Académique Documents
Professionnel Documents
Culture Documents
Cyril Nalpas
1
Remerciements
Enfin, je remercie mes proches pour leur soutien et leurs conseils tout au long de ce
travail.
2
Résumé
Cette étude traite de la gestion du risque cyber au sein des PME et des TPE au
travers de l’analyse des principaux risques et de l’émergence de nouvelles offres
assurantielles. Elle soulève la nécessité d’améliorer l’accessibilité intellectuelle et
financière de ces entreprises à la cybersécurité, au moyen de l’amélioration et de la
création d’outils de sécurité informatique qui ne seraient pas uniquement dédiés à des
experts. Ces outils doivent permettre notamment d’apporter une perception de situation
intelligible et d’accompagner le profane dans sa prise de décision.
3
Préambule
Participer, même modestement, à une réflexion prospective, m’a paru être un beau
challenge.
4
Sommaire
5
D. Accessibilité et pédagogie .......................................................................................................... 64
E. Une maintenance constante de l’outil par l’équipe de développement ................................ 65
Conclusion.......................................................................................................................................... 66
Glossaire ............................................................................................................................................ 67
Bibliographie ...................................................................................................................................... 70
Annexe 3 : Benchmark des assurances cyber en France en 2014 .................................................. 71
Annexe 2 : Systèmes de visualisation du cyberespace .................................................................... 84
Annexe 3 : Gouvernance étatique de la cybersécurité ..................................................................... 88
6
Introduction
La question de la fragilité des PME et des TPE face aux cybermenaces est en
débat depuis quelques années, mais la prise de conscience par les pouvoirs publics n’est
pas encore nécessairement partagée par ces petites entreprises. Celles-ci relèvent en
outre de réalités très différentes en termes de niveau de cybersécurité.
On constate une disparité dans les capacités cyber des acteurs. Les réseaux
nationaux bénéficient de la protection de la Défense et de l’ANSSI (Agence Nationale de
la Sécurité des Systèmes d’Information), qui a pour principale mission d’assurer la
cybersécurité des systèmes d’information de l’Etat et des OIV (Opérateurs d’Importance
Vitale).
De leur côté, les grandes entreprises ont l’expertise et les moyens financiers de s’assurer
une cybersécurité adéquate.
Cela n’est pas le cas des entreprises plus modestes, particulièrement dans une
conjoncture économique de crise où l’heure est à la réduction des dépenses. Nous faisons
ainsi face à une cybersécurité à plusieurs vitesses en fonction de la nature des acteurs.
7
de métier afin de faire de la croissance, et non sur la protection de l’infrastructure. La
recherche du succès est toujours préalable à la pérennisation du business. Il existe ainsi
une phase de forte vulnérabilité entre le moment de création de l’entreprise et le moment
où elle adopte une stratégie IT et de cybersécurité.
D’une part, le rehaussement du niveau de sécurité dans les grandes entreprises fait des
PME des cibles plus vulnérables en comparaison, en conséquence de quoi elles sont
d’autant plus visées malgré un potentiel plus faible à priori ; d’autre part, la multiplication
des nouveaux usages informatiques personnels provoque une porosité toujours plus forte
entre le système informatique des particuliers et celui de leur lieu de travail : clés USB et
appareils mobiles Wi-Fi font que l’entreprise est vulnérable à une contamination
involontaire par ses employés.
Il est également difficile de faire confiance aux études réalisées par les sociétés de
sécurité informatique qui ont de toute façon intérêt à dresser un tableau dramatique, mais
peut-être peut-on plus facilement s’accorder sur les tendances relevées par celles-ci. Elles
restent cependant pour l’heure incontournables, et seront citées au cours de cette étude
lorsqu’il s’agira d’établir des tendances.
Pour faire face à ce manque de données fiables, il a été indiqué lors du Forum
International de la Cybersécurité de 2014 qu’il sera confié au Centre Expert de lutte contre
la Cybercriminalité Français (CECyF) la mission d’apporter un indicateur statistique précis
de la cybercriminalité.
« Les PME notamment en régions, qui débutent souvent comme une entreprise
familiale qui grossit par la suite, n’ont généralement pas conscience de la diversité des
cybermenaces qui pèsent sur elles… d’autant que leurs failles peuvent être techniques
mais aussi organisationnelles ! » Sylvain Defix de NTT Com Security.
D’un autre côté, les sondages rapportent au contraire que les petites entreprises sont
généralement relativement bien informées des dangers informatiques. Selon un sondage 1
à l’échelle mondiale de Kasperky Lab : 35% des TPE classent la protection des données
comme l’une des principales difficultés auxquelles elles sont confrontées dans
l’informatique d’entreprise, contre 26% pour les entreprises de taille moyenne et 29% pour
les grandes entreprises. De la même façon, les TPE semblent mieux au courant des
problèmes de sécurité liés à l’utilisation des appareils mobiles : 31% d’entre elles
considèrent que la sécurité des ordinateurs portables et des mobiles constitue l’une des
trois priorités pour la sécurité IT, contre 23% pour l’ensemble des entreprises.
1
http://media.kaspersky.com/en/IT_Security_Risks_Survey_2014_Global_report.pdf
2
http://www.symantec.com/about/news/release/article.jsp?prid=20111116_01&om_ext_cid=biz_socmed_twitter_fa
cebook_marketwire_linkedin_2011Nov_worldwide_SMBflashpoll
9
sécurité est insuffisamment traitée dans ces entreprises : 50% d’entre elles se considèrent
trop petites pour intéresser d’éventuels cyberattaquants.
Et pour cause : les attaques cyber à l’encontre des TPE/PME ne sont pas médiatisées
parce que ces entreprises sont moins connues, parce que l’échelle de ces attaques
n’impressionne pas, et bien sûr car les entreprises qui en sont victimes ne le
communiquent pas. Cela contribue à la croyance populaire du « trop petit pour être
ciblé ».
Pour autant, on ne peut pas dire qu’elles soient moins victimes que les autres : selon le
rapport sur les menaces de sécurité Internet 2012 de Symantec, 31% des attaques ciblées
concernent des PME3. Deux ans plus tard, le constat est le même au sein du Threat
Report4 2014 : les entreprises de moins de 250 salariés constituent les cibles de 30% des
attaques.
3
http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20130416_01
4
http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-
us.pdf
10
Une innovation insuffisamment protégée
Ceci est renforcé par un jugement du tribunal de grande instance de Créteil en date du 23
avril 2013 : celui-ci a considéré que si le responsable d’un système d’information ne
sécurise pas celui-ci contre les intrusions, le délit d’accès et de maintien frauduleux au
sens de l’article 323-1 et suivants du code pénal n’est pas constitué5.
5
http://www.leclerelouvier-avocats.com/actualites/Protegez-vos-donnees-ou-le-juge-ne-vous-protegera-pas
11
fédérations professionnelles (MEDEF, CGPME) et le milieu associatif très développé de
l’IE (CDSE, 3AF, AEGE, Académie de l’IE) et bien entendu en complémentarité avec les
professionnels de l’IE représentés par le Syndicat Français de l’IE (SYNFiE) »6.
Il serait faux de dire que les PME sont oubliées par les pouvoirs publics.
6
https://intelligenceseconomiques.wordpress.com/category/interviews/
7
http://www.iledefrance.gouv.fr/content/download/7230/52466/file/Intelligence%20%C3%A9conomique%20territori
ale2602%20BD.pdf
8
http://www.inhesj.fr/sites/default/files/defi3.pdf (p22)
12
Rhône-Alpe, travail de prévention et de sensibilisation a notamment été constituées de
ces diagnostics de vulnérabilité.
Devant l’ampleur des cybermenaces, les pouvoirs publics ont souhaité une
coopération avec le privé.
9
Forum Internationnal de la Cybersécurité
10
Ecole des Officiers de la Gendarmerie Nationale
13
- Développer pour les besoins de la France des offres de confiance ;
- Organiser la conquête des marchés à l’étranger ;
- Renforcer les entreprises nationales du domaine cybersécurité.
L’une des mesures phare prévoit la création d’un label France pour les offres nationales.
Pour le cas spécifique des PME/PMI dans la filière de la cybersécurité, les actions 23 et
25 leur prévoient un soutien particulier : valorisation des projets à l’export,
accompagnement et incitation à participer ou lancer des projets bénéficiant du dispositif
RAPID, et enfin des actions de sensibilisation renforcées afin qu’elles veillent à leur propre
cybersécurité.
14
Toutes ces actions de sensibilisation produites récemment par les pouvoirs publics
parviennent-elles à influencer l’acteur principal du changement qui est l’humain ?
Spécifiquement le chef d’entreprise qui devra réaliser son arbitrage face à un
investissement en cybersécurité.
Comment pouvons nous permettre aux petites entreprises en croissance d’être protégées
des cybermenaces jusqu’à ce qu’elles atteignent une taille critique qui leur permet d’avoir
les moyens de se doter d’experts en sécurité ?
Nous nous attacherons en second lieu aux nouvelles solutions assurantielles et à des
solutions techniques innovantes.
15
Partie 1 : Le risque cyber des PME/TPE
Il s’agit ici d’évaluer ici le périmètre des risques qui peuvent concerner les
TPE/PME.
I. Définition
Ce faisant, on doit distinguer les menaces cyber d’ordre intentionnel (malveillance) des
menaces d’ordre non intentionnel. En effet, la cybersécurité ne se limite pas à la protection
vis-à-vis de la cybercriminalité, qui agit majoritairement à travers les réseaux. On peut
distinguer trois principales couches du cyberespace :
Ces couches sont interdépendantes. Une courte interruption, à peine perceptible, sur la
couche physique a des répercussions auxquelles il faut répondre sur la couche logicielle.
Dans le cas d’une panne électrique survenant la nuit, les conséquences se découvrent
généralement au matin : l’équipement n’est probablement pas endommagé, mais
l’extinction de l’ensemble du SI va demander un redémarrage selon un ordre précis, des
reconfigurations et que la propagation des nouvelles tables de DNS s’effectue. Ceci peut
facilement rendre indisponible le SI aux employés la majeure partie de la matinée.
11
http://fr.wikipedia.org/wiki/Suite_des_protocoles_Internet
16
Une vulnérabilité sur la couche logicielle peut permettre à un attaquant de s’introduire
dans un web et de changer la signification de l’information qu’il affiche (couche
sémantique).
- La disponibilité : l’information doit être accessible à tous ceux qui en ont besoin (et
y sont autorisés).
- La confidentialité : l’information doit rester accessible uniquement aux personnes
autorisées.
- L’intégrité : l’information ne doit pas être corrompue ou rendue incomplète.
Deux autres objectifs permettent d’élargir les premiers pour définir la sécurité du système
d’information :
17
Malheureusement, on ne possède pas toujours une connaissance exacte de l’état de
sécurité des données, notamment dans le cas d’une APT – advanced persistant threats.
Le rapport 2014 M-Trend12 de Mandiant relève qu’en moyenne, il faut 229 jours avant
qu’une entreprise ne se rende compte qu’elle est victime d’une APT.
- Des individus avec de très faibles moyens peuvent causer des dommages
considérables ;
- Une entreprise sans défense peut se retrouver face à la puissance d’un Etat qui
s’intéresse à son capital informationnel.
12
https://dl.mandiant.com/EE/library/WP_M-Trends2014_140409.pdf
18
Le risque d’origine non-intentionnelle
Le risque non intentionnel est soit d’origine naturelle (incendie, inondation, etc.), soit
d’origine humaine : on parle alors d’erreur ou de négligence.
Ainsi, la survenance d’un sinistre peut être d’origine accidentelle, bien que souvent
d’origine humaine. Effectivement, le facteur humain est ici aussi omniprésent.
Au niveau de la couche logicielle, une mauvaise configuration peut également donner lieu
à des indisponibilités : la connexion d’un équipement configuré avec une adresse IP déjà
existante sur le réseau ne manquera pas de perturber celui-ci. Il s’agira bien souvent d’un
employé ayant connecté sans autorisation son propre ordinateur, et entre l’identification
du problème et sa résolution, on observe une asymétrie entre l’intention et les pertes
potentielles (chômage technique, pertes d’opportunités, etc.).
13
http://www.journaldunet.com/solutions/systemes-reseaux/coupure-reseau-fibre-optique-velizy-villacoublay-
0511.shtml
19
II. Typologie des impacts
Impacts financiers :
On pourrait penser que les TPE/PME seraient moins concernées par les risques
d’altération d’image, notamment en ce qui concerne les crises médiatiques, cependant le
fait est qu’aucune entreprise ne souhaite faire savoir qu’elle a été victime d’une
cyberattaque. C’est un aveu d’échec qui réduit fortement la confiance des clients envers
l’entreprise, surtout lorsque l’entreprise est susceptible de posséder des informations
confidentielles les concernant (qu’il s’agisse d’informations personnelles de particuliers ou
d’informations sensibles d’un partenaire).
20
Impacts légaux :
Concernant la confidentialité des données : l’article 226-22 alinéa 2 du code pénal dispose
que « La divulgation d’informations commise par imprudence ou négligence est punie de 3
ans d’emprisonnement et de 100 000 € d’amende. »
En ce qui concerne le risque de responsabilité civile, du fait des articles 1382 et 1383 du
Code Civil, les entreprises sont responsables notamment dans les cas suivants :
14
http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/
21
La directive européenne « vie privée et communications électroniques », telle qu’amendée
en 2009, impose une obligation aux « fournisseurs de services de communications
électroniques accessibles au public dans la communauté » de notifier l’autorité nationale
compétente ainsi que les particuliers concernés lorsque qu’une violation de données à
caractère personnel a eu lieu. Celle-ci a été transposée dans le droit français au sein de la
loi informatique et libertés (article L34bis).
On peut se demander si cette obligation a aussi vocation à s’appliquer aux cybercafés par
exemple, cependant il faut surtout noter que la directive précise bien qu’à terme, cette
obligation sera étendue à tous les secteurs et à tous types de données 15.
15
http://juriscom.net/wp-content/documents/secu20100130.pdf
16
http://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000018550314&fastReqId
=670431778&fastPos=1
22
III. Typologie des méthodes d’attaque visant les petites entreprises
Une étude de 2011 du Ponemon Institute17 a recensé les types d’attaques les plus
couramment employées à l’encontre des petites entreprises. L’étude montre que les
attaques DDoS sont un phénomène plutôt rare les concernant (elles concernent moins de
4% des attaques), alors que l’hameçonnage et l’ingénierie sociale comptent pour 30% des
attaques et que toutes comprennent l’utilisation de code malicieux.
Toute création technologique induit des risques qui se révèlent souvent après
l’adoption et l’appropriation massive de ces technologies créant de nouveaux usages. Il y
a ainsi un temps de latence avant l’arrivée des actions correctives.
L’ère Internet se caractérise par la multiplication de nouveaux usages qui sont autant de
facteurs de risques.
Mobilité et BYOD
Face aux risques de vol ou de perte du matériel, il est nécessaire de s’assurer d’avoir
préalablement réalisé une copie des données emportées, et de chiffrer ces dernières.
Les entreprises ayant recours au BYOD (Bring Your Own Device, littéralement « Apportez
votre propre matériel ») se rendent vulnérables aux infections de l’informatique
personnelle des employés. On assiste à une porosité toujours plus grande entre cette
informatique personnelle et l’informatique professionnelle. Cela a commencé lorsque
17
http://www.cgpme92.org/pages/pdf/Guide-cybercriminalite.pdf
23
l’employé utilisait son ordinateur professionnel pour une utilisation parfois personnelle à
son domicile. Aujourd’hui, le BYOD complète la boucle avec des employés qui connectent
leurs smartphones et autres tablettes sur le SI de l’entreprise.
Utilisation du Wi-Fi
Les premières tentatives de protocole de chiffrement visant à sécuriser les connexions Wi-
Fi ont échoué, mais sont pourtant toujours disponibles au sein des équipements. Aucun
professionnel de la sécurité ne choisirait le protocole WEP (Wired Equivalent Privacy) pour
sécuriser son réseau, et pourtant ce choix est généralement le premier dans la liste des
méthodes de chiffrement proposées sur les matériels (tristement, pour des raisons d’ordre
alphabétique).
Or, d’une part, les connexions Internet des TPE sont souvent les mêmes que celles des
particuliers, et d’autre part les systèmes informatiques des particuliers constituent un point
d’entrée vers les entreprises. De plus, l’emploi du BYOD est d’autant plus courant que
l’entreprise est de taille modeste.
Cette masse de réseaux Wi-Fi est aujourd’hui encore loin d’être négligeable. Ceci est
d’autant plus dramatique que les utilisateurs ne se savent pas à ce point vulnérables.
24
En outre, quelle que soit la méthode de chiffrement employée, les utilisateurs ont
tendance à choisir une clé courte, facile à retenir, car la connexion est généralement
partagée à l’ensemble des employés. Ceci rend ces réseaux vulnérables aux attaques par
force brute (utilisation d’un programme qui va tester des clés construites à partir d’un
dictionnaire).
Sogeti18 relève 7 points d’attention à surveiller de près lors d’une démarche Cloud
computing :
18
http://www.fr.sogeti.com/sites/default/files/Documents/Publications/Une%20approche%20syst%C3%A9mique%20
de%20la%20cybers%C3%A9curit%C3%A9.pdf
25
- La ségrégation des données ;
- La reprise après sinistre ;
- Le support des investigations ;
- La viabilité à long terme du fournisseur.
Les leaders dans le domaine du Cloud Computing étant américains (Amazon, Google,
Microsoft, etc.), donc relevant du droit anglo-saxon où le prestataire devient propriétaire
des données, on comprend que nombreux sont ceux en France qui souhaitent voir
émerger un Cloud souverain qui pourrait rivaliser avec eux.
26
L’offre des leaders américains du marché est particulièrement attrayante, mais étant
donné l’ampleur potentielle de la contrepartie (faibles garanties contre l’espionnage,
transfert de la propriété des données), il faut être particulièrement vigilant en matière de
garanties offertes par le prestataire. Il peut être préférable de choisir un service moins
abouti en termes de fonctionnalités, mais meilleur garant de la confidentialité des
données. Encore faut-il que le prestataire choisi ait suffisamment investi dans la sécurité. Il
est nécessaire d’identifier le cadre légal et de vérifier la qualité de celui-ci.
Utilisation du web
Pour Renaud Bidou, CTO de Denay All, « les principales menaces actuelles portent
sur l’interface Web », du fait de l’importance de la surface d’attaque. « La surface
d’attaque est importante. Qui plus est, ce sont des technologies très simples à attaquer,
parce que le développement Web est à la portée de n’importe qui et se fait bien souvent
sans considération de sécurité. ». Ainsi, selon le rapport de menace 19 de Symantec en
date d’avril 2014, un site légitime sur huit serait exposé à une vulnérabilité critique.
Une technique courante pour infiltrer une entreprise est celle du watering hole. Cette
attaque consiste à infecter un site web visité régulièrement par les employés afin d’infecter
automatiquement ceux-ci lorsqu’ils consultent la page (drive-by download).
19
http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-
us.pdf
27
Fin de l’innocence : prise de conscience et arbitrage des entrepreneurs
Quoiqu’il en soit, face au manque de moyens des petites structures, il semble nécessaire
de s’assurer qu’il existe des solutions de sécurité accessibles, non seulement en termes
de coûts mais également en termes d’intelligibilité vis-à-vis de néophytes (démystification
des contraintes de la sécurité informatique).
Nous nous attacherons spécifiquement aux réponses aux menaces d’origine malveillante,
car ce sont elles qui entraînent le plus d’innovation.
28
Partie 2 : La réponse au risque cyber : en quête d’innovation
Puis, nous examinerons les solutions d’assurance cyber en France, qui se sont multipliées
ces dernières années après avoir émergé aux Etats-Unis dans les années 2000.
Dans l’optique de rendre les logiciels de sécurité informatique plus accessibles, nous nous
intéresserons ensuite à la représentation du cyberespace et à la visualisation
d’informations au sein de ces outils.
En dernier lieu, nous faisons la proposition d’un logiciel unifié à destination des plus
petites structures, qui aurait pour objectif d’accompagner celles-ci dans la sécurisation de
29
leur réseau. Cet outil devrait relever d’une grande pédagogie afin de permettre la
formation de ses utilisateurs, car bien souvent la responsabilité de la gestion informatique
est donnée à la personne qui a le plus de connaissances dans le domaine sans pour
autant être formée spécifiquement.
30
I. La gestion du risque cyber
« Il est urgent que les dirigeants intègrent dans l’analyse de leur environnement les
faiblesses liées aux systèmes d’information.
La gestion des vulnérabilités informatiques en tant que telle ne crée pas directement de la
valeur. Par contre, une absence de gestion des vulnérabilités limite indirectement la
création de valeur pour l’organisation ».20
La démarche décrite dans cette partie correspond à celle employée par les sociétés de
conseil de sécurité informatique, et toute entreprise peut bénéficier de cette méthode.
Il est à noter que la gestion du risque implique des réévaluations régulières, et ceci est
d’autant plus vrai dans le domaine de l’informatique qui est amené à évoluer
constamment. Ceci constitue la principale limite de l’application de cette méthode à des
petites structures.
20
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2014-Gestion-vulnerabilites-tome-1.pdf
31
A. Etude des menaces et des risques
D’après le livre blanc de Check Point Software sur la protection des données et les
risques juridiques21, l’étude de risque doit comprendre :
Une démarche plus générale, proposée par le cabinet MIRCA, rappelle en outre le
caractère cyclique d’une bonne gestion de risque. La démarche doit être réévaluée de
façon plus ou moins régulière. Ainsi, la méthode préconisée est la suivante :
Il faut définir quels sont les biens à protéger, définir les menaces et les risques
potentiels, ainsi que leur criticité.
21
http://security.arrowecs.fr/FMS/12650.protection_des_donn_es_et_risques_juridiques.pdf
32
Pour une société, les données les plus sensibles seront les informations client, pour une
autre cela concernera un secret industriel.
La définition de ce plan s’appuie sur l’ensemble des données récoltées lors de l’étude du
risque : la liste des risques, leur criticité (probabilité x gravité), ainsi que les mesures
envisagées.
Il faut définir des mesures de protection appropriées. Ces mesures peuvent relever aussi
bien de protections d’ordre physique, informatique que cognitif (formation et sensibilisation
des individus).
Par exemple, l’une des actions possibles pour mitiger le risque face aux
cyberextorsions par ransomware est la mise en place d’une procédure de sauvegardes
automatiques.
Cela consiste donc à établir des règles à destination du personnel, en s’assurant d’être le
plus pédagogique possible : il faut s’assurer que le personnel comprenne en quoi il est
concerné par la mesure, parfois contraignante, comme par l’enjeu, qu’il doit s’approprier.
S’il n’aperçoit que vaguement le bénéfice des nouvelles règles qui lui sont imposées, il
n’en fera probablement rien. On se rapproche de la problématique de l’accompagnement
au changement propre à tous projets internes.
Notons par ailleurs l’émergence, très récente, d’offres en matière d’exercices de crise
cyber.
34
Un point essentiel : le plan de continuité d’activité
L’un des dangers principaux qui guette une entreprise en cas d’incident cyber est
l’interruption d’activité. Il est nécessaire de se préparer à cette éventualité. Il faut avoir
réfléchi aux mesures permettant de continuer l’activité de l’entreprise avant qu’un incident
gravissime ne survienne.
Les objectifs du PCA sont d’anticiper les risques opérationnels de grande envergure et
d’analyser et de réduire les impacts potentiels d’une interruption d’activité. Un PCA doit
permettre de pouvoir continuer d’exercer l’activité, en mode dégradé. Il s’agit de
renforcer la résilience de l’entreprise à une crise.
Il est à noter que l’élément humain est un aspect majeur du PCA : ce sont des personnes
qui agiront pour permettre de continuer les activités dans les meilleures conditions
possibles. Il a été démontré que la perte de repère en situation de sinistre affecte
fortement la capacité à prendre des décisions, y compris celle du management22.
Pour Bruno Hamon, fondateur de la société MIRCA et Président du groupe de travail PCA
à l’AFNOR, le PCA n’est pas un outil destiné uniquement aux grands groupes. Il rappelle
ainsi qu’une PME est plus sensible aux risques de choc extrême, notamment car elle est
généralement monosite et possède une assise financière beaucoup plus fragile.
Parmi les outils classiques de gestion de crise, on trouve les exercices de crise
cadre. Ceci concernera davantage les PME de taille importante, ainsi que les collectivités
locales.
Nous voyons en outre apparaître en France une offre en matière d’exercice de crise de
type cyber. Comme le souligne Jean-Jacques Brun, directeur Management du Risque
chez CEIS23, ces prestations, à l’instar de celle en cours de création par la Fondation
Saint-Cyr, en partenariat avec les sociétés CEIS, Sogeti et Thales, « permettent en outre
22
www.mirca.fr/docshow.php?nid=476
23
Compagnie Européenne d’Intelligence Stratégique
35
de sensibiliser efficacement les participants aux risques induits par l’omniprésence de
l’informatique au sein de leurs activités professionnelles : ils apprennent à reconnaître les
menaces de type cyber, à éviter les pièges, et à agir efficacement en situation de crise ».
36
II. Les assurances cyber : un marché émergent
Les assurances cyber se multiplient en France, pour plusieurs raisons : les attaques se
multiplient, les contraintes réglementaires se renforcent et les assureurs anglo-saxons,
notamment américains, sont à la recherche d’un nouveau marché.
En 2013, la LLoyds déclarait que les cyber risques étaient en troisième position des
risques majeurs des entreprises, ce qui montre bien la volonté des compagnies
d’assurances de se positionner sur un tel marché, au-delà du seul monde anglo-saxon.
A. Rappel historique
Les assurances cyber en France sont des traductions des assurances cyber anglo-
saxonnes.
L’assurance cyber est née aux US dans les années 2000. Elles peinaient alors à trouver
leur public, de la même façon que les assurances cyber en France à leur lancement (vers
2010). Cependant la conjoncture a changé.
37
Les données actuarielles sont en effet très difficiles à obtenir, puisque les entreprises ne
font pas part de leurs incidents de sécurité. D’après John Wheeler, directeur de recherche
chez Gartner en charge de la gestion du risque et de la sécurité, « même ceux qui sont
assurés rechignent à formuler des demandes d’indemnisation pour éviter de communiquer
les informations et parce qu’ils craignent pour leur réputation ». En l’absence de données,
il faut se reposer sur les outils d’analyse et de modélisation.
Les assureurs présents aujourd’hui sur le marché français sont encore en majorité
anglo-saxons : ils cherchent de nouveaux marchés après avoir connu un premier succès,
particulièrement aux Etats-Unis.
Tous proposent des offres globales, multirisques, ceci afin d’équilibrer leur portefeuille
dans un marché où l’offre est encore supérieure à la demande, encore faible. Certaines,
nous le verrons plus loin, incluent le traitement du risque en amont et en aval.
D’un autre côté, il est évident que le choix ne serait pas nécessairement aisé pour celui-ci,
qui devrait naviguer entre le langage de l’assureur et un domaine cyber qu’il ne maîtrise a
priori que très peu.
Cette capacité de choix reste malgré tout pertinente, notamment lorsque sont couverts des
sinistres de fréquence (ceux de faible gravité mais qui occurrent régulièrement). Ceux-là
vont à l’encontre de la pertinence de l’assurance, dont l’utilité relève dans la couverture
des sinistres d’amplitude (faible fréquence, forte gravité). Dans le cas des sinistres de
fréquence, l’assuré a davantage intérêt à agir de façon proactive face au risque, mais si
celui-ci est inévitable, il reste inutile de l’assurer.
Certaines offrent visent spécifiquement les TPE et/ou les PME. Par exemple, dès 2010,
Axa proposait une offre destinée spécifiquement aux entreprises de moins de 30 salariés
incluant une option cyberrisques « qui sécurise les PME sur l’essentiel des cyberattaques
38
(repérage du virus, pertes de données, pertes d’exploitation) ». Depuis, d’autres ont mises
en place des offres spécifiques aux PME, mais aussi à certaines catégories
professionnelles comme le fait l’assureur AIG : professionnels de la santé, professionnels
de l’Internet et de la communication, etc. Autre méthode pour cibler les TPE/PME :
l’utilisation d’un outil de tarification en ligne à destination des courtiers, notamment les
courtiers de province, comme l’a fait l’assureur Beazley (qui prévoit la disponibilité de
l’outil à partir d’octobre 2014) 24.
Les contrats d’assurance cyber visent à couvrir la responsabilité civile (RC) et les
pertes liés aux dommages immatériels (rarement les dommages matériels). Sont
généralement couverts :
- Les frais liés au recours à une équipe spécialisée en intervention suite à incident de
sécurité : investigation, sécurisation et remise en service du système
informatique, y compris des données ;
- Les frais de notifications pour violation de confidentialité et de mise en place d’un
centre d’appel pour les tiers ;
- Les frais pour recours à une équipe d’aide en relations publiques, afin de gérer
une crise médiatique, et mitiger les dommages à la réputation ;
- Les frais pour recours à une équipe juridique afin de mitiger les ramifications
juridiques ;
- Les dommages aux tiers au titre de la responsabilité civile. Cela comprend
généralement notamment les dommages liés à l’indisponibilité du système
informatique pour les clients, ainsi que les dommages causés aux réseaux
informatiques des tiers.
24
http://www.newsassurancespro.com/courtage-beazley-vise-les-tpepme/0169281751
39
Comme nous le verrons plus loin, certaines compagnies d’assurance mettent à disposition
des équipes techniques, juridiques, de relations publiques ou de centre d’appel, soit
internes à la compagnie d’assurance soit liées à un partenariat avec celle-ci.
L’objectif premier des assurances cyber, on le voit avec la mise à disposition d’équipes
techniques, juridiques, de relations publiques et de négociation en cas d’extorsion, est
bien entendu de mitiger au maximum les conséquences d’une cyberattaque. Cela
passe notamment par la remise en service la plus rapide possible du système
d’information atteint. Ceci constitue une nette innovation dans la gestion de risques pour
les petites entreprises, a priori démunies contre ce nouveau type d’atteintes.
40
L’article 121-2 du code des assurances dispose que l’on ne peut pas exclure une garantie
« en fonction de la nature ou de la gravité du dommage causé par les personnes dont
l’assuré est responsable ».
Autrement dit, si les dommages causés par les employés sont couverts, alors ils le sont
que la faute soit de nature intentionnelle ou non. Il est néanmoins possible d’exclure la
faute intentionnelle de la société souscriptrice et de ses représentants légaux. Ainsi, les
actes de malveillance interne sont censés être couverts.
Il faut à se sujet noter que le salarié peut également constituer un tiers. Le salarié en tant
que personne physique peut se retourner contre l’entreprise en cas de fuite de ses
données personnelles. Et comme une entreprise possède nécessairement des données
personnelles de ses employés au sein de son système d’information, ce cas de figure est
loin d’être théorique.
Il faut quoi qu’il en soit être particulièrement attentif aux formulations des cas de
couverture ou d’exclusion. En effet, les produits d’assurances cyber ont fortement
tendance à mêler des formulations de faits générateurs très vagues et d’autres très précis.
Les formulations vagues donnent lieu à des difficultés tant les interprétations peuvent être
multiples. Il y a ainsi une difficulté entre la volonté pour les assureurs d’être intelligibles
dans les termes choisis au sein des offres, et la nécessité de lever toute ambigüité, de
préférence évidemment avant la survenance d’un sinistre.
Rappelons, en outre, qu’au titre des exclusions de garantie : l’article L 121-7 du code des
Assurances permet d’exclure l’assurance du vice propre de la chose assurée. Autrement
dit, on pourrait exclure toute faille informatique, si l’on considère qu’elles constituent une
erreur de programmation et ainsi un vice propre à l’environnement logiciel du système
d’information.
41
E. L’évaluation des risques et les exigences des assureurs
La visite sur site reste rare. Si les assureurs exigent une étude de la sécurité et du risque,
elles ne demandent pas d’évaluation sur site « dans 99% de cas» d’après Mark Greisiger,
président de NetDiligence (une entreprise spécialisée dans l’évaluation du risque
informatique pour assureurs et courtiers). Ces évaluations sont généralement réalisées à
la demande du client, ou lorsqu’il requiert un montant de garantie particulièrement élevé.
Les assureurs apprécient les certifications, notamment ISO 27001, ISO 27005 et PCI
DSS25 mais cela ne peut que jouer en la défaveur des plus petites sociétés pour lesquelles
le coût de ces certifications est prohibitif.
Face à la difficulté pour les PME de se protéger contre un risque qu’elles maîtrisent
mal, plusieurs sociétés d’assurance ont fait le choix d’accompagner leurs clients dans leur
démarche de sécurisation en s’associant avec des sociétés de service informatique
spécialisées dans la cybersécurité. On peut citer par exemple l’exemple d’Axa avec
Cassidian Cyber Security, ou d’Allianz avec Thalès.
25
Payement Card Industry Data Security Standard, normes de sécurité pour la protection des données de
compte établies par le PCI SSC.
42
Cette sécurisation a priori a un impact qui va au-delà de l’évitement d’une éventuelle
future atteinte. Dans un jugement du 21 février 2013, le tribunal de grande instance de
Paris a considéré que l’absence de protection efficace de l’accès à la base de données
personnelles de la société Sazenza la rendait responsable de son préjudice subi à
hauteur de 30%26.
Cette solution est similaire à celle retenue par le tribunal de grande instance de Créteil en
date du 23 avril 2013 : si le responsable d’un système d’information ne sécurise pas celui-
ci contre les intrusions, le délit d’accès et de maintien frauduleux au sens de l’article 323-1
et suivants du code pénal n’est pas constitué.
En conclusion, on peut considérer que les garanties offertes par les assurances sont
globalement pertinentes, mais qu’elles souffrent encore d’incertitudes et de manque de
clarté pour être appréhendées par les plus petites structures qui ont davantage de
difficulté à déterminer avec précision les risques d’un domaine qu’elles maîtrisent mal.
D’autre part, il reste très difficile d’évaluer les montants associés aux pertes s’agissant des
dommages immatériels, contrairement aux risques matures pour lesquels il est aisé de le
faire.
Au-delà de l’efficacité financière d’une souscription à une police d’assurance cyber, cette
dernière a quoiqu’il en soit le mérite d’enclencher une démarche qualité au sein de
l’entreprise souscriptrice vis-à-vis de ces nouvelles menaces.
26
http://www.leclerelouvier-avocats.com/actualites/Protegez-vos-donnees-ou-le-juge-ne-vous-protegera-pas
43
On peut rappeler qu’en 2002, sous le double effet de la loi Kouchner et de l’arrêt Perruche,
le marché de l’assurance « Responsabilité Civile Médicale » des cliniques privées a vu le
retrait de la majorité de ses acteurs 27.
27
http://www.audit-des-assurances.com/management-du-poste-assurance-changer-pour-de-meilleures-conditions-
et-un-meilleur-prix.html
44
III. Amélioration de la perception cyber à travers l’accessibilité
cognitive
Nous devons tenter de dépasser les blocages des utilisateurs, principaux acteurs
de la sécurité, en améliorant leur perception cognitive de l’environnement cyber qui est le
leur. Pour ce faire, nous devons clarifier la représentation visuelle des outils de sécurité.
Ceci est en premier lieu au bénéfice des experts, mais cette innovation pourra être
étendue à terme au grand public.
Afin d’assurer la sécurité des réseaux dont ils sont responsables, les administrateurs
système utilisent des outils de surveillance de ces multiples couches du cyberespace. Ces
derniers n’apportent généralement pas une visualisation explicite de l’environnement
virtuel qui approcherait la représentation cognitive du cyberespace que peuvent s’en faire
leurs utilisateurs.
Pourtant, pour une prise de décision efficace, il est nécessaire d’avoir la compréhension
de l’environnement et de son fonctionnement. Le processus d’organisation cognitive de
ces éléments s’appelle la perception.
45
Il serait faux de dire que le domaine de la représentation visuelle ait été éclipsé par les
éditeurs, cependant celle-ci semble plus souvent mise en avant à des fins marketing que
dans l’idée d’être exploitable et exploitée.
Ainsi, de nombreux acteurs ont mis en ligne des cartes de visualisation des cyberattaques
(Kaspersky, Norse, FireEye, pour ne citer qu’eux).
Ces différentes cartes ne sont malheureusement pas exploitables ; Elles servent à illustrer
auprès des clients potentiels les technologies qui permettent de faire fonctionner ces
cartes en détectant les cyberattaques. Elles pourraient cependant constituer ce qu’on
imaginerait être le niveau le plus macro d’un outil qui intégrerait différents niveaux de
granularité.
46
1. Visualisation d’information et théorie cognitive
Pour les créateurs de l’outil VisAlert 29, l’interface d’un IDS (Intrusion Detection System)
devrait être aussi proche que possible de la représentation cognitive de l’utilisateur afin de
rendre sa compréhension plus rapide et plus précise.
Il est rarement possible de représenter l’intégralité des informations que l’on souhaite
transmettre en un seul visuel : l’humain ne peut interpréter de son champ de vision qu’un
nombre limité de types distincts d’objets. La solution est de représenter les informations
selon différents niveaux de granularité.
28
Benjamin B. Bederson et Ben Shneiderman, The Craft of Information Visualization : Readings and Reflections, 2003,
Morgan Kaufman
29
http://digital.cs.usu.edu/~erbacher/publications/VisAlertCGA2006.pdf
47
code couleur comme attribut de visualisation. Eviter alors l’utilisation du rouge et du vert,
couleurs concernées par la forme la plus courante de daltonisme, semble judicieux.
- La couleur ;
- La forme ;
- L’orientation ;
- Le mouvement.
30
Jay Jacobs, Bob Rudis, Data-Driven Security, 2014
48
2. Sources de données nécessaires à la visualisation du cyberespace
Il est d’ailleurs possible de trouver des cartographies efficaces en dehors des outils dédiés
à la sécurité :
49
Evènements réseau
Le second type de données nécessaire est constitué des évènements réseaux, qui
sont recueillis dans les logs, ou journaux d’évènements.
Les évènements sont analysés par un SIEM (Security Information and Events
Management), qui gère et corrèle les logs à la recherche d’une cause commune aux
évènements recensés. La majeure partie des outils actuels de sécurité présentent leurs
résultats sous forme de rapports et de tableaux de bord.
Il existe encore aujourd’hui un problème de diversité des formats de logs, qui alourdit la
tâche de centralisation et de corrélation. L’organisation américaine à but non lucratif
MITRE travaillait sur un programme de standardisation de ceux-ci, appelé Common Event
Expression. Malheureusement, du fait des changements de priorités décidés par leur
soutien financier (le gouvernement étatsunien), ce dernier a mis fin à ce projet 31. Cette
diversité n’est pas un élément réellement bloquant, mais cela contribue comme toujours à
alourdir le coût du développement de ces outils. Malheureusement, dans l’informatique
comme dans tous les autres domaines, le processus de standardisation est un travail qui
se compte en années.
31
https://cee.mitre.org/
50
B. Un potentiel à exploiter
1. La visualisation statique
Visualisation de rapport
Bien que l’outil à l’origine de ce rapport soit capable de détecter un grand nombre
d’informations à travers ses scans, il est perfectible dans sa présentation des résultats, au
détriment de la rapidité d’interprétation de l’utilisateur.
51
Par exemple, il est capable de déterminer quel système d’exploitation fonctionne sur
chaque hôte recensé. Il sait également reconnaître quel est le type d’équipement sondé.
Ces informations pourraient être facilement représentées sur cet écran afin de permettre
de savoir rapidement à quelle ligne correspond quel équipement.
On peut ainsi imaginer introduire davantage d’informations au niveau macro sans pour
autant surcharger l’affichage. Cela accélère en outre le lien entre réalité physique et réalité
cyber.
Idéalement, on souhaite fournir autant d’informations que possible, sans tomber dans une
surcharge visuelle qui nuirait à celle-ci.
52
Visualisation statique du cyberespace
53
2. De la visualisation statique à la visualisation dynamique
32
http://digital.cs.usu.edu/~erbacher/publications/VisAlertCGA2006.pdf
54
VisAlert – Concept VisAlert – Illustré en situation
Initié durant l’été 2012, le projet Plan X de la DARPA (Defense Advanced Research
Projects Agency) vise à développer des technologies capables, au-delà de la seule
protection de ses propres systèmes, de lancer des attaques sur les systèmes ennemis.
L’un des objectifs du projet est de créer une carte interactive et mise à jour en temps réel
de l’ensemble du cyberespace.
Comme le projet CIAP33, l’architecture du système doit permettre à celui-ci de s’alimenter
d’un grand nombre de données de différents types afin d’établir la cartographie. La
diversité des données envisagées par les concepteurs est telle que l’on imagine la
33
Voir annexe 1 : Systèmes de visualisation du cyberespace
55
difficulté à laquelle seront confrontés les chercheurs s’agissant de permettre une
visualisation claire du cyberespace.
A ceci, il faut rappeler que l’interface devra également représenter les possibilités
d’interaction avec l’environnement, qui représentent un enjeu majeur du projet et qui
seront nécessairement tout aussi diverses. Ces interactions doivent permettre de mener
des actions aussi bien défensives qu’offensives.
Le produit final se devra d’être particulièrement intuitif : il n’est pas à l’unique destination
des experts en sécurité. L’objectif de la DARPA est d’être en mesure d’offrir un outil
accessible à un grand nombre de cybercombattants, n’ayant reçu qu’une formation cyber
minimale : il s’agit de créer l’outil du cybersoldat qui puisse être aussi accessible que le
fusil pour le soldat conventionnel.
Récemment34, la DARPA a indiqué vouloir intégrer l’Oculus Rift à son système. Il faut
cependant garder à l’esprit que l’Oculus Rift engendre une forte fatigue visuelle qui
empêche l’utilisation prolongée du dispositif (à ce sujet, notons que la vidéo de
démonstration de la Darpa ne fait que renforcer cette présomption). Ceci implique qu’un
tel dispositif ne serait adapté qu’à des missions offensives reposant sur le lancement
d’attaques entièrement prédéfinies (fonctionnalité prévue dans le Plan X). En effet,
l’utilisation de l’Oculus Rift dans le cadre d’une mission de surveillance aurait pour
conséquence de multiplier les ressources humaines nécessaires. La surveillance du
réseau s’effectuera ainsi plus probablement sur d’autres supports, comme par exemple les
tablettes holographiques35, dont l’intégration au sein de Plan X est en cours
d’expérimentation par la DARPA.
34
http://www.wired.com/2014/05/darpa-is-using-oculus-rift-to-prep-for-cyberwar/
35
http://www.defense.gov/news/newsarticle.aspx?id=122455&utm_content=buffer387d7&utm_medium=
social&utm_source=twitter.com&utm_campaign=buffer
56
Proof-of-Concept - Plan X sous Oculus Rift
57
IV. Un outil à la décision à destination des TPE/PME
Avant de rentrer dans le vif du sujet, il est important de préciser le terme « d’aide à
la décision ». Il est aujourd’hui très souvent utilisé dans le cadre de l’informatique
décisionnelle, généralement à des fins d’aide aux choix de type stratégique à l’aide d’outils
de type OLAP36.
- Les logiciels qui agissent automatiquement une fois installés sur le système et ne
demandent pas ou peu de supervision par l’utilisateur : c’est le cas des antivirus et
des pare-feu.
- Les logiciels qui sont destinés spécifiquement aux professionnels de la sécurité
informatique : les détecteurs de vulnérabilité, les IDS et IPS, les SIEM, les SOC,
etc.
Voici de nombreuses années qu’est annoncée la mort des logiciels antivirus. Cette
annonce, exagérée, est due au changement de paradigme en termes de menaces cyber.
La première fonction d’un antivirus est d’analyser les fichiers à la recherche de marqueurs
correspondant à la base de données référençant l’ensemble des malwares connus.
Cette approche est bien sûr inefficace dans le cas d’une attaque ciblée contre un réseau,
pour laquelle l’attaquant créé un code malveillant spécifique à sa cible : il n’y a alors que
peu de moyens d’identifier en tant que tel ce malware (les antivirus récents intègrent, il est
vrai, une analyse de l’approche comportementale, mais celle-ci reste malgré tout limitée).
Pour autant, elle reste utile s’agissant de l’ensemble des menaces non ciblées.
36
http://fr.wikipedia.org/wiki/Traitement_analytique_en_ligne
58
Ainsi, la première catégorie de logiciels reste nécessaire, mais est insuffisante. Ceci pose
un problème évident face à des utilisateurs démunis face aux outils de nouvelle
génération, qui nécessitent un certain niveau d’expertise. Nous avons besoin de rendre
accessibles ces outils afin de permettre aux plus petites entreprises un niveau de
cybersécurité adapté aux nouvelles menaces.
Partant du constat que les experts en sécurité sont onéreux et peu nombreux, alors que
les petites entreprises constituent une multitude, la voie logicielle semble être celle à
privilégier afin de renforcer leur sécurité.
Cet outil serait destiné tout particulièrement aux personnes dans l’entreprise qui ont la
responsabilité de la gestion de l’informatique. Souvent, celles-ci n’ont pas de formation
informatique, mais sont les personnes qui possèdent le plus de connaissance ou
d’appétence pour le domaine et s’occupent de l’informatique à côté de leur fonction
principale. Ils sont donc à l’aise avec l’informatique, sans pour autant avoir de
connaissances poussées dans le domaine.
Nous proposons ainsi la création d’un outil qui serait, dans sa partie technique, un
système expert. Le système expert représente en effet la version logicielle de l’aide à la
décision, car il reproduit les mécanismes cognitifs d’un expert de son domaine. Il est
capable de répondre à des questions en mettant en relation faits et règles à l’aide d’un
moteur d’inférence reposant essentiellement sur le syllogisme.
59
Il ne s’agit pas de remplacer des experts existants, mais bien d’offrir de façon accessible
les bases de la sécurité à ceux qui n’ont ni la formation adéquate, ni les moyens financiers
pour recourir à ces experts.
L’outil nous informe de deux vulnérabilités SSH connues affectant notre box (une
vulnérabilité à une attaque de type DoS et une vulnérabilité permettant d’énumérer les
utilisateurs). La solution proposée est de mettre à jour le serveur SSH à la version 2013.59
ou à une version plus récente.
Ceci est difficilement exploitable pour le béotien, tout au plus peut-il comprendre qu’il y a
un logiciel à mettre à jour sur l’équipement.
Ce type d’équipement étant censé se mettre à jour automatiquement, il n’y a en réalité pas
grand-chose à faire côté utilisateur, mis à part contacter l’opérateur pour demander une
mise à jour du firmware (logiciel intégré au matériel), soit demander un équipement encore
maintenu par le constructeur, c’est à dire à jour des failles de sécurité connues.
60
Il faut noter que les détecteurs de vulnérabilité sont d’autant plus efficaces qu’ils sont
installés directement sur le poste à examiner. Ainsi, il aura pu identifier 165 vulnérabilités
sur la machine virtuelle hébergeant le logiciel, contre moins de 50 en moyenne pour les
autres postes du réseau.
Détection de l’absence d’une mise à jour critique d’un navigateur, permettant à un site infecté d’exécuter du
code malveillant avec les privilèges de l’utilisateur (rapport de Nessus 5)
Il serait ainsi préférable que le logiciel que nous proposons ait vocation à être installé sur
l’ensemble du parc informatique, afin de procéder à un audit de sécurité permanent le plus
exhaustif possible.
B. L’aide à la sécurisation
Un tel outil doit reprendre à son compte toutes les capacités d’un scanner de
vulnérabilités.
L’outil doit, après analyse du système d’information, remonter des suggestions selon
plusieurs axes :
Rappelons à ce sujet que selon un sondage F-Secure de 2013, 41% des PME ne
maintiennent pas régulièrement à jour leur parc logiciel.
37
Le “root” d’un téléphone est un procédé visant à modifier le système d’exploitation de l’appareil afin d’en obtenir
un contrôle total. Il est populaire parmi les utilisateurs avancés, qui souhaitent pouvoir d’une part supprimer les
logiciels installés par l’opérateur et d’autre part pouvoir installer sans restriction les logiciels de leur choix. Ceci
conduit à une plus grande vulnérabilité du téléphone vis-à-vis des logiciels malveillants.
62
C. L’aide à la réaction en cas de brèche
La première action à effectuer est l’isolation des éléments compromis afin de confiner la
menace et d’éviter :
- la propagation de l’infection,
- l’exfiltration de données.
Le problème peut également être pris à l’envers, et on peut faire le choix de conserver la
disponibilité du réseau et d’isoler les éléments sensibles, infectés ou non. On évite ainsi la
fuite de ces informations, voire leur intégrité pour peu que l’infection ne comprenne pas de
chiffrement de données en vue d’une demande de rançon.
Bien sûr, si la machine infectée est un serveur, il peut être préférable de la laisser
accessible, notamment si elle offre un service important pour le fonctionnement de
l’entreprise tout en n’étant pas l’hôte de données sensibles. C’est l’une des raisons pour
laquelle la prise de décision finale doit reposer entre les mains de l’humain (pour autant,
on peut imaginer un logiciel prenant en compte la localisation des données sensibles,
avec pondération, dans l’optique d’aide à la décision).
D’autre part, il faut mettre en garde l’utilisateur contre certains réflexes contre-productifs,
notamment si l’on a prévu de faire appel à une CERT : l’extinction d’un ordinateur infecté
63
est susceptible de faire disparaître des informations stockées en mémoire relatives au
fonctionnement du malware, qui sont précieuses pour les experts. Le bon comportement
doit être de débrancher physiquement le câble réseau.
D’un point de vue juridique, il est évidemment préférable de tout faire pour conserver les
preuves. Ainsi, il ne faut pas céder au réflexe du formatage des disques durs, ceux-ci
étant l’un des premiers éléments de preuve.
D. Accessibilité et pédagogie
Chaque notification de l’outil doit être apportée de la façon la plus intelligible qui soit.
Les notifications doivent faire l’objet de documentation associée à chaque terme employé,
ainsi qu’à chaque concept. Cette documentation doit permettre d’augmenter le niveau de
connaissance de ses utilisateurs.
38
http://www.cert.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
64
Il serait en effet bien plus coûteux de s’employer à tenter de former, par voie traditionnelle,
la multitude de petites entreprises au niveau de sécurité qu’offrirait ce système, d’autant
que celui-ci aurait par essence une nature pédagogique
Un tel outil nécessite un développement continu afin de rester efficace, pour les
mêmes raisons que le sont les détecteurs de vulnérabilité : il faut tenir à jour la base de
vulnérabilité de l’outil et les techniques de détection.
65
Conclusion
Ainsi, après une étude exploratoire et prospective pour chercher des solutions
innovantes aux nouvelles cybermenaces, on réalise à quel point il est important de trouver
des solutions transversales dans lesquelles l’interdisciplinarité est de mise, d’autant que
comme nous l’avons vu, la sécurité repose autant sur l’humain que sur la technique.
Il existe déjà plusieurs axes pour tacler le problème, que sont l’approche de management
du risque avec son corollaire : le transfert du risque résiduel aux assurances, qui tendent
elles-mêmes vers des offres de plus en plus globales de la sécurité. A ceci s’ajoutent une
sensibilisation toujours plus accrue de l’ensemble des acteurs, et dans le futur, nous
l’espérons, l’émergence de nouvelles solutions logicielles qui mêleront sciences
informatiques et sciences humaines.
66
Glossaire
ANSSI39 : Agence Nationale de la Sécurité des Systèmes d’Information, créée par décret
le 7 juillet 2009. Elle assure la mission d’autorité nationale en matière de sécurité des
systèmes d’information. Elle assure un service de veille, de détection, d’alerte et de
réaction aux attaques informatiques, notamment sur les réseaux de l’État.
BYOD (Bring Your Own Device) : En français « AVEC : Apportez Votre Equipement de
Communication » : Pratique qui consiste à utiliser ses équipements personnels dans un
contexte professionnel.
Cyber : préfixe issu du grec kubernân (gouverner), indiquant le rattachement aux réseaux
informatiques.
39
http://www.ssi.gouv.fr/fr/anssi/
67
Cybercrime : Infraction pénale susceptible de se commettre sur ou au moyen d’un
système informatique, généralement connecté à un réseau.
DoS (Denial of Service) : Service rendu inaccessible. Cela peut faire suite à un accident
(cause naturelle ou humaine) ou à une attaque.
Faille zero-day : Vulnérabilité informatique qui n’a pas encore fait l’objet d’un correctif
approprié par le fournisseur du produit.
SOC ou ISOC (Information Security Operations Center) : Division qui assure la sécurité
d’une organisation. Elle gère les évènements de sécurité à un niveau technique et
organisationnel et y répond.
69
Bibliographie
Ouvrages :
Etudes universitaires :
ALAU I., Les cyber-risques dans l’entreprise : enjeux et assurance, Institut des
Assurances de Lyon, 2013
Foresti S., Agutter J., Livnat Y., Moon S., Erbacher R., Visual Correlation of Network
Alerts, University of Utah et Utah State University, 2006
Ressources Internet :
70
Annexe 1 : Benchmark des assurances cyber en France en 2014
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Accord avec
• Services : Non précisé
une ESN
- investigations forensic pour déterminer la cause, la gravité et l'étendue des brèches
- notification des brèches et mise en place d'un centre d'appel pour les tiers Mondial sauf
Swiss RE Localisation
- conseils juridiques et aide à la mitigation des ramifications juridiques USA
-
- Mise à disposition d'experts en relations publiques et en gestion de crise Entreprises
Cyber Insurance Non précisé
• Couverture des coûts de défense et des amendes et pénalités si la loi l'autorise. acceptées
• Couverture des tiers
• Limite de 15.000.000 € Entreprises
Non précisé
refusées
Accord avec
• Couverture des notifications des brèches et surveillance des crédits et de l'identité GFI
pour jusqu'à 5 millions d'individus. Limite distincte pour les demandes de tiers une ESN
• Assistance forensic et juridique, couverture des coûts de notification, surveillance
des crédits de chaque personne notifiée, service de prévention des pertes et services Royaume-Uni,
de résolution des fraudes liées aux vols d'identité Localisation Etats-Unis,
• Pour les organisations qui doivent se conformer au HIPAA aux Etats-Unis, la France
Beazley
couverture s'étend au vol, à la perte et aux divulgations non autorisées de la part des
-
partenaires de l'organisation
Breach Response Entreprises
• Sous-limite pour la gestion de crise dans les relations publiques et pour les Non précisé
dépenses extraordinaire de notifications. acceptées
• Limite séparée pour la responsabilité concernant la confidentialité, la sécurité
réseau et les revendications des médias.
Entreprises
Règles spécifiques selon le pays (UK, US ou France) Non précisé
refusées
71
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
72
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Accord avec
Type de risques : Orange et Kroll
une ESN
• Couverture en cas de prétentions en dommages-intérêts de tiers si des données
personnelles ou des données sur l’entreprise ont été perdues ou rendues publiques
• Couverture contre la violation involontaire de dispositions relatives à la protection
des données
• Prise en charge des frais de procédure et de défense
• La couverture responsabilité civile inclut les prestataires externes et les fournisseurs
dont vous êtes responsable Localisation Non précisé
• La responsabilité civile pour les médias Internet peut être assurée en option
Zurich Couverture financière :
- • Frais consécutifs au vol ou à la perte de données (analyses juridiques, avocats et
Cyber Security conseil PR)
and Privacy • Frais de notification aux clients imposés par la loi
• Frais pour la reconstruction des données perdues ou détériorées et pour la
Entreprises
restauration et la réparation des logiciels endommagés • PME
acceptées
• Perte de chiffre d’affaires résultant de cyber-attaques ou de la perte de données
• Cyber-chantage
Equipe spécialisée dans les cyber-attaques :
• En cas de sinistre, votre entreprise est couverte dans le monde entier
• Une équipe spécialisée d’avocats et de spécialistes informatiques vous soutient
dans l’analyse des risques (pre-breach), pendant le cas de sinistre et après une Entreprises
cyber-attaque (post-breach) refusées Non précisé
73
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Accord avec
Couverture : Non précisé
une ESN
• La responsabilité liée aux données
• La restauration des données électronique (suite à une fuite ou une atteinte à la
sécurité des données)
• Les enquêtes administratives : frais liés à une enquête administrative ainsi que les Localisation Non précisé
AIG sanctions pécuniaires prononcées suite à une violation de la réglementation relative à
- la protection des données personnelles
Pack Cyber PME- • La gestion de crise : frais d'experts informatiques, coûts de notification, coûts de
PMI surveillance, frais de consultant en relations publiques Entreprises
• L'interruption du réseau : perte de résultat net (suite à une attaque DoS ou une • PME/PMI
acceptées
atteinte à la sécurité du réseau)
• La cyber-extorsion : remboursement de la rançon versée à des tiers qui menacent
de divulguer des informations confidentielles piratées via le réseau utilisé par le Entreprises
professionnel. refusées Non précisé
74
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
75
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Dommages matériels :
• Garantie Tous Risques Sauf couvrant les dommages aux ordinateurs et
Accord avec Non (experts en
équipements annexes sous contrat de maintenance informatique
une ESN interne)
• Frais de reconstitution des données
• Frais supplémentaires d'exploitation
• Pertes d'exploitation consécutives
Erreurs et accidents :
• Frais de reconstitution Localisation Non précisé
• Frais supplémentaires d'exploitation
• Pertes d'exploitation consécutives
• Carence des fournisseurs
AIG
Actes de malveillance :
- Entreprises
• Sabotage et vandalisme des systèmes Non précisé
Dataguard acceptées
• Fraude commise par tout moyen, y compris informatique (contrat DATA
PROTECTOR)
• Virus
• Frais de reconstitution des données
• Frais supplémentaires d'exploitation
• Pertes d'exploitation ou perte d'activité bancaire consécutives Entreprises
• Carence des fournisseurs refusées Non précisé
• Dépenses engagées pour restaurer l'image de la marque
• Préjudices liés à une divulgation de données confidentielles (contrat DATA RISKS
PROTECTION)
• Pénalités
76
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
77
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Accord avec
Capacité : jusqu'à 10 millions d'euros Non précisé
une ESN
Couverture :
Sous-limite pour les coûts de réponse à incident de l'assuré
• Réponse rapide à incident
XL Localisation Non précisé
• Analyses Forensic
-
• Consulting juridique
E&O Insurance
• Notification des tiers sujets des données
for Information Entreprises
• Centre d'appel/hotline et surveillance des crédits Non précisé
Technology acceptées
• Coûts du consulting en relations publiques
• Surveillance des crédits pour les tiers sujets des données
• Amendes et pénalités dues au non respect des obligations réglementaires
Entreprises
Limitations du produit : jusqu'à 15 millions d'euros Non précisé
acceptées
78
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
79
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Couverture de responsabilité face aux tiers :
• Dommages liés à la divulgation, y compris les revendications d'accès non autorisés
ou la dissémination d'informations privées. Accord avec
Mondial
• Dommages liés au contenu, y compris les revendications liées à des violations de une ESN
copyright et de protection de marque déposée.
• Dommages à la réputation, y compris les revendications liées au dénigrement de
produits ou de services, la diffamation ou la violation de la confidentialité.
• Dommages par rebonds, y compris les revendications liées à l'échec de systèmes
de sécurité qui conduisent à l'endommagement de systèmes tiers.
• Dommages liés à la non disponibilité, y compris les revendications liées à l'échec de Localisation Mondial
systèmes de sécurité provoquant la non disponibilité des systèmes de l'assuré à ses
clients.
Couverture des coûts pour l'assuré :
• Coûts des notifications de la violation de confidentialité, même si la notification est
Chubb
volontaire de la part de l'assuré (avec des limites alternatives des pertes ou du Entreprises
- Non précisé
nombre de personnes affectées au delà de la limite de couverture) acceptées
CyberSecurity by
• Coûts de gestion de crise, y compris le coût de l'assistance forensic et des
Chubb
consultants en relations publiques
• Interruption de l'e-business, y compris la dépense supplémentaire du premier dollar
• vol électronique et perte d'e-communication, étendus aux réseaux externes aux
systèmes de l'entreprise (uniquement les risques sur les institutions financières)
• Cybermenace, y compris le coût d'un négociateur professionnel et le paiement de
rançon.
• Coûts dus au Cybervandalisme, même si ce vandalisme est causé par un employé.
Capacité d'endossement pour : Entreprises
Non précisé
• Dommages à la confidentialité, comprenant la couverture pour les revendications acceptées
alléguant un accès non-autorisé potentiel ou avéré à des informations de personnes
physiques, de même que l'information privée de tierces organisations
• Coûts associés à la défense juridique, y compris les amendes, pénalités et recours
des consommateurs associés à des accès non-autorisés potentiels ou avérés
d'informations confidentielles.
80
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Accompagnement avant et après la souscription :
• Audit de la sécurité informatique de l'entreprise Accord avec CS Communication &
• Accès gratuit à la solution d'information globale sur la protection des données une ESN Systèmes
81
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Accord
avec une Non précisé
ESN
Localisation Mondial
Capacité : jusqu'à 25m $
Couverture :
• Détaillants
• Violation de confidentialité • Fournisseurs de soins
Swiss RE
- • Coûts d'interruption de service informatique (y compris perte de résultat) de santé
Cyber Insurance • Services publics
• Cyber extorsion •
• Coûts de notification de faille de sécurité Entreprises Aggrégateurs/processeurs
acceptées de données
• Risque médiatique • Processeurs de cartes
de crédit
• Fabricants
• Autres fournisseurs de
service
Entreprises
Non précisé
acceptées
82
Assureur
- Contenu de l’offre (couvertures, services, limites, capacités)
Nom de l'offre
Couverture :
• Atteintes aux données : indisponibilité, altération, destruction ou perte de données,
Accord avec Airbus Defence
qu'elles soient stockées en interne ou en externe. une ESN and Space
• Vol de données personnelles (données personnelles des clients, codes d'accès,
coordonnées bancaires, informations médicales, etc.)
• Atteinte à l'e-réputation : diffamations, injures, dénigrements sur Internet, divulgation
illégale de la vie privée des dirigeants
• Données endommagées suite à une erreur humaine : indisponibilité, altération, Localisation Non précisé
83
Annexe 2 : Systèmes de visualisation du cyberespace
Source : diginfo.tv
Daedalus permet de représenter efficacement les réseaux reliés à son centre nerveux,
ainsi que les attaques recensées, à partir d’un seul type de données : les flux illégitimes
de malwares ayant infectés des machines des réseaux surveillés. Cela permet de ne pas
surcharger d’information l’interface, qui se veut sobre.
Daedalus est disponible gratuitement pour les universités japonaises, mais il a été décliné
en une version commerciale appelée Sitevisor.
85
Un système militaire de visualisation multidatatype : CIAP
40
https://www.sstic.org/media/SSTIC2010/SSTIC-actes/CyberDefense/SSTIC2010-Article-CyberDefense-lagadec.pdf
86
Plusieurs types de visualisations avaient alors été expérimentés :
- Une vue réseau à plat, qui mettrait en évidence à l’aide d’un code couleur des
anomalies, des vulnérabilités ou des compromissions de machines ou de sous-
réseaux. Cette solution est adaptée à des réseaux de relativement petite taille.
- Une vue réseau hiérarchique, afin de naviguer de sous réseaux en sous réseaux et
ainsi de remonter facilement à la source de l’anomalie
- Une vue radiale, plaçant les objets sur des cercles concentriques, plus adaptée à
de grands réseaux.
- Une vue de type Treemap, afin de permettre un affichage compact des grands
réseaux.
- Une vue géographique qui ferait la corrélation entre le cyberespace et l’espace
physique.
87
Annexe 3 : Gouvernance étatique de la cybersécurité
88