Sogeti Cybersecurity Fr

5/24/2018 Sogeti Cybersecurity Fr

1/83

Cyberscurit : conserverlavantage dans la partie

Erik van Ommeren

Martin Borrett

Marinus Kuivenhoven

Les fondamentaux

Cocrit avecIBM


2/83


3/83

Cyberscurit :conserver lavantagedans la partieLes fondamentaux

Erik van Ommeren SogetiMartin Borrett IBMMarinus Kuivenhoven Sogeti

2014Sogeti et IBM


4/83

Cet ouvrage est protg sous licence Creative Commons Attribution-Pas de Modification. France. Pour consulter une copie de la prsentelicense, rendez-vous sur : http://creativecommons.org/licenses/by-nd/./fr/legalcodeou faites une demande parcourrier Creative Commons, Howard Street, thFloor, San Francisco, California, ,tats-Unis.

Vous tes autoris :

Partager copier, distribuer et communiquer le matriel par tous moyens etsous tous formats pour toute utilisation, y compris commerciale.LOffrant nepeut retirer les autorisations concdes par la licence tant que vous appliquez lestermes de cette licence.

Selon les conditions suivantes :

Attribution Vous devez crditer lOeuvre, intgrer un lien vers la licence etindiquer si des modifications ont t effectues lOeuvre. Vous devez indiquerces informations par tous les moyens possibles mais vous ne pouvez passuggrer que lOffrant vous soutient ou soutient la faon dont vous avez utilisson Oeuvre.

Pas de modificationsDans le cas o vous effectuez un remix, que voustransformez, ou crez partir du matriel composant lOeuvre originale, vousntes pas autoris distribuer ou mettre disposition lOeuvre modifie.

Les auteurs, les rdacteurs et la maison ddition ont prpar le prsent ouvrage avec

soin, mais ne formulent aucune garantie explicite ou implicite de toute sorte et neprennent aucune responsabilit concernant toute erreur ou omission. Ils nassumentaucune responsabilit concernant les dommages indirects ou accessoires en lien aveclutilisation des informations ou programmes contenus dans le prsent ouvrage ou endcoulant.

Les opinions exprimes dans le prsent ouvrage sont celles de ses auteurs et nerefltent pas la position officielle des socits partenaires.

re dition, mai

Sogeti et IBM

Production LINE UP boek en media bv, Groningue, Pays-Bas (www.lineup.nl)

Image de couverture Nick Lowndes

(livre), (livre lectronique)

Attribution-Pas de Modification . France (CC BY-ND . FR)


5/83

Table des matires

Avant-propos dIBM Un paysage en pleine volution

Avant-propos de Sogeti La partie est lance

Rsum

Cyberscurit : conserver lavantage dans la partie Les

fondamentaux . Peut-on faire confiance au systme ?

. Peut-on scuriser davantage les organisations ?

. Peut-on gagner la partie ?

. Quelles seront les prochaines avances technologiques ?

propos du prsent document

Remerciements

Au premier plan de la scurit Comment le combat continu entre les gentils et les mchants rend notre monde plus sr Vie prive et scurit sont les deux faces dune mme mdaille

Limpact de la cyberscurit quelle importance ?

Vux pieux du responsable de la scurit

Les avantages en tirer

Traiter les effets secondaires dus la pratique Bring-Your-Own-

Device Des appareils et services largement disponibles vontenvahir les organisations Quelles sont les dernires volutions ?

Quel intrt pour nous ?

Quelles nouvelles mesures prendre ?


6/83

:

Lorsque lentreprise est en danger, ne confiez pas la scurit auservice informatique Des mesures dattnuation des risquesdevraient prvoir cette attnuation au niveau de lentreprise, etnon pas uniquement une approche informatique Quelles sont les dernires volutions ?

Quel intrt pour nous ? Quelles nouvelles mesures prendre ?

La scurit dbute ds la conception Confidentialit, qualit etscurit doivent tre prises en compte ds le dpart Quelles sont les dernires volutions ?



Comment procder ? Quels sont les dfis relever ?

La voie suivre

La cl de la scurit : mettre en place des technologies persuasivesLinteraction par dfaut entre lutilisateur et la technologie devraitamliorer la scurit Quelles sont les dernires volutions ?

Quel intrt pour nous ? Quelles nouvelles mesures prendre ?

La peur : une mthode qui smousse trs rapidement Lesorganisations doivent trouver comment recadrer les discussions surla scurit De la peur la valeur

Une seule pense pour de nombreuses actions

Soyez votre pire ennemi Pour dceler vos points faibles, la seulesolution est de faire preuve dune grande dtermination Quelles sont les dernires volutions ?




7/83

Table des matires

Vous serez pirats, mais ce nest pas grave Tant que vous en tesconscients et que vous savez rebondir Quelles sont les dernires volutions ?



Le data scientist sera le prochain superhros de la scurit Lareconnaissance des formes nest pas une comptence de scuritinformatique commune Quelles sont les dernires volutions ?



Les hackers apprennent plus vite que les organisations quils attaquent Il est temps darrter de rpter sans cesse la mme erreur Quelles sont les dernires volutions ?



Le cryptage nest quune nime course aux armements Ce qui suffitaujourdhui ne fera pas le poids demain

Quelles sont les dernires volutions ? Quel intrt pour nous ?


La rvolution du mobile a ouvert la bote de Pandore Votre vie serapirate et seule une modification de vos habitudes peut garantir lascurit Quel intrt pour nous ?


Tous les regards se portent sur la scurit Utiliser la convergencedes volutions technologiques pour faire progresser la scurit


8/83

:

propos des auteurs

Index


9/83

Avant-propos dIBMUn paysage en pleine

volutionPar Steve Mills

Au cours des trente dernires annes, jai eu lopportunit de jouer un

rle dans la dtermination de linfluence exerce par la technologie sur

le commerce et lindustrie. Aujourdhui, les systmes informatiques

modifient la faon dont les entreprises fournissent des produits et ser-vices, dont les personnes communiquent entre elles, dont les organisa-

tions prennent des dcisions et mme la faon dont chacun apprhende

et interagit avec le monde qui lentoure.

Bon nombre de ces volutions sont dues la conjonction de tendances

significatives et troitement lies autour du cloud, des mobiles, du big

data et des rseaux sociaux. Chacune de ces volutions, considres

indpendamment, a son importance. Mais lorsquelles sont apprhen-des ensemble, la vitesse laquelle notre rapport linformatique vo-

lue est extrmement rapide et son impact est galement profond.

Or, de mme que ces volutions exercent un impact puissant sur une

organisation, les attaques menes par le crime organis, celles caution-

nes par les tats, et lmergence dun activisme social dans le monde

numrique mettent en lumire une ralit nouvelle dans laquelle les

risques pour la scurit ne peuvent tre dment considrs comme desimples dfis informatiques. En effet, ces phnomnes peuvent bien

souvent faire peser une menace sur la marque dune organisation, sa

proprit intellectuelle, ses donnes commerciales sensibles et ses res-

sources financires.


10/83

:

Tous ces risques modifient lapproche de la scurit adopte par de

nombreuses organisations. Les responsables de la scurit des sys-

tmes dinformation () doivent dsormais rendre compte leur

et au conseil dadministration. Ils assument un rle dintermdiaire

entre les responsables Mtier et les experts de la scurit et aident

chaque groupe comprendre le point de vue, les dfis, les exigences etles objectifs de lautre. Il sagit dun partenariat dont limportance est

critique pour les organisations car il permet aux quipes de scurit de

dvelopper une comprhension plus nuance de la stratgie mtier par

rapport au risque numrique. Il permet galement aux responsables

mtiers de prendre des dcisions plus claires en termes de budget

et de personnel, mais galement dapporter leur soutien en pilotant la

transformation de lentreprise en termes de scurit.

Des considrations de scurit importantes sont associes la faon

dont la technologie et, par extension, le monde changent. Des dbats

nourris sont en cours sur la confidentialit, le rle des gouvernements et

limpact des nouveaux modles informatiques sur les considrations de

scurit. Le prsent ouvrage examinera bon nombre de ces problma-

tiques plus en dtail. Mais il y a lieu de souligner galement lopportu-

nit unique qui soffre actuellement.

Le cloud, les mobiles et le big data sont souvent cits comme autant

de dfis pour la scurit dans le contexte du stockage des donnes, de

la gestion des terminaux et de la confidentialit. Pour autant, chacune

de ces volutions prsente galement des opportunits. La technolo-

gie du cloud peut ainsi tre utilise pour transmettre rapidement des

informations sur la scurit et les menaces des interlocuteurs finaux

situs dans le monde entier. Les appareils mobiles et les applications

quils transportent peuvent potentiellement devenir plus srs que lesordinateurs portables traditionnels. Enfin, de nombreuses organisations

font face actuellement des milliards dvnements de scurit chaque

jour et la capacit de traiter ces donnes grce des dispositifs analy-

tiques avancs permet aux organisations de dtecter et de rpondre aux

menaces comme jamais auparavant.


11/83

Avant-propos d

Contrairement aux prcdentes volutions qua connues le secteur

informatique, ces mutations surviennent dans un contexte dans lequel

les organisations sont plus que jamais conscientes des risques quelles

encourent. Les quipes de scurit ont prsent lopportunit et la mis-

sion dintgrer la scurit dans le processus technologique et commer-

cial de lorganisation comme jamais auparavant. Il leur faut galementfournir de meilleurs rsultats face la pnurie de comptences et une

complexit technique gnralise.

Les quipes de scurit joueront un rle majeur dans la transformation

de lentreprise, mais leur russite dpendra de leur capacit intgrer

des contrles et des processus et dvelopper en parallle de nouvelles

pratiques dans les domaines toujours plus importants de lanalytique, de

la veille et de la rponse aux incidents et attaques.

Steve Mills

Senior Vice President et Group Executive,

Software & Systems


12/83

Avant-propos de Sogeti La partie est lance

Par Hans van Waayenburg

Il na jamais t aussi facile et rapide denvoyer un courriel, deffectuer

un virement bancaire, de raliser une commande en ligne ou de rser-

ver un vol directement depuis un mobile. lhorizon , milliards

dappareils seront ainsi connects Internet. La plupart dentre eux

seront peine protgs, ce qui sous-entend autant dentres potentielles

susceptibles dtre utilises par les hackers pour sintroduire dans nosappareils, nos entreprises, nos maisons et nos vies personnelles.

De nos jours, le rseautage et la connectivit grandissants permettent

nos organisations dtre plus efficaces, plus productives et mieux

informes. Laccs aux donnes et aux informations constituent des

atouts cls pour lensemble des individus, des entreprises et des tats.

Linformatique est donc devenue vitale en matire de prise de dcision.

Elle permet loptimisation des processus et lindustrialisation dans tousles domaines, de la commutation de voies de chemin de fer au contrle

du trafic arien en passant par la distribution de gaz et dlectricit ou

la chloration de nos rserves deau. Cependant, ladoption grandissante

de la technologie numrique est accompagne dun manque de compr-

hension des enjeux qui laccompagnent, notamment auprs des jeunes

gnrations. Peu importe comment a marche tant que a marche.

Nous sommes donc devenus vulnrables.

lorigine, le piratage informatique tait un jeu, un passe-temps amu-

sant pour des personnes curieuses et comptentes. Avec lvolution

dInternet, ces comptences sont devenues un outil politique ou ido-

logique dans les mains de groupes dhacktivistes qui ont peru leurs

activits comme une forme lgitime de contestation sociale. Lutilisation


13/83

Avant-propos de Sogeti

criminelle des rseaux et des technologies est galement trs trou-

blante. Bon nombre dorganisations font littralement face des mil-

liards dvnements chaque jour, dont une grande partie implique des

menaces significatives en termes de scurit visant les donnes clients,

la proprit intellectuelle et les donnes confidentielles. Ciblant la fois

les gouvernements et lindustrie, le cyber-espionnage est devenu unepratique commune.

Les frontires entre toutes ces menaces sont floues, en particulier en

raison de la conception et de la topologie du cyberespace : les limites

entre voleurs, espions et activistes sont beaucoup moins nettes que dans

la vie relle. Et bien que certaines rglementations disciplinent la Toile,

il existe une large zone grise o des hackers bien organiss semblent

pouvoir uvrer en toute impunit. Le cyberespace offre une couvertureparfaite qui rend ces acteurs trs difficiles dtecter et identifier. De

plus, la complexit des cyberattaques les rend encore plus droutantes.

Ici, il nexiste pas de drapeau, pas duniforme et pas de rgle dengage-

ment tablie et convenue.

Un logiciel malveillant, un cheval de Troie ou un ver peut rester en

sommeil dans un systme informatique et accder vos informations

pendant des mois avant dtre dtect. Chaque nuit, des milliers degiga-octets de donnes technologiques et stratgiques sont drobs sur

les milliers dordinateurs de nos entreprises occidentales. Une cyberat-

taque peut gnrer des dommages importants trs grande chelle, sur

une longue priode et pour des cots infimes.

Enfin, une cyberattaque nest gnralement pas revendique car la dis-

crtion et lanonymat constituent des avantages vidents lorsquon choi-

sit duvrer sur Internet. Il est trs complexe didentifier les coupableset cette identification dpend de quelques caractristiques telles que des

preuves concordantes, le langage utilis, les noms des commandes, etc.

La perte de confiance dans nos systmes informatiques reprsente lun

des principaux enjeux lis aux cyber-attaques. Des tentatives de mise


14/83

:

en pril ont mme eu lieu sur les systmes industriels (). Lim-

pact de ces menaces implique des consquences potentielles graves. Le

simple piratage dune banque, dun systme de scurit sociale ou

dune autre infrastructure ou service stratgique pourrait entraner une

grave perte de confiance de la part des consommateurs, utilisateurs et

citoyens. Si lon songe lutilisation grandissante de la technologie, et la dpendance quelle suscite dans tous domaines de notre environne-

ment conomique et social, notre monde est beaucoup plus vulnrable

que nous ne pourrions le penser. La menace dune perte mondiale de

confiance impose une diligence et une vigilance constantes pour limiter

une telle menace et, dans lidal, pour lviter.

Cest la raison pour laquelle il est essentiel de garder lavantage dans

la partie cyberscurit . Pour lheure, ces menaces ne peuvent treannihiles, mais elles peuvent tre contenues. Nous devons continuer

avancer sur cet chiquier et chercher prendre lavantage. Jespre que

cet ouvrage, que je suis ravi davoir produit en collaboration avec ,

notre partenaire de confiance, vous donnera loccasion de mieux appr-

hender ces diffrentes problmatiques et vous proposera des ides qui

vous permettront de conserver une longueur davance sur les menaces

qui psent sur votre organisation. Face ce dfi, il est essentiel dunir

nos forces, et ce pas uniquement entre prestataires de service, maisgalement avec les pouvoirs publics, afin de tenir le rythme et de garder

toujours une longueur davance !

Hans van Waayenburg

Prsident Directeur Gnral, Sogeti


15/83

Rsum

La cyberscurit est aujourdhui un enjeu de premier plan qui sexplique

par les rvlations presque incessantes sur des attaques informatiques et

des violations de donnes. Dans ce contexte dimprvisibilit et din-

scurit, les organisations redfinissent leur approche de la scurit et

recherchent un quilibre entre risque, innovation et cot. En parallle,

le domaine de la cyberscurit enregistre des volutions spectaculaires,

qui imposent aux organisations dappliquer de nouvelles pratiques etdacqurir de nouvelles comptences.

Le risque en matire de cyberscurit est dsormais clairement com-

mercial. Sous-estimer limportance de la scurit peut ainsi constituer

une menace pour lavenir dune organisation. Pourtant, de nombreuses

organisations continuent grer et envisager la cyberscurit dans le

champ du service informatique. Cela doit changer.

La technologie est en mutation constante et aucune volution rcente

na t aussi considrable que lexplosion de lutilisation des appareils

mobiles. Peu importe les politiques mises en place, les organisations

font face une vague irrpressible de collaborateurs apportant leurs

propres appareils au travail. La demande de (Bring-Your-Own-

Device : apportez vos propres appareils) augmente, mais elle pose des

dfis srieux pour la gestion de la scurit, la fois en termes de techno-

logie et en matire de procdures et de politiques. Ces appareils mobilessemblent tre lantithse de ce que font les professionnels de la scurit

pour garantir cette dernire : ils sont mobiles, riches en donnes, faciles

perdre, et connects tous types de systmes dont les dispositifs de

scurit sont insuffisants.


16/83

:

La technologie offre galement des opportunits. En effet, le Big Data

offre notamment la perspective dune approche de la scurit plus

proactive, sous rserve que les organisations puissent embaucher des

personnes qui comprennent rellement ces nouvelles technologies.

La recherche dune scurit de pointe tient pour lessentiel aux per-sonnes et leur comportement. Il est communment admis quavec

suffisamment de dtermination et de comptence, un attaquant per-

sistant parviendra passer nimporte quelle dfense. Toutefois, en

complexifiant ce processus chaque tape, on diminue les risques et on

augmente non seulement le dlai dont disposent les organisations pour

ragir aux incidents, mais galement la capacit de les intercepter avant

que leur incidence ne soit trop grande.

Pour bnficier dune bonne scurit, il faut instiller cette notion jusque

dans les fibres les plus lmentaires de lorganisation, la fois en termes

de technologie (en intgrant la scurit ds la conception) et en termes

de comportement (en offrant des options scurises prfrables aux

options moins scurises).

La peur risque de devenir trs rapidement un outil inefficace de motiva-

tion des utilisateurs.


17/83

1Cyberscurit : conserver

lavantage dans la partieLes fondamentaux

La cyberscurit recouvre un ensemble de pratiques, de processus

et dacteurs sappuyant sur la technologie et visant protger des

infrastructures critiques, des entreprises numriques et des informa-

tions sensibles de menaces ou de ngligences internes et externes. Cedomaine est en volution constante, peut-tre davantage que linfor-

matique elle-mme. Quoiquil en soit, lessentiel reste de prserver les

qualits qui font de linformatique la ressource fiable dont dpendent

lentreprise et la socit : confidentialit, intgrit, disponibilit.

Mais quelles sont les volutions que le secteur connat actuellement ?

Quel est lessentiel aujourdhui ? Les thmes que nous aborderons sor-

ganisent autour des questions fondamentales suivantes :

1. Peut-on faire confiance au systme ?

Le principal thme abord aujourdhui est la question fondamentale

de la fiabilit et la scurit dInternet et peut-tre des technologies

numriques dans leur ensemble. Internet na jamais t conu en ayant

comme fondement la scurit et il apparat aujourdhui trs clairementquil est possible de compromettre presque tout et nimporte quoi, pour

autant quun hacker trs motiv sy emploie. La scurit et la confiance

numriques sintgrent dsormais au cur des dbats publics. Cela

dclenche de nouvelles recherches et innovations pour faire dInternet

une infrastructure plus sre.


18/83

:

2. Peut-on scuriser davantage lesorganisations ?

Ltape suivante consiste crer une organisation sre capable de

survivre et de se dvelopper en sappuyant sur des technologies natu-

rellement imparfaites. Afin dimplanter une culture de la scurit danslentreprise, il y a lieu de passer de la peur la valeur. Les menaces

gagnent en sophistication et en prcision, et limpact qui leur est associ

sur les organisations grandit. La scurit doit donc voluer et ne plus

se concentrer sur la peur et le risque pour parvenir intgrer le fait que

le dveloppement et le maintien de la confiance peuvent constituer et

constitueront un facteur de diffrenciation par rapport la concurrence

la fois au niveau de lindustrie et des pouvoirs publics. La scurit ne

constitue plus un risque informatique, mais un risque li au business qui doit donc tre gr comme tel. De plus, il est compris et largement

accept de nos jours que les attaques et les incidents sont possibles

mais pas invitables et que des pratiques associes la dtection et la

raction doivent constituer une part essentielle et multidisciplinaire de

la stratgie de scurit de chaque organisation.

3. Peut-on gagner la partie ? ce jour, le fait que des attaques labores franchissent quotidienne-

ment les protections conventionnelles constitue une ralit. Les atta-

quants bnficient dun certain nombre davantages stratgiques sur les

acteurs chargs de la dfense des rseaux : en particulier leffet de sur-

prise, la possibilit de rechercher et de cibler des individus spcifiques

et peu mfiants, la complexit des infrastructures et une main-duvre

insuffisante dans le domaine de la cyberscurit lchelle mondiale. Legrand public nest pas compos dexperts de la scurit et le dsquilibre

en termes dexpertise chaque extrmit dun courriel dhameon-

nage constitue un avantage stratgique et tactique significatif pour les

attaquants. Pour que les professionnels de la scurit puissent traiter

ces difficults, il convient de disposer de comptences plus solides, de


19/83

Cyberscurit : conserver lavantage dans la partie

programmes informatiques mieux dvelopps, dune simplification des

infrastructures, danalyses et de capacits de raction plus pousses

ainsi que dune ducation et dune responsabilisation des utilisateurs.

4. Quelles seront les prochaines avancestechnologiques ?

Dans le cadre dune tude, des responsables de la scurit ont

exprim des inquitudes sur la scurit du cloud et des appareils

mobiles. Ces volutions informatiques remettent en cause les modles

de scurit conventionnels et ncessitent non seulement de nouvelles

technologies, de nouveaux processus et de nouvelles politiques, mais

galement une volution significative de la culture associe la naturedu contrle. Cependant, ces modifications peuvent galement four-

nir de nouvelles opportunits. Le principe secure-by-design (qui

implique dintgrer la scurit ds le lancement de la conception)

est dvelopp partir dannes dexprience et peut tre appliqu au

lancement de nouveaux projets et de dploiements. Le cloud propose

de nouveaux modles de prestation en termes de scurit et de ren-

seignements sur les menaces. Le big data et lanalytique promettent

un changement du secteur de la scurit numrique de mme que lesentreprises et lindustrie se fondent prsent sur les donnes et sur leur

analyse pour comprendre les tendances et prendre des dcisions.

En fin de compte, la partie de la cyberscurit naura pas de fin et il

nexistera pas de gagnants ou de perdants. Mais cette conclusion peut

tre remplace par une recherche permanente dun avantage strat-

gique, un rquilibrage de lquation entre attaquant et dfenseur. En

unissant nos forces, en prenant le temps de rflchir et danalyser cequil se passe et en appliquant intelligemment ce dont nous disposons

et ce que savons, les organisations peuvent prendre lavantage, ce qui

constitue en soi une victoire dans ce secteur.


20/83

:

propos du prsent document

Cet ouvrage cherche inspirer et encourager de nouvelles rflexions

et ides, mme si le sujet vous est dj familier. Pour les nouveaux

venus dans le domaine de la scurit, il constitue un avant-got offrant

un aperu de ce qui est essentiel ce jour. Nous avons choisi de resterbrefs et de nous concentrer sur les sujets les plus rcents et les plus

pertinents. Vous ne trouverez donc pas de descriptions exhaustives des

pratiques bien connues telles que la gestion des risques de scurit ou

llaboration dun modle dauthentification, mme si elles sont encore

essentielles aujourdhui. De plus, nous avons choisi de nous concentrer

sur les dimensions organisationnelles, de gestion et de gouvernance de

la scurit, sans aborder la dimension technique.

Louvrage peut naturellement tre lu dans son ensemble, mais il est ga-

lement structur afin de pouvoir consulter uniquement les chapitres qui

vous intressent. Aprs lintroduction, chaque chapitre souligne lune

des volutions les plus rcentes, ses implications et les mesures quil

conviendrait en consquence dadopter.

RemerciementsDe nombreuses personnes ont offert leurs rflexions et leurs ides

cet ouvrage. Par le biais dateliers, dentretiens, danecdotes, de contri-

butions crites et danalyses, elles ont permis de faire le point sur les

volutions les plus intressantes et les plus pertinentes dans le cadre de

la cyberscurit ce jour. Nous souhaitons remercier tout particulire-

ment des clients et spcialistes qui ont pris le temps de nous faire part

de leur vision, de leurs dfis et de leurs solutions. Vous trouverez leurscitations (anonymes) tout au long du prsent ouvrage.

Nous souhaitons galement remercier les personnes suivantes pour

leurs contributions, par ordre alphabtique : Rogier van Agt, Didier

Appell, Jean-Michel Bertheaud, Jean-Marc Bianchini, Jaap Bloem,


21/83

Cyberscurit : conserver lavantage dans la partie

Michiel Boreel, Bryan Casey, Jeff Crume, Doug Davidson, Vijay Dheap,

Menno van Doorn, Jean-Marc Gaultier, Stphane Janichewski, Edouard

Jeanson, Yves Le Floch, Arnauld Mascret, Vronique Mireau, Patrick

Morley, Charles Palmer, Orion Ragozin, Patrick Recchia, Pierre-Luc

Rfalo, Djaafar Senoussi, Rene Speelman, Mike Turner, Martin Visser,

Charlie Weibel-Charvet, Jim Whitmore.


22/83

2Au premier plan de la

scuritComment le combat continu entreles gentils et les mchants rend notre monde plus sr

O serions-nous sans Internet ? Le rseau des rseaux, cr comme unoutil de communication simple et capable de survivre en cas de per-

turbations grande chelle, a dfini notre poque. lorigine, Inter-

net ntait quun rseau textuel, mais au fil du temps, des dimensions

graphiques puis commerciales, du streaming vido et de nombreuses

autres extensions ont t intgres. prsent, lheure est (enfin) venue

de rflchir srieusement la scurit et la confidentialit.

De nos jours, nous ne savons pas comment poursuivreen justice la cybercriminalit dans le cadre juridique

national ou mondial. Quel cadre sera applicable ?

Qui servira de cyber-police ? Interpol est-elle la bonne

agence ? Lactivisme est-il une forme de cybercrimi-

nalit ? Pour certains, je suis un terroriste. Jestime

tre davantage une force contraire. Jessaie juste dtre

utile !

Cyber-activiste

On ne peut pas dire que la scurit ait t compltement absente depuis

tout ce temps, mais notre dpendance croissante aux communications

numriques et laugmentation du niveau et du nombre dattaques ont

pris le pas. Depuis les dbuts du commerce lectronique, les commer-


23/83

Au premier plan de la scurit

ants et les socits de carte de crdit luttent pour prserver lintgrit

des paiements en ligne. Mais les choses ont chang : les attaquants ne

recherchent plus simplement largent ou les informations des cartes

de crdit, mais bien davantage. La rputation et la survie dentreprises

toutes entires sont en jeu. Pour une entreprise de taille moyenne, une

attaque grave des fins malveillantes pourrait impliquer une grave per-turbation de son activit.

De nos jours, les attaquants sont divers et dynamiques : il sagit de

groupes criminels internationaux, dintervenants parrains par un tat,

de cyber-activistes idalistes (hacktivists), et dinitis cherchant faire

fuiter des informations. Ces attaquants constituent le pire cauchemar

des responsables de la scurit. Des menaces persistantes et avances

( : Advanced Persistent reats) ont vu le jour : des individus trscomptents cherchent tout prix percer les dfenses et feront tout

leur possible pour parvenir leur but. Il est virtuellement impossible

dlaborer une dfense efficace contre ces menaces, et elles

impliquent une approche diffrente des mesures de scurit classiques,

gnrales et gnriques. Une telle dfense impliquera une bonne

gouvernance, une dtection en temps rel des attaques en cours, des

systmes de scurit intelligents, des intervenants forms, une rvision

de larchitecture de donnes, une mise en place de mcanismes de rac-tion, une rvision des interactions avec les partenaires et une refonte

des processus existants dans linformatique et le commerce. Pour

rsister, avec chaque nouveau projet technologique, la scurit doit tre

prise en compte ds le dpart. Malgr tout, une certaine rsignation

sest installe parmi les experts de la scurit, gnrant une forme de

sagesse peu conventionnelle :

Il existe deux types dentreprises : celles qui ont t hackes etqui le savent et celles qui lont t et qui ne le savent pas.

http://www.usatoday.com/story/cybertruth////lexisnexis-dunn--bradstreet-altegrity-hacked//
http://www.usatoday.com/story/cybertruth/2013/09/26/lexisnexis-dunn--bradstreet-altegrity-hacked/2878769/http://www.usatoday.com/story/cybertruth/2013/09/26/lexisnexis-dunn--bradstreet-altegrity-hacked/2878769/http://www.usatoday.com/story/cybertruth/2013/09/26/lexisnexis-dunn--bradstreet-altegrity-hacked/2878769/


24/83

:

Un flux dinformations libre constitue un impratif

conomique

Le Manifeste de la Cyberscurit

Vie prive et scurit sont les deux facesdune mme mdaille

Avec lvnement du big data, des rseaux sociaux et la prolifration

des donnes de localisation, les dfenseurs de la confidentialit se sont

interrogs sur les propritaires des donnes (ou mtadonnes ) et sur

le niveau de contrle dont disposent les particuliers et les organisations.

Bon nombre de ces questions nont pas encore trouv de rponses dunpoint de vue technique (quels outils utiliser ?) ainsi que dun point de

vue financier et socital. Enfin, la confidentialit est un problme la

fois culturel et personnel, et un espace o la perspective et limpact des

natifs numriques (Net-generation) prend une plus grande importance.

Cette gnration, qui a t leve avec Internet, amne un nouveau

point de vue sur la confidentialit et la proprit des donnes.

Certains concepts mergents relatifs la proprit des donnes revi-sitent des pratiques existantes. Par exemple, lide quune personne

restera ternellement propritaire de lensemble des donnes la concer-

nant. Toute entreprise souhaitant utiliser ces donnes devrait ngo-

cier avec leur propritaire pour en obtenir laccs et lutilisation. Cela

ne fonctionnerait que dans le cadre dun systme dautorisation et de

modles daccs complexe. En ralit, bon nombre de ces concepts

ne fonctionneraient que sils taient adopts universellement. Il sagit

galement l dune similitude entre confidentialit et scurit : ellesdpassent les frontires organisationnelles. Lorsquune entreprise a

tabli sa propre culture de confidentialit et de scurit, elle doit la

partager avec ses clients, partenaires, pouvoirs publics et organismes

officiels.


25/83


On dcouvre alors des similarits dans la faon dont les entreprises

devraient traiter la scurit et la confidentialit. Par exemple, si des

donnes sont inutiles, elles devraient tre supprimes afin de rduire

efficacement les risques de scurit et de confidentialit.

Limpact de la cyberscurit quelle importance ?

Finalement, comment tout ceci affecte-t-il les organisations ? Le

contexte idologique de lattaquant importe-t-il ? Est-il important que

certains des attaquants soient parrains par un tat ? Il existe l des

thmatiques importantes prendre en compte, telles que les ressources

dont disposent lattaquant et comment les organisations pourraientdemander le soutien des pouvoirs publics si lon dtecte une parti-

cipation trangre. Cependant, bien que les risques varient, la fois

en termes de nature et de svrit en fonction du secteur, en ralit,

lorsquune attaque est lance, elle reste une attaque. Les organisations

ne se soucient des intentions de lattaquant que dans la mesure o

elles permettent de dfinir les dgts que lattaquant envisage de crer.

Lobjectif est-il de dgrader un site Internet, de voler des secrets ou de

perturber lactivit ? Les motivations idologiques ou le sponsoring sont ce niveau dun intrt moindre.

Dans lventail des acteurs uvrant du ct des attaquants, ceux par-

rains par des tats peuvent constituer le haut de gamme. Pourtant les

criminels, qui peuvent tre localiss partout dans le monde, ne sont

pas loin derrire, car ils utilisent les mmes vulnrabilits et les mmes

failles de scurit.

Les participants les moins dous dans cette dynamique sont les utilisa-

teurs de base , qui diffusent par inadvertance des donnes sensibles

en ligne, qui fournissent leur mot de passe en rponse un courriel

malicieux, qui partagent leur mot de passe avec un ami au travail ou

qui oublient une cl dans leur voiture de location. Ces utilisateurs


26/83

:

reprsentent aujourdhui lun des dfis les plus importants pour les

responsables de la scurit. Ils doivent mettre en place une stratgie et

une approche pour tablir des contrles adapts tout en vitant dans le

mme temps de perturber la crativit et les rsultats conomiques.

Liste des attentes en matire de cyberscuritLors dun vnement rcent, un groupe international de responsables de la

scurit a tabli une liste dattentes court terme, en rpondant la question

Quelle devraient tre les avances les plus importantes en matire de scurit

dans les prochaines annes ? Voici leurs rponses les plus frquentes, classes

en trois catgories :

De meilleures solutions pour scuriser les communications de bout-en-bout Disposer de meilleurs mcanismes dauthentification pour pouvoir tre srs

% de qui se connecte un systme.

Pouvoir utiliser des applications scurises sur une infrastructure non scuri-

se. Il faut reconnatre que les PC, tablettes, tlphones et lInternet lui-mme

ne seront jamais srs. Il est donc impratif dlaborer des applications scuri-

ses sur une base non scurise.

Un plus grand rle jouer pour la biomtrie, qui pourrait servir de soutien

lauthentification en ligne, en permettant de nouveaux niveaux de scurit. Onparle dempreintes digitales, danalyses sanguines, dchantillons dADN, de

rythme cardiaque et dautres biomarqueurs.

Des systmes intelligents

Disposer dun systme de scurit capable dauto-apprentissage : un systme

qui pourrait apprendre des oprations de tous les jours et qui bloquerait auto-

matiquement tous les mouvements inhabituels dans les systmes.

Une classification automatise des donnes, par une dtection automatique decelles devant tre scurises.


27/83


Un mode de communication amlior avec les utilisateurs sur la scurit

Disposer dun cadre davertissements et dalertes de scurit permettant

lutilisateur de mieux comprendre le risque rel et les implications de certaines

actions. Cela pourrait sappliquer partout, depuis les app store jusqu cer-

taines actions dans un systme dentreprise.

Un label attribuer aux applications et une certification pour les appareils

informant les consommateurs du niveau de scurit fourni.

Vux pieux du responsable de la scurit

Sans surprise, les responsables de la scurit sont stresss. Dans leur

secteur, on ne peut pas proposer de garantie . Les risques

augmentent chaque jour et les budgets restent limits. En matirede scurit, certains disent : on ritre sans cesse les mmes choses

jusqu ne plus avoir de temps ou de financement , ce qui constitue

une approche trs peu satisfaisante. Oui, les organisations auront

besoin dune stratgie et oui, il existe un nombre considrable dou-

tils et de normes industrielles disponibles, mais rien ne garantit que

les attaques les plus rcentes et les plus puissantes ont t dcou-

vertes et documentes.

Ce ne sont plus les grandes entreprises qui sont

attaques. De nos jours, lattaque des est un don

de Dieu pour les hackers.

dune socit de services financiers

Alors comment changer la donne ? Comment le monde de la scurit

peut-il avancer ? Il existe des donnes fondamentales qui ne changeront

probablement jamais, par exemple le fait quInternet ne sera jamaisune infrastructure sre ou que les organisations ne disposeront jamais

dassez de budget, de main-duvre ou de temps pour faire face toutes

les vulnrabilits ou encore que lon ne pourra jamais vraiment prou-

ver que les bonnes dcisions ont t prises. Mais il y a de lespoir : une

meilleure sensibilisation des cadres et des progrs technologiques ou


28/83

:

encore lapplication du droit international pourraient changer la donne

pour de bon.

Les premires choses faire sont de se baser sur des

bonnes pratiques, dobserver le march pour obtenir

des rfrences et des normes. Je suis surpris quil ny aitpas davantage de forums (...) pour partager les bonnes

pratiques.

dune socit industrielle

Une opportunit croissante et importante est centre sur des systmes

plus intelligents qui sadaptent et apprennent par eux mmes. On note

de nombreuses volutions dans ce secteur, mais il reste difficile de

prsager de lavenir car cela reviendrait tenter de prvoir le compor-tement humain. La premire fois quun nouvel vnement survient, ce

dernier est par dfinition inconnu du systme de scurit. Les organi-

sations et les personnes qui les composent changent constamment, la

capacit distinguer entre volution naturelle du processus commercial

et incident de scurit potentiel reste un dfi malgr les progrs signifi-

catifs qui ont t raliss dans le domaine de lanalytique en termes de

scurit.

Daucuns ont avanc lide que la prochaine re de linformatique serait

centre sur linformatique cognitive , celle des systmes qui appren-

dront naturellement de leur environnement. Cette tape dpasse les

simples rgles ou mme les capacits analytiques bases sur les prin-

cipes de base.

Il faudra sans doute des annes pour que ces capacits deviennent mon-

naie courante sur le march ou dans les divers contextes de la scurit.Mais les organisations peuvent prendre ds prsent des mesures pour

sy prparer, et tirer parti de cette volution, notamment dans leur

mthode pour valuer et cultiver les comptences au sein de leur orga-

nisation. Les donnes et lanalytique prennent un rle de plus en plus

central dans lidentification et la rponse des organisations aux menaces


29/83


pour la scurit ; les organisations devront donc faire appel un type

diffrent de professionnel de la scurit, des personnes disposant dune

expertise la fois dans le domaine de la scurit et de lanalyse des

donnes.

Faire reposer les pratiques et les comptences sur une approche ana-lytique qualitative et quantitative de la scurit constitue la fois une

valeur ajoute immdiate et un lment cl pour la construction dune

stratgie de scurit long terme.

Les avantages en tirer

Bien quil soit parfois difficile de juger positivement le dluge constantde divulgations, de menaces et de violations de donnes, il existe deux

rsultats trs tangibles qui sont largement positifs. Tout dabord, la plu-

part des attaques actuelles cible des individus, cest pourquoi une meil-

leure sensibilisation du public aux menaces pour la scurit permettra

terme aux particuliers de mieux rsister aux attaques. Le fait daborder

plus largement la thmatique de la scurit dans le domaine public per-

mettra non seulement aux gens de comprendre quil existe une menace

importante, mais galement de discuter davantage de la nature de lamenace, des mthodes utilises lors des attaques et des mesures que

les utilisateurs doivent prendre pour assurer leur protection et celle de

leurs organisations.

Ce qui est intressant pour moi aujourdhui, cest

quau niveau de ltat, la cyberscurit et le cyber-

crime sont vraiment pris en compte. (...) Les bases

ont t poses, il faut prsent progresser dans cedomaine

Responsable militaire de scurit des informations et de

lutte contre la cybercriminalit


30/83

:

De plus, lattention supplmentaire accorde aux problmes de scurit

ainsi que le dbat public sur le sujet poussent la cration dune infra-

structure informatique plus rsistante. En labsence de pression et de

responsabilit publiques, de nombreux problmes de scurit reste-

raient non rsolus sans un vritable mcanisme dentranement. Bon

nombre dorganisations ont par le pass abord la scurit aprs coup,et mme pire, nont trait ces problmes quaprs la survenance dun

incident. Cependant, de nos jours, la pression du public, la sensibili-

sation et limpact bien compris des menaces pour la scurit poussent

les organisations aborder la scurit comme un lment essentiel de

conception et de fourniture des produits et services, de structuration

des processus commerciaux au sein dune organisation, ainsi que de

stockage et de protection des donnes et des informations confiden-

tielles et des clients.

Plus les enjeux de la scurit seront importants et mieux compris, plus

il sera difficile dexploiter les vulnrabilits humaines et techniques des

fins illgales.

Laccs un Internet libre est un droit humain fondamental



31/83

3Traiter les effets

secondaires dus lapratique Bring-Your-Own-Device

Des appareils et services

largement disponibles vontenvahir les organisations

Le principe nous expose des problmes de

scurit majeurs, car il cre des failles dans linforma-

tique de lentreprise. Cela ntait pas le cas il y a dix

ans, et il sagit selon moi du vrai dfi des prochaines

annes. Responsable militaire de scurit des informations et de


Le rapport que les personnes entretiennent avec leurs diffrents gadgets

est plus intime que jamais. Les prfrences personnelles, les mthodes

de travail et le ressenti dterminent quel appareil est le mieux adapt

une personne. Les utilisateurs apportent et se servent de leurs appa-

reils personnels au travail. Lentreprise ne peut plus vraiment dciderquels ordinateurs portables, tlphones, tablettes ou phablettes sont uti-

liss pour travailler. Pour lheure, de nombreuses organisations essaient

de limiter lafflux dappareils personnels par le biais de politiques

strictes interdisant lensemble de ces appareils, mais long terme, cette

mthode risque de savrer intenable. Dautres entreprises sattachent


32/83

:

mettre en place des politiques Bring-Your-Own-Device ( apportez vos

propres appareils ), ou plus souvent Choose-Your-Own-Device ( choi-

sissez vos propres appareils ) qui rpondent au dsir du collaborateur

dutiliser lappareil de son choix tout en sauvegardant la scurit de

lentreprise. Or, cela savre plus difficile quil ny parat. Les politiques

pourraient-elles prsager de la fin dun contrle digne de ce nomsur les appareils et la technologie ?

Les entreprises ne contrlent plus leurs environnements logi-

ciels et matriels.


Quelles sont les dernires volutions ? On ne peut pas freiner larrive de nouvelles technolo-

gies. Nous sommes contraints de nous adapter.


Le principe est au cur des proccupations de nombreux et

atteint mme le - (apporter votre propre informatique) : il ne sagit

plus simplement des appareils, mais galement des services utiliss surles appareils qui sont largement disponibles sur le cloud . Les salaris

apportent une multitude de choses au sein de lentreprise, depuis leurs

tlphones jusquaux tablettes, en passant par des solutions collabora-

tives, de partage de fichiers et de gestion complte de la relation client.

Lassociation des appareils des consommateurs et des services sur le

cloud a donn naissance des fonctions de niveau entreprise parfaite-

ment exploitables en environnement professionnel.


Traditionnellement, la dfense du primtre constituait la principale,

voire la seule ligne de dfense. Le fait de laisser entrer dautres appareils


33/83

Traiter les effets secondaires dus la pratique Bring-Your-Own-Device

ou mme dautres services a renvers ce paradigme, en nous poussant

repenser la scurit de lensemble du portefeuille technologique.


Le problme principal du systme tient ce que la plupart des

systmes back-end nont pas t conus en prenant en compte ce type

de flexibilit. De plus, le passage dun modle de scurit de type pri-

mtre un nouveau modle inter-couches est assez abrupt. Ce modle

lui-mme peut tre connu depuis un certain temps, sa mise en uvre

lchelle de toute une organisation constitue nanmoins une tape

majeure. Elle implique de prendre les mesures suivantes :

Cependant, lattitude de certains responsables peut

tre irritante. Certains ne montrent pas lexemple. Cela

dpend souvent de la personne. Certains dirigeants

sont conscients des risques et en font une priorit pour

la socit. Mais cela ne suffit toujours pas.



Mise en uvre de la scurit sur lensemble des composants tech-nologiques. Nous ne pouvons plus faire confiance un appareil, un

canal ou une application unique : nous devons vrifier chaque tape

quun utilisateur autoris a lanc linteraction demande dans un but

reconnu. Cela implique dintgrer tous les composants techniques,

du bus applicatif dentreprise au serveur Web en passant par la base

de donnes de lentreprise, un certain modle dautorisation fond sur

des actions autorises : dfinir ce qui est autoris et interdire toutle reste. Il faudra ici sacrifier la flexibilit informatique (interfaces

gnriques, ouvertes) la scurit (interfaces spcifiques fermes).

La scurit concerne dabord les donnes, ou plus prcisment lesdonnes et leur contexte dutilisation. Les modles dautorisation ne

doivent pas tre fonds sur un accs (connexion au systme) mais


34/83

:

sur laccs aux donnes en fonction dun contexte ou de scnarios

dtermins : cet utilisateur peut-il cette heure prcise, cet endroit,

par le biais de cet appareil et dans ce but accder telle fonctionna-

lit utilisant telles donnes spcifiques ?

Ncessit dun contrle didentit fort : un modle utilisateur intgrconstitue la base de toute approche de scurit ; mais dans la ralitdaujourdhui, le modle didentit doit intgrer un modle de scu-

rit personnalis, dfinissant quel type de comportement est nor-

mal pour un utilisateur donn, linstar des procdures appliques

par les socits de carte de crdit pour dtecter un comportement

frauduleux.

Transformation du modle de primtre en modle couche oumodle en oignon : il ne sagit plus simplement de lintrieur et

lextrieur , car il existe probablement plusieurs couches au milieu.Lobjectif serait de dfinir une zone aussi limite que possible qui

serait vraiment secrte , et des zones en expansion constante dans

lesquelles les donnes sont de moins en moins restreintes. Plus la

couche laquelle vous cherchez accder est secrte , plus les

requtes relatives aux autorisations, aux appareils, au rseau utilis,

au cryptage, etc. seront nombreuses. Dans ce contexte, le secret

correspond aux dommages qui pourraient rsulter dune exposition

ou dune perturbation des donnes concernes : que se passe-t-illorsque votre adresse est drobe, lorsque vos donnes clients

sont exposes ou que vos plans stratgiques sont divulgus la

concurrence ?

Ne pas oublier lancien modle : lorsque lon traite tous les thmesmentionns ci-dessus, il ne faut pas oublier que le primtre reste

une couche de dfense importante. Cest la raison pour laquelle il

convient de prter attention la gestion des appareils, aux machines

virtuelles, aux appareils mmoire partage, etc. Lun des dfis delinfrastructure informatique moderne concerne la multitude de

combinaisons possibles entre appareils, rseaux, applications et

structures de messagerie. Chacun de ces lments est susceptible

dtre le maillon faible ; une solution de scurit prcise et cible sim-

pose donc pour chaque lment connu de votre infrastructure. Il faut


35/83

Traiter les effets secondaires dus la pratique Bring-Your-Own-Device

dterminer clairement quels sont les appareils qui ne sont pas placs

sous le contrle de lentreprise et qui ne doivent donc pas tre jugs

fiables, mme si une solution de scurit optionnelle est susceptible

dtre dploye

Enfin, il existe naturellement les aspects juridiques et financiers lisau : dfinir des politiques claires prcisant qui paiera lappareil,qui est responsable de quoi, quels processus de scurit doivent tre

suivis, quand lentreprise peut accder lappareil et quel type de

responsabilit est accept.

Les universits constituent un bon exemple de la faon dont le prin-

cipe pourrait fonctionner : tous les tudiants, et parfois mme les

professeurs, ont leurs propres appareils et doivent accder tous types

doutils et de systmes. Ils apportent leurs propres appareils et choi-sissent souvent leurs propres outils pour travailler et collaborer.

Ce concept pourrait galement fonctionner pour dautres organisa-

tions. De plus, les mmes modles de scurit sadapteraient dautres

tendances importantes relatives aux organisations des rseaux, lint-

gration de la chane logistique et des alliances de projets. Malheureu-

sement, lheure actuelle, les infrastructures et systmes dexploitation

ne sont pas prts. Cest pourquoi bien que le puisse rpondre aux

souhaits des salaris, le Choose-Your-Own-Device ( : choisissezvotre propre appareil) reprsente souvent la meilleure solution possible

pour le moment.


36/83

4Lorsque lentreprise est

en danger, ne confiezpas la scurit auservice informatique

Des mesures dattnuation des

risques devraient prvoir cetteattnuation au niveau de lentreprise,et non pas uniquement une approcheinformatique

Dans les organisations daujourdhui, linformatique a pris une place centrale.

Elle est la base de tous les processus, elle rend possible la plupart de nos

Business models. Elle est au centre de lengagement, de lapproche cono-mique et de la relation avec les clients. Nous dpendons plus que jamais de

la technologie, non seulement pour enregistrer ou traiter des commandes,

mais pour tout ce qui concerne le marketing, les ventes, les livraisons, les

services et tous les processus internes. Les dommages potentiels dus une

dfaillance du systme voire pire, un sabotage sont donc plus importants

que jamais. Pourtant la gestion du risque numrique et la prparation des

rponses aux incidents sont souvent confies au service informatique, alors

mme que limpact est prsent bien plus large. Cela doit changer.

La gouvernance de la scurit ne peut rester une proccupation

mineure lheure o la cyberscurit est devenue une proccu-

pation majeure.



37/83

Lorsque lentreprise est en danger, ne confiez pas la scurit au service informatique

Quelles sont les dernires volutions ?

Au cours des dernires annes, les entreprises ont pris conscience

de limportance de linformatique dans leurs relations clients et leurs

processus cls. Entran par lmergence des applications mobiles,

des mdias sociaux et des systmes dengagement , le niveaude dpendance linformatique sest fortement accru dans un grand

nombre de nouveaux secteurs dactivit. Dans le mme temps, des

pannes informatiques de premire importance sont survenues et

soulignent une nouvelle fois notre forte dpendance linformatique :

par exemple le cas dune compagnie arienne dont les passagers se

sont retrouvs bloqus en raison dune panne de systme, ou encore le

cas de ces innocents arrts en raison derreurs systme, ou mme les

problmes rencontrs lors des lections aux tats-Unis et au sein desmarchs boursiers. Le caractre volatile de ce risque a fortement aug-

ment : la connaissance des vulnrabilits se dveloppe extrmement

vite et il existe un vritable march o acheter et vendre des vulnrabili-

ts zero day (des vulnrabilits dont personne nest encore conscient

lorsquelles sont exploites). En consquence, le laps de temps qui

scoule entre cela ne pourra jamais arriver et le risque est srieux

et rel est aujourdhui plus rduit que jamais.


La rponse un incident dtermine en grande partie les dommages

subis par vos clients, votre propre rputation et la poursuite de votre

activit. Une prparation efficace peut acclrer la rponse voire limiter

les risques pour lactivit avant leur ralisation. Les risques pour len-

treprise doivent tre contrs par une attnuation gnrale au niveau delentreprise.

http://www.aiim.org/~/media/Files/AIIMWhitePapers/Systems-of-Engagement-Future-of-Enterprise-IT.ashx

http://mybroadband.co.za/news/software/-high-profile-software-failures-of-.html http://www.net-security.org/secworld.php?id=
http://www.aiim.org/~/media/Files/AIIM%20White%20Papers/Systems-of-Engagement-%ADFuture-of-Enterprise-IT.ashxhttp://www.aiim.org/~/media/Files/AIIM%20White%20Papers/Systems-of-Engagement-%ADFuture-of-Enterprise-IT.ashxhttp://mybroadband.co.za/news/software/39959-high-profile-software-failures-of-2011.htmlhttp://www.net-security.org/secworld.php?id=14142http://www.net-security.org/secworld.php?id=14142http://mybroadband.co.za/news/software/39959-high-profile-software-failures-of-2011.htmlhttp://www.aiim.org/~/media/Files/AIIM%20White%20Papers/Systems-of-Engagement-%ADFuture-of-Enterprise-IT.ashx


38/83

:


Traditionnellement, le service informatique prpare et ragit princi-

palement aux incidents : reboucher les brches, arrter les systmes,

rcuprer les donnes perdues et ventuellement traquer un attaquant.

Ce nest qu ce stade-l que le reste de lorganisation se rveille et com-mence collaborer, pour autant que ce soit le cas. La gestion du risque

numrique au niveau de lentreprise modifie le niveau de prparation et

de rponse :

De mon point de vue, en cas dattaque, la meilleure

mthode consiste ne pas ragir immdiatement mais

commencer par rflchir.

dune banque

Pour crer une stratgie de scurit, lorganisation analyse les risquescommerciaux associs aux pannes et aux attaques. Elle planifie une

rduction de ces risques dans son contexte numrique (renforcement

des dfenses) mais galement et surtout dans le domaine organi-

sationnel (par exemple en modifiant les termes et conditions pour

limiter la responsabilit, en sensibilisant les clients aux ractions

adopter en cas de problme, en prparant la communication, entablissant un processus descalade, en salignant sur la position des

partenaires, etc.). Ces activits impliquent galement des efforts de

rduction des risques mtier provenant de fuites ou dattaques

internes en laborant une segmentation des rles diffrente, et en

modifiant les procdures de contrle et autres dispositions limitant la

possibilit et limpact des violations ou du sabotage de donnes.

Le plan de rponse aux incidents doit prvoir les dlais et modes de

communication aux clients, partenaires et aux pouvoirs publics desincidents de scurit. En fonction de la gravit de lincident, plusieurs

types de messages peuvent tre dvelopps, mais, pour chaque inci-

dent, la communication interne et externe doit adopter un message

unique et cohrent. Lobjectif principal est la protection des intrts

des clients et la rduction de leurs incertitudes. La communication


39/83

Lorsque lentreprise est en danger, ne confiez pas la scurit au service informatique

doit tre rapide et efficace et les parties concernes telles que les

forces de lordre, les agences rglementaires et les partenaires doivent

aussi tre informes sil y a lieu.

Une quipe de rponse pluridisciplinaire doit tre mise en place : ser-vice informatique en collaboration avec la communication, le service

juridique, les dcisionnaires principaux et les autres experts commer-ciaux concerns. Cette pratique est recommande depuis un certain

temps mais elle nest pas applique assez souvent.

Tester et rviser les processus de rponse durgence avec toutelquipe, afin que les intervenants se familiarisent avec leurs collgues

et avec les procdures. Comme la indiqu un consultant en scurit :

Sil y a une attaque, savent-ils comment ragir ou autrement qui

contacter ? La gestion des incidents devrait tre simple et claire. Sil

leur faut un manuel, cela ne marchera pas.

Les rponses aux urgences de cyberscurit doivent tre

bien prpares, fonctionner correctement et avoir t bien

pratiques.


De nos jours, dans les organisations, le rle de est de plus en plus

souvent confi une personne disposant dune exprience business ,afin de garantir que le service informatique est effectivement gr dans

le cadre de lactivit, et non comme une entit semi-indpendante. De

mme, le ou le doit disposer dune connaissance solide des

mtiers et uvrer pour aborder les questions sur la scurit au bon

niveau. Il convient dinclure les risques sur la scurit des informations

dans les considrations de gestion des risques de lentreprise et, chose

essentielle, daider limiter le risque business li une dfaillance

de la technologie. Le dfi consiste ici y consacrer du temps, sans bienvidemment abandonner pour autant la dimension oprationnelle de ce

poste.


40/83

5La scurit dbute ds

la conceptionConfidentialit, qualit et scuritdoivent tre prises en compte dsle dpart

Si seulement il tait possible de reconstruire tout depuis le dbut, toutserait plus facile : nous pourrions appliquer simplement lensemble des

meilleures pratiques que nous connaissons et les donnes et systmes

resteraient scuriss. Ah, si seulement La notion de scurit par

conception parat simple et hautement souhaitable : elle consiste

laborer le systme depuis le dbut en se fondant sur des principes srs

suffisamment rsistants pour faire face toutes les menaces prsentes

et futures. Pour tout nouveau dveloppement, cest effectivement aussi

simple que cela : la scurit par conception consiste dfinir lascurit dans un systme depuis son origine. Pour les logiciels existants,

loccasion est passe, mais elle peut tout de mme tre intgre en sas-

surant que toute nouvelle modification accrot la scurit du systme de

toutes les faons possibles. Lorsque vous prvoyez une nouvelle mise

jour pour ce systme ancien, vous appliquer un nouveau modle

de scurit.


Le dveloppement de logiciels sest fortement professionnalis au

cours des dix dernires annes, avec une plus grande attention por-

te la modlisation, aux mthodes agiles, la gnration de code et


41/83

La scurit dbute ds la conception

une meilleure utilisation des cadres de rfrence, de composants et

solutions.

Ainsi, le processus de dveloppement de code est devenu davantage

prvisible et matrisable, et les modles et composants de scurit sont

galement largement disponibles. Avec lintroduction du cloud, linfor-matique connat une profonde transformation : les systmes dvelopps

en interne sont remplacs par des systmes du march et de nouvelles

solutions sont cres spcifiquement pour ce nouvel environnement. Il

sagit dune excellente occasion de bien faire les choses !

La scurit doit tre au cur des systmes, avec

linformatique de confiance. Il existe un fort besoin de

btir des applications sres au sein dune infrastruc-ture qui ne lest pas. Nous ne pourrons jamais scuriser

toute la chane. La scurit doit constituer le premier

thme abord dans la planification des projets, avant

de rflchir au reste. Cependant, la dmarche inverse

est plus souvent applique.

dun institut de recherche


La scurit par conception est lune des approches les plus puissantes

disponibles pour que tout soit plus sr. Ne pas lutiliser signifie renon-

cer une belle opportunit. Les fournisseurs de produits sont parfai-

tement conscients des risques de scurit ; cest pourquoi le dvelop-

pement personnalis reprsente lun des points les plus importants oles vulnrabilits sont intgres votre infrastructure technologique.

Intgrer la scurit dans chaque couche et diffrents niveaux (dfense

en profondeur) constitue le seul moyen de rsister aux attaques et de

mieux y faire face lavenir, par exemple en se prparant de nouveaux


42/83

:

canaux, de nouvelles connexions, de nouvelles intgrations, la scurit

se trouvant intimement intgre au cur mme du systme central.


Concernant les tests logiciels et le dbat sur la confidentialit, nous

avons constat que plus tt certaines exigences sont prises en compte

dans le processus, plus la mise en uvre savre simple et rentable. Il en

est de mme pour la scurit :

Intgrer la scurit la discussion sur lArchitecture dEntreprise,avec des exigences fermes sur les donnes, le contrle de lauthentifi-

cation et considrer non fiables les autres composants ou couchesde votre architecture par dfaut. Mettre en place un processus dho-

mologation pour lArchitecture dEntreprise en aidant les quipes

projet prendre les bonnes dcisions.

Crer des anti-modles : des cas dutilisation nfaste dcrivant gale-ment les comportements indsirables, de sorte clarifier ce quil faut

mettre en place et contrler au cours de llaboration. Par exemple,

lorsquun cas dutilisation autoris indique un utilisateur authen-

tifi peut accder ces cinq dernires transactions , vous pouvezlutiliser pour prendre lhypothse indsirable suivante Un utilisa-

teur non-authentifi peut accder aux cinq dernires transactions du

systme ou Un utilisateur authentifi accde aux cinq dernires

transactions de Cela permet de clarifier ce que

le code sous-jacent devrait autoriser et interdire, jusquau niveau des

donnes. Cela permet dtablir trs tt dans le processus de concep-

tion o mettre en place les restrictions.

Consacrer suffisamment de temps et de budget pour traiter toutesles exigences non fonctionnelles de vos projets ds le dbut : scurit,confidentialit, qualit, ergonomie, possibilit de gestion, etc.

Le monde daujourdhui est proccupant. Le pri-

mtre du rseau a disparu. Nous disposions dune


43/83

La scurit dbute ds la conception

forteresse qui sest progressivement vapore avec

lexpansion du rseau. Comment scuriser les donnes

dans ce contexte changeant ?

dun tablissement denseignement

Comment procder ?

La scurit par conception dbute lorsquune quipe de dveloppe-

ment reconnat quil existe des possibilits dvnements nfastes sur

des logiciels apparemment corrects. De ce constat dcoule la ncessit

dune conception associant exigences fonctionnelles, exigences non

fonctionnelles et exigences dassurance (ou de prvention des risques). partir de ces trois exigences, une dans chaque catgorie, il est essen-

tiel dtablir quelle priorit les parties prenantes et les utilisateurs finaux

donneraient ces exigences. Par le pass, cette priorit pouvait tre

la suivante : caractristiques fonctionnelles (orientes productivit),

caractristiques non fonctionnelles (orientes apparence et ressenti) et

assurance (particulirement si elle affecte la productivit ou lapparence

et le ressenti). De nos jours, il apparat que la priorit est diffrente, et

que lassurance prend souvent le pas sur les exigences fonctionnelles ounon fonctionnelles, et ce pour de bonnes ou de mauvaises raisons.

La scurit par conception fonctionne sur deux voies parallles. La

premire est celle de la technique, o les exigences de prvention des

risques/dassurance sont documentes. La seconde concerne la gestion

de projet ou les processus, o les dcisions relatives la rsolution de

ces exigences sont suivies jusqu tre satisfaites.

La scurit est intgre au dmarrage des projets, ce

qui ntait pas le cas il y a ans.




44/83

:

Quels sont les dfis relever ?

Lun des principaux dfis de la scurit par conception consiste

pouvoir orchestrer et contrler les projets. Tous les projets de dvelop-

pement logiciels font face des dfis en termes de budget, de dlais,

de ressources, de complexit ainsi que dvolution des exigences etpriorits.

Sil est notoire que labsence dune approche de scurit par conception

peut avoir un impact grave sur les dlais, les ressources et la complexit

dun projet, on a galement souvent limpression quune approche de

scurit par conception rigoureuse constituerait un fardeau gal ou

suprieur pour un projet.

La voie suivre

Si elle est mise en place de faon correcte, la scurit par conception ne

constitue pas un fardeau et elle ne devrait pas tre juge optionnelle. Sa

mthode dexcution doit tre dterministe et conforme aux tolrances

de la mthode de gestion de projet. La scurit par conception repr-

sente ainsi davantage quune srie dtapes ; elle constitue plutt unemthode disposant de mcanismes dentre, de sortie et de contrle. Il

sagit dun concept simple dont les consquences et les rsultats sont

tendus.


45/83

6La cl de la scurit :

mettre en placedes technologiespersuasives

Linteraction par dfaut entre

lutilisateur et la technologiedevrait amliorer la scurit

Slectionnez un mot de passe compos dau moins caractres conte-

nant des majuscules, des caractres spciaux et ne contenant pas de

noms ou de mots communs. Et surtout : ne le notez nulle part. videm-

ment, lorsquon parle de scurit, nous aimerions que tout le monde

suivent nos consignes. Ne configurez pas votre navigateur pour quilsauvegarde vos mots de passe, nutilisez pas doutils conus par des tiers,

ne partagez pas de documents, etc. Mais ne soyez pas surpris lorsque

des utilisateurs ignorent vos consignes et font ce quils veulent, ou

encore quils essaient de contourner vos rgles. Pour que les utilisateurs

se comportent dune faon permettant damliorer la scurit de lentre-

prise, une seule solution : leur simplifier la vie, et ne pas la leur rendre

plus complique.

Il sagit dun des signes cls de notre poque, qui va lencontre de lide

reue selon laquelle il faut appliquer des politiques en ne tenant quasi-

ment pas compte de leur impact sur le travail des utilisateurs. Ceux-ci

ont davantage confiance lorsquils interagissent avec la technologie et

valorisent leur capacit tre autonomes vis--vis de cette dernire.


46/83

:

Fort heureusement, cette interaction plus troite entre utilisateur et

technologie prsente galement des opportunits. Nous pouvons rendre

cette technologie persuasive. Nous pouvons y intgrer des mcanismes

et des dclencheurs qui suscitent chez lutilisateur un comportement

idoine. Bien faire les choses peut ainsi devenir naturel, logique, voire

amusant.

La psychologie de la scurit a encore du chemin faire.



Les utilisateurs ont la possibilit de contourner la rgle. moins quevous nayez bloqu tous les accs aux rseaux mobiles, Internet et aux

appareils et supports de donnes amovibles, ils trouveront le moyen

de travailler comme bon leur semble. Au lieu de perturber le travail du

salari, les pratiques de scurit devraient viser lassister dans la rali-

sation de ses tches.

La cyberscurit concerne les systmes, processus de

communication et particulirement les personnes. Siles utilisateurs nen sont pas convaincus, tout seffondre.

Aucune politique de scurit ne peut russir. Notre rle

de consiste galement tre lambassadeur des

bonnes pratiques au sein de lentreprise.



On peut dire que lutilisateur est le point faible de tout systme, mais il

peut galement tre considr comme une trs grande force utile : si les

circonstances sont runies, il peut transformer une action prsentant


47/83

La cl de la scurit : mettre en place des technologies persuasives

une inscurit inhrente (communiquer en ligne avec des tiers incon-

nus) en une action plus sre (en vrifiant leur identit par plusieurs

moyens, en traitant les pices jointes avec prudence ou en orientant la

collaboration vers une plateforme extrieure, etc.). La prvention des

fuites accidentelles (perte dune cl contenant des donnes clients)

constitue le premier avantage vident, mais il est possible daller bienplus loin. Lutilisateur peut tre intgr votre systme de dtection

afin de signaler tout vnement sortant de lordinaire, par exemple en

informant le service dassistance si un courriel suspicieux passe entre

les mailles du filet de vos filtres de courrier lectronique ou lorsque le

comportement didentification change brusquement. De cette faon,

les utilisateurs peuvent contribuer contrer des attaques dingnierie

sociale et dhameonnage cibles.


Lapproche la plus classique ce jour consiste imposer des restric-

tions lutilisateur. La plupart des entreprises utilisent des mthodes

comme une formation annuelle obligatoire, des directives restrictives

et des consquences graves (sanction) en cas de non application. Elles

envoient des courriels trs fermes insistant sur limportance de la scu-rit et de la confidentialit. Vous pouvez employer ces mthodes, mais

les avances les plus importantes peuvent tre ralises dans dautres

domaines :

Nous attendons trop de nos salaris. Cest lentre-

prise de protger et de contrler ou pas leur environ-

nement. Il faut trouver un quilibre et non se retrouver

dans une situation insupportable pour lutilisateur,avec des solutions penses par des experts qui ne

connaissent pas lactivit de lentreprise.

dune socit de services financiers


48/83

:

Repenser les processus organisationnels en gardant la scurit lesprit. Par exemple, est-il possible danonymiser les donnes dans

certains processus ? Peut-on automatiser ou mieux soutenir les pro-

cessus qui sont prsent excuts par courriel ?

Donner aux utilisateurs des petites rcompenses et des dclen-cheurs pour avoir bien fait les choses. Il ne sagit pas ncessai-rement de cadeaux ou de gratifications financires, mais dune

rcompense dun autre type : par exemple, donner lutilisateur un

meilleur aperu de sa productivit ou de ses comptences, fournir

des retours sur les rseaux sociaux, donner la satisfaction lutilisa-

teur de constater quil a ralis quelque chose (par exemple une

barre dtat affichant lorsque toutes les actions ont t effec-

tues, etc.). De nombreux outils permettent de rendre linteraction

homme-machine plus attrayante en proposant de petits dclencheursau sein de linterface.

Fournir les outils techniques pour faciliter la tche : lorsque des utili-sateurs utilisent Dropbox, Gmail ou un autre outil en violation de vos

politiques de scurit, ne vous contentez pas dinterdire ces outils,

mais proposez de meilleurs outils placs sous votre contrle. Vos

propres outils peuvent tre associs votre base de donnes utilisa-

teur, pour une collaboration plus simple. Ils peuvent tre associs la

recherche au sein de lentreprise pour la faciliter, et peuvent gale-ment tre relis dautres systmes, afin de permettre un utilisa-

teur de passer plus facilement dun outil un autre (par exemple un

systme de gestion dexception utilisant le rseau social dentreprise).

Lorsque vous demandez aux utilisateurs de suivre des procdures

de scurit compliques, rflchissez aux solutions techniques qui

faciliteraient leur utilisation : un jeton dauthentification peut-il tre

plus convivial que des politiques de mots de passe perptuellement

modifies ? Un lecteur dempreintes digitales peut-il rpondre nosbesoins de scurit et faciliter les signatures dautorisation pour les

utilisateurs ? Lvolution vers une solution o vous permettrait-elle

de prvoir des alarmes lorsque les appels proviennent de numros

suspects ? Lauthentification unique peut-elle encourager ladoption

de services internes et limiter lutilisation doutils externes ?


49/83

La cl de la scurit : mettre en place des technologies persuasives

Rendre plus difficiles les actions non scurises : linverse est ga-lement vrai. Si vous dcouvrez des pratiques non scurises, vous

pouvez modifier les paramtres pour les rendre plus difficiles

raliser pour lutilisateur. Par exemple, si les utilisateurs stockent

trop de donnes sensibles sur leurs appareils, vous pouvez limiter la

taille du disque. Si les utilisateurs envoient par courriel un trop grandnombre de documents stratgiques, vous pouvez limiter la taille des

pices jointes. Il sagit dune pratique dlicate, car vous ne voulez

pas pousser vos utilisateurs adopter des pratiques encore moins

scurises, et vous devez donc idalement complexifier les pratiques

non scurises tout en facilitant les pratiques scurises, pour aider

lutilisateur aborder le changement : par exemple en proposant un

bureau virtuel sans limite despace, de nombreux outils supplmen-

taires et plus doptions pour personnaliser les paramtres selon vosprfrences personnelles.

Ramener le cryptage au niveau de lutilisateur moyen.


De nos jours, la technologie peut nous sduire, nous distraire et nous

pousser au dialogue de faon trs sociale. Nous avons appris concevoir

les applications et sites Internet (les systmes dengagement actuels)penss pour simplifier les interactions et les rendre plus agrables. Si

nous souhaitons que nos utilisateurs se souviennent quils doivent agir

correctement, il nous faut utiliser ces mmes comptences pour faire

de leur pratique scurise une chose simple voire amusante. Si vous

entendez un utilisateur se plaindre dune politique trop lourde, prtez

une oreille attentive : il sagit dune opportunit damlioration.


50/83

7La peur : une mthode

qui smousse trsrapidementLes organisations doivent trouvercomment recadrer les discussionssur la scurit

La peur est une source de motivation trs forte : il est essentiel de savoir

comment notre cerveau fonctionne. Dautres stimuli, mme lorsquils

sont forts, tels quune bonne rcompense, sont moins efficaces que la

peur. Cest la raison pour laquelle, lorsquils font en sorte que les utili-

sateurs agissent dune certaine faon en vue damliorer la scurit (par

exemple en utilisant des mots de passe solides, en ne partageant pas de

documents ou en nouvrant pas de liens inconnus, etc.), les experts dela scurit utilisent naturellement la peur comme moteur : peur de lat-

taquant, peur de la perte de donnes ou peur de consquences person-

nelles. On trouve toujours de bons exemples pour illustrer lhorreur lie

au non-respect des consignes.

Cette approche prsente un problme majeur : la peur est un outil qui

smousse trs rapidement. On ne peut raconter une histoire quune

seule fois, et si un utilisateur rgulier ne fait pas face une menacerelle une fois de temps en temps, il commence oublier ou mettre

volontairement de ct votre histoire. Si vous procdez chaque anne

une formation de scurit obligatoire, ds la troisime anne, le seul

impact de la peur sera limit, si lutilisateur na pas t tmoin dattaques

rsultant de ses actions ou de sa ngligence. Le cerveau humain est


51/83

La peur : une mthode qui smousse trs rapidement

conu pour obir la peur, mais galement aux sensations, aux chan-

gements et de nouveaux stimuli. Une menace constante devient une

norme et perd de son urgence.

De la peur la valeurCertaines entreprises ont intgr la scurit au cur des valeurs quelles

apportent leurs clients. Ici, la scurit nest pas un mal ncessaire, elle

fait partie intgrante de leur offre de valeur : elle est enracine dans le

message destination des clients, tisse dans les interactions avec les

clients et reprsentent donc une partie intgrante de la culture quoti-

dienne. Ici, la scurit ne dsigne pas uniquement une mesure de

prvention des attaques, mais galement une composante qui participe la russite de lentreprise. Que faudrait-il votre entreprise pour deve-

nir la plus fiable du secteur ?

Je suis impressionn de limpact que jai au niveau

des managers ou des orientations Mtier : on

mcoute, on suit mon avis. Il sagit dune excellente

responsabilit.

dune banque

La valeur de la scurit est bien videmment relle. Il sagit tout dabord

de la valeur vidente quapporte le fait dtre moins confront des

risques . Mais ce nest pas tout : dans une socit o les utilisateurs

interagissent avec de nombreuses entreprises, la confiance a t

rebaptise lamour en langage des affaires . Lorsque les marchs se

banalisent trs rapidement, comme cest le cas actuellement, votre rpu-

tation, votre marque et votre exprience font la diffrence et la scuritconstitue ici lune des valeurs cruciales.

La cyberscurit cote cher mettre en uvre. Bon

nombre dentreprises font limpasse sur la scurit

parce quelle cote trop cher. Jestime que nous devrions


52/83

:

aborder cette question dun point de vue conomique :

Nest-il pas possible de transfrer une partie du finan-

cement un assureur ?

Consultant en scurit

Une seule pense pour de nombreusesactions

Lastuce pour intgrer la scurit dans lensemble de lorganisation

consiste minimiser les rfrences la scurit au quotidien. Cela peut

sembler contradictoire la cration dune culture de la scurit, mais il

nen est rien. Il convient de crer des pratiques qui facilitent et rendentles tches professionnelles plus efficaces et qui soient fondamentale-

ment plus sres. Il convient galement de prendre le temps de repenser

les activits quotidiennes afin de trouver des alternatives plus efficaces,

plus simples plus sres. Par exemple : lorsque les utilisateurs tra-

vaillent sur de nombreux fichiers, pourquoi ne pas travailler en colla-

boration en ligne, sans jamais les tlcharger sur un appareil portable ?

Lorsque les analystes travaillent sur de larges ensembles de donnes, le

systme doit tre labor pour leur permettre de faire tourner len-semble de leurs formules et de leurs programmes sur un serveur trs

rapide plutt que de charger de nombreuses donnes sur leurs ordina-

teurs portables. Lorsque les membres du service clients doivent accder

aux donnes clients, il suffit dafficher uniquement les donnes relatives

ce client spcifique sur la base des informations que le client a ren-

seign par tlphone (afin quils disposent immdiatement des bonnes

informations mais galement quils ne puissent pas consulter ou divul-

guer dinformations relatives des tiers). Lorsque vos salaris doiventaccder de nombreux systmes diffrents, il suffit de leur fournir un

mcanisme dauthentification unique ( deux facteurs) qui fonctionne

sur tous les systmes, afin quils naient pas mmoriser (ou noter)

plusieurs mots de passe. Lorsque vous devez tlcharger temporaire-

ment des fichiers sur votre appareil, assurez-vous que les donnes sont


53/83

La peur : une mthode qui smousse trs rapidement

automatiquement supprimes aprs un certain temps. Vous pouvez

ainsi garantir que les utilisateurs travaillent avec les donnes les plus

rcentes, tout en rduisant le risque de vol. Il existe un trs grand

nombre de pratiques imaginer pour vous simplifier la vie amliorer

la scurit dans son ensemble.

Il nest pas facile de passer de la peur la valeur, et vous utiliserez

certainement une association des deux : mettez en vidence la valeur

mais utilisez ponctuellement la peur pour maintenir lattention. Cela

consiste terme concevoir la scurit dans ce que nous faisons, dans

notre technologie mais galement dans nos pratiques de tous les jours.

Cela part du sommet et stend dans toute lentreprise, linstar de toute

culture organisationnelle.


54/83

8Soyez votre pire ennemi

Pour dceler vos points faibles, laseule solution est de faire preuvedune grande dtermination

La dtermination et la communication figurent souvent parmi les

principales diffrences qui distinguent un attaquant dun dfenseur.

Lorsquune attaque devient un projet de groupe, le caractre comp-titif du jeu ne plaide pas en votre faveur. Pour rquilibrer ce jeu, la

seule solution serait dinspirer le mme niveau de dtermination, de

communication et de crativit au sein de votre organisation, avec ou

sans lassistance de tiers, tels quune quipe professionnelle de hackers

thiques (les white hats ).

Le crime sadapte et suit le rythme ; de nouvelles tech-

nologies mergent, mais le crime volue paralllement.Les voleurs ont toujours une longueur davance. Ils ont

davantage dimagination que les personnes en charge

de protger les informations. Nous faisons face des

situations que nous navions pas imagines.

Consultant en scurit


Avec la hausse du nombre dattaquants motivs par des raisons

Documents

Sogeti Cybersecurity Fr