
inaccessible le site pendant plusieurs heures. Au début de l’attaque, quelques
requêtes sur le site n’arrivaient pas à aboutir, puis aucune n’a réussi à fonctionner.
Wikipédia ne parvenait pas à traiter les véritables requêtes de ses utilisateurs,
car il était submergé par les fausses requêtes envoyées par l’attaquant.
Ces attaques nous touchent moins en tant que particulier, pourtant, au niveau
des entreprises elles coûtent chaque année des millions de dollars. La Bourse
néo-zélandaise a subi une telle attaque, ce qui a complètement paralysé ses
services pendant plusieurs jours.
Figure 1.3 Comprendre une attaque DDoS en 7 points

Une attaque par déni de service est assez simple à mettre en œuvre, puisqu’elle
peut être réalisée grâce à un outil très simple d’usage, le low orbit cannon, qui
ne nécessite pas de connaissances poussées en informatique. Il est évidemment
illégal d’utiliser un tel outil.
Vous vous souvenez sûrement de la mythologie et du cheval de Troie. Il existe

une attaque très similaire à cette histoire dans le cyberespace. Un cheval de
Troie cyber permet de pénétrer un système informatique sans que l’on s’en rende
compte. On installe un programme semblant tout à fait légitime et inoffensif,
mais en réalité, il cache un programme malveillant. C’est ce programme caché
qui va permettre à un cyberattaquant d’accéder à un ordinateur en agissant
comme une porte dérobée.
Pour que l’on installe le programme de base, les cyberattaquants utilisent

des techniques d’ingénierie sociale afin de nous inciter à installer et lancer le
programme. Ils utilisent des techniques plus psychologiques pour trouver les
faiblesses qu’ils peuvent exploiter pour lancer leur attaque. Ils ont besoin de
convaincre leur victime que le logiciel est inoffensif et pour cela, ils vont par
exemple se faire passer pour un collaborateur ayant besoin d’accéder aux fichiers
des ressources humaines, etc.
L’ingénierie sociale est presque toujours présente dans les cyberattaques,

c’est ce qui permet à l’attaque d’être plus réaliste et d’avoir de plus grandes
chances de réussite.
Le programme caché peut avoir plusieurs fonctionnalités différentes, il peut

permettre de nous espionner, de voler nos données, de supprimer ou même
modifier certaines de nos données personnelles. C’est également un moyen de
récupérer nos mots de passe, mais rien ne limite les actions que peut avoir ce
programme malveillant. Il peut être utilisé pour atteindre les différents objectifs
que peuvent avoir les criminels.
Les chevaux de Troie sont extrêmement dangereux, car on ne se rend pas

compte qu’ils ont pénétré notre système et ils peuvent ouvrir une brèche de
sécurité dans notre réseau et potentiellement, impacter d’autres appareils qui
y sont reliés ou d’autres personnes. Les chevaux de Troie ne s’autorépliquent
pas après nous avoir infectés.
Pour résumer la logique et le fonctionnement d’un cheval de Troie, la Figure 1.4

(voir page 52) synthétise son fonctionnement en sept points.
Figure 1.4 Le cheval de Troie en 7 points

Un virus est un autre programme malveillant qui va infecter notre ordinateur afin
de perturber son fonctionnement naturel. Il peut avoir différentes conséquences
sur notre système informatique, sachant que son objectif vise essentiellement
à corrompre ou supprimer nos données. Mais le point le plus important est
qu’après avoir pénétré notre ordinateur, il se reproduit avant d’infecter un autre
système. Il fonctionne comme les virus qui s’attaquent à notre santé et à l’instar
de la pandémie de la Covid-19 apparue en janvier 2020, ils peuvent se répandre
de façon incontrôlée. Les ransomwares sont une sorte de virus.
Heartbleed était un virus particulièrement dangereux. Après avoir pénétré un

serveur sécurisé, il récoltait des petits morceaux de données relatives aux mots
de passe. Il en récoltait jusqu’à avoir le mot de passe entier. Il pouvait ainsi
reconstituer l’un de votre mot de passe, par exemple pour un réseau social et ainsi
l’attaquant pouvait se connecter en se faisant passer pour le véritable utilisateur.
Très proche des virus, on trouve les vers informatiques. Un ver infecte un ordinateur
puis se duplique afin de se propager. Contrairement au virus, le ver n’a besoin
d’aucun autre programme pour se reproduire. Le virus a besoin d’un programme
actif pour se reproduire, alors que le ver exploite les ressources de l’ordinateur
qu’il a infecté.
Les vers peuvent avoir différents objectifs, l’espionnage, l’ouverture d’une porte
dérobée pour permettre aux pirates informatiques d’accéder à l’installation
informatique, de détruire des données, d’envoyer un grand nombre de requêtes
vers un site Internet. En plus de ces objectifs, le ver va souvent engendrer un
ralentissement, des difficultés de fonctionnement pour la machine et/ou le
réseau infecté.
Vous avez probablement entendu parler du ver “I love you”. Cette déclaration
d’amour numérique a causé bien des dégâts informatiques au début des
années 2000. Ce ver se répandait grâce à une pièce jointe attachée à un e-mail.
Une fois ouvert, il passait à l’attaque et modifiait les fichiers contenus dans
l’ordinateur et accédait au carnet d’adresses, lui permettant de contaminer vos
contacts en se répliquant. L’ordinateur se trouvait ralenti par cette attaque.
Vous avez peut-être eu la malchance de rencontrer d’autres nuisances issues du

cyberespace comme l’adware. Il s’agit de programmes destinés à afficher des
publicités non sollicitées sur votre ordinateur. Ils peuvent également recueillir vos
données pour vous envoyer des publicités personnalisées. Il s’agit d’une forme
de vols de vos données et d’une attitude qui peut être très gênante. Recevoir
des publicités non sollicitées peut être très agaçant au quotidien.
Ces cyberattaques sont souvent mises à l’œuvre dans le secteur des affaires ou
pour des motivations politiques.
En plus du vol de données, certains outils permettent de nous espionner

purement et simplement. Les spywares sont des logiciels espions qui vont pouvoir
infecter notre ordinateur et n’importe lequel de nos appareils. Ils permettent
aux cyberattaquants d’avoir un accès total à toutes nos informations sensibles.
Il pourra s’agir de nos mots de passe, de nos coordonnées bancaires, de nos
informations médicales, ainsi que tout ce qui constitue notre identité numérique.
Le but de ce malware est de rester invisible afin de pouvoir voler le plus grand
nombre d’informations possible. Les spywares ne ciblent généralement pas
des personnes au hasard, mais plutôt certaines, dont les informations précises
peuvent être revendues, notamment.
Un autre type d’attaque que vous devez connaître est la menace persistante
avancée (APT16) qui correspond à une cyberattaque furtive, s’étendant sur une
très longue période. Pour réussir, ces cyberattaques doivent être très bien
organisées et prévues. La cible n’est pas choisie au hasard.
Une APT demande un niveau de dissimulation extrêmement important. Elle doit
en effet pouvoir vivre pendant un certain temps pour que son code malveillant
ait le temps de récolter suffisamment d’informations.
Généralement, les APT sont suffisamment furtives pour « passer sous les radars »
et ne pas être détectées. La manière la plus « simple » de repérer une APT vient
des flux – de l’activité réseau dirait un informaticien – circulant entre l’intérieur
et l’extérieur du système d’information. Ces flux « anormaux » d’informations
sont dus au contrôle de l’APT par le pirate, soit par le transfert de données par
l’APT vers le hackeur. La détection de cette activité, encore une fois « anormale »,
se fera au niveau de la couche réseau.
Ces attaques demandent beaucoup de préparation, car il faut réussir à pénétrer
le système de l’entreprise visée en utilisant des techniques d’ingénierie sociale
et probablement du phishing, tout cela uniquement pour pénétrer le système.
Ensuite, le malware principal doit prendre le relais et capter des informations en
restant le plus discret possible. Une fois la tâche accomplie, il faut également
retirer le malware et récolter les informations convoitées sans se faire remarquer.
Vous le constatez vous-même, il existe un grand nombre de cyberattaques, toutes
n’ayant pas été citées ici. La seule limite à la création d’une nouvelle attaque est
l’imagination de l’être humain et les avancées technologiques. Les armes cyber
étant développées en fonction des objectifs recherchés, on peut tout à fait
envisager que pour chaque nouvelle attaque, une nouvelle arme soit développée
avec ses caractéristiques propres et servant les objectifs de son créateur.
16 APT : advanced persistent threat, MPA en français.


Vous êtes maintenant au clair sur les ransomware, phishing et autres
cyberattaques. Sur cette base, vous allez pouvoir faire preuve de prudence
et même sensibiliser vos proches, collègues et équipes. Dans un certain
nombre de cas, on est dans une certaine forme de piratage low cost. On lance
une multitude d’hameçons et on regarde si des poissons mordent. Dans
d’autres – les APT, par exemple –, il y a un travail minutieux, silencieux, un
travail de taupe au sein d’un système d’information, jusqu’à ce que les bonnes
informations soient obtenues.
1.2.7 Tous les codes sont-ils des armes cyber ?

AVANT DE PLONGER
Bon, c’est clair, parler de cyberattaque, de hackeur renvoie inévitablement à
l’informatique et à un travail de codage. Le programme malveillant est une clé
USB abandonnée, cachée dans la pièce jointe d’un e-mail, etc. Ces programmes
existent, sont revendus, améliorés, utilisés avec de faux indices pour égarer ceux
qui voudraient en connaître les créateurs. Tout cela renvoie à des lignes de code,
mais peut-on s’arrêter là ? La réponse dans les lignes (de texte) qui suivent…
De façon simpliste, une arme cyber est un code malveillant à l’origine de nuisances
dans un système, mais peut-on considérer que tous les codes malveillants sont
des armes cyber ?
De très nombreux codes malveillants sont développés et utilisés chaque année.

Ainsi, l’éditeur d’antivirus Kaspersky Lab, en 2018, a recensé 21 643 946 objets
malveillants. Ce chiffre est impressionnant et ne devrait pas diminuer
puisqu’en 2015, il n’y en avait que 1,2 million selon Symantec, société d’édition
de logiciels de gestion des risques informatiques.
Pourtant, le premier consensus autour d’une arme cyber s’est fait dans le cas de
Stuxnet. On peut le comprendre, puisqu’il s’agit de la première arme cyber créée
par des États et d’une complexité incroyable. Elle a surtout permis d’atteindre un
objectif politique et ainsi a évité le déploiement de mesures plus opérationnelles.
Cette arme a en outre mis à mal un élément clé de souveraineté nationale
également considéré comme d’importance vitale, le nucléaire. Cette attaque
a eu des conséquences à plusieurs niveaux. Elle a tout d’abord interrompu le
fonctionnement de la centrale et ainsi retardé le programme initié par l’Iran,
mais elle a également contribué à la signature d’un traité au niveau international
du fait du retard pris par ce programme. L’impact de Stuxnet s’est donc manifesté
au-delà du système informatique avec des conséquences physiques concrètes.
Cette attaque revêt une importance certaine qui dépasse celle d’autres attaques,
de nombreux logiciels malveillants ayant des finalités plus restreintes, notamment
la collecte d’informations. C’est du fait de sa complexité et de ses conséquences
qu’elle a marqué les esprits et n’est pas passée inaperçue, tant sur la scène
internationale que dans la presse généraliste.
Cette arme cyber évolue dans une sphère bien différente des attaques de
phishing que nous pouvons subir. On peut envisager une certaine hiérarchie
entre les armes cyber.
Toutes les armes cyber n’ont pas l’importance de Stuxnet et c’est sûrement une
bonne chose.
Même si ces armes sont moins destructrices que Stuxnet, elles provoquent tout
de même leurs propres dégâts. Elles sont en mesure de causer de grandes
perturbations et de déstabiliser des entreprises, plus ou moins grandes.
Bien qu’ayant des résultats moins impressionnants, les différents codes
malveillants sont des armes et auront des conséquences propres à leur objectif.
Comme les armes traditionnelles, ces armes cyber peuvent être classées selon
leur dangerosité.
C’est pourquoi il est possible de se fonder sur le schéma national de classement
des attaques informatiques exposé dans la Revue stratégique de cyberdéfense.
Il présente une échelle de gravité des menaces en fonction de l’impact que cette
menace peut engendrer (voir Figure 1.5, page 57).
Au plus bas de cette échelle se trouve le niveau de menace zéro, qui est un
événement dont l’impact est négligeable. Au-dessus, le niveau 1A représente
un événement significatif à impact faible, puis le niveau 1B est celui de l’incident,
dont l’impact est significatif et circonscrit.
Le niveau 2 est réservé aux incidents graves avec un impact fort, mais circonscrit.
Ensuite, le niveau 3, ou niveau de crise avec un impact fort et étendu, puis le
niveau 4, qui correspond à une crise majeure dont l’impact est très fort.
Enfin, le dernier niveau caractérise une situation d’urgence extrême, dont l’impact
est également considéré comme exceptionnel. Selon ce schéma, seul ce dernier
niveau peut engendrer la caractérisation de l’agression au sens de l’article 51
de la charte des Nations unies.
Je pense qu’on peut tout de même identifier d’ores et déjà deux grandes
catégories d’armes cyber : d’un côté, les codes malveillants plutôt génériques,
qui ont une capacité de nuisance variable. On peut ici envisager de ranger dans
cette catégorie la majorité des armes cyber. D’un autre côté, on pourrait trouver
les codes malveillants avec une portée plus stratégique, soit au niveau militaire
et/ou politique. Cela représente un nombre plus limité d’armes cyber.
Figure 1.5 Schéma national de classement des attaques informatiques

(source : Revue stratégique de cyberdéfense, 2018)
Cette échelle pourrait être un point de départ pour élaborer une hiérarchie des
armes cyber. Effectuer ce classement est encore un peu délicat, compte tenu de
l’absence de consensus autour de ce qu’est une arme cyber. Un grand nombre
de facteurs doivent être pris en compte afin de pouvoir classer ces armes et
d’apprécier leurs impacts. De plus, une même arme sera plus ou moins dangereuse
selon qu’elle est utilisée à un niveau restreint ou international, qu’elles nous ciblent
nous, simples citoyens, ou des États ou des infrastructures très importantes.
Selon les armes cyber employées, leur impact peut être immédiat grâce
à la faible latence d’outils informatiques et la grande vitesse à laquelle elles
peuvent se propager ; ces armes représentent un danger tout autant que
les armes traditionnelles. Une cyberattaque peut parfois ressembler à un
bombardement. Après une phase de renseignements et de préparation de
l’attaque, les conséquences arrivent très rapidement. Dans le cadre de la
cyberattaque, c’est presque en simultané, alors que pour un bombardement,
il y a un peu plus de décalage. En revanche, les conséquences d’une cyberattaque
se produisent souvent avant qu’on prenne conscience de l’existence de cette

attaque, ce qui est très différent dans le cadre d’un bombardement traditionnel.
Si cette seconde catégorie correspond à une quantité moins importante d’armes,
son importance est cruciale, comme l’illustrent les propos du vice-amiral d’escadre
Arnaud Coustillères : « L’arme cyber est une arme à part entière, qui fait partie de la
panoplie des moyens à disposition du commandement militaire, en les complétant
de manière particulièrement efficace. Par ses modes d’action, par ses effets,
par sa propagation extrêmement rapide et large, et par sa complexité d’emploi,
l’arme cyber impose une refonte importante de nos schémas de planification et
de conduite, afin d’en tirer le meilleur bénéfice17. »
Si l’on conserve cette comparaison, l’arme cyber présente un autre danger :
ses conséquences sont planétaires. Un bombardement, bien que ciblant une
zone étendue, aura forcément des conséquences géographiques limitées,
alors qu’une cyberattaque peut atteindre de multiples pays en même temps et
d’une seule frappe. Une telle action est impossible avec une arme traditionnelle.
Un bombardement planétaire demanderait une quantité d’avions astronomique
ainsi qu’une logistique impressionnante, ce qui n’est pas nécessaire dans le cas
d’une cyberattaque massive.
Là où une arme classique est limitée pour des raisons de distance ou de
géographie, l’arme cyber est limitée uniquement par le taux de connectivité
d’une zone. Une cyberattaque contre la métropole de Lyon ou de Paris aura
forcément plus de conséquences que la même attaque dans le Haut-Doubs ou
en Haute-Saône. Le cyberattaquant pouvant se trouver n’importe où dans le
monde, il pourra atteindre sa cible, à partir du moment où celle-ci se trouve
dans un endroit disposant d’un minimum de service informatique et de réseau.
L’arme cyber n’est peut-être pas l’arme de choix d’un règlement de compte,
en revanche elle permettra de paralyser, d’espionner une personne, voire un
groupe et de s’arrêter dès que l’attaquant le souhaite. Cette arme présente une
versatilité importante dans ses usages, ce qui se reflète nécessairement sur les
personnes qui peuvent s’en servir.

En réponse à la question posée en début de développement, on peut dire
que oui, l’arme cyber est toujours du code informatique. Pour autant, en
fonction des dangers encourus, et donc des réponses et parades à mettre en
place, il est important de distinguer codes malveillants génériques et codes
malveillants stratégiques.
17 rnaud Coustillière, « Cyberdéfense militaire : vers une nouvelle composante des armées »,
A
DSI, Hors série n° 52, février-mars 2017.
2
L’utilisation
de l’arme cyber
2.1 Qui utilise les armes cyber ?
2.1.1 L’arme avant son utilisateur ?
AVANT DE PLONGER
Si la possession et l’usage des armes traditionnelles sont très réglementés
en France, il n’en est pas de même pour les armes cyber. D’ailleurs, c’est quoi
une arme cyber ?
Il n’existe pas à l’heure actuelle d’autorisation d’usage d’une arme cyber ou de

dérogation pour certaines catégories de personnes pour qu’elles puissent en
posséder.
En même temps, il semble très compliqué de contrôler la possession de ces armes,

car à l’heure actuelle, aucun texte ne les définit. Sans définition, il est difficile de
leur appliquer une législation.
Par ailleurs, l’utilisation d’une arme traditionnelle est facilement visible, alors que
l’on ne peut pas tenir une arme cyber dans sa main et paraître menaçant pour
qui que ce soit.
Estimer qu’une personne détient une arme cyber sans en avoir la preuve est
extrêmement délicat. Vous vous doutez qu’obtenir cette preuve relève du
challenge. On ne va pas apercevoir cette arme comme une arme de poing
à la ceinture d’un braqueur de banque. L’arme cyber, elle, est conservée au sein
d’un ordinateur qui nous appartient et sur lequel personne ne peut accéder sans
notre consentement.
Qui plus est, contrairement à une arme à feu, elle peut être en cours de conception
et/ou de transformation avant sa potentielle utilisation.
Une preuve irréfutable de l’existence de cette arme est son utilisation, mais à ce
moment-là, il est trop tard. Nous le verrons plus loin, mais les États et les agences
de sécurité développent des techniques pour pallier ces différentes difficultés.
Dès lors, elle est difficile à repérer, sauf si son créateur s’en vante en public,
par exemple.
Il est possible d’utiliser l’arme cyber avec n’importe lequel de nos outils
informatiques. Bien évidemment avec notre ordinateur, mais aussi avec un
smartphone ou une tablette, surtout lorsque ces derniers sont connectés
à Internet.
Pris chacun indépendamment, ces éléments ne constituent pas des armes cyber.
J’écris ces lignes sur un ordinateur portable qui pourrait tout à fait me servir
à développer une arme cyber, mais ce n’est pas mon objectif. Tout comme je
suppose que la plupart d’entre vous possèdent des smartphones performants
qui pourraient tout à fait vous permettre d’utiliser une arme cyber.
Tout seuls, ces éléments ne représentent pas une menace suffisante pour justifier
de mettre en œuvre d’éventuelles mesures de contrôle à l’achat de l’un d’entre eux.
De même qu’il est possible de fabriquer une bombe à partir d’éléments pouvant
être achetés aisément dans le commerce, dans le cyberespace, on peut créer
une arme, un outil destructif sans acquérir d’élément identifié comme dangereux
par la société.

L’arme cyber pouvant être assimilée à un programme informatique, il est difficile
de l’identifier simplement, d’autant qu’elle ne se loge pas dans un holster,
mais se suffit d’un support informatique, de la clé USB au PC, en passant par
un smartphone, et ce au milieu d’autres programmes.
2.1.2 Les intentions de l’utilisateur font l’arme cyber
AVANT DE PLONGER
L’arme ne vaut, généralement, que par l’objectif qu’elle permet de poursuivre,
voire d’atteindre, ce qui est étroitement lié à son utilisateur. Ainsi, une arme
de guerre peut tout autant servir à un soldat qu’à un gendarme, mais aussi
à un « braqueur », un déséquilibré ou encore à un terroriste. Il est donc
important de mieux connaître et comprendre qui sont celles et ceux qui se
servent des armes cyber.
L’utilisation de l’arme cyber 61
Qui utilise des armes cyber ? Essentiellement des hackeurs, que l’on présente
souvent comme de jeunes hommes peu sociables passant leur vie devant leur
écran d’ordinateur. Si le cliché du jeune homme boutonneux et solitaire est
dépassé, le terme hackeur n’est pas tout à fait obsolète.
On l’utilise souvent pour parler des pirates informatiques, des cyberattaquants.

Mais ces différents termes ne recouvrent pas toujours la même réalité.
Le terme “hackeur”
Ce terme est apparu pour la première fois le 5 avril 1955 lors d’une réunion
du Tech Model Railroad Club où ces paroles ont été prononcées : « M. Eccles
demande que tous ceux qui travaillent ou “hackent” sur le système électrique
coupent le courant pour éviter que les plombs ne sautent. » On se rend bien
compte que l’image des hackeurs à cette époque est très différente de celle
que l’on en a aujourd’hui. Ils sont alors considérés comme ceux tentant de régler
les difficultés techniques en privilégiant des méthodes plus innovantes que
les méthodes traditionnelles. Ils ont un rôle très positif, celui d’une personne
débrouillarde qui essaye par tous les moyens de résoudre les problèmes.
Le sens de ce terme a évolué depuis. Le dictionnaire Larousse y voit une personne

qui, « par jeu, goût du défi ou souci de notoriété, cherche à contourner les
protections d’un logiciel, à s’introduire frauduleusement dans un système ou
un réseau informatique ».
Selon cette définition, la philosophie des hackeurs serait plutôt de démanteler

une machine, un réseau pour en comprendre le fonctionnement et par appât du
gain, ou recherche d’adrénaline, d’en utiliser les failles. Cela rejoint effectivement
les premières traductions de ce terme en français : « bidouilleur, bricoleur ».
Le terme hacking
Hacking, est quant à lui tiré du vocabulaire culinaire puisqu’il signifie : « Le hachage
menu-menu ». On trouve ici un parallèle avec son usage actuel, puisqu’il est utilisé
lorsqu’un individu décortique le mode de fonctionnement d’un ordinateur pour
en comprendre ses rouages et peut-être, ensuite, le détourner de son usage
normal. Ce détournement a été utilisé de différentes manières au fil du temps.
Le hacking canal historique

Les hackeurs, qui se sont eux-mêmes nommés ainsi, sont apparus en même
temps que l’outil informatique. Les premiers ont débuté dans les années 1960
en faisant de la rétro-ingénierie, c’est-à-dire en décortiquant un ordinateur et
ses programmes afin de percer leurs secrets et les comprendre.
Les premiers hackeurs appartenaient vraisemblablement au monde universitaire

et étaient empreints d’une recherche de collaboration entre pratiquants d’une
nouvelle discipline. Cet état d’esprit a marqué les hackeurs qui ont développé
des logiciels dans un souci d’échange de connaissances et de liberté à une
époque où il existait très peu de règlementations et où les entreprises évoluant
dans ce domaine étaient peu nombreuses.
Une première évolution a eu lieu lorsque les fabricants de programmes numériques

ont décidé de les verrouiller et de les faire payer, pour limiter la liberté d’utilisation
qu’avaient jusque-là les utilisateurs et mettre fin à la possibilité de copier les
logiciels.
Croyez-le ou non, Richard Stallman, qui a mis ce problème sur le devant de la scène
s’en est rendu compte suite à un bourrage de papier dans une imprimante. Il ne
pouvait rien faire pour régler le problème, car la machine l’empêchait d’ouvrir le
capot ou de faire quoi que ce soit. Le code de la machine empêchait d’accéder
à ses composants et il n’était pas possible de modifier ce code. C’est en réaction
à ce blocage qu’il a développé le principe de la licence libre.
À l’opposé de son idée ont été mis sur le marché des logiciels propriétaires.
Ce sont des logiciels conçus pour que, légalement ou techniquement, il ne soit pas
possible de les utiliser, d’en faire des copies, de reproduire ou modifier leur code
source. En restreignant la possibilité d’accéder à leurs logiciels, ces entreprises
se heurtent à la logique contraire prônée par les hackeurs, celle de la liberté.
Une opposition va donc naître entre la logique économique des entreprises du
secteur et la liberté que souhaitaient les hackeurs.
C’est donc contre cette fermeture que les hackeurs vont se battre et certains
vont consacrer leur vie à défendre des logiciels aux codes libres d’accès.
Les hackeurs continueront à défendre cet idéal de partage et de liberté, et le

développement d’Internet, des réseaux sociaux contribuent à leurs actions.
Ils sont les partisans de logiciels avec une licence libre, dont il est possible
d’accéder au code source.
Le hacking malveillant
Mais tous les hackeurs ne sont pas dans cette approche bienveillante et
collaborative. Certains sont animés d’intentions malveillantes ou mercantiles,
voire de l’envie d’être reconnus pour leurs compétences.
Nos hackeurs modernes veulent prouver ce dont ils sont capables, qu’il s’agisse
de modifier ou subtiliser des informations ou de pénétrer au sein d’un système
considéré comme inviolable.
Faire leurs preuves est également un moyen pour eux d’être reconnus par leurs
pairs et ainsi de forger ou de renforcer leur réputation et leur crédibilité.
Dans notre quotidien, le hacking est connoté très négativement. On associe à cette
pratique des intrusions non autorisées, donc illégales, dans nos propres systèmes
ou ceux d’autrui. C’est par exemple ce que l’on peut retenir de la mésaventure
d’Adobe en 2013. Ce géant de l’informatique a subi une cyberattaque massive
qui a permis de pirater les comptes clients de plus de 2 millions de personnes.
Ici, les conséquences ont été extrêmement importantes puisque les attaquants
ont eu accès à des données personnelles et bancaires. Auparavant, des produits
de cette entreprise avaient déjà été pris pour cibles, permettant aux attaquants
d’accéder aux codes sources de certains d’entre eux.
Ce qui est arrivé à Adobe correspond à ce que nous envisageons lorsque l’on
nous parle de hacking, ce genre d’histoire ayant pris une place importante dans
nos journaux.
Plus récemment, Ubisoft, Gefco, Ouest France ont subi une cyberattaque utilisant
un ransomware.
D’après les informations dont nous disposons, aucune demande de rançon n’a
été explicitement formulée, mais les cyberattaquants attendent de la victime
qu’elle s’engage dans une négociation sous peine de rendre publics l’incident
et les informations volées.
Pour lancer cette négociation, la victime devait télécharger la note de rançon.
Naturellement, on ne peut s’empêcher de s’identifier à toutes ces entreprises

atteintes dans le cœur de leur fonctionnement, mais aussi dans leur réputation,
car les clients peuvent devenir méfiants en apprenant que leur banque, leur hôpital
ou leur mutuelle a involontairement laissé échapper des données confidentielles.
Chacun sent bien, qu’il soit individu, chef d’entreprise ou employé que ce risque
est majeur.
Le hacking « d’entreprise »
Avant d’aborder les différentes catégories de hackeurs, il faut tout de même
souligner qu’il existe une autre face à cette médaille. Le hacking peut également
être un élément positif. Il s’agit ici de hacking souhaité par une entreprise.
Pourquoi une entreprise voudrait-elle se faire hackeur, allez-vous me dire ? Eh bien,
tout simplement pour tester la fiabilité de sa sécurité informatique. C’est pourquoi
il existe des professionnels du hacking qui mettent leurs compétences au service
de votre sécurité. Ces derniers sont embauchés par des entreprises pour réaliser
des tests d’intrusions. Il s’agit d’une forme légale de hacking, encadrée par un
contrat.
Pour intervenir, ces testeurs/hackeurs vont se mettre dans la peau d’un

cyberattaquant qui prendrait votre entreprise pour cible afin de tester vos
défenses et identifier d’éventuelles failles ou points faibles dans votre système de
sécurité. Ces tests sont loin d’être inutiles puisque selon le X-Force Intelligence
INDEX 2020 d’IBM, 60 % des cyberattaques qui ont eu lieu exploitaient des
vulnérabilités connues ou des données d’identification volées.
Se faire tester devient d’autant plus important que le Règlement général sur la
protection des données (RGPD) impose aux entreprises de veiller à la sécurisation
des données qu’elles détiennent et que les entreprises doivent informer les
victimes en cas de violations de données. Je ne sais pas pour vous, mais moi,
je préfère savoir que mes données bancaires ou de santé sont entre les mains de
personnes potentiellement malveillantes. De la sorte, je ferai ce qu’il faut pour
sécuriser ce que je peux sécuriser, par exemple en changeant de mot de passe.
C’est encore plus vrai pour les entreprises, quelle que soit leur taille, et c’est
pourquoi, tester leur sécurité n’est plus une option, mais une nécessité.

Si nous laissons de côté les hackeurs des débuts, aujourd’hui, on peut les
regrouper en trois familles : les hackeurs que nous qualifierons de libertaires,
les hackeurs malveillants et – enfin – les hackeurs bienveillants qui mettent
leurs capacités au service des entreprises et institutions pour traquer les
faiblesses dans leurs systèmes d’information.
2.1.3 Devenir un hackeur ?
AVANT DE PLONGER
Avec ces trois groupes, nous en savons assez pour l’instant. Nous verrons
plus tard qu’ils se regroupent en familles, tribus et autres mouvements.
Pour l’instant, intéressons-nous à ce qui fait d’une personne un de ces hackeurs.
On ne naît, en effet, pas hackeur, on le devient…
Les mauvaises expériences qu’évoque ce terme nous font le redouter, en réalité

n’importe qui peut se révéler un hackeur. Sur Internet, pléthore de sites prétendent
pouvoir vous expliquer comment devenir l’un d’eux. Pour certains, il s’agit de
vous former pour devenir un hackeur éthique, d’autres ne précisent pas de quelle
forme de hackeur il est question.
Vous allez facilement trouver des guides complets vous expliquant les étapes
à suivre pour devenir un hackeur. On vous expliquera quel système d’exploitation
utiliser, quel langage informatique apprendre, comment faire, etc. Il s’agit
d’informations sur les fonctions techniques du métier de hackeur. Mais certains
vont plus loin et vous donnent également des informations sur la façon de penser
des hackeurs, comment faire pour vous en rapprocher, comment s’adapter à leur
idéologie, etc.
Si vous êtes intéressé, de nombreux sites vous fournissent les connaissances

de base – et plus même – du hackeur. Certains le font même sous forme de
petits jeux assez ludiques pour que vous assimiliez bien les concepts.
Ces connaissances peuvent être intéressantes pour vous à titre personnel

et professionnel. Cela peut vous permettre de comprendre les logiques des
pirates informatiques et ainsi d’être plus à même de vous prémunir de leurs
éventuels méfaits. Vous pourriez aussi apprendre à déceler d’éventuelles failles
qui pourraient exister dans votre organisation.
Les guides d’apprentissage les plus complets vont jusqu’à vous expliquer comment
gagner le respect de vos futurs pairs hackeur. Même si les hackeurs semblent
souvent agir seuls, ils font partie d’une communauté soudée par des mêmes
valeurs. C’est auprès de cette communauté qu’ils doivent faire leurs preuves et
ensuite gagner leur respect. Pour cela, certains conseillent aux apprentis hackeurs
de commencer par tester de nouveaux logiciels afin d’apprendre à déceler leurs
failles. En toute logique, il faut bien comprendre le fonctionnement d’un logiciel,
la manière dont il est conçu, afin d’être ensuite en mesure de le modifier à souhait.
En apprenant, en maîtrisant toujours plus de connaissances, en développant leurs

capacités d’intervention, les hackeurs gagnent en notoriété auprès de leurs pairs.
Pour pouvoir se qualifier de hackeur, il faut que d’autres vous reconnaissent

ce titre. Si au sein de cette communauté vous êtes perçu comme un hackeur,
alors vous êtes l’un d’entre eux. Pour pouvoir prétendre à la qualité de hackeur,
il faut que les maîtres en ce domaine vous reconnaissent comme un des leurs
et en quelque sorte, vous adoubent.

Le hackeur est donc le fruit d’un mélange d’apprentissage, de compagnonnage
et d’un travail de l’ombre long et fastidieux. Tous, d’une certaine manière,
sortent du même cheminement. Ensuite, c’est leur vision de la société, leur
éthique – ou son absence – qui va les différencier.
2.1.4 Un seul modèle ou plusieurs ?
AVANT DE PLONGER
Au paragraphe 2.1.2, nous avons commencé à évoquer les différentes familles
et tribus de hackeurs. Maintenant que nous avons compris leur cheminement,
voyons ce qu’ils deviennent, « en activité ». Suivez bien. Il va être question
de chapeaux de couleurs différentes, notamment.
Il n’existe pas un seul type de hackeurs et l’on peut les regrouper en trois
catégories en fonction de leurs intentions.
Le premier type de hackeurs ce sont les “white hats”. S’ils identifient une faille
dans le réseau d’une entreprise, ces hackeurs vont l’informer afin qu’elle puisse
intervenir et la corriger. Ils ne cherchent pas à tirer profit de leur découverte,
mais interviennent dans un but altruiste pour sensibiliser des personnes moins
averties qu’eux-mêmes. Ils maîtrisent parfaitement un domaine complexe et
ont envie d’attirer l’attention sur telle ou telle faille – ce qui est une façon de se
faire reconnaître comme compétents. Ce sont les gentils hackeurs, mais comme
les bonnes intentions sont rarement gratuites, ils sont animés soit d’un besoin
de reconnaissance, soit de la volonté de se positionner comme futur sauveur
d’une entreprise menacée.
Si vous engagez un spécialiste du hacking éthique pour tester la sécurité de

votre entreprise, il agira en tant que “white hats”.
À leur opposé, vous avez les “black hats”, qui cherchent également des failles,
mais vont plutôt être tentés de les vendre, notamment. Lorsqu’ils en découvrent,
ils vont plutôt les vendre au plus offrant ou les rendre publiques pour que d’autres
hackeurs puissent s’en servir. On retrouve là l’idée de communauté.
À mi-chemin entre eux il y a les “grey hats” qui agissent de façon éthique, ou non,
selon la situation dans laquelle ils se trouvent et leurs motivations.
Accessoirement, on peut identifier deux autres groupes. Les hackeurs qui se

sont spécialisés sur le système d’exploitation Unix, les “red hats” et ceux qui
ont préféré les systèmes Windows, les “blue hats”.
Les différencier nous permet d’éviter de tomber dans la caricature du hackeur à

capuche, il y a un trait caractéristique commun à tous les hackeurs, qu’ils soient
de Russie ou d’ailleurs : « L’esprit du défi et du jeu, l’envie de trouver la faille
avant les autres18 », comme le précise Boris Razon.
18 Source : https://www.ladn.eu/tech-a-suivre/interview-boris-razon-hackers-bouleversent-guerre/
Autre distinction à faire parmi les hackeurs, avec les nouveaux venus qui
ne mesurent pas encore l’impact réel de leurs actions, que l’on appelle les
“curious Joe”. Cette communauté a aussi sa hiérarchie avec les wannabees qui
sont la future élite des hackeurs.
Il est important de savoir que tous les acteurs du cyberespace ne cherchent
pas à vous nuire, une grande partie d’entre eux veulent seulement améliorer
leur compréhension des systèmes, des logiciels, de leurs failles éventuelles.
Tous les passionnés d’informatiques ne deviendront pas des hackeurs, mais certains
d’entre eux seront tentés de dépasser le stade de l’analyse et de pénétrer un
système où ils n’ont aucun droit d’être. Ce sont ou des passionnés ou des « jusqu’au-
boutistes », comme on peut en trouver dans tous les domaines.

Tout cela peut ressembler à du folklore, mais ne vous y trompez pas, derrière
une dénomination, se trouve une logique bien précise. Les connaître peut vous
aider à vous repérer, à ne pas faire de gaffe devant tel salarié… « qui peut
en être ».
2.1.5 Autres acteurs et lieux… d’expression

AVANT DE PLONGER
Contrairement à ce que l’on pourrait croire, les hackeurs ne sont pas les seuls
à agir dans le cyberespace. Ils sont d’ailleurs régulièrement confondus avec les
pirates informatiques. Ces derniers ne fonctionnent pas comme les hackeurs.
Là où un hackeur voudra comprendre le fonctionnement d’un système, le pirate,
lui, voudra le détruire, ou pénétrer ce système afin d’en tirer profit.
On trouve différents types de pirates informatiques.
Parmi eux, vous trouverez les crackers qui cherchent surtout à faire tomber les
protections qui ont été mises en place autour d’un ordinateur, d’un logiciel ou
d’un système entier. Ils veulent surtout réussir à outrepasser les protocoles de
sécurité. Contrairement aux hackeurs, les crackers ne sont pas attirés par le
développement de chevaux de Troie ou de virus, ils veulent simplement trouver
comment contourner la sécurité prévue.
Ensuite il existe les “script-kiddies”, une catégorie qui regroupe de « jeunes
pirates informatiques néophytes ». Ils n’ont pas les compétences requises pour
créer eux-mêmes des logiciels malveillants, donc ils utilisent des logiciels conçus
par quelqu’un d’autre. Vous pouvez les voir comme des pirates informatiques
débutants. Ils cherchent surtout à s’amuser malgré leur manque de compétences
dans ce domaine.
Les “lamers” sont souvent associés aux “script-kiddies”. En effet, eux aussi
n’ont que très peu de connaissances en informatique. Vous pouvez voir ici le
stéréotype de l’adolescent curieux, qui n’a aucune expertise dans le domaine
et qui est très loin d’être un prodige. Ils ne représentent pas de réel danger,
car leur champ d’action est très limité.
Tous sont des nouveaux venus dans le cyberespace et cherchent à montrer ce
qu’ils peuvent faire de leurs maigres capacités. Leur dangerosité vient du fait
qu’ils ne réalisent pas quelles conséquences peuvent avoir leurs actes. À titre
d’exemple, s’ils décident de modifier les plannings de cours de leur collège,
ce n’est pas vraiment dangereux, mais cela entraînera une pagaille importante.
Je m’en tiendrai là, car l’apprentissage ne me semble pas être impacté.
Ces nouveaux venus dans le cyberespace cherchent à montrer leurs capacités,
mais ils peuvent présenter un danger, car ils ne maîtrisent pas les conséquences
de leurs actes. C’est pour cette raison qu’ils sont les derniers dans l’échelle
des pirates.
Il existe une catégorie un peu à part, les “phreakers”, vous pouvez les considérer
comme les ancêtres des pirates et des hackeurs. Ils sont connus pour avoir piraté
des téléphones dès les années 1960 afin de ne pas payer leurs communications
téléphoniques. Dans les années 1960, dans certains paquets de céréales se trouvait
un sifflet capable d’émettre un son sur la même fréquence que celle des lignes
téléphoniques. Concrètement, après avoir composé un numéro de téléphone, au
moment de la tonalité, il fallait utiliser le sifflet, ce qui permettait de se trouver
directement connecté avec une ligne libre. John Drapper a fait cette découverte
en utilisant ce sifflet près d’une série de téléphones dans un aéroport. Ce sifflement
a déconnecté tous les appels qui étaient en cours de fonctionnement.
Cette découverte fortuite fait de lui le père des hackeurs modernes.
Cette pratique nous fait presque rire aujourd’hui, car nous pouvons très facilement
communiquer avec le reste du monde sans passer par un standard téléphonique.
Les phreakers ne sont tout de même pas si différents des hackeurs qui les ont suivis.
Tous ces individus, peu importe leur mode opératoire, ont des motivations
différentes.
Vous vous doutez que pour certains, cette motivation est financière, c’est évident,
mais ce n’est pas le cas pour tous.
Pour chaque hackeur, la motivation sera différente19. Celle-ci pourra être influencée
par leur profession, leur origine culturelle, leur objectif et leur cible.
19 Par souci de simplicité, nous préférons n’employer que le terme de hackeur pour le reste de
cet ouvrage.
Si je schématise grossièrement, une personne avec une vie confortable et de

bonnes sources de revenus utilisera une cyberattaque plutôt pour espionner un
concurrent, récolter des informations que pour récolter de l’argent.
Le challenge est une motivation très courante parmi les hackeurs. Le challenge
peut être provoqué par un tiers, comme c’est le cas lorsqu’une entreprise
propose une récompense à la personne qui arrivera à hacker l’un de ses produits.
C’est comme cela que Microsoft a recruté l’un de ses plus jeunes employés, un
Irlandais de 14 ans. En 2011, ce dernier avait réussi à pirater le jeu Call of Duty:
Modern Warfare sur Xbox 360 et a envoyé un message d’alerte à des millions
de joueurs en même temps. Interpellé par son action, Microsoft a décidé de
l’aider à développer son talent et l’a recruté au sein de son entreprise.
Par ailleurs, des concours de hacking sont organisés et connaissent un certain

succès tant au niveau national qu’international. Ces concours permettent aux
hackeurs de se tester entre eux et de gagner la reconnaissance de leurs pairs,
mais pas uniquement. Il peut s’agir pour les hackeurs les plus célèbres de faire
une démonstration de force.
Le concours le plus connu dans ce domaine est le Defcon. Il se déroule

à Los Angeles pendant une convention réunissant des professionnels de la
sécurité, des hackeurs de tous les horizons et de tous niveaux, mais également
des avocats, des journalistes, etc.
Au-delà des conférences organisées ont lieu des concours de toutes sortes, pour
créer le plus long réseau WiFi, pénétrer un système précis ou, le plus connu, la
capture de drapeau. Pour ce dernier, les concurrents sont répartis en équipes
et l’une doit attaquer un réseau en utilisant certains logiciels tandis que l’autre
équipe doit assurer la défense de ces mêmes réseaux.
Contrairement à ce que l’on pourrait croire, ce concours n’est pas spécialement

destiné à de jeunes hackeurs ambitieux. Au contraire, il s’agit plus d’un concours de
vieux hackeurs expérimentés et, d’ailleurs, la moyenne d’âge dépasse largement
les 20-25 ans des autres concours.
Parmi les autres concours de ce type, certains sont organisés par de grandes
entreprises du domaine informatique ou par des universités comme pour l’école
d’ingénieurs Grenoble INP-Esiar qui a déjà organisé la Cyber Security Awareness
Week (CSAW) en 2018. Il s’agit de la plus grande compétition académique de
cybersécurité pendant laquelle s’affrontent des étudiants du lycée au doctorat
venant d’une centaine de pays différents. Pendant 36 heures, les équipes vont
tenter de pirater un système d’information extrêmement bien sécurisé pour en
extraire les données.
D’autres épreuves sont organisées afin de tester les compétences des étudiants.

Vous êtes maintenant un peu plus « au clair » des motivations et des lieux
connus où s’expriment ces acteurs du monde cyber et c’est important, surtout
quand on voit que certains d’entre eux participent à des concours tout à fait
officiels.
2.1.6 Un hackeur ? Deux hackeurs ? Des hackeurs ?
AVANT DE PLONGER
Comme dans d’autres domaines médiatisés, il y a des stars qui agissent seules
et aiment à être reconnues. Et puis, nous avons les inconnus, les petites mains,
celles qui agissent dans une certaine forme de taylorisme du hacking…
On ne peut résumer les hackeurs à une dichotomie entre, d’un côté, de gentils
hackeurs bienveillants qui nous informent de failles existantes, de l’autre,
des hackeurs malveillants qui veulent usurper notre identité et vider notre
compte bancaire.
Dans le monde réel, il existe des nuances dans les personnalités et dans les actes
de chacun et cela se retrouve dans le cyberespace. On peut tout à fait trouver
des hackeurs luttant contre la censure, des hackeurs nationalistes qui veulent
défendre les intérêts de leur pays, des hackeurs religieux, des « hacktivistes »,
etc. Vous noterez que j’ai employé le pluriel pour parler de ces différents types
de hackeurs, car souvent ils n’agissent pas seuls, mais plutôt en groupe.
Parmi les hackeurs qui travaillent seuls, on peut citer quelques noms.
Le premier mineur condamné pour une infraction de cybercriminalité aux États-

Unis est Jonathan James, en 1999. Il a notamment réussi à pénétrer le système
scolaire de Miami ou de l’entreprise Bell South. Il fut le plus jeune américain à avoir
été condamné pour une infraction de cybercriminalité. Après avoir pénétré des
systèmes de grandes entreprises, ceux du système scolaire de la ville de Miami,
il est passé à des systèmes de plus grande envergure.
Il a pénétré les ordinateurs du département de la Défense des États-Unis et

a ainsi intercepté des messages, des noms d’utilisateurs et des mots de passe.
Il a également pénétré le système informatique de la Nasa, accédant ainsi au code

source logiciel de contrôle de la température de la station spatiale internationale,
ce qui a entraîné une mise hors service de ce système.
Gary McKinnon a, quant à lui, donné des sueurs froides aux responsables
informatiques militaires américains. Il a piraté, par pur challenge, une centaine de
réseaux militaires américains. Son seul but était de prouver qu’il en était capable
et de récupérer des informations sur les extraterrestres. S’il est considéré comme
un criminel pour avoir pénétré ce système, il ne se considère pas comme tel, et
a même laissé comme message : « Votre sécurité est une merde. »
Mais la plupart des hackeurs agissent en groupe, ce qui leur permet de se répartir
les différentes étapes d’une cyberattaque. L’un d’entre eux va évidemment se
charger de pénétrer le réseau ciblé et de récupérer les informations qu’il contient.
Mais pour que cela fonctionne, il aura fallu qu’un autre étudie le fonctionnement
de l’entreprise visée afin de déceler une faille ou de la provoquer. Il s’agira par
exemple de laisser des clés USB infectées d’un code malveillant aux alentours
de l’entreprise. Ils peuvent décider d’en disposer dans le parking de l’entreprise
ou dans le café fréquenté par les salariés, etc.
Un autre membre de l’équipe aura, seul ou avec un autre, rédigé le code malveillant
en fonction de la mission que le groupe souhaite remplir.
Il arrive que les groupes de hackeurs soient engagés par un tiers pour mener
une mission précise. Dans ce cas, en plus des membres actifs du groupe, il y aura
un commanditaire qui définira la cible et l’objectif à atteindre. Il s’agira par
exemple d’espionnage industriel avec une intrusion très discrète des hackeurs
qui collecteront les informations dont a besoin le commanditaire.
Il ne s’agit là que d’un schéma qui permet de comprendre que les hackeurs ne
sont pas que des individus solitaires et qu’ils peuvent, comme des criminels
classiques, s’organiser en bande afin de répondre à une commande ou agir de
leur propre chef.
La structuration (voire la spécialisation) des hackeurs mercenaires prend de
l’ampleur et la terminologie qui en rend compte s’enrichit. C’est le cas par exemple
de Dark Basin, un groupe de hackeurs recrutés pour des missions d’espionnage
industriel ou d’intimidation. Ce groupe visait des ONG, des journalistes,
des dirigeants d’entreprises, des personnalités politiques de différents pays.
Ils opéraient notamment grâce à des e-mails de phishing tentant de reproduire
une véritable alerte Google, des messages privés de réseaux sociaux ou
des notifications d’abus d’identité. Ce groupe était très performant, car ces
mercenaires numériques disposaient d’informations précises sur la personne
ciblée et les techniques les plus adaptées pour parvenir à leurs fins.
Bien qu’agissant dans l’ombre, certains membres de ce groupe n’hésitent pas
à afficher sur leur profil LinkedIn des compétences en « espionnage industriel »
ou en « cyberespionnage », compétences qui peuvent certes attirer, mais qui
démontrent une propension certaine aux activités illégales.
Les groupes comme celui-ci, bien qu’illégaux, ne sont pas rares. Nous allons
voir que les hackeurs se regroupent dans des groupes parfois très connus et
très étendus à l’échelle planétaire, tout en défendant une idéologie précise.

Nous sommes globalement devant un monde en perpétuel mouvement avec,
certes des groupes structurés, mais aussi des acteurs isolés, certains de ces
derniers agissant parfois seuls, donc, mais aussi dans des collectifs recrutés
par des commanditaires.
2.1.7 Élargissons le spectre
AVANT DE PLONGER
Allez, un peu d’archéologie… Parmi les groupes de hackeurs qui existent, l’un
d’entre eux défraye régulièrement la chronique, les « hacktivistes ». Il s’agit
de hackeurs particuliers, car ils sont motivés par une idéologie sociale ou
politique très précise et très forte.
Les « cyberhacktivistes » se voient comme des défenseurs de la liberté d’expression

et désirent, grâce à leurs actions, montrer qu’ils se positionnent en contrepouvoir
face aux gouvernements et aux grandes entreprises. Pour y parvenir, ils utilisent
toutes leurs connaissances en matière de hacking. Le groupe le plus célèbre
en la matière ne vous est pas inconnu, ce sont les Anonymous. Ces derniers
représentent les cyberhacktivistes par excellence, pourtant ils ne sont pas les
premiers hacktivistes.
Le premier groupe d’hacktivistes a été fondé en Allemagne dans les années 1980,
il s’agit du Chaos Computer Club. Ce club avait pour but de promouvoir la
liberté de l’information et la communication et d’éviter toute forme de censure.
Il s’est fait connaître en 1984 avec une cyberattaque contre le Minitel allemand.
Leurs différentes cyberattaques visaient à mettre en évidence les failles de

sécurité des systèmes informatiques qu’ils pénétraient et qui auraient pu être
utilisées par d’autres personnes moins bien intentionnées.
Les actions de ce club étaient motivées par de grands idéaux de protection des
données, de contournement de la censure et de neutralité du Net. Leur projet
était d’améliorer un système dont ils n’adhéraient pas aux principes.
Leurs actions leur permettaient aussi de rappeler à l’ordre des gouvernements

ou des autorités qu’ils trouveraient non respectueux de la vie privée des citoyens
ou de la démocratie, par exemple.
Ce club n’est pas un simple regroupement de hackeurs, ils veulent également

faire accepter leurs idées, c’est pourquoi ils ont publié une charte en 2010 pour
défendre l’accès à Internet comme droit fondamental. Ils désirent « [qu’]aucun
fournisseur d’accès n’ait le droit de modifier l’accessibilité, la priorisation ou le
débit de son réseau en fonction du contenu.20 »
Ce club est encore actif aujourd’hui et continue de défendre la protection des

données et la neutralité du net, mais plutôt en organisant des congrès ou des
conférences.
Dans les années 1990, un autre groupe émerge, Rtmark avec comme devise de
« lutter contre les abus des sociétés commerciales envers la loi et la démocratie ».
Ils militent contre la consommation comme le montre l’opération dans laquelle
ils ont échangé les boîtes vocales des poupées Barbie et GI Joe avant de les
rapporter dans les magasins.
Ce groupe s’est notamment illustré en créant, en 2000, un site Web factice

à l’image du candidat George W. Bush.
Aujourd’hui, ce groupe n’est plus aussi actif, mais à l’origine il s’était spécialisé
dans le sabotage de produits.
Ces groupes démontrent bien que les cyberattaques sont devenues un moyen
pratique et apprécié pour revendiquer ses idées. En choisissant bien sa cible
et son mode opératoire, une cyberattaque peut être largement médiatisée et
marquer durablement les esprits.
D’autres groupes se forment avec une motivation militante encore plus

forte. Wikileaks, dont vous avez tous entendu parler, est l’un d’entre eux.
Wikileaks a forgé sa réputation sur la divulgation d’informations sensibles.
Il s’agit d’une organisation non gouvernementale à but non lucratif qui désire
accorder une audience aux lanceurs d’alerte à l’origine de fuite de documents
confidentiels tout en assurant leur anonymat. Ce groupe a révélé de nombreux
scandales en tout genre, de la violation des droits de l’homme, à l’espionnage
en passant par la corruption.
Évidemment vous vous souvenez, en 2010, des révélations concernant les

télégrammes de la diplomatie américaine. Les médias anglo-saxons ont ainsi
publié 250 000 documents qui ont révélé les contradictions entre les positions
affichées par l’État américain et la réalité de son action.
20 E xtrait des revendications du Chaos Computer Club pour un « net viable » énoncées à
l’occasion du Chaos ComputerCongress 27 c3 qui s’est tenu à Berlin du 27 au 29 décembre
2010.
Ces documents ont été mis au jour par Bradley Manning21 qui avait également
fait fuiter des documents classifiés concernant les guerres en Afghanistan et en
Irak. Ces documents mettaient en avant des actes de torture de prisonniers et
des bavures commises pendant ces guerres ayant entraîné la mort de nombreux
civils. Ces documents ont notamment permis de remettre en question le nombre
de civils qui auraient été tués durant ces conflits.
Avant même ces événements, Wikileaks s’était fait connaître en diffusant plus
de 500 000 messages échangés par des bipeurs qui avaient été interceptés le
11 septembre 2001. Ces messages provenaient d’agences américaines comme le
Pentagone, le FBI, mais aussi des messages échangés par des citoyens américains.
Puis en 2015, des documents démontrant que la NSA avait espionné d’anciens
présidents de la République française ont été publiés. Ces enregistrements
concernaient Jacques Chirac, Nicolas Sarkozy et François Hollande ainsi que
certains de leurs collaborateurs.
Wikileaks permet aux lanceurs d’alerte d’avoir une audience et une plateforme
permettant de rendre publics des documents secrets qui n’ont pas été rédigés
pour être lus par le grand public. Ils dénoncent ainsi des comportements violant
les droits de l’homme ou relevant de l’espionnage et de la corruption. Ces actions
correspondent à la volonté de Wikileaks d’abolir le secret, tout en libérant la
presse, en révélant les abus qui ont pu être commis par les États. Wikileaks se
considère comme le service de renseignements du peuple en partageant des
informations qui, sans cela, seraient restées secrètes.
Si une grande partie de la population s’est réjouie de pouvoir accéder à ce type
d’informations, nombreux furent ceux qui ont critiqué la méthode employée.
Il n’en demeure pas moins que Wikileaks dispose d’une visibilité extrêmement
importante grâce à son site Internet sur lequel sont publiés les documents
confidentiels qu’ils ont recueillis ainsi que des articles pour les accompagner.
Son rédacteur en chef, Julian Assange, est également connu pour être un hackeur
ayant appartenu au groupe International Subversives.
La notoriété de Wikileaks s’est notamment construite sur la publication d’une
vidéo montrant deux personnels de l’agence Reuters tués par un hélicoptère
américain alors en opération à Bagdad. C’est cette même démarche qui a conduit
à la publication de télégrammes de la diplomatie américaine, entre 2010 et 2011.
Les Anonymous sont une autre communauté de cybercriminels extrêmement
connue de chacun de nous. Ces derniers se réunissent derrière une devise qui sied
parfaitement à leur manière d’agir : « Nous sommes Anonymous. Nous sommes
Légion. Nous ne pardonnons pas. Nous n’oublions pas. Préparez-vous. »
21 Ancien analyste militaire américain qui a été condamné et incarcéré pour trahison.
Contrairement à ce que l’on pourrait croire, les Anonymous ne se sont pas

organisés formellement. Objectivement, tout le monde peut se proclamer
membre des Anonymous sans avoir de conditions d’accessibilité à remplir au
préalable ou de cotisation à verser.
Les propos de Chris Lander22 illustrent bien ce que représente cette communauté :
« Anonymous est la première superconscience construite à l’aide de l’Internet.
Anonymous est un groupe semblable à une volée d’oiseaux. Comment savez-
vous que c’est un groupe ? Parce qu’ils voyagent dans la même direction. À tout
moment, des oiseaux peuvent rejoindre ou quitter le groupe, ou aller dans une
direction totalement contraire à ce dernier. »
Ce groupe dispose de plusieurs entités situées dans différents pays sans,

pour autant, qu’un chef ou une cellule de direction internationale émerge,
puisqu’il n’existe aucune hiérarchie au sein des Anonymous.
Chacun des membres du groupe se considère comme défenseur de la

liberté d’expression. C’est évidemment l’un des éléments qui identifient les
cyberhacktivistes.
Ces hackeurs mènent des actions très médiatisées, notamment en raison des
cibles ou des moyens qu’ils emploient. Pourtant, n’importe qui peut devenir un
cyberhacktiviste, puisqu’il n’est pas nécessaire d’être déjà un hackeur « formé »
pour faire partie des Anonymous. En effet, le groupe se charge de former
les nouveaux membres notamment grâce à ses forums mettant en relation
les nouvelles recrues avec des membres plus aguerris. Cette formation est
importante pour tous ceux qui évoluent en tant que hackeurs dans le monde
cyber. Mais ici, l’implication du groupe est importante, d’autant plus qu’il est
très difficile d’apprendre seul et d’agir seul dans ce domaine. La présence du
groupe permet d’appréhender les choses de différentes manières, de favoriser
l’entraide, mais aussi de croiser les regards sur le travail produit.
S’il n’est pas nécessaire initialement d’être un hackeur pour rejoindre les
hacktivistes, au final, tous doivent disposer de compétences relativement
poussées.
Vous les connaissiez peut-être avant, mais pour la majorité du grand public,
les Anonymous sont apparus en 2008. À ce moment-là, ils ont lancé une série
d’attaques visant l’Église de scientologie. Cette série d’attaques est connue
sous le nom de projet Chanology et a permis de montrer au monde entier que
les Anonymous ne sont pas que des marginaux, mais qu’il s’agit de personnes
de tous les horizons manifestant pour leurs idées.
22 Journaliste américain au Baltimore City Paper.

Ils ont utilisé une méthode de défacement23 en modifiant l’aspect normal de

leurs sites et en y affichant : « Scientologie, c’est trop tard pour des excuses.
Maintenant il est temps de payer. »
Cette cyberattaque leur a également permis de mettre en ligne différents

documents que l’église conservait secrets et de rendre inaccessibles certains
de leurs sites.
Accessoirement, cette cyberattaque a eu comme conséquence de libérer la

parole autour des méthodes de cette Église.
C’est à l’occasion de cette attaque que les membres des Anonymous ont
commencé à porter un masque. Ils voulaient pouvoir manifester en personne
devant des lieux de culte de cette Église, mais en restant anonymes. En cherchant
un masque facile à trouver et à acheter, ils se sont tournés vers le masque de
Guy Fawkes, qui était membre d’un groupe catholique anglais et qui a planifié
la Conspiration des poudres en 1605. Les images des manifestants portant ces
masques sont devenues virales et le masque est devenu leur emblème. Le choix
de ce masque est intéressant puisque, à son époque, Guy Fawkes était perçu
comme un terroriste. Depuis quelques années, cette figure est souvent associée
aux valeurs révolutionnaires.
Des centaines d’actions auraient été réalisées sous le nom d’Anonymous,

par exemple, ils ont mené une « opération Tunisie » afin d’aider les internautes
tunisiens lors de la révolution pendant laquelle Zine el-Abidine Ben Ali a censuré
Internet. En représailles, des sites gouvernementaux ont été mis hors service après
que les Anonymous eurent saturé leurs serveurs. Pour mener cette opération
à bien, le groupe a fourni à ses membres, mais aussi à toutes les personnes qui
désiraient aider, le logiciel nécessaire accompagné des règles d’utilisation pour
submerger les sites Internet de fausses requêtes.
Puis, le site Internet de la télévision nationale tunisienne a été piraté afin de faire
afficher en arabe : « Les journalistes condamnent la répression de la police et
exigent la libération de Slim Amamou. » Ils ont également fourni des conseils
à la population tunisienne sur les méthodes à utiliser pour se protéger de la
censure.
Ils se sont également attaqués à des sites néonazis en divulguant les noms de
leurs sympathisants présumés. Les groupes néonazis visés étaient essentiellement
allemands, mais des groupes nationalistes français ont également été touchés
par des défacements de leurs sites Internet.
23 n defacement est une attaque qui consiste à modifier des pages Web, plus généralement la
U
page d’accueil. Les hackeurs substituent au texte initial des revendidications souvent politiques.
Dans la même veine, ils ont également mené une cyberattaque contre le compte
Twitter du KuKuxKlan et ont divulgué des informations comme le nom de leurs
membres. Cette attaque était une réponse à des moqueries issues du KuKluxKlan.
Plus récemment, après la mort de George Flyod et les émeutes qui ont eu lieu
à Minneapolis, les Anonymous ont piraté le site de la police de Minneapolis et
ont diffusé une vidéo menaçant de dénoncer des agents de police corrompus.
Ils ont également perturbé la radio de la police au cours des manifestations.
Vous constatez bien que les actions des Anonymous sont assez variées, mais
toutes s’inspirent de leur philosophie de défense des droits et de la liberté
d’expression. Ils n’ont pas de cibles prédéfinies, ce qui les rend d’autant plus
dangereux ou efficaces, selon que l’on est victime de leurs actions ou bénéficiaire
de leurs informations.
Pour agir, ils utilisent notamment les attaques par déni de service contre les
sites de sociétés ou de gouvernements qu’ils considèrent comme leurs ennemis
ou portant atteinte aux valeurs qu’ils défendent. C’est cette technique qui a
été utilisée contre l’entreprise Mastercard, alors que celle-ci avait interrompu
les services qu’elle rendait à Wikileaks. Certains assimilent ce mode d’attaque
à des sit-in virtuels.
Même si les Anonymous forment un groupe assez opaque, ils suivent un code
éthique. En vertu de ce code, les membres d’Anonymous ne doivent pas chercher
à retirer une quelconque gloire personnelle de leurs actions, mais mener ces
actions sous la bannière Anonymous au nom et pour le bénéfice du groupe.
Malgré ce que l’on pourrait croire, ce groupe ne suit pas la ligne d’un parti
politique, mais obéit à de grands idéaux.
Vous imaginez bien qu’il serait difficile pour un groupe avec un si grand nombre
d’entités, disséminé dans de nombreux pays et sans incarnation réelle de suivre
une même ligne politique.
Même si dans leurs actions, les Anonymous sont amenés à critiquer certains
journalistes ou certains médias, ce groupe défend la liberté de la presse et
s’oppose aux attaques contre les médias.
Comme vous vous en doutez, ils ont dû subir les conséquences de leurs actions.
Ce fut, par exemple, le cas lors de l’opération lancée par Interpol, Unmask
en 2012, pendant laquelle vingt-cinq Anonymous ont été arrêtés. Ils avaient entre
17 et 40 ans et leurs origines étaient variées. Certains de leurs membres ont été
arrêtés, mais cela n’a en rien freiné l’activité du groupe dont les membres sont
restés actifs notamment pendant les périodes sensibles des Printemps arabes
ou les attentats de Paris.
Même s’ils sont moins connus, il existe d’autres groupes de cyberhacktivstes

avec des actions plus spécifiques. Telecomix est connu pour ses actions
d’hacktivisme menées sans enfreindre de loi et lui permettant tout de même
de fournir une aide technique aux mouvements animant les Printemps arabes.
À l’opposé du cyberhacktivisme, une autre mouvance s’est développée,
le cyberterrorisme. Pour commencer, notez que ce terme ne fait pas consensus
parmi les chercheurs. Néanmoins Mark Pollitt le définit comme : « Une attaque
préméditée et politique motivée contre les systèmes d’information, programmes
informatiques et données par des sous-groupes nationaux ou agent clandestin
desquels résultent des actes de violence contre des cibles non combattantes.24 »
Si pour certains, le cyberterrorisme regroupe toutes les pratiques de groupes
terroristes en ligne. Pour d’autres, il n’est caractérisé qu’à partir d’une certaine
importance des dégâts ou de l’utilisation de l’arme cyber, en combinaison avec
les méthodes terroristes « traditionnelles ».
Comme vos entreprises et vous-même, les terroristes ont appris à utiliser l’outil
informatique pour parvenir à leurs fins. Malheureusement, il leur permet tout
autant d’accroître leur capacité de recrutement pour faire passer leurs messages,
mais aussi pour récolter des fonds.
Le cyberterrorisme est la parfaite illustration de la dualité du cyberespace.
Si ce dernier améliore notre quotidien, il permet aussi à des personnes
malintentionnées d’être plus efficaces dans leurs méfaits.
Les cyberterroristes ont créé des comptes sur les réseaux sociaux, ce qui leur a
permis d’entrer en contact avec de potentielles futures « recrues » et de diffuser
leur propagande via des canaux plus modernes. Mais leur présence ne se limite
pas aux réseaux sociaux, ils ont également créé leurs propres sites Internet.
Même s’ils agissent dans le cyberespace, les terroristes parviennent tout de même
à endoctriner des individus, surtout des adolescents. Ils ont perfectionné leurs
techniques de communication afin de les adapter au cyberespace, et utilisent
des moyens visuels, des vidéos voire échangent directement avec des jeunes
à l’esprit malléable. Les recruteurs parviennent à isoler leur cible puis à lui envoyer
de nombreuses vidéos de leur création. Une fois leur cible sous leur emprise,
ils font tout pour qu’elle ne puisse pas en sortir.
Internet et les réseaux sociaux sont donc un nouvel atout pour les terroristes et
il est extrêmement difficile de les empêcher de mettre en œuvre leur dessein.
Contrer la propagande en supprimant des comptes n’est pas efficace, puisqu’ils
en ouvrent immédiatement d’autres, cherchant en permanence de nouvelles
méthodes pour augmenter le nombre de convertis.
24 Mark M. Pollitt « Cyberterrorism : Fact or Fancy ? » Computer Fraud and Security, février 1998.
Le cyberespace permet également aux terroristes de commettre des actes de

fraude numérique leur permettant de récolter des fonds leur permettant de
financer leurs actions.
Le recours à des codes malveillants est à la portée d’un grand nombre de
personnes. Les individus, tout comme les États, ont leurs propres raisons de
recourir aux codes malveillants et d’utiliser le type de code qui sera le plus
adapté aux fins qu’ils recherchent.

Comme dans la vraie vie, il y a donc ici, dans le cyberespace des gentils de
type Robin des bois et d’autres, dont les actes sont assimilables à des actes
terroristes.
2.1.8 N’oublions pas les États

AVANT DE PLONGER
L’arme cyber a suscité un engouement certain parmi certaines personnes,
mais pas seulement. Les États s’y sont également intéressés en étudiant la
possibilité d’intégrer cette arme à leur arsenal pour compléter leurs capacités
opérationnelles. En route…
Stuxnet, l’arme cyber qui a été utilisée contre la centrale nucléaire de Natanz,
illustre parfaitement l’intérêt qu’elle peut représenter pour les États.
Cette arme cyber a permis d’atteindre un but politique. Désormais, nous savons
tous que ce virus faisait partie d’un programme plus important lancé en 2006
sous l’administration Bush, suite à une idée du général James E. Cartwright,
responsable à l’époque des forces nucléaires américaines, au sein du
commandement stratégique des États-Unis. Cette opération, Olympic Games,
a perduré sous l’administration Obama, ce qui a permis à Stuxnet de retarder
le programme nucléaire iranien. Le volet politique de cette arme est d’autant
plus important qu’elle a été conçue en collaboration entre la NSA américaine
et l’unité 8200 d’Israël.
Cette arme a permis à ces deux États d’atteindre un double objectif. Ils ont pu
récolter des informations stratégiques et secrètes sur l’avancée du programme
nucléaire iranien. Puis de façon plus radicale, Stuxnet a mis hors service un
élément crucial à l’avancée de ce programme nucléaire.
Ce programme illustre le travail qui peut être réalisé pour servir les intérêts
d’un État. C’est pour cela que les États ont développé des unités spécialisées
dans le domaine cyber. Ces unités sont généralement rattachées aux armées
ou aux services de renseignement des États.
Dans le cas de Stuxnet, ce sont des groupes étatiques qui ont été mobilisés
pour concevoir cette arme cyber et l’utiliser.
L’une des unités les plus emblématiques est israélienne, il s’agit de l’unité 8200
qui est rattachée au ministère de la Défense. Cette unité créée en 1952 est
responsable du renseignement d’origine électromagnétique et du décryptage
des codes, au sein du renseignement militaire israélien. Le renseignement
électromagnétique utilise les communications par ondes radio ou satellitaires
qui peuvent provenir de n’importe quel instrument. Ce renseignement inclut la
surveillance des courriers électroniques, des photocopieurs, des télégrammes
ainsi que les autres communications électroniques pouvant exister.
Le réseau de renseignement électromagnétique le plus connu est le réseau
Échelon des États-Unis, de l’Australie, du Royaume-Uni, du Canada et de la
Nouvelle-Zélande. Il s’agit d’un système d’interception de communications,
publiques ou privées, à l’échelle mondiale.
Grâce à cette unité, Israël peut concevoir de façon indépendante les armes cyber
dont elle peut avoir besoin. On peut tout à fait envisager qu’il s’agisse de codes
à visée offensive ou défensive. Cela présente un avantage certain puisque cette
unité peut concevoir les armes les plus adaptées à chaque mission, en connaître
les moindres détails pour affiner son fonctionnement et être à même de les
modifier pour d’autres usages.
Israël atteint également un objectif plus global, celui de disposer d’un net
avantage sur ses voisins, à la fois au niveau de ses capacités de renseignement
ainsi que dans les actions militaires qu’elle peut mener.
Cette unité est extrêmement réputée au niveau international et vous en avez
probablement déjà entendu parler dans les médias. Elle est souvent mise en
avant comme une unité d’excellence en la matière. Si elle parvient à conserver
ses capacités de haut niveau, c’est grâce aux recrutements qu’elle effectue parmi
des étudiants au meilleur potentiel.
Vue sous cet angle, cette unité agit comme le ferait une entreprise privée
cherchant les meilleurs profils pour ses opérations. Cette technique va de
pair avec la volonté de maintenir le niveau d’excellence de cette unité dans
le cyberespace. D’anciens membres de cette unité ont lancé des entreprises
largement connues au niveau mondial. Vous utilisez certainement Waze dans
vos déplacements en voiture, sachez que cette application a été développée
par d’anciens membres de cette unité. C’est également le cas de CheckPoint25
ou encore des produits développés par Palo Alto Network26.
25 olutions numériques de protection des systèmes d’information éditées par la société Check
S
Point Software Technologies.
26 Palo Alto Network a été créée par Nir Zuk, un ancien ingénieur de Check Point.
Outre sa renommée, cette unité contribue activement à la volonté très ancrée

en Israël de veiller à la sécurité et la pérennité du pays dont l’histoire et le
positionnement géostratégique expliquent l’attention cruciale apportée à sa
défense.
Si cette unité contribue à assurer la souveraineté d’Israël, elle est également au
service de buts politiques comme l’a démontré Stuxnet.
Stuxnet est la preuve que dans un domaine aussi sensible que le cyberespace,
deux États sont capables de s’allier et de collaborer autour d’une même mission.
On peut facilement envisager des collaborations futures, et peut-être même de
long terme entre des États. Cela rendrait le cyberespace encore plus précieux pour
les États y agissant. Ces éventuelles alliances pourraient influencer d’éventuelles
actions de cyberguerre.
Israël, comme vous l’avez compris, est un acteur majeur dans le cyberespace.
Ce fut encore plus flagrant en 2019 lorsque cet État fut le premier à faire usage
d’une riposte armée après une cyberattaque.
Depuis 2016, l’OTAN reconnaît le cyberespace comme un champ de bataille
officiel et cette reconnaissance a pris tout son sens avec ces représailles. En se
fondant sur les informations fournies par les médias, on est amené à penser que :
« C’est la première fois qu’un pays répond de manière physique et immédiate
à une cyberattaque. » La réponse choisie par Israël met en lumière l’importance
des conséquences que peut avoir une cyberattaque.
On soupçonne des hackeurs du Hamas d’être à l’origine de la cyberoffensive qui
a visé Israël en 2019. Selon les responsables israéliens, cette attaque n’aurait pas
atteint son objectif, car ils ont été en mesure de l’enrayer. Une fois la menace
de l’attaque informatique passée, ils ont lancé un raid aérien visant le bâtiment
d’où l’attaque semblait provenir dans la bande de Gaza.
Le porte-parole de Tsahal a confirmé cette action en deux temps : « Après avoir
traité de la dimension cyber, l’armée de l’air s’est chargée de la réaction dans
la dimension physique. »
Cet incident marque peut-être le début d’une nouvelle manière pour les États
de réagir en cas de cyberattaque.
Déjà en 2015, les États-Unis avaient eu recours aux armes traditionnelles face
à une menace venue du cyberespace.
Ils ont utilisé une frappe de drone pour éliminer un citoyen britannique en charge
des groupes de cybercombattants de Daesh. Les États-Unis avaient identifié
cet homme comme une menace en raison de l’influence qu’il pouvait avoir au
sein de Daesh.
Les États-Unis ne sont pas en reste en ce qui concerne les cybercombattants

étatiques. Pour eux, il s’agit notamment de la NSA et plus particulièrement du
service Tailored Access Operations (TAO), qui depuis 1998 permet de défendre
les intérêts du pays grâce au cyberespace.
Ce service est spécialisé dans les interventions nécessitant l’emploi de technologies

de pointe devant être adaptées en fonction de la mission. En construisant des
programmes spécifiques à chaque mission, TAO peut s’introduire dans des
réseaux que des programmes préconçus ne pourraient pénétrer, soit par manque
de performance soit, car ils n’ont pas été conçus pour ce genre de réseaux.
C’est grâce aux révélations d’Edward Snowden que nous connaissons l’existence
de ce groupe. Les membres de cette unité sont réputés pour leurs capacités
à infiltrer la majorité des réseaux, ce qui leur permet d’être capables d’intercepter
des informations sur un très large spectre.
À notre connaissance, ce groupe est l’auteur du piratage du système interne du

câble sous-marin reliant Marseille à Singapour. Le rôle de ce câble est important,
car il permet d’échanger des données entre l’Asie du Sud-Est, l’Europe, le Moyen-
Orient et l’Inde. Pour réussir à compromettre ce câble, TAO a eu recours
à l’usurpation de sites Web.
Cette méthode est connue sous le nom de Quantum Insert. Concrètement,

si quelqu’un désire accéder à un site Web ciblé, sa requête va être interceptée
par un serveur de la Nasa qui va les renvoyer vers un site miroir, c’est-à-dire
une copie conforme du site qu’il voulait atteindre. Une fois sur ce site factice,
l’internaute va être contaminé grâce à un code malveillant volontairement placé
sur ce faux site.
La NSA dispose largement des compétences nécessaires pour mettre en œuvre

cette technique, même avec des sites Internet d’ampleur comme Facebook,
YouTube ou même LinkedIn.
Cette technique est redoutable, car en tant qu’internaute, il vous est quasiment
impossible de détecter que vous êtes sur un faux site.
Cette technique peut être déclinée à l’envi, ce qui la rend d’autant plus dangereuse.
Ainsi, il est également possible d’injecter « des malwares lors de requêtes DNS
(“Quantum DSN”), de téléchargement de fichiers (“Quantum Copper”), d’un échange
de messagerie instantanée MSN/XMPP (“Quantum Spim”), de requêtes de bases
de données (“Quantum Squeel”)27 ».
27 « Comment la NSA a industrialisé le hacking », 01Net, 15 mars 2014 (https://www.01net.com/

actualites/comment-la-nsa-a-industrialise-le-hacking-616062.html).
La NSA aurait créé différentes techniques pour injecter des logiciels malveillants,
qui sont tous regroupés sous le terme de Quantum Theory.
Les capacités de la NSA ne s’arrêtent pas là, puisqu’elle dispose également
d’outils automatiques permettant de récolter des informations. Vous connaissez
sûrement le plus célèbre d’entre eux, le programme PRISM. C’est encore une fois
une révélation d’Edward Snowden qui a permis de faire connaître ce programme.
Le but de ce programme a pour but de « scanner les communications numériques
échangées sur plusieurs services en ligne très appréciés du grand public (AOL,
Apple, Facebook, Google, YouTube, Microsoft, Skype, Paltalk et Yahoo !)28 ».
Grâce aux données collectées, les services américains sont en mesure de constituer
une base de données leur permettant de répondre à leurs besoins futurs, et
ce alors même qu’ils ne sont pas censés utiliser ces données de cette manière.
Ce programme n’est pas le seul développé par la NSA, qui est également à l’origine
de programmes, comme XKeyscore, outil très simple à utiliser permettant d’effectuer
des recherches dans les données récoltées par la NSA. Ce dernier a été développé
avec la coopération de la Nouvelle-Zélande, du Canada, de l’Australie et du
Royaume-Uni.
Ces deux programmes contribuent à la surveillance de masse mise en place
par la NSA et à l’utilisation du cyberespace au maximum des capacités dont
elle dispose.
Un autre groupe de cyberespionnage semble être lié à la NSA : l’Equation Group.
Ce nom lui a été donné par l’entreprise Kaspersky Lab en raison de l’appétence
de ce groupe pour les méthodes de chiffrement élaboré. Ce groupe aurait
exploité différentes failles de sécurité qui n’avaient pas encore été rendues
publiques dans les systèmes de Microsoft Windows, Internet Explorer et Java.
Ce groupe a développé un certain nombre de logiciels complexes pour mener
à bien ses opérations de cyberespionnage. L’un d’entre eux est particulièrement
résistant et peut résister à un reformatage du disque dur.
Ce groupe existerait depuis 2001 et aurait ciblé une trentaine de pays, dont la
Russie, l’Inde, la France, le Brésil, l’Iran, la Malaisie, etc. Il n’aurait pas pris pour
cible que des organisations gouvernementales, s’attaquant également à de
grandes entreprises ou à des individus directement.
Ici encore, les actions semblent très variées, mais il est difficile d’obtenir des
informations précises, ces groupes évoluant dans des sphères où le secret règne
et s’attachant forcément à ne rien faire fuiter de ses activités.
28 Damien Leloup et Michaël Szadkowski, « Prism, Snowden, surveillance : 7 questions pour tout
comprendre », Le Monde, 8 août 2013.
Tout comme en matière de défense classique, les États se sont organisés en

créant des services uniquement dédiés à leurs actions dans le cyberespace.
Comme d’autres membres des forces armées ou des services secrets, ces groupes
sont financés et dirigés par des membres officiels du gouvernement, pour la plupart
en tout cas. Même si l’on sait que tous les États agissent dans le cyberespace,
il est difficile d’être certain de l’affiliation de tel groupe à tel État. Par ailleurs il est
tout à fait envisageable qu’un État décide d’externaliser certaines missions en
passant par un groupe de hackeurs indépendants ou de mercenaires numériques.
Ici, la logique pourrait faire penser à celle des sociétés militaires qui existent
à travers le monde.
Les États-Unis et Israël ne sont pas les seuls États à disposer de groupes
à compétence cyber, d’autres États sont connus pour en faire de même.
La Russie dispose de groupes réputés pour leur compétence et leur affiliation avec
l’État russe. Vous avez probablement déjà lu les noms Fancy Bear et Cozy Bear,
également désignés par APT 28 et APT 29 – qui sont les deux groupes les plus
connus.
Le premier de ces groupes, Fancy Bear ou APT 28, est réputé être le bras
armé du service de renseignement militaire russe, le GRU. Ce groupe doit
sa réputation à ses attaques très sophistiquées visant des cibles de haut
niveau. Il est notamment soupçonné d’être à l’origine d’attaques à l’encontre
d’organisations politiques au niveau européen, de ministères, mais aussi de
la chaîne de télévision TV5Monde. Cette attaque, bien qu’un peu ancienne,
a marqué les esprits, car elle s’est traduite par une modification des sites Internet
de la chaîne avec l’affichage de messages en faveur de Daesh. Sans surprise,
au début, les pistes semblaient s’orienter vers le Cyber Caliphate, pour des
raisons évidentes, mais les investigations se sont rapidement éloignées de ces
premiers soupçons pour s’orienter vers la piste russe.
Grâce à l’analyse du code malveillant, des spécialistes ont identifié des similitudes
avec des méthodes utilisées par le groupe Fancy Bear. De plus, selon un rapport
de la société informatique FireEye, les serveurs utilisés seraient connus pour
être ceux privilégiés par des groupes de pirates russes. Enfin, le code aurait été
créé grâce à un clavier cyrillique et à des horaires correspondant aux périodes
de travail de Saint-Pétersbourg et Moscou.
Dans le cas de la cyberattaque sur TV5Monde, les dégâts ont été limités grâce
à l’intervention des équipes informatiques du groupe qui ont rapidement trouvé
la machine ciblée et l’ont débranchée afin de la déconnecter du réseau et d’éviter
que l’attaque ne se propage. Sans cela, les cyberattaquants auraient très bien
pu compromettre ou voler les données de la chaîne.
Parmi les autres faits d’armes de ce groupe, on lui attribue des campagnes de
phishing ciblées, soit exactement la méthode utilisée à l’encontre de la chaîne
de télévision. En général, il envoie un e-mail très bien conçu sur la messagerie
de la victime, qui ne remarque pas qu’il s’agit d’un faux et lorsqu’elle clique sur
le lien du message, elle ouvre la possibilité aux cyberattaquants de récupérer
ses identifiants.
Cette attaque n’a pas été la seule attribuée à ce groupe, qui est également
soupçonné d’avoir commis des attaques d’ampleur à l’encontre d’organisations
politiques, par exemple contre le site Internet du parti « en Marche » en
2017. Ce groupe russe serait l’auteur d’une campagne de phishing visant des
collaborateurs du candidat Emmanuel Macron, ce qui amène Loïc Guézo,
directeur de la stratégie pour l’Europe du Sud chez Trend Micro, à estimer
que : « Nous sommes sûrs à 99 % qu’il s’agit d’attaques en provenance de
Russie. » Selon cette même source, cette entreprise aurait identifié des noms
de domaines contrôlés par le groupe russe, onedrive-en-marche.fr, portal-
office.fr, mail-en-marche.fr, accounts-office.fr, et ces adresses ont été utilisées
pour piéger l’équipe de campagne du candidat.
Cette technique a également servi lors de la campagne présidentielle américaine
de 2016 qui a connu un certain nombre de perturbations dont la principale victime
a été le parti démocrate – et plus particulièrement John Podesta, le directeur
de campagne d’Hillary Clinton.
Ce dernier a été victime d’une campagne de phishing lors de laquelle un e-mail
a été distribué demandant aux destinataires de modifier leur mot de passe.
En cliquant sur le lien, ils étaient redirigés vers un site factice hébergé par
les cyberattaquants qui étaient alors en mesure de voler leurs identifiants de
connexion et de prendre le contrôle de leurs ordinateurs.
Un rapport des agences de renseignement américaines estime que l’origine
de ces attaques peut être attribuée à ce groupe. Récemment entendu dans le
cadre d’une commission d’enquête, Robert Mueller (ancien directeur du FBI)
a estimé que ce type de menaces persistait, affirmant : « J’espère que ce n’est
pas la nouvelle normalité. Mais je le crains. »
Globalement, les actions de ce groupe visent à collecter des informations
gouvernementales ou venant de différentes organisations pouvant intéresser
son commanditaire, lequel est certainement le gouvernement russe.
Au-delà des États-Unis et de la France, l’OTAN a également été victime d’attaques
informatiques entre 2014 et 2016, ces attaques visant notamment le piratage
des messageries électroniques des fonctionnaires de l’OTAN.
Selon de nombreuses sources, APT 28 n’est pas le seul groupe à œuvrer pour l’État
russe. En effet, il existe également Cozy Bear, aussi connu sous le nom APT 29
qui serait associé au Service fédéral de sécurité de la Fédération de Russie (FSB)
et au Service des renseignements extérieurs de la Fédération de Russie (SVR).
Ce groupe aurait infiltré le parti démocrate américain avant même Fancy Bear,
dès 2015.
S’il est délicat d’attribuer avec certitude la liste des actions initiées par ces
deux groupes, les objectifs de Cozy Bear sont similaires à ceux de Fancy Bear
et leurs actions tout aussi complexes.
Il est très difficile d’attribuer avec certitude une attaque à son auteur, cela l’est
d’autant plus lorsqu’il s’agit d’un groupe affilié à un État. Forcément, lorsqu’on
se situe au niveau des États, entre en considération le contexte politique et
géopolitique qui peut nous amener à accuser un peu rapidement un État, peut-
être à tort.
La Russie est souvent l’objet de soupçons, du fait notamment du grand nombre
de pirates et de hackeurs qui y sont présents, mais aussi en raison des tensions
que la Russie entretient avec d’autres pays.
La Chine n’est pas absente du monde cyber. Elle dispose d’une unité dédiée
au sein de l’armée populaire de libération, l’unité 61398, qui se charge de la
conduite des opérations militaires sur les réseaux. Cette unité, qui existerait
depuis 2006, est spécialisée dans le cyberespionnage.
Cette unité « aurait compromis 141 entreprises dans une vingtaine de secteurs
d’activité. 87 % des sociétés ciblées ont leur siège social dans des pays où l’anglais
est la langue maternelle.29 » Que ce chiffre soit exact ou non, il est difficile de croire
que depuis 2013, le nombre d’entreprises compromises aurait diminué. Mais ici
encore, le verrouillage pratiqué par la Chine ne permet que des supputations.
Il n’en demeure pas moins que la Chine a démontré au monde entier ses capacités
à collecter un grand nombre de données potentiellement sensibles.
C’est certainement sur cette unité que nous avons le moins d’informations
disponibles. C’est un rapport de la société Mendiant, spécialiste de la sécurité
informatique, qui pointe du doigt cette unité comme étant derrière une vaste
opération de cyberespionnage. Vous vous en doutez : le gouvernement chinois
a nié être à l’origine de cette attaque.
On peut tout de même estimer que ses comportements seraient similaires

à ceux des groupes de la NSA ou d’autres groupes travaillant pour un État.
29 Jacques Cheminat, « Unité 61398 : groupe secret de l’armée chinoise dédié au cyberespionnage »,
Le Monde informatique, 19 février 2013.
La surveillance et le renseignement sur des questions militaires, politiques et

économiques seraient la raison d’être de cette unité fantôme.
Le secret est toujours de rigueur dans ce genre d’opération, mais il semble
encore plus opaque autour de cette unité, puisqu’on ne lui connaît pas de date
de création, que sa présence n’est pas matérialisée dans l’organigramme militaire
chinois, etc. Il est d’autant plus délicat de lui attribuer des cyberattaques.
Ces différents groupes restent très secrets et aucune information à leur sujet ne
peut être affirmée sans doute. Les spécialistes de la sécurité informatique ainsi
que les dirigeants estiment tout de même que ces groupes travaillent pour leurs
États respectifs. Certains éléments permettent de croire en ces hypothèses.
Tout d’abord, personne n’est dupe, nos États ont des capacités pour agir dans le
cyberespace. Ces capacités reposent forcément sur des ordinateurs, des serveurs,
etc., mais surtout, il faut des hommes pour agir.
On se doute que nos États ont des personnels spécialisés dans ce domaine et
d’ailleurs, certains ne s’en cachent pas, comme la France qui a annoncé recruter
des cybercombattants.
Par ailleurs, ces opérations demandent souvent beaucoup de moyens et de
temps pour aboutir, ce qui dépasse les ressources d’une seule personne ou
d’un groupe criminel classique. Si une action dans le cyberespace entre dans
la stratégie d’un État, ce dernier sera en mesure de financer cette opération,
surtout si elle s’intègre à une opération plus vaste.
Ces moyens techniques, humains et financiers doivent être coordonnés. Lors d’une
attaque de très grande ampleur qui touche plusieurs États, ou d’une grande
complexité, comme Stuxnet, une seule personne ne peut tout coordonner,
il est nécessaire qu’une organisation soutienne ce projet.
Souvent, c’est la même structure qui identifie la cible et la période à laquelle
l’attaque doit être lancée. De plus, les cibles de ces attaques peuvent être des
cibles politiques permettant à un État d’atteindre un objectif de façon plus furtive
et sans risquer de vie humaine, ce qui ne met pas pour autant l’État auteur de
l’attaque à l’abri de représailles.
Évidemment, il existe d’autres groupes soupçonnés d’agir pour le compte de
leurs États dans le cyberespace.
L’Iran, qui a répondu à l’attaque Stuxnet en attaquant Aramco, est soupçonné
de disposer des groupes lui permettant d’agir dans le cyberespace. C’est le
cas du groupe APT 39 réputé pour voler de grandes quantités de données
personnelles qui lui permettent certainement de soutenir d’autres opérations.
L’Iran aurait d’autres groupes comme APT 33 qui ciblerait plutôt le secteur de
l’énergie ou de l’aviation.
La Corée du Nord n’est pas en reste et aurait également ses propres groupes,
nommés APT 37 et Lazarus (APT 38). Ce dernier serait spécialisé dans les
opérations visant le domaine financier, et peut infiltrer en profondeur les systèmes
informatiques des banques. Selon certains spécialistes, le ransomware Wannacry
serait une création de la Corée du Nord.
Ces États ne sont pas les seuls, mais vous avez compris la logique. Chaque État
le désirant et disposant des moyens adéquats peut agir dans le cyberespace
à son échelle et pour répondre à ses ambitions.
Pour certains, ces actions passent par des groupes à leur solde, ce qui permet
ensuite de nier toute implication, car la paternité de l’attaque en question ne
pourra pas être prouvée. Nous n’avons que des soupçons et c’est important
de s’en souvenir.
Une autre possibilité s’offre aux États, ils peuvent recourir aux unités de leurs
forces armées, lesquelles sont formées pour agir dans le cyberespace, au nom
et pour le compte de leur nation. Il s’agit notamment des unités citées ci-dessus
qui sont intégrées aux armées nationales, ou sont simplement réputées comme
travaillant au service d’un État.
Tous les États tendent à développer leurs compétences et leur arsenal dans le
domaine cyber et cela passe par la création de ces unités intégrées. Il est donc
nécessaire de s’intéresser à la manière dont les États appréhendent les évolutions
du cyberespace.
Cette action d’un État envers un autre est naturellement duplicable aux entreprises
qui, grâce au cyberespace, peuvent s’attaquer à des concurrents.
Les actions des États peuvent avoir une influence indirecte sur les cibles d’attaques
cyber. C’est le cas de l’activisme du nouveau président des États-Unis au cours
de l’été 2021. En effet, depuis le mois de juin, celui-ci agit auprès du président
russe, Vladimir Poutine pour que ce dernier fasse la police en Russie parmi les
différents groupes de cyberpirates connus ou suspectés d’agir sur le territoire
américain ou, plus globalement, contre des intérêts de ce pays.
Pour les spécialistes, cet activisme américain a porté ses fruits. Malheureusement,
si l’on peut applaudir l’action de Joe Biden, ces mêmes spécialistes cyber craignent
que l’Europe, au travers de l’ensemble de ses organisations publiques et privées
en fasse les frais. Il faut dire que l’Europe n’a pas de doctrine de riposte aussi
claire que celle énoncée par Joe Biden…
Concernant ce petit monde de hackeurs, pirates et autres cyberterroristes,
la figure suivante les répartit en sept grandes familles, en sachant qu’évidemment,
appartenir à la famille des white hats n’a rien de contradictoire avec la
participation d’une action d’un groupe de cyberactivistes comme les Anonymous.
Pour résumer les logiques et « objectifs » des hackeurs et pirates, la Figure 2.1
est en quelque sorte le jeu des sept familles du pirate numérique…
Figure 2.1 Hackeurs et pirates, 7 entrées possibles


Nous avons donc arpenté quelques méandres d’un monde qui fait l’actualité,
tant côté films et romans que côté journalistique. Parfois des enquêtes éclairent
certains de ces méandres, mais soyons conscients que ce n’est « rien » à côté
de ce que l’on soupçonne sans être en mesure – par manque de preuve –
de l’affirmer…
2.2 Pourquoi utiliser ces armes ?

2.2.1 Une prise d’otage qui se généralise
AVANT DE PLONGER
Malheureusement, au fil du temps, les cyberattaques ont pris une importance
croissante, tant dans nos esprits que pour nos finances. La cybercriminalité
est désormais un phénomène exponentiel.
La quasi-totalité des attaques visant à enrichir leur auteur, elles prennent pour
cible de grandes structures, car plus le nombre d’ordinateurs connectés en
réseau est important, plus les dégâts vont justifier une demande de rançon
élevée. Mais attention, cela ne veut pas dire que les organisations de taille
moyenne, les PME ne sont pas concernées et ne le seront pas plus à l’avenir.
S’il nous faut une autre preuve de l’importance prise par les cyberattaques,
arrêtons-nous sur ces quelques chiffres. Selon le communiqué de presse de
PwC de 2018 : « En 2017, les incidents cyber ont coûté plus de 600 milliards de
dollars à l’économie mondiale30 » et : « Le coût des cyberattaques dans le monde
a bondi de près d’un tiers en 2018.31 » Cette même étude estime que les coûts
liés aux cyberattaques ont explosé en cinq ans et « ont grimpé de 72 % dans le
monde. Ce qui interpelle davantage, c’est l’impact économique des attaques
informatiques, dont le coût moyen se chiffre en millions de dollars. »
Si l’on pense souvent aux cyberattaques en tant que menaces pour les grandes
entreprises, l’actualité récente nous a rappelé que des collectivités territoriales,
des hôpitaux et même des villes pouvaient être des cibles des cybercriminels.
C’est parce que les différents réseaux que nous utilisons nous sont devenus
indispensables qu’ils nous fragilisent et nous rendent vulnérables. Comme le souligne
Pierre Bellanger : « Les réseaux informatiques sont des infrastructures critiques
qui doivent bénéficier des mêmes protections et surveillances que nos réseaux
électriques, ferroviaires, autoroutiers et aériens ou nos installations nucléaires […].
30 Étude de McAfee, “The Economic Impact of Cybercrime – No Slowing Down”.

31 Étude réalisée par Accenture.
De plus en plus, les agressions contre nos réseaux seront considérées comme,
non seulement des actes criminels, mais comme des actes terroristes, voire des
actes de guerre32. »
Si l’on n’est pas convaincu ou que l’on pense que ces propos sont alarmistes,
prêtons attention à ce qui s’est produit en Estonie en 2007.
Pour l’époque, l’Estonie était déjà un pays très connecté et c’est ce qui a permis
de l’atteindre jusqu’à le déstabiliser. Au cours du mois d’avril 2007, ce pays a
subi une série de cyberattaques par déni de service à l’encontre de ses sites
gouvernementaux puis de ceux des banques, de médias ainsi que de partis
politiques.
Aucun pan de la société n’a été épargné puisque même les numéros d’urgence
ont été rendus indisponibles. L’Estonie a été complètement déconnectée des
réseaux, rendue invisible et ainsi placée en position de vulnérabilité. L’origine de
cette attaque viendrait de la décision du gouvernement estonien de déplacer une
statue représentant un soldat soviétique, ce qui aurait entraîné le mécontentement
et des émeutes au sein de la communauté russophone d’Estonie.
Pour de nombreux experts, cette attaque serait d’origine russe – la Russie aurait
pris ombrage de cette décision estonienne.
Cet exemple montre comment une cyberattaque est en mesure de paralyser
complètement un pays. La réussite de cette attaque reposait sur l’utilisation d’un
très grand nombre d’ordinateurs contrôlés à distance par le cyberattaquant,
des ordinateurs zombies. Chacun de nos ordinateurs peut être l’un d’entre eux :
à notre insu, une partie est peut-être contrôlée par un cybercriminel qui va
l’utiliser pour répandre son logiciel malveillant, tout en dissimulant son identité.
Dans le cas de l’attaque contre l’Estonie, les ordinateurs étaient également
nécessaires pour disposer de la puissance nécessaire pour saturer les serveurs
visés, par l’envoi d’un nombre très important de requêtes.
Pour Linnar Viik, un spécialiste estonien du domaine cyber : « La mobilisation
d’une telle armada informatique dépasse de très loin le stade de l’initiative
individuelle, voire mafieuse. Rien de tel ne peut se faire à cette échelle sans la
coopération d’un État, et de plusieurs opérateurs télécoms.33 »
Depuis 2007, d’autres attaques ont marqué les esprits du fait de leur importance
et de leur audace. C’est notamment le cas de celles qui ont visé des villes entières
un peu partout dans le monde.
32 La souveraineté numérique, Stock, 2014.

33 Philippe Crouzillacq, « L’Estonie dénonce les cyberattaques terroristes russes », 01net,
11 juin 2007 (https://www.01net.com/actualites/lestonie-denonce-les-cyber-attaques-
terroristes-russes-350759.html).
L’épreuve subie par l’Estonie a démontré que les États n’étaient pas épargnés
par des cyberattaques d’ampleur.
Aux États-Unis, les cyberattaques ciblant des villes se sont développées à tel
point que des maires se sont réunis afin de protester après que 22 villes ont été
prises pour cibles rien que pendant l’année 2019.
Lors d’une conférence les réunissant à Honolulu, ces derniers ont déclaré :
« Nous resterons unis contre le paiement des rançons dans le cas d’un piratage
de nos infrastructures. » Cette union vient de leur volonté de décourager d’autres
cyberattaques de ce type en ne payant pas les rançons.
Pourquoi les cyberattaquants prennent-ils pour cibles des villes ? Ces dernières
ont, a priori, des moyens financiers conséquents permettant aux cybercriminels
d’espérer une rançon relativement élevée. C’est pour cela que les pirates ne
prennent pas seulement pour cibles des villes de petites envergures, mais aussi
des villes d’importance comme Atlanta ou Baltimore.
Le maire de Baltimore est à l’origine de la proposition de ne pas céder face aux
chantages des pirates informatiques. Il a en effet dû affronter une cyberattaque
lorsque le réseau informatique de sa ville a été infecté par un ransomware en
2019. Les auteurs de cette attaque réclamaient une rançon de 100 000 dollars,
que la ville n’a pas voulu payer. Lors de cette attaque, 10 000 ordinateurs
auraient été infectés et verrouillés. Comme dans la plupart de ces attaques,
les services de la ville ont dû revenir à l’utilisation du papier puisque les boîtes
courriel étaient inutilisables, comme tous les logiciels-métiers. Même sans payer
la rançon demandée, les conséquences financières ont été extrêmement lourdes.
Parce que ses sauvegardes étaient récentes, la ville a pu les utiliser afin de
restaurer son système informatique. La ville a également pu préserver la partie
saine de son parc informatique en déconnectant les ordinateurs non infectés
du réseau Internet, mais elle a dû financer de nouveaux ordinateurs, serveurs,
etc., le montant total déboursé s’élevant à 18 millions de dollars.
Ce montant astronomique couvre la remise en état du système informatique,
ainsi que la perte de revenus estimée du fait de cette attaque. Évidemment,
une telle somme appelle à réfléchir, et l’on peut se demander quel aurait été le
coût si la ville avait accepté de payer la rançon demandée.
Il semble que cette attaque ait été rendue possible par l’utilisation d’une faille
déjà connue et pour laquelle un correctif avait été rendu public. Cette faille est
connue sous le nom d’Eternal Blue et avait été identifiée par la NSA qui a un peu
tardé à la rendre publique. Sauf que des pirates lui ont volé cette faille en 2016
et l’ont rendue publique en 2017. À ce moment-là, la NSA a informé la société
Windows de cette faille afin qu’elle puisse concevoir un correctif, ce qui a été
fait – il s’agit du correctif MS17-010, de mars 2017.
Lorsqu’une entreprise développe un correctif pour une faille dans l’un de

ses systèmes, ce correctif n’est efficient que si les utilisateurs l’emploient.
Concrètement, cela se passe par le biais de mises à jour de sécurité que vous
devez installer sur votre ordinateur.
Cela fonctionne comme un vaccin, qui n’est réellement utile que si une grande
partie de la population se fait vacciner, permettant d’atteindre une immunité
générale. En l’espèce on ne propose pas de vaccin, mais le correctif d’une faille
qui nécessite que toutes les personnes utilisant le logiciel dans lequel se trouve
la faille effectuent la mise à jour.
C’est pour cela que les services informatiques insistent pour que l’on réalise
les mises à jour proposées, et ce sans trop tarder. Cette hygiène numérique
est indispensable pour sécuriser les entreprises, d’autant que la fréquence et
la gravité des raids s’intensifient. Il ne faut pas négliger la culpabilité de l’agent
négligent qui, parce qu’il aura omis de réaliser une mise à jour, aura permis
à une faille pour laquelle l’entreprise avait le correctif de déverser son poison
dans tout le réseau.
Pour en revenir aux maires, ils ont affiché leur volonté de ne pas céder,
mais certaines villes ont choisi de payer les rançons demandées.
C’est le cas notamment de Riviera Beach en Floride qui a accepté de payer une
rançon de 600 000 dollars. Cette décision ne fut pas la première option retenue
par cette ville qui avait commencé par acheter un nouveau parc informatique.
Cela n’ayant pas suffi à restaurer sa souveraineté numérique, elle a décidé de
verser la somme exigée.
La ville d’Atlanta en Géorgie a également été victime d’une cyberattaque similaire
dès 2018, avec comme conséquence directe la mise hors service d’applications
permettant le paiement des factures ou l’accès à des informations judiciaires.
Mais elle a choisi de verser la rançon de 51 000 dollars en bitcoins.
Si ce phénomène de prise d’otage a été important aux États-Unis où des
grandes villes ont été touchées, la France n’a pas échappé à ces cyberattaques.
Guillaume Poupard, directeur de l’ANSSI, l’avait anticipé : « Une situation comme
Baltimore peut arriver à n’importe qui, y compris en France. »
Il n’avait pas tort, puisque ces dernières années des villes françaises ont également
été victimes de telles cyberattaques. Ainsi, en 2018, dans le Var, les serveurs
de la commune de La Croix-Valmer ont été touchés et leurs fichiers cryptés,
paralysant les services municipaux pendant une semaine, avant qu’une demande
de rançon ne soit faite. Pour autant, la ville a refusé de payer la rançon demandée.
En 2019, c’est la ville de Sarrebourg qui a également connu une attaque due à un
ransomware dont l’auteur demandait une rançon de 53 400 euros, somme qu’elle
n’a pas payée.
Ces attaques ont des conséquences sur les habitants de chacune des villes
puisqu’un certain nombre de services sont paralysés et que les administrations
doivent se réorganiser afin de maintenir un semblant de service minimum.
Plus récemment, la métropole d’Angers a été la victime d’un ransomware qui

a bloqué l’accès aux ordinateurs de la collectivité, ce qui a fortement perturbé
son fonctionnement. Les sites de la mairie et du conservatoire n’étaient plus
accessibles, les e-mails étaient indisponibles. Heureusement, la ville a annoncé
disposer de sauvegarde de ses données et n’a pas versé la rançon exigée.
La métropole d’Aix-Marseille, à l’aube des élections municipales, a subi une

cyberattaque avec demande de rançon qui a complètement chamboulé ses
services. Pendant un moment, elle a craint que cela n’affecte le processus des
élections puisque les listes électorales étaient inaccessibles.
Ces attaques, outre les dégâts qu’elles peuvent causer, ont une importance
symbolique, car si des structures de cette taille, organisées et dotées de personnels
compétents, peuvent être attaquées, c’est le signe de l’extrême vulnérabilité de
tout notre fonctionnement en réseau. Ces attaques ont également une puissance
symbolique puisqu’elles sont capables de handicaper une ville, démontrant une
capacité de nuisance remarquable. Or, la vulnérabilité des réseaux, quel que
soit leur propriétaire, ne doit pas nous conduire à une angoisse paralysante,
mais au contraire nous inciter à redoubler de prévention en matière de sécurité.
Si l’on est victime d’une cyberattaque et que notre dernière sauvegarde est
ancienne, il est clair que nous aurons beaucoup plus de difficulté à reprendre
pied que si les sauvegardes avaient été faites récemment. De même, si notre
structure est agile, elle sera très vite en capacité de travailler sans messagerie
et parfois sans téléphonie.
Les collectivités sont désormais des cibles pour les cybercriminels au même
titre que les entreprises le sont depuis longtemps. Les rançons demandées aux
collectivités sont souvent plus importantes que celles demandées aux entreprises
et aux individus. À l’instar des prises d’otages d’êtres humains, les autorités
déconseillent de payer. Mais nous l’avons vu, certaines victimes décident de payer
quand même afin de préserver la viabilité de leur organisation et de retrouver
au plus vite un fonctionnement normal.
Si les collectivités sont de plus en plus vulnérables c’est aussi parce qu’elles
proposent de plus en plus de services numériques, qui constituent des portes
d’entrée pour les cyberattaquants. Naturellement, le fait que le nombre
d’ordinateurs ait drastiquement augmenté constitue autant de points d’accès
pouvant être utilisés par des cybercriminels.
Les collectivités locales doivent donc se protéger d’autant plus. Cette tâche peut
s’avérer difficile puisque certaines collectivités utilisent des logiciels trop vieux et
dont la sécurité est totalement obsolète. Seul l’usage de logiciels récents pour
lesquels des correctifs sont développés lorsqu’une faille est détectée permet
une sécurité d’ensemble. Il faut savoir que lorsqu’un logiciel est trop ancien, les
développeurs ne s’occupent plus de concevoir des mises à jour et des correctifs
pour corriger d’éventuelles failles de sécurité.
Évidemment, dans un monde parfait, tous les services publics pourraient avoir
leurs logiciels et leur système d’exploitation constamment à jour. Dans la réalité,
on s’en doute, ce n’est pas financièrement possible. Maintenir tout le parc
informatique d’une administration – ou même d’une entreprise – à jour représente
un coût budgétaire important qui n’est pas toujours la priorité, du moins tant
que la structure n’a pas eu à affronter une cyberattaque.
Le facteur humain doit également être pris en compte ici. Pour qu’une mise
à jour soit réalisée au sein d’une administration, ou d’une entreprise, il est
souvent nécessaire de s’y prendre à plusieurs fois. Ne cliquons-nous pas tous sur
l’option « me le rappeler demain » lorsque notre ordinateur nous propose une
mise à jour ? Au travail, il en va de même. La proposition de mise à jour n’arrive
jamais au bon moment et nous avons tendance à la repousser, nous mettant
ainsi, nous et nos collègues en danger.
Les villes ne sont pas la seule cible de choix des cyberattaquants. Ils se sont,
malheureusement, découvert un intérêt particulier pour une autre cible qui ne
peut se permettre de voir son travail perturbé : les hôpitaux.
C’est ainsi que début 2021, les hôpitaux de Dax et Villefranche-sur-Saône ont dû
faire face à des cyberattaques au moment même où ils étaient déjà très sollicités
par la crise sanitaire de la Covid-19. On imagine tous les conséquences d’une
telle paralysie avec des opérations qui ne peuvent plus être effectuées, des
examens impossibles à réaliser, des patients devant être redirigés vers d’autres
établissements, des standards téléphoniques hors circuit, une organisation
globale qui dans l’urgence doit reposer sur le papier et le crayon, voire sur
quelques ordinateurs pouvant fonctionner hors réseau.
Ces attaques mettent en danger tant la prise en charge des patients que leur santé,
puisque la plupart des machines utilisées pour traiter les patients dépendent à un
moment ou un autre de l’informatique. La confidentialité des données personnelles
des patients est également mise à mal dans les attaques de ce type, ce qui peut
également ternir la réputation des établissements. Les patients risquent de ne
plus faire confiance à des hôpitaux qui ne savent pas s’organiser pour sécuriser
leurs données les plus sensibles. Par ailleurs, si le personnel n’a plus accès aux
dossiers des patients, cela peut poser problème s’ils ne savent pas quelle dose
de médicaments le patient a déjà reçue ou s’il est allergique à certains, etc.
Selon l’ANSSI, il y aurait 27 cyberattaques contre des centres hospitaliers en 2020

en France. Celles-ci démontrent « la criticité de cette menace dans notre
quotidien ».
Aux États-Unis, la situation est plus grave encore, puisque des hôpitaux ont
été ciblés dans une série de cyberattaques d’envergure. En une seule semaine,
des hôpitaux de différents États ont été pris pour cible, de l’Oregon à la Californie
en passant par New York. La simultanéité de ces attaques laisse à penser qu’il
s’agit d’une attaque coordonnée visant à perturber l’ensemble du système
de santé américain. Cette attaque est d’autant plus inquiétante qu’elle a été
lancée pendant une pandémie mondiale qui a durement touché tous les pays,
et particulièrement certaines villes des États-Unis. En plus d’empêcher l’usage des
outils informatiques, cette attaque a mis en danger la vie de certains patients qui
étaient obligés d’aller dans un hôpital loin de chez eux ou renoncer à leurs soins.
Certains experts attribuent cette attaque au groupe Wizard Spider (UNC 1878), qui
est réputé pour ses cyberattaques fortement déstabilisantes, ce qui correspond
assez bien à une cyberattaque contre des hôpitaux pendant une pandémie qui
fragilise déjà nos systèmes hospitaliers.
Ces attaques sont d’autant plus dangereuses que l’une d’entre elles a déjà entraîné
la mort d’une patiente. L’hôpital de Düsseldorf en Allemagne a été touché par
un ransomware, l’empêchant d’honorer certaines opérations. Une patiente a dû
être évacuée vers un autre hôpital et, malheureusement, elle est décédée avant
d’y arriver. Ce dramatique précédent plane au-dessus des hôpitaux et rend
d’autant plus délicat le choix de payer ou non la rançon demandée.
Vous l’avez compris, le ransomware est tendance ces dernières années. Pourquoi ?
Parce qu’il est d’une efficacité redoutable. Ces logiciels permettent d’atteindre
toutes les organisations de notre société et de les prendre en otage sans qu’elles
ne puissent réagir.
On peut facilement imaginer la stupéfaction, lorsqu’un matin en arrivant au travail,
des employés découvrent des dossiers cryptés et des ordinateurs en réseau
inutilisables. Une fois que cette attaque commence à chiffrer les données
présentes sur les systèmes, ils ne peuvent plus faire grand-chose à part isoler
les machines encore saines.
Pourquoi ne déchiffre-t-on pas les ordinateurs touchés ? Tout simplement,
car, la plupart du temps, ce n’est pas possible. Déchiffrer un code représente
un travail titanesque, surtout lorsque le code de chiffrement utilisé est très
complexe, ce qui est souvent le cas dans ce genre d’attaque. Tenter de déchiffrer
le code serait une perte de temps et de ressources. Les structures prises en
otage se retrouvent donc contraintes, soit de mettre en place un nouveau parc
informatique en utilisant les données sauvegardées avant la cyberattaque, soit de
payer la rançon afin, espèrent-elles, qu’on leur rende le contrôle sur leur réseau.

L’Estonie, c’est loin, d’accord… En revanche, les villes et les hôpitaux sont sur
le devant de la scène des cyberattaques, mais les entreprises restent aussi une
cible privilégiée des cyberattaquants qui peuvent utiliser d’autres armes que le
ransomware et ainsi démultiplier les éventuelles conséquences des attaques.
En 2021, nous avons vu que l’activisme politique du président des États-Unis
semble avoir pu détourner les cyberattaques de son pays. N’attendons pas,
au contraire, qu’il en soit de même en direction de l’Europe en général et de
la France en particulier, ce serait une grossière erreur…
2.2.2 Focus entreprise
AVANT DE PLONGER
Les entreprises sont une cible historique des cyberattaquants, lesquels ont
développé leurs savoirs afin de voler, espionner ou ruiner la réputation des
entreprises ciblées. Mais le premier risque pesant sur vos organisations ne vient
pas de la supériorité des cyberattaquants. Il trouve son origine au sein même
de votre entreprise. L’humain commet en effet des erreurs ou des négligences
qui sont une source de grands dangers pour toutes les organisations.
Au sein des entreprises, il est récurrent que la faille de sécurité soit d’origine
humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès
de ses clients, « 63 % des incidents de sécurité proviennent d’un employé actif au
sein des effectifs34 ». Ces employés ne trahissent pas forcément volontairement
leur entreprise, une grande partie d’entre eux commettent des erreurs par
inadvertance, erreurs qui ont des conséquences potentiellement dommageables
pour leur organisation.
Selon cette même étude, les anciens employés représenteraient 12 % des

incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et
autres partenaires qui représentent 15 % de ces risques.
Souvent, lorsqu’un employé, voire un stagiaire, quitte une entreprise ou une

administration, les droits qui lui avaient été accordés ne sont pas clos et ses
identifiant et mot de passe restent valides et donc utilisables. Cela crée une
brèche dans la sécurité de l’entreprise et au bout de quelques années, cela peut
concerner un nombre d’anciens employés important et donc une faille sécuritaire
considérable.
34 « Enjeux cyber 2018 », janvier 2018.

Le risque est d’autant plus grand pour les employés quittant l’entreprise en
mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.
Les personnels extérieurs à nos organisations avec lesquels nous interagissons

représentent également un risque. Certains se servent de cette position pour vous
nuire, d’autres peuvent profiter de leur présence dans votre organisation pour
vous espionner. Il est également possible que des personnels compromettent
des données que vous leur avez confiées en ne les sécurisant pas suffisamment.
Cette lacune dans la sécurité peut être volontaire ou non. Ces risques doivent
rester présents à votre esprit, car il faudrait être devin pour prédire comment
des relations humaines peuvent évoluer, sans oublier les troubles ou fragilités
psychiques dont peuvent souffrir ceux avec qui vous avez partagé tout ou partie
des données numériques de votre organisation.
Prenons un exemple concret. De nombreux organismes sous-traitent le ménage

de leurs locaux à une entreprise spécialisée, et l’on ne remarque plus les
passages des personnes chargées de cette tâche, car on est habitué à leur
présence quotidienne. Cette invisibilité les rend potentiellement dangereux :
par opportunisme ou en étant téléguidés par des personnes malveillantes, ils vont
pouvoir récupérer des documents, regarder ce qui est affiché sur les écrans des
ordinateurs, photographier des mots de passe négligemment inscrits sur des
Post-it® par des employés tête en l’air, capter des informations ou des adresses
de personnes qui pourront ensuite être ciblées par des campagnes de phishing
ou de chantage par exemple.
C’est pour cela qu’il est important que tous les collaborateurs soient sensibilisés
au risque cyber et aux bonnes pratiques à mettre en œuvre. Comme pour les
gestes barrières en période de pandémie, nous les connaissons, mais nous avons
toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne
faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés
dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser
son écran déverrouillé lorsqu’on n’est pas dans son bureau ou laisser en évidence
son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes de
e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.
Ces bonnes pratiques devraient idéalement être rappelées à tous lors de

l’ouverture quotidienne de leurs différents écrans. Il est important que cette
sensibilisation ne soit pas uniquement le fait des informaticiens de votre structure,
car il nous arrive, et je fais amende honorable, de penser qu’ils envisagent toujours
des scénarios catastrophes. Les différents services de votre entreprise doivent
adhérer à ces règles et s’en faire les défenseurs. L’encadrement supérieur de
l’entreprise ne doit pas non plus s’estimer « au-dessus », car tous les ordinateurs
peuvent être contaminés, même les leurs.
L’avantage de l’erreur humaine, c’est que l’on peut réellement agir et prodiguer
des conseils sur la manière dont vous aimeriez que les choses se passent.
Il faut bien être conscient que même si vos employés ou vos prestataires
respectent bien ces règles prudentielles, il demeure le risque d’une cyberattaque,
qui comme un robinet qui fuit insidieusement va dégénérer en un dégât des
eaux, va attaquer en toute discrétion votre réseau informatique.
Un type de cyberattaque souvent oublié est celle permettant de vous voler des
données, pendant plusieurs mois, voire plusieurs années en toute discrétion.
Oui, toutes les cyberattaques ne sont pas rapides et dévastatrices, certaines
se font en toute discrétion et peuvent tout autant vous nuire. Une « advanced
persistent threat » (APT) est une cyberattaque particulière qui, contrairement
aux autres cyberattaques, se prolonge dans le temps.
Nous avons d’ores et déjà évoqué le terme APT lors des paragraphes consacrés
aux groupes de cyberattaquants. Ici, je ne parle pas du groupe mettant en œuvre
des attaques de pointe, mais des attaques en elles-mêmes.
Dans le cadre d’une APT, un groupe de pirates va s’introduire dans notre système,
sans en avoir le droit, et y rester pendant une très longue période. Cette présence
dans le système va essentiellement leur permettre deux choses, de surveiller ce
qui se passe sur notre réseau et de nous voler toutes les données susceptibles
de les intéresser.
En surveillant nos réseaux et en subtilisant nos données, les pirates peuvent

ensuite porter atteinte à la prospérité de notre organisation. Ils savent ce que
l’on prépare, le projet que l’on s’apprête à lancer et donc peuvent saboter nos
plans ou les révéler à nos concurrents directs. Cette cyberattaque représente
parfaitement la furtivité propre à ces attaques puisqu’une APT cherche à obtenir
un accès permanent au réseau visé plutôt qu’à y entrer et en sortir le plus
rapidement possible.
Cette technique vise surtout de grandes entreprises ou des entreprises travaillant

dans des domaines stratégiques ou de pointe. Les secteurs de la défense,
des finances, de l’innovation, autrement dit les secteurs où les informations et
le secret sont une valeur capitale, sont particulièrement susceptibles de faire
l’objet d’une APT.
Cette attaque peut également cibler un État ou d’une organisation internationale

pour voler des informations sensibles sur la situation internationale ou sur des
négociations diplomatiques ou de stratégie économique.
En elle-même, cette attaque ne provoque pas de dégât matériel sur nos

infrastructures. Les attaquants choisissent des cibles importantes pouvant
détenir des informations précieuses afin de pouvoir les voler sur une très longue
durée. Voyons cela comme une hémorragie interne de données provoquée et
contrôlée par des pirates informatiques.
Une APT doit être la plus discrète possible, elle doit être invisible pour les
personnes travaillant dans l’organisation ciblée, elle ne doit provoquer aucun
dégât sinon elle sera repérée et l’opération échouera.
Ces cyberattaques sont très sophistiquées et nécessitent forcément une
implication humaine pour être mises en œuvre. Généralement, cette intervention
humaine se fait au moment d’infiltrer l’organisation ciblée. Concrètement,
les cyberattaquants vont piéger l’un des employés afin qu’il ouvre, sans s’en
rendre compte, une brèche dans la sécurité de l’organisation.
Les APT sont très efficaces pour récolter des informations confidentielles,
mais elles demandent plus d’efforts et de savoir-faire que d’autres cyberattaques.
Les APT ne ciblent pas une organisation au hasard, la cible est minutieusement
choisie et en fonction d’elle se constitue l’équipe la plus adaptée qui va ensuite
élaborer ou adapter l’arme cyber nécessaire. Elle peut aussi se rendre sur le
darknet et trouver un pirate prêt à concevoir une telle arme pour elle et ainsi, elle
achète l’arme plutôt que de la fabriquer. Ces cyberattaques sont très structurées.
En parallèle de la confection de cette arme, les cyberattaquants doivent trouver
comment infiltrer leurs cibles. La manière de pénétrer l’organisation ne sera
pas toujours la même, ici les cyberattaquants doivent faire du sur-mesure s’ils
veulent que leur attaque réussisse.
Parfois, cela nécessitera une interaction avec certains employés, il faudra par
exemple les piéger en utilisant une clé USB ou un CD contaminé. Le but étant
que l’employé choisi connecte ce périphérique à son ordinateur de bureau afin
d’infecter le réseau entier de l’entreprise avec un logiciel malveillant spécialement
conçu pour cette attaque.
Les cyberattaquants vont devoir faire preuve de plus d’ingéniosité que pour une
simple campagne de spam. C’est ce qui fait de cette cyberattaque une attaque
« avancée », puisque les efforts à fournir et les techniques mises en œuvre sont
très variés, surtout en comparaison des cyberattaques plus communes. Par ailleurs,
contrairement aux cyberattaques classiques, les APT reposent sur la coordination
de moyens techniques et humains et ne sont pas très automatisées. Souvent,
lorsqu’une cyberattaque est lancée, le travail de l’attaquant est fini. Il a conçu
l’arme, il la déploie, elle fait son travail seule sans plus d’actions de la part de son
créateur. Ici, il n’en est pas de même, car les cybercriminels doivent vérifier que leur
arme n’est pas détectée et qu’elle récupère effectivement les données souhaitées.
Une fois que les attaquants ont récolté toutes les informations préalables,
ils mettent en œuvre le scénario de l’attaque tout en restant invisibles pour les
systèmes de protection. Généralement, les cyberattaquants ne prendront pas
pour cible les ordinateurs dirigeants pour s’introduire dans le système informatique
de l’entreprise visée. Ils privilégieront ceux des employés moins importants
dans la chaîne hiérarchique, mais qui ont tout de même accès aux bons réseaux
de façon à moins attirer l’attention. Même si leurs ordinateurs ne disposeront
certainement pas des données sensibles intéressant le cyberattaquant, cela
leur permettra d’avoir un pied dans le système et à partir de ces ordinateurs,
d’accéder aux parties du réseau les plus importantes pour eux.
Ces APT ne sont pas mises en œuvre au hasard, mais viennent souvent d’un
commanditaire qui engage des cybercriminels afin d’attaquer une entreprise
particulière et lui fournir les informations récoltées dans le système.
Il est important pour toutes les organisations d’avoir conscience des failles qui
existent dans leur système. Les grandes entreprises ont d’ores et déjà débloqué
des moyens et pris des mesures pour assurer la protection de leur réseau.
Malgré toutes les protections que vous avez peut-être également prises, restez
attentif aux éventuelles failles qui subsistent. Aucun système n’est exempt de
failles et certaines ne peuvent pas être corrigées en raison d’un coût financier
trop important, par exemple.
Cette conscience des failles existantes doit se doubler d’une perception claire de
l’apparition régulière de nouveaux dangers. De la sorte, vous restez vulnérable,
tout en étant dans une logique d’amélioration continue. C’est en effet nécessaire,
car les cyberattaquants potentiels développent constamment de nouvelles
techniques sans pour autant que la réciproque existe du côté des entreprises
qui sont plus dans la réaction que dans la prévention.
Parmi les failles souvent laissées de côté, il y a le système de contrôle et

d’acquisition des données (Scada). Ce système de contrôle permet de superviser
les automates de production, de contrôler à grande échelle des équipements
gérant en temps réel un grand nombre de télémesures et de contrôler à distance
des installations techniques. Toutes ces données sont collectées grâce à des
capteurs qui permettent de connaître l’état de fonctionnement desdites
infrastructures, par exemple.
Je vous l’accorde, ce n’est pas le premier système auquel on pense en cas de

cyberattaques, mais s’ils sont pris pour cible et compromis, les dégâts peuvent
être conséquents.
À l’origine, ces systèmes de contrôle n’ont pas été pensés pour être reliés à des
réseaux comme Internet et forcément, lors de leur conception, aucune mesure
pour se protéger d’une cyberattaque n’a été mise en place. Lorsqu’ils sont une
cible de cyberattaques, les compromettre permet de provoquer, en une seule
attaque, d’importants dommages sur une chaîne de production.
À titre d’exemple, il est possible de perturber les chaînes de production d’un
nouveau modèle de voiture de marque X pour permettre à une entreprise
concurrente de devancer son concurrent dans la sortie de son modèle de gamme
similaire. Au-delà des industries classiques, on trouve également ces automates
dans des domaines pouvant s’avérer sensibles tels que la distribution d’eau ou
encore le transport de gaz ou d’électricité.
En 2015, le nord-ouest de l’Ukraine a connu une panne d’électricité plongeant
230 000 personnes dans le noir. Cette panne provenait d’un fichier Excel infecté
par un code malveillant, introduit dans le système du fournisseur d’électricité.
Ce code malveillant a ensuite pris le contrôle des Scada de ce fournisseur.
Grâce à cette prise de contrôle, les attaquants ont été en mesure de désactiver
à distance de nombreux postes électriques, entraînant cette panne généralisée,
considérée comme la première panne prouvée pouvant être attribuée à une
cyberattaque contre un Scada.
En Allemagne une usine fabriquant de l’acier a également connu une attaque
de son réseau informatique du fait d’une campagne de phishing qui a permis
aux agresseurs de s’introduire dans le système de l’usine, puis dans son réseau
industriel. Selon le rapport du bureau de la sécurité informatique allemande,
cette attaque a eu de lourdes conséquences sur « les modules de contrôle,
mettant à l’arrêt un haut-fourneau et causant des dommages majeurs ».
Tous les systèmes de ces entreprises stratégiques ou d’intérêt national sont
vulnérables, car, pour la plupart, ils ont été conçus bien avant que les outils
informatiques soient en mesure de les prendre pour cible. Ils fonctionnent
souvent avec des systèmes d’exploitation très anciens, comme Windows NT4
par exemple, pour lesquels les mises à jour ne sont plus prévues, ce qui les
rend vulnérables aux cyberattaques. Le problème est que nous ne sommes pas
toujours conscients de la vulnérabilité de ces systèmes dont la sécurité n’était pas
la priorité au moment de leur conception. Par exemple, nous étions beaucoup
moins éduqués sur la manière de choisir un mot de passe résistant à l’époque,
quand nous ne laissions pas le mot de passe par défaut.
Nous pouvons, et même nous devons, mettre en garde tous nos personnels sur
le fonctionnement et les risques liés à une campagne de phishing afin qu’ils ne
tombent pas dans ce piège qui pourrait donner accès à nos réseaux. Informez-les
également des risques et conséquences que ce genre d’actions peut générer,
sur les logiciels et les versions utilisés.
Attaquer un système Scada n’aura pas seulement des conséquences financières,

puisqu’une telle attaque peut également endommager gravement ce système,
voire détruire des équipements pouvant être stratégiques pour la survie d’une
entreprise, mais également pour un pays. Ces systèmes sont utilisés dans des
industries essentielles comme celles concernant le traitement de l’eau, les centrales
nucléaires, les services de transport, les usines pétrochimiques, etc.
Parmi les mesures pouvant vous permettre de déceler ces attaques, il y a l’analyse
des logs35, qui revient à mettre en place une surveillance de l’activité effectuée
sur le réseau afin de détecter les éventuelles activités anormales. En analysant
ce qui se passe sur votre réseau, vous pourrez différencier une activité normale
du début d’une attaque. Les spécialistes sont en effet en mesure d’identifier les
perturbations pouvant représenter des signes avant-coureurs d’une cyberattaque.

Tout, dans ces pages, est écrit en pensant au monde de l’entreprise, aux salariés
comme aux dirigeants. Nous n’allons donc pas vous dire que cette partie est
plus importante que le reste… En revanche, nous n’en résumerons pas le
contenu pour vous inciter à lire, relire et faire connaître son contenu de tous
au sein de votre organisation.
Certes, vous n’en deviendrez pas pour autant invincible, mais vous protégerez
votre structure de bien des dangers…
2.2.3 De plus en plus de risques
AVANT DE PLONGER
Il ne vous a pas échappé que les objets connectés sont de plus en plus
communs, certains ayant déjà intégré notre quotidien. Pourtant, ces derniers
constituent une nouvelle forme de menace, qu’il s’agisse des montres
connectées, des enceintes connectées, voire des réfrigérateurs connectés.
Selon les estimations, il y avait 7 milliards d’objets connectés en 2018 et il y
en aura 21,5 milliards en 2025, dans le monde.
La multiplication de ces objets connectés augmente les risques de vulnérabilité,

puisqu’ils ont la réputation de ne pas être très bien sécurisés. En effet, au moment
de leur conception, l’objectif est surtout de minimiser les coûts afin de les rendre
accessibles et la sécurité a indéniablement pâti de ce choix. Il en découle une faille
fort intéressante pour les attaquants dans la mesure où elle donne accès à une
source très précieuse de données personnelles qui peuvent leur être très utiles.
35 Journal regroupant tous les événements d’un système informatique de manière chronologique.
Ces objets ont très facilement intégré notre quotidien et notre vie personnelle,
certains nous accompagnant quelle que soit notre activité. Lorsqu’on possède une
montre connectée, on la porte le plus souvent au quotidien et sans discontinuer.
Notre montre dispose donc de toutes nos données relatives à notre santé,
qu’il s’agisse de notre sommeil, de nos activités sportives, de notre fréquence
cardiaque, etc. Accéder à ces données peut être une violation certaine de notre
vie privée, mais notre montre, si elle dispose d’un GPS, peut également être
utilisée pour nous suivre à la trace. Nous vivons dans un paradoxe, en disposant
d’outils pour améliorer ou faciliter notre quotidien, dont nous ne mesurons pas
forcément les risques.
Ce risque est encore accru lorsque ces objets mal sécurisés sont liés à nos
moyens de paiement.
Les smartphones sont également une source possible de cyberattaques.

Nous en avons tous un et ils sont souvent fort peu sécurisés, voire pas du tout.
Une attaque ressemblant au phishing est particulièrement répandue parmi les
cyberattaques contre les smartphones. Il s’agit d’imiter le plus fidèlement possible
une application existante afin de récupérer les informations personnelles, voire
bancaires d’une personne. Ces pièges sont conçus avec une porte dérobée qui
permet à l’attaquant d’effectuer son méfait.
FaceApp a fait l’objet de cette ruse via une seconde application, FaceApp pro.
Celle-ci prétendait donner accès gratuitement à toutes les fonctionnalités de
la première, alors que l’application FaceApp était payante.
En plus de l’espionnage et du vol de données que peuvent faciliter ces

informations, il est également très difficile de déceler qu’il s’agit de fausses
applications ; de nombreux individus peuvent donc se faire duper. Ce procédé
de copie des applications est particulièrement à la mode, il mise sur le manque
de vigilance des utilisateurs.
Chaque smartphone peut en outre être contaminé par un malware permettant

de récupérer les SMS que l’on envoie, d’avoir accès à nos données, et même
d’écouter nos appels. Concrètement, nos smartphones peuvent subir des
cyberattaques extrêmement similaires à celles pesant sur nos ordinateurs.
Il est tout à fait possible de les contaminer tous deux avec des enregistreurs de
frappe, ou de pirater les caméras de ces appareils afin de vous espionner sans
que vous vous trouviez le héros d’un film de James Bond.
Il est tout à fait possible d’installer un antivirus sur votre smartphone, il en existe
plusieurs, tout comme pour les ordinateurs. Il faut tout de même être attentif
aux applications que l’on télécharge, notamment en vérifiant qu’elles sont notées
par certaines personnes et en ne les téléchargeant que sur le Google Play Store
ou sur l’App Store. Une application ayant une autre origine sera sûrement source
de dangers pour vous. Et n’oublions pas que nos smartphones aussi ont besoin
d’être mis à jour – qu’il s’agisse des mises à jour des applications que vous
installez, mais aussi du système de votre smartphone.
Le manque de sécurité de ces instruments et l’ingéniosité des attaquants pour

déceler et exploiter des failles rendent ces objets extrêmement dangereux,
d’autant plus qu’un grand nombre sont destinés à être utilisés par des familles,
ou même par des enfants. Pour eux, comme pour les personnels sensibles,
il est important de mettre en place une éducation aux risques inhérents à ces
objets. Ainsi, il sera possible de faire adopter par leurs utilisateurs des précautions
de base comme changer régulièrement de mot de passe ou encore penser
à paramétrer correctement les mesures de sécurité de leurs comptes.
Nous sommes tous concernés par la faible sécurité de ces objets, et même les
plus sensibles aux exigences de sécurité peuvent se retrouver piégés. Ainsi les
trajets effectués par des militaires dans leur vie personnelle et dans leur vie
professionnelle ont pu être retracés à partir de leur montre connectée. On mesure
ce qu’une personne mal intentionnée pourrait faire à partir de telles données
offertes en toute innocence par des personnes pourtant aguerries à la prévention
des risques.
Ce n’est qu’un exemple des possibilités qu’offrent ces objets connectés, brouillant
les frontières de la vie privée et permettant d’obtenir des informations auxquelles
nul n’aurait pu avoir accès auparavant.
Il n’est pas question d’abandonner notre smartphone pour revenir à un téléphone

à clapet des années 2000, mais d’être lucides sur les risques qu’ils engendrent afin
de pouvoir nous protéger. Par exemple, on peut décider que les smartphones ne
sont pas les bienvenus lors de nos réunions stratégiques majeures. Chacun doit
prendre les dispositions qui lui conviennent en fonction des risques pesant sur
lui et des moyens qu’il peut déployer.
Nous sommes tous concernés par ces risques, tant dans le milieu professionnel
que dans notre vie personnelle. Chaque strate de la société devient vulnérable
et il est important que chacun en prenne conscience afin de se protéger et d’agir
avec le plus de sécurité possible.
La sensibilisation et l’éducation aux risques cyber de tous les citoyens, chacun

à son niveau, sont essentielles pour diminuer la prise de risque et faire adopter
des comportements moins dangereux dans leur quotidien, mais également sur
leur lieu de travail. Cela permettrait également aux cyberattaquants d’avoir
moins d’opportunités pour agir, notamment lorsqu’ils s’appuient sur la défaillance
humaine pour parvenir à leurs fins.

Au moment où nous écrivions ces lignes où il est question des risques existant
du fait de nos smartphones, nous n’avions pas encore connaissance de l’affaire
Pegasus. Vous l’êtes désormais certainement, comme nous, mais ce n’est
pas une raison pour se dire qu’il n’est pas possible de se prémunir sans jeter
son smartphone. Relisez ce que nous vous expliquons dans ces lignes pour
alimenter vos actions de sensibilisation.
2.2.4 Mais qui m’attaque ?
AVANT DE PLONGER
Le cyberespace est un monde qui ressemble, d’une certaine manière, à une
pièce de théâtre où tout le monde avance masqué, voire en cherchant à se
faire passer pour autrui. Pour vous en convaincre, venez avec nous dans le
brouillard cyber.
Contrairement à une arme classique, on ne voit pas qui détient l’arme cyber au
moment de s’en servir. L’attribution d’une cyberattaque n’est donc pas chose
simple. Pourtant, dans certaines situations, cela peut s’avérer nécessaire pour
d’éventuelles « représailles » (actions en justice dans le domaine « commercial »,
voire plus au niveau étatique).
Reste qu’une fois cette posture adoptée, affirmée et affichée, rien n’est réglé.
En effet, même lorsqu’un groupe cybercriminel revendique une action, comment
être sûr qu’il s’agit bien de l’auteur de l’attaque ? Des idées préconçues peuvent
nous guider dans une direction qui se révélera erronée par la suite.
Dans tous les cas, il s’avère de plus en plus difficile de savoir si l’auteur agit
pour son propre compte, pour un commanditaire ou encore, dans une sorte de
billard à double, voire triple bande pour faire porter la responsabilité par un
autre acteur…
Il importe donc de prendre garde avant d’attribuer la paternité d’une attaque

à un groupe, si la finalité n’est pas clairement établie.
Les concepteurs d’outils antivirus et les organisations gouvernementales

connaissent la signature de certains groupes auxquels ils ont déjà dû faire face,
mais si nous avons ce savoir, les cyberattaquants l’ont aussi ! Si un cybercriminel
connaît la signature d’un autre groupe, il peut l’utiliser afin de se faire passer pour
l’un de ses rivaux. C’est également un moyen pour les cybercriminels d’induire
en erreur les enquêteurs sur l’origine de la cyberattaque.
L’attaque contre TV5 Monde permet d’illustrer cela. Les premières constatations
laissaient à croire que l’attaque venait du Cyber Caliphate, un groupe de pirates
informatiques prétendant être liés au groupe islamique Daesh, en raison de l’évident
soutien que les messages publiés apportaient à leur cause. Or, les investigations
ont prouvé que ce n’était pas le cas – mais il aurait été facile de s’en tenir à une
accusation désignant de façon trop évidente le mauvais coupable. Ces investigations
plus poussées ont pointé du doigt des groupes russes, du fait de traces spécifiques,
telles que des traces de russe dans le code, d’horaires de création de certains
logiciels ou encore des réglages de langue.
Sans devenir paranoïaque, on peut aussi imaginer laisser à dessein de tels

indices pour orienter vers tel gouvernement. Vous l’avez compris, il est donc
difficile d’attribuer avec certitude une attaque à son véritable auteur. L’écriture
d’un code dans une langue particulière peut donc être une façon de mettre les
enquêteurs sur une mauvaise piste.
Pour cette raison, il ne faut pas s’arrêter aux premiers indices, mais en réunir
tout un faisceau permettant de désigner un éventuel coupable.
Réunir ce faisceau d’indices est compliqué et incombe aux enquêteurs désormais

de plus en plus spécialisés de la police ou de la gendarmerie. Reste que malgré
le travail très technique et international qu’ils mènent, il est extrêmement
difficile, voire impossible parfois, d’attribuer avec certitude la paternité d’une
action de ce type. Il faut dire que les criminels sont extrêmement compétents
pour dissimuler leurs méfaits et que la volonté de coopérer est parfois faible
dans certains pays.
Ainsi, en France, l’Assemblée nationale relevait en 2018 qu’ : « Une conséquence

majeure de cette difficulté ́ d’attribution est de rendre partiellement inopérants
les mécanismes de défense collective existants : article 51 de la Charte des
Nations unies, article 5 du traité de l’Atlantique Nord, article 42-7 du traité sur
l’Union européenne. »
Pour que ces articles s’appliquent, il faudra sûrement des attaques d’envergure
engendrant des pertes matérielles, informationnelles importantes. Ce genre
d’attaques pourraient même faire des victimes humaines.
Les attaquants ont également intégré l’intérêt stratégique à brouiller les pistes
de l’origine de l’attaque pour faire accuser un groupe ou un pirate en particulier.
Se faire passer pour un autre groupe d’attaquants permet, classiquement,
d’induire en erreur une autre partie et potentiellement de l’inciter à des représailles
contre le mauvais groupe, voire le mauvais État.
Israël a ainsi répondu à une cyberattaque du Hamas par un bombardement aérien.

Si cette attaque n’était pas réellement venue de cette organisation, mais d’un autre
pays désireux d’envenimer les relations, alors une réaction trop rapide, mise en
œuvre sans recherches approfondies préalables, aurait pu avoir des conséquences
désastreuses. Comme dans la « vraie vie », il faut prendre le temps de réfléchir et
ne pas se laisser guider par des pistes trop évidentes et quasi suggérées.
Si l’on subit une attaque, nous ne devons pas être trop prompts à accuser l’un
de nos concurrents, il ne s’agira peut-être pas de lui, mais d’une tierce partie
cherchant à nous égarer. Si une personne est prête à nous déstabiliser ou nous
voler via une cyberattaque, il ne sera pas difficile de faire croire que cette
attaque ne vient pas d’elle. Les cyberattaquants laissent des traces lorsqu’ils
nous attaquent, il est tout à fait normal qu’ils ne veuillent pas être identifiés.
S’ils le peuvent, ils laisseront des traces menant vers d’autres pirates pour garantir
leur propre sécurité autant que pour nous mettre sur une fausse route.
Le directeur général de l’ANSSI mettait en garde sur ce point après une attaque
de Fancy Bears : « Il est clair que c’est un mode opératoire classique de Fancy
Bears, mais je me garderais bien de faire une attribution formelle, car il est
parfaitement envisageable que d’autres groupes, de niveau élevé, aient pu se
faire passer pour eux. » De même, Feike Hacquebord, de la société Trend Micro,
confiait également son ressenti : « Nous en sommes arrivés au point où la
fabrication de preuves est possible. »
L’attribution des cyberattaques est particulièrement délicate. Parfois, il est
même impossible d’attribuer la cyberattaque à un auteur précis et l’on doit se
contenter de soupçons.
Outre le traumatisme que ressentent les victimes de cyberattaques, qui peuvent
se sentir totalement perdues, il peut être très difficile pour elles de se dire que le
coupable ne sera peut-être jamais démasqué et donc jamais condamné. Si après
une cyberattaque, elles décident de prendre des mesures de représailles, elles
ne peuvent pas être sûres de s’en prendre au bon adversaire et risquent ainsi
de tomber dans un éventuel piège de son agresseur.
C’est encore pire lorsque les victimes sont « seulement » espionnées ou manipulées
en toute discrétion par les cybercriminels, dans ce cas elles n’ont même pas conscience
d’être des victimes. Il est alors impossible de savoir d’où vient cette attaque.
C’est le cas par exemple lors de campagne de manipulation sur les réseaux sociaux
ou de propagation de fake news. C’est aussi le cas avec l’utilisation détournée
– révélée au grand public à l’été 2021 – du logiciel Pegasus par un certain nombre
de gouvernements. La version actuelle de ce logiciel d’espionnage a, semble-t-il,
fortement évolué au fil des années. En effet, en 2016, un opposant au régime en
place aux Émirats arabes unis (EAU) avait reçu un SMS qui lui avait semblé suspect.
Ce message lui demandait d’activer un lien hypertexte. Sa situation personnelle

l’avait poussé à faire analyser son smartphone par des chercheurs spécialisés d’un
laboratoire canadien (Citizen Lab). Celui-ci s’était avéré infecté par un logiciel
espion qui utilisait déjà des failles du navigateur d’Apple (Safari). Pegasus était
beaucoup moins évolué qu’aujourd’hui puisqu’il nécessitait alors une action du
possesseur du smartphone pour s’installer.
Mais laissons ces actions de cyberespionnage menées par les États pour revenir
aux « vrais » pirates…
Ceux-ci sont également tout à fait capables de couvrir leurs traces, de dissimuler
leurs actions autant que leur identité. Cela les rend d’autant plus dangereux,
car outre le fait qu’ils usent de moyens discrets, voire invisibles, pour nous
attaquer, ils nous privent de mettre un nom sur notre agresseur et peut-être de
la possibilité de comprendre pourquoi nous avons été attaqués.
On a tendance à croire que les cyberattaquants veulent forcément dissimuler leur

identité, comme dans un crime classique. Mais les pirates veulent-ils forcément
se cacher de nous ? Pas forcément. Certains souhaitent être connus et reconnus
pour leurs actions et pour cela, ils peuvent laisser des indices permettant de les
soupçonner. S’il est vrai que la plupart d’entre eux n’affichent pas clairement
la paternité d’une attaque, cela ne vaut pas pour tous. Par exemple, le groupe
Netwalker a revendiqué la cyberattaque qui a visé la ville de La Rochelle.
Évidemment, on ne peut pas croire une telle revendication sans le moindre
élément pour la corroborer. Il faut que le groupe ou le pirate revendiquant
l’attaque puisse prouver d’une manière ou d’une autre sa connexion. Dans le cas
de Netwalker, ils ont diffusé des informations récupérées sur les réseaux de la
ville de La Rochelle relatives au service « petite enfance » et à la direction des
ressources humaines. Ainsi ces derniers prouvaient leur lien avec cette attaque
et permettaient d’inscrire sa réussite à leur tableau de chasse. En effet, pour être
respecté, un pirate ne doit pas être inconnu, il doit pouvoir se prévaloir de ses
actions passées et des systèmes qu’il a réussi à pénétrer.
Ceux qui ne veulent pas revendiquer pleinement une attaque peuvent tout de
même laisser quelques traces afin d’amener à penser qu’ils sont à l’origine de
l’attaque. Reste qu’il s’agit d’un exercice d’équilibriste, car ils doivent veiller
à ne pas laisser trop d’indices, ce qui pourrait amener les autorités de police
à les poursuivre.
Il s’agit d’un délicat équilibre entre le besoin de notoriété, source d’influence et

de positionnement dans leur « hiérarchie », et le risque de poursuites judiciaires.
Si nous laissons de côté cette question – non négligeable – d’ego, reste une
dernière interrogation : à qui profite le crime ?
En effet, comme nous le savons maintenant, le cybercriminel peut agir pour

son compte, pour des mafieux ou encore – directement ou indirectement –
pour le compte d’un gouvernement. On peut même pousser plus loin, en affirmant
qu’un même hackeur pourra indifféremment vivre les trois situations…
Lorsqu’il agit pour le compte d’un gouvernement, l’intérêt de ce dernier, à de rares
exceptions, ne sera pas financier, mais stratégique.
L’arme cyber a en effet permis de faire revivre la guerre froide dans le cyberespace.
Ainsi, « on » intimide tel pays en provoquant une gigantesque panne de courant
ou en s’en prenant à une cible symbolique pour la population, mais pas préparée
au risque cyber.
Si nous laissons de côté les cibles et les dégâts, vous serez d’accord avec moi qu’il
est difficile, dans ces différents cas de figure, de répondre aisément et rapidement
à la question : « Qui m’attaque ? » Ce sera encore plus vrai demain, car – tous
les spécialistes de la cybercriminalité le disent – la professionnalisation de cet
« écosystème » va grandissant, avec la commercialisation de services toujours
plus pointus comme le feraient de grands groupes de prestations de service.

Pour les cyberattaquants, il y a donc un jeu d’équilibre entre laisser des traces
de leur passage ou agir dans la plus grande discrétion. Selon les pirates,
les cibles et les enjeux, le choix sera différent. Aucune règle stricte ne s’impose
dans ce domaine. Par ailleurs, cette arme agit avec une grande furtivité et
une bonne dose d’anonymat qui nous empêche de réagir promptement et
précisément. Un brouillard continue à entourer cette arme, même si parfois la
finalité de telle ou telle attaque permet de pointer un doigt accusateur dans
une direction précise.
2.2.5 L’arme cyber ne va nulle part

AVANT DE PLONGER
Bien évidemment, les motivations des cyberattaquants seront différentes en
fonction des attaques. Ils ne sont pas différents des criminels traditionnels,
aussi variés qu’il y a de crime, chacun obéissant à une motivation différente.
Au quotidien, les hackeurs nous semblant le moins dangereux sont sûrement ceux
qui désirent seulement se prouver à eux-mêmes, et aux autres, qu’ils sont capables
d’accéder à différents systèmes. S’ils vous attaquent, c’est probablement par
hasard ou parce que votre système présente certaines particularités auxquelles
ils veulent se confronter. Il peut s’agir d’une protection originale dont vous
disposeriez ou de la manière dont votre système est conçu.
Le but de votre attaquant sera seulement, par pur jeu intellectuel, de trouver une
faille dans votre système ou de casser vos protections, mais il ne vous causera
pas de véritable nuisance. Évidemment, cette attaque provoquera quelques
dégâts devant être réparés dans vos systèmes, mais le but défini n’est pas de
vous nuire. Ici, c’est le défi technique qui compte.
Des cybercriminels peuvent également utiliser nos serveurs comme s’ils étaient les
leurs, agissant en quelque sorte comme des squatteurs numériques. Dans ce cas,
le cyberattaquant souhaite s’insérer dans notre réseau pour profiter de notre bande
passante. C’est un peu comme utiliser à son insu le réseau WiFi de son voisin, car
il est de meilleure qualité. L’objectif n’est pas de causer du tort, mais simplement
de contourner quelques règles et systèmes de sécurité. Ce n’est pas du tout
légal, mais encore une fois, les conséquences sur votre entreprise seront limitées.
Reste que la majorité des cyberattaques ont un but crapuleux. Il s’agit d’un vol qui
peut être de nature financière, mais pas que. Il peut aussi s’agir de voler des secrets
industriels, de fabrication, mais aussi des données personnelles ou commerciales.
Le vol est courant dans le cyberespace. Nos ordinateurs, nos téléphones,
nos appareils connectés, tous sont vulnérables et pourtant remplis de données
personnelles ou sensibles qui intéressent nos agresseurs. Ces derniers peuvent
commettre ces vols pour revendre ces informations, pour nous nuire, nous faire
chanter ou tout simplement pour assurer leur propre satisfaction. Les motifs de
vol sont extrêmement variés et continuent à se développer.
Certains vols seront très spécifiques, notamment ceux concernant le vol de nos
coordonnées bancaires. Vous l’avez compris, le but est purement de voler nos
accès pour ensuite pouvoir nous dépouiller, c’est un classique. Le vol de carte
bleue, de portefeuille, de bourse, etc., existe depuis toujours, il est tout à faire
logique que les criminels poursuivent leurs opérations avec des moyens cyber.
L’arme cyber est également en mesure de troubler le fonctionnement d’un service
ou d’une entreprise, ce qui représente une avancée certaine pour les cybercriminels.
Hormis la nécessité d’une approche psychologique fine dans certains cas, ils n’ont
plus besoin d’élaborer des scénarios complexes pour agir, ils peuvent se contenter
de perturber le fonctionnement des ordinateurs, de la climatisation, des téléphones
de l’équipe qui leur pose problème. Les cybercriminels peuvent très bien décider
de couper l’électricité d’un de vos bâtiments ou d’éteindre à distance certaines
machines. Ne vous méprenez pas : ici vos agresseurs auront probablement besoin
pour agir d’avoir accès aux alentours de votre entreprise. La sécurité physique de vos
bâtiments ne doit pas être distinguée de la sécurité de vos réseaux informatiques.
Parfois, des cyberattaquants vous prennent pour cible afin de s’aider eux-mêmes.
C’est le cas par exemple d’une attaque par déni de service où les attaquants ont
besoin de créer un réseau d’ordinateurs zombies qui va leur fournir la protection
et la bande passante nécessaires pour donner de la puissance à l’attaque.
Il est fort probable que parmi vous, lecteurs, certains aient connu des
ralentissements de leurs ordinateurs, car une partie de ses capacités étaient
utilisées pour attaquer une autre cible. Les cyberattaquants profitent ainsi d’une
faille dans votre réseau qui va leur servir pour leur véritable attaque.
Les cyberattaquants peuvent également utiliser les attaques par rebond, c’est-à-
dire qu’ils utilisent un intermédiaire dans leur attaque. Cette technique permet de
donner l’impression que l’attaque vient d’un ordinateur situé dans une région X
alors que ce n’est pas du tout l’ordinateur du pirate, mais seulement l’ordinateur
derrière lequel il se cache pour ne pas être repéré.
Vous comprenez aisément que protéger votre ordinateur personnel, et professionnel,
permet d’éviter de vous rendre complice, sans le savoir, d’une cyberattaque.
L’arme cyber permet de servir de nombreux objectifs et ses caractéristiques
confèrent des avantages à ses utilisateurs. Si l’on compare l’arme cyber aux armes
traditionnelles, sa modernité lui confère un premier avantage. Elle permet de
multiplier les effets d’échelle et ainsi d’augmenter drastiquement les gains d’une
cyberattaque sans pour autant faire d’efforts supplémentaires. Leurs auteurs
prennent certes des risques à utiliser cette arme, mais les gains sont plus
importants, ce qui est un pari attractif pour les cybercriminels.
Avec un seul code, vous pouvez réaliser un vol de petite envergure, voire une
série de petits vols, mais aussi décider de l’utiliser pour récolter des millions de
dollars. En 2016, des pirates se sont introduits dans le système informatique de
la banque centrale du Bangladesh et ont ainsi pu subtiliser le certificat nécessaire
pour autoriser les transferts de fonds et, ensuite, dérober 81 millions de dollars.
Sans conteste, cette opération a été un succès pour les pirates et la méthode
utilisée, voire peut-être le code informatique, pourrait servir de base pour une
autre attaque construite sur le même modèle.
Ces armes présentent également l’avantage de se propager extrêmement
facilement et rapidement, ce qui n’est pas possible avec une arme classique.
En lançant une campagne de phishing ou un ransomware, ces logiciels malveillants
pourront facilement se répandre, et ainsi atteindre un plus grand nombre de
victimes. Si plus de victimes sont touchées, les gains sont plus importants,
l’attaque est un plus grand succès, plus de données sont subtilisées, etc.
Ces armes ont souvent une courte durée de vie, elles profitent d’une faille
dans un système et une fois exploitée, cette faille est révélée. Ensuite, elle sera
certainement comblée et l’arme qui avait été conçue pour l’utiliser est inutile.
C’est pour cela que les pirates recherchent toujours de nouvelles failles, pour les
exploiter ensuite. En cela, n’importe qui peut utiliser l’une de ces armes, il n’y a
pas de prérequis ou de barrières empêchant un nouveau venu de développer
sa propre arme cyber.
Ces armes nécessitent tout de même un temps de préparation pouvant être

important avant d’être utilisées. Une arme classique est « prête à l’emploi »
une fois qu’elle sort de l’usine et peut servir pendant plusieurs années. Une arme
cyber est plutôt conçue en fonction du but pour lequel elle sera utilisée et selon
ce but, il faudra une arme plus ou moins complexe avec un travail de conception
plus ou moins fastidieux. Certaines armes mettent des années avant d’être
prêtes, il faut identifier la faille utilisée, trouver comment répandre cette arme,
penser son mode d’action, etc. Ce n’est pas à la portée de chacun. Mais une
fois prête, son usage a des conséquences instantanées. Souvent, on ne prend
conscience que l’on subit une attaque qu’une fois qu’elle s’est produite – il est
possible de la détecter, mais régulièrement elle passe entre les mailles du filet.
L’arme cyber correspond parfaitement à des actions asymétriques, elle ne demande
pas d’importants moyens pour exister, elle peut être utilisée par pratiquement
tout le monde, peu importe son origine ou ses moyens. Heureusement pour nous,
les outils de défense sont également largement disponibles. L’offre d’antivirus et
de pare-feu est importante et l’on peut facilement apprendre à nous comporter
de manière à limiter les risques auxquels nous nous exposons.
Si l’arme cyber ne ressemble pas à nos armes traditionnelles, elle permet de
créer des situations handicapantes pour la victime, mais sans pour autant la
détruire totalement et en limitant le niveau de létalité.
L’arme cyber est également un nouveau moyen pour nos États d’éviter la guerre
en l’utilisant pour atteindre des objectifs géopolitiques qui leur sont précieux
tout en restant en temps de paix. Cet état de fait pourrait ne pas durer si les
États utilisaient cette arme les uns contre les autres – il n’est pas impossible
que, dans le futur, l’utilisation d’une telle arme puisse déclencher une guerre
traditionnelle. Sans en arriver là, l’utilisation des armes cyber présente un danger
certain lié au manque de contrôle que l’on a sur elles.
Il n’est pas possible de contrôler la manière dont l’arme cyber va se propager et
même si elle ne doit viser qu’un système précis, rien ne peut garantir qu’elle ne
contaminera pas d’autres systèmes en raison d’une erreur dans sa programmation
ou d’une action humaine. Si l’on me donne, à mon insu, une clé USB contaminée
pour que je la branche sur mon ordinateur de travail, rien ne dit que je ne vais
pas également la brancher sur mon ordinateur personnel ou sur celui de l’un de
mes amis, par exemple. Ainsi un code qui ne devait infecter qu’un ordinateur
d’entreprise va se répandre en dehors de cette entreprise et, selon le code en
question, cela peut avoir des conséquences dramatiques.
De même, s’il s’agit d’un ver ou d’un virus, ceux-ci se reproduisent afin de
contaminer un plus grand nombre d’ordinateurs on ne peut pas savoir quel
ordinateur sera contaminé et lequel sera épargné. Ici, on navigue à l’aveugle et
certains auront la chance d’être épargnés, et d’autres non.

Si vous n’êtes pas un informaticien chevronné, et si l’on vous présentait une
arme cyber, vous n’y verriez certainement qu’un programme informatique.
Normal, car il est difficile de comprendre un texte dont, souvent, on ne maîtrise
pas l’alphabet… Et puis, parler d’arme peut sembler hors de propos. Si l’on
veut rester sur un vocabulaire guerrier, parlons plutôt de guerre asymétrique,
d’arme asymétrique. C’est l’arme du « pauvre » ou du faible, une arme
silencieuse qui contamine à bas bruit, avant que n’explose la vérité, de la
demande rançon à la destruction – voire la revente – de fichiers importants…
2.2.6 Quand l’entreprise se fait complice
AVANT DE PLONGER
Dans la première partie de ce chapitre, nous nous sommes intéressés à celles
et ceux qui utilisent l’arme cyber avant, dans la seconde partie, de passer au
« pourquoi cette arme ? ». Et, si les entreprises – les organisations au sens
large – sont omniprésentes parce qu’étant des cibles de choix, plus faciles
à rançonner qu’un particulier, certaines d’entre elles sont loin d’être des
victimes. Au moment où nous écrivons ces lignes, l’actualité mondiale – excusez
du peu ! – a mis en lumière une entreprise israélienne commercialisant un
logiciel permettant d’espionner des personnes, qu’elles soient chefs d’État,
ministres ou encore chefs d’entreprise, journalistes et même opposants
déclarés à certains régimes pas très démocratiques.
Il s’agit de l’affaire Pegasus, du nom du logiciel incriminé, et cette affaire est

intéressante à un triple titre :
 en premier lieu, elle démontre que les actions malveillantes menées dans
le cyberespace ne sont pas seulement adossées à des programmes créés
par de groupuscules adeptes du racket ou menant des actions pour des
États. Dans le cas de Pegasus, il s’agit d’un logiciel d’espionnage cyber
créé par une entreprise ayant pignon sur rue et vendant ses logiciels à des
gouvernements ;
 en deuxième lieu, les attaques cyber menées avec l’aide de Pegasus ne
visent que des smartphones et c’est important de le souligner. En effet,
à un moment où les organisations commencent à se soucier de protéger
leur informatique et les ordinateurs qui le composent, de plus en plus de
données – sensibles ou non – circulent via nos smartphones. Attention donc
à cette fragilité potentielle que constituent nos smartphones ;
 enfin, troisième point, ce logiciel considéré comme une arme numérique

ne peut être exporté par l’entreprise conceptrice qu’après autorisation du
ministère israélien. A priori conçue et commercialisée pour lutter contre
le terrorisme et le crime organisé, elle est donc vendue en toute légalité,
dans l’état actuel du droit international.
Sans entrer ici dans les détails, il est intéressant de constater que ce logiciel espion
a évolué au même rythme que la technologie de nos téléphones, pour aboutir
aujourd’hui à une possible infection d’un téléphone, sans que son propriétaire
ait eu à répondre à un SMS, ouvrir une pièce jointe, etc. Ce logiciel utilise des
failles dites Zero Day, ce qui veut dire des vulnérabilités inconnues à ce jour par
les concepteurs et diffuseurs de logiciel.
Dans cette course à l’échalote permanente et mondiale pour trouver des failles
techniques utilisables, l’entreprise commercialisant Pegasus a un service de
recherche et développement dont le travail consiste à trouver ces failles et il
semble qu’elle achète toute trouvaille faite par des hackeurs.
Enfin, même si l’affaire Pegasus a fait grand bruit au début de l’été 2021,
il est important de noter que la création et la commercialisation d’une telle
arme cyber ne sont pas une première mondiale. Par exemple, l’Azerbaïdjan
faisait déjà l’acquisition d’un tel logiciel espion. En 2020, l’armée colombienne
était soupçonnée d’avoir acheté un tel outil à une entreprise espagnole…
Pour résumer le fonctionnement de la société NSO et la manière dont évolue

son logiciel phare, Pegasus, la figure qui suit synthétise cela en deux boucles.
La première illustre la manière dont NSO a structuré son travail, tel que l’a
expliqué le consortium de journalistes qui a enquêté sur ce logiciel. La seconde
se focalise sur Pegasus, le marché du logiciel espion.

Les recherches menées par certaines entreprises consistent clairement
à contourner les solutions de cryptage de nos échanges via des terminaux
numériques aussi basiques que nos téléphones. Les armes cyber qui en
découlent peuvent être détournées de leur objectif initial, à savoir la lutte
contre le terrorisme et le crime organisé. Dès lors, de nombreuses personnes
très éloignées, par exemple, du banditisme peuvent être l’objet d’attaques
cyber qui ne cesseront que lorsque l’attaquant le voudra…
Figure 2.2 NSO, Pegasus et son marché

En guise de conclusion
à cette première partie
L’organisation dont vous faites partie ou que vous dirigez évolue dans un
environnement que vous connaissez bien : un environnement fait de concurrents,
de clients, de fournisseurs et organisé avec des règles que vous pensez
maîtriser. Et puis, depuis une bonne dizaine d’années, il se trouve qu’elle évolue
– sans même le vouloir – dans un second monde, le cyberespace. Après vous
avoir emmené arpenter le cyberespace, vous avez découvert les armes créées
pour ce nouveau monde et leurs utilisateurs. Nous avons ensuite fait un point
– autant que cela est possible lorsque la matière est plutôt… « sensible » et
évolutive – sur les motivations de ces acteurs.
Arrivé là de votre voyage, vous avez conscience des risques inhérents à ce monde.
Le temps est donc venu de s’immerger dans « tout » ce que vous devez connaître
pour évoluer au mieux dans ce monde qui recèle à la fois des opportunités,
mais aussi des risques…
Ce « tout » que nous évoquons là ne doit pas vous donner envie de vous sauver
en courant, car il est structuré de manière à vous permettre de progresser à votre
rythme et puis, si besoin, de revenir à tel ou tel point précis, parce que vous
souhaitez mettre en œuvre tel outil, contacter tel organisme ou débroussailler
tel aspect pris en compte par notre droit.
Et puis, pour terminer à la fois sur une note concrète et enjouée, voici deux
exemples de ce à quoi le cyberespace nous confronte.
Si, lorsque nous trouvons un tel e-mail dans notre boîte de réception et si nous
sommes en relation professionnelle avec cette banque, nous pourrions être
tentés d’aller plus loin que sa simple ouverture. Mais après une soixantaine de
pages dans le cyberespace, j’espère que vous êtes devenu précautionneux et
là, il n’est pas difficile de flairer un piège un peu « lourd », presque insultant
par rapport à notre sagacité. Retenez quand même que, comme nous vous le
disions plus haut, ce genre de phishing est lancé à la volée dans le cyberespace
et certaines personnes se font encore prendre !
Pour commencer, il faut savoir qu’à côté des attaques très bien « montées », il y a
encore de nombreux pièges numériques grossiers. C’est le cas de cet e-mail
que j’ai reçu récemment :
Mais regardons bien, nous qui maintenant savons qu’un e-mail venant d’une
organisation avec laquelle nous n’avons pas de relation d’affaires peut s’avérer
dangereux…
Tout d’abord, l’objet assez énigmatique. Soyons sérieux, quand une banque
nous écrit, son représentant n’aura-t-il pas envie d’attirer notre attention par
un objet concret en rapport avec une affaire en cours ? Ensuite, autre indice, le
destinataire (ici effacé). Si nous remarquons qu’il ne correspond pas à notre nom,
il ne nous est pas destiné. On n’ouvre donc pas la pièce jointe (ici, a priori un
fichier compacté). Pas de curiosité déplacée ! Dernier point, l’émetteur de l’e-mail.
En guise de conclusion à cette première partie 119
En cliquant dessus, vous vous rendrez compte que c’est une personne inconnue.
Dès lors, vous avez suffisamment d’indices pour glisser cet e-mail dans votre
poubelle, ou le faire suivre à la personne en charge des risques pour qu’elle
sensibilise d’autres personnes…
Pour clore ce chapitre sur une note drôle, j’ai choisi de vous parler du piratage
d’enceintes sans fil, ces enceintes que nous disposons un peu partout chez
nous. Parmi les marques les plus connues, figure Sonos. Certains utilisateurs
ont eu la surprise d’entendre chez eux le son de portes qui claquent, un bruit
d’eau, des rires ou des pleurs. Cela s’explique par le piratage de ces systèmes
utilisant Internet.
Cela ressemble à une blague potache, c’est vrai.
Pour autant, certains chercheurs ont utilisé ce mode de piratage pour faire
émettre à une enceinte Sonos des commandes vocales exécutables par Alexa,
l’assistant personnel développé par Amazon. C’est là que le côté drôle de la
chose s’efface. En effet, Alexa peut être utilisé en domotique pour fermer et
ouvrir des serrures…
Je vous laisse aller vérifier la bonne fermeture de vos portes et on se retrouve

à la page suivante pour la seconde partie de notre voyage. À tout de suite…
Partie II
Après le constat
du danger, quelle
cyberprotection ?
3
Construire
notre protection
3.1 De l’hygiène et du besoin de protection
3.1.1 De nouvelles pratiques pour des risques
de plus en plus importants
AVANT DE PLONGER
L’usage de plus en plus courant de l’outil numérique fait grandir les risques
pesant sur nous et certaines pratiques sont plus dangereuses que d’autres.
Qu’il s’agisse d’emporter son ordinateur ou tout autre périphérique personnel
au travail, du télétravail, des voyages d’affaires, ces pratiques devenues
courantes sont source de nouveaux dangers.
En 2020, au cours d’une pandémie mondiale, nous avons connu quatre fois
plus de cyberattaques qu’auparavant, selon les estimations de Gérôme Billois,
expert en cybersécurité au cabinet de conseil Wavestone.
Les cybercriminels inventent chaque jour de nouvelles armes pour leur propre
usage ou pour les vendre. Ainsi avec des modalités variables dans notre vie
personnelle, mais surtout professionnelle, nous sommes des cibles potentielles
souvent fragiles.
Les évolutions technologiques que nous avons connues ces dernières années sont
à l’origine de notre vulnérabilité avec notamment des ordinateurs portables plus
performants que nos ordinateurs de bureau, des tablettes qui se sont multipliées,
des objets connectés qui irriguent tous les pans de notre vie. Chacun d’entre
eux engendre de nouvelles difficultés que nous et nos organisations devons
apprivoiser. J’adore mon ordinateur portable, il est performant, léger, je suis
plus à l’aise qu’avec mon ordinateur fixe de bureau, donc pourquoi ne pas
l’utiliser au travail ? Après tout, si c’est plus confortable pour moi de travailler
avec celui-là, alors je serai plus efficace, et qui n’aime pas un employé efficace ?
Malheureusement, comme souvent, les choses ne sont pas si simples.
Le BYOD
Le fait d’apporter son propre matériel au travail est plus communément connu
sous l’acronyme BYOD (bring your own device). Cette pratique ne peut pas se
mettre en place de façon sauvage, elle doit être encadrée, car utiliser son matériel
personnel crée une brèche de sécurité. En effet, nos ordinateurs personnels sont
souvent moins bien sécurisés que ceux présents sur notre lieu de travail. Une large
partie du travail des services informatiques est d’assurer la sécurité de notre
réseau et des machines qui la composent. Quand vous introduisez une nouvelle
machine dans l’entreprise, elle doit respecter les mêmes règles et le même
niveau de sécurité que celles déjà présentes. Elle doit être considérée comme
une nouvelle « brique » du système d’information de l’entreprise, sauf à accepter
d’en diminuer le niveau de protection global.
C’est pour cela qu’autoriser ou non l’utilisation de ces outils personnels est un
choix offert à chaque employeur. Il est possible d’interdire l’utilisation de ces
outils ou de les autoriser selon certaines conditions que vous êtes libres de définir.
Dans les organisations structurées et dotées d’une direction des services

d’information (DSI) digne de ce nom, le BYOD est une pratique connue et souvent
interdite ou, au minimum, encadrée. Dans les PME, voire les petites entreprises,
l’approche est souvent différente. Il n’y est pas rare de voir le BYOD, comme
nous l’expliquions plus haut, comme un moyen « peu onéreux » de favoriser la
motivation et même la productivité des salariés. À notre sens, c’est une vision
à trop court terme pour la laisser prospérer sans s’interroger.
Aux dirigeants et cadres de ces petites entités, nous ne pouvons que conseiller de
ne pas considérer ce comportement comme anodin. Au minimum, cette pratique
doit être anticipée (sensibilisation, note de service, etc.) et – si elle est acceptée –
mise en œuvre selon des procédures claires et, le cas échéant, assorties de
sanctions. Le plus simple, en l’absence de DSI ou de service informatique sur
lesquels vous appuyer, est de consulter le prestataire informatique avec lequel
vous travaillez. Ce dernier saura vous mettre en garde contre les risques de
faire coexister dans une même structure des postes de travail sécurisés et
d’autres… moins ! Ce prestataire saura vous accompagner dans la mise en
place de procédures d’intégration de ces appareils « extérieurs », nécessaires
garde-fous, si vous estimez utile au fonctionnement de votre organisation de
permettre à certains employés d’utiliser leurs machines personnelles.
Cette logique vaut autant pour les ordinateurs que pour les tablettes ou encore
pour les smartphones. À propos de ces derniers, qui sont dans les poches de
tout un chacun aujourd’hui, permettez-nous une mise en garde particulière.
Construire notre protection 125
En effet, ceux-ci permettent souvent de contourner les limites utilisées, au sein

d’une entreprise ou d’un établissement d’enseignement, pour interdire la
connexion sur tel ou tel type de site Internet ou réseau social. Ce sont donc
des portes ouvertes à tous les vents et donc aux « vents mauvais ».
Et puis, puisque nous évoquons le secteur de l’enseignement, il faut savoir que

c’est une cible de choix et – par ricochet les entreprises partenaires – pour les
hackeurs. Ainsi, Serge Portella expliquait au Journal Le Monde 36 que : « 80 %
des connexions extérieures vers le réseau de l’université [Aix-Marseille université]
sont des attaques ! »
Pour autant, si l’on met en place des règles encadrant cet usage d’outils
personnels dans un cadre professionnel, il faut prendre garde à ne pas aller
trop loin. Ainsi, alors que la pandémie a banalisé le travail en distanciel et,
souvent un usage mixte des terminaux informatiques, il ne faut pas que ces
règles empêchent un usage standard, dans sa vie privée, d’un appareil fourni
par son employeur.
Les prestataires avec lesquels vous travaillez et – évidemment – les DSI vous
proposeront des solutions techniques éprouvées. Pour illustrer cette affirmation,
sachez que chaque ordinateur utilisé pour écrire ce livre est doté d’un disque
dur « partitionné ». À partir de l’une de ces parties, nous pouvons librement
aller sur Internet, lire nos e-mails et dans l’autre partie nous avons les fichiers
sensibles. Entre les deux parties, un mur étanche.
Ce type de solution permet donc, si nous revenons à notre sujet, d’avoir un

usage mixte d’un terminal informatique, privé à certains moments de la journée
et professionnel et plus sécurisé à d’autres moments.
Mais attention au sentiment d’invincibilité ! Quel que soit notre niveau de

protection, nous ne sommes pas invulnérables…
Si de telles solutions techniques de protection sont envisageables, et si vous

décidez de les mettre en place, évitez de les assortir d’interdits tonitruants.
En premier lieu, nous savons tous qu’il n’est pas toujours possible de les faire
respecter. Ensuite, il est souvent plus pertinent d’expliquer, de sensibiliser à la mise
en place que d’imposer des restrictions justifiées et proportionnées à l’objectif.
Ce sera fait en veillant à ce que ces restrictions ne concernent que la partie

professionnelle de ces appareils, les informations privées devant le rester.
36 Éric Nunes, « Les universités, cibles de choix des hackeurs », Le Monde, 21 avril 2021.
Cela posé, nous ne devons pas oublier que le fait d’utiliser des appareils privés
au travail va flouter la frontière entre votre vie privée et professionnelle, ce qui
peut être dangereux sur le long terme. Il faudra donc prendre cet élément
en compte avant de choisir si l’on autorise cette pratique ou non et l’assortir
d’actions d’accompagnement régulièrement réitérées.
Sans contrôle, ces usages « mixtes » menacent la sécurité de nos organisations,

mais cela pose également des questions autour de la vie privée des personnes
y travaillant et des administrés ou des clients dont les données sont collectées.
Sur mon ordinateur personnel, j’ai à la fois mes données personnelles, mais aussi
des données sensibles liées à mon travail qui peuvent alors concerner mes
collègues ou des clients. L’éventuelle compromission de mon ordinateur peut
donc avoir de lourdes conséquences qui ne se limiteraient pas à la sphère privée
ou professionnelle.
Enfin, à vous utilisateurs d’appareils personnels sur votre lieu de travail, n’oubliez
pas que vous devez respecter les mêmes règles que si vous utilisiez le matériel
fourni par votre employeur. Cela vaut par exemple pour le RGPD, les données
que vous gérerez sur votre ordinateur personnel au travail devront respecter les
règles établies par le RGPD, vous devrez inscrire les traitements sur le registre,
assurer la sécurité des données, etc.
Le shadow IT
Une pratique assez proche du BYOD, dont on entend de plus en plus
parler, est le shadow IT. Ce terme recouvre une pratique aussi courante que
problématique, à savoir l’utilisation de logiciels ou d’appareils qui n’ont pas été
validés – et qui souvent restent méconnus – par la DSI ou le service informatique
de la structure.
Si des employés recourent à cette pratique, c’est souvent pour travailler de

façon plus efficace. J’ai un dossier important à boucler, mais je ne peux rester
trop tard au bureau, je vais donc l’envoyer à mon domicile en utilisant un de
ces outils – gratuits – de partage de dossiers volumineux. Malheureusement,
ce souci de bien faire présente des risques pour la sécurité de l’organisation et
l’intégrité de ses données.
Souvent, le shadow IT se développe dans certaines situations, lorsque les

employés estiment que les outils dont ils disposent ne sont pas assez performants
ou efficaces. Il en va de même lorsque le service informatique ne parvient pas
à comprendre les besoins exprimés par les salariés, les incitant par là même
à contourner eux-mêmes cette difficulté.
Enfin, on ne peut nier que certains outils que nous utilisons dans notre vie
personnelle sont particulièrement fluides, beaux et simples à utiliser, ce qui n’est
pas toujours le cas des outils dont nous disposons au travail. C’est pourquoi
il peut être tentant d’utiliser des solutions grand public sur lesquelles nous
sommes plus à l’aise.
Par exemple, comme cela a été évoqué plus haut, des employés peuvent trouver
une application pour partager des fichiers lourds plus efficace que celle mise
à disposition par leur employeur, ou tout simplement pour répondre à une
problématique à laquelle personne n’avait encore répondu. Il est indéniable que
les salariés sont ainsi plus performants et que leur travail est facilité. Le problème
est que le logiciel choisi par ces employés n’a pas été validé par le service
informatique, ce dernier ne sachant peut-être même pas qu’il est utilisé. Il peut
donc entraîner des pertes de données ou ne pas s’accorder avec les autres
logiciels utilisés au sein de cette entreprise, ce qui sera certainement le cas si
la plateforme utilisée n’est pas suffisamment sécurisée.
C’est le cas d’entreprises de toutes tailles qui, dans le domaine des ressources
humaines, font l’acquisition d’un SIRH37. Celui-ci est constitué de différentes
briques logicielles et souvent d’une « messagerie » ou de salons numériques pour
faciliter les échanges. Malheureusement, ces outils ne sont pas toujours pensés
avec une volonté de développer la convivialité. Pas intuitifs comme le sont les
réseaux sociaux que nous utilisons tous depuis des années, ils ne supporteront
pas leur conséquence. Aussi, il n’est pas rare de voir ces outils professionnels
délaissés au profit de réseaux sociaux personnels – au détriment de la sécurité
des données.
Puisqu’il est difficile d’interdire purement et complètement cette pratique,

les organisations doivent s’efforcer de faire évoluer leurs outils au profit d’autres
qui permettent à leurs équipes de bénéficier de toute la fluidité qui existe ailleurs,
mais en limitant les risques.
Pour ce faire, il nous semble pertinent de régulièrement identifier les solutions

logicielles insatisfaisantes et donnant lieu à l’utilisation de solutions « alternatives »
non validées, aboutissant à cette cohabitation non maîtrisée et donc au
développement du shadow IT.
L’identification de ces « intrus » sera bien entendu accompagnée d’une évaluation

des risques pour le réseau interne de l’entreprise et les données conservées.
37 Système d’information des ressources humaines.

Ensuite, il revient à la DSI ou au service informatique de décider si certains outils

peuvent être validés et intégrés ou si, au contraire, il ne faut plus les utiliser au vu
des risques qu’ils présentent et donc chercher des solutions de remplacement
acceptables pour tous.
Dans tous les cas, il importe de comprendre pourquoi lorsqu’un besoin a émergé,
les salariés ont préféré trouver une solution en dehors de celle prévue par le service
informatique. Les lenteurs du service informatique, la trop grande complexité
des solutions proposées par ce service peuvent expliquer le contournement
opéré par les salariés. Si l’on ne comprend pas ce « pourquoi », il est probable
qu’il sera difficile de supprimer ce risque.
Le dialogue est important entre le service informatique et les usagers, mais

il doit s’agir d’un véritable dialogue, car trop souvent, les salariés perçoivent
un certain autoritarisme, voire une certaine arrogance des informaticiens qui
se considèrent comme les seuls « sachants » et les seuls garants des règles
de sécurité. Une attitude trop dogmatique de leur part conduira les salariés à
utiliser dans leur dos les outils qu’ils jugent les plus adaptés à leurs missions.
Cette meilleure compréhension, ce travail en collaboration sont indispensables
pour diminuer les risques de shadow IT.
La fragilité des systèmes informatiques a été naturellement accrue par l’essor du

télétravail lors de la crise sanitaire de 2020-2021. Un télétravail de masse a dû
se mettre en place en quelques jours à peine, sans laisser le temps nécessaire
à nos informaticiens pour sécuriser tous les postes concernés.
Cette pratique a entraîné une augmentation des risques pesant sur notre sécurité
numérique, que ce soit des tentatives de phishing fondées sur le coronavirus
ou d’autres types de cyberattaques. Selon l’ONU, les cyberattaques auraient
augmenté de 600 % depuis le début de l’épidémie – et de 569 % selon Interpol.
Parmi toutes les personnes qui ont dû travailler depuis leur ordinateur personnel
du jour au lendemain, certaines avaient des ordinateurs déjà compromis par un
logiciel malveillant. Ces ordinateurs contaminés se sont donc trouvés connectés
aux outils de l’entreprise, paradoxalement parfois en utilisant un réseau sécurisé,
mais le mal était déjà fait puisque l’ordinateur transportait avec lui la menace,
ouvrant ainsi la porte à un éventuel piratage. Ce piratage peut prendre n’importe
quelle forme, selon les désirs du pirate, de l’enregistreur de frappe jusqu’au
ransomware, en passant par l’attaque par déni de service.
C’est pour cela qu’il est important de fournir autant que possible des machines qui
ont été sécurisées avec le niveau d’exigence retenu par chaque organisation, faute de
quoi les salariés agiront comme ils le peuvent avec les moyens dont ils disposent.
Ces solutions matérielles doivent être accompagnées d’un effort de sensibilisation

et de formation, chacun devant comprendre qu’il participe à un édifice vivant
qu’il peut malheureusement fragiliser au quotidien, faute de quoi…
Nombre d’études montrent que même lorsque la crise sanitaire sera enrayée,
le télétravail continuera à avoir une place importante, ce qui justifie que nous
soyons collectivement très attentifs à la sécurité numérique. Nous n’en avons
donc pas fini de privilégier des outils numériques pour échanger avec nos
collègues et nos clients.
Les logiciels de visioconférence

Savez-vous qu’en France, entre 2019 et 2020, la part d’employés ayant recours
aux solutions de visioconférence est passée de 20 à 60 % dans les PME et ETI et
de 20 à presque 70 % dans les grandes entreprises ? Les progressions en 2021
sont, à n’en pas douter moins fortes, mais cela montre combien nous sommes
devenus dépendants de solutions numériques pour travailler ou suivre un cours
et c’est une autre préoccupation pour celles et ceux qui gèrent les risques dans
nos organisations. En effet, ces logiciels de visioconférence ou tout autre logiciel
nécessaire pour travailler à distance peuvent également poser problème s’ils ne
répondent pas aux exigences de sécurité de l’entreprise.
Pour travailler, nous avons besoin d’échanger des données – beaucoup, souvent –
par e-mail ou via des plateformes dédiées aux fichiers volumineux, et il faut nous
assurer que ces échanges sont sécurisés. Le meilleur moyen est de chiffrer au
maximum ce que nous partageons ; en ce cas, même si des informations sont
interceptées, elles ne pourront pas être utilisées.
Quand ce n’est pas le cas, cela donne par exemple ce type de situation :
en novembre 2020, le journaliste néerlandais Daniël Verlaan a pu suivre une
visioconférence secrète de l’Union européenne sans mettre en œuvre de piratage
complexe. En effet, il a suffi que ce journaliste découvre un identifiant et une
partie d’un code confidentiel permettant d’accéder à cette réunion sur une
image qui était visible sur le compte Twitter de la ministre néerlandaise de la
Défense Ank Bijleveld !
Comme nous l’avons déjà écrit dans ces pages, nombre de piratages sont rendus
possibles du fait de nos erreurs et, dans une moindre mesure, de notre naïveté.
D’où l’intérêt pour les solutions de cryptage.
Là aussi, pour les échanges de fichiers volumineux, il est nettement préférable

d’utiliser une plateforme conçue ou validée par le service informatique de
l’entreprise et intégrant un système de cryptage des fichiers à échanger.
Si les salariés travaillant à distance se doivent d’être prudents, d’éviter le shadow IT

par exemple, cela vaut aussi pour celles et ceux qui sont restés en poste dans
leurs locaux professionnels. Ils doivent considérer leurs collègues « externalisés »
comme des clients internes qui ont des besoins possiblement différents et que
l’on doit écouter, et même si ce n’est pas possible immédiatement, des solutions
peuvent sûrement être trouvées.
Pour ce faire, n’hésitons pas à casser les barrières entre DSI ou service informatique
et – au moins – ces salariés externalisés. Si vous nous permettez l’expression,
il est trop risqué de les laisser « bricoler » des solutions, alors que le service
informatique détient peut-être des solutions tout à fait adaptées. Après tout,
cela fait partie du travail des informaticiens de comprendre les besoins et de
voir s’ils peuvent y répondre, comme ils ont pu le montrer lors de la mise en
place – soudaine, pour le moins – du premier confinement. À cette occasion,
nombre d’entre eux ont d’ailleurs pu démontrer qu’ils n’étaient pas là seulement
pour nous rappeler de faire nos mises à jour.
Cela fait certes partie de leur travail et ce n’est pas ici que l’on passera cela sous
silence, mais ce sont aussi les mieux placés pour nous conseiller sur la manière de
sécuriser nos ordinateurs, notre réseau WiFi à la maison, sur la marche à suivre
pour changer le mot de passe de votre box Internet par exemple.
Créer du dialogue, faire participer les informaticiens aux réunions d’une autre
filière métier permet de créer des émulations d’idées au sein de votre entreprise
et plutôt que d’aller chercher une solution sur Internet, vous pourrez très bien
voir cette solution émerger dans vos murs.

Pendant longtemps, il a été de bon ton de penser que nos informaticiens
– enfermés dans leur tour d’ivoire – n’étaient pas là aussi pour entendre nos
besoins, des besoins que l’on peut considérer comme légitimes puisque certains
de nos besoins – par exemple de salariés travaillant en distanciel – ne trouvent
pas de réponse adaptée dans les logiciels « maison ». Pour autant, nous devons
éviter de réagir individuellement pour utiliser des solutions tant matérielles
que logicielles que nous estimons adaptées à nos contraintes. Ce faisant, nous
pouvons faire courir des risques démesurés à nos organisations, comme à nos
clients d’ailleurs. C’est le cas du BYOD, du shadow IT, comme dans l’utilisation
de solutions de visioconférences. Faisons connaître ces outils à nos DSI et
services informatiques. À eux ensuite de les valider ou de nous proposer des
solutions adaptées et sécurisées.
3.1.2 L’hygiène numérique
AVANT DE PLONGER
Évidemment, pour assurer notre sécurité, il existe des moyens techniques,
des logiciels, mais il me semble qu’il convient de commencer par « réguler »
notre propre comportement. Nous pouvons tous adopter des comportements,
parfois assez simples, qui peuvent suffire à assurer en partie notre protection.
Ces règles ressemblent aux règles d’hygiène que l’on applique tous
quotidiennement depuis notre enfance et qui nous permettent de rester
en bonne santé.
Si nous entendons si souvent parler de sécurité, d’hygiène numérique, c’est parce

que nous sommes les principales failles dans ce domaine. Nous commettons
facilement des erreurs, sans nécessairement nous en rendre compte, et ces
erreurs entraînent des pertes de données ou permettent aux pirates informatiques
d’accéder à nos réseaux. C’est pour cela que nous devons être formés et
sensibilisés, car nous – nous, comme l’encadrement et les salariés qui dépendent
de nous – sommes loin d’imaginer tous les risques existants.
Cependant, si nous sommes loin d’imaginer tous ces risques, nous devons en
même temps être convaincus qu’en intégrant un certain nombre de règles
à notre portée, nous pouvons faire avancer individuellement la sécurité globale
de notre organisation.
Nous pouvons donc gagner en sécurité si nous apprenons à nous comporter

en ayant conscience de nos gestes et de leurs possibles conséquences. C’est la
première « règle » à intégrer ! Une règle pas toujours aisée à respecter…
En effet, si nous prenons le cas du phishing, la dimension psychologique est

importante. L’idée est de mettre celles et ceux qui reçoivent de tels e-mails dans
une situation de stupeur, voire de peur. De la sorte, « on » leur fait perdre toute
notion d’objectivité, tout recul et toute curiosité et les cibles sont poussées vers
une solution d’urgence – un lien hypertexte, une adresse e-mail, etc.
Le phishing a, a priori, tout pour surprendre et donc pour se demander comment

faire, car il y a forcément une erreur. Comment comprendre ? Comment, peut-
être, réagir ? Tel est le type de cheminement que le pirate cherche à nous faire
emprunter, ce qui va – évidemment – nous faire tomber dans son piège.
La cible qui prête attention au contenu de cet e-mail se rend rapidement compte
que ce n’est pas crédible. Par exemple, il s’agirait d’une convocation envoyée par
– ou pour le compte de – la direction de police judiciaire installée à Bruxelles et
un détachement du département de la préfecture de police de Paris !
Pendant que nous écrivions ce livre, nous avons reçu le courriel suivant :
Figure 3.1 Phishing. Exemple de contenu

Ensuite, si vous avez la curiosité de « googliser » Catherine de Bolle (citée dans

ce texte de convocation), vous trouverez dans les premières réponses à votre
requête des liens vers des articles de la presse belge décortiquant ces phishings.
Cet exemple est l’occasion de vous donner un conseil simple. Après l’instant de
stupeur à la découverte d’une telle convocation, lisez-le contenu de l’e-mail avec
attention. Vous verrez déjà apparaître certains éléments curieux pour ce genre
de convocation. Et puis, allez sur un moteur de recherche chercher les noms
des personnes citées. Souvent, comme dans ce cas, vous n’êtes pas la première
personne à être visée et la presse s’est déjà fait l’écho de la supercherie.
Les mots de passe et identifiants

Souvent, on nous demande d’éviter un comportement précis et d’en privilégier un
autre, mais personne ne nous explique pourquoi nous devons le faire. Par exemple,
lorsque la DSI ou le service informatique nous demande de changer notre mot
de passe tous les trois ou quatre mois, si personne ne nous en explique la raison,
nous considérons cette requête comme une contrainte supplémentaire, un diktat
inutile qui n’incite pas à le respecter. Dans le domaine de la sécurité, encore
plus que dans tous les autres, il est important de faire preuve de pédagogie et
d’expliquer le pourquoi des consignes. Force est de constater que les services
informatiques ne sont pas toujours les meilleurs pédagogues parce qu’ils peuvent
peiner à imaginer que ce qui est évident pour eux ne l’est pas pour tous. C’est là
que l’encadrement de proximité dûment sensibilisé et formé peut jouer un rôle
de premier plan.
Poursuivons le raisonnement sur la question des mots de passe…
Certains appareils nous sont livrés avec un mot de passe composé de lettres,
en minuscules et en majuscules, de chiffres et de symboles. Ce mot de passe
n’est pas facile à retenir et ne semble pas suivre une quelconque logique, alors
pourquoi nous demande-t-on de ne pas le conserver ?
Si la personne qui vous demande de le faire vous explique tout simplement

que les cyberattaquants connaissent la façon dont ces mots de passe ont été
conçus, et sont donc en mesure de les trouver, vous aurez compris l’utilité de
cette demande et, évidemment, vous allez collaborer. Avant que l’on m’explique
cela, je me sentais tout à fait sécurisé par le mot de passe incompréhensible
gentiment fourni avec mon appareil. Si je veux compliquer le travail de mes
éventuels cyberattaquants, alors je dois le modifier. Cela devient une évidence
et, en plus, je me sens utile !
Évidemment j’ai pris l’exemple du mot de passe, mais il en est de même de

l’identifiant fourni par défaut qui, lui aussi, doit impérativement être modifié.
Les autorisations d’accès

Peu importe notre domaine d’activité, nous traitons tous de données sensibles,
qu’elles soient relatives à notre profession, à nos clients, nos collègues ou nos
employés. Nous devons les identifier, car si on ne les connaît pas, on ne peut
pas les protéger. Une fois ces données recensées, il convient de regarder où
elles sont stockées : sur un tableur en accès commun à un groupe de travail ou
dans une base de données ou sur un seul poste de travail. Cette information
est précieuse, car en fonction de leur lieu de stockage et de la façon dont les
données sont utilisées, les mesures de sécurité qui pourront être prises pour
les protéger ne seront pas les mêmes. Il est donc crucial de cartographier ces
informations et d’identifier les mesures de sécurité existantes ou à mettre en place.
Par exemple, les informations relatives à la situation personnelle des employés
ne doivent pas pouvoir être consultées par tout le monde, seul le service des
ressources humaines en a besoin et y accédera, et les autres services ne pourront
les consulter que sur justification particulière.
La logique est la même pour les serveurs ou les ordinateurs contenant des données
particulièrement sensibles, elles devront être identifiées et protégées autant que
possible. Les principes sont les mêmes que pour la sécurité non numérique :
de même que n’importe qui n’accède pas aux locaux d’une entreprise, l’accès
aux serveurs doit rester très limité.
La mesure du risque
En tant qu’entreprise, ou plus largement en tant qu’organisation, ces questions
peuvent être mises en lumière si vous effectuez une analyse interne des risques
encourus. Cette analyse peut surprendre, et même faire peur, car on n’a pas
toujours envie de voir les problèmes. Pour autant, les repousser n’est pas non
plus une solution viable. Même si l’on n’est pas risk-manager, on sait que c’est
le meilleur moyen pour que ce soit l’incident – et toutes ses retombées – qui
nous fasse mesurer le prix de la naïveté et de la négligence…
Il est évident, pour nous, de mettre en place une stratégie, même simple,
de gestion des risques, laquelle commencera par un travail de fourmi, certes,
mais un travail d’identification. Cette analyse devra se faire en explorant deux
domaines :
 le premier vise à mesurer la dimension stratégique ou sensible des données
avec lesquelles vous travaillez. Il y a celles qui viennent de l’extérieur (clients,
fournisseurs, par exemple). Et puis, il y a celles qui vous appartiennent en
propre, celles que vous fabriquez (« recette » de fabrication, par exemple) ;
 le second vise à mesurer la qualité – ou la faiblesse – des circuits par lesquels
passent ces informations, leur lieu de stockage et ceux qui les manipulent.
Ensuite, les constatations faites dans les deux domaines sont à rapprocher,
le pire étant d’avoir des données stratégiques dont l’utilisation et le stockage
présentent des faiblesses, voire pire.
Ce faisant, vous posez les bases d’un futur plan d’amélioration et donc d’action.
Je ne doute pas en effet que ces travaux menés à bien vous conduiront à une
prise de conscience de la nécessité d’agir, pour anticiper ce qui peut l’être.
Cette analyse peut par exemple révéler une sécurité insuffisante sur certains
ordinateurs dans des open-spaces ou des lieux de passage ou pour une machine
utilisée par plusieurs personnes. Pour remédier à cela, on peut envisager de mettre
en place une sécurité à double authentification, avec un mot de passe à saisir
et en outre, l’utilisation de son empreinte digitale ou d’une carte magnétique.
Les clés USB, souris, etc.

Une menace importante et souvent invisible se cache dans tous les supports
amovibles que nous pouvons connecter à nos ordinateurs professionnels. Il s’agit
surtout des clés USB, mais n’oublions pas les souris, les téléphones portables,
etc. S’ils sont une menace, c’est parce qu’ils peuvent propager des logiciels
malveillants qui, selon leur nature, vont pouvoir voler nos données, ouvrir une
brèche de sécurité dans le réseau, ou endommager ce dernier.
Interdire tous ces supports serait la solution la plus simple, mais cela ne semble
pas très réaliste. Il faut donc trouver une solution plus raisonnable qui commencera
forcément par une sensibilisation de tous les utilisateurs. On peut également
prévoir d’interdire l’usage des clés USB offertes lors de conférences, de salons
ou trouvées dans des lieux publics. Pour les autres clés USB dont l’origine nous
semble plus sûre, on peut envisager de mettre en place un ordinateur spécifique
pour scanner les ports amovibles et ainsi déterminer s’ils contiennent ou non
des logiciels malveillants.
Une fois définie, cette règle devra être intégrée à la charte informatique de
l’organisation, au même titre que toutes les règles mises en place afin d’assurer
un niveau de sécurité minimal. Il peut s’agir d’interdire l’installation de logiciels
qui n’auraient pas été validés par le service informatique ou de chiffrer une
partie des données ou de l’ordinateur afin de préserver un minimum de sécurité.
Chaque entreprise adoptera des mesures différentes, mais qui correspondront
à ses besoins et contraintes propres en matière de sécurité.
Enfin, la sécurité ne s’arrête pas lorsque lors des déplacements professionnels,
bien au contraire, puisqu’il faut mettre en place de nouvelles mesures adaptées
à ces situations. Il va sans dire que, comme pour les ordinateurs de bureau,
les ordinateurs portables doivent être protégés par un mot de passe que seul
l’utilisateur connaît.
Une règle essentielle consiste, pour chaque utilisateur, à ne pas laisser sans
surveillance son ordinateur, sa clé USB, son smartphone et tout autre appareil
contenant des données. Sans tomber dans la paranoïa, il faut toujours se méfier
même des personnes que l’on côtoie et ne pas négliger les risques de perte
ou de vol.
Les déplacements
Cette vigilance doit également être mise en œuvre durant nos trajets lorsque nos
outils numériques peuvent être la proie de prédateurs occasionnels qui peuvent
voler un ordinateur rempli de données précieuses ou simplement s’intéresser
à ce qui défile sur votre écran. À nous de ne pas tenter le diable comme dirait
ma grand-mère.
Pour vous protéger des regards indiscrets, il est possible d’installer des filtres
teintés sur vos écrans d’ordinateurs portables ou de smartphone, qui empêchent
une personne regardant en coin de voir ce qui se trouve sur votre écran.
Votre voisin ne peut ainsi pas lire vos messages même si vous êtes à côté de lui.
Il est d’ailleurs préférable de ne pas voyager avec un ordinateur contenant
toutes vos données de travail et de privilégier un ordinateur portable vierge de
toutes données de l’entreprise et connecté à un cloud sécurisé une fois arrivé
à destination afin de télécharger les données dont vous avez besoin.
Il existe aussi une solution permettant de voyager avec son ordinateur portable
et ses données dessus, mais en ayant chiffré le disque dur en entier ou seulement
les données sensibles qu’il contient avant de quitter l’entreprise. Si quelqu’un
vole l’ordinateur ou qu’il est perdu, personne ne pourra lire ni exploiter les
données qu’il contient.
Les réseaux WiFi

Surtout, même si c’est tentant, il faut éviter de se connecter à des réseaux WiFi
que vous ne connaissez pas, comme les réseaux publics que nos ordinateurs
et nos smartphones captent un peu partout. Ces WiFi sont souvent très mal
sécurisés et sont des facteurs de risque.
Les droits d’accès

Cela vaut pour les personnes qui n’avaient que des droits d’« invités » dans
le système. Nous n’avons pas tous le même niveau d’accès, cela se traduit
par des droits différents. Certains ont besoin d’administrer le système et
donc ont des droits très avancés, alors que pour la plupart d’entre nous, nous
avons des droits moins étendus. En effet au quotidien, nous sommes des
utilisateurs d’un système géré par d’autres membres de notre organisation.
En tant que simple utilisateur, nous n’avons pas besoin de droits élargis, juste ceux
nécessaires à notre travail.
Lors d’une analyse de sécurité de nos entreprises, une difficulté revient souvent,
celle de la question des droits d’accès accordés aux employés. Ce sont ces droits
qui vont permettre d’utiliser les ordinateurs et les autres machines de l’entreprise
et qui, traditionnellement, sont accordés par le service informatique lors de
l’entrée d’un agent dans l’entreprise. Ces droits sont également ouverts pour
des stagiaires, des vacataires, etc. L’un des problèmes qui se pose, c’est lorsque
l’agent quitte l’entreprise et que par négligence ou tout simplement parce que le
service informatique n’en a pas été informé, les droits qui lui avaient été ouverts
ne sont pas fermés. C’est beaucoup plus fréquent qu’on ne l’imagine et cela
peut être grave lorsqu’il s’agit de salariés qui ont quitté l’entreprise en mauvais
termes avec elle, de stagiaires mal intentionnés ou même d’espions déguisés
en stagiaires. Ne pas fermer rapidement les droits d’accès d’un ancien agent
est un risque important, mais encore trop peu pris en compte.
En réalité, nous sommes souvent tentés de vouloir disposer d’une liberté aussi
grande sur notre ordinateur professionnel que sur notre ordinateur personnel et
nous demandons donc au service informatique de nous accorder les autorisations
nécessaires pour cela. C’est à éviter. Même si nous avons l’habitude d’installer
les logiciels que nous voulons sur notre ordinateur personnel ou de configurer
le système à notre convenance, nous n’avons pas forcément besoin de disposer
de possibilités trop élargies au travail. Oui, c’est tentant, mais en réalité si tout
le monde se met à « bidouiller » les choses selon ses préférences ou ce qu’il
croit souhaitable au vu de son statut, alors il devient impossible pour le service
informatique de protéger l’entreprise et ses systèmes. Cela vaut pour chacun
d’entre nous, quel que soit notre statut, puisque, en général, nous n’avons pas
besoin de privilèges pour administrer notre ordinateur de travail. Au cas où
une raison particulière justifierait ce besoin, une dérogation spéciale devra être
présentée au service informatique, lequel accordera des droits temporaires et
tracera la manière dont ils ont été utilisés. Surtout, il devra veiller à retirer ces
droits une fois la tâche accomplie.

La cybersécurité, c’est pour beaucoup l’affaire de tout un chacun, du
remplacement du mot de pas fourni par défaut au strict respect des droits
d’accès en passant par la nécessité d’être prudent, par exemple dans l’utilisation
de réseaux WiFi hors les murs de son entreprise. En être conscient et le faire
est à la portée de tous. C’est de l’hygiène… numérique de base.
3.1.3 Les mots de passe
AVANT DE PLONGER
Point clé de la sécurité, les mots de passe sont trop souvent traités comme
un élément négligeable de la sécurité informatique qui ne mérite que peu
d’effort. Après avoir abordé plus haut la question des mots de passe par défaut,
entrons dans le vif du sujet. Ici se trouve l’un des premiers comportements
que l’on doit modifier.
La clé de voûte de l’hygiène numérique qui doit nous permettre d’éviter d’être
contaminés par un virus virtuel se trouve dans nos mots de passe. Vous connaissez
sûrement certains de ces conseils, enfin je l’espère, mais je vais quand même
commencer par rappeler ce qui sera, je n’en doute pas, des évidences pour
vous, avant de passer à des conseils plus pointus.
Ce n’est pas vraiment une histoire d’amour qui nous lie à nos mots de passe,
nous en avons beaucoup trop, il faut les retenir et nous avons tendance à oublier
ceux que nous utilisons moins.
Nos mots de passe sont précieux, ils permettent d’accéder à nos différents
comptes, qu’il s’agisse de notre compte bancaire, de notre réseau WiFi,
de notre boîte mail personnelle ou professionnelle, de nos réseaux sociaux,
etc. Pour chaque site sur lequel nous passons une commande, nous créons un
compte et donc nous créons un nouveau mot de passe. Le grand nombre de
mots de passe que nous possédons nous pousse à la « flemmardise ». Est-ce
vraiment grave que j’utilise plusieurs fois le même mot de passe ? Personne ne
va fouiller mon bureau, je peux bien les écrire tous sur une feuille que je cache
sous mon clavier ou dans mon tiroir fermé à clé, etc. Voilà une erreur courante,
noter ses mots de passe pour mieux les retenir est un risque trop important.
Alors, comment retenir tous nos mots de passe ? Vous n’en avez pas besoin,
il existe désormais des gestionnaires de mots de passe, des logiciels qui font
le travail de mémoire à votre place. Vous pouvez les voir comme un coffre-fort
virtuel au sein duquel vous entreposez vos mots de passe pour qu’ils ne soient
pas volés. Pour y accéder, vous devez seulement retenir un mot de passe maître
qui déverrouillera le coffre. Il est important que le mot de passe choisi pour
déverrouiller ce coffre soit assez solide. Comprenez-moi bien, tous les mots de
passe ne sont pas égaux en matière de sécurité. Si vous avez choisi « 1234 »,
« a1b2c3d4 » ou encore « azerty » comme mots de passe, vous n’êtes pas très
original et en la matière, cela pose problème. Plus les mots de passe sont simples,
plus ils sont certes faciles à retenir pour vous, mais aussi à deviner par autrui.
Par ailleurs, il existe des listes de mots de passe populaires. Il s’agit par exemple
de : Password, qwerty, football, iloveyou, admin, welcome, passw0ord, hello,
123123, trustno1, monkey, password2, soleil, princesse, 11111 (qui se décline
évidemment avec tous les autres chiffres), motdepasse, etc.
Pour choisir un mot de passe sécurisé, il faut respecter certains conseils.

Ne choisissez pas des mots de passe trop courts : on recommande généralement
qu’ils comprennent entre 8 et 12 caractères. En plus d’être longs, il faut qu’ils
mélangent des lettres, en majuscule et minuscule, des chiffres et des caractères
spéciaux.
En plus, il faut que vous soyez en mesure de retenir votre mot de passe, sans
pour autant qu’il soit trop évident. Pour cela, vous pouvez utiliser une suite
de termes qui vous sont familiers sans pour autant avoir de lien entre eux,
« agendasportthésoleil » par exemple. Dans cette hypothèse – des mots familiers –,
évitez d’associer des mots trop communs ou que l’on associe trop facilement
ensemble, par exemple, « soleillumièrerayon », car en cas de cyberattaque par
force brute, le logiciel malveillant va essayer des combinaisons assez évidentes
comme celle-là. Évitons donc les citations ou les enchaînements de mots trop
évidents, les armes cyber pouvant aller piocher dans des bases de données en
ligne ou dans des livres afin de trouver des associations de mots qui auraient
pu être utilisées comme mots de passe.
Vous pouvez également fonctionner en utilisant une phrase complète que vous
transformez en mot de passe. Par exemple avec la phrase « j’ai acheté 7 DVD
pour 10 euros cet après-midi » va devenir : « ght7DVD10E7am ».
Le mot de passe en lui-même semble compliqué, mais en se souvenant de la

phrase, il est facile de le retrouver. Ici, on facilite la mémorisation grâce aux sons
qui rendent la phrase intelligible, mais on peut aussi retenir les premières lettres
des mots composant la phrase « Être ou ne pas être telle est la question » qui
peut donner plusieurs mots de passe, par exemple : « E0npETelq ».
S’il y a un piège à éviter, c’est celui des mots de passe choisis en fonction
d’informations personnelles. Celles-ci sont généralement trop évidentes pour un
hackeur digne de ce nom. Ce sera le cas, par exemple de votre date de naissance,
des noms et prénoms de vos proches ou de vos animaux de compagnie.
Enfin, si vous pensez qu’une personne a pu capter votre mot de passe, n’hésitez
surtout pas à le remplacer immédiatement.
Au-delà de tels constats ponctuels, le changement de mot de passe doit être

une habitude. Il est en effet bon d’en changer régulièrement.
Par exemple, il n’est pas inconcevable d’installer dans votre service une
routine pour que les mots de passe soient remplacés tous les quelques mois.
C’est le meilleur moyen de conserver un haut niveau de sécurité et c’est un objectif
simple à énoncer et partager. Si certains membres de votre équipe rechignent
à cette gymnastique, expliquez-leur que l’intérêt collectif, la pérennité de leur
entreprise et donc de leur job peut tenir à de tels gestes. Aussi, face à de tels
enjeux, il est important de ne pas faire preuve de naïveté, voire de négligence…
Maintenant que vous savez comment choisir un bon mot de passe, mettez cela en
pratique et surtout, n’utilisez pas un même mot de passe pour plusieurs comptes.
Vous devez absolument avoir des mots de passe à usage unique, car réutiliser
un même mot de passe constitue une faille de sécurité inutile.
Enfin, si vous utilisez un ordinateur partagé, ne cochez jamais la case « se souvenir

du mot de passe », sinon d’autres personnes pourront utiliser votre compte et
il n’y a donc plus d’intérêt à le protéger avec un mot de passe.
Ce conseil gagnera à être partagé avec tous vos collaborateurs notamment

via une charte de bonne conduite numérique.
Si vous voulez tester la solidité de vos mots de passe, vous pouvez utiliser le
site How secure is my password ?38 qui va vous indiquer le temps que mettrait
un ordinateur à trouver ce mot de passe. Ce temps peut aller de quelques
secondes à un nombre conséquent d’années, mais je vous laisse essayer avec
vos propres mots de passe.
Un autre site Internet qui peut vous aider est I have been Pwned 39 qui vous
permettra de savoir si vos mots de passe ont été compromis ou non.

Bon, c’est certain, les mots de passe ne sont pas nos seuls points faibles. Reste
qu’il existe des règles importantes à suivre, à faire connaître et, dans son
entreprise, à faire partager à tous. Partagez les outils proposés ici et personne
n’aura d’excuses s’il reste avec ses vieux mots de passe, les affiche sur le bas
de son écran, etc.
Cela posé, passons à d’autres préoccupations que nous devons avoir en
matière d’hygiène numérique.
38 https://howsecureismypassword.net
39 https://haveibeenpwned.com
3.1.4 Ah ! Nos e-mails, nos SMS et Internet
AVANT DE PLONGER
Attaquons un autre élément prédominant de notre quotidien, nos e-mails.
On en reçoit énormément et l’on nous en envoie tout autant. Et puis,
parce qu’ils sont souvent d’une banalité affligeante, ils restent néanmoins
porteurs de risques. Nous devons donc faire preuve de vigilance en ce
domaine. Et la vigilance en la matière, ça s’apprend facilement. La preuve
ci-après.
Dans la masse d’e-mails que l’on reçoit chaque jour, certains sont frauduleux
et cherchent à nous piéger. Il y a en effet, de nombreux hackeurs utilisant des
outils, peut-être sommaires, mais qui, semés en grande quantité, finissent
par atteindre leur objectif, à savoir compter sur nos gestes parfois irréfléchis,
souvent automatiques, pour nous piéger.
Face à cette sorte de « cyberattaque low cost », nous devons être attentifs. Pour ce
faire, notre première parade est de ne jamais passer en revue les e-mails que
nous recevons, en faisant autre chose, par exemple, en répondant au téléphone.
C’est – pardon de l’expression – irresponsable !
Au contraire, nous devons être pleinement concentrés sur les expéditeurs

des e-mails qui nous sont envoyés. Notre attention sera maximale lorsque
ceux-ci sont inconnus ou que le nom semble frauduleux. Il peut s’agir d’un nom
inventé – logique alors qu’il n’éveille en nous aucun souvenir – ou, de façon
plus pernicieuse, ce peut être un nom proche de celui d’un interlocuteur que
nous avons dans l’entreprise ou chez un fournisseur, un client ou encore chez
un prestataire (services bancaires, informatiques, par exemple).
Ainsi, des pirates pourraient tenter de vous faire croire que votre facture
téléphonique de l’opérateur « Orrange » n’a pas été réglée. Or, si vous êtes
attentif, vous constaterez que l’orthographe du nom de l’opérateur n’est pas
la bonne, mais en lisant rapidement et sans penser à ces risques, vous pourriez
bien d’être certain qu’il s’agit de votre opérateur qui vous a écrit en ayant même
la gentillesse de vous prévenir avant de vous appliquer des pénalités pour non-
règlement dans les temps.
Il est d’autant plus facile d’être trompé que de nombreux pirates imitent très
correctement la charte graphique de la société dont ils veulent usurper l’identité.
Restent, pour nous sauver, les fautes d’orthographe !
Quand vous recevez un e-mail douteux ou un peu trop beau pour être vrai,
commencez par passer votre curseur sur le nom de l’expéditeur afin de voir
son adresse. Ainsi, vous verrez si l’adresse semble légitime ou non. Faites-le
également si la charte graphique du mail ne correspond pas tout à fait à celle de
l’entreprise ou de l’administration que les pirates tentent d’imiter. Ici, il peut s’agir
d’erreurs flagrantes, que ce soient des images de mauvaise qualité, des fautes
d’orthographe, ou un problème dans les couleurs de la charte de l’entreprise.
De plus en plus, ces techniques de phishing sont déclinées vers nos smartphones,
au travers des SMS, et l’on parle alors de smishing. Les pirates envoient des
messages combinant une demande semblant venir d’une entité de confiance,
comme notre opérateur téléphonique, notre banque ou une administration,
et nous présentent une demande urgente en utilisant un outil assez personnel
pour nous prévenir. Ces éléments nous donnent l’impression que nous devons
répondre rapidement. Cette précipitation peut nous faire baisser la garde et
commettre une erreur en fournissant des données à un pirate.
Ainsi, si nous ne décelons pas le subterfuge, nous transmettons des données
qui peuvent permettre au pirate de nous voler notre identité ou nos économies
ou simplement de nous contaminer avec un logiciel malveillant. Pour éviter cela,
lorsqu’un numéro inconnu formule une demande de ce genre, nous devons
commencer par vérifier si le numéro est référencé comme une arnaque,
en regardant sur Internet.
Ensuite, il faut prendre son temps et réfléchir afin de ne pas commettre une
action spontanée que l’on pourrait regretter. Une fois les données transmises,
il n’est plus possible de revenir en arrière et nous pourrions regretter amèrement
notre précipitation et notre manque de vigilance.
Nous sommes nombreuses et nombreux à utiliser nos smartphones à la fois
pour un usage personnel et professionnel. Un tel usage brouille les frontières
et rend moins étonnant de recevoir des SMS d’origine inconnue. Dans ce cas,
il est important de se ménager des plages de temps durant lesquelles on se
glisse dans une bulle de calme, l’esprit focalisé sur ces messages. Pour chacun
d’eux, on va répéter une routine simple permettant d’éventer les supercheries.
Nous vous laissons le soin de créer votre propre routine, par exemple avec la
méthode « QQOQCP40 ».
En plus de nous méfier de possibles pièges contenus par les SMS que l’on
reçoit, nous devons également prendre garde aux sites Internet que l’on visite.
Parmi ceux sur lesquels il nous est proposé de nous rendre, nombreux sont
40 Qui ? Quoi ? Où ? Quand ? Comment ? Pourquoi ?

ceux auxquels on ne peut pas se fier, leur seul but étant de voler nos données
personnelles ou seulement nos coordonnées bancaires.
Pas toujours simple de débusquer le piège et, encore moins, de relever une
faiblesse de la page Web sur laquelle nous nous apprêtons à évoluer. Pour ce faire,
là encore, soyons aux aguets. Nous devons avoir à l’esprit en « débarquant »
sur Internet que nous sortons de la vraie vie pour entrer dans un monde digital
où tout est création numérique, tout est créé, assemblé, organisé grâce à des
logiciels et des algorithmes.
Ceux-ci peuvent être créés par des entreprises et prestataires fiables ou des
personnes et organisations malhonnêtes. Entre les deux, il y a aussi des réalisations
approximatives qui, de ce fait, peuvent recéler quelques faiblesses en termes
de sécurité.
Enfin, il y a le piège quasi parfait, comme existe – au cinéma – le crime parfait.

Sur Internet, il s’agit de pages Web créées de toutes pièces par des hackeurs,
des pages qui présentent tous les signes de respectabilité, de sécurité, pour dire
les choses sérieusement.
En écrivant cela, je pense au petit cadenas positionné à gauche dans la barre

de recherche où l’URL est inscrite. Ce cadenas, souvent présent sur la plupart
des sites, ne signifie pas qu’ils sont « bienveillants », mais simplement que les
données que nous y déposons sont stockées et transmises de manière sécurisée,
qu’il s’agisse de nos mots de passe et identifiants, d’un numéro de carte de
crédit, de notre adresse. Le cadenas stylisé signifie que toutes ces informations
seront sécurisées, la connexion au site Internet étant chiffrée, les données ne
seront pas interceptées.
Lorsque nous connaissons la symbolique du cadenas, nous le voyons comme le

gage d’une sécurité absolue, mais cela signifie simplement que les données qui
vont être transférées seront sécurisées. Vous allez me dire que c’est la même
chose et que je me contredis, mais, à qui sont transférées ces données en
toute sécurité ? Ce cadenas ne valide pas du tout l’authenticité du site Internet.
En effet, des pirates peuvent très bien créer un site Internet de e-commerce
frauduleux et le sécuriser. Ce site aura donc un cadenas à gauche de son URL,
mais il n’en restera pas moins le moyen utilisé par les pirates pour nous voler
tant nos données personnelles que notre argent.
Alors oui les données sont transférées en toute sécurité, mais les propriétaires
du site Internet ne sont pas des personnes de confiance. Malgré tout, nous
devons toujours vérifier que ce cadenas est présent avant de fournir nos données
personnelles, bancaires, etc. à un site Internet. Si le site n’a pas ce cadenas,
alors nous ne l’utiliserons pas et surtout, nous ne lui transmettrons aucune

donnée personnelle ou sensible.
Il est également possible que le cadenas soit jaune ou accompagné d’un triangle
d’avertissement, dans ce cas la connexion est partiellement chiffrée.
Ne prenons pas ce cadenas pour plus qu’il ne l’est, à lui seul il ne promet pas que
le site Web est à la fois sûr et légitime, mais s’il n’existe pas, le site est à éviter.
Cela posé, à propos du cadenas, il faut vérifier que le site sur lequel on navigue
comporte bien un https (hyper text transfer protocol secure) dans son URL et
pas seulement un http. Cette seule lettre implique une grande différence.
L’absence de « s » signifie que les données ne sont pas transférées de façon

sécurisée. Le protocole http est plus ancien et moins sécurisé que le protocole
https et bien qu’il fonctionne sur le même principe, les données transférées
pourront facilement être interceptées.
En revanche lorsqu’on a un protocole en https, des mesures de sécurité plus

importantes sont mises en place, c’est ce que signifie le « s » – pour secure.
Ici, les données seront transmises de manière sécurisée et donc seront illisibles
pour quiconque tenterait de les intercepter. C’est pour cette raison qu’il faut
être particulièrement vigilant à la présence de « s » ou non. S’il n’est pas présent,
alors nous ne devons transmettre aucune donnée personnelle ou sensible.
Pour résumer l’hygiène numérique – collective – qui doit prévaloir dans une
organisation soucieuse de se protéger, la Figure 3.2 (voir page 145) synthétise
ce que doivent être nos comportements – interdits compris.

C’est vrai, à la lecture de ces lignes, vous vous dites que vous allez devenir
parano, puisque même un site en https peut être une copie malveillante ou
intéressée – utilisez le qualificatif que vous voulez.
C’est vrai, mais il y a quand même des risques dont il faut se protéger, protéger
son entreprise et l’emploi et puis, de l’autre côté du rideau, les hackeurs ne
sont pas omniscients. Ils jouent sur notre penchant à agir sans réfléchir et sur
la banalisation des échanges sur la toile.
Alors quand vous recevez un SMS qui vous demande d’aider un inconnu à faire
sortir une grosse somme d’Afrique, quand une amie vous dit s’être fait tout
voler, mais trouve quand même le moyen de vous donner de quoi envoyer un
virement à un interlocuteur inconnu de vous, quand – enfin – vous recevez un
e-mail semblant venir de votre opérateur téléphonique vous disant que vous
avez gagné une réduction phénoménale sur le dernier smartphone, attention !
Figure 3.2 Hygiène numérique : interdits et points de vigilance

3.1.5 Politique et charte de sécurité
AVANT DE PLONGER
Chaque entreprise fonctionne différemment avec des besoins de sécurité
spécifiques. Il est essentiel que les règles adoptées correspondent à ces
besoins et ne soient pas de simples « copié-collé ». Les conseils et règles de
sécurité à suivre et respecter ne sont pas toujours évidents et/ou sont difficiles à
retenir. C’est pourquoi il est important d’écrire la politique de sécurité retenue.
Cela peut se matérialiser par une charte, un guide ou tout autre document,
l’important étant que tous les collaborateurs de l’entreprise partagent ce
document, avec une attention particulière pour les nouveaux arrivants.
Vous l’avez deviné à la lecture des pages qui précèdent, il est essentiel d’adopter
une charte de bonne conduite numérique. Ce document ne sera pas une suite
d’interdits sans explication, sous peine de rester lettre morte. Nous vivons
aujourd’hui à une époque où la plupart d’entre nous n’obéissent pas à une
injonction sans réfléchir. Il est nécessaire pour y adhérer de nous expliquer le
pourquoi des choses, les objectifs collectivement poursuivis ; je dirais même
que c’est la meilleure manière de nous motiver dans un changement d’habitude,
dans le respect d’une certaine règle, dans l’application de consignes.
Expliquons aux salariés, à chaque personne nouvellement embauchée les menaces

auxquelles l’entreprise est confrontée et en quoi – au sein d’un collectif – tel geste
et tel comportement peuvent être salutaires. Alors, la majeure partie d’entre
eux sera motivée.
Ensuite, il faut être clair et logique. En cela, une charte est le support parfait pour
laisser une trace de la logique que vous souhaitez mettre en place, les obligations
légales auxquelles nous devons tous nous soumettre ainsi que les règles de
l’organisation dans son fonctionnement quotidien. Parmi les règles – à prendre
au sens de comportement à adopter de manière systématique –, on trouvera
de façon indispensable la manière d’utiliser les équipements durant un voyage,
la non-divulgation des mots de passe, la connexion ou non d’équipements
personnels au réseau, la détection et le signalement d’événements suspects,
les procédures de sécurité que chacun doit mettre en place sur son poste.
Si l’on revient à l’essentiel, le but de ce document – régulièrement révisé –

est que chacun puisse y trouver les principes propres à l’entreprise, les conseils
prudentiels de base et spécifiques à l’entreprise et leur motif, ainsi que la réponse
aux questions qui peuvent se poser et la conduite à tenir en cas de survenance
d’une difficulté. Et puis, l’idéal est que ce document indique quelques noms,
ceux des personnes-ressources au sein de l’entreprise.
Du côté de la technique, les informaticiens sont capables de mettre en place

les mesures nécessaires pour sécuriser le réseau et s’assurer que tout un chacun
peut l’utiliser en toute sécurité. Ces mesures, de nature technique ou non,
dépendront de la manière dont est construit le système de l’entreprise. Pour les
entreprises n’ayant pas les moyens de faire intervenir des prestataires spécialisés,
leurs informaticiens sont généralement à même de pointer les principales
faiblesses du réseau informatique et de conseiller sur la manière d’améliorer
l’architecture réseau afin d’éviter que des failles de sécurité ne subsistent.
Ils vont également mettre en œuvre les sauvegardes des données au niveau de toute
l’organisation en respectant une politique propre à l’entreprise. Cette politique
de sauvegarde implique d’identifier les informations les plus sensibles et les
éléments sans lesquels l’entreprise ne peut pas fonctionner. Ces sauvegardes
doivent permettre de récupérer une capacité de fonctionnement en cas de crise,
elles doivent donc être prises au sérieux et être effectuées régulièrement. Si l’on
subit une crise en 2021, mais que notre dernière sauvegarde remonte à 2017,
la reprise de l’activité ne sera pas vraiment facilitée par cette sauvegarde trop
ancienne. Plus la sauvegarde sera récente, plus l’entreprise pourra envisager de
reprendre rapidement son activité. On voit que les enjeux sont essentiels, ce qui
justifie une attention particulière à la qualité et à la fréquence des sauvegardes.
Cette politique est également l’occasion de préciser quelles sauvegardes seront
effectuées en ligne ou hors ligne ainsi que les personnes habilitées à les consulter.
Enfin, c’est également ici que seront prévus – et réalisés – les tests de restauration
de données. En effet, les sauvegardes sont inutiles si elles ne sont pas testées
régulièrement. Sans de tels tests, on ne sait pas si les sauvegardes sont faites
correctement et sont utilisables. On ne le découvrira qu’au pire moment, c’est-à-
dire en pleine situation de crise, au moment où nous avons réellement besoin de
récupérer nos données. Faire un test, au moins une fois par an, pour s’assurer que
nos sauvegardes sont opérationnelles est très loin d’être une activité superflue.
Enfin, dernier point important, n’oublions pas que nous ne devons pas
conserver toutes nos sauvegardes au même endroit et connectées à notre
réseau. Si ce dernier subit une attaque, il ne faut pas que ces sauvegardes soient
touchées, sinon elles perdent toute utilité. Une donnée qui n’existe qu’en un seul
exemplaire est en grand danger, mais si sa copie est stockée au même endroit
le danger reste le même.
Cette politique de sécurité ne se limite pas aux sauvegardes de sécurité,
mais comprend bien plus d’éléments. Elle prévoit également tous les usages
concernant les mots de passe, les e-mails, etc., que nous avons vus plus haut.
Au quotidien, il est possible d’améliorer la manière dont on utilise notre ordinateur.
Cette recherche d’amélioration continue – comme en politique qualité – est ici
un pilier de la politique de sécurité.
Il est souhaitable d’aller au-delà des comportements de base en mettant en

place des audits réguliers qui vont se concentrer sur le système informatique
et donner un avis impartial sur l’efficacité des mesures de sécurité mises en
place. Ces audits peuvent être réalisés en interne ou grâce à l’intervention de
personnels extérieurs.
Loin de nous décourager, ces audits sont l’occasion de mesurer la distance qu’il
reste à parcourir entre le niveau de sécurité déjà atteint et l’objectif souhaité.
Ces audits seront utiles pour mobiliser les plus sceptiques de vos collaborateurs,
mais ils seront aussi la preuve pour vos partenaires, clients et futurs clients de
l’importance que vous attachez à votre cybersécurité. Il est à noter que ces
audits sont également une étape utile pour se mettre en conformité avec les
dispositions du RGPD.
Une fois que l’audit a mis en lumière certaines failles de sécurité, nous allons
pouvoir prévoir quelles mesures mettre en place pour limiter ces failles et
comment gérer un éventuel incident de sécurité impliquant l’une de ces failles.
Il est impossible qu’il n’y ait aucune faille dans une organisation, car même les
plus sécurisées recèlent des vulnérabilités. En revanche, il y a une très grande
différence entre avoir conscience qu’une faille existe et être en mesure de la
corriger ou du moins d’anticiper ses conséquences et se laisser surprendre par
cette faille sans être préparé.
Ce que l’on constate lorsqu’une entreprise est victime d’une cyberattaque,

c’est une sidération générale, avec des employés qui ne savent pas quoi faire,
d’autres qui peuvent culpabiliser pour avoir ouvert une pièce jointe infectée ou
avoir été négligents. Dans un tel contexte, personne n’a le recul et la sérénité
nécessaire pour réagir efficacement. C’est pourquoi c’est en amont et à froid
que les procédures de réaction doivent avoir été prévues avec notamment les
plans de sauvegarde qui vont permettre la reprise et la continuité de l’activité.

D’accord, nous venons de détailler l’intérêt qui doit présider à la rédaction
d’une charge informatique, mais nous ne vous en livrons pas une en pièce
jointe. Le faire serait vous tenter en vous permettant un « copié-collé » et
ce serait le pire des services à vous rendre. Réunissez un groupe de travail
autour de votre service informatique et vous ferez mieux.
Pour ce qui est des audits, une fois lue cette partie, il ne me reste qu’une piste
à vous conseiller, celle du RGPD, en vous adressant à votre DPO.
On pourrait s’arrêter là, mais comme on commence à se connaître, on va vous
apporter quelques réponses concrètes ci-après…
3.1.6 Des outils bien concrets
AVANT DE PLONGER
Vous avez certainement joué « au château fort » étant enfant, ou vous
avez regardé y jouer vos frères et sœurs. Vous savez donc qu’à l’époque
de ces constructions, en cas de danger, le bon peuple venait s’y réfugier.
Cette protection était obtenue sur la base d’une succession de lignes de
défense. C’est que vous pourrez découvrir ici, avec trois lignes de défense
successives.
Au-delà des comportements que nous pouvons adopter, il existe également des
outils bien tangibles que l’on peut mettre en place pour se protéger. Qu’il s’agisse
de leurre ou de logiciel de protection, il ne faut pas oublier d’en équiper nos
outils informatiques.
Les cyberattaques ne se ressemblent pas toutes et pourtant elles instillent en
nous la même peur et le même désir de protection. Pourtant nous ne sommes
pas des agneaux vulnérables face à une attaque de loup puisque nous pouvons
mettre en place des mesures pour nous protéger.
Se protéger signifie en premier lieu – nous l’avons vu – de se comporter du mieux
que l’on peut sur nos ordinateurs. Cela ne veut pas dire que nous ne serons
pas infectés et, pour cette raison, nous devons également mettre en place des
lignes de défense numériques. En écrivant ces mots, je suis certain que vous
pensez aux logiciels antivirus et aux pare-feu, mais il existe d’autres éléments
que l’on peut utiliser.
Si je poursuis le parallèle avec le château fort, dans un premier temps, vous allez
tenter de piéger les attaquants par surprise. Pour ce faire, vous allez utiliser
des appâts. Ceux-ci sont souvent désignés par l’expression anglaise honey pot,
une sorte de pot de miel permettant d’attirer les pirates informatiques vers des
ressources choisies.
Si vous avez en interne les compétences nécessaires, ces appâts vont vous
permettre de mettre en place une défense active en attirant les pirates vers
un pot de miel mis en place à cet effet et qui les détournera du reste de votre
système informatique.
Cet appât permettra d’identifier, voire de neutraliser, votre agresseur, mais il
sera aussi un moyen très concret de sensibiliser vos équipes au fait que personne
n’est immunisé contre les cyberattaques.
Le honey pot fonctionne peut-être seul, mais vous êtes toujours là pour surveiller
ce qu’il se passe.
C’est en agissant de la sorte (surveillance du pot de miel) que vous pouvez

surprendre le pirate la main dans le pot et toute personne trouvée dans cette
position est présumée être un intrus… mais nous n’en sommes pas encore là.
Le pirate a l’impression d’avoir décroché le jackpot en découvrant le pot de miel
et croit avoir trouvé des données sensibles sur les employés ou les plans de la
nouvelle batterie innovante, alors qu’en réalité, il est tombé dans le piège que vous
lui avez tendu. Pendant que le pirate s’intéresse à ces données, le propriétaire
du service attaqué va pouvoir observer la façon d’agir du cyberattaquant et
ainsi apprendre à se protéger.
Ces leurres permettent de surveiller ce qu’il se passe, de collecter des informations

sur la manière dont les cyberattaquants agissent et de mieux nous protéger
face à de nouvelles attaques voire de mieux réagir.
On peut installer des pots de miel extrêmement attractifs sur un ordinateur

plus ou moins sécurisé, bien placé dans notre réseau et qui a accès à de vraies
données sensibles. Cela rend ce leurre extrêmement attractif, mais dangereux
à gérer et il faut le sécuriser autant que possible. S’il n’est pas assez sécurisé,
le leurre va devenir une porte ouverte sur le reste de nos données.
Ces pots de miel risquent d’attirer facilement les pirates informatiques, mais,
sans précaution adaptée, ils peuvent représenter un danger plus important qu’en
utilisant des leurres de moindre envergure, à faible interaction.
Il apparaît donc nécessaire de sécuriser au maximum l’architecture du réseau

pour que l’attaquant ne puisse pas rebondir et s’en prendre à d’autres machines.
Pour vous permettre de visualiser concrètement le danger que courent celles et

ceux utilisant ce moyen de se défendre, il vous faut comprendre la mécanique
sur laquelle il repose.
Ainsi, pour que ces leurres fonctionnent, ils ne doivent pas être complètement
hermétiques. Ils doivent évidemment permettre au hackeur de s’inviter sans
vous en demander l’autorisation. De plus, ils doivent laisser circuler des flux de
données. Si ces flux ne circulent pas « sous les yeux » du hackeur, s’il se rend
compte qu’il ne peut rien « faire sortir », il saura qu’il est tombé dans un piège.
Il se retirera alors très vite et changera de stratégie pour pénétrer votre système
d’information.
Ces pots de miel sont donc un véritable challenge puisqu’il faut maintenir un
équilibre – forcément précaire – entre le niveau de sécurité que l’on veut conserver
et le risque que l’on est prêt à courir de voir des informations piratées, sachant
que l’on joue avec des cyberattaquants qui ne sont pas des enfants de chœur
et qui sont d’une compétence redoutable.
Ces mystifications numériques – habiles et coûteuses – permettent également de

garder une trace de ce qu’il se passe sur notre réseau lors du piratage. C’est un des
intérêts de ces pots de miel puisqu’en retraçant le déroulé de l’action, il devient
possible d’identifier nos erreurs éventuelles et les voies d’amélioration.
Pouvoir retracer le chemin d’un hackeur dans notre système et visualiser ce

qu’il a visité et modifié est essentiel pour améliorer ses défenses. Cela peut
également être utile si la police ou la gendarmerie mènent une enquête après
un incident cyber.
Évidemment, on peut utiliser des pots de miel un peu moins attractifs, mais plus
simples à gérer. Ils permettront néanmoins de recueillir des informations très
précieuses. Par exemple, Niels Provos41 a créé Honeyd, un leurre permettant de
simuler un réseau de machines destinées à tromper les hackeurs informatiques.
Il en existe bien d’autres qui permettent d’accéder à telle ou telle partie d’un
système et selon ce qui nous intéresse, nous utiliserons un pot de miel qui
permettra d’attirer le hackeur là où on le souhaite. Par exemple, si ce qui nous
préoccupe concerne la sécurité de nos sites Internet, nous pouvons très bien
utiliser un site comme appât. Ces leurres ne seront efficaces que sur un point
précis et auront une efficacité limitée, mais ils seront plus simples à gérer.
Mais cette solution n’est pas parfaite. Les hackeurs savent que nous pouvons
recourir à cette technique pour les leurrer, et certains sont assez expérimentés
pour nous leurrer avec notre leurre. Pour cela, ils vont lui faire croire que le leurre
n’est pas vraiment attaqué, mais qu’il s’agit d’un faux positif ou faire croire à vos
leurres qu’une cyberattaque est en train de se produire alors que ce n’est pas
le cas, détournant ainsi notre attention, ce qui va leur permettre d’attaquer
tranquillement une autre partie du système sans que l’on s’en rende compte.
Si ces leurres peuvent avoir leur utilité, ils ne suffisent pas à nous protéger et
peuvent s’avérer contre-productifs si nous avons affaire à un pirate plus fort
que nous.
Vous pouvez également vous protéger en recourant à des entreprises spécialisées

qui peuvent effectuer des tests de pénétration. Ce sont des pirates informatiques
(des hackeurs éthiques) que l’on engage pour mettre à mal nos systèmes et ainsi
révéler les failles et éléments à améliorer. C’est une excellente façon de tester
la solidité de vos réseaux et de vos pratiques. Ces spécialistes du hacking légal
œuvrent dans un cadre qui est à délimiter dans le cahier des charges que vous
fixez pour cette intervention. Il est possible d’informer tous les salariés de ce
test de sécurité ou d’y procéder en informant le moins de personnes possible,
afin d’œuvrer dans des conditions les plus proches de la réalité.
41 Chercheur germano-américain en ingénierie de la sécurité, malware et cryptographie.

En agissant comme l’un de nos attaquants éventuels, ces hackeurs éthiques vont
trouver les failles que d’autres hackeurs moins bien intentionnés utiliseraient
pour pénétrer au sein de notre réseau. Cette méthode est extrêmement efficace
pour améliorer notre niveau de protection, car une fois l’attaque fictive finie,
notre protection peut être grandement améliorée par l’analyse des conséquences
de l’attaque et de la réaction ou de l’absence de réaction de la communauté de
l’entreprise. De cette analyse découleront de précieux conseils que les salariés
seront beaucoup plus enclins à appliquer une fois qu’ils auront constaté par
eux-mêmes combien la cybermalveillance peut être dévastatrice.
La cybersécurité repose avant tout sur l’humain, mais un humain averti et conscient
des risques sera un acteur convaincu et efficace de la culture de la cybersécurité
au sein de l’entreprise.
On pense souvent à faire intervenir ces spécialistes alors que nos systèmes sont
déjà en place et opérationnels, mais il est tout à fait possible d’avoir recours
à leurs services lors de la création de ces systèmes afin d’éviter des erreurs de
conception qui nous exposerait à des risques inutiles. La sécurisation de nos
systèmes se fait alors dès leur plus jeune âge.
Cette solution ne s’applique pas aussi bien à nos ordinateurs personnels.

En revanche, comme dans le domaine professionnel, nous pouvons utiliser des
logiciels antivirus et des pare-feu. Ces deux outils sont essentiels pour assurer
notre sécurité. Si malgré nos efforts, un logiciel malveillant parvient à pénétrer
l’une de nos machines, que ce soit via du phishing ou par un support amovible
contaminé, la difficulté est de s’assurer que ce logiciel ne va pas se répandre
à d’autres ordinateurs de notre organisation. C’est là que ces outils interviennent,
pour éviter d’être contaminés par un tel intrus et pour prévenir la contamination
d’un réseau entier.
L’équipement en antivirus est essentiel pour tous nos outils digitaux, du réseau
de l’entreprise à nos téléphones portables en passant par tous les terminaux,
câbles et logiciels qui permettent notre digitalisation.
Les logiciels antivirus sont utilisés pour sécuriser nos équipements informatiques
et permettent de nous protéger d’éventuelles attaques. C’est grâce à ces logiciels
que nous pouvons naviguer sur Internet sans être contaminés par des logiciels
malveillants, ils permettent également de s’assurer que sur notre ordinateur,
sur les clés USB, nos disques durs externes et tout autre périphérique amovible,
il n’y a pas de logiciel malveillant.
Un antivirus, concrètement, est un logiciel qui scrute en permanence votre
ordinateur, et/ou vos périphériques amovibles. Ce faisant, il analyse tous les
fichiers et programmes s’y trouvant afin de déterminer si certains sont contaminés
par un logiciel malveillant.
Ces programmes ne sont pas forcément des virus au sens strict du terme, il peut
s’agir de cheval de Troie, de ransomware, etc., mais ici, entendons le terme de
virus dans son acception la plus générale.
Ces logiciels sont tout à fait capables de détecter la présence d’un ver ou
d’un ransomware. Pour détecter s’il y a un logiciel malveillant dans un fichier,
les antivirus utilisent une base de données comprenant la signature de nombreux
logiciels malveillants afin d’identifier si l’un d’entre eux est présent. La signature
d’un virus correspond à un morceau de code ou à différents caractères qui
permettent de différencier un virus d’un autre.
Cette méthode a ses limites, puisqu’elle n’est efficace que si la mise à jour de
la base de données des signatures est faite consciencieusement.
Si cette méthode de fonctionnement est la plus connue, ces logiciels en utilisent

également une autre, la méthode dite heuristique. Le logiciel analyse le fichier
et son comportement afin de déterminer s’il agit de façon normale ou non. Si le
fonctionnement est jugé standard par le logiciel, alors le fichier est sain, si le fichier
ne se comporte pas correctement, c’est sûrement qu’il est infecté par un virus.
Désormais, les antivirus vérifient également ce qui se passe sur les sites Internet
que l’on visite afin de se prononcer sur la légitimité de ces sites. Ils peuvent
également nous prévenir en cas de réception d’un e-mail contenant un virus.
Ce logiciel est donc essentiel pour rester en sécurité et nous prévenir en cas
de difficulté. Si un virus est détecté par l’antivirus, celui-ci, non seulement va
nous prévenir, mais surtout va nous informer de la marche à suivre. Il est tout à
fait possible de supprimer le fichier identifié comme problématique, soit en le
faisant nous-même, soit en laissant le logiciel le faire. On peut aussi tenter de
réparer le fichier en utilisant le logiciel antivirus. Cette option ne fonctionne pas
toujours, mais il convient tout de même d’essayer.
Enfin, il est possible de mettre en quarantaine le fichier, pour une durée limitée,
l’antivirus le déplaçant dans une partie plus sûre du disque dur, car il n’est pas
encore en mesure de s’en occuper.
Les antivirus ne sont pas suffisants pour être en sécurité, il est souvent nécessaire
de les combiner à un pare-feu. Les pare-feu ne fonctionnent pas de la même
façon, ils sont utilisés comme filtre à l’entrée de nos systèmes informatiques afin
de ne laisser passer que les utilisateurs ou les informations autorisées.
Le pare-feu peut être un logiciel que l’on installe sur notre ordinateur, mais il se
peut aussi qu’il s’agisse d’un élément bien concret que l’on installe pour séparer
la box fournie par notre opérateur et le réseau de l’entreprise. Enfin, un pare-feu
est aussi présent au sein de nos box d’opérateur.
Les pare-feu sont plutôt des barrières ou des filtres qui contrôlent les échanges
entre l’ordinateur et Internet, que l’échange vienne de l’ordinateur en direction
d’Internet ou inversement. Cet outil empêche certaines pièces jointes de pénétrer
le réseau d’une entreprise, par exemple. Ce qui passe au travers des mailles du
pare-feu correspond au trafic autorisé. Le pare-feu agit comme un mur filtrant
entre l’ordinateur et toutes connexions extérieures.
En combinant ces deux outils, nous pouvons développer un système nous

protégeant d’éventuelles attaques. Mais ces outils ne sont réellement utiles que
si nous avons également des comportements respectant les règles de sécurité
et d’hygiène numérique.

Les honey pots constituent une classe d’outils de défense intéressants.
Reste à avoir les moyens en interne pour rentabiliser la vision qu’ils donnent
de ce qui est attaqué et comment. Intéressant, donc, mais coûteux.
Ensuite viennent deux autres systèmes plus abordables, mais pas forcément
tournés vers l’amélioration continue de votre défense cyber : les antivirus et
pare-feu, outils utiles et même indispensables…
3.1.7 Des coûts trop nombreux et trop variés
AVANT DE PLONGER
Le problème avec les cyberattaques, c’est que leurs coûts ne se limitent pas
au domaine financier. En effet, leurs conséquences vont plus loin qu’une
perte temporaire de revenus ou un besoin de remplacement de son parc
informatique.
Les conséquences et les coûts des cyberattaques sur nos entreprises sont
beaucoup plus variés que l’on ne peut le croire au premier abord. Le cabinet
Deloitte en a recensé quatorze et les représente sous la forme d’un iceberg
(voir Figure 3.3, page 155) avec seulement une petite partie visible, émergée.
Cette image n’est pas choisie au hasard et illustre bien que si seuls certains
coûts sont évidents, ils en existent d’autres à ne pas négliger.
Un autre impact est le réflexe quasiment pavlovien déclenché par une

cyberattaque en faveur de l’amélioration du dispositif de sécurité de l’entreprise.
C’est complètement logique, puisque dans le souci que cela ne se reproduise
pas, le niveau de sécurité sera amélioré tout comme l’acculturation de tous
à la sécurité informatique.
Figure 3.3 Les 14 impacts d’une cyberattaque.

(Reproduit avec l’aimable autorisation de Deloitte France)
Il n’étonnera personne qu’une cyberattaque ait un impact majeur en termes de

relations publiques. L’image et la réputation de l’organisation concernées sont
durement et durablement impactées comme on a pu le constater récemment
avec Facebook qui a connu une fuite de données massive concernant 533 millions
d’utilisateurs. Cette conséquence n’a rien de négligeable puisque la réputation
d’une entreprise et son image sont essentielles pour conserver, voire acquérir,
des parts de marché. Son influence contribue à la maintenir en vie.
Naturellement la faille qui a été à l’origine de l’attaque sera comblée, mais il

faudra aussi s’intéresser à tout le processus systémique qui devra être expertisé
et consolidé.
En lien direct avec cette deuxième conséquence, toutes les victimes de

cyberattaques doivent s’assurer que les données de leurs clients et partenaires
n’ont pas été affectées par la cyberattaque. Une fois que cet élément est vérifié,
il faut s’assurer que le niveau de sécurité post-incident est suffisamment conforté
autour de ces données.
Si jamais l’on se rend compte que certaines données de clients ou de salariés

ont été atteintes par les cyberattaquants, nous devons les en informer le plus
rapidement possible. Cette obligation est d’autant plus ferme que le Règlement
européen sur la protection des données (RGPD) de 2016 impose qu’en cas de
failles de sécurité ayant eu un impact sur les données personnelles de leurs
clients ou de leurs salariés, l’entreprise doive notifier la faille aux personnes
dont les données ont été touchées le plus rapidement possible, soit dans les
72 heures après l’incident.
La mention de ce règlement permet de mettre en lumière un autre impact pour

les entreprises, lesquelles doivent respecter le cadre réglementaire général.
Une cyberattaque coûte extrêmement cher aux victimes, rien qu’avec

les investigations nécessaires pour comprendre l’origine de l’attaque, son
déroulement, ses conséquences. Pourtant c’est essentiel pour pouvoir avancer
et éviter de reproduire les mêmes erreurs et se retrouver victime d’une nouvelle
cyberattaque.
Enfin, après une attaque, il est fort probable que l’entreprise doive s’acquitter
de différents frais, notamment d’avocats ou de justice. Si beaucoup de victimes
n’ont guère d’espoir que leurs cyberattaquants soient sanctionnés, il importe
néanmoins de ne pas renoncer à porter plainte, car il arrive que la justice puisse
remonter jusqu’à certains auteurs. Tel fut par exemple le cas avec le Russe
Alexander Vinnik auteur du rançongiciel Locky.
Ces impacts sont aujourd’hui relativement faciles à imaginer, mais ce ne sont pas
les seuls que les entreprises devront affronter. C’est pour cela que le cabinet
Deloitte utilise l’image de l’iceberg, avec sa partie immergée, souvent plus
importante, voire plus dangereuse que celle visible de tous. Dans cette partie
immergée, Deloitte liste encore sept impacts.
Le premier concerne la perte de confiance des clients liée à la mauvaise publicité

que cette attaque a causée. Un deuxième impact, qui va de pair avec le précédent,
se traduit par une éventuelle dépréciation de la valeur de la marque. Un troisième,
lié à une faille dans le système de sécurité de l’entreprise, pourrait être la perte de
propriété intellectuelle puisque lors de la mise à profit de cette faille, des secrets
de fabrication ont pu être volés, voire divulgués.
Un quatrième impact pourrait se traduire par une augmentation des primes

d’assurance de l’entreprise.
Ensuite viennent deux impacts avec, d’une part, l’augmentation du coût de la
dette et, d’autre part, de potentielles interruptions d’activités, de machines,
voire la « casse » d’un équipement.
Le premier impact concernait la perte de confiance, celle-ci peut se traduire en
un septième impact, la perte de chiffre d’affaires.
Ces conséquences ne prennent pas corps toutes au même moment, certaines
sont immédiates, alors que d’autres ne produisent leurs effets qu’avec le temps.
Mais peu importe leur temporalité, il est nécessaire que l’entreprise puisse réagir.
C’est pourquoi il est important que cette dernière dispose de deux éléments :
un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA).
Le plan de continuité d’activité permet d’assurer la survie d’une entreprise,
alors que cette dernière a subi un important dommage au niveau de son système
informatique.
Il permet de relancer l’activité dans les moindres délais en s’assurant que
l’entreprise perdra le moins possible de ses données. Un tel plan est essentiel
pour que l’entreprise dispose d’une politique de sécurité informatique complète.
Mais il est également important pour une entreprise de s’être dotée d’un
plan de reprise d’activité qui concrétise les étapes à opérer pour réparer et
remettre en état de marche son système informatique. Ce plan anticipe les
différentes situations auxquelles l’entreprise pourrait devoir faire face, il nécessite
donc d’imaginer ces scénarios sans se limiter aux évidences. Il est essentiel que
dans ce plan soient prévues les différentes redondances des systèmes essentiels
et l’identification des personnels ayant un rôle clé pour réparer ce système,
ainsi que les conditions dans lesquelles ces actions se dérouleront.
Un plan de secours doit également être prévu pour que les salariés et les dirigeants
puissent communiquer entre eux bien qu’en mode dégradé. Ainsi il faut être
capable de travailler sans messagerie, sans téléphone mobile et même parfois,
sans téléphone fixe. Dans ce cas, il est possible de recourir à des messageries
de secours, des systèmes de visioconférence ou des groupes WhatsApp, mais
plus ces possibilités auront été anticipées, plus la reprise de contact entre tous
sera rapide. Cette reprise de contact permettra d’abord à tous ceux qui auront
été déstabilisés par la cyberattaque de retrouver du réconfort dans l’échange.
Elle permettra aussi de préparer sans tarder le redémarrage, important sous
l’angle économique, mais également dans sa dimension psychologique. En effet,
reprendre rapidement un semblant de vie normale contribuera à dépasser le
choc et le découragement légitimement ressentis par tous.
Économiquement, chaque cyberattaque est coûteuse et ce coût risque

d’augmenter avec le niveau d’intensité de l’attaque. En effet, une attaque
entraîne des coûts de remise en fonctionnement des systèmes, voire des machines
et l’entreprise peut également être dans l’obligation de cesser son activité.
D’autres coûts sont susceptibles de venir s’ajouter, notamment au niveau des
relations publiques et de la communication afin de redorer l’image de l’entreprise.
D’un autre côté, si l’entreprise a manqué à ses obligations, notamment sécuritaires,
elle peut être amenée à régler des amendes. Toutes ces conséquences peuvent
avoir des répercussions sur l’économie au niveau local, régional et national,
selon l’importance de l’entreprise.
Pour résumer la logique qui prévaut à la construction d’un PCA/PRA, la Figure 3.4
(voir page 159) synthétise les sept étapes de sa mise en place.

Manager les risques, c’est souvent prévoir le pire et, en cas d’attaque cyber,
au-delà des coûts financiers et autres, directs et indirects, il importe de prévoir
le redémarrage de l’organisation. Pour ce faire, celle-ci doit avoir préparé un
PCA et un PRA.
3.1.8 Les CERT (Computer Emergency Response Team)
AVANT DE PLONGER
Un élément souvent oublié de la sécurité informatique se cache dans les CERT,
organismes qui sont une autre ligne de défense au service des entreprises.
Les CERT, pas forcément à la portée de toutes les tailles d’organisations,
pourraient être développés pour les PME et, pourquoi pas, les TPE.
Dans certaines grandes entreprises, le risque cyber est tel que d’importants
moyens lui sont consacrés. Elles ne se contentent pas de trouver des antivirus
et des pare-feu performants, elles vont plus loin et développent leur propre
computer emergency response team42 (CERT). Il peut s’agir d’un département de
l’entreprise qui se charge de prévenir et de gérer les alertes et incidents de sécurité
menaçant leur entreprise, ou d’un CERT autonome. Les CERT indépendants
offrent une gamme de services spécifique aux entreprises désireuses d’améliorer
leur cybersécurité sans pour autant vouloir gérer cela en interne. Extérioriser
son CERT peut venir d’une décision purement économique ou d’un souci d’avoir
à disposition les meilleurs spécialistes en matière de cybersécurité.
42 Que l’on peut traduire par « centre d’alerte et de réaction aux attaques informatiques ».
Figure 3.4 Construire un PCA/PRA en 7 étapes

(Dans l’idéal, le PRA est un élément du PCA censé permettre la continuité de l’activité,
mais nombre d’entreprises se limitent à un PRA)
Les CERT vont accompagner les organisations dans la gestion des incidents de
sécurité c’est évident, mais leur rôle va plus loin, puisqu’ils peuvent également
les accompagner dans la mise en œuvre de leur politique de sécurité.
Ces entités sont mises en place pour les grandes entreprises et les établissements
de taille intermédiaire (ETI). Si nous avons décidé d’en parler ici, ce n’est pas
pour le simple plaisir d’être complets dans la panoplie des défenses cyber.
Non, notre objectif est ailleurs. En effet, à l’image de ce que l’on voit apparaître
avec le RGPD et l’embauche de DPO à temps partagé (syndicats de communes,
regroupement d’entreprises d’un même secteur géographique, par exemple),
il nous semblerait pertinent que des structures regroupant des entreprises
puissent réfléchir à la mise en commun de moyens pour des CERT sectoriels,
transversaux ou autres.
Mais, pour l’instant, observons le mode d’organisation et de fonctionnement

de ces… CERT.
En cas d’incident tout d’abord, il est essentiel de savoir comment réagir et pour
cela, il faut déjà connaître la nature réelle de l’incident et son importance. Le CERT
permet cela, ses experts pouvant estimer et faire remonter le niveau d’alerte
correspondant à la difficulté rencontrée par l’entreprise. Cette dernière pourra
ensuite agir en fonction de ces informations tout en étant soutenue par le CERT.
Les CERT sont essentiels pour adapter le niveau d’alerte, et donc la vigilance
et la capacité de réaction, à la difficulté rencontrée, suivre l’évolution de la
situation et réagir en fonction. Si les CERT détectent un incident, suspecté ou
avéré, ils vont pouvoir réagir de concert avec l’entreprise, après l’avoir informée
de ce qu’il se passe et des risques qu’elle encourt.
Mais les CERT jouent également un rôle plus proactif en assurant une veille
technologique, en réalisant des audits et des évaluations du niveau de sécurité
de l’entreprise et des outils qu’elle utilise. Ils contribuent également à diffuser les
informations nécessaires pour améliorer la sécurité et le respect de ces règles.
La menace cyber ne se gère pas uniquement pendant et juste après une attaque,
assurer une veille, un contrôle et sensibiliser les employés est essentiel.
Pour mener à bien leurs missions, les CERT disposent de spécialistes. Ceux-ci sont
en permanence en état d’alerte, sont en mesure de réagir en cas d’incident,
mais jouent également un rôle en matière d’éducation, de veille et de surveillance.
Ces éléments sont tous nécessaires pour disposer d’une véritable politique de
cyberdéfense au sein de l’organisation. Le travail des CERT couvre tous les pans
de la gestion de la sécurité, ils peuvent apporter leur aide pour rédiger le plan
de continuité d’activité et le plan de reprise d’activité, deux éléments essentiels
à la vie de toute entreprise :
 Le plan de continuité d’activité permet de prévoir comment une organisation

va fonctionner après une crise d’importance. Ce plan déroule le protocole
à suivre pour limiter l’impact d’une crise sur une organisation. Son objectif
est que le travail puisse se poursuivre et donc il prévoit concrètement,
pas-à-pas, le fonctionnement fut-ce en mode dégradé, malgré la crise de
l’organisation.
Ce document est stratégique et propre à chaque organisation. Après sa
rédaction, le CERT veille directement ou indirectement à sa mise à jour,
voire dans l’idéal, le teste. Ce PCA contient une analyse critique des
vulnérabilités de l’organisation et arrête des objectifs pour la continuité de
son activité. Il s’agira par exemple de prévoir un niveau de service minimum
que l’organisation continuera à fournir ou de fixer le taux d’indisponibilité
maximale qu’elle pourra endurer pour ses différents services. C’est également
à cette occasion que sont définies les ressources et les procédures à mettre
en place en cas de crise, procédures qui devront permettre d’assurer la
pérennité de l’activité jusqu’au retour à la normale.
Ce plan n’oubliera pas, évidemment, de prévoir la sortie de crise envisagée

et la planification de la reprise de l’activité, car toutes les crises ont une fin
et la manière dont une organisation en sort est essentielle pour sa survie.
 Quant au plan de reprise d’activité, avec l’accompagnement du CERT,

il s’agira de prévoir (rédiger, tester…) les procédures qui seront employées,
même temporairement, pour reprendre les activités habituelles de
l’organisation. Par exemple, une liste des partenaires avec lesquels des
relations régulières doivent se poursuivre est établie avec des adresses
mail « alternatives ».
Pour fonctionner, ce plan identifie les activités critiques de l’organisation
concernée, ses ressources et surtout les solutions qui pourront être mises
en place pour maintenir à flot les activités critiques de l’entreprise. Ce plan
est essentiel, car lors d’une crise, il est difficile de prendre toutes les bonnes
décisions et d’avoir un regard clair sur la situation, d’où l’intérêt de disposer
des ressources d’un CERT pour, non seulement prévoir la sortie de crise,
mais aussi tester des solutions.
Ce plan est prévu en amont pour pouvoir être appliqué en situation.

Il doit permettre d’éviter de perdre du temps et de tâtonner de façon
désordonnée et désorganisée. Plus vite l’activité reprend son cours normal,
plus les pertes financières et les conséquences de toute nature pour
l’organisation seront limitées.
Pour réussir cela, le plan part des conséquences d’une crise pour élaborer
les procédures à suivre.
Les CERT sont donc un soutien permanent, mais ils ne sont pas la seule organisation
sur laquelle on peut s’appuyer. Il existe un socle d’organisations grâce auquel
nous pouvons améliorer notre approche des menaces cyber.

Les CERT sont un exemple intéressant de regroupement de moyens pour une
meilleure défense cyber. À développer donc d’autant plus qu’en matière de
prévention, ils peuvent aider concrètement à la rédaction et mise en place
de PCA/PRA.
3.2 Organisations à protéger, organisations

aidantes
Depuis la fin des années 2000, la France a mis sur pied une stratégie de
cybersécurité pour soutenir nos organisations face aux cyberattaques.
Cette stratégie s’appuie sur l’arsenal et les compétences nécessaires pour,
d’une part, accompagner tous types de structures comme les particuliers,
d’autre part, regrouper les réponses nécessaires, qu’elles soient sécuritaires,
répressives, civiles et militaires. À noter que certains de ces outils sont intégrés
à des schémas européens.
3.2.1 Les organisations à protéger
AVANT DE PLONGER
Avant même de parler des organisations qui ont été mises en place pour nous
soutenir, il importe de connaître les structures qui nécessitent un besoin de
protection particulier, car si les cyberattaques ont toujours des conséquences
non désirées, lorsqu’elles touchent certaines organisations, c’est l’économie
entière qui peut être menacée. C’est donc au nom de l’intérêt général que
ces structures doivent bénéficier d’une attention particulière en matière de
cyberrisques.
En raison des conséquences que peuvent avoir les cyberattaques, et de

l’importance qu’ont certaines organisations pour le fonctionnement global du
pays, la France a mis en place des règles permettant de protéger nos organisations
les plus vitales. L’objectif est d’éviter ce qu’ont connu les États-Unis en 2021
avec l’attaque cyber qui a touché l’entreprise Colonial Pipeline, opérateur d’un
oléoduc de carburant sur plus de 8 800 km de pipelines à travers le pays.
Les prémices de la protection des installations vitales pour l’économie française

remontent à l’ordonnance du 29 décembre 1958. Déjà à l’époque, cette ordonnance
identifiait des organisations que l’on devait considérer comme des « points
sensibles ». Aujourd’hui, les risques sont encore accrus, car les technologies
toujours plus performantes entraînent une fragilité grandissante et un besoin
de protection bien calibré. Au niveau national, cette protection s’est traduite
par l’introduction dans le Code de la défense d’un « dispositif interministériel de
sécurité des activités d’importance vitale » qui permet de protéger les « opérateurs
d’importance vitale » nécessaires au fonctionnement du pays. Par opérateur
d’importance vitale (OIV), on doit comprendre, les organismes « privés et publics,
qui exploitent ou utilisent des installations jugées indispensables pour la survie
de la Nation ». Donc des organisations diverses qui, en raison de leur cœur de
métier, font partie des engrenages qui permettent à notre société et à notre
économie de fonctionner normalement.
Le Code de la défense apporte quelques précisions sur ce que l’on peut entendre
par OIV. Il s’agit de : « Secteurs d’activité d’importance vitale, mentionné
au 1° du II de l’article R. 1332-1 [qui] est constitué d’activités concourant à un
même objectif, qui :
h 1° ont trait à la production et la distribution de biens ou de services
indispensables :
a) À la satisfaction des besoins essentiels pour la vie des populations ;
b) Ou à l’exercice de l’autorité de l’État ;
c) Ou au fonctionnement de l’économie ;
d) Ou au maintien du potentiel de défense ;
e) Ou à la sécurité de la Nation,
dès lors que ces activités sont difficilement substituables ou remplaçables ;
h 2° Ou peuvent présenter un danger grave pour la population. »
Concrètement, les OIV concernent les secteurs essentiels à notre vie quotidienne,
qu’il s’agisse des transports, du secteur bancaire, du secteur de l’alimentation,
mais aussi du secteur de la santé, de l’énergie, etc. Chacun de ces secteurs est
nécessaire à un fonctionnement normal de notre pays et il n’est pas envisageable
que des interruptions ou des défaillances affectent les services rendus à la
population, ainsi qu’aux entreprises et services publics.
Pour protéger ces OIV, un dispositif a été mis en place en 2006 avec, pour objectif,
la « sécurité des activités d’importance vitale » pour les activités concourant à « la
production et à la distribution de biens ou de services indispensables à l’exercice
de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel
de défense ou à la sécurité de la Nation ». Un tel dispositif rassurera tout un chacun.
Nous concevons en effet aisément qu’un dysfonctionnement de l’une de ces

activités soit difficile à traiter et se traduise par des conséquences pouvant être
désastreuses.
C’est pour cela qu’au-delà des risques d’origine naturelle, ces infrastructures
sont protégées contre tous les actes de malveillance et les différents risques
auxquels elles pourraient être confrontées, sur le plan technologique.
On compte au moins douze secteurs d’activité sensibles protégés. Ils sont
répartis en quatre groupes. Un premier groupe autour de l’être humain avec
ce qui concerne la santé, un groupe plus régalien avec notre sécurité et les
activités judiciaires et militaires. Un troisième groupe plus économique englobant
notamment l’énergie et les finances. Enfin, le dernier groupe lié à la technologie
qui recouvre l’industrie, l’espace et la recherche.
Par ailleurs, la loi de programmation militaire de 2014-2019 prévoit que ces
OIV doivent adopter les mesures de sécurité nécessaires pour leurs systèmes
d’information. En effet, la protection de ces organisations doit d’abord venir
d’eux-mêmes. Leurs systèmes de protection doivent être particulièrement
perfectionnés, encore plus que pour des organisations moins sensibles.
Il existe une liste de plus de 200 OIV dont l’identité établie par arrêté ministériel
est classée secret-défense. Ces OIV peuvent prendre différentes formes,
pouvant aller d’associations à des services de l’État, en passant par des sociétés,
des fondations, des organisations internationales, des collectivités territoriales,
des établissements publics et des autorités administratives indépendantes.
Pour aider ces OIV à se protéger, des règles particulières ont été édictées afin
qu’ils respectent des obligations particulières, et ce notamment dans le domaine
juridique.
Parmi ces règles spécifiques, on trouve, par exemple, une obligation d’identifier,
dans leurs systèmes d’information, les logiciels ou « parties » les plus critiques.
Une telle identification n’est évidemment pas faite pour le plaisir, mais assortie
de la nécessité de mesures de sécurité renforcées. Et pour cause, si une de
ces infrastructures était touchée par une cyberattaque, les conséquences
seraient encore plus catastrophiques que pour une autre et auraient une
répercussion nationale.
L’Agence nationale de sécurité des systèmes d’information (ANSSI), que nous
présenterons plus loin, a connaissance de la liste de ces OIV et cette liste est
régulièrement mise à jour afin de garder toute sa pertinence. Toutes les entreprises
qui en font partie sont contactées par l’ANSSI qui les prévient en cas de menace
en les informant des risques encourus, voire en les invitant à se conformer à de
plus hauts standards en matière de sécurité et de protection de leur système.
L’identification de ces systèmes particulièrement sensibles fait suite à une

analyse d’impact. En effet, si une attaque visant un de ces OIV réussissait, il faut
en avoir identifié en amont les conséquences possibles et avoir mesuré, autant
que faire se peut, leurs retombées. C’est pourquoi les OIV sont tenus de notifier
à l’ANSSI chaque incident pouvant avoir un impact significatif sur leurs fonctions
essentielles et donc sur la bonne marche économique et sociétale française.
Même s’il s’agit d’une réalité effrayante, il ne faut pas oublier qu’un État peut voir
sa stabilité mise à mal par une cyberattaque, notamment si elle cible un service
de communication ou d’énergie. En paralysant une entreprise de communication,
on peut perturber les communications d’une grande partie d’un pays, ce qui
aura nécessairement des conséquences sur d’autres pans de sa vie économique
et sociale.
Tant les secteurs public que privé – et que l’ensemble des citoyens – ne peuvent
fonctionner sans moyens de communication et il n’est pas rare que la coupure
des communications, même partielle, entraîne un vent de panique au sein de la
population, surtout si les services d’urgence sont rendus inaccessibles. Le manque
d’accès aux communications serait très déstabilisateur, surtout dans notre société
où nous sommes habitués à une hyperconnectivité constante.
Par ailleurs, l’interruption des communications traditionnelles nécessiterait de

recourir à des modes de transmission « immunisés » face aux cyberattaques.
Il s’agit souvent de modes de communication plus anciens qui ont fait leurs
preuves par le passé, avant d’être éclipsés par nos moyens de communication
modernes. L’inconvénient de tels moyens de communication est qu’ils sont
désormais plutôt rares, et même si une grande partie de la population pouvait
se procurer un de ces appareils, nous ne serions certainement pas en mesure
de les utiliser convenablement. Par exemple, si je devais utiliser un fax plutôt
qu’un e-mail, je serais bien incapable de le faire. Cette idée du fax n’est pas
saugrenue, il a déjà fallu y recourir, notamment en 2011 aux Pays-Bas à la suite
d’une cyberattaque ; l’avocate Ruth Neymaert témoignait à l’époque : « Les
cours de justice et les cabinets d’avocats ne doivent plus utiliser les e-mails, nous
avons pour consigne de travailler avec des notes manuscrites alors que depuis
des années tout est numérique, c’est un cauchemar.43 » Cette attaque a pris
pour cible la société conceptrice de la sécurité du site Internet du gouvernement
hollandais permettant aux citoyens d’accéder à des services comme le paiement
de leurs impôts ou les inscriptions à l’université.
43 J ean-David Raynal, « Une cyberattaque oblique les Pays-Bas à revenir au fax », Le Point
international, 14 septembre 2019 (https://www.lepoint.fr/monde/une-cyberattaque-oblige-
les-pays-bas-a-revenir-au-fax-14-09-2011-1373298_24.php).
L’importance de ces réseaux a été soulignée par Patrick Pailloux, ancien directeur
de l’ANSSI, pour qui : « Nos sociétés dépendent de l’informatique et des
communications électroniques pour vivre. Ces technologies sont désormais les
systèmes nerveux de nos nations. Notre survie, au sens étroit du terme, dépend
parfois du bon fonctionnement des systèmes d’information.44 »
Il en va de même dans le domaine des transports de l’énergie, des transports
de marchandises et de matières ou de la santé, évidemment.
Une atteinte au réseau du transport entraînerait des coupures paralysantes
que l’on peut aisément imaginer. Les exploitants de tunnels, par exemple,
se trouveraient alors dans l’impossibilité de contrôler les circuits d’air. Un tel
risque placerait l’attaquant dans une position de force indéniable.
S’attaquer aux péages pourrait également perturber les flux de circulation et
bloquer un grand nombre d’automobilistes en des lieux précis, embolisant
rapidement la circulation.
Perturber le réseau énergétique, que ce soit l’électricité, l’eau ou le gaz, causerait
également des troubles importants sur la population, laquelle pourrait avoir des
réactions en chaîne, notamment de panique, difficiles à canaliser et maîtriser.
De plus, il n’est pas certain que certaines infrastructures soient à même de
supporter de telles défaillances, rendant leur redémarrage difficile dans des
délais raisonnables.
Cette menace n’est pas improbable, car en 2016 le réseau de transport d’électricité
(RTE) aurait, selon son rapport annuel, déjoué plus de 4 000 attaques. Par ailleurs,
l’attaque subie par l’Ukraine illustre concrètement la fragilité de ce type de réseau,
comme ce fut le cas avec l’attaque déployée contre les réseaux énergétiques
britanniques par le groupe Dragonfly. Ce dernier est parvenu à entrer dans ces
réseaux « en imitant à la perfection une plateforme Web sur laquelle se rendaient
des employés d’une usine, afin de récupérer des codes d’accès45 ».
Une défaillance générale et durable de l’un de ces réseaux du fait d’une
cyberattaque provoquerait inévitablement des mouvements de panique,
voire d’émeute, avec des impacts économiques certains.
Une attaque sur un seul de ces réseaux pourrait avoir de graves conséquences
et la situation serait encore plus délicate si plusieurs de ces réseaux étaient
attaqués simultanément, ce qui constituerait une situation inédite et extrêmement
difficile à gérer.
44 J ulien Lausson, « La France identifie 122 services essentiels qui doivent être protégés des
cyberattaques », Numérama, 13 novembre 2018 (https://www.numerama.com/politique/439080-
122-services-essentiels-a-la-nation-sont-des-cibles-privilegiees-pour-les-cyberattaques.html).
45 V incent Gaillard, « Cyberattaques des réseaux électroniques : un enjeu politique majeur »,
Les Smart grids, 13 mars 2019 (https://les-smartgrids.fr/reseaux-electriques-cyberattaques-2-2/).
En plus des OIV, une directive européenne du 6 juillet 2016 46 introduit la

notion d’opérateur de service essentiel (OSE). Cette directive a pour objectif
« l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités
nationales des États membres en matière de cybersécurité, la mise en place
d’une coopération efficace et la protection des activités économiques et
sociétales critiques de la nation, pour faire face collectivement aux risques de
cyberattaques ».
Cette directive poursuit quatre objectifs. Le premier vise à renforcer les capacités
nationales des États membres en matière de sécurité des systèmes d’information,
le deuxième doit permettre une meilleure coopération entre les États membres,
le troisième et le quatrième correspondent à une volonté d’établir un cadre
réglementaire pour les OSE et enfin l’établissement d’un cadre réglementaire
pour les fournisseurs de services numériques.
Ces opérateurs c’est-à-dire les « nouveaux acteurs [qui] fournissent un service

essentiel dont l’interruption aurait un impact significatif sur le fonctionnement
de l’économie ou de la société » doivent respecter des règles de sécurité
particulières, notifier d’éventuels incidents à l’ANSSI, mettre à disposition de
l’ANSSI toute information utile en cas d’audit ou de contrôle.
Les fournisseurs de service numérique devront également notifier toute faille

de sécurité à l’ANSSI.
Selon Olivier de Maison Rouge 47, cette directive « fixe un cadre européen
compatible avec la loi de programmation militaire française dont elle s’est
largement inspirée ».
Parmi ces services essentiels, en France, il est possible d’identifier :

 dans le domaine de la santé, les grossistes répartiteurs pharmaceutiques ;
 dans le domaine des infrastructures numériques, les fournisseurs de services
de système, de noms de domaine ;
 dans le secteur bancaire, les établissements de crédit.
Cette directive met en place une nouvelle classification qui se traduit par les OSE,
mais ces derniers ont des similitudes importantes avec les OIV.
46 Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant

des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des
systèmes d’information dans l’Union.
47 D octeur en droit, Olivier de Maison Rouge est avocat d’affaires, spécialiste du droit de
l’intelligence économique et auteur du livre Les cyberisques (LexisNexis, 2018).
En plus des organisations que l’on sait vitales pour notre société, les experts en
cybersécurité redoutent une menace encore plus vaste, illustrée par les propos
de Henri Verdier à l’occasion du Forum international de la cybersécurité (FIC)
de 2019 : « Ici dans la salle, tout le monde le sait […]. On aura un jour l’arrêt
total d’un hôpital, de dix hôpitaux, le gel total d’une ville, la perte de milliards
de dollars… Ça va arriver. Bien sûr, on va essayer de calmer tout ça, de durcir
les sécurités, mais cette possibilité existe. »
Ce qu’il évoque ici est plus souvent connu sous le terme de « cyber-Pearl Harbor »,
soit une attaque d’une ampleur majeure engendrant des pertes économiques
et des dommages au sein de la société. Cette attaque d’ampleur pourrait se
manifester, par exemple, par une série d’attaques surprises et stratégiques,
prenant pour cible simultanément, des hôpitaux, des services de transports,
de communication. Quelle que soit l’ampleur de ces attaques, leur simultanéité
peut avoir des conséquences dramatiques sur la vie de notre société.
C’est en raison du caractère surprenant, majeur et dévastateur de cette attaque
qu’elle est assimilée à l’attaque-surprise subie par les forces américaines à Hawaï
le 7 décembre 1941 par les forces japonaises.
Cette expression aurait été utilisée pour la première fois, en 2012, par
Léon Panetta48, secrétaire américain à la Défense et ancien directeur de la CIA.
Il est clair que cette hypothèse ne relève pas de la fiction, car les éléments
techniques et les compétences permettent une attaque de typer « cyber-Pearl
Harbor » sans qu’il soit possible de prévoir quelles actions pourraient être
commises et surtout, par qui.
Il n’est pas très compliqué d’envisager un scénario d’attaque-surprise pour
lequel aucune réponse n’aurait été envisagée. C’est pourquoi il est nécessaire
d’établir des scénarios anticipant un maximum de types d’attaque et de prévoir
les processus de réaction les plus adéquats pour chaque type.
En effet, selon Léon Panetta : « Il y a de fortes chances que le prochain Pearl Harbor
soit une cyberattaque qui paralyse notre approvisionnement énergétique,
les flux financiers et notre réseau de transports. »
L’utilisation d’armes cyber, du fait de leurs conséquences sur les infrastructures, les
paralysies et carences déjà évoquées créent un profond sentiment de vulnérabilité
pour chacun d’entre nous.
Ce sentiment est accru du fait du caractère souvent flou du fonctionnement des
armes cyber, et cette méconnaissance renforce le sentiment diffus d’angoisse
que nous pouvons tous ressentir.
48 Ancien directeur de la CIA et ancien secrétaire de la Défense américain.

Pour gérer au mieux ces difficultés, plusieurs organisations ont été créées afin de
nous aider dans ce domaine. En matière civile, deux organisations sont leaders en
la matière et peuvent nous apporter des conseils quotidiens, la CNIL et l’ANSSI.
D’autres organisations plus spécifiques peuvent également nous soutenir.

Il y a donc cible et cible… Certaines, les OIV et OSE sont des cibles qui
présentent un plus grand risque pour une attaque d’envergure pour un pays
et c’est pourquoi elles doivent être protégées avec la plus grande fermeté.
C’est ce que voulait exprimer Guillaume Poupard49 en précisant : « Il y a des
victimes (potentielles) qui ne peuvent pas être victimes. » Cette nécessité de
protection se concrétise aujourd’hui dans les mécanismes destinés à sécuriser
les OIV autant que les OSE.
3.2.2 La Commission nationale informatique et libertés

(CNIL)
AVANT DE PLONGER
Nous connaissons tous la CNIL, notamment car pendant des années, nous
devions effectuer auprès d’elles nos déclarations préalables concernant
la collecte de données personnelles et la création de fichiers destinés
à divers traitements. Plus récemment, la CNIL a été très présente pour nous
accompagner dans la mise en œuvre du RGPD. Mais son rôle ne se limite
pas à ce seul règlement.
Dès 2008, dans le Livre blanc de la défense nationale est mentionnée une autorité
administrative indépendante qui œuvre à la protection des données personnelles.
Il s’agit de la CNIL, créée par la loi du 6 janvier 1978 et qui se définit elle-même
comme « le régulateur des données personnelles ».
Ses missions s’avèrent d’une aide très précieuse pour chacun de nous, à commencer
par le fait qu’elle nous informe de nos droits en matière de protection des données
et qu’elle contribue à assurer cette protection.
Elle joue également un rôle extrêmement important d’accompagnement et de
conseil afin que toutes nos organisations parviennent à atteindre la conformité aux
règles entourant la protection des données. C’est d’ailleurs dans ce cadre qu’elle
assure la mise en œuvre du règlement général sur la protection des données (RGPD).
Par exemple, si je ne sais pas comment vérifier les données personnelles me

concernant conservées par un service public, je peux me tourner vers la CNIL.
49 Directeur général de l’ANSSI.

Sur son site, je vais trouver toutes les informations nécessaires sur mes droits,
la manière dont je peux les exercer.
Toujours auprès de la CNIL, je vais pouvoir effectuer certaines démarches,

comme désigner le délégué à la protection des données de mon organisation
ou, en cas de violation de données, identifier la marche à suivre. Sur son site
Internet, je vais aussi pouvoir me former grâce au MOOC50 « L’atelier RGPD ».
La CNIL se charge également d’anticiper les innovations et d’innover elle-même

sur toutes les questions liées aux libertés informatiques et à la protection des
données produites par les personnes et par les entreprises.
Enfin, elle intervient également pour contrôler les actions que nous menons pour
assurer la conformité de notre organisation au RGPD. Si jamais nous ne nous
conformons pas aux dispositions de ce règlement, la CNIL a l’autorité nécessaire
pour nous sanctionner.
La CNIL assume donc un rôle essentiel en matière de protection des données

personnelles. Ses conseils et son accompagnement sont donc précieux, jusque
et y compris dans une dimension préventive. Son rôle a évolué avec l’entrée
en vigueur du RGPD puisque désormais, son activité se concentre moins sur
les déclarations préalables d’utilisation de données personnelles que sur
l’accompagnement et le contrôle des organisations.
Ainsi, avec le RGPD, nous devons obligatoirement notifier à la CNIL toute

violation de données personnelles, si l’incident constitue un risque au regard
de la vie privée des personnes concernées. Nous devons également prévenir
les personnes concernées par cette violation de leurs données personnelles,
en cas de risque élevé d’utilisation de ces données.
Ses pouvoirs sont étendus puisque la CNIL peut aussi infliger des sanctions en
cas de manquement à nos obligations en matière de protection des données.
Ces sanctions se traduisent essentiellement par des amendes dissuasives dont
le montant peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires
mondial de l’entreprise (le montant de l’amende sera le plus élevé des deux).
Ces montants sont bien plus dissuasifs que ce qui a pu exister auparavant et
c’est le gage de leur impact pour faire respecter le RGPD.
La CNIL n’est pas l’autorité de référence en matière de cyberdéfense ou de

cyberprotection, mais elle joue un rôle majeur pour la protection de nos données.
50 Massive open online course.

Pour résumer la logique du RGPD, dont la CNIL est le garant en France, la figure
suivante synthétise les droits accordés aux citoyens français et, plus largement
européens, ainsi que les obligations qui en découlent pour les organisations.
Figure 3.5 RGPD, des droits qui créent des obligations


En tant qu’individus, nous pouvons tous nous adresser à la CNIL en cas
de problème concernant nos données personnelles. Il est possible de
déposer une plainte auprès d’elle en cas de problèmes de réputation en
ligne, c’est-à-dire pour demander la suppression de contenus présents sur
Internet. Une plainte peut également concerner des difficultés de ressources
humaines, notamment en matière de géolocalisation des véhicules ou de
vidéosurveillance, par exemple.
Concernant les entreprises, la CNIL joue également un rôle protecteur,
ne serait-ce que par les conseils donnés et outils proposés.
3.2.3 Les autres agences européennes

AVANT DE PLONGER
Si le travail de la CNIL permet de limiter certains risques en matière de
protection des données personnelles, d’autres agences jouent un rôle
déterminant pour la sécurité des systèmes d’information.
À l’échelle de l’UE, le Comité européen de la protection des données (CEPD)
veille à la bonne application du RGPD. Précédemment connu sous l’acronyme G29,
il doit son existence à ce règlement européen. Sa rédaction prévoyait en effet
la création d’un organisme indépendant au niveau de l’UE.
Au sein de ce comité siègent les chefs des autorités de contrôle de chaque État
membre – la CNIL pour la France – ainsi que le contrôleur européen. Ce groupe
va notamment se prononcer sur les éventuels litiges entre autorités contribuant
ainsi à élaborer la doctrine devant être appliquée dans chaque pays en matière
de protection des données.
Ce groupe, en plus d’assurer l’application cohérente du RGPD, va rédiger des
documents permettant de clarifier les dispositions prises au niveau européen en
matière de protection des données, jouant ainsi le rôle d’interprète et permettant
d’unifier notre compréhension au regard des droits et obligations en ce domaine.
Ce groupe permet également d’encourager la coopération entre les autorités
de l’UE travaillant également sur la protection des données, sachant que notre
principal point de contact en la matière demeure toujours la CNIL.
On trouve également l’Agence européenne chargée de la cybersécurité (European
Union Agency for Cybersecurity, ENISA) qui est le centre d’expertise en la
matière. Cette agence va aider à prévenir les difficultés issues du monde cyber,
qu’il s’agisse d’améliorer les équipements ou de mieux comprendre les difficultés
et risques de ce monde.
Elle permet ainsi d’assurer un haut niveau de sécurité de nos réseaux et systèmes
d’information et pour ce faire, elle peut intervenir de plusieurs façons :
 en tant qu’expert, elle apporte son aide aux institutions européennes et
aux autorités nationales qui en ont besoin ;
 elle contribue à diffuser les bonnes pratiques pouvant aider les organisations.
L’activité de cette agence – et c’est important de le souligner – lui permet de

contribuer au développement d’une réelle culture de la sécurité informatique
au sein de l’Union européenne tout entière.
Notons également que cette agence, si elle s’adresse préférentiellement aux

gouvernements de l’Union européenne ainsi qu’aux institutions de l’UE, offre
également ses compétences aux universités, au secteur privé, aux spécialistes
de la sécurité des réseaux, mais aussi au grand public.
Concrètement, l’ENISA va organiser des exercices de cybersécurité à travers

l’Europe qui vont permettre de tester et d’améliorer la sécurité des systèmes.
Elle va également améliorer la coordination entre les équipes d’intervention
d’urgence en la matière.
De façon plus classique, elle peut apporter son aide aux États désireux d’améliorer
leur stratégie en matière cyber et elle publie régulièrement des études ainsi que
des rapports liés aux enjeux de cybersécurité51. Ces derniers peuvent traiter de
la protection des données, de la manière de détecter les menaces, des nouvelles
technologies qui se développent, etc.
Enfin, évidemment, elle contribue à l’élaboration de la législation et de la politique

de l’Union européenne et pour mener à bien ses missions, l’ENISA a développé
son réseau avec des acteurs du secteur privé et public. Ce réseau lui permet
d’être au fait des difficultés et besoins auxquels elle peut répondre.

La CNIL n’est évidemment pas un acteur isolé au sein de l’UE. Avec ses
homologues des autres États membres, elle participe aux activités du
CEPD, lequel, outre son action auprès des États membres et des institutions
européennes, peut apporter son aide à d’autres acteurs. Enfin, l’ENISA organise
– un peu à l’image de ces grandes manœuvres militaires regroupant des unités
des forces de plusieurs pays – des exercices cyber de coopération.
51 our en savoir plus sur les études réalisées par l’ENISA, consulter son site Internet (enisa.
P
europa.eu).
3.2.4 L’Agence nationale de la sécurité des systèmes

d’information (ANSSI)
AVANT DE PLONGER
Aux côtés de la CNIL, l’Agence nationale de la sécurité des systèmes
d’information (ANSSI) est l’autre structure essentielle en matière de
cybersécurité pour toutes les organisations et les citoyens français.
« Répondre aux enjeux de sécurité du monde numérique est un facteur clé de succès
collectif. Je souhaite que cette stratégie nationale pour la sécurité du numérique
enclenche une dynamique à la fois protectrice et libératrice d’énergies ». Ces propos
sont ceux de Manuel Valls, alors Premier ministre, en guise de propos introductif
à la Stratégie nationale pour la sécurité du numérique (2015). Ce document
présente les orientations stratégiques françaises qui s’organisent autour de la
gouvernance, l’économie et la sécurité. D’après ce document, la France veut se
donner les moyens de « défendre ses intérêts fondamentaux dans le cyberespace.
Elle consolidera la sécurité numérique de ses infrastructures critiques et œuvrera
pour celle de ses opérateurs essentiels à l’économie. »
Pour atteindre cet objectif, il a été nécessaire de mettre en place une organisation
structurée permettant d’arriver aux finalités fixées. Cette démarche débute
en 2008 dans le cadre militaire avec le Livre blanc sur la défense et la sécurité
nationale qui prend réellement en compte le domaine cyber comme une menace
pour la France. Une fois celle-ci identifiée, il est nécessaire de définir les moyens
de réponse à lui opposer. La France a donc instauré un modèle de cyberdéfense
distinguant les capacités offensives des capacités défensives.
Ce livre blanc de 2008 crée une agence nationale ayant la charge de traiter les
différentes attaques informatiques et la protection des systèmes d’information
de l’État, ainsi que des infrastructures critiques : l’ANSSI.
L’ANSSI est créée par décret du 7 juillet 2009. Elle est rattachée au secrétariat
général de la Défense et de la Sécurité nationale (SGDSN) et se trouve sous
l’autorité du Premier ministre.
Avant que cette agence soit créée, différents organismes assuraient la sécurité
des données sensibles de l’État.
En guise d’exemples marquants, les États-Unis ont connu entre mai et juin 2021
deux grandes cyberattaques. L’une a visé une entreprise privée distribuant grâce
à ses oléoducs pas loin de 40 % du carburant dans le pays et la seconde a visé
la filiale américaine d’un des grands acteurs mondiaux de l’agroalimentaire (JBS,
société brésilienne).
La présentation de cette volonté permanente des gouvernements qui se sont

succédé depuis maintenant une soixantaine d’années met en lumière deux réalités :
 notre pays a une culture en matière de veille et de surveillance de « messages »
pouvant constituer un danger pour notre pays, nourrie d’évolutions au fil
des années. Cela signifie que les nouveaux systèmes de défense mis en
place à notre époque s’appuient sur une base solide, des réflexes et même
– disons-le – la connaissance de certains de nos ennemis, lesquels ont fait
évoluer leurs outils d’espionnage ou de « guerre de l’ombre » ;
 au travers de cette évolution sur plus d’un demi-siècle, on voit bien qu’il ne
suffit plus de nous intéresser seulement aux menaces que peuvent révéler
les « messages » échangés par de potentiels ennemis. Ce « souci » perdure
et il se double d’une volonté de circonscrire des champs de bataille qui
peuvent se dérouler dans les systèmes d’information dans chacune de nos
entreprises.
Concernant cette seconde attaque, il faut savoir que certains grands acteurs
de l’agroalimentaire sont issus d’entreprises dans lesquelles la culture cyber
n’était pas un point fort.
Demain une telle cyberattaque peut toucher, par ricochet, une entreprise
implantée en France, comme dans l’affaire JBS où les retombées ont atteint les
côtes australiennes.
D’où l’intérêt de cette culture évoquée plus haut et dont l’ANSSI est porteuse.
Selon le décret de création de l’ANSSI, cette dernière est chargée de la sécurité

des systèmes d’information de l’État, mais ce n’est pas sa seule mission, puisqu’elle
doit également apporter des conseils et un soutien aux administrations et OIV.
Elle doit, enfin, participer à la « sécurité de la société de l’information, notamment

en participant à la recherche et au développement des technologies de sécurité
et à leur promotion.52 »
Selon son directeur général, cette agence a comme rôle « de faciliter une prise en
compte coordonnée, ambitieuse et volontariste des questions de cybersécurité
en France. »
De plus, l’ANSSI « accompagne les entreprises en fonction de leur profil par des
actions de conseil, de politique industrielle et de réglementation afin de rendre
disponibles des produits de sécurité et des services de confiance. »
Pour ce faire, cette agence est organisée autour de cinq sous-directions.
52 https://www.ssi.gouv.fr/agence/cybersecurite/lanssi/historique-de-lanssi/
La première d’entre elles est un centre opérationnel pour la sécurité des systèmes
d’information (COSSI). Il fait partie de la sous-direction « Opérations » qui assure
« au niveau opératif et tactique, la mise en œuvre de la fonction d’autorité de
défense des systèmes numériques d’intérêt pour la nation. »
Le COSSI est responsable de l’analyse des menaces, de l’identification des
différentes vulnérabilités des outils et systèmes existants, de la recherche et de la
qualification des attaques, de la définition des mesures à adopter en réponse à une
attaque et enfin de l’aide pour la mise en œuvre de mesures correctrices urgentes.
Pour ce faire cette sous-direction est composée, premièrement, d’une division
« Connaissance et anticipation » qui est chargée d’acquérir ces connaissances,
de les analyser puis de transmettre les informations concernant les menaces
et vulnérabilités dans le champ de rayonnement de l’ANSSI. Une deuxième
division, celle de la « Détection », conçoit les capacités de détection et assure la
supervision de la sécurité au profit des services étatiques. Une troisième division
est celle en charge de la réponse en cas d’incidents qui agit à partir du moment
où l’incident est détecté, signalé et ce, jusqu’à ce qu’une solution soit trouvée.
De plus, c’est au sein de cette sous-direction que se trouve le CERT-FR. Il s’agit
du « computer emergency response team », c’est-à-dire une équipe de réaction
face aux incidents informatiques. C’est ce CERT qui sera le point de contact,
au niveau international, en cas d’incident cyber en France.
Il assure le soutien en matière de gestion d’incidents dans les ministères,
les juridictions, les institutions, les OIV, les collectivités territoriales et les autorités
indépendantes.
Il maintient une permanence 7 j/7 et 24 h/24 et présente sur son site Internet
différentes alertes de sécurité, avis de sécurité, des bulletins d’actualités et des
notes d’information. Cela correspond à ses missions, puisqu’il doit détecter
les différentes vulnérabilités des systèmes, notamment grâce à une veille
technologique. Il doit aussi piloter la résolution des incidents et, pour ce faire,
peut utiliser, si nécessaire, le réseau mondial des CERT. Il est également en
charge de déployer les moyens permettant de se prémunir d’éventuels incidents
et enfin, il lui appartient d’organiser un réseau de confiance.
Ensuite vient la sous-direction « Expertise » qui « porte la mission globale d’expertise
et d’assistance technique de l’agence. » Cette sous-direction a la charge d’apporter
un soutien global aux autres sous-directions ainsi qu’aux industries, aux OIV,
aux prestataires de sécurité et aux ministères. Pour rester performante, elle doit
anticiper les évolutions et si besoin, proposer des adaptations.
Elle apporte également son assistance technique à la mise en œuvre d’un niveau
suffisant de sécurité au plan technique pour les systèmes d’information des OIV
et des administrations.
L’organisation de l’ANSSI s’appuie encore sur trois sous-directions :

 la sous-direction « Administration » qui se compose des services classiques
nécessaires au bon fonctionnement de toute organisation ;
 ensuite, vient la sous-direction « Stratégie ». Elle a pour mission la
communication de l’agence, et de la coordination des actions au niveau
national et international ;
 enfin, la dernière sous-direction est celle en charge du numérique dont
le cœur de métier orienté vers l’informatique puisqu’elle poursuit, entre
autres missions, le soutien informatique et la gouvernance des systèmes
d’information53.
L’ANSSI est, selon son propre site Internet : « Un réservoir de compétences qui
assiste les administrations et les opérateurs d’importance vitale. Elle est chargée
de la promotion des technologies, des systèmes et des savoir-faire nationaux.
Elle contribue au développement de la confiance dans le numérique.54 »
Son mode d’organisation permet à l’ANSSI d’assumer des missions diverses,
mais regroupées en quatre axes. Le premier consiste à détecter et réagir le
plus tôt possible en cas d’attaque informatique et ce, grâce à son centre de
détection qui assure la surveillance permanente des réseaux sensibles et de la
mise en œuvre de mécanismes de défense adaptés aux attaques. Le deuxième
concerne la prévention des menaces grâce au développement d’une offre de
produits hautement sécurisés et des produits de confiance pour les acteurs
économiques et les administrations. Le troisième consiste en un rôle de conseil
et de soutien auprès des administrations et des opérateurs. Enfin, en parallèle,
vient un rôle de vulgarisation et d’information régulière du public des différentes
menaces existantes.
Au travers de ses missions, l’ANSSI apparaît effectivement comme un acteur de
poids ayant une influence pour toutes les problématiques intégrant la notion
de cybermenaces.
Ce positionnement est confirmé par le décret n° 2011-170 du 11 février 2011
qui reconnaît l’ANSSI comme « Autorité nationale de défense des systèmes
d’information ». Avec la loi de programmation militaire pour 2014-2019, son rôle en
matière de cyberdéfense et de sécurité des systèmes d’information est renforcé.
Dans ce cadre, elle apporte notamment sa contribution et son soutien pour la

sécurité du réseau à la direction interministérielle du Numérique et du Système
d’information et de communication de l’État.
53 ttps://www.ssi.gouv.fr/actualite/face-aux-nouveaux-enjeux-du-numerique-de-nouvelles-
h
ambitions-pour-lanssi/
54 https://www.ssi.gouv.fr/agence/cybersecurite/lanssi/
L’ANSSI dispose de correspondants situés dans les capitales régionales,

afin d’assurer ses missions en étant au plus près des institutions et le tissu
économique local. Ces délégués sont tous spécialistes dans le domaine de
la sécurité numérique et agissent avec l’appui de structures régionales afin
de prévenir les incidents et assurer la sensibilisation aux bonnes pratiques
informatiques des acteurs locaux, à la fois du secteur public et privé.
Cette agence permet d’agir au quotidien afin de prendre les mesures adéquates,
d’arrêter des méthodes de travail les plus sûres pour éviter toute contamination
en cas d’acte de cybermalveillance.
Son rôle ne se limite pas à la protection, puisque en cas d’agression, l’agence

peut apporter son assistance aux structures qui la sollicitent.
Elle joue également un rôle très important en matière de formation, notamment

auprès des entreprises et organisations, mais également auprès des citoyens.
Pour ce faire, elle s’appuie sur les informations qu’elle met à disposition sur son
site Internet et particulièrement sur le MOOC qu’elle a développé pour permettre
à tous de se former à la sécurité numérique. Dans ce MOOC, que vous pouvez
suivre, figure « l’ensemble des informations pour vous initier à la cybersécurité,
approfondir vos connaissances, et ainsi agir efficacement sur la protection de
vos outils numériques. »
Nous ne pouvons que vous engager à contacter l’ANSSI dès la découverte d’une
vulnérabilité ou d’une faille de sécurité dans un système. Si elle le juge utile, au
vu des éléments techniques qui lui seront fournis, l’ANSSI agira pour prévenir
toute structure ou population pour leur permettre de se protéger efficacement.
La veille permanente qu’assure l’ANSSI lui permet, dès lors qu’elle repère
l’apparition – ou la propagation – d’un virus, de prévenir les acteurs économiques
et institutionnels locaux. Ces acteurs sont alors invités à consulter un expert qui
va les accompagner.
On peut évidemment trouver réponse à ses questions et différentes aides sur le

site Internet dédié : cybermalveillance.gouv.fr. Ce site est la référence en matière
de prévention des différents risques numériques. Il assiste toutes les victimes,
de tous types de menaces numériques, en les aidant à comprendre ce qu’elles
vivent et en les guidant pour mieux se protéger. Pour cela, il offre un diagnostic
en ligne afin de connaître la nature de l’acte malveillant et, ensuite, prodigue
des conseils et/ou des solutions et si besoin, renvoie à un professionnel.
Ce site est également une mine de conseils, notamment sur les bonnes pratiques
que l’on peut appliquer ou sur la manière de nous protéger des cyberattaques.
Nous pouvons tous apporter notre contribution à la prévention des difficultés

cyber, notamment en signalant une escroquerie en ligne via ce même site.
Le site de l’ANSSI apporte aussi un accompagnement en fonction de l’actualité.

Ainsi, lors de la première période de confinement de mars 2020, un article a été
publié pour présenter les recommandations de sécurité à appliquer en période
de télétravail généralisé, ainsi qu’un article sur les campagnes d’arnaques à la
webcam prétendument piratée ou un article sur les escroqueries à la livraison
de colis.
Enfin, si ce site s’adresse évidemment aux individus, il prévoit également des

informations ou des solutions plus adaptées aux professionnels.
Si ces acteurs sont incontournables dans le monde civil, d’autres jouent un rôle
dans le domaine de la sécurité et dans le monde militaire.

Après la CNIL, orientée défense des données personnelles des personnes
physiques – ce qui peut déjà mettre au jour un certain nombre d’attaques –,
l’ANSSI apporte un accompagnement qui va plutôt s’adresser aux organisations
de tous types, privées, publiques et associatives. Avec ses correspondants
régionaux, elle agit au plus près du terrain.
3.2.5 L’Association française de normalisation (AFNOR)
AVANT DE PLONGER
Avec la CNIL et l’ANSSI ont été évoquées des notions d’aide, d’accompagnement
et de bonnes pratiques. Pour les organisations qui souhaitent aller plus loin
dans ces directions, de manière à se prémunir au mieux des dangers liés
à des cyberattaques, on peut ajouter AFNOR.
Parmi ses différents métiers, l’Association française de normalisation (AFNOR)

est l’animateur du système français de normalisation et, de ce fait, accompagne
les professionnels pour élaborer des normes nationales et internationales.
De la conception de normes, on passe logiquement à leur diffusion et,
parmi les normes commercialisées, figurent celles constituant la famille des
ISO 27000. Celle-ci correspond aux normes de sécurité de l’information publiées
conjointement par l’Organisation internationale de standardisation (ISO) et la
Commission électrotechnique internationale (CEI). Nous n’entrerons pas dans le
détail de toutes les normes de cette famille, mais nous nous bornerons à vous
présenter l’ISO 27001 et 27002.
Pour les entreprises déjà organisées en conformité avec l’ISO 9001 et/ou 14001,
elles ne seront pas dépaysées par l’ISO 27001. Celle-ci, en effet, accompagne dans
la construction d’un système de management. Pour ce qui est de l’ISO 27002,
son apport est quelque peu différent, puisqu’elle ne propose pas moins d’une
centaine de bonnes pratiques.
L’ISO 27001 propose donc un cadre permettant la création, la mise à jour

et l’amélioration continue d’un système de management. Ce cadre est fait
d’un certain nombre d’exigences génériques – comme dans le « cahier des
charges » de l’ISO 9001 – et ces exigences sont conçues de manière à pouvoir
s’appliquer à « toute organisation, quels que soient son type, sa taille et sa
nature ». Cette norme a donc un tronc commun avec d’autres normes visant
à établir un système de management (ISO 9001, 14 001, etc.) avec notamment
un travail sur l’analyse et la compréhension de son contexte, la compréhension
des besoins et attentes de ses parties intéressées, la définition d’une politique
et, évidemment, l’identification des risques et opportunités en matière de
sécurité de l’information (SMSI).
Vous l’aurez compris, rendre son management conforme à cette norme conduit
donc les organisations intéressées à s’armer pour faire face au risque cyber.
Dernier point sur cette norme, la notion d’amélioration continue. Comme ses
cousines, 9001, 14001, par exemple, l’ISO 27001 pousse à mettre en œuvre
une logique d’amélioration continue et, s’il y a un domaine où c’est important
aujourd’hui, c’est bien le domaine cyber.
L’ISO 27002, quant à elle, peut être considérée comme un excellent complément
à l’ISO 27001, dans le sens où elle propose des bonnes pratiques. En d’autres
termes sur la base du SMSI défini et développé dans l’ISO 27001, cette deuxième
norme déroule 35 objectifs de sécurité pour l’information à l’appui desquels sont
énoncées 114 mesures que l’on assimile à des bonnes pratiques, qu’il s’agisse
de sécuriser l’information dans les ressources humaines, dans les relations avec
les fournisseurs ou encore, en matière de cryptographie.
Ce n’est donc pas une norme au sens habituel que l’on donne à ce type d’outil
– par exemple avec la possibilité d’obtenir une certification –, mais c’est une
belle caisse à outils avec une série d’autocontrôles.

AFNOR, au travers de certaines normes, propose un mode d’organisation
éprouvé et susceptible d’être mis en place dans tout type d’organisation,
grande ou petite, de production comme de service, etc. Parmi les deux normes
citées, l’une revêt une certaine originalité, puisqu’elle propose des bonnes
pratiques qui ont fait leurs preuves sur le terrain.
3.3 En matière de répression

Quand il s’agit du domaine répressif, trois organes principaux doivent être cités.
Deux au niveau de l’État et un troisième exerçant sa compétence au niveau
européen.
3.3.1 À l’échelon national

AVANT DE PLONGER
Avec l’examen des structures en charge de la répression de la cybercriminalité,
vous allez découvrir le volet répression et, quelque part, dissuasion des
forces de police et de gendarmerie. Celles et ceux qui en sont les acteurs
ont également une mission de conseil. Il est donc intéressant de les connaître
dans le cadre de la régulation de la piraterie cyber.
La police et la gendarmerie ont dû s’adapter à cette nouvelle forme de criminalité

avec une organisation dédiée et des personnels formés. C’est ainsi qu’en 2014
a été créée la sous-direction de lutte contre la cybercriminalité (SDLC) qui
se compose de policiers, de gendarmes, de techniciens et de personnels
administratifs. Cette entité va, entre autres choses, permettre d’apporter un
soutien aux victimes d’attaques cyber.
Outre le soutien apporté aux victimes, cet organisme est également chargé
du développement de la lutte contre la cybercriminalité tant dans les missions
d’anticipation de la menace cyber, que dans celles de répression.
Pour y parvenir, la SDLC se compose d’un bureau de coordination stratégique
chargé du pilotage des moyens numériques et de la communication en matière
de lutte contre la cybercriminalité. Ce bureau s’appuie sur des référents cyber
travaillant au sein de la police nationale. Ceux-ci contribuent à la sensibilisation
des TPE et PME, les aidant ainsi à améliorer leur niveau de protection et leurs
connaissances des outils disponibles, de bonnes pratiques et partenaires.
De ce fait, ils constituent un point d’entrée privilégié en cas de problème lié au
cyberespace. Concrètement, ils peuvent par exemple les accompagner dans le
processus de dépôt de plainte.
Cette sous-direction dispose également d’une division spécialisée dans les
preuves numériques, puisque même en cas d’incident impliquant le cyberespace,
des preuves doivent être collectées pour une action en justice. Pour ce faire,
elles s’appuient sur un personnel spécialement formé à l’exploitation scientifique
des supports infectés, à un groupe de recherche et développement à même de
développer de nouveaux outils pour améliorer les investigations numériques et
ainsi offrir de meilleures capacités aux enquêteurs.
C’est également ce bureau qui s’occupe d’échanger avec les fournisseurs de

services afin de récolter les informations dont les enquêteurs peuvent avoir besoin.
Il intervient également dans la formation des enquêteurs en leur dispensant des
instructions en matière de cybercriminalité. Il permet également d’assurer une
surveillance proactive des incidents de cybercriminalité et offre une analyse
technique à leurs collègues chargés des enquêtes judiciaires.
Enfin, la branche de la SDLC que l’on connaît certainement le mieux est l’Office
central de lutte contre la criminalité liée aux technologies de l’information et
de la communication (OCLCTIC) qui met à notre disposition deux plateformes
bien connues.
La première est une plateforme téléphonique, « info Escroqueries55 », qui permet

aux victimes d’obtenir des renseignements sur les démarches à suivre, de recouper
et d’exploiter les plaintes déposées dans ce domaine.
La seconde plateforme, Pharos (plateforme d’harmonisation, d’analyse, de

recoupement et d’orientation des signalements) permet de signaler des
contenus illicites ou suspects que l’on peut trouver sur Internet. Il peut s’agir
de différents types de contenus, des publications à caractère pédophile et
pédopornographique, ou raciste, antisémite, homophobe voire xénophobe, des
publications d’incitation à la haine raciale, ethnique ou religieuse, de terrorisme,
voire d’apologie du terrorisme ou d’arnaque, quelle que soit la plateforme sur
laquelle ces contenus se trouvent.
De son côté, la gendarmerie dispose également d’une compétence dans le domaine

cyber incarnée par le Centre de lutte contre les criminalités numériques (C3N).
Ce dernier s’appuie également sur des référents cyber et des experts internes.
La gendarmerie compte en son sein des enquêteurs formés à la cybercriminalité
et aux contraintes particulières qu’elle impose. Ces enquêteurs ont la rare
opportunité de pouvoir enquêter de façon anonyme ou sous pseudonyme sans
dévoiler leur statut de force de l’ordre.
Ils exercent leurs compétences en cas d’apologie du terrorisme, d’atteinte aux

systèmes de traitement automatisé de données, de ventes illicites en ligne,
mais aussi en cas de pédopornographie. Le C3N peut s’occuper directement de
l’enquête ou décider de la confier à une entité territoriale. Les unités territoriales
de la gendarmerie sont soutenues quotidiennement par le C3N en leur fournissant
une assistance en la matière.
55 Pour joindre la plateforme « info Escroqueries » sur Internet, utiliser cette adresse :
https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Info-Escroqueries

Police et gendarmerie, sur le territoire national, gèrent l’aspect répression de
la lutte contre la cybercriminalité. Ce sont donc des acteurs à connaître et,
au-delà des conseils qu’ils peuvent donner après une attaque, il est rassurant
de savoir qu’ils sont là pour accompagner les victimes.
3.3.2 À l’échelon européen
AVANT DE PLONGER
Avec Europol, changement de niveau puisque nous allons passer en revue
l’organisation de la répression contre les cyberpirates au-delà de nos frontières.
Tant la gendarmerie que la police nationale se sont adaptées afin de répondre

à la menace de la cybercriminalité, mais nos forces de l’ordre nationales ne sont
pas les seules à s’être formées à cette menace.
Au niveau européen, l’agence Europol est également en mesure de répondre

à cette demande.
Europol, initiée pour construire une Europe plus sûre, est l’agence spécialisée
en matière de répression de la criminalité. En plus de son personnel classique,
Europol dispose d’un grand nombre d’officiers de liaison à travers les États
composant l’Union européenne. Le rôle de ces derniers est important puisqu’ils
interviennent en appui dans plus de 40 000 enquêtes internationales chaque
année. C’est essentiel, car la cybercriminalité dépasse souvent les frontières
nationales et il convient que la répression puisse s’organiser en s’affranchissant
des limites étatiques.
Europol, en tant que pilier de la sécurité européenne, peut venir en appui aux
services répressifs des autorités nationales, elle permet également de faciliter
les échanges d’informations dans le domaine criminel et agit comme un centre
d’expertise.
En plus de ses autres domaines de compétences, Europol intervient également

dans le domaine cyber. Cette agence contribue en effet à lutter contre les actes
de cybercriminalité et pour cela elle a créé le Centre européen de lutte contre la
cybercriminalité (EC3) qui a permis de renforcer l’arsenal répressif européen en la
matière et donc d’améliorer la protection des citoyens et de leurs gouvernements.
Concrètement, l’EC3 participe à des opérations qui ont permis d’arrêter de
nombreux cybermalfrats et de récupérer des fichiers corrompus ou malveillants.
Cela peut sembler diablement loin de nous, mais n’oublions pas que cette
nouvelle forme de piraterie s’est totalement internationalisée. En d’autres
termes, l’e-mail piégé (phishing) que vous recevrez peut-être demain matin
a pu être envoyé de n’importe quel point du globe par une personne travaillant
pour une organisation criminelle implantée « ailleurs ».
Selon Cecilia Malmström, commissaire chargée des Affaires intérieures :

« L’expertise de l’EC3 nous aide à livrer ce combat et à renforcer la coopération au
niveau de l’UE. Ayant mené à bien plusieurs opérations de grande envergure au
cours de l’année écoulée, le Centre européen de lutte contre la cybercriminalité
a déjà acquis une renommée bien méritée parmi les services répressifs. »
En plus de contribuer à ces opérations, l’EC3 publie tous les ans un document
évaluant le niveau des menaces issues du monde cyber.
Pour avancer, l’EC3 se repose sur les capacités répressives d’Europol tout un
offrant un soutien aux États membres. En plus de ce soutien, son expertise lui
permet également de fournir des produits d’analyses stratégiques particulièrement
utiles lors des prises de décisions.

Europol, EC3, ces entités et services assurent notre protection en poursuivant
une action nationale au-delà de nos frontières. Leurs enquêtes conduisent
à retrouver des attaquants. Si le principe est le même que pour une enquête
classique, la réalité du monde cyber complexifie pourtant ce travail. C’est
pourquoi ces policiers numériques sont essentiels dans notre société.
3.3.3 Qu’en est-il du monde militaire ?
AVANT DE PLONGER
Le fait que certains États n’utilisent plus seulement leurs forces armées
pour mener des guerres « à bas bruit » fait que les nôtres sont forcément
intéressées au premier chef. C’est la raison pour laquelle, à côté des structures
non militaires évoquées plus haut, la France a complété son dispositif cyber.
On peut se dire que ce dispositif militaire a peu à voir avec la vie de nos
entreprises, de vos entreprises. À cela nous répondrons : « Oui, mais… »
En effet, ce dispositif est une des briques constituant l’ensemble des mesures
cyber assurant la défense de notre pays, de ses infrastructures, entreprises,
et donc de notre santé, de nos emplois, etc. Et puis, comme toute brique
constitutive d’un mur, si vous l’enlevez…
Le ministère des Armées dispose également d’organismes spécialisés dans le

domaine cyber. Le principal est le commandement des forces de cyberdéfense
des armées françaises, le COMCYBER (commandement de la cyberdéfense),
créé le 1er janvier 2017. Celui-ci dirige de « façon organique ou fonctionnelle,
l’ensemble des forces de cyberdéfense des armées françaises. Placé sous l’autorité
directe du chef d’état-major des armées, le COMCYBER est responsable de la
manœuvre cyber globale. »
Différentes missions sont attribuées au COMCYBER. D’une certaine manière,
par des cercles concentriques, elles illustrent ses « préoccupations » :
 première préoccupation et mission, la protection des systèmes d’information
se trouvant sous la responsabilité du chef d’état-major des armées (CEMA).
Il est en effet logique que face à une cyberattaque, le CEMA puisse s’appuyer
sur des réseaux d’échanges en état de bon fonctionnement, et ce pour
prendre des décisions adaptées à la situation et les transmettre ;
 deuxième cercle, deuxième mission, la défense des systèmes d’information
du ministère des Armées, sauf ceux de la DGSE et de la DRSD ;
 troisième et dernier cercle, la conception, la planification et la conduite
d’opérations militaires de cyberdéfense. En effet, dûment informé des
conséquences de la cyberattaque auquel il doit faire face, le COMCYBER
doit être en mesure d’apporter sa contribution cyber aux actions militaires
« traditionnelles ».
Dans ce domaine, il doit également contribuer à la politique de ressources
humaines ainsi qu’à la politique nationale et internationale de cyberdéfense.
Logiquement, c’est à cette instance qu’échoient la définition des besoins
techniques, spécifiques à ce domaine, et la responsabilité d’assurer la
cohérence du modèle de cyberdéfense du ministère.
C’est grâce au COMCYBER que la France peut mener des actions dans le
cyberespace qu’elles soient défensives ou offensives.
Pour mener à bien ses missions, le COMCYBER peut s’appuyer sur trois organismes
interarmées : le CRPOC, le CASSI et le CALID.
Le CRPOC
Le Centre de la réserve et de la préparation opérationnelle de cyberdéfense
(CRPOC), créé en 2015, est l’un des organismes sur lesquels s’appuie le
COMCYBER. Il organise, entre autres, des exercices d’entraînement connu
sous le nom de DEFNET qui permet d’entraîner la « chaîne cyberdéfense
au déploiement d’une cellule de crise au sein du centre opérationnel et au
déploiement des équipes opérationnelles des armées pour établir les réseaux
et les systèmes attaqués ». Cet exercice permet de tester les réactions des
différentes entités du ministère en cas de cyberattaque d’envergure.
L’OTAN organise un exercice similaire, Lock Shields, auquel participent différentes

nations et qui permet, entre autres objectifs, de mesurer le niveau de chaque
nation en matière de cyberprotection.
Le CASSI
Un autre élément essentiel du COMCYBER est le Centre d’audit de la sécurité
des systèmes d’information (CASSI), créé en 2008. Le CASSI exerce sa mission
d’audit dans deux domaines différents, le premier est la sécurité des systèmes
d’information et le second celui des signaux parasites compromettants. Ces deux
domaines sont extrêmement importants pour la sécurité des emprises et des
systèmes du ministère ; c’est pour cela que ses missions sont mises en œuvre
sur le territoire national, mais également sur les théâtres d’opérations.
Le CALID
Créé en 2006, le Centre d’analyse en lutte informatique défensive (CALID) est
le « centre opérationnel expert en lutte informatique défensive » qui assure en
permanence la détection, le traitement et la réponse aux cyberattaques.
Il doit assurer notamment la défense de l’espace numérique des forces armées,

leurs réseaux informatiques, leurs systèmes de combat, de commandement face
aux menaces et attaques visant ces systèmes.
Le CALID est localisé au même endroit que le centre de cyberdéfense de l’ANSSI,

ce qui leur permet de travailler en étroite collaboration.
Désormais, « la défense se doit de mettre en œuvre les moyens correspondant

à sa propre posture permanente de cyberdéfense pour défendre ses systèmes,
puis au profit de l’État ; elle agira alors en complément et en soutien des autres
entités de l’État et en particulier de l’ANSSI, autorité nationale pour le volet
défensif. En l’espace de quelques années, la guerre s’est métamorphosée : il est
donc nécessaire de créer une nouvelle composante au sein des armées pour
asseoir notre souveraineté et notre indépendance nationales, et rester ainsi
maîtres de notre destin.56 »

Le COMCYBER est donc le squelette sur lequel se fonde l’organisation cyber
des armées. Cette organisation est essentielle, car tous les systèmes d’information
du ministère des Armées et de ses composantes doivent être protégés.
Ce commandement spécialisé démontre bien l’importance cruciale que revêt,
dorénavant, le domaine cyber.
56 Arnaud Coustillière, op.cit.

4
Le cyberespace,
entre droit et
doctrines nationales
4.1 Un espace n’échappant pas (totalement)

aux considérations juridiques
Il est rassurant de savoir que malgré le caractère anxiogène du cyberespace,
le droit protecteur des citoyens trouve sa place dans ce monde nouveau, et parfois
mystérieux pour le commun des mortels et nombre d’entreprises.
Reste qu’appliquer des règles de droit « commun » au cyberespace n’est pas
aussi évident que dans le monde concret, d’autant plus qu’il existe toujours des
manquements dans le corpus juridique existant.
4.1.1 Une difficile application des règles juridiques

existantes au cyberespace
AVANT DE PLONGER
Comme nous l’avons vu précédemment, le développement du cyberespace
s’est traduit par l’apparition de nouvelles armes et formes de criminalité.
Elles nécessitent des adaptations dans de nombreux domaines, dans le
domaine juridique et en matière d’investigation, ce qui n’est pas simple.
Le cyberespace est devenu aujourd’hui le champ de tous les possibles. L’adaptation
des règles de droit est donc apparue comme nécessaire pour répondre à des
besoins nouveaux de protection et de réparation.
Avec l’apparition de ce nouveau genre de délit, un travail a été réalisé pour
comprendre le fonctionnement de ces nouvelles formes de criminalité, puis des
règles les mieux adaptées à mettre en place.
Pour autant, le cyberespace est un espace si particulier qu’il n’est pas possible
de lui appliquer des règles établies pour des délits similaires, utilisées dans la
« vraie vie » et espérer que cela suffise. Par exemple, le harcèlement classique
ne s’immisçait pas dans l’intimité et dans la vie privée des victimes comme le
fait le cyberharcèlement. Les règles juridiques ont donc dû être adaptées aux
nouveaux enjeux induits par cet espace.
À titre d’exemple, prenons le cyberharcèlement. Il pourrait être considéré,

simplement, comme un harcèlement exercé en ligne. Dès lors, il serait possible de
lui appliquer les règles qui existent déjà. L’idée est tentante, mais on ne peut pas
s’arrêter à une simple transposition de l’existant au cyberespace. Le harcèlement
se définit par : « Le fait de tenir des propos ou d’avoir des comportements
répétés ayant pour but ou effet une dégradation des conditions de vie de la
victime. Cela se traduit par une dégradation de la santé physique ou mentale
de la personne harcelée (anxiété, maux de ventre…).57 »
Pourtant, même s’ils ont une base commune, le harcèlement de rue et le

cyberharcèlement ne sont pas deux pratiques identiques, ils ne fonctionnent
pas de la même façon. Les réactions qu’ils créent, le retentissement qu’ils ont
sont totalement disproportionnés. Le cyberharcèlement est bien plus vicieux,
il peut atteindre toutes les dimensions de la vie privée d’une personne, qu’il
s’agisse de ses réseaux sociaux, de ses jeux vidéo, de blogs, de forums, de
ses e-mails, de ses SMS, tout en ayant des prolongements jusque dans sa vie
professionnelle – mails, etc. Les possibilités de « cyber-harceler » une personne
sont malheureusement infinies.
Une définition du terme cyberharcèlement a été donnée par la loi d’août 2014,
modifiée en 2018 et insérée au sein du Code pénal à l’article 222-33-2-2 selon
lequel : « Le fait de harceler une personne par des propos ou comportements
répétés ayant pour objet ou pour effet une dégradation de ses conditions de
vie se traduisant par une altération de sa santé physique ou mentale est puni
d’un an d’emprisonnement et de 15 000 € d’amende lorsque ces faits ont causé
une incapacité totale de travail inférieure ou égale à huit jours ou n’ont entraîné
aucune incapacité de travail. »
Sur ce type de harcèlement, deux précisions sont à retenir :

 les condamnations peuvent être plus lourdes, la peine prononcée étant
accentuée, notamment, lorsque la victime est âgée de moins de 15 ans ;
 par ailleurs, il n’y a pas besoin que les faits se produisent en public, sur un
forum par exemple, ils peuvent tout à fait résulter de conversations entre
« amis » sur un réseau social quelconque.
57 h
ttps://www.demarches.interieur.gouv.fr/particuliers/cyber-harcelement-harcelement-internet
Le cyberespace, entre droit et doctrines nationales 189
Pour les plus optimistes, le cyberespace est également source d’espoirs et de

promesses. Ce dernier recèle un grand potentiel pour la plupart des domaines
de notre vie quotidienne, par exemple pour la liberté d’expression, l’accès à de
nombreuses connaissances, les progrès scientifiques, médicaux, les facilités de
déplacement, etc.
L’avènement du cyberespace et de ses promesses a également permis à de

nombreuses activités, commerciales ou non, de se développer. Qu’il s’agisse
de site de e-commerce, d’applications de livraison de biens en tout genre,
de plateformes de vente de seconde main, etc., toutes ces activités prospèrent
grâce au cyberespace. Le fort développement de ces activités a rapidement
rendu nécessaire sa réglementation.
À titre d’exemple, les sites de e-commerce doivent se soumettre à certaines

réglementations comme celle sur la vente à distance et par correspondance,
celle sur la protection des données, sur les contrats conclus à distance ou encore
sur le droit de remboursement en cas de retard de livraison.
Ici, le RGPD illustre parfaitement les adaptations que les règles juridiques ont dû
connaître pour être pertinentes actuellement. Si ce règlement européen, qui vise
à assurer la protection de nos données personnelles, s’applique aux sites de
e-commerce, cela s’explique en grande partie par la quantité impressionnante
de données, de traces que nous laissons dans le cyberespace, parfois sans
mesurer les risques que nous prenons.
Il ne faut pas oublier que le cyberespace est une construction particulière, puisqu’il
est à la fois un espace propre et indépendant, mais aussi un espace qui permet
de connecter entre eux les autres espaces. Cette capacité d’interconnexion
nous donne souvent un sentiment de proximité et l’impression que les
mêmes règles peuvent leur être appliquées. Mais une simple transposition ne
suffit pas à appréhender les particularités du cyberespace. Il transcende les
réalités géographiques des frontières, il favorise l’anonymat, les données sont
extrêmement volatiles, etc.
Le RGPD est peut-être la réglementation la plus emblématique de la volonté de

ne pas laisser le cyberespace constituer une zone de non-droit. Pour celles et
ceux qui passent du temps sur Internet, cette réglementation est omniprésente,
pour autant droit et cyberespace ont des logiques et des réalités assez éloignées.
Tout d’abord, le droit se construit et s’applique selon des considérations territoriales.

Le droit français s’applique au sein des frontières françaises, là où l’État français
exerce sa souveraineté. En principe donc, chaque État fait la loi sur son territoire
et les lois ne peuvent s’appliquer aux États voisins. Il est évidemment possible
qu’une loi ait une application extraterritoriale, mais il ne s’agit que d’une exception.
C’est le cas, par exemple, de la loi américaine Helms-Burton qui impose des
sanctions à Cuba. Celles et ceux qui s’intéressent, ou pratiquent, le commerce
à l’échelle internationale, connaissent également une autre disposition de son
droit s’appliquant hors de ses frontières, celle qui porte sur le contrôle du
commerce avec des pays sous embargo américain.
De grandes entreprises françaises ont d’ailleurs été condamnées pour avoir

transgressé cette disposition.
En plus du RGPD, l’Union européenne dispose également de lois de portée

extraterritoriale en matière d’embargo.
Le problème avec le cyberespace c’est qu’il n’appartient pas à un seul État et

qu’il n’existe pas que pour un seul État. Bien qu’essentiellement abstrait dans
nos esprits, il dispose tout de même d’ancrages et de composantes bien réels
répartis à travers le monde. Rien que les câbles sous-marins de télécommunications
ont des points d’ancrage dans de nombreux pays. L’Inde, la Chine, la France,
le Royaume-Uni, les États-Unis, l’Égypte, l’Australie, l’Afrique du Sud, l’Islande,
l’Argentine, la Finlande – tous ces pays et bien d’autres encore, sont des points
d’ancrage pour ces câbles.
Parce que le cyberespace n’est pas totalement abstrait, qu’il dispose de

composantes bien réelles qui sont dispersées à travers le monde, le choix des
règles applicables est délicat. Délicat, mais nécessaire, car, si l’on reste sur la
question des câbles sous-marins par lesquels transitent nombre de données,
en mai 2021, a éclaté un scandale autour de l’espionnage de responsables
européens par les États-Unis en utilisant un de ces câbles. On peut, via un
tel ancrage concret, espionner des personnes, mais aussi des entreprises,
évidemment.
Les data centers sont également des équipements bien réels et essentiels au
fonctionnement du cyberespace et l’on en trouve partout dans le monde. On les
connaît comme moyens de stocker un nombre impressionnant de données,
mais ils permettent également d’héberger des sites Web et applications en tout
genre. C’est ce qui explique que ces data centers puissent être tantôt un local
au sein d’une entreprise, tantôt un entrepôt complet.
Ils sont peut-être indispensables, mais ils sont également source de challenges,
l’un d’entre eux étant que les données, comme les sites Internet, doivent toujours
être accessibles. L’un des challenges est que l’on veut toujours pouvoir accéder
aux sites Web et applications que l’on utilise, il faut donc que les data centers
fonctionnent en permanence et sans discontinuité.
Et ce ne sont pas les seules infrastructures du cyberespace que l’on trouve

à travers le monde et qui sont soumis aux règles juridiques de l’État dans lequel
ils sont implantés.
Malheureusement, en dehors de ces quelques points qui ancrent le cyberespace

dans notre réalité, dans les législations de pays, le cyberespace ne respecte pas
les frontières comme nous, personnes physiques et entreprises, les expérimentons
au quotidien.
Ce non-respect – de fait – des frontières entre pays rend difficile l’application

d’un droit national. En effet, l’application d’une loi dépend du lieu où est commise
l’infraction. Si elle est commise en France, alors on peut appliquer la loi française,
mais il n’existe pas de cyberespace national où appliquer une réglementation
nationale.
L’applicabilité du droit est peut-être délicate, mais comme elle est indispensable
des solutions ont été trouvées. Pour ce faire, il a fallu commencer par définir les
termes liés au cyberespace afin de parvenir à des terminologies internationalement
reconnues.
Si l’on prend l’exemple du RGPD qui concerne tous les États de l’Union
européenne, dans les premiers articles du règlement, on trouve la définition
des termes importants. Vous y trouverez par exemple ce que le règlement
considère comme une « donnée à caractère personnel » ou un « traitement ».
Sans définition précise de ces termes, chacun pourrait avoir une idée différente
de ce qu’est une donnée personnelle et donc ne pas appliquer le règlement
correctement. Ensuite, a été déterminé le périmètre physique au sein duquel
ces données étaient protégées (les citoyens de l’UE). Dès lors, toute personne et
toute organisation de par le monde qui contreviendraient aux règles édictées par
le RGPD, dans ce périmètre et sur les données à caractère personnel pourraient
être poursuivies et sanctionnées. Ce pourrait être un hôpital français, un site de
e-commerce installé au Japon ou encore un GAFAM.
Comme nous l’avons déjà vu dans la première partie de ce livre, si les évolutions
technologiques sont souvent rapides et améliorent de façon flagrante notre
quotidien, il n’en est pas de même des évolutions juridiques. Le droit suit en
effet un temps qui lui est propre, ne serait-ce qu’avec la durée incompressible
d’adoption des lois et règlements, puis la formation de la jurisprudence. En outre,
ces textes n’interviennent bien souvent qu’en réaction aux difficultés rencontrées
alors même qu’idéalement, il aurait été préférable que le droit puisse anticiper.
Mais qui aurait pu raisonnablement imaginer il y a dix ans notre besoin de

protection face à la cybercriminalité ?
La nature même du cyberespace pose une autre difficulté à l’application du droit,

et tout particulièrement en droit pénal. En la matière, il est essentiel de pouvoir
relier une personne au crime qu’elle aurait commis, au nom de l’imputabilité de
la faute. C’est ce que nous avons vu plus haut avec le RGPD.
Pour cela, il faut avoir une série de preuves permettant de remonter de l’incident
à la personne qui l’aurait provoqué. Dans un crime traditionnel, après sa découverte
par la police, une enquête est menée pour réunir des preuves et ainsi découvrir
qui est à l’origine du crime. La logique est la même pour des crimes cyber
évidemment, à la seule réserve que les preuves sont plus délicates à récolter.
Les pirates informatiques savent comment couvrir leurs traces, ils disposent
d’outils leur permettant de dissimuler leur identité, le lieu de commission
des faits ou la motivation des auteurs. Les preuves numériques sont difficiles
à récolter, car elles peuvent facilement être dissimulées ou détruites et seules
des investigations poussées, menées par des agents spécialement formés,
peuvent permettre d’identifier l’auteur d’une cyberattaque et ses motivations.
Donc, même si l’infraction est réprimée par un texte juridique, ce dernier ne

sera applicable que si les enquêteurs sont en capacité de réunir suffisamment
d’indices pour identifier et arrêter le coupable présumé.
Une troisième série de difficultés tient à « la » preuve numérique.
Ces preuves n’ont pas toutes la même durée de vie. Par exemple, chaque
hébergeur choisit de conserver des données pendant un temps qui lui convient
et n’a pas besoin de respecter une norme précise en la matière.
Il faut également que les enquêteurs puissent prouver que les preuves n’ont pas
été altérées. Pour ce faire, les enquêteurs doivent remonter à l’origine du délit,
à son auteur, pour obtenir une preuve dont l’authenticité ne pourra être remise
en cause. Agissant sous pseudonyme, les enquêteurs ne peuvent évidemment
pas initier l’infraction, ou inciter à la commettre. En revanche, une fois que
celle-ci a eu lieu, ils peuvent participer aux échanges, extraire et conserver les
éléments de preuves nécessaires ainsi que des informations sur les personnes
soupçonnées de commettre une infraction. C’est par ce type d’enquête dans le
cyberespace qu’il est possible de construire des dossiers solides, surtout si l’on
considère que certaines infractions sont commises au sein de réseaux fermés
où personne n’inviterait un agent des forces de l’ordre.
Notons au passage que, juridiquement, l’enquête sous pseudonyme est possible

pour « toute infraction punie d’une peine d’emprisonnement commise par un
moyen de communication électronique », le tout étant supervisé par le procureur
de la République ou le juge d’instruction en charge de l’affaire.
Pour établir le lien entre le méfait et son auteur, les enquêteurs doivent réunir
les indices qui permettront de prouver la culpabilité d’un individu et c’est là que
la situation est complexe. En effet, comme nous l’avons vu dans la première
partie de ce livre, les cybercriminels disposent des moyens de préserver leur
anonymat, quand ils ne laissent pas de faux indices permettant d’attribuer le
méfait à un autre cybercriminel ou collectif.
Ce sont ces raisons qui justifient le renversement de la charge de la preuve qui
s’opère actuellement. Cela signifie que, progressivement, la logique n’est plus
celle de l’identification de la personne en suivant des indices, mais plutôt de
rechercher un faisceau d’indices afin d’identifier à qui profite la cyberattaque.
Une présomption de culpabilité va peser sur l’État auquel l’attaque profite,
ce qui n’est pas un raisonnement strictement juridique, mais qui répond à une
préoccupation éminemment pragmatique.
Comme pour des enquêtes classiques, les investigations sont menées par la police
ou la gendarmerie. L’OCLCTIC et le C3N (voir les paragraphes 3.3.1, page 181)
assument le rôle essentiel de détection des comportements illicites et mènent
à bien les investigations techniques nécessaires pour récolter les preuves et
identifier les personnes responsables. Ces enquêteurs sont précieux pour mener
ce genre d’enquêtes, car les preuves devant être récoltées doivent suivre des
procédures adaptées au monde numérique ; si tel n’est pas le cas, ces preuves
peuvent être compromises et donc être inutilisables par les enquêteurs.
Prouver qui est l’auteur d’une cyberattaque s’avère extrêmement difficile,
leurs auteurs se cachant derrière des pseudonymes. Démasquer ces personnes
n’est pas chose aisée puisqu’elles sont très habiles pour brouiller les pistes ou
utiliser des techniques les rendant particulièrement difficiles à identifier.
Contrairement aux standards juridiques courants pour lesquels il est nécessaire
de collecter les preuves qui permettent d’identifier l’auteur d’un acte, dans le
cyberespace, l’auteur de l’acte pourra être désigné du seul fait que c’est à lui
que profite le crime.
Pourtant, il existe déjà des réglementations applicables particulièrement
concernant les actions de cybercriminalité.

L’application du droit dans le cyberespace est donc un sujet complexe
nécessitant d’envisager des adaptations du domaine juridique en raison des
particularités du cyberespace.
Pourtant, il existe déjà des réglementations applicables particulièrement
concernant les actions de cybercriminalité, sans compter le fait que police et
gendarmerie ont fait évoluer leurs techniques d’investigation.
4.1.2 Les règles que l’on peut déjà appliquer
AVANT DE PLONGER
Malgré les écueils qu’impose le cyberespace à l’application du droit, certaines
règles s’appliquent déjà. Des infractions sont qualifiées et peuvent donc être
réprimées… en distinguant la place et le rôle de l’informatique.
Dans le cyberespace, tout est informatique. Vous ne serez donc pas étonné que
dans certaines situations, cette informatique est la cible, alors que dans d’autres,
elle n’est que le support de l’attaque.
Pour les infractions dans lesquelles l’informatique est la cible, en termes de règles,
de textes déjà applicables, on peut immédiatement penser à la loi Godfrain
de 1988. Son application permet de réprimer tous les actes de criminalité
informatique et de piratage. Cette même loi introduit dans le Code pénal le
chapitre III intitulé « De certaines infractions en matière informatiques ».
Elle réprime toute intrusion, tentative d’intrusion, ou le fait de se maintenir

à l’intérieur d’un système de traitement automatisé de données (STAD)58 ainsi
que sa modification. Les actions que recouvre cette loi sont donc suffisamment
larges pour qualifier de nombreux actes à l’encontre d’un STAD sans qu’il y ait
besoin de faire évoluer cette loi ou d’en éditer une nouvelle.
Grâce à cette loi, est condamnable à deux ans d’emprisonnement et 30 000 euros
d’amende le fait d’accéder ou de se maintenir frauduleusement dans tout ou
partie d’un système de traitement automatisé de données. S’il s’agit d’un système
mis en œuvre par l’État, cette peine peut s’élever à cinq ans d’emprisonnement
et 75 000 euros d’amende.
D’autre part, la peine encourue pour une entrave ou une perturbation du

bon fonctionnement d’un système est de cinq ans d’emprisonnement et de
75 000 euros d’amende. Cette peine peut aller jusqu’à sept ans d’emprisonnement
et de 100 000 euros d’amende si le serveur en question est celui de l’État.
Enfin, en cas d’introduction frauduleuse de données, de modification de

données ou de suppression dans un système, la peine prévue est de cinq ans
d’emprisonnement et de 75 000 euros d’amende. Ici aussi la peine peut aller
jusqu’à sept ans d’emprisonnement et 100 000 euros d’amende s’il s’agit d’un
système de l’État.
58 L a base de données des titres électroniques sécurisés qui sert à la délivrance des passeports
biométriques est un STAD.
Cette loi peut sembler assez ancienne pour traiter d’un sujet aussi actuel, mais elle
reste tout à fait applicable et peut déjà jouer un rôle d’épouvantail pour certains
hackeurs. De plus, ayant été rédigé en des termes assez larges, ce texte est
aisément utilisable malgré des avancées technologiques.
De plus, elle a connu une certaine modernisation en 2004 avec l’ajout d’une
sanction en cas de vente d’équipements ou de logiciels permettant de lancer des
attaques contre un système informatique. Cette sanction s’avère particulièrement
utile lorsqu’il s’agit de faire face à des marchés numériques opérés sur le darknet.
Depuis plusieurs décennies, il est donc possible de poursuivre des personnes
ayant commis des infractions via le cyberespace. En conséquence, les personnes
responsables de compromission de données, de défiguration de site Internet,
d’actions de cyberespionnage encourent bel et bien des sanctions juridiques.
Le cyberespace facilite également l’usurpation d’identité, c’est pourquoi
depuis 2011, le Code pénal prend en compte cette option et prévoit que
l’usurpation d’identité peut être réalisée grâce au cyberespace.
Il existe également des infractions où l’informatique n’est que le vecteur qui
permet de commettre l’infraction. Ici, il s’agit notamment d’offre illégale de
paris en ligne, de contrefaçon, de pédopornographie, de grooming 59, etc.
Il n’existe pas une seule loi regroupant ces méfaits sur laquelle se fonder pour une
condamnation, mais tous ces comportements peuvent entraîner des sanctions
du fait de leur propre qualification juridique.
Ces infractions sont réalisées grâce au cyberespace, mais elles peuvent être
rattachées à des lois préexistantes au développement de cet espace. En effet,
en cas d’escroquerie dans le domaine cyber, les poursuites seront fondées sur le
même texte que celui utilisé pour des cas d’escroquerie dans un environnement
classique. Il n’a donc pas été nécessaire d’adopter une loi spécifique pour
l’escroquerie utilisant les moyens numériques, puisque les éléments constitutifs
du délit sont les mêmes, que son auteur escroque ses victimes de manière
classique ou via les réseaux numériques.
Par ailleurs, en matière de pornographie, le texte fondant les poursuites sera
le même qu’en dehors du monde cyber, mais le fait d’utiliser les instruments
numériques pour diffuser, fixer, enregistrer ou transmettre l’image pornographique
d’un mineur sera une circonstance aggravante. En effet, si les faits sont réalisés
de façon « traditionnelle », la peine encourue sera de cinq ans de prison et
75 000 euros d’amende, alors que le vecteur du délit est Internet, la peine pourra
aller jusqu’à sept ans de prison et 100 000 euros d’amende.
59 Il s’agit d’un majeur se faisant passer pour un mineur et qui fait des propositions sexuelles
à un mineur grâce à des moyens de communications électroniques, que ce soit des forums
de discussion, des sites de jeux vidéo, etc.
De même, les personnes qui consultent en ligne des images pédopornographiques

en les conservant de quelque manière que ce soit risquent des peines de deux ans
d’emprisonnement et de 30 000 euros d’amende.
Dans la lignée des violences sexuelles et sexistes, une nouvelle infraction a été
introduite dans le Code pénal qui permet de réprimer l’upskirting, c’est-à-dire la
pratique consistant à filmer ou photographier les parties intimes d’une personne
à son insu, et souvent de les diffuser sur Internet. Cette infraction, qui s’est
développée ces dernières années, est punie de deux ans d’emprisonnement et
d’une amende de 30 000 euros si les images prises sont transmises ou enregistrées.
Il est également possible de poursuivre un acte de cybercriminalité en se

fondant sur une incrimination pénale classique et générale. En effet, le simple
fait qu’une action ait été commise dans ou grâce au cyberespace ne signifie
pas qu’elle doit être régie par un droit spécifique. Par exemple, en cas de
« revenge porn »60, il sera possible de poursuivre l’auteur des faits sur le fondement
de l’atteinte à la vie privée, certains contenus diffamatoires ou violents pouvant
être caractérisés comme de la provocation à la haine, de la discrimination ou
même de la diffamation.
Les ransomwares peuvent entraîner des poursuites sur le fondement de l’atteinte

au STAD, mais pas que. Il est possible de fonder ces poursuites sur les articles
du Code pénal réprimant l’extorsion, à la fois simple et en bande organisée.
Les escroqueries en ligne seront également réprimées avec les articles du Code
pénal traitant d’escroquerie classique.
Enfin, l’utilisation du cyberespace peut être considérée comme une circonstance

aggravante dans certains cas comme les agressions sexuelles, le viol, ainsi que
le harcèlement moral.

L’idée selon laquelle le cyberespace serait un espace de non-droit ne correspond
pas à la réalité. Toute action dans le cyberespace va entraîner des conséquences
juridiques bien réelles au niveau national, surtout en France où un dispositif
juridique légal fiable et mature existe.
60 ratique consistant à se venger d’une personne en rendant publics des contenus pornographiques
P
la représentant, sans son accord et dans le but de l’humilier.
4.1.3 Au-delà des prés carrés nationaux

AVANT DE PLONGER
Les personnes ayant un usage dévoyé du cyberespace ne sont donc pas
à l’abri de représailles judiciaires, bien au contraire. En revanche, s’il est vrai
que le cyberespace n’est pas un vide juridique, il est également vrai que des
progrès sont encore attendus, et ce, notamment, au niveau international.
Actuellement, au niveau international, nous sommes obligés de reconnaître
qu’il n’existe pas encore de dispositif juridique contraignant, supérieur aux
réglementations nationales et s’appliquant au cyberespace et aux actions qui
y sont liées.
L’existence de règles juridiques au niveau national permet de réguler les pratiques
mises en œuvre dans le cyberespace, mais seules des règles d’envergure
internationale permettraient de réguler efficacement les comportements dans
cet espace.
Des textes existent tout de même au niveau international, mais ils restent
insuffisants.
La convention de Budapest
La Convention de Budapest de 2001 est le premier texte européen abordant
les questions relatives aux mauvais usages du cyberespace. Cette convention
manifeste la volonté de disposer de textes répressifs au niveau international.
Malheureusement, on en est resté au stade de volonté puisque seuls 63 pays l’ont
ratifiée en 2019, alors qu’elle date de 2001. Cela représente un trop petit nombre
d’États pour espérer que cette convention soit suivie des changements importants.
Cette convention traite de différentes infractions possibles, notamment au regard
du droit d’auteur, des actes de fraude, de la sécurité des réseaux.
Rien que son existence est une bonne chose pour la répression de ces actes,
mais le faible nombre de signataires en limite sa portée.
En ce qui concerne les actions commises dans et grâce au cyberespace, il est
certain que, pour l’instant, le niveau de coopération entre les États n’est pas
encore suffisant. Il est extrêmement courant que des cyberattaquants s’en
prennent à un État ou une entreprise située dans un autre pays que le leur.
Au quotidien, ce manque de coopération est nuisible à la résolution de certaines
enquêtes et à l’élaboration de règles juridiques communes applicables à cet
espace et aux crimes qui y sont commis.
Cela est, hélas, cohérent avec la position de certains pays qui « utilisent »
les services de groupes de hackeurs pour mener une guerre de l’ombre et réaliser
des attaques dont ils ne veulent en aucun cas se voir attribuée la paternité…
et puis, pour faciliter la mise en place d’un arsenal juridique à l’échelle du
cyberespace, peut-être serait-il pertinent de différencier ce qui relève de la
cybercriminalité du cyberespionnage, sport pratiqué par les États et qu’ils n’ont
pas envie de voir criminaliser…
Le RGPD
L’autre texte principal existant au niveau européen est le Règlement général
sur la protection des données (RGPD) dont nous avons parlé précédemment.
Mais en dehors de ces textes, le corpus juridique européen en matière de cyber
criminalité reste à construire. Les choses ne sont guère plus encourageantes au
niveau international puisqu’il n’existe qu’un seul texte. Le manque de texte au
niveau international ne pose pas de problème qu’en matière de cybercriminalité,
car le cyberespace a également été utilisé lors de conflits impliquant des États.
Le manuel de Tallinn
Au niveau international, le seul texte que l’on peut recenser est le manuel de
Tallinn. Ce dernier a été écrit à la suite de la cyberattaque qui a pris l’Estonie
pour cible en 2007. L’ampleur de cette attaque a été telle qu’elle a permis
aux Nations unies de prendre conscience de la nécessité d’établir des règles
juridiques au niveau international afin de réguler les actions mises en œuvre
dans le cyberespace. Une série de cyberattaques a suffi à déconnecter un pays
de tous les réseaux. Pas seulement une entreprise, mais un pays !
Ce genre d’événement n’était encore jamais arrivé et a permis une prise de
conscience des nouveaux risques pesant sur les États, les infrastructures, les
entreprises et – par voie de conséquence – sur la population dans sa globalité.
C’est pour cela qu’en 2008 l’OTAN crée le Cooperative Cyber Defense Center
Of Excellence (CCDCOE) qui vise à : « Améliorer les capacités, la coopération
et le partage d’informations au sein de l’OTAN, des pays membres de l’Alliance
et de ses partenaires dans le domaine de la cyberdéfense grâce à l’éducation,
la recherche et le développement, la concertation. »
Entre 2009 et 2013, une première version du manuel de Tallinn a été élaborée pour
permettre de s’accorder sur la définition des termes propres au cyberespace ainsi
que les règles de droit international pouvant s’appliquer en cas de cyberconflit.
Cette première version ne traitait que de cyberattaques d’une certaine envergure,
notamment entre des États, et laissait complètement de côté les cyberattaques
de moindre importance qui sont pourtant les plus courantes et qui doivent être
prises en compte.
En février 2017, une seconde version de ce manuel a été publiée et, cette fois, y
figuraient des cyberattaques moins importantes. Les experts, qui ont participé à la
rédaction de ce manuel, ont établi 95 règles relatives à la guerre cybernétique,
la première d’entre elles étant : « [qu’]Un État peut exercer un contrôle sur les
cyberinfrastructures et les activités au sein de son territoire souverain. » L’une de
ces règles définit une violation de souveraineté comme : « Toute ingérence d’un
État dans une cyberinfrastructure à bord d’une plateforme, où qu’elle se trouve,
qui jouit de l’immunité souveraine. »
Certaines règles font écho au principe du droit international humanitaire classique :
« Il est interdit d’employer des moyens ou méthodes de cyberguerre qui sont

de nature à causer des blessures superflues ou des souffrances inutiles [et]
il est interdit d’employer des moyens ou des méthodes de cyberguerre sans
discrimination par nature.
Les moyens ou méthodes de cyberguerre sont par nature indiscriminés alors

qu’ils ne peuvent l’être :
a) visant un objectif militaire précis, ou
b) limités dans leurs effets sont exigés par les parties à un conflit armé et sont
par conséquent de nature à frapper des objectifs militaires et des personnes
civiles ou des biens de caractère civil sans distinction. »
Ce manuel prévoit également : « Des représailles belligérantes par le biais de

cyberopérations contre :
a) les prisonniers ou la guerre ;
b) les civils internés, les civils en territoire occupé ou autrement aux mains
d’une partie adverse au conflit, et leurs biens ;
c) ceux qui sont hors de combat ; et
d) le personnel, les installations, les véhicules et l’équipement médicaux sont
interdits.
Là où le droit international ne l’interdit pas, les représailles des belligérants sont

soumises à des conditions strictes. »
Par ses principes, on voit bien que le manuel de Tallinn souhaite une adaptation
de certaines règles préexistantes du droit international au cyberespace. Parmi ces
principes reconnaissables, on trouve notamment, le sort des prisonniers,
le traitement des journalistes, la non-entrave à l’effort humanitaire. Il est assez
clair que l’hypothèse de la cyberguerre n’est pas laissée de côté et comme il ne
s’agit pas d’un risque théorique, ce manuel essaye d’anticiper en identifiant les
règles à appliquer.
Pour les experts qui ont travaillé sur ce texte, il semble clair que le « jus ad bellum »
(droit de la guerre) tout comme le « jus in bello » (droit international humanitaire)
peuvent être appliqués au cyberespace et donc aux États prenant part à une
guerre dans ce milieu. En suivant la logique de ce texte, les États engagés dans
une cyberguerre devraient donc respecter des principes similaires à ceux qu’ils
respectent lors de guerres traditionnelles – le respect des prisonniers de guerre,
des civils, etc. Ils assurent ainsi la protection des citoyens et le respect de ces
principes fondamentaux.
Ce texte semble extrêmement prometteur, mais malheureusement, il ne permet

pas de servir de fondement pour une action juridique. Les lignes de conduite de
ce texte n’ont pas de force contraignante vis-à-vis d’une personne physique ou
d’un État, puisqu’il s’agit de soft law. Pour autant, ce manuel a le mérite d’exister
et d’apporter certaines précisions, notamment en matière de définition et de
principes sur lesquels certains États s’accordent comme pouvant s’appliquer.
Actuellement, il s’agit du document le plus abouti au niveau international en la

matière et il pourrait fort bien, dans le futur, servir de fondement à l’élaboration d’un
traité international. En posant certains principes, il met en lumière un consensus,
au moins de principe, au sein de la communauté internationale. Par ailleurs,
ce manuel, surtout sa première version, existe depuis quelques années, ce qui a
permis aux États de se l’approprier et même d’adhérer à ses principes.
Les avancées et autres points positifs de ce manuel ne doivent pas faire oublier
des « carences » et il a subi des critiques. Parmi celles-ci, on peut en trouver une
concernant les auteurs de ce texte, la majeure partie du comité ayant travaillé
à sa rédaction étant anglo-saxonne. De ce fait, certains considèrent que les
principes énoncés sont teintés de l’origine dominante de ces auteurs et ne
seraient donc pas adaptés à tous les États. Il est vrai que plus la diversité est
importante au sein d’un groupe de travail, plus il y a de chance que de nouvelles
idées émergent et conviennent à un plus grand nombre d’États.
Actuellement, au niveau international, la situation juridique des cyberattaques

est plutôt paradoxale. En effet, le volet cyber est de plus en plus utilisé dans
les rapports de force, prouvant ainsi la nécessité de l’encadrer juridiquement.
Ces armes ne sont plus un aléa, elles sont intégrées aux côtés des armes
traditionnelles comme le montre la démonstration de force réalisée par Israël
en 2019 – lorsque cet État a répondu à une cyberattaque qu’ils ont attribuée
aux Palestiniens par un bombardement en direction du bâtiment d’où provenait
l’attaque.
Par ces représailles, Israël a été le premier État à répondre à une cyberattaque
en utilisant, non pas des armes de même nature, ce qui aurait pu être envisagé,
mais un autre type d’arme. Cette réponse pourrait fort bien être une illustration
de la manière dont les États considèrent comme de même niveau les armes
traditionnelles et les armes cyber.
L’arrangement de Wassenaar et les biens à double usage

L’été 2021 nous a démontré qu’à côté des cyberattaques mafieuses ou à visée
d’espionnage étatique, il existe des logiciels espions – a priori destinés à traquer
terroristes et mafieux – détournés de leurs objectifs officiels pour espionner des
personnes physiques.
A priori, Pegasus, le logiciel espion développé par la société NSO, a permis

d’espionner des journalistes, des hommes politiques et des opposants connus
pour leurs critiques de certains gouvernements. Rien n’indique que des chefs
d’entreprise l’aient également été, mais le fonctionnement de ce logiciel espion
rend cela simple à mettre en œuvre.
Avec ce logiciel, nous avons ce que l’on appelle un « bien à double usage »,
comme l’entend l’arrangement de Wassenaar depuis 2017.
Cet arrangement correspond à un régime de contrôle des exportations de

biens et technologies à double usage (civil et militaire). Il a pour but d’éviter le
renforcement, ou le simple développement, « des capacités militaires d’États ou
de groupes terroristes pouvant nuire à la stabilité régionale et internationale. »
D’adhésion libre et de nature juridique informelle, ce texte réunit 42 pays

signataires et notons que ses dispositions s’imposent à tous les États membres
de l’UE depuis 2000.
Les biens et technologies visés sont listés dans les annexes de ce document et
sont régulièrement réactualisés.
Ainsi, depuis décembre 2017, cette liste s’est ouverte aux biens et technologies en
rapport avec les « logiciels d’intrusion ». Elle évolue régulièrement, par exemple,
en fonction des progrès du numérique. Elle avait déjà fait l’objet de mise à jour
en 2012-2013 intégrant des biens « pouvant servir aux logiciels d’intrusion »,
mais les termes utilisés n’étaient pas assez adaptés à ces logiciels, d’où la
révision de 2017.
Des évolutions se dessinent

Même si l’on ne dispose pas encore de texte contraignant au niveau international,
il faut tout de même souligner que certaines prises de position et des opinions
affirmées commencent à poindre au niveau international.
La France, par exemple, a annoncé et inscrit dans sa Revue stratégique de défense

que : « Dans le cyberespace, certaines attaques, en raison de leur ampleur et de
leur gravité, pourraient relever de la qualification d’agression armée. » De plus,
elle estime pouvoir invoquer la légitime défense au sens de l’article 51 de la
charte de l’ONU en cas d’agression armée.
Déjà en 2016, Jean-Yves le Drian, alors ministre de la Défense, prônait l’applicabilité

du droit international à cet espace, état de fait affirmé, d’une part, dans le
Livre blanc sur la défense et la sécurité nationale de 2013, d’autre part, dans la
Stratégie nationale pour la sécurité du numérique de 2015.
Par ailleurs, lors de de la 72e session de l’ONU (19e et 20e séances), Louis Riquet61
a réaffirmé que, désormais les gouvernements considèrent la cybersécurité
comme une priorité et qu’en l’état du droit, particulièrement du droit international
humanitaire et de la charte des Nations unies, le droit international est applicable
au cyberespace. En effet, selon lui : « Chaque État est tenu de respecter l’obligation
de régler ses différends par la coopération et la négociation, sans remise en
cause de son droit à prendre des mesures techniques et proportionnelles pour
répondre à une cyberattaque. » Une attaque informatique peut donc être
une agression armée au sens de l’article 51 de la charte, condition nécessaire
à l’exercice de la légitime défense.
La France a en outre étendu l’excuse pénale aux cybercombattants, les plaçant

ainsi au même niveau que les militaires traditionnels. Cette excuse pénale
permet « sous certaines conditions, d’exonérer de leur responsabilité pénale
les militaires exerçant des mesures de coercition, faisant usage de la force ou
en donnant l’ordre ».
Il s’agit là d’une belle « ouverture » puisque, comme évoqué plus haut, certains
États pourraient accepter un renforcement du droit international cyber dès
lors que certaines actions étatiques seraient précisément distinguées d’actions
purement criminelles.
61 Représentant permanent adjoint de la France auprès de la Conférence du désarmement au

moment de la 72e session de l’ONU.
Le cas de la légitime défense

Bien que la reconnaissance du cyberespace comme espace opérationnel date
de 2016, l’OTAN a reconnu dès 2014 que : « La cyberdéfense fait partie intégrante
de la défense collective et que les cyberattaques peuvent désormais aboutir
à l’invocation de la clause de défense collective (l’article 5) du traité fondateur
de l’Organisation. »
Il est donc admis au niveau international que la légitime défense est possible en
cas de cyberattaque atteignant un niveau d’intensité suffisant. Cela signifie que,
pour recourir à la légitime défense, il faut donc être en mesure de démonter
pourquoi cette attaque relève de l’agression armée, en s’intéressant à son
intensité, à l’existence d’un risque pour la souveraineté d’un État ou pour son
intégrité territoriale ou son indépendance politique et à l’imputabilité de cet
acte à un État. Si les deux premières conditions sont applicables sans trop de
difficultés, le troisième risque d’être plus délicat à appliquer puisque dans le
cyberespace, il est difficile d’attribuer avec certitude une attaque à son véritable
auteur. Pour cela, les enquêteurs doivent se fonder sur un certain nombre d’indices
constituant un faisceau d’indices les menant à la probable origine. Reste qu’il
est extrêmement difficile, voire impossible, d’être certain de l’attribution de
l’attaque. Ainsi, en France, l’Assemblée nationale relevait en 2018 : « [qu’]Une
conséquence majeure de cette difficulté ́ d’attribution est de rendre partiellement
inopérants les mécanismes de défense collective existants : article 51 de la
Charte des Nations unies, article 5 du traité de l’Atlantique Nord, article 42-7
du traité sur l’Union européenne. » Il est cependant possible d’envisager que
les attaques les plus conséquentes et les plus graves permettront l’application
de cet article, notamment du fait de dégâts matériels très importants et de
« victimes » humaines.
La question de l’applicabilité de ces critères nécessitera d’être éclairée par des

cas de jurisprudence. Ainsi, en se référant à la réponse par les armes d’Israël
pour donner suite à une cyberattaque du Hamas, il est possible de s’interroger
sur le bien-fondé de cette réplique. En effet, au vu des éléments fournis dans
la presse, il semblerait que l’attaque informatique n’ait pas eu de conséquences
importantes et que la souveraineté d’Israël n’ait pas été mise en péril, puisque
ses spécialistes ont été en mesure d’intervenir pour mettre fin à cette attaque.
Il n’est donc pas certain que la décision d’Israël de riposter en usant d’une arme
traditionnelle après cette attaque ait été fondée.
Selon le journal Le Monde62 : « Cette frappe, qui a visé le 4 mai 2019 un immeuble
de la bande de Gaza, pourrait cependant constituer une première : Israël dit
avoir, ce faisant, riposté à une attaque informatique, déjouée dans un premier
temps par ses experts militaires. Jamais un État n’avait revendiqué ainsi l’emploi
de la force militaire traditionnelle pour punir une cyberattaque. »
Il est difficile de se forger une opinion sur cette question puisque très peu de
cas d’espèce peuvent être étudiés. En revanche, il est certain que le respect de
l’immédiateté, de la nécessité et de la proportionnalité est une première étape
nécessaire à une démarche de légitime défense à la suite d’une cyberattaque.
Il ne fait donc pas de doute que certains principes du droit international sont
applicables au cyberespace : « Le droit international doit être considéré comme
s’appliquant pleinement au domaine cyber. Ce principe a d’ailleurs été admis
par le groupe d’experts gouvernementaux, réunis dans le cadre des travaux
de l’Assemblée générale des Nations unies sur la cybersécurité (UNGGE).63 »
Le problème de l’attribution d’une cyberattaque reste essentiel. Dans l’un de

ses rapports, l’Assemblée nationale estime : [qu’]Au-delà des aspects purement
techniques, la décision d’attribuer une cyberattaque relève, en dernière analyse,
d’une appréciation et donc d’une décision de nature politique. Plutôt que sur des
certitudes absolues et des preuves irréfutables, une telle décision s’appuie sur
un niveau suffisamment bas d’incertitudes, sur un faisceau d’indices à la lumière
desquels l’autorité politique prend la responsabilité d’attribuer un acte.64 »
En effet, il est tout à fait envisageable, du moins techniquement, de commettre

une attaque en imitant la signature, la méthode, la cible, le créneau horaire d’un
pays, afin de faire porter les soupçons vers ce pays et ainsi le faire accuser d’être
à l’origine de l’attaque, alors même que celle-ci a été commise par un autre pays.
De plus, une attribution politique peut être plus facilement contestée

qu’un raisonnement juridique adossé à un recueil de preuves suffisantes…
Ce changement de paradigme nécessitera d’être analysé avec soin lorsqu’un
plus grand nombre d’attributions auront été réalisées afin d’observer la manière
dont elles sont mises en œuvre.
L’attribution politique de l’origine d’une cyberattaque démontre tout autant

l’importance que cet espace revêt que le lien de ce dernier avec la souveraineté
des États.
62 Édition du 6 mai 2019.

63 Arnaud Coustillière, op. cit.
64 Intervention de Bastien Lachaud, député, rapporteur de la commission de la Défense nationale
et des Forces armées, lors de la séance du 4 juillet 2018.
Par ailleurs, les cyberattaques entre États, ou venant d’États, ne sont jamais
indépendantes du contexte géopolitique ou de relations entre certains États et
cela peut naturellement influencer le choix de l’attribution de l’attaque. Ainsi si
un État A entretient des relations difficiles avec un État B, il est possible qu’un
État C lance une cyberattaque contre l’État A en dissimulant son action derrière
les tensions entre les États A et B.
Et puis, si l’on veut faire preuve d’un peu de cynisme, le manque de volonté
d’États pour s’accorder sur un traité international contraignant en matière de
cyberespace aboutit à une situation que certains peuvent considérer comme
confortable : nul ne peut se voir reprocher d’avoir transgressé une règle qui
n’existe pas.
Certains optimistes pensent qu’il serait possible d’en appeler à la bonne volonté
des États afin de respecter certains comportements sans avoir besoin d’établir de
règle contraignante. Pour autant, accorder trop d’importance à cette hypothèse
semble depuis quelques années relativement vain. « Tant qu’il n’y a pas de règles,
tout le monde a tendance à les violer » : cette phrase d’Igor Shchegolev65 illustre
bien l’état de fait qui a tendance à régner dans un nouvel espace dépourvu de
règles contraignantes.
Aujourd’hui, pour avancer réellement vers une législation applicable au

cyberespace, il serait nécessaire de se doter des règles contraignantes au niveau
international. Même au niveau de l’ONU, les avancées se font désirer puisque :
« Hormis la déclaration généreuse, mais guère réaliste faite en février 2010 par le
directeur général de l’UIT66 lors du forum de Davos d’édicter un traité international
interdisant la cyberguerre, l’ONU n’est pas un acteur très opérationnel de la
cybersécurité à l’échelle mondiale.67 »
Constituer un corpus juridique au niveau international serait un moyen de stabiliser

le volume d’actes délictueux réalisés dans et grâce au cyberespace, mais cela
nécessiterait dans un premier temps de définir certaines notions encore floues
actuellement, à l’instar de la notion de cyberarme, comme nous l’avons vu dans
la première partie de ce livre.
Toutefois, il existe une volonté des États de construire un socle règlementaire, à

l’instar du projet de “cyber arms control”, discuté entre les États-Unis et la Russie.
65 Alors conseiller cybersécurité de Vladimir Poutine.

66 nion internationale des communications : agence des Nations unies pour le développement
U
dans les technologies de l’information et de la communication.
67 Nicolas Arpagian, La cybersécurité, coll. « Que sais-je ? », 3e éd., PUF, 2018.
Cela impliquerait de définir comment évaluer le niveau d’intensité, de létalité d’une

arme cyber, à partir de quand son niveau d’intensité serait suffisant pour être
qualifié d’agression armée. Par ailleurs la question de l’organisation internationale
pouvant travailler à ce traité se pose également. L’ONU ou l’OTAN semblent en
mesure de réaliser ce travail, mais pour la première se pose le problème d’un
éventuel veto posé par l’un de ses membres, et, pour la seconde, il risque de
s’avérer difficile de parvenir à un consensus.
En 2013, ces deux puissances ont tenté d’établir un accord bilatéral ayant notamment
pour objet la « création d’un groupe de discussion russo-américain rapportant
directement aux deux présidents » dont l’objet concernerait la cybermenace ainsi
que la formulation de propositions pour faire face à cette menace. Cet accord
visait également à limiter les escalades dans le cyberespace.
Parmi les mesures composant cet accord, il est possible de citer, « l’établissement
d’un dialogue permanent entre les CERT » afin que les agences se transmettent
en temps réel des informations concernant d’éventuels malwares semblant
provenir de l’autre partie. Une autre mesure concernait la création d’une ligne
directe entre les deux parties afin que les plus hautes autorités soient en mesure
d’échanger sur un incident susceptible d’être attribué à l’autre partie. Cet accord
aurait permis de développer la coopération et les échanges entre deux États,
ce qui aurait pu inciter d’autres à suivre la même voie. Mais cet accord n’a pas
vu le jour, notamment car les relations entre ces deux pays se sont dégradées
pour plusieurs raisons : l’élection de Donald Trump et les soupçons soutenus
tournés à l’encontre de la Russie pour ingérence dans cette campagne.
Actuellement, les relations entre les États-Unis et la Russie ainsi que leurs
comportements dans le cyberespace semblent « à l’opposé de ce que pouvait
laisser espérer cet accord. » Même si cet accord n’a pas pu aboutir, il démontre
que des discussions interétatiques sont possibles et que les pistes de travail
qu’il a esquissées pourraient inspirer d’autres États.
Outre le problème du manque de volonté des gouvernements, qui ne sont guère

moteurs dans l’élaboration de règles internationales, il existe un autre problème
plus délicat à résoudre. Si des règles étaient mises en place, intégrant un contrôle
du développement des armes cyber, on pourrait se demander comment se
déroulerait le processus de contrôle du respect de ces règles ?
Si l’on se réfère aux armes traditionnelles, il apparaît que, pour être efficace,
un texte doit s’accompagner de mesures de contrôle contraignant les États
à le respecter.
La Convention sur l’interdiction des armes chimiques68 a connu un succès certain

en matière de désarmement notamment, car elle disposait d’un régime de
vérification du respect des engagements pris. Ce contrôle était réalisé par une
autorité indépendante, l’Organisation pour l’interdiction des armes chimiques.
Le cyberespace étant un espace désincarné, par quel moyen assurer le respect

des textes s’y appliquant ? Cette question doit être envisagée par des experts,
dans les domaines juridique et technique, afin que le contrôle soit efficace.
Cette question reste actuellement en suspens, mais devra trouver une réponse,
car pour qu’un texte soit efficace, il est nécessaire qu’il s’accompagne d’un
instrument de contrôle.
La Revue stratégique de cyberdéfense69 en fait mention : « Dans le même temps,

le caractère immatériel de ces technologies rend les contrôles difficiles, lorsque
ceux-ci existent. Limiter la prolifération des technologies offensives, notamment
en maintenant le principe d’une applicabilité du contrôle des armes et des
technologies à double usage au domaine cyber représente donc un enjeu clé
pour la stabilité du cyberespace. »

L’élaboration d’une réglementation au niveau international, assortie de moyens
d’en contrôler le respect, représente un double objectif auquel il va être
nécessaire de répondre pour établir une réglementation du cyberespace plus
complète que celle qui existe actuellement.
Juridiquement, établir au niveau international des règles contraignantes
applicables au cyberespace constitue un véritable défi et une étape importante
afin d’avancer vers une utilisation du cyberespace plus encadrée.
Les États ont choisi de laisser de côté ce sujet, mais cette posture ne saurait
être tenable à long terme, car les États ont de plus en plus recours aux armes
cyber et leurs conséquences peuvent être de plus en plus dévastatrices.
Parce que le potentiel des armes cyber ne risque pas de diminuer et que les
États ne les abandonneront pas, il est nécessaire que le travail de qualification
et d’identification des règles applicables soit mené avant qu’une cyberattaque
ne soit à l’origine directe d’un nombre conséquent de victimes, voire de morts.
68 Convention internationale signée à Paris en 1993 et entrée en vigueur en 1997.

69 Revue publiée en 2017 puis actualisée en 2021.
4.2 États et doctrines. Vers quoi se dirige-t-on ?

Les États ne sont pas passés à côté des intérêts et avantages que peut leur
offrir l’arme cyber. Ils se sont dotés de leurs propres spécialistes en la matière,
on parle de cybercombattants. Ces derniers font partie des forces armées et
sont capables de mener des missions afin de servir ou protéger les intérêts de
leur État.
Au même titre que les processus d’une entreprise concourent à la réalisation

des objectifs (qualitatifs et quantitatifs) qui découlent de la stratégie de cette
entreprise, les cybercombattants sont des acteurs de la stratégie développée
par leur État.
Parmi les cibles d’une telle guerre, il y a toutes les infrastructures stratégiques que
nous avons déjà évoquées dans les pages qui précèdent, mais il y a également
les activités économiques, de la grande entreprise à la PME. Tous concernés,
d’une certaine manière…
La stratégie en termes de guerre cyber des États peut donc avoir des conséquences
directes sur la vie et sur l’activité des entreprises.
De ce fait, il nous a semblé intéressant d’évoquer, même rapidement, ce que l’on

connaît de ces stratégies, sachant qu’en la matière, on parlera plus facilement
de doctrine.
En poursuivant le parallèle, autre point important pour la définition d’une stratégie

d’entreprise : son environnement et des enjeux qui en découlent. Ici, il sera
question d’enjeux géopolitiques
4.2.1 Un enjeu géopolitique ?
AVANT DE PLONGER
Nous sommes extrêmement dépendants du monde cyber et on peut même
dire que nous avons consenti à cette dépendance, laquelle nous rend fragiles
en nous exposant aux risques de cyberattaques. L’arme cyber offre de
nouvelles possibilités, elle permet aux États de mettre sur pied de nouvelles
opérations ou simplement d’améliorer celles qu’ils ont déjà mises en place.
L’utilisation d’arme cyber introduit une nouvelle temporalité par rapport aux
armes classiques. Ces dernières ont un impact immédiat : les bombes sont
larguées et explosent au contact du sol, les balles atteignent leur cible quelques
instants seulement après avoir été tirées.
Ces armes peuvent être utilisées à un moment et ne remplir leur fonction que
quelques semaines ou mois plus tard. Certes, une arme cyber peut être utilisée
immédiatement pour perturber des communications par exemple, mais elle
sert aussi à des missions de plus longue durée. C’est le cas par exemple lors
de la surveillance ou de la perturbation du fonctionnement d’une entreprise.
L’arme cyber peut servir des intérêts stratégiques plus lointains et elle peut aussi
infecter un système et ne s’activer que quelque temps après.
L’usage de l’arme cyber ne nécessite pas autant de proximité que l’arme classique.
On ne peut pas utiliser une arme à feu à n’importe quelle distance, si l’on veut
atteindre notre but. Les soldats doivent avoir une certaine proximité avec leur
cible pour utiliser une arme traditionnelle, ce qui implique forcément un certain
risque pour eux. Alors qu’en cas d’utilisation d’une arme cyber, il n’y a pas ce
même besoin proximité. Il est tout à fait possible de lancer une cyberattaque
d’un pays vers un autre sans avoir mis un pied dans le pays ciblé. Pour son
utilisateur, elle limite le risque d’être découvert, tout en permettant de récolter
des informations ou de déstabiliser sa cible.
L’arme cyber permet aussi d’entretenir une certaine asymétrie entre les États
qui peut s’avérer très utile en cas de conflit. Israël, par exemple, est un petit
État géographiquement parlant, mais il est sans conteste un acteur important
et influant dans le cyberespace.
En ce qui concerne l’armement classique, il y a des impondérables difficiles

à accepter, tels que les coûts de développement des armes, comme leur entretien,
qui sont très élevés – mais surtout elles conduisent à des pertes humaines
importantes, en particulier des soldats. Éviter le sacrifice de la vie des soldats,
prévenir la destruction de matériels est envisageable grâce à l’utilisation de
l’arme cyber. L’arme cyber ne met pas en jeu la vie de la personne qui l’emploie.
De plus, elle ne demande pas autant de moyens que des armements classiques.
Il n’est nullement nécessaire de disposer d’une industrie de défense performante
pour développer ces armes. De plus, elles sont bien moins coûteuses que
des armes classiques, car elles ne nécessitent pas une chaîne de production,
des matières premières, etc.
Le cyberespace a également fait évoluer la manière dont se déroule un conflit.

Si l’on schématise, avant le cyberespace, les conflits se déroulaient en trois
phases. La première, juste avant le conflit, préconflictuelle, pendant laquelle
les troupes sont mobilisées et commencent à se déplacer. Ensuite intervient
la phase conflictuelle où la guerre est clairement déclarée et où les hostilités
commencent. Une fois cette phase achevée, commence l’après-conflictualité
lorsque les hostilités prennent fin grâce à des négociations et à la signature
d’un traité de paix.
On a une sorte de continuité de la conflictualité dans le cyberespace, mais en

évitant certaines des conséquences néfastes et tragiques de la conflictualité
classique. Le nombre de morts est forcément moins important, même quand
on utilise une cyberattaque pour poursuivre un but géopolitique. L’usage de
cette arme dépendra de l’objectif arrêté. L’arme cyber ne sera certainement
pas utilisée pour faire de réelles victimes. Mais il ne faut pas les sous-estimer,
elles peuvent avoir des conséquences importantes et surtout elles permettent
d’entretenir une certaine ambiguïté. On ne sait pas vraiment qui est derrière
cette attaque, on entretient ainsi un flou qui peut être très intéressant au niveau
stratégique. Surtout, ces attaques peuvent avoir des conséquences à travers
le monde entier alors qu’une opération classique sera forcément circonscrite.
Dans le cyberespace, les événements ne respectent pas cette trilogie temporelle,

des ressources sont mobilisées, on reconnaît la cible et on lance l’intrusion. Il n’y
a pas de phase de déclaration de guerre ni de cessez-le-feu, et encore moins de
traité de paix. Il n’y a aucun besoin de déclarer une guerre puisque tout se fait
à couvert et dans un certain anonymat. Cela permet une certaine flexibilité dans
l’utilisation de cette arme, d’autant plus que dans le futur, ces armes risquent
de proliférer et non de disparaître. Considérant les avantages que représente
cette arme, il semble peu probable que quiconque renoncerait à s’en servir.
D’autant plus que ces armes vont continuer à se perfectionner avec les avancées
technologiques, la démocratisation de l’intelligence artificielle, etc. Toutefois,
elles restent des armes très ambiguës permettant à des alliés de se transformer
secrètement grâce à l’action anonyme et dans l’ombre.

Grâce à l’arme cyber, les États sont en mesure de continuer à mener leurs
politiques et activités stratégiques traditionnelles, mais sous une nouvelle
forme. Évidemment il n’est pas possible que toutes les opérations stratégiques
menées soient remplacées par une intervention dans le cyberespace, une action
numérique ne permettra pas de libérer des otages, mais l’utilisation de cet
espace peut aider à la mise en œuvre de cette opération. Si le cyberespace ne
remplace pas toutes les interventions « hors ligne », il fournit tout de même un
appui à ces dernières. Elles assurent la continuité de la conflictualité, mais en
limitant ses effets néfastes.
L’arme cyber permet l’évolution des capacités offensives et défensives dont
disposent les États. Mais, au-delà de cette évolution, cette arme « impose
une refonte importante de nos schémas de planification et de conduite afin
d’en tirer le meilleur bénéfice.70 »
70 Arnaud Coustillière, op. cit.

4.2.2 Qu’en est-il de la situation en France ?
AVANT DE PLONGER
Le cyberespace est un nouveau terrain d’affrontement dans lequel chaque
État tente de trouver ses marques. En 2017, le directeur de l’ANSSI,
Guillaume Poupard, traduisait sa pensée en expliquant : « [qu’]On n’a pas
d’ami dans le cyberespace… ce qui ne signifie pas que l’on n’a pas d’allié. Cette
réflexion met en lumière la nécessité pour chaque État de développer une
doctrine propre à ce nouveau terrain d’affrontement, à laquelle il conviendra
d’adjoindre un corpus juridique solide. » Dans les pages qui suivent, nous
avons souhaité donner à voir et comprendre la situation française, situation
qui, directement ou indirectement, peut tous nous concerner et influer sur
le cours de nos activités – salariés et dirigeants d’entreprise, risk managers
ou acheteurs.
2008, une première doctrine

En France, et de manière officielle, l’intérêt pour le cyberespace est visible dès
le Livre blanc sur la défense et la sécurité nationale publié en juin 2008. Celui-ci
formule des recommandations devant permettre à la France d’être en mesure
de gérer les nouvelles menaces provenant du cyberespace.
On peut assimiler cela à une stratégie de gestion des risques, ou une réflexion sur
un système de management de la qualité d’une entreprise. Ici, l’environnement
« décortiqué » est celui des menaces potentielles auxquelles doit faire face la
France et, pour la première fois dans un tel document, les menaces pouvant
apparaître dans le cyberespace. Est ainsi formalisé avec une entrée défense du
territoire français un nouveau champ de bataille qui ne s’arrête ni aux frontières
naturelles ni à celles des États. On est là dans une logique nouvelle, puisque
la France ne va pas chercher à se préparer à des conflits avec des belligérants
que l’on connaît, dont on cerne les armes et les stratégies. Non, là rien de tel,
puisque comme vous le savez, les attaquants y agissent le plus souvent à visage
couvert, avec des armes propres à cet espace. De plus, contrairement à un
conflit classique, les conséquences potentielles de ces nouvelles guerres peuvent
aller d’une simple gêne à un incident trop important pour être ignoré. En fait,
en 2008, on n’imagine pas encore ce que peuvent être ces attaques. On n’a
pas encore vu des hôpitaux ou des oléoducs « bloqués ». On n’a pas non plus
imaginé que « l’ennemi », plutôt que de lancer ses troupes à l’assaut de notre
pays, pouvait simplement lancer des rumeurs en grand nombre pour influencer
le cours d’élections présidentielles…
Pour autant, ce livre blanc explore la possibilité que – même si l’on n’arrive pas
à une situation de guerre – un incident dans le cyberespace peut compromettre
la viabilité des systèmes d’information des ministères ou de n’importe quelle
autre organisation, voire perturber le bon fonctionnement des engagements
opérationnels français.
Comme les États l’ont fait auparavant pour les menaces classiques, l’État français
développe une doctrine – en entreprise, nous parlerions d’analyse du contexte
puis de stratégie – pour faire face à ces nouvelles menaces et orienter son action.
2019, la LIO
Un peu plus de dix années plus tard, le 18 janvier 2019, Florence Parly a officiellement
présenté la (nouvelle) doctrine militaire offensive dont s’est dotée la France. Il est
désormais clair que la France se donne les moyens d’aligner, aux côtés de ses armes
conventionnelles, un arsenal d’armes cyber qui doit lui permettre de répondre
aux événements pouvant survenir dans cet espace.
Évidemment, l’essentiel de cette doctrine est confidentiel, mais un document

a tout de même été rendu public, sous forme de la « lutte informatique offensive »
(LIO).
Cette publication – ainsi que l’annonce qui en a été faite – permet d’établir que
la France dispose de capacités et de compétences défensives, mais surtout
offensives qui lui permettent de répondre en cas d’agression armée au sein du
cyberespace. C’est ce que Florence Parly résume par : « C’est important parce
qu’il faut que nos adversaires potentiels le sachent. »
La LIO doit, entre autres, contribuer à l’obtention d’un avantage opérationnel

certain sur les différents théâtres où sont déployées les forces françaises, ainsi qu’à
la défense des systèmes d’information français.
Pour cela, elle vise trois objectifs :

 tout d’abord elle doit permettre : « L’évaluation de capacités militaires
adverses. » Il s’agira notamment de recueillir ou d’extraire les informations
dont les autorités ont besoin ;
 le deuxième objectif vise à : « La réduction, voire la neutralisation de
capacités adverses. » Cela peut se faire en causant des dommages massifs
aux capacités militaires adverses ou en créant une perturbation temporaire ;
 enfin, le dernier objectif concerne : « La modification des perceptions ou
de la capacité d’analyse de l’adversaire. » Pour le mener à bien, il sera
nécessaire d’engendrer une discrète altération des données ou des systèmes
et d’exploiter les données obtenues dans des systèmes d’information de
l’adversaire.
En plus, la LIO contribue aux fonctions opérationnelles classiques, elle peut

accompagner des moyens classiques de recueil ou d’action en matière de
renseignement, de défense et d’action :
 la première représente la capacité d’agir. Elle doit permettre de contrer
toute tactique de désinformation et accompagner les manœuvres militaires
grâce à ses capacités de perturbation et de neutralisation ;
 la deuxième fonction concerne la défense afin, d’une part, de contribuer
à l’identification de l’attaquant, d’autre part, en matière de riposte, d’intervenir
du fait d’intrusion informatique et pour neutraliser les capacités adverses ;
 enfin, elle remplit la fonction de renseignement puisqu’elle permet de
caractériser et d’attribuer les actions aux systèmes adverses correspondants
et donc de surveiller un éventuel adversaire.
La LIO permet l’utilisation de l’arme cyber seule, en tirant profit de sa furtivité

ou en corrélation avec d’autres armes conventionnelles.
Au-delà d’un emploi tactique de la LIO, celle-ci présente un intérêt stratégique.

Par exemple, concernant l’évaluation des capacités adverses, au niveau tactique,
le renseignement est « d’intérêt immédiat lié à l’action des forces » et au niveau
stratégique, le renseignement a un intérêt concernant la « préparation des
opérations, à fins de ciblage ou de développement capacitaire. »
Comme toute autre opération militaire, le recours à la LIO et donc à une arme
à caractère numérique, n’est pas dénué de risque. L’acceptation du risque est
nécessaire et cette acceptation incombe à l’échelon décisionnel. Ce dernier doit
prendre sa décision en tenant compte des principes cardinaux du “jus in bello”,
à savoir la nécessité, la proportionnalité, la distinction et la discrimination.
Il appartient à cet échelon d’établir le ratio entre le coût représenté par l’utilisation
de l’arme cyber et son efficacité et ce, au regard de différents facteurs comme
le contexte politique et géopolitique, la situation. Cette appréciation doit leur
permettre de parvenir à la décision la plus adéquate.
En ce qui concerne l’acceptation du risque, il faut prendre en compte d’autres

éléments. Si l’emploi de l’arme cyber peut engendrer des conséquences au
moment même de l’attaque, certaines peuvent intervenir plus tard et doivent
tout de même être envisagées et prises en compte.
En effet, les cibles de ces armes ne se limitent pas forcément à des entités
militaires, puisque presque toutes les organisations, peu importe leur statut,
augmentent constamment leur connectivité et peuvent donc être la cible de
telles attaques.
La LIO permet à l’État français de disposer de réels avantages sur les théâtres
d’opérations où il intervient. Néanmoins, du fait de la nature même du cyberespace
et des armes qui y sont disponibles, cette doctrine présente certaines limites,
notamment concernant l’utilisation même de cette arme.
Comme nous l’avons vu dans la partie consacrée à la définition de l’arme cyber,

celle-ci se différencie concrètement d’armes traditionnelles. Ainsi, lorsqu’une
arme à feu est utilisée, le projectile, qui est l’élément provoquant les dégâts,
est détruit après son impact et n’est pas réutilisable, mais il n’en est pas de
même dans le cyberespace. Après avoir été utilisée, l’arme cyber ne se détruit
pas, elle peut être réutilisée par une autre personne à sa guise et, pire encore,
il est impossible de s’assurer que les conséquences de l’utilisation de cette arme
se limiteront à la cible initiale.
Une arme cyber peut être subtilisée ou reproduite, même après avoir déjà été
utilisée une première fois. Il est possible pour les États ou des individus de
récupérer tout ou partie du code malveillant libéré. Une fois récupéré, ce code
peut être modifié à la guise de celui qui l’a, souvent pour le rendre encore plus
nuisible.
C’est l’une des raisons pour lesquelles il est nécessaire de contrôler l’utilisation
de ces armes ainsi que leur processus de création le plus strictement possible.
Si éviter tout détournement ou compromission de ces armes est une noble
idée, si l’industrie de défense classique est habituée à travailler en respectant
un secret de fabrication certain, il n’en est pas de même dans le cyberespace.
Certes, les pirates ne vont pas forcément partager leurs codes malveillants entre
eux, mais à partir du moment où ils le libèrent dans le cyberespace, ils ne leur
appartiennent plus pleinement et ne sont plus un secret.
En raison des caractéristiques mêmes du cyberespace et de l’arme cyber,

il apparaît très difficile de maîtriser la conception de ces armes – et je ne parle
même pas de conserver cette maîtrise dans la durée.
Contrôler les biens nécessaires à la construction d’une arme cyber est

particulièrement complexes puisque de nos jours, rares sont les personnes ne
possédant pas un ordinateur, un smartphone ou une tablette.
Ces limites sont mises en lumière par la doctrine française, mais elles valent
pour celles des autres pays.
De la LIO à la LID
Cette dimension offensive de la stratégie cyber de la France coexiste avec son
pendant défensif, la lutte informatique défensive (LID). Ainsi, en cas d’attaque
ayant pour cible les systèmes informatiques, les capacités opérationnelles
nationales ou les chaînes de commandement, la LIO va soutenir la LID, notamment
pour caractériser l’attaque et contribuer à y mettre un terme.
La LID est tout aussi importante que la LIO, puisqu’elle « regroupe l’ensemble des
actions, techniques et non techniques, conduites pour faire face à un risque, une
menace ou à une cyberattaque réelle, en vue de préserver notre liberté d’action. »
Pour ce faire, la LID a six missions :
 la prévention, qui doit permettre à chacun d’avoir conscience du risque
présenté par cet espace ;
 l’anticipation, autant que possible, des éventuelles cyberattaques afin de
disposer des mesures adéquates pour parer à cette menace ;
 la protection des systèmes et la diminution au maximum leur vulnérabilité ;
 la détection, qui doit aider à déceler tout indice permettant d’identifier
une éventuelle attaque ;
 la nécessité de réagir et donc de résister en cas de cyberattaque ;
 l’attribution de l’attaque grâce aux indices et preuves permettant d’en
identifier l’auteur.
Au sein du ministère des Armées, la LID est mise en place par chaque état-
major, direction et service, au sein de son champ de responsabilité. Pour autant,
les premiers échelons défensifs concernés par la détection des cyberattaques
sont constitués par les centres opérationnels de cybersécurité. Ensuite, c’est le
CALID (centre d’analyse et de lutte informatique défensive), à l’échelle ministérielle
et sous les ordres du COMCYBER, qui met en œuvre la supervision technique
pour l’ensemble du ministère.
Selon le ministère des Armées : « [le] COMCYBER assure l’ensemble des actions
défensives et offensives dans le cyberespace, pour garantir le fonctionnement du
ministère et l’efficacité des forces armées pour le déroulement des opérations
militaires, à tous les niveaux. Sous l’autorité du président de la République et
du chef d’état-major des armées, il agit en cohérence avec les états-majors
interarmées, des armées de Terre et de l’Air, de la Marine nationale, et des forces
spéciales ainsi qu’avec les services de renseignement. Pour la cyberdéfense
quotidienne, le COMCYBER se coordonne avec l’Agence nationale de la sécurité
des systèmes d’information. »
Puis vint la PPC

De plus, du fait de l’importance des conséquences pouvant découler d’une
cyberattaque, la France s’est dotée d’une posture permanente de cyberdéfense
(PPC) que viennent renforcer la LIO ainsi que la LID.
Cette PPC a été créée par la loi de programmation militaire 2019-2025 et

correspond à toutes les mesures adoptées afin d’assurer, au sein du cyberespace,
la défense des forces armées en temps de paix ou de guerre.
Dans le monde de l’entreprise, il serait question de veille stratégique, une

veille qui vise à repérer la montée en puissance d’un concurrent, des actions
malveillantes, etc., et qui se poursuit par des travaux d’analyse pour estimer la
nécessité d’agir et réagir.
Cette PPC vise à remplir trois buts précis :

 la surveillance du cyberespace ainsi que la détection d’éventuelles atteintes
concernant le ministère des Armées ;
 la capacité de déployer, en toute sécurité, des forces malgré les risques
issus du cyberespace ;
 aider à réagir en cas d’agressions venant du cyberespace et à prendre les
mesures nécessaires pour que ces agressions cessent.
Pour être pleinement opérationnelle, cette doctrine, associant LIO et LID, s’appuie
sur un personnel spécifique au sein des armées françaises, des cybercombattants.
Ceux-ci ont en charge un large panel d’activités et de missions, allant de l’analyse
d’une action, à la recherche et la veille ainsi qu’à l’anticipation des menaces,
en passant par des tests d’intrusion et des audits. Leurs missions comprennent
également la protection des systèmes d’information et l’investigation numérique.
Ces combattants ont donc des profils variés, à savoir des ingénieurs spécialisés
dans la conception et le développement des logiciels, des spécialistes de
l’administration des systèmes et de leur sécurité, de l’évaluation des systèmes
et de la lutte informatique défensive ainsi que des spécialistes de la veille sur
les réseaux sociaux.
Les cybercombattants permettent d’atteindre les objectifs énoncés par la

ministre des Armées, Florence Parly : « Anticiper les menaces, détecter et
attribuer les attaques, protéger nos réseaux, répliquer le cas échéant, mais
également permettre à nos forces en opération de combiner armes cyber et
actions cinétiques pour démultiplier les effets de nos interventions. »
En plus de cela, désormais, les considérations de cybersécurité sont prises en

compte dès les premières phases de la conception de tout produit ou système.
Ces considérations doivent également faire partie intégrante des phases de

production et de maintenance des différents systèmes et produits liés aux
forces armées.
Intégrer les questions de cybersécurité dès les prémices des différents

programmes permet de les protéger au mieux face aux menaces. Il est nettement
plus délicat de mettre en conformité un programme déjà mis en place que
de veiller à sa conformité initiale. Les menaces issues de l’espace numérique
évoluent constamment et peuvent prendre des formes diverses ; c’est pourquoi
il est important de tout faire pour maintenir un seuil de vulnérabilité le plus bas,
possible en intégrant les mécanismes de protection et d’anticipation nécessaires.
La France affirme donc publiquement sa possession et son éventuel usage de

l’arme cyber !
Reste que son potentiel n’est pas encore totalement exploré. Cette arme soulève
encore des questions, notamment celle de son éventuel emploi comme arme de
dissuasion, du fait de sa puissance et de ses capacités de destruction. Pour certains
elle pourrait devenir une seconde arme de dissuasion avec des coûts moins
élevés que ceux de l’arme nucléaire.
Car si la dissuasion nucléaire est efficace et conserve sa viabilité dans la durée,

c’est parce qu’elle est devenue, grâce au traité de non-prolifération, une arme
de non-utilisation. En d’autres termes, par principe, cette arme n’a pas vocation
à être utilisée par les pays en disposant.
Sur ce point, il est possible de relever que depuis 1945, l’arme nucléaire n’a pas
été utilisée, alors que l’arme cyber est quant à elle utilisée plus aisément et
potentiellement plus régulièrement.
En effet, selon le professeur Greg Austin de l’université de Nouvelles-Galles

du Sud (Australie) : « Les États explorent très vigoureusement l’utilisation de
tactiques qu’ils n’envisagent pas en matière de guerre nucléaire. »
La dissuasion nucléaire repose sur deux éléments. En premier lieu, il y a son

utilisation par les États-Unis en 1945 sur les sites d’Hiroshima et de Nagasaki.
Ce précédent établi, le pouvoir très destructeur de cette arme reste entretenu
par les capacités offensives développées par les États possédant cette arme.
Si l’arme cyber dispose de caractéristiques offensives lui permettant, par exemple,

d’attaquer les systèmes vitaux d’une ville, d’un État, comme leur réseau d’électricité
ou d’eau, des entreprises essentielles, ou tout simplement des myriades de PME
sous-traitantes de grands noms de l’industrie et pourvoyeuses d’emploi, cela ne
suffit pas à la hisser au même niveau de dissuasion que l’arme nucléaire.
Même si une telle attaque peut mettre à bas le fonctionnement de chaînes de

valeur et, ainsi, semer le désordre dans un pays, son économie… et nos vies
quotidiennes, cette arme cyber ne peut pas se fonder sur les mêmes éléments
historiques pour établir un précédent démontrant que son utilisation aurait des
conséquences inacceptables.
Pour être pleinement dissuasive, il est nécessaire que les dégâts causés par cette
arme soient inacceptables et supérieurs aux gains qui pourraient en résulter,
ce qui à l’heure actuelle, ne semble pas être le cas de l’arme cyber, parce que
– a priori – cela n’est pas envisagé, même par les dirigeants de dictatures.
En conséquence de quoi, bien que l’éventualité d’une cyberattaque puisse de plus

en plus inspirer un sentiment de crainte du fait de ses éventuelles conséquences,
ce sentiment ne rivalise pas avec celui d’une éventuelle utilisation de l’arme
nucléaire qui apparaît encore aujourd’hui comme l’arme ultime des États.
La difficulté d’attribution des attaques – nous l’avons précédemment écrit, mais

c’est important de le rappeler – est également un point d’achoppement pour
considérer l’arme cyber comme une arme de dissuasion, puisque l’attribution est
essentielle pour que la dissuasion revête sa force pleine et entière. L’attribution des
cyberattaques est particulièrement délicate, voire impossible, alors qu’attribuer
le lancement d’un missile nucléaire à son auteur est relativement simple.
Ces éléments ne permettent donc pas d’envisager l’arme cyber comme un nouvel
outil de dissuasion et ainsi on peut rejoindre l’estimation de Bernard Barbier
selon laquelle l’arme cyber est utilisée actuellement et le restera dans le futur.
Par ailleurs, l’arme nucléaire est détenue par un nombre relativement restreint
d’États, ce qui contribue à sa non-utilisation et donc à l’efficacité de la dissuasion
nucléaire. A contrario, l’arme cyber est potentiellement à la disposition de
chaque État, mais également à la disposition de groupes d’individus sans qu’ils
aient forcément de lien avec un État. Ce qui limite donc la portée du concept
de dissuasion appliqué à l’arme cyber.
Il est d’ailleurs difficile d’envisager que les États possédant ces armes soient
prêts à s’en défaire : « Les États, en effet, ne sont aucunement prêts à renoncer
à leurs prérogatives sur ces “territoires” numériques. »

De livre blanc en « LIO » et « LID », on comprend comment l’État français a
construit sa stratégie cyber, qu’il s’agisse de défense ou « d’attaque » et a
cherché à mettre en place un processus de dissuasion.
4.2.3 Et à travers le monde, où en est-on ?
AVANT DE PLONGER
Évidemment, la France n’est pas le seul État à s’être doté d’une stratégie
concernant l’utilisation de cette arme. D’autres États ont édicté leurs propres
doctrines ou sont soupçonnés de s’être servis de cette arme pour des
motivations qui leur sont propres.
Les doctrines en matière cyber, même si généralement elles visent des objectifs
proches, font montre de spécialisation, d’une certaine manière. Généralement
comme socle, on trouve la défense de la souveraineté avec, pour ce faire,
le développement de capacités cyber offensives et défensives. Ensuite, il n’est
pas rare que les États se spécialisent dans tel ou tel domaine. Par exemple :
« [en] Amérique du Sud, le Brésil est très spécialisé sur tout ce qui est malware
bancaire. En Allemagne, c’est la capacité à assembler des modules informatiques
à la demande pour faire le nouveau “trojan” bancaire. Les pays de l’Est sont
traditionnellement connus pour une belle capacité, entre niveau d’éducation et
capacité à faire de l’informatique et moyens financiers pour créer des équipes
de mercenaires.71 »
Le Royaume-Uni
Le Royaume-Uni a publié en 2011 un plan quinquennal avec un budget
de 860 millions de livres ; ce programme national a permis d’améliorer la
cybersécurité du pays. Puis, en 2016, un nouveau programme quinquennal
a été publié, ce dernier visant à renforcer les infrastructures de cybersécurité
avec un budget de 1,9 milliard de livres, d’ici à 2021.
De plus, est prévue la création d’une nouvelle force cyberoffensive qui serait
rattachée à la fois à l’armée et au service de renseignement électronique (GCHQ).
Les trois objectifs sur lesquels repose cette stratégie sont relativement classiques :
 défendre au mieux les institutions du Royaume-Uni et assurer la protection
et la résilience des systèmes ;
 assurer la force de dissuasion au sein du Royaume-Uni, faisant ainsi du pays
une cible difficile à atteindre grâce à une combinaison de compétences de
détection, d’identification et de réponses éventuelles ;
 développer le secteur cyber ainsi que la recherche liée à ce domaine.
71 ric Chaverou, « Le cyber, nouvelle arme de dissuasion planétaire », France culture, « Le choix de
É
la rédaction », 16 octobre 2017 (https://www.franceculture.fr/emissions/le-choix-de-la-
redaction/le-cyber-nouvelle-arme-de-dissuasion-planetaire).
Par ailleurs, le Royaume-Uni prévoit de développer sa propre National Cyber

Force grâce à la collaboration entre le GCHQ et le ministère de la Défense.
Ce service lui permet d’imposer sa volonté de compter en tant qu’acteur offensif
dans le cyberespace. Il doit permettre au Royaume-Uni de prendre pour cible
des réseaux de toute nature, de communication, satellitaires ou encore d’autres
infrastructures informatiques hostiles qu’il voudrait prendre pour cible.
Les États-Unis
Forcément, les États-Unis ont pris la mesure de la menace que peut représenter
le cyberespace, comme l’illustrent les propos tenus par le secrétaire adjoint à la
Défense, William Lynn : « Au xxie siècle, les octets sont aussi dangereux que les
balles et les bombes […] Quelques frappes sur un clavier d’ordinateur dans un
pays peuvent avoir un impact de l’autre côté de la planète en un clin d’œil. » Mais,
ils y ont aussi vu un potentiel certain, et c’est pour cela qu’ils se sont dotés d’une
stratégie leur permettant de renforcer la sécurité de leurs systèmes informatiques
et d’assurer un niveau de dissuasion adéquat face aux cyberattaques.
Le cyberespace est considéré comme un champ d’action à part entière et la

seule approche défensive n’est pas considérée comme suffisante pour constituer
une stratégie efficiente. En effet, le général James Cartwright, vice-chef d’état-
major interarmées, estimait que : « Jusqu’à maintenant, 90 % de notre attention
se concentrait sur la construction du prochain pare-feu, et 10 % sur les moyens
d’empêcher que l’on soit attaqué. » La dissuasion devient donc un élément
primordial au développement d’une stratégie cyber.
Ces systèmes sont une priorité stratégique de taille aux États-Unis, puisqu’il
s’agit de l’un des pays les plus dépendants d’Internet et qui subit certainement
le plus grand nombre de cyberattaques.
Cette problématique a été prise en compte très tôt puisque, dès 1998, Bill Clinton a
signé un décret sur « la protection des infrastructures critiques visant à notamment
éliminer les vulnérabilités de leurs systèmes informatiques au regard d’attaques
cybernétiques comme physiques ». Puis, le président Georges W. Bush a signé
le Presidential National Security directive 54, qui instaure de nouvelles mesures
dans le but de protéger les différents systèmes d’information du gouvernement
face à d’éventuelles attaques informatiques. Enfin, le président Barack Obama
a fait de la cybersécurité une priorité en déclarant notamment : « La menace
cybernétique est l’un des plus importants défis auxquels doivent faire face
les États-Unis, en matière économique et au regard de la sécurité nationale. »
Il a ajouté que : « La prospérité de l’Amérique au xxie siècle dépendra de la
cybersécurité. »
En septembre 2018 est parue la National Cyber Strategy of the United States
of America, laquelle présente la stratégie adoptée par les États-Unis concernant
les questions relevant du cyberespace. Cette dernière repose sur quatre objectifs
principaux, le premier consiste à assurer la défense de la « patrie en protégeant
les réseaux, les systèmes, les fonctions et les données. » Pour ce faire, il faut
améliorer la sécurisation des réseaux et systèmes d’information au niveau fédéral.
Il s’agit également d’assurer un niveau de sécurité suffisant pour les infrastructures
critiques et de combattre toute forme de cybercriminalité. Enfin sera améliorée
la déclaration des incidents de sécurité.
Le deuxième objectif est de promouvoir la paix et la sécurité en contribuant à une

économie numérique plus prospère et plus sûre, et ce, notamment, en favorisant
l’innovation nationale.
Dans la continuité de ce deuxième objectif, il sera nécessaire d’assurer et de

préserver la paix et la sécurité en assurant leur capacité de dissuasion, voire de
punition envers toute personne qui aurait recours à un moyen cyber pour parvenir
à une fin malveillante. Pour ce faire, cette stratégie préconise de respecter des
normes de bon comportement dans l’usage du cyberespace.
Le quatrième objectif concerne la volonté des États-Unis d’étendre leur influence

à l’étranger en promouvant un Internet ouvert, fiable et sécurisé, mais également
en renforçant la coopération internationale concernant les capacités cyber.
Les États-Unis veulent être prêts en cas de difficulté et de conflit. Pour cette
raison, même en temps de paix, ils se préparent à un éventuel conflit en travaillant
sur leurs forces armées, y compris dans le cyberespace.
Toutes les cyberopérations étasuniennes relèvent en principe de l’US Cyber

Command (CYBERCOM) qui se charge notamment d’assurer la défense de
tout le réseau informatique du Department of Defense, ainsi que la défense du
territoire contre d’éventuelles cyberattaques et fournit le soutien nécessaire aux
cyberopérations menées par d’autres agences.
Les États-Unis s’appuient sur un principe de dissuasion dont les contours ne sont
pas encore très clairs et en cas de cyberattaque, ils envisagent de répondre par
différents moyens : économique, diplomatique ou même militaire.
Les événements survenus en 2021 au moment de l’élection présidentielle (attaque

des systèmes informatiques d’agences du gouvernement américain telles que le
département d’État, celui du Commerce, le Trésor, la Sécurité intérieure et les instituts
nationaux de la Santé) et après la prise de fonction de Joe Biden (contre l’oléoduc
de Colonial Pipeline en mai 2021) ont montré au gouvernement américain que
certains de ses services, mais aussi des entreprises stratégiques, restaient fragiles.
Joe Biden a donc réagi, à commencer par la nomination d’un « directeur national
cyber ». Il a ensuite nommé un nouveau directeur à la tête de la CISA, l’agence fédérale
chargée notamment de la sécurité informatique dans les infrastructures critiques
(ports, hôpitaux, énergie…) créée trois ans auparavant. Jugeant ses financements
insuffisants, le président Joe Biden a profité de l’un des plans de relance pour lui
accorder de nouveaux financements à hauteur de 650 millions de dollars.
Ces réactions américaines aux dernières cyberattaques montrent à quel point nous
sommes dans une course sans fin entre, d’une part, des « voleurs » qui innovent
en permanence, d’autre part, des faiblesses humaines difficiles à éliminer et des
« gendarmes » souvent en position de réaction.
Les États-Unis peuvent également s’appuyer sur leurs propres spécialistes.
À ce titre, l’une des unités les plus connues est la Tailored Access Operation
(TAO) travaillant au sein de la NSA. Comme nous l’avons vu plus avant (voir
paragraphe 2.1.8, page 79), elle est notamment spécialisée dans l’emploi de
technologies de pointe qu’elle adapte selon ses missions.
La Russie
La Russie est également un État réputé pour ses compétences dans le domaine
cyber. Les actions russes dans le cyberespace trouveraient leur motivation dans
une volonté politique plus générale d’affirmation de la souveraineté géopolitique
russe.
Les actions qu’elle mène dans le cyberespace ont pour but de protéger le
pays d’éventuelles agressions étrangères. Elles sont également un moyen de
compenser un rapport de force estimé défavorable par rapport à l’Occident.
En Russie, le cyberespace est donc un moyen de modifier le rapport de force
existant avec les États-Unis et ce, grâce à la non-létalité de l’arme cyber et à son
caractère asymétrique.
L’outil numérique permet également au pays de conforter une culture stratégique
qui existe bien avant l’avènement du cyberespace, le contrôle de l’information
et son utilisation à des fins stratégiques, tant offensives que défensives étant
une « vieille habitude »…
Avec ce nouvel outil, le Kremlin a développé une stratégie à deux niveaux,
le premier, relatif à la production et la distribution des productions numériques,
le second, plus discret, permettant aux services de renseignement, ainsi qu’à
l’armée, de mettre en œuvre des actions secrètes grâce aux compétences de
citoyens hackeurs. Dès janvier 2000, la doctrine de sécurité nationale russe prend
en compte les considérations liées au numérique. Cette même année, une doctrine
de sécurité de l’information a été adoptée, laquelle passe notamment par une
prise de contrôle presque totale du pouvoir sur les différents médias audiovisuels.
En 2013 a été créé l’Internet Research Agency qui est désormais célèbre pour
son action pendant la campagne présidentielle américaine grâce à ses nombreux
trolls. Ces trolls sont des personnes qui seraient ici formées volontairement pour
avoir un comportement générateur de polémiques ou diffamer des personnes
ou des entreprises choisies volontairement.
La Russie tire profit des avantages qu’offre cet outil en matière de stratégie,
de défense et d’intérêt politique. À ce propos, le général Valéri Guérassimov
a déclaré que : « Les règles mêmes de la guerre ont changé. L’utilisation des moyens
non militaires pour atteindre des objectifs politiques et stratégiques s’est accrue,
et dans bien des cas, leur efficacité a surpassé celle de l’utilisation des armes. »
Cette citation renvoie à des opérations offensives menées dans le cyberespace,
comme les incidents en Estonie en 2007 ainsi qu’en Géorgie en 2008 ou encore
l’attaque contre une centrale électrique ukrainienne en 2015.
La Russie utilise le cyberespace essentiellement afin d’effectuer des opérations
de cyberinfluence.
Le cyberespace semble pour elle un moyen pour développer un avantage
stratégique et maintenir une influence, tant à l’intérieur du pays qu’en dehors.
La force de la Russie est de disposer de hackeurs très bien formés et souvent
très attachés aux valeurs de leur pays, ce qui les rend d’autant plus disposés
à mettre leurs compétences à sa disposition.
Les cybercombattants russes ont une solide réputation dans ce domaine. Ainsi,
en 2008, lors du conflit avec la Géorgie, cette dernière a subi des cyberattaques
dès le début du conflit.
La Russie dispose donc de forces spécialisées pour la surveillance et les actions
militaires dans cet espace qui peuvent agir afin de protéger les intérêts russes.
La Russie souhaite affirmer sa souveraineté et ses capacités dans le cyberespace
et, pour cela, elle peut compter sur ces forces.
Comme nous les avons mentionnés précédemment (voir paragraphe 2.1.8,
page 79), il s’agit entres autres des groupes Fancy Bear (ou APT 28) et Cozy
Bear (ou APT 29).
Une autre unité liée au GRU72, Sandworm, également connue comme l’unité 74455,
est soupçonnée d’être responsable de certains piratages, à l’instar de celui contre
les serveurs Exim73 ou d’une attaque à l’encontre de la production d’électricité
ukrainienne.
72 G RU : Direction générale des renseignements de l’état-major des Forces armées de la

Fédération de Russie (service de renseignement militaire de la Russie).
73 Il s’agit d’un serveur de messagerie électronique utilisé par de nombreux systèmes notamment
de type UNIX.
Certains officiers de ces groupes ont été inculpés, notamment par la justice
américaine, en raison de certains des piratages qu’ils sont suspectés d’avoir
commis74.
La Russie a affirmé dès l’an 2000 que le cyberespace russe était stratégique
et a entrepris de créer un réseau Internet souverain : RuNet. Depuis la loi sur
la « souveraineté d’Internet » de 2019, le gouvernement russe est autorisé
à déconnecter le pays du reste d’Internet afin d’assurer une meilleure protection
du pays contre les cyberattaques. Un objectif que remettent en question les
opposants au régime qui estiment que cet Internet national sera surtout le moyen
de renforcer la surveillance des internautes russes. Pour que cela fonctionne,
les fournisseurs de services locaux doivent obligatoirement acheminer le trafic
Internet via certains points de passage précis qui sont contrôlés par le ministère
russe des Communications.
L’installation de cet Internet fermé doit permettre à la Russie de se protéger

face à une cyberattaque. Si un tel incident devait se produire, les dirigeants du
pays pourraient choisir de passer de l’Internet ouvert que nous connaissons tous
à son Internet fermé, se protégeant ainsi d’une menace extérieure ou utilisant
le réseau Internet courant pour atteindre la Russie.
La Chine
La Chine dispose évidemment de sa propre vision du cyberespace. Elle s’appuie
sur un Internet national, nécessairement beaucoup plus fermé que celui que
l’on connaît. Cet Internet est particulier, car la Chine dispose de la totalité des
strates, data centers, réseaux, applications.
Cet Internet fermé permet aux dirigeants chinois d’éviter toute influence que
pourrait avoir un Internet ouvert et décentralisé et qui serait modelée par ses
utilisateurs.
Cependant, créer cet Internet ne l’a pas empêchée de se doter de réelles capacités
en matière d’espionnage extérieur et d’en faire son activité de prédilection
dans le cyberespace, notamment l’espionnage industriel. La chine est réputée
pour utiliser le cyberespionnage industriel de façon systématique, allant jusqu’à
l’inclure directement dans ces relations commerciales en s’appropriant quasiment
systématiquement les secrets de fabrication.
La Chine privilégie le domaine commercial et ses actions dans le cyberespace lui

permettent de récupérer les technologies et secrets industriels qu’elle désire.
74 https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-
deployment-destructive-malware-and
Pour ce faire, elle dispose, comme de nombreux autres pays, de spécialistes du

monde cyber répartis en trois groupes : les forces de son armée dédiées à la guerre
sur les réseaux, les personnels spécialisés du monde civil et enfin, les organismes
extérieurs au gouvernement pouvant participer à ces opérations. Néanmoins, elle
reste perçue comme une menace sérieuse notamment du fait de son développement
capacitaire tant pour ses forces classiques que dans le cyberespace.
Les moyens militaires chinois sont mis en œuvre avec un double objectif, le premier
concerne les intrusions informatiques notamment à l’encontre d’autres États
ou gouvernements, et le second vise à assurer le recueil de renseignements
contribuant de la sorte à la guerre de l’information. C’est pourquoi, le professeur
Greg Austin, de l’université de Nouvelles-Galles du Sud (Australie) considère :
« [qu’]Il ne fait aucun doute que les Chinois se sentent si vulnérables dans le
cyberespace qu’ils ont le sentiment qu’ils doivent tout comprendre sur l’ennemi
et être capables de frapper les premiers. »
La connaissance est un élément primordial de la stratégie chinoise, à tel point
que le ministère de la Justice américain a inculpé cinq officiers de l’unité 61398
de l’Armée populaire de libération avec comme motifs « piratage informatique et
espionnage économique visant six sociétés étasuniennes sur la période 2006-2014 ».
Cette unité n’a pas d’existence officielle dans l’organigramme de l’armée
chinoise et semble se charger des activités de renseignement en se focalisant
sur l’Amérique du Nord, alors que l’unité 61046 serait quant à elle spécialisée
sur l’Europe.
Le groupe APT31 est également soupçonné d’être affilié à l’État chinois, et prendrait
pour cible, entre autres, la France. Guillaume Poupard, le directeur de l’ANSSI,
estimait que ce groupe présentait une menace plus importante que Pegasus.
Il a ainsi publié sur LinkedIn ce message : « APT31 – Parce que, malheureusement,
il y a encore bien plus grave que les bourricots ailés et leurs avatars… »
Le directeur de l’ANSSI s’exprime ainsi après une alerte du CERT-FR selon
lequel : « L’ANSSI traite actuellement une vaste campagne de compromission
touchant de nombreuses entités françaises. Cette dernière, toujours en cours
et particulièrement virulente, est conduite par le mode opératoire APT 31.
Les investigations montrent que ce mode opératoire compromet des routeurs
pour les utiliser comme relais d’anonymisation, préalablement à la conduite
d’actions de reconnaissance et d’attaques. »
Les États-Unis vont plus loin en inculpant des ressortissants chinois soupçonnés
d’être membres du groupe APT 40 qui aurait mis en œuvre le piratage des
systèmes informatiques d’entreprises, d’universités et d’entités gouvernementales
étasuniennes et étrangères entre 2011 et 2018.
Ce groupe est également soupçonné d’être derrière le piratage du Parlement

finlandais en 202075. Si la France n’a pas fait de déclaration officielle pour associer
ce groupe au gouvernement chinois, ce n’est pas le cas du gouvernement
britannique, de l’OTAN et des États-Unis qui se sont alliés en dénonçant les
cyberattaques que la Chine semble mener.
Pour les autorités étrangères et notamment américaines, la Chine utilise le
cyberespace pour dérober des éléments de propriété intellectuelle, des
renseignements de toute nature afin de s’en servir pour le bien de leurs industries
autant civiles que militaires. Le cyberespionnage est une réalité qui ne doit pas
être sous-estimée, même entre les États.
Dans les années 1990-2000, les spécialistes chinois du cyberespace étaient
plutôt vus comme des hackeurs patriotiques, des hacktivistes, avec une volonté
patriotique personnelle ou travaillant de concert avec des acteurs étatiques.
On parlait alors d’eux pour des défigurations de sites Internet ou même des
intrusions dans des serveurs étatiques, mais, désormais, on parle plutôt de
membres des services de renseignements militaires chinois. Ils auraient été
impliqués dans des perturbations de tout type et sont plus « visibles » que les
pirates patriotiques qui n’ont pas pour autant disparu.
Israël
Un autre pays incontournable lorsqu’on parle de cyberespace est Israël,
sa réputation n’étant plus à faire en la matière. En effet, les capacités israéliennes
dans le domaine cyber sont mondialement renommées, à tel point qu’Israël y est
souvent considéré comme un chef de file. Il exporte une quantité importante de
biens et de services cyber, dépassant de loin la plupart des États.
Les enjeux de sécurité et de protection ont toujours été cruciaux dans l’histoire
d’Israël, qui a fondé sa stratégie militaire sur la dissuasion, l’alerte et les interventions
militaires rapides. Et en matière cyber, cette stratégie est souvent associée à la
conception d’armes très performantes, à l’instar de Stuxnet, que l’on connaît tous.
Stuxnet a été conçu pour être capable de pénétrer le même genre de système
de contrôle industriel que ceux de l’usine d’enrichissement nucléaire de Natanz
– seulement après s’y être introduit, il perturbe le contrôleur des centrifugeuses.
Mais si c’est l’arme que l’on a tous en tête lorsqu’on pense aux capacités cyber
d’Israël, ce n’est pas la seule créée. Israël a notamment utilisé ces armes pour
perturber les défenses aériennes syriennes, facilitant ainsi son raid aérien.
75 Catalin Cimpanu, « Le Parlement finlandais victime d’une cyberattaque », ZDNet, 29 décembre

2 02 0 ( ht t p s: //w w w. zd n e t .f r/a c t u a li te s / l e - p a r l e m e nt-f i nl a n d a i s -v i c t i m e - d - u n e -
cyberattaque-39915419.htm).
Cette maîtrise du cyberespace vient en partie de la stratégie mise en œuvre

en Israël. L’armée israélienne est au cœur des compétences cyber et elle se charge
de la formation d’une grande partie des experts cyber du pays. Pour cela, l’armée
sélectionne très tôt, dès le lycée, les candidats semblant les plus prometteurs.
Après des tests et l’obtention de leur diplôme, ils sont dispatchés dans les unités
de cybersécurité de l’armée israélienne afin de renforcer leurs compétences en
matière de cyberguerre.
L’engagement au profit du cyber est très important en Israël, tant au niveau

militaire que politique comme le montrent les propos du Dr Eviatar Matania,
chef du Bureau national cyber (BNC) au cabinet du Premier ministre israélien :
« Il est important de venir avec une stratégie nationale du cyber qui pourrait
durer cinq à dix ans sans besoin qu’elle soit ajustée à chaque fois qu’il y a un
changement dans la technologie, mais qui serait encore assez souple pour faire
face aux nouveaux développements. »
Israël s’illustre également comme le premier État dont on a connaissance qui

a répondu à une cyberattaque avec des moyens plus traditionnels. Cet événement
laisse présager que d’autres États seront peut-être amenés à répondre de la
même façon en cas d’incident, ce qui nous propulse dans une nouvelle étape
de l’utilisation de l’arme cyber.

Chaque État dispose d’une stratégie qui lui est propre, se fondant sur son
histoire, sur sa volonté politique et sa perception du contexte géopolitique
dans lequel il évolue.
Logiquement donc, ses actions dans le cyberespace lui permettent de
poursuivre une stratégie plus globale visant à contribuer au maintien de
sa souveraineté, voire à son développement. Chaque stratégie correspond
à l’État qu’elle sert, c’est pour cela que bien que ces dernières aient des points
communs, elles n’ont pas les mêmes objectifs et ne peuvent qu’être différentes.
Mais toutes ces stratégies restent en majeure partie des secrets d’État et
les États ne souhaitent pas dévoiler des secrets susceptibles de nuire à leur
stratégie et plus largement, à leur souveraineté.
C’est pourquoi il n’est possible d’identifier que de grandes caractéristiques
ne permettant pas de se forger une opinion complète sur l’étendue et le
contenu de ces stratégies.
La seule différence qui semble apparaître au vu des documents disponibles
concerne le recours à des hackeurs civils. En effet, si la Chine et la Russie
semblent en utiliser, tous les États n’affichent pas de tels recours.
En guise de conclusion
à cette seconde partie
Les applications nous amenant à jouer, à stocker ou échanger des informations par
des voies numériques, et donc à augmenter notre présence dans le cyberespace,
se multiplient. Dans le même temps, notre naïveté face aux escrocs qui se sont
reconvertis sur la toile ne faiblit pas, hélas !
On pourrait hausser les épaules et se dire : « Tant pis pour ces écervelés ! »
Le problème est qu’on ne peut pas imaginer qu’il y a un cyberespace dédié aux
particuliers, un autre aux entreprises et organisations sensibles. Il n’y en a qu’un
seul et nos actes personnels peuvent être à l’origine de graves difficultés pour
des PME, de grandes entreprises, des hôpitaux, des centrales de traitements
des eaux, etc.
Nous sommes le maillon faible !
Aussi est-il important de diffuser auprès de tous l’ensemble de bonnes pratiques

regroupées ici sous le vocable d’« hygiène numérique ». Nous devons tous nous
sentir ambassadeurs de ces bonnes pratiques. Ensuite, un certain nombre de
structures sont là pour nous aider, en tant que particulier (la CNIL, par exemple),
ou en tant que professionnel (l’ANSSI).
Reste que le cyberespace est un champ de bataille où les États se font la guerre et,
là aussi, nous pouvons en être directement victimes (entreprises et organisations)
ou indirectement, en tant qu’usager d’un service public. C’est la doctrine des
États qui entre alors en jeu, pas seulement pour attaquer des pays voyous,
mais aussi pour nous en défendre.
Tout cela est chaîné, nous devons en être conscients parce que nous sommes
les briques de base de cet édifice à la fois virtuel, mais aussi réel.
Conclusion générale
Parler, écrire, concevoir une infographie, « développer » nos photos, commander

du vin, acheter une chemise ou le dernier livre de Thomas Piketty et bien
évidemment travailler, tous ces actes du quotidien, nous avons tendance à les
réaliser « sur Internet ».
Ce « sur Internet » renvoie à un espace numérique où nous sommes de plus en

plus nombreux sans forcément nous voir, converser ou nous opposer. Dans ce
nouveau monde au fonctionnement fort différent de celui qui prévaut dans la
« vraie vie », nous sommes souvent très naïfs et laissons traîner des informations
sensibles, personnelles ou professionnelles. Si nous ne les laissons pas traîner,
nous les confions parfois assez facilement à des inconnus.
Le problème est que dans ce cyberespace, des pirates, nombreux et malins,

solitaires ou travaillant en bandes, pour des mafias ou des gouvernements,
agissent. Ils agissent de manière ciblée vis-à-vis de telle personne parce que
sa situation dans une structure en fait un passage obligé pour s’introduire dans
le système d’information. Mais ils agissent parfois de manière très basique,
en semant des clés USB infectées, en « balançant » des mails en quantités
énormes, espérant hameçonner quelques personnes.
Ces pirates peuvent être mus par l’appât du gain (« toucher le jackpot »), être des
intervenants anonymes d’un « groupe de prestations de services pirates » ou
travailler pour un gouvernement, sachant qu’ils peuvent être tout cela à la fois.
Difficile donc de s’y retrouver…
Le seul comportement qui vaille, et qui nous permettra de ne pas être le maillon
faible, est d’être les plus prudents possible. Dans ces pages, nous vous avons
montré un certain nombre de pièges existants. Nous les avons décortiqués et vous
avons donné une série de conseils. C’est une première étape. Ajoutez à cela des
visites régulières sur des sites Internet comme celui de l’ANSSI, la participation
à des conférences… Ainsi, vous éviterez nombre d’écueils sur votre chemin dans
le cyberespace.
Enfin, si vous êtes dirigeant d’entreprise, si vous êtes cadre au sein d’un
hôpital ou encore responsable dans une structure associative, n’hésitez pas à
évangéliser vos troupes. Faites des formations flash, instituez un système de
pop-up qui viendront rafraîchir la curiosité, la perspicacité de vos collègues et
amis et n’hésitez pas à reprendre nos infographies – en en citant les auteurs,
évidemment. Tout est bon pour limiter les risques… cyber.
Au moment où nous achevons l’écriture de ce livre destiné à mieux vous armer face
aux pièges multiples tendus par des pirates avec les armes cyber, nous recevons
cet e-mail :
Si vous en aviez été destinataires, il y a de très grandes chances que vous ayez
souri, car tout semble fait pour éveiller notre méfiance.
Et puis, comme nous, vous ne jouez peut-être pas au Loto…
Reste que d’autres seraient peut-être plus naïfs que nous.
Aussi, n’hésitez pas à diffuser la bonne parole sur ces pièges numériques qui
font sourire, mais peuvent coûter tellement cher…
Pour le reste, si vous souhaitez aller plus avant sur tel ou tel point, n’hésitez pas.
Vous pouvez nous contacter en utilisant l’adresse e-mail suivante :
contact@thierrybrenet.fr
Table des figures
Figure 1.1 Le ver informatique Stuxnet en 7 points ..................................................... 43

Figure 1.2 Le ransomware en 7 points ......................................................................... 45
Figure 1.3 Comprendre une attaque DDoS en 7 points ............................................. 50
Figure 1.4 Le cheval de Troie en 7 points .................................................................... 52
Figure 1.5 Schéma national de classement des attaques informatiques.
Source : Revue stratégique de cyberdéfense 2018 .................................... 57
Figure 2.1 Hackeurs et pirates, 7 entrées possibles .................................................... 89
Figure 2.2 NSO, Pegasus et son marché ..................................................................... 116
Figure 3.1 Phishing. Exemple de contenu .................................................................. 132
Figure 3.2 Hygiène numérique : interdits et points de vigilance .............................. 145
Figure 3.3 Les 14 impacts d’une cyberattaque. Reproduit avec l’aimable
autorisation de Deloitte France.................................................................. 155
Figure 3.4 Construire un PCA/PRA.............................................................................. 159
Figure 3.5 RGPD, des droits qui créent des obligations..............................................171
Nota : les infographies créées par Thierry Brenet sont présentées sur le site
Internet : www.thierrybrenet.fr/infographie/
Références
Bibliographie
Arpagian Nicolas, La cybersécurité, coll. « Que sais-je ? », 3e éd., PUF, 2018.
Bellanger Pierre, La souveraineté numérique, Stock, 2014.
de Maison Rouge Olivier, Les cyberisques, LexisNexis, 2018.
Fontaine Gilles, Dans le cyberespace, personne ne vous entend crier, J.-C. Lattès,
2018.
Gergorin Jean-Louis, Dognin Léo, Cyber. La guerre permanente, Éditions du Cerf,

2018.
Ghernaouiti Solange, Cybersécurité, sécurité, informatique et réseaux, 5e éd.,

Dunod, 2016.
Ghernaouiti Solange, La cybercriminalité, les nouvelles armes du pouvoir, 2e éd.,

Presses polytechniques et universitaires romandes, 2017.
Huyghe François-Bernard, L’ennemi à l’ère numérique, PUF, 2001.
Lévy Marc, C’est arrivé la nuit, Robert-Loffont/Versilio, 2020.
Rid Thomas, Cyber War Will Not Take Place, C. Hurst & Co Publishers, 2013.
Pour tout savoir en cyberdroit
Feral-Schuhl Christiane, Cyberdroit, le droit à l’épreuve de l’Internet, 8e éd.,

Dalloz, 2020-2021.
Sitographie indicative
ANSSI : www.ssi.gouv.fr
CERT-FR : www.cert.ssi.gouv.fr
Cybermalveillance : www.cybermalveillance.gouv.fr
CNIL : www.cnil.fr
ENISA : www.ssi.gouv.fr
Info Escroqueries :
www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Info-Escroqueries
Ailleurs sur Internet (podcast, etc.)
Éric Chaverou, « Le cyber, nouvelle arme de dissuasion planétaire », France culture,

« Le choix de la rédaction », 16 octobre 2017 (www.franceculture.fr/emissions/
le-choix-de-la-redaction/le-cyber-nouvelle-arme-de-dissuasion-planetaire)
La cybersécurité, les émissions de France-Culture (www.franceculture.fr/theme/

cybersecurite)
CYBERESPACE
et CYBERATTAQUE
Comprendre
et se protéger !
Le monde cyber c’est maintenant !
Si l’armée française, nos gouvernements successifs, l’ANSSI, la CNIL ou AFNOR

participent, chacun en fonction de ses responsabilités et missions au développement
d’une culture française cyber, une partie de celle-ci nous est cachée et c’est logique
puisque cela renvoie à un effort de défense qui ne peut être dévoilé.
Pour autant, nous pouvons tous être victimes et vecteurs d’une attaque cyber car nous
vivons déjà dans « le » monde cyber, que nous soyons salariés, cadres ou dirigeants
d’entreprise et d’organisme public. À ces cibles potentielles, ajoutons les étudiants,
que ce soit dans les labos ou au cours de stages.
Il importe donc, à côté de l’effort de défense évoqué plus haut, de permettre à celles
et ceux qui le souhaitent d’aller plus loin que les lectures fragmentaires que la presse
nous offre régulièrement et c’est l’objet de ce livre.
À vous qui êtes intéressés, voici la clé d’un étonnant voyage dont vous ressortirez
armés pour faire face aux risques cyber. Vous vous serez penchés par-dessus l’épaule
d’un pirate, vous aurez voyagé, vous aurez également appris à démonter l’arme cyber
et à la rendre inopérante.
Ce Nouveau Monde s’est insinué dans tous les recoins de ce que nous appelons
souvent la « vraie vie » et, pour le percevoir dans toutes ses dimensions, ses risques
et ses recoins, ce livre vous fournit les lunettes à utiliser pour le scanner.
Pour accéder à notre boutique,

scannez ce QR code
avec votre smartphone.
boutique.afnor.org/livres

Cyberespace Et Cyberattaque Comprendre Et Se Protéger!

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cyberespace Et Cyberattaque Comprendre Et Se Protéger!

Transféré par

Droits d'auteur :

Formats disponibles

boutique.afnor.

Lucie Brenet & Thierry Brenet

AFNOR – 11, rue Francis de Pressensé, 93571 La Plaine Saint-Denis Cedex

Les auteurs ...................................................................................................... VII

Le privilège de l’âge me permet de démarrer ce difficile travail qui, en quelques

Je lis évidemment tout ce qui me tombe sous la main en matière cyber.

Pour commencer, je citerai Claude. Il préside aux destinées d’une école de

À chaque fois, je savais qu’elle ferait mieux.

Ce chemin, dont je ne sais où il me mènera, j’ai plaisir à le partager à mon tour

Enfin, j’aimerais remercier les dirigeants et cadres d’entreprise rencontrés lors

Ces contacts ont également été importants en termes de positionnement de

Il y a quelques années, les notions de cyberespace, de pirates ou encore de

Si nous avions à l’époque interrogé des directeurs d’hôpitaux et leur avions

Plus près de nous, des « illuminés » commencèrent à évoquer la prise de contrôle

Bizarrement, à part Facebook revendant des données à Cambridge Analytica3,

Lorsque nous avons engagé l’écriture de ce livre, certes l’actualité des

Quant à la protection, il y avait (en projet), mais elle tenait essentiellement de

Malheureusement, si le gardien de la cité oublie ses clés à la taverne, les laisse

Aujourd’hui, dans nombre d’entreprises encore, nous en sommes là.

C’est pour apporter notre contribution à la nécessaire sensibilisation des

Si l’armée française, nos gouvernements successifs, l’ANSSI (Agence nationale

5 SCAF est l’acronyme de « système de combat aérien du futur » et correspond à un projet

Si l’on assimile ce nouvel espace à un champ de bataille, il est effectivement celui

Enfin, le dernier chapitre de cet ouvrage sera consacré au droit prévalant en

En fonction de votre niveau de connaissance, bien évidemment, vous pourrez

1.1.1 Aux origines du cyberespace

Commençons par un peu d’histoire. Si nous sommes extrêmement familiarisés avec

En faisant cela, les ingénieurs militaires créent l’Internet sans se douter de

En 1980, Arpanet se divise en un réseau militaire (Milnet), qui deviendra Defense

Dernière date importante, au plan symbolique, 1982, avec l’invention d’un

Ce réseau se mondialise et devient progressivement un outil incontournable

Ce terme de cyberespace va d’abord apparaître, et être popularisé, dans l’œuvre

Ce qu’il faut retenir

1.1.2 De l’imaginaire à la réalité

En 1984, William Gibson a inauguré l’usage de ce terme dans son roman le

Pour autant, cette « hallucination consensuelle » et mondiale qu’est le cyberespace

Le principal usage du cyberespace, ce sont effectivement les échanges numériques

Ainsi, dans le cadre de cours en distanciel, je « pointe » les étudiants présents

Prenons un autre exemple. Les systèmes de gestion de trafic routier, lorsqu’ils

La distribution de l’eau, de l’électricité, le transport aérien, le transport ferroviaire,

Vous le voyez bien, le cyberespace est devenu vital pour le fonctionnement de

Arrivés à ce point de nos découvertes, retenons que ce fameux cyberespace,

Ce qu’il faut retenir

1.1.3 La toile de notre quotidien

C’est cette mise en réseau qui a permis au cyberespace de prendre l’ampleur

Ce qu’il faut retenir

1.1.4 Composition du cyberespace

Si l’on décortique le cyberespace, on se rend compte que ce dernier fonctionne

La première couche, la couche physique, correspond aux différents éléments

Actuellement, on dénombre plus de 400 câbles représentant plus d’un million de

Certains de ces câbles traversent l’océan Atlantique afin de relier l’Europe et

Une anecdote pour illustrer cela : en Arménie, il y a quelques années, une

Cette couche, physique, donne au cyberespace son implantation géographique

La deuxième couche du cyberespace, la couche logicielle, représente l’ensemble

Au-delà de ces protocoles, il y a aujourd’hui le Web 2.0, cet ensemble d’outils

Dans ce domaine, j’ai récemment vécu un exemple parfait de l’utilisation de

Je vous laisse compter le nombre de protocoles rendus nécessaires pour en

Cette troisième couche est la couche informationnelle. Elle correspond au

Aujourd’hui, il existe un règlement européen, le Règlement général sur la

Prenons un exemple dans nos vies concrètes. Au moment d’une élection, si

Ces données sont également utilisées pour développer des intelligences

La première de ces deux autres couches sous-tend les précédentes : la couche

On peut également mettre une couche au-dessus de toutes les autres,

Par exemple, lorsqu’une application pour smartphone fonctionne extrêmement

5 SCAF est l’acronyme de « système de combat aérien du futur » et correspond à un projet

8 Pour plus de détails sur cette étude, voir : https://www.france-esports.org/barometre-france-

11 yman-Gibson-Miralis est un cabinet d’avocats australiens travaillant, entre autres domaines,