Professional Documents
Culture Documents
octobre 2016
livre blanc
Cyberscurit et
e-commerce
MAITRISER LES RISQUES,
SENSIBILISER SUR LES ENJEUX
Avec le soutien de
PRFACE
loisirs ).
Mais nous voyons paralllement se dvelopper de nouveaux paradigmes
de criminalits qui eux aussi investissent ces nouveaux espaces. Les acteurs du e-commerce qui ont la
responsabilit des donnes personnelles qui leur sont confies par leurs clients, sont naturellement
particulirement attentifs ce phnomne. Car lenjeu est pour eux vital. Il y va de la confiance des consommateurs et donc de leur avenir. Car sans confiance, le-commerce ne peut prosprer.
Pour se protger de ces menaces, de nombreuses solutions techniques voient le jour en rponse
limagination et la crativit de la cyber-dlinquance. Ces solutions sont souvent utiles mais certainement
pas suffisantes pour prmunir les entreprises contre les risques quelles encourent. La scurit informatique est aussi une question de mobilisation interne des entreprises. Ce sujet ne peut plus tre confi au
seul responsable des systmes dinformation. Il doit tre partag par tous, au sein des entreprises !
Car si en matire de scurit le risque zro nexiste pas, il peut tre matris par cette prise de conscience
indispensable et la mise en place de moyens techniques et humains appropris.
Mais la rponse se doit aussi dtre collective. Le succs, le dveloppement et la prennit de lconomie
numrique, et notamment du e-commerce, en dpendent car ils reposent sur la confiance. Or lcho
mdiatique donn quelques affaires rcentes, souvent entretenu par les vendeurs de services ou de
solutions, brouille la vision densemble et le cap tenir. Et la faillite dun acteur, en cornant la confiance
du public peut parfois suffire affecter lactivit de tout un secteur.
Cest la raison pour laquelle la Fevad, organisation reprsentative des acteurs du e-commerce, sest empare de longue date du sujet, notamment travers les travaux mens par sa Commission Paiements et
Scurit qui permettent aux professionnels dchanger, de partager et au final de progresser ensemble.
Cette nouvelle tude sinscrit dans cette dmarche de dialogue et de progrs. Elle vise sensibiliser les
dirigeants dentreprises, montrer ce que ralisent un certain nombre dentre eux qui tmoignent ici,
et proposer une dmarche, des outils, des rfrences pour lensemble des acteurs du secteur.
PRFACE
Ce Livre Blanc ne sadresse pas des spcialistes IT mais plus prioritairement aux chefs dentreprises et
aux responsables mtiers qui souhaitent matriser ces risques et protger leur activit dans la dure.
Il est fond sur des interviews ralises chez des e-commerants, auprs de praticiens qui vivent au
quotidien ce quest la cyberscurit dans un site de e-commerce. Nous les remercions pour la sincrit de
leurs tmoignages et de leffort de vulgarisation quils ont d faire vraisemblablement pour nous expliquer
en quoi consistait leur mtier. Il est enrichi de contributions de spcialistes (prestataires, institutionnels,
juristes) offrant chacun dans leur domaine des points de vue et des cls de comprhension complmentaires aux enjeux de la cyberscurit.
Ce Livre Blanc est donc un ouvrage collectif: il tmoigne de la capacit des adhrents de la FEVAD se
mobiliser autour dun enjeu majeur. Il nous renforce galement dans notre conviction que les solutions
au flau que constitue la cybercriminalit seront forcment collectives et ncessiteront la mobilisation de
comptences les plus nombreuses et varies.
Enfin, ce Livre Blanc, loin dtre un aboutissement, doit trouver des prolongements nombreux la Fevad
(ateliers, commissions) et dans les entreprises. Il doit alimenter le ncessaire dialogue entre techniciens
et mtiers, entre obligations rglementaires (ou techniques) et dveloppement de lactivit, entre entreprises et autorits en charge de la prvention et de la lutte contre la cybercriminalit
Cest ce quoi nous allons dsormais nous employer. Car plus que jamais, la cyberscurit est devenue
laffaire de tous!
Marc LOLIVIER
DLGU GNRAL DE LA FEVAD
SYNTHSE
SYNTHSE
Cest le tristement clbre Post it sur lequel sont inscrits les identifiants donnant laccs au Back Office
clients, qui reste affich sur lcran de lordinateur. Cest aussi la gestion peu rigoureuse des autorisations
daccs au systme: un mme identifiant pour lensemble de lquipe de dveloppement (parce que cest
plus pratique et que a fait gagner du temps) ou bien encore la non suppression des accs de ceux qui
quittent lentreprise. Or, de tels manquements peuvent avoir des consquences dramatiques avec lusage
de plus en plus rependu de solutions disponibles dans le cloud.
SYNTHSE
Il apparat clairement, dans les propos des praticiens de la cyberscurit que nous avons rencontrs, que
le vritable point de bascule entre une gestion ractive du risque cyber et sa vritable matrise est la
mise en place dune dmarche de cartographie des risques.
cet gard, on lira avec intrt les tmoignages de RSSI de voyages-sncf.com, accordhotels.com ou fnac.
com qui dcrivent comment cet exercice est pratiqu dans leur organisation respective.
SYNTHSE
CYBERSCURIT:
FAUT-IL EN PARLER AUX CLIENTS ET COMMENT?
Quel discours tenir aux clients vis vis de la cyberscurit? Il faut bien le reconnatre, la rponse est loin
dtre vidente.
On sent chez tous les interviews une grande rserve communiquer sur un sujet jug hautement
sensible. Les enjeux sont bien sr trs importants en termes dimage. Mais, les pratiques qui se
dveloppent outre atlantique pourraient faire voluer les choses.
EN MATIRE DE CYBERSCURIT,
LUNION FAIT LA FORCE!
Les RSSI en conviennent, il ny a pas, sur ces sujets, denjeux concurrentiels. Lensemble du secteur a
intrt serrer les rangs contre les cybermenaces.
Les Pouvoirs Publics jouent un rle actif dans cette lutte. Dans cet ouvrage, lANSSI donne des recommandations sur la mise en place dune dmarche dhomologation de scurit en 9tapes.
Des associations ou groupements existent et jouent eux-aussi un rle essentiel; nous en avons sollicit
certains (CESIN, CLUSIF) qui ont accept de nous donner leurs clairages. Dans un encart, le prsident
du CLUSIF rappelle que la cyberscurit ne concerne videmment pas que les grandes entreprises mais
galement les PME.
SYNTHSE
Bonne lecture,
10
LES CONTRIBUTEURS
AU LIVRE BLANC
Ce Livre Blanc est un travail minemment collectif qui a mobilis de trs nombreuses personnes aux
comptences trs varies; cela fait la richesse de ce document. Que toutes les personnes ayant contribu
ce document soient chaleureusement remercies ! Nhsitez pas les contacter, ce sont tous des
passionns de leurs sujets de prdilection!
COORDINATION DU PROJET:
Bertrand Pineau (FEVAD)
Dans le cadre de ce Livre Blanc, Bertrand avait la responsabilit du projet pour le compte
de la Fevad. Il a assur la communication du projet auprs des adhrents et collabor avec
Mathieu chaque tape de sa ralisation.
Il avait prcdemment assur ces mmes fonctions dans le cadre de la ralisation du Livre Blanc de
la Fevad sur La scurisation des moyens de paiements sur internet.
Bertrand est en charge la Fevad de linnovation, la veille et le dveloppement. Il coordonne galement les
commissions Paiement/Montique/ Fraude et Logistique de la Fevad.
Mathieu Sen (Praxton Consulting)
Dans le cadre de ce Livre Blanc, Mathieu a assur la direction du projet, la coordination
avec lensemble des contributeurs et le pilotage de leurs contributions pour couvrir
lobjectif attendu. Il a men les interviews avec les e-commerants et en a extrait la
substantifique moelle.
Pour la Fevad, Mathieu Sen avait dj coordonn llaboration dun prcdent Livre Blanc sur La scurisation des moyens de paiements sur internet.
Mathieu Sen dispose de plus de 20ans dexprience dans le conseil stratgique et oprationnel. Il est
spcialiste du cadrage et du lancement doffres de services radicalement innovantes.
En 2011, Mathieu Sen cre Praxton Consulting (www.praxton.fr) une structure de conseil ddie aux
Directeurs Gnraux ou Directeurs Oprationnels. leurs cts, Praxton Consulting pilote la
concrtisation dopportunits business (nouveaux services) en mobilisant lintelligence collective.
11
0158566080
https://www.nbs-system.com
AKAMAI
Leader mondial des services de rseau de diffusion de contenus (CDN), Akamai offre
ses clients des performances internet rapides, fiables et scurises. Les solutions avances
dAkamai en matire de performances Web, performances mobiles, scurit dans le cloud et
diffusion multimdia rvolutionnent la faon dont les entreprises optimisent les expriences
des internautes, des entreprises et du divertissement sur tous les terminaux, partout dans
le monde.
QUELQUES FAITS
Dploiement rseau :
Akamai dtient le rseau de diffusion de contenus (CDN) haute distribution le plus fiable,
avec plus de 220000 serveurs rpartis dans 127 pays et dploys sur 1580 rseaux.
Akamai offre des performances prouves :
Akamai dlivre chaque jour un volume de trafic Web atteignant plus de 30 trabits
par seconde;
Akamai achemine chaque jour plus de 2millemilliards dinteractions sur internet.
Akamai assure la diffusion de contenus pour plus de 30millions de sites :
les 60 plus grands sites internationaux de-commerce;
les 30 plus grandes socits du secteur mdias et du divertissement;
les 10 plus grandes banques;
six des 10 principaux constructeurs automobiles europens.
Contact : Adlane Belahouel
mbelahou@akamai.com
12
01 56 69 52 87
https://www.akamai.com/fr
Pascal Agosti (Caprioli & Associs), Jean-Christphe Baptiste (Sysdream), Anthony Baube (Sysdream), Lionel
Benao (Grand Thorton), Franck Boniface (vestiairecollective.com), Alain Bouill (CESIN), Thomas Brault
(Gras Savoie), ric Caprioli (Caprioli & Associs), Damien Cazenave (vente-privee.com), Caroline Chalindar-Gin (APCO worldwide), Ilne Choukri (Caprioli & Associs), Alexandre Cognard (vestiairecollective.
com), Emmanuel Cordente (voyages-sncf.com), CyrilleTesser (ANSII), Ely de Travieso (Bug Bounty Zone),
Philippe Humeau (NBS System), Korben (YesWeHack), Franois Lecomte-Vagniez (Lobary), Marc Le Guennec
(RAJA), Matthieu Le Louer (accorhotels.com), Laura Letteron Filitov (Grand Thorton), Emmanuel Mac
(Akamai), Florian Nivette (Sysdream), Corinne Nol (fnac.com), Lazaro Pejsachowicz (CLUSIF), Marie-Astrid
Pirson (Hiscox), Vincent Richir (APCO worldwide), Arnaud Treps (accorhotels.com).
13
14
SOMMAIRE
PARTIE 1
TMOIGNAGES: LA GESTION DU RISQUE CYBER
AU QUOTIDIEN VUE PAR LES E-MARCHANDS 19
1.
2.
3.
4.
15
SOMMAIRE
5.
6.
7.
PARTIE 2
TAT DES LIEUX CLS DE LECTURE 77
1.
2.1
3.
16
SOMMAIRE
PARTIE 3
COMMENT METTRE EN UVRE ET RENFORCER
UNE VRITABLE POLITIQUE DE CYBERSCURIT
POUR UN SITE DE E-COMMERCE 91
1.
2.
3.
4.
Partie 4
ANNEXES 143
1.
2.
17
18
PARTIE 1
TMOIGNAGES: LA GESTION
DU RISQUE CYBER AU QUOTIDIEN
VUE PAR LES E-MARCHANDS
VOYAGES-SNCF.COM
Voyages-sncf.com emploie plus de 1000 collaborateurs, rpartis sur plusieurs sites (Paris, Madrid,
Bruxelles). Le groupe a ralis un volume daffaires de 4,32milliards deuros en 2015.
Lquipe scurit compte aujourdhui sept personnes. Selon Emmanuel Cordente, la taille de cette quipe
sinscrit dans la norme. Au-del de lquipe lintgration du volet scurit dans les missions de chaque
collaborateur est fondamentale. Lquipe scurit est rattache au directeur gnral de lentit VSC
Technologies. En plus dtre la DSI de Voyages-sncf.com, cette entit est galement ditrice et fournisseur
de solutions pour le compte de clients externes au sein de la galaxie SNCF. VSC Technologies gre par
exemple le site sncf.com ou les applications mobiles. Elle prend en charge galement des infrastructures
Big data pour la SNCF.
19
Le primtre de lquipe de scurit stend tous les sujets traitant de la malveillance, lexception des
sujets relatifs la fraude au paiement. Ces sujets sont traits par une quipe ddie, en raison de leur
caractre trs spcifique.
Emmanuel Cordente est Responsable de Scurit des Systmes dInformation (RSSI).
Depuis 6ans chez Voyages-sncf.com et passionn par la technique, Emmanuel a eu loccasion dvoluer au travers des diffrents mtiers du logiciel (dveloppement, architecture,
gestion de projet) et des infrastructures systmes et tlcoms, avec un attrait important
pour les sujets scurit.
Il participe la formation des futurs talents, en enseignant les mthodes de dveloppement scuris
lcole des Mines de Nantes.
Emmanuel est le fondateur du Cercle des RSSI du Web, qui rassemble les RSSI des principaux sites
de-commerce franais.
FNAC.COM
Le Groupe FNAC est une entreprise de distribution de biens culturels, de loisirs et de produits techniques.
Leader en France et acteur majeur dans les pays o il est prsent (Espagne, Portugal, Brsil, Belgique,
Suisse, Maroc, Qatar, Cte dIvoire), le Groupe FNAC dispose fin juin 2016dun rseau multi-format de
205magasins (dont 125magasins en France), des sites marchands avec notamment fnac.com, positionn
3me site de e-commerce en termes daudience en France (prs de 10millions de visiteurs uniques/mois).
Acteur omni-canal de rfrence, le Groupe FNAC a ralis en 2015 un chiffre daffaires consolid
de 3,876milliards deuros et emploie 14100collaborateurs.
Corinne Nol occupe la fonction de RSSI de la Fnac.
ce titre, ses missions portent, entre autres, sur la dfinition et la communication de la
politique de scurit du SI, sur la gestion et sur lactualisation de la cartographie des risques
pour lensemble du groupe. Son primtre couvre la fois les magasins physiques et le
on line, en France et linternational.
Avec la gnralisation du digital, la cybercriminalit est une menace relle qui prend de nombreuses
formes travers les attaques informatiques (virus, attaque DDOS, tentative dusurpation didentit ).
Il revient Corinne Nol de sassurer que les moyens de protections mis en uvre sont adquats et efficaces.
VESTIAIRE COLLECTIVE
Vestiaire Collective a t lanc en octobre 2009avec lintention doffrir une plate-forme communautaire
sur laquelle les membres pourraient acheter et vendre, dans les meilleures conditions, des vtements et
accessoires de mode haut de gamme et luxe doccasion. Le catalogue est compos des pices les plus
inspirantes provenant de garde-robes de centaines de milliers dutilisatrices dans le monde. Prs de
100 000 nouvelles personnes sinscrivent chaque mois, et rejoignent une communaut internationale
de 4millions de membres. Ceux-ci sont lorigine de plus de 3millions dinteractions chaque mois. ce
jour, 180personnes sont employes par la start-up et rparties dans les bureaux de Paris, NYC, Londres,
Berlin et bientt Milan et Madrid.
Alexandre Cognard est lun des cofondateurs de Vestiaire Collective.
Il en est aujourdhui le CTO.
ce titre, il a la responsabilit de lensemble des quipes techniques qui administrent
et font voluer la plate-forme technique. La scurisation du systme informatique rentre
galement dans son primtre.
20
VENTE-PRIVEE.COM
Spcialiste depuis plus de 20ans du dstockage dans lunivers de la mode et de la maison, vente-privee.
com organise des ventes vnementielles de produits de grandes marques dans tous les domaines :
prt--porter, accessoires de mode, quipement de la maison, jouets, articles de sport, high-tech, gastronomie Une relation directe avec plus de 3 000 marques partenaires dans toute lEurope permet de
proposer des prix fortement dcots.
Damien CAZENAVE a t nomm CISO dans le groupe vente-privee.com en mai 2016.
Dbutant chez Cdiscount il y a 15ans, Damien CAZENAVE a dabord intgr lquipe Rseau
et Systme au sein de la DSI avant den prendre la responsabilit. En 2009, il est nomm
Directeur de la Scurit SI du groupe Cdiscount/Cnova. Damien se considre comme
un touche--tout de linformatique avec un got personnel prononc pour la scurit
informatique. Il est galement co-organisateur de la Sthack, un vnement annuel ddi la scurit
informatique avec des confrences sur des travaux de recherche en scurit.
RAJA.FR
Le groupe Raja, cr il y a 60ans, est une entreprise familiale. Le groupe Raja compte plus de 500000clients
en Europe qui il propose une large gamme de produits demballage (10 000 produits disponibles).
Lactivit principale de Raja est la distribution de cartons, demballage, de calage Le groupe ambitionne
dtre, pour toutes les entreprises clientes, le partenaire privilgi pour leurs achats de consommables et
dquipements demballage. Le groupe est implant aujourdhui dans 15pays europens au travers de
18socits. Il a ralis un chiffre daffaires de 475millions deuros en 2015. Il compte 1600collaborateurs.
Marc Le Guennec est le DSI du groupe RAJA.
La direction informatique compte 30personnes (production, tude, dveloppements, et
exploitation). Sur un certain nombre de domaines fonctionnels, les filiales du groupe Raja
disposent de leur propre SI indpendant du reste du groupe. Le site internet en revanche,
fait partie des briques mutualises. Il est administr techniquement par les quipes SI du
groupe et fonctionnellement par la Direction marketing Web. Le site cur est dclin en 16 versions
diffrentes pour chaque pays. Lquipe Web compte une quinzaine de personnes. Il existe une grande
proximit entre les quipes SI et Web.
SITEDEECOMMERCE.COM
Ce site de e-commerce, interview dans le cadre de ce Livre Blanc, a souhait que son tmoignage reste
anonyme. Il sera nomm SiteDeEcommerce.com dans la suite du document et la personne interviewe:
Charles.
21
SiteDeEcommerce.com existe depuis le dbut des annes 2000. La socit emploie environ
500personnes et a ralis un chiffre daffaires suprieur 250millions deuros. Le groupe est prsent
linternational.
Charles travaille depuis plusieurs annes chez SiteDeEcommerce.com. Il fait partie des
quipes mtier qui travaillent quotidiennement avec la DSI.
La capacit de SiteDeEcommerce.com innover ajoute lavantage concurrentiel quil tire
de la technologie sont, selon Charles, deux facteurs qui exposent plus particulirement
SiteDeEcommerce.com au risque de cyber-attaques.
Assez rcemment, SiteDeEcommerce.com a t victime dune attaque par dni de service. Fort heureusement, seuls certains serveurs ont t atteints. Pendant quelques heures, certaines commandes nont pas
pu tre prises, ce qui sest traduit par une perte de chiffre daffaires.
LES ENCADRS
POINTS DE VUE DU JURISTE
qui jalonnent ce Livre Blanc donnent un clairage juridique sur la
rglementation en vigueur concernant la cyberscurit. Ils ont t
rdigs par le cabinet Caprioli & Associs que nous remercions
chaleureusement.
22
23
24
25
Le dveloppement du ransomware
Le chantage au vol de donnes est une autre possibilit de chantage. Dans ce cas, le matre chanteur
exhibe quelques donnes sensibles quil a t en mesure de subtiliser et tente de faire chanter sa cible en
la menaant de divulguer lintgralit de la base de donnes.
Les attaques de type ransomware sont apparues assez rcemment chez raja.fr. Marc Le Guennec (raja.
fr) constate que gnralement ce type dattaques est difficile contrer car, dans le cas des ransomware,
le virus nest pas propag de lextrieur mais de lintrieur, au moyen dune simple cl USB par exemple.
Face ce type dintrusion, on est relativement dmunis dplore Marc Le Guennec. Interdire lintroduction de tout support externe sur le rseau interne de lentreprise nest plus possible de nos jours. Fort
heureusement, Marc Le Guennec constate que les consquences de ces attaques sont restes mineures
chez Raja. Il a t possible de restaurer les donnes grces aux sauvegardes rgulirement effectues.
26
Alain Bouill est le directeur de la scurit des systmes dInformation du Groupe Caisse des Dpts. Il est en charge de llaboration de la politique de scurit du Groupe, de la coordination et
du pilotage de sa mise en uvre dans les entits du Groupe et du
contrle de son efficacit.
Jusquen 2001, Alain Bouill tait RSSI du Groupe La Poste o il
exerait des fonctions similaires.
Alain BOUILL
PRSIDENT DU CESIN
LE CESIN
Le CESIN (Club des Experts de la Scurit de lInformation et du Numrique) est une association loi 1901, cre en juillet 2012, avec des objectifs de professionnalisation, de promotion
et de partage autour de la scurit de linformation et du numrique.
Le CESIN est un lieu dchanges de connaissances et dexpriences qui permet la coopration
entre experts de la scurit de linformation et du numrique et entre ces experts et les
pouvoirs publics.
Le Club conduit des ateliers et groupes de travail, mne des actions de sensibilisation et
de conseil, organise des congrs, colloques, ou confrences.
Il participe des dmarches nationales dont lobjet est la promotion de la scurit de linformation et du numrique. Il est force de proposition sur des textes rglementaires, guides
et autres rfrentiels.
Le CESIN runit plus de 250 membres issus de tous secteurs dactivit publics et privs :
des membres actifs, responsables de la scurit de linformation dans leur organisation,
des membres associs, reprsentants de diverses autorits en charge de Scurit de
lInformation au plan national, des juristes experts de la scurit IT.
27
rien, les hackers avaient russi se procurer les logins et les mots de passe dhteliers affilis ces platesformes de rservation, grce une premire vague de campagnes de phishing cibles.
Munis de logins et de mots de passe, les hackers pouvaient se logger aux plates-formes de rservation via
linterface ddie aux hteliers. Certes, cela ne leur permettait pas daccder aux donnes bancaires des
clients mais, ils disposaient par ce moyen dun accs complet lhistorique des clients. Pour les spcialistes, ce type dattaques est connu sous le nom de Spear Phishing, ou Phishing en deux coups, qui
dsigne en scurit informatique une variante de lhameonnage paule par des techniques dingnierie
sociale. On le voit; on est bien loin du mail envoy laveugle rempli de fautes dorthographe!
Ce type dattaques sest dvelopp il y a deux ans peu prs. Il pose bien entendu un problme majeur
aux plates-formes comme expedia.com et booking.com. Les enjeux sont mondiaux. La coopration entre
ces plates-formes et accorhotels.com est complte. Elle a notamment permis lmergence de solutions
comme lauthentification renforce des hteliers se connectant la plate-forme en ajoutant la vrification
des caractristiques des ordinateurs ou de la connexion internet par lesquels transite la connexion.
Les consquences dun vol didentifiant et de mot de passe peuvent tre particulirement dsastreuses
pour les clients des sites qui proposent lachat en un clic. Mais, les clients de sites qui ne proposeraient
pas cette fonctionnalit ne seront pas pour autant pargns. Ces clients peuvent tre cibls par des
campagnes de phishing qui exploitent opportunment les informations rvles par lhistorique des
commandes.
Le groupe dispose galement dun dispositif sur lequel il veut rester discret et qui lui permet de monitorer
finement les tentatives de connexion anormales.
Ce type de dispositif est complexe mettre en place et ncessite dtre constamment fine tunn. Inutile
de prciser que le blocage des connexions au-del dun nombre maximum de tentatives sur un compte
est ici totalement inadapt ce type dattaques. Les pirates testant une une les combinaisons identifiant-mot de passe figurant sur leur liste, passent au compte suivant en cas dchec.
Mme si elles restent infructueuses, ces tentatives en masse ont un impact certain sur la sollicitation des
systmes.
Damien Cazenave (vente-privee.com) confirme quil existe maintenant un certain nombre doutils plus ou
moins sophistiqus pour endiguer ce type dattaques. Mais, Damien Cazenave insiste sur limportance de
la scurit fonctionnelle. En cas de Brute Force, des tentatives en masse de connexion aux comptes
clients, rien de tel que les captcha pour stopper les tentatives automatises!
La protection des logins et des mots de passe:
le b.a.-ba de la protection des donnes clients!
On sait bien que les internautes ont la fcheuse tendance utiliser le mme mot de passe quel que soit
le site utilis. Les consquences de cette pratique peuvent tre dsastreuses quand lun de ces sites est
pirat, comme ce fut rcemment le cas pour les utilisateurs du rseau professionnel LinkedIn.
Pour Arnaud Treps (accorhotels.com), il a t intressant de constater que, dans la foule de lannonce
faite par LinkedIn sur le vol de mots de passe dont il avait t victime, certains acteurs importants du net
comme Facebook ont trs rapidement pris contact avec leurs propres utilisateurs. Ils ont attir leur
attention sur le risque quils encouraient utiliser un mot de passe qui avait pu tre pirat sur un autre
site que le leur.
Arnaud Treps prvient: pour lutter contre le spam certains clients trs pointilleux utilisent des adresses
e-mails spcifiques pour chaque site de e-commerce quils utilisent. En cas de spam, il leur est trs facile
didentifier partir de quel site leurs coordonnes ont t indment utilises ; les sites dficients sur
ce point sont prvenus!
Livreblanc - octobre 2016
29
Enfin, Arnaud Treps souligne que la dficience de protection des mots de passe sur certains sites de
e-commerce et les vols que cela peut provoquer constitue un point de vigilance particulier pour la CNIL.
30
Matthieu le Louer (accorhotels.com) souscrit ce point de vue. Pour Matthieu le Louer, des facteurs lis
lenvironnement socio-conomique peuvent indubitablement expliquer la recrudescence de la fraude:
On a constat que, dans certains pays subissant un ralentissement de leur activit conomique, la fraude
tait devenue une activit palliative pour des individus disposant dun bon niveau de formation mais
ne trouvant pas semployer.
Aux antipodes de ce hacking du tout-venant, il existe bel et bien un hacking dhyper spcialistes.
Pour Arnaud Treps (accorhotels.com) la mise en place dun systme de piratage efficace ncessite la mobilisation de comptences trs diverses. Arnaud Treps parle de comptences en chane. Ainsi, les comptences ncessaires pour pntrer un systme informatique ne sont pas les mmes que celles ncessaires au recel, sur un march parallle, des donnes voles. Existe-t-il des organisations qui rassemblent
lensemble de des comptences ncessaires ou a-t-on faire des organisations de taille rduite et
adoptant un mode de fonctionnement dcentralis? Arnaud Treps na pas davis dfinitif sur ce sujet.
31
/
pour les entreprises en application de larticle
226-17 du Code pnal] et/ou des sanctions
administratives (sanctions prononces par
la CNIL du type avertissement, injonction de
cesser le traitement ou sanction pcuniaire) qui
sont susceptibles dtre publies.
La CNIL a toujours t trs soucieuse du respect
de cette obligation et les nombreuses dcisions
de sanctions quelle a adoptes permettent de
mieux en apprhender les contours.
titre dillustration, la CNIL a considr que
le manquement la scurit des donnes
personnelles tait caractris par la faiblesse
des mots de passe (5chiffres au lieu de 16) et
par labsence de politique de scurit [Dlibration n 2013-139 du 30 mai 2013 / sanction pcuniaire de 10000euros confirme par
le Conseil dtat]. Elle a galement sanctionn
labsence de politique de gestion des mots de
passe (accs aux comptes clients et aux postes
des salaris) et leur vulnrabilit (robustesse
insuffisante) [Dlibration n 2015-379 du
5 novembre 2015 / sanction pcuniaire de
50 000 euros]. Enfin, la CNIL a prononc des
avertissements publics afin de sanctionner des
dfauts de scurit constats dans le cadre de
la sous-traitance, tels labsence daudit de scurit des sous-traitants, lutilisation de moyens
de communication non scuriss, linsuffisance
des mentions contractuelles [Dlibration
n2014-298du 7aot 2014/ avertissement].
Enfin, dernirement, dans le cadre dun rcent
avertissement public faisant suite un contrle
de la CNIL ralis en ligne [Dlibration de la
formation restreinte n 2016-108 du 21 avril
2016], La CNIL a rappel que lexistence dune
sous-traitance (hbergement et gestion du
site) nexonrait pas la socit responsable
de traitement de ses obligations lgales telles
32
33
34
Combien de temps le comit de direction de Vestiaire Collective consacre-t-il aux sujets lis la cyberscurit? La rponse de Frank Boniface et dAlexandre Cognard peut paratre abrupte mais elle a le mrite
dtre franche: 0!
En fait, cela na rien dtonnant. Dans une petite structure comme la ntre les sujets sont forcment
dispatchs entre nous, en fonction de nos primtres de responsabilit respectifs. Chez nous, la cyberscurit nest pas un sujet de comit de direction. Cest une srie dactions oprationnelles mettre
en uvre prcise Franck.
Lembauche dun RSII nest pas dactualit chez Vestiaire Collective. Dautres fonctions cls pour le
dveloppement de lentreprise doivent tre pourvues avant.
Mme pour les sites de plus grande taille, les arbitrages en faveur des projets de scurit, au dtriment de
projets business, restent compliqus. Avec une certaine malice, Corinne Nol (fnac.com) constate que les
investissements sur la scurit sont parfois plus facilement consentis quand ils ont un impact direct sur
le taux de disponibilit du site!
35
36
/
Livreblanc - octobre 2016
37
/
Schmatiquement, une entreprise se trouve face au choix suivant: soit elle choisit de grer
une flotte de tlphones dentreprises ce qui lui permet de matriser un peu mieux une
scurit souvent perfectible, soit elle nimpose pas de restriction au choix des collaborateurs,
et elle devra alors grer lextrme diversit des modles disponibles sur le march. Mais, dans
un cas comme dans lautre, le RSSI devra trs vraisemblablement tenir compte des failles de
scurit du systme dexploitation dANDROID en particulier, souvent considr comme
vulnrable par beaucoup de spcialistes. Ainsi, mme si une entreprise dispose de sa propre
flotte de terminaux, elle nest jamais assure 100% de linvulnrabilit des terminaux utiliss
par ses collaborateurs.
En ce qui concerne les sites de-commerce, la problmatique de la scurit des terminaux
mobiles est dautant plus critique quune entreprise de e-commerce na aucune matrise
du terminal qui se connecte son site.
Le dveloppement des objets connects aura un impact majeur
sur la scurit des systmes dinformation
Aprs louverture des systmes dinformation, et lextrme htrognit des devices
de connexion aux SI, le dveloppement des appareils connects apparat aux yeux dAlain
Bouill comme le troisime phnomne majeur prendre en considration pour envisager
lvolution de la cyberscurit.
La majorit des objets connects actuellement commercialiss se situent encore dans
la sphre des usages personnels locaux. Ils nont pas, ou trs peu dinteractions, avec des
systmes dinformation externes. Mais, dans un futur qui peut tre relativement proche selon
lui, les objets connects permettront le dveloppement de nouveaux services qui reposeront
sur lchange dinformations entre un client (lobjet connect) et un serveur (le systme
dinformation du fournisseur de services). Des services de ce type sont dores et dj proposs par certaines mutuelles. Or, pour Alain Bouill, ces objets nont pas t crs en tenant
compte des problmatiques de scurit. Il est ds lors craindre quils puissent servir un jour
de passerelle pour permettre des hackers datteindre les systmes dinformation avec
lesquels ces objets connects communiquent.
38
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
4. GENSE ET DVELOPPEMENT
DUNE POLITIQUE DE GESTION
DES RISQUES CYBER CHEZ LES INTERVIEWS
4.1 LA LIGNE MAGINOT ET LES TALONS DACHILLE
Certains interviews en conviennent; ils ne disposent pas encore dune gestion globale du risque cyber.
Or, comme le souligne Alexandre Cognard (vestiairecollective.com) en matire de cyberscurit, il est
impratif dadopter un regard 360 en vitant de se focaliser sur un point prcis au risque sinon
de laisser des failles bantes tout ct.
Alexandre Cognard (vestiairecollective.com) prend lexemple du protocole de scurit SSL sur lequel les
pouvoirs publics ont abondamment communiqu. Il constate que parvenir exploiter une faille de ce type
ncessite un niveau de comptence dj trs lev alors que le piratage dun compte client peut
tre beaucoup plus simple et aboutir au mme rsultat.
Charles reconnat un certain paradoxe dans la faon dont sont traits les sujets de scurit chez
SiteDeEcommerce.com. Si SiteDeEcommerce.com est extrmement paranoaque vis--vis des attaques
qui pourraient survenir de lextrieur de lentreprise, Charles constate que le niveau de vigilance est bien
moindre en ce qui concerne les risques qui pourraient venir de lintrieur. Certains interviews ont ainsi
limpression de se trouver protgs du Web par une ligne Maginot mais, ils sont en mme temps
conscients que des chevaux de Troie existent encore dans leur dispositif qui le rendent contournable.
Par exemple, Charles constate quen thorie laccs des tls-conseillers internet est restreint une liste
blanche de sites dment rpertoris. Mais, dans les faits, les contrles devraient tre plus nombreux pour
tre rellement efficaces. Il existe donc un risque quun poste de tl-conseiller puisse tre infect par un
virus. Le sujet est connu en interne. Mais, les mesures tardent tre prises, car la socit souhaite faire
confiance linterne et ne pas imposer de mesures coupant les collaborateurs du monde extrieur.
Autre exemple : la scurit des accs internes au rseau par les collaborateurs. Mme si la culture de
lentreprise est fonde sur la confiance et le partage (le recours lopen source est monnaie courante),
Charles le concde: laccs au rseau interne pourrait tre renforc.
39
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
Les informations personnelles dans les comptes clients tant des donnes sensibles, il a fallu sadapter
aux nouvelles rgles trs strictes de protection des donnes personnelles, et revoir notamment la
politique de cryptage des mots de passe et des informations contenues dans les comptes clients, comme
celles relatives au paiement.
En labsence de politique scurit encore clairement formalise, SiteDeEcommerce.com sorganise de
faon pragmatique. Les responsabilits en cas dincidents de cyberscurit tant assez peu dfinies, nous
sommes en train de mettre en place une gestion collgiale des problmes. Charles souligne la difficult
de mettre en place une coordination transverse sur ce type de sujet dans une entreprise en croissance.
On constate que les quipes apprennent de la rsolution des incidents prcdents.
Progressivement, une nouvelle organisation sera mise en place chez SiteDeEcommerce.com. Elle
comprend une premire quipe dont la responsabilit est la supervision du rseau. Une seconde dont
la mission est de sassurer que les nouveaux projets ninduisent pas de failles de scurit. Enfin, une
troisime quipe prendra en charge la scurisation des processus internes.
Arnaud Treps (accorhotels.com) voque galement le traumatisme interne que peut gnrer la dcouverte dune faille de scurit sur un site internet. Elle peut stopper net tout projet dinnovation chez un
e-commerant, en application du fameux principe de prcaution.
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
RAJA
Lexemple donn par raja.fr est intressant car il illustre le cas de figure du recours, par un e-commerant,
une solution progicielle pour grer le site internet. Le site a t dvelopp partir du progiciel
Intershop.
Chez raja.com, les dveloppements du site sont pris en charge par lintgrateur. Cet intgrateur suit les
prconisations produites par lditeur du progiciel (Intershop).
Marc Le Guennec (raja.fr) dclare: nous travaillons en troite confiance, depuis des annes, avec le mme
intgrateur. Aussi, nous sommes sereins sur sa capacit raliser les dveloppements spcifiques que
nous lui commandons dans lesprit du progiciel et ainsi de nous prmunir contre des risques dincompatibilit avec les nouvelles versions du progiciel.
Ces montes de version, si elles ne sont pas systmatiques, sont rgulires. Chaque mise en production
se fait selon les rgles de lart: une nouvelle version est systmatiquement teste sur plusieurs environnements, dclare Marc Le Guennec.
Si les rsultats daudits rcemment raliss ont rassur Raja sur la qualit des dveloppements, en
revanche, la vigilance reste de mise pour les dveloppements qui sont raliss en interne par lquipe
Web. Il est arriv que la DSI refuse la mise en ligne dun site temporaire dvelopp en PHP, qui manipulait
des donnes clients et qui prsentait de trop gros risques de failles de scurit. Marc Le Guennec reconnat: en la matire, nous navons pas de vritable politique de scurit. Nous agissons au coup par coup.
4.4 UNE MISE SOUS CONTRLE DU RISQUE CYBER PLUS OU MOINS LONGUE ET
LABORIEUSE QUI REPOSE SUR DES PRREQUIS
Pas de stratgie de contrle des risques cyber sans une DSI mature. Damien Cazenave (vente-privee.
com) insiste sur le niveau de maturit minimum quune DSI doit atteindre pour pouvoir mettre une
politique de scurit efficace.
Concrtement, la mise jour de serveurs Windows par exemple, est un travail la fois trs fastidieux et
trs compliqu. Ce que lon appelle le Patch management est une activit primordiale dans la gestion
de la scurit dune entreprise. Or, pour Damien Cazenave (vente-privee.com): dexprience, on saperoit
que si la DSI ne matrise pas suffisamment ses processus cls, il est quasiment impossible de mener bien
une politique de scurit.
Damien Cazenave dcrit ainsi le point qui permet une DSI de franchir le cap: le moment o la DSI nest
plus en mesure de grer manuellement loutil informatique. De la phase artisanale dans laquelle la
gestion de la croissance prime sur toute autre considration, elle doit passer la phase industrielle pour
fiabiliser ses processus et pour matriser ses cots.
Pour Damien Cazenave: une DSI mature, cest une DSI qui sait prendre du recul et se poser les bonnes
questions pour amliorer ses processus de fonctionnement sur le long terme.
Charles (SiteDeEcommerce.com) souligne limportance du profil du DSI pour mener bien la mise en place
dune culture de la scurit, tant au niveau des infrastructures que des procdures. Charles constate que
le profil des DSI a beaucoup chang au cours des dernires annes. Avant, les DSI taient souvent
danciens dveloppeurs. Ils taient souvent issus de grosses entreprises informatiques. Leurs comptences taient trs axes sur les gros systmes. Leur comprhension dinternet tait limite. Le phnomne open source leur tait assez tranger. Beaucoup dentre eux nappartenaient pas la gnration
internet.
41
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
Cest ainsi que larchitecture de SiteDeEcommerce.com avait t btie autour dun progiciel cur. Tous
les systmes priphriques en dpendaient. Et, videmment, si ce cur tait attaqu, cest lensemble
du systme qui tait en danger.
La transition vers un systme intgrant les fondements dinternet a t une rvolution ncessaire mais
complexe mener, selon Charles.
Larrive de nouveaux profils plus jeunes et levs dans la culture du Web a permis de repenser de faon
substantielle larchitecture du systme dinformation de SiteDeEcommerce.com. Ce travail a conduit
un cloisonnement de chaque partie sensible du SI. Maintenant, lattaque dune partie du systme
dinformation pourrait tre cloisonne beaucoup plus facilement. Les systmes se construisent prsent
dans la logique de la block-chain.
Compte tenu des enjeux, repenser aussi substantiellement larchitecture du systme dinformation nest
jamais un choix facile pour une direction gnrale. La tentation est en effet forte de vouloir contrler les
systmes et ne pas confier cette tche un prestataire ; ce qui soulve de nouveau des questions de
scurit des donnes.
Or, redessiner tout le systme informatique dune entreprise ncessite forcment la mobilisation de
ressources prcieuses la production. Pour Charles: il sagit dun arbitrage parfois extrmement difficile
oprer.
Chez SiteDeEcommerce.com, une analyse de risque a t mene au niveau global de lentreprise. Mais,
selon Charles, cette analyse est reste au niveau de la direction gnrale: le travail de redescente dans
les quipes reste mener. Lucide, Charles constate: date, on ne peut pas encore dire que la scurit
fasse partie des priorits quotidiennes des mtiers hors direction technique. La rapidit et la ractivit
priment sur la vrification de la mise en place des procdures de scurit. Ce qui est logique compte tenu
de nos objectifs de croissance.
Lorsque toute lorganisation est tendue vers sur la ralisation dobjectifs de croissance, il est relativement
difficile de se placer dans une dmarche danticipation des risques constate Charles. On le constate au
travers de linitiative prise par la direction financire de mettre en place un contrat de cyber-assurance.
42
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
Il ny a pas de difficult dcrire les scnarios dincidents qui sont dj arrivs. En revanche, se projeter
dans des scnarios de risques non encore avrs est beaucoup plus complexe.
43
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
sur la scurit. Cette dmarche a donc galement des vertus pdagogiques, et pas uniquement auprs
des mtiers dailleurs. Lanalyse de risque est aussi prsente la direction gnrale.
Enfin, pour Emmanuel Cordente (voyages-sncf.com), cette dmarche permet galement de focaliser
les efforts bon escient et viter de faire de la sur scurit l o cela nest pas ncessaire. En effet,
la scurit peut tre un puits sans fond. Il rsume ainsi: au lieu dune quipe de six personnes, on pourrait tre 50 ! Et on trouverait nous occuper pendant des annes. Mais, mme avec une quipe
plthorique, il serait impossible de rduire le risque nant.
Bref, une dmarche engage il y a cinq ans qui porte aujourdhui pleinement ses fruits.
Pour affiner la cartographie des risques, Corinne Nol (fnac.com) procde galement des interviews
internes. Elles lui permettent dvaluer prcisment limpact quaurait une indisponibilit de lIT sur les
mtiers. Dans le cadre de ces interviews, Corinne Nol (fnac.com) interroge galement des oprationnels de lIT. Elle a en effet constat un certain dcalage de perception des risques entre les niveaux
dcisionnels de lentreprise et les niveaux oprationnels. Pour Corinne Nol, ces interviews lui permettent
daffiner normment la cartographie des risques.
44
LA PRISE DE CONSCIENCE
DES ENJEUX DE
CYBERSCURIT NEST PAS
GNRATIONNELLE
Alain Bouill ne voit pas de perception radicalement diffrente sur la cyberscurit
entre les utilisateurs de la gnration Y (les
Digital Natives) et les autres utilisateurs; les
premiers seraient beaucoup plus vigilants
sur les aspects de cyberscurit tandis que
les deuximes adopteraient des comportements irresponsables par rapport aux
cyber-risques. Pour Alain Bouill, la prise de
conscience est transgnrationnelle.
Selon lui, le foss de gnration se situe davantage au niveau des ractions des utilisateurs appartenant des gnrations diffrentes face lergonomie de certaines
applications. Alain Bouill fait le constat que
les dveloppeurs qui appartiennent la
jeune gnration nont pas forcment les
mmes rflexes en matire dergonomie
que les utilisateurs plus gs. Cela peut
aboutir des manipulations non prvues,
qui elles-mmes peuvent tre lorigine de
dysfonctionnements voire de failles de scurit de lapplication.
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
45
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
/
Livreblanc - octobre 2016
PARTIE 1| 4. GENSE ET DVELOPPEMENT DUNE POLITIQUE DE GESTION DES RISQUES CYBER CHEZ LES INTERVIEWS
/
18% des entreprises de la zone euro de lchantillon indiquent que les cyber-attaques
ont eu un impact sur la perte de leurs revenus. 40% des entreprises nord-amricaines
reconnaissent une incidence sur leur chiffre daffaires.
Concernant la mise en place dune stratgie cyber, 52% des entreprises anglo-saxonnes
ont mis en place une stratgie contre 39% entreprises franaises.
Les facteurs cls de la mise en place de politiques de scurit sont galement spcifiques
en fonction des rgions:
- En zone euro, le premier facteur sont les exigences rglementaires (47 %), suivi en
second par la demande / les attentes des clients (35 %) et en troisime position
lutilisation de nouvelles technologies digitales et numriques (31%).
- Aux USA, le premier facteur est la demande / les attentes des clients (62%), les deux
autres facteurs cls sont quivalents (49%): lutilisation de nouvelles technologies digitales et numriques et la rduction des cots long terme.
En termes de gouvernance, le directeur des risques dispose dune responsabilit plus
forte aux USA. Selon Grant Thornton, la gestion du risque et de la conformit est une
discipline trs ancre aux USA de par les contraintes rglementaires entre autre cause.
Cette fonction est donc stratgique dans le cadre de la stratgie et du pilotage des risques
des entreprises aux USA, avec cette crainte de sanctions financires trs fortes en cas de
manquement leurs obligations.
- Aux USA, la cyberscurit est la charge 22% du DSI, 26% du directeur de risques
et dans 30% la charge dautres fonctions.
47
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
FNAC.COM
En tant que RSSI, Corinne Nol est rattache la direction gouvernance et stratgies au sein de la DSI et
son rle est plus fonctionnel quoprationnel. Aujourdhui au sein de la FNAC, la gestion de la scurit
se traite comme un incident de production. Cest le dpartement en charge de lexploitation qui traite
les incidents de scurit. Corinne Nol constate que les quipes FNAC en charge de la production et les
quipes en charge de la scurit agissent des niveaux diffrents.
Des interactions multiples entre le dpartement cyberscurit
et le reste de lentreprise
Quelle proximit et quelles interactions entre lquipe
scurit et la DSI?
Pour Damien Cazenave (vente-privee.com), il est indispensable que le dpartement scurit soit hberg
au cur de lIT, cest--dire dans le racteur mme de tout site de e-commerce! Il est ncessaire que
lIT et le dpartement scurit puissent travailler en troite collaboration pour identifier ensemble
des solutions.
La scurit doit pouvoir intgrer les contraintes du systme dinformation. Mme sil sait que cette
question peut faire dbat, Damien Cazenave (vente-privee.com) considre quun mme rattachement
hirarchique entre les deux entits peut faciliter grandement les choses, et particulirement dans le
e-commerce o 90 % des projets sont des projets dimension IT. Aujourdhui, chez vente-privee.com,
Damien Cazenave reporte la fois au directeur gnral et au DSI.
49
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
50
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
tion utiliss par VSC. Les rponses que fournissent les prestataires la quarantaine de questions que
contient le plan dassurance scurit sont un bon indicateur de la maturit des prestataires sur cette
question.
Un autre bnfice de ce document est de cadrer les audits que voyages-sncf.com sera en droit de mener
auprs de son futur prestataire.
Mais, comme le fait remarquer Charles (SiteDeEcommerce.com), le tout nest pas seulement de prvoir
toutes les clauses ncessaires dans les contrats, encore faut-il avoir la capacit de vrifier leur mise
en application. Charles reconnat : nous grons nos relations contractuelles avec nos prestataires de
faon paradoxale. Nous leur imposons des conditions contractuelles draconiennes concernant notamment lchange de nos donnes (cela se justifie pleinement compte tenu du volume de donnes que nous
pouvons changer avec certains dentre eux). Mais, force est de constater que cela reste bien souvent
thorique.
Peut-tre un jour effectuerons nous des tests dintrusion chez nos prestataires. Mais, pour linstant, on
en est encore au stade de les mettre en place chez nous Marc Le Guennec (raja.fr).
Le dpartement cyberscurit mis contribution dans la ngociation
des contrats de cyber-assurance
Depuis deux ou trois ans, Emmanuel Cordente (voyages-sncf.com) constate que les assureurs se sont
empars du sujet et quils investissent dans ce nouveau march. Lorsque voyages-sncf.com avait instruit
ce sujet pour la premire fois, les courtiers prsents sur le march pouvaient se compter sur les doigts
de la main. Aujourdhui, il y a plthore.
En toute logique, lquipe scurit est mise contribution sur les tudes des polices dassurance spcifiques aux cyber-risques. Elle doit rpondre la demande de lassureur de pouvoir mesurer concrtement
la matrise du risque cyber par lentreprise.
Pour Emmanuel Cordente (voyages-sncf.com), il est encore trop tt pour se forger une opinion sur les
produits de cyber-assurance disponibles sur le march.
51
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
52
/
Livreblanc - octobre 2016
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
/
Dautre part, le RGPD nonce de faon trs prcise lensemble des conditions applicables la
relation de sous-traitance. Ainsi, lexigence dun
contrat (ou de tout autre acte juridique) est
reprise mais trs largement complte en ce
qui concerne les dispositions prvoir telles
53
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
AVNEMENT DU DIGITAL:
ON NE FERA PAS DE DIGITAL
SANS FAIRE DE SCURIT
Pour Alain Bouill, un nouveau paradigme
est apparu au sein des entreprises avec
lavnement du digital. Autant, linformatique
pouvait tre considre prcdemment
comme faisant partie de lintendance, autant avec lavnement du digital, linformatique est maintenant considre par un
grand nombre de directions gnrales
comme un pilier stratgique du dveloppement des entreprises. Alain Bouill martle
ladage selon lequel on ne fera pas de digital
sans faire de scurit. Ainsi, il prdit que de
plus en plus les directions gnrales
seront amenes accorder une place prpondrante aux problmatiques de scurit
si elles ont des ambitions de dveloppement
de leur activit dans le digital.
54
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
Il partage lavis selon lequel le tout nest pas de dtecter la faille mais dtre capable de lexpliquer et de
donner les moyens aux dveloppeurs de la corriger rapidement. Cest un bnfice indniable du recours
des prestataires extrieurs. Limportant, cest quune spirale positive puisse se crer. Plus la DSI devient
mature sur la matrise des failles, moins elle en cre.
Damien Cazenave (vente-privee.com) insiste sur le point crucial que constitue la capacit de la DSI
pouvoir corriger rapidement la faille qui a t dtecte. Mais l encore, les choses ne sont pas forcment
binaires. La rsolution ou non dune faille peut faire lobjet dun arbitrage. Dans certains cas, la correction
dune faille peut tre considre comme trop coteuse ou devoir ncessiter trop de temps vis--vis du
risque. Il peut tre dcid de la mettre sous observation.
Pour linstant, la FNAC a recours aux services de socits spcialises pour raliser ses tests dintrusion.
La slection des prestataires est particulirement rigoureuse. Ils doivent tous possder une excellente
rputation. Les audits sont confis tour de rle, des prestataires diffrents, afin de bnficier de la
varit des mthodes quils utilisent.
Tests dintrusion: on ne devient bon quen sentranant
Damien Cazenave (vente-privee.com) fait le constat suivant : les entreprises en pointe en matire de
scurit font gnralement un usage extensif des tests dintrusion. Ils peuvent reprsenter une charge
de 150jours homme par an. Il poursuit: on apprend normment des tests. Et, il ny a pas de mystre,
on ne devient bon quen sentranant.
Tests dintrusion: comment choisir son prestataire?
Pour Damien Cazenave (vente-privee.com), les tests dintrusion externes sont indispensables. Ils doivent
tre faits rgulirement. Mais encore faut-il choisir les bonnes personnes pour les effectuer: plus votre
niveau de maturit augmente, et plus il devient indispensable dtre slectif dans le choix des prestataires
avec lesquels lentreprise travaille.
Selon lui, toutes les entreprises spcialises utilisent globalement les mmes mthodologies: ce qui fait
la diffrence, cest la comptence individuelle des consultants. Un bon consultant en scurit est trs
souvent un passionn, pour qui consacrer pas mal de son temps personnel se former nest pas un
problme.
Ds lors, Damien Cazenave reconnat que le choix dune socit peut se faire en fonction des personnes
quil connat personnellement. Mais, au-del du choix des personnes, limportant, reste le rsultat : la
pertinence des failles quun prestataires externe est capable de dtecter.
Pour Damien quel que soit le choix du prestataire, limportant est den changer rgulirement. Il en change
chaque anne: cela permet dviter un certain confort avec le prestataire et de conserver en permanence
un il neuf.
Les audits de scurit: mettre en place une fois acquise une certaine maturit
sur les enjeux de cyberscurit
Raja vient de raliser deux audits de scurit.
Le premier audit tait purement technique. Il a consist donner lensemble des plages IP utilises
par lentreprise un auditeur externe pour quil procde des tests dintrusion. 60points dentre ont t
tests par lauditeur qui a ensuite formalis des recommandations.
Le deuxime audit a concern plus spcifiquement le site internet. Un autre prestataire extrieur a
t charg de tester la vulnrabilit du site : nous ne leur avons donn aucune limite dclare Marc
55
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
Le Guennec (raja.fr). Finalement, nous avons t rassurs par les rsultats. Une seule faille rellement
problmatique (une injection possible de scripts SQL) a t dtecte. Il sagissait dune erreur de
paramtrage du progiciel.
Lancs il y a huit mois, les deux types daudit (technique et du site lui-mme) ont vocation tre reconduits
rgulirement. Marc Le Guennec dclare : cela faisait dj un certain temps que nous envisagions de
raliser ces tests. Mais, jusqu prsent, nous estimions ne pas avoir la maturit suffisante.
56
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
/
Enfin, concernant les droits de proprit
intellectuelle, outre les droits sur les contenus
publis (dessins, signes distinctifs, textes, photos), il convient de ne pas omettre dvaluer
un certain nombre de risques juridiques lis
lutilisation de licences de logiciels dits libres,
la titularit des droits ainsi que les mesures
prises pour la protection des droits.
Enfin, laudit doit aussi avoir pour objet danalyser tous les contrats de lentreprise avec ses
partenaires publics et privs afin de dtecter
les risques potentiels: licences, accords de R/D
L encore, une attention particulire devra tre
porte sur les cessions de droits et concessions
(voir notamment larticle L. 111-1du CPI).
57
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
le rythme de correction des failles. Nanmoins, Arnaud Treps (accorhotels.com) peroit bien les avantages
offerts par les Bug Bounties. Il nest pas exclu quAccorHotels puisse un jour y recourir.
Pour Emmanuel Cordente (voyages-sncf.com), recourir aux Bug Bounties est indniablement intressant:
ce que lon constate avec les dmarches daudit traditionnelles, cest que, au bout dun moment, on ne
trouve plus rien! Dune part, parce quon corrige nos erreurs, et que notre niveau samliore sans cesse.
Dautre part, parce quen cherchant toujours de la mme manire, on ne trouve logiquement plus rien.
Voyages-sncf.com cherche donc maintenant diversifier ses mthodes. Le but est de se rapprocher au
maximum de la dmarche quutiliserait un hacker malveillant.
Un intrt non ngligeable que voit Emmanuel Cordente (voyages-sncf.com) dans les Bug Bounties est
leur dure. Un Bug Bounty peut schelonner sur plusieurs annes. Cest une diffrence fondamentale
avec les audits dont la dure est forcment limite.
Emmanuel Cordente fait galement le constat quun certain nombre de failles peut provenir des composants utiliss par voyages-sncf.com. Or, un composant peut demeurer intgre pendant une trs longue
priode avant quune faille ne soit finalement repre. Une fois la faille publie, les attaques peuvent se
multiplier trs rapidement.
En ayant recours aux Bug Bounties, voyages-sncf.com dispose dun pool de testeurs qui se tiennent informs en permanence des dcouvertes de nouvelles failles, et en particulier celles affectant les composants
dont ils savent quils sont utiliss par voyages-sncf.com. Ils peuvent dclencher lalerte trs rapidement.
Ce cas de figure ne peut pas tre couvert par nos audits traditionnels.
Damien Cazenave (vente-privee.com) considre quil peut faire sens de lancer un Bug Bounty sur un primtre sur lequel lentreprise considre avoir atteint un certain niveau de maturit. Incontestablement
pour Damien Cazenave (vente-privee.com), les Bug Bounties peuvent faire passer un palier supplmentaire une entreprise.
Pas trop dillusions avoir pour autant sur la baisse des cots que pourrait reprsenter le recours au
Bug Bounty. Pour attirer les meilleures pointures, un programme de Bug Bounty doit tre bien dot.
On nattire pas les mouches avec du vinaigre!
Damien Cazenave (vente-privee.com) met une alerte avec le dispositif contractuel propos par les Bug
Bounties. Comment lentreprise peut-elle avoir la garantie quun hacker ne sera pas tent de monnayer
la dcouverte de sa faille ailleurs, si lentreprise nest pas suffisamment ractive pour la corriger rapidement?
loppos du spectre, les Bug Bounties peuvent prsenter un rel intrt pour les start-ups qui ne
disposent pas encore dquipe scurit interne.
Zro tolrance pour les dysfonctionnements des outils de scurit
qui pourraient affecter les systmes en production!
La disponibilit des systmes est lexigence numro un de tout responsable mtier dun site de
e-commerce. Ds lors, tout dysfonctionnement doutils de scurit qui pourrait affecter les systmes en
production est vcu comme un ala insupportable par la majorit des responsables de sites!
Pour Arnaud Treps (accorhotels.com): les outils informatiques assurant la scurit nont pas le droit de
tomber en panne ! Autant, il peut exister une certaine comprhension pour les incidents qui affectent
les systmes de production, autant les dysfonctionnements qui seraient provoqus par les quipements
de scurit ne bnficient daucune clmence.
Or, pour Arnaud Treps, force est de constater que les produits de scurit sont rarement exempts
de bugs. Normal, il suffit de crier au loup pour quils se vendent! prcise-t-il.
58
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
59
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
60
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
difficults imaginer que les fonctionnalits quils mettent en place puissent tre utilises des fins diffrentes de celles pour lesquelles elles sont conues.
Pour illustrer son propos, il donne lexemple suivant: si on ajoute 5objets 10 et -5objets 10 dans
un panier de commande, le total payer pour le client sera de 0plus les frais de port. Si le cas nest pas
prvu, il peut arriver quau niveau logistique les 5objets soient effectivement livrs et que lordre denvoyer
-5objets soit rejet par le systme informatique. Or, si le code nest pas suffisamment scuris, il peut tre
relativement simple pour un hacker denvoyer la valeur -5au serveur. Mais, encore faut-il que le chef de
projet puisse imaginer que de tels dtournements puissent tre possibles
Pour les dveloppeurs, le service scurit a cr un serious game: une application qui recense toutes les
failles possibles et imaginables. Dans un premier temps, les dveloppeurs sont invits prendre la place
des hackers et pntrer lapplication en identifiant ses failles. Puis, la phase dintrusion, succde
la phase de correction qui permet aux dveloppeurs de comprendre comment coder de faon robuste.
FNAC.COM
Chez fnac.com, la sensibilisation des quipes internes aux problmatiques lies la scurit, passe par
des campagnes de communication internes visant mettre en avant la politique globale de scurit de
lentreprise. Elles se succdent un rythme quasi mensuel. Elles exploitent tous les canaux disponibles:
de lintranet aux crans communicants Chaque campagne est par ailleurs adapte en fonction des
spcificits de chaque pays dans lequel la FNAC est prsent. Lorchestration de ces campagnes rentre
dans le domaine de comptence de la cellule RSSI.
En tant que RSSI, Corinne Nol prend une part active la mise jour du guide des bonnes pratiques
informatiques ainsi que du plan de crise (IMC: Internal Management Crisis).
RAJA.FR
Les incidents cyber rcents auxquels a fait face lentreprise Raja ont t loccasion dune communication
interne sur lhygine que doit adopter tout utilisateur. Marc Le Guennec raconte:
Suite ces incidents, il a t dcid de diffuser trs officiellement la charte informatique nouvellement
cre. Cette charte informatique est disponible sur support papier pour pouvoir tre annexe au contrat
de travail des collaborateurs concerns et pour quelle puisse tre signe par eux. Certaines parties ont
t dclines en fonction de lexposition du personnel au risque cyber : il sagit du personnel qui est
amen manipuler des donnes clients, des donns fournisseurs, ou des donnes comptables. Ces
collaborateurs signent un avenant spcifique. Il en va de mme pour les collaborateurs utilisateurs de
postes informatiques nomades.
SITEDEECOMMERCE.COM
La prise de conscience interne sur les enjeux de la cyberscurit est, de lavis de Charles: relativement
rcente chez SiteDeEcommerce.com. Des premires mesures de sensibilisation du personnel sur les
enjeux de la cyberscurit viennent dtre mises en uvre.
Dans la pratique, les procdures basiques de scurit doivent encore tre rappeles rgulirement.
Il y a quelque temps encore, en labsence de procdure tablie, la suppression des accs des collaborateurs qui quittaient lentreprise ntait pas immdiate.
Charles constate : grce aux nouvelles technologies mobiles, les collaborateurs peuvent paramtrer
eux-mmes leur tlphone mobile pour accder leur messagerie interne. Pour autant, ils ne sont pas
forcment conscients des risques que cela pourrait reprsenter pour lentreprise, si leur tlphone
portable tait vol.
61
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
Limportance de la formation
ACCORHOTELS.COM
Arnaud Treps relativise: trouver des failles nest pas si compliqu que cela. Il suffit de se former. Lquipe
dhackers internes au groupe suit rgulirement des formations. Arnaud Treps considre que cela
constitue dailleurs un bon lment de motivation de lquipe.
Il arrive galement que lquipe de scurits invite des experts sur des sujets bien prcis.
Les cots de formation ne sont donc pas ngligeables. Chez AccorHotels, la formation initiale dun dveloppeur nouvellement recrut dure une journe et demie. Cette formation initiale est suivie par une
formation annuelle de rappels.
Arnaud Treps dclare: dailleurs tout le monde suit les mmes formations! Nos hackers internes assistent
aux mmes confrences que les salaris des entreprises spcialises.
VOYAGES-SNCF.COM
Lquipe scurit dveloppe des modules de sensibilisation et de formation pour lensemble des collaborateurs. Ces modules sont spcifiquement adapts par typologie de population laquelle ils sadressent.
Ces formations peuvent prendre diffrentes formes comme par exemple linclusion dun module de
sensibilisation sur la scurit lors de la journe daccueil des nouveaux embauchs, une communication
hebdomadaire sur lintranet, des jeux, des concours orients autour de la scurit
Pour les populations spcifiques (dveloppeurs, exploitants), des modules renforcs ont galement t
crs. Chez VSC, tous les dveloppeurs suivent un module de formation de deux jours ddi la scurit
dans les dveloppements.
62
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
63
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
VENTE-PRIVEE.COM
Est-ce une consquence du lien de confiance que Damien Cazenave (vente-privee.com) sest toujours
efforc de dvelopper avec ses interlocuteurs internes, en tous les cas, il ne sest jamais trouv dans
une situation o les responsabilits dun incident de scurit auraient eu tre prcises.
PARTIE 1| 5. LA GESTION DU RISQUE CYBER: UN ENJEU ORGANISATIONNEL POUR LES ENTREPRISES DE E-COMMERCE
65
/
Lentreprise doit aussi sengager protger les donnes de ses clients aussi srieusement
quun secret affectif. Et si malgr toutes ses prcautions, lentreprise est victime de fraude, la
transparence et lendossement des responsabilits sont les seules attitudes possibles :
les dcideurs doivent avoir conscience de ces enjeux pour prendre les mesures prventives
et curatives.
Le dernier lment denchantement li la cyberscurit vient de lcosystme lui-mme.
Le client ne doit pas tre drout par des mesures quil ne comprend pas. Collectivement,
les acteurs de lcosystme appliquent des standards communs de protection et, par un
usage rcurrent, ils deviennent familiers et rassurants.
Ainsi, travers une srie de mesures de rassurance, appliques individuellement ou
collectivement par les e-commerants, et une posture commerciale adapte la ralit du
risque peru, il est possible de transformer les contraintes cyberscuritaires en facteurs
denchantement des clients.
Pour russir, il convient de dcomposer chaque tape du parcours client pour adapter les
protections aux profils du consommateur et aux risques cyber - rels ou perus - et valoriser
la ralit de ces efforts autour dune communication adapte
66
6.3 LE RSSI: INTGRER LA DIMENSION BUSINESS POUR FAIRE PROGRESSER LA CYBERSCURIT
Pour Arnaud Treps (accorhotels.com), le rle de lquipe scurit nest videmment pas de dire systmatiquement non. Son rle, cest dexposer les risques au propritaire du risque afin quil puisse prendre
une dcision claire. Mais Arnaud Treps (accorhotels.com) rappelle: faire du business, cest assumer
des risques. Et, le risque cyber fait partie de ces risques. Comme je le dis souvent, je me considre dabord
comme un commerant sur internet avant dtre un spcialiste de la scurit.
Pour Damien Cazenave (vente-privee.
com), il est primordial, pour assurer le
succs dun projet scurit, dtre capable
den dmontrer lapport business. Tous
mes projets taient sous-tendus par un
argumentaire business. Je me suis trs
vite aperu que pour justifier des engagements de dpenses sur un projet scurit,
je devais parler disponibilit du site,
impact en termes dimage pour le client,
de conformit rglementaire ou bien
encore problme daltration de commandes. Il ne faut pas non plus ngliger
limpact dune dmonstration ou le rsultat de tests pour emporter une dcision. Il
mest mme arriv de craquer le code de
scurit quatre chiffres dun tlphone
portable. Devant les yeux interloqus de
mes interlocuteurs dcisionnaires, il ne
ma fallu que 20 minutes pour trouver
la combinaison.
Pour Damien, il est aussi important de formuler des demandes raisonnables et qui
soient en adquation avec la maturit de
lentreprise. Rien ne sert de rclamer des
budgets relatifs des projets de scurit
qui ne correspondraient pas la maturit
de lentreprise. Pour Damien, Il y a toujours un ratio garder en tte.
Selon Damien Cazenave (vente-privee.
com), Il faut savoir choisir ses combats.
On ne peut pas se battre sur tout. Il y a
67
certains sujets que les interlocuteurs internes ne sont pas prts entendre. Dans ce cas,
il ne sert rien dinsister. La vision interne de certains sujets peut voluer avec le temps ou avec les
incidents qui ne manqueront pas de se produire! Et Damien Cazenave cite un cas concret: le chiffrement
du contenu des ordinateurs portables qui na pas t mis en place jusqu ce quun vol ait eu lieu.
Il considre que la russite dun RSSI dans le-commerce passe par une bonne vision du business et
assume lui aussi sa part du risque. Ainsi, un RSSI doit garder en tte que les consquences dun risque
identifi un jour pourront tre trs largement compenses par le business additionnel futur que la prise
de risque aura permis.
Les changes entre le dpartement scurit et les mtiers portent souvent sur les points de friction
quimpose la scurit sur la fluidit des parcours clients. Damien Cazenave part du principe quen
informatique, il existe toujours des solutions. Ma philosophie, cest de ne jamais dire non!.
Une dmarche pragmatique de mise en uvre dune politique de scurit passe toujours par des
compromis. En adoptant cette attitude, le RSSI acquiert une image positive auprs de ses interlocuteurs
mtiers. Il devient la fois crdible et audible lorsquil met en avant les risques cyber des projets.
6.4 VIS VIS DES CLIENTS: QUEL DISCOURS TENIR SUR LA CYBERSCURIT?
Pour Emmanuel Cordente (voyages-sncf.com), la communication externe sur la scurit est un sujet
complexe. Chez voyages-sncf.com, on veut rester prudent. Emmanuel Cordente constate que les mtiers
expriment assez frquemment le souhait de pouvoir communiquer sur le niveau de scurit atteint par
voyages-sncf.com. Lobjectif est comprhensible: il faut rassurer le client. Mais, dans le mme temps, il faut
selon lui se garder de fanfaronner: car, on sait que personne nest labri. Et, fanfaronner, cest le meilleur
moyen de sattirer des problmes ! On reste donc trs modeste, mme si, nous savons que nous
dployons de gros efforts en matire de cyberscurit.
Selon Damien Cazenave (vente-privee.com) un intrt du Bug Bounty peut tre le bnfice dimage
que peut esprer retirer une entreprise auprs du public. linstar de ce qui se fait dj aux tats-Unis
notamment, il peut tre valorisant pour une socit de communiquer sur le fait davoir atteint un niveau
de scurit tel quelle peut soumettre son site la dextrit de hackers extrieurs.
Damien Cazenave a eu loccasion dvoquer ce sujet avec la direction gnrale de son prcdent
employeur. lpoque lintrt tait fort. Pouvoir apparatre comme une start-up technologique au mme
titre que Facebook ou que Google tait considr comme assez valorisant. la connaissance de Damien
Cazenave (vente-privee.com), aucun site de e-commerce en France na pour linstant franchi le pas.
68
69
70
TPE/PME ET CYBERSCURIT
Interview de Ely de Travieso prsident du Clusir Paca (Club professionnel regroupant
les Responsables de la Scurit des Systmes dInformation de la rgion Paca), nomm
en 2011, lu en charge de lconomie Numrique la CGPME des Bouches du Rhne
Les TPE et les PME doivent comprendre quelles sont autant vulnrables que les grandes
entreprises franaises. De par le fait quelles sont devenues une porte dentre sur les grands
groupes, elles doivent comprendre quelles sont devenues la cible privilgie des cybercriminels et cela mme si elles continuent dtre attaques pour les mmes raisons que les grandes
entreprises (vol dinformations sensibles, escroquerie).
Dotes de moyens de protection faibles, leur productivit en est de fait menace.
Nombreuses sont les attaques qui ont conduit des entreprises dposer le bilan. Le tribunal
de commerce de Niort a prononc en 2016, la liquidation de BRM Mobilier, une PME des
Deux-Svres, victime lt dernier dune escroquerie au faux prsident qui lui a cot 1,6million deuros. Lentreprise spcialise dans lamnagement de bibliothques, qui employait
44salaris, ne sest jamais remise de cette escroquerie et a d cesser son activit.
Daprs la gendarmerie nationale, la fraude au prsident, le piratage du standard tlphonique, les ransonwares sont les trois attaques les plus susceptibles de pousser des entreprises mettre la cl sous la porte.
Une des origines du manque de considration des risques informatiques repose sur lattitude
des dirigeants mlangeant un manque de comprhension des enjeux de la transition numrique une mauvaise comprhension des risques cyber. De part un emploi du temps
surcharg et en sous-effectif constant, ces entreprises doivent prioriser leurs investissements
comme leurs projets. ce titre, il est clair quune TPE pense plus vendre ou se dvelopper
qu se doter de moyens efficaces pour amliorer la protection des systmes dinformation.
Cet tat desprit est plus que regrettable.
Lindustrie de la cyberscurit face au march des TPE/PME est en train de se rinventer.
Depuis quelques annes, les entreprises ont opt pour des services cls en main de type
services manags (cloud, Soc) ou encore ont adopt des offres de cyber-assurance venant
renforcer leur capacit rpondre un incident de scurit informatique.
Outre lutilisation des solutions de services, la sensibilisation des utilisateurs du systme
dinformation reste un lment fondamental dune amlioration continue de la scurit informatique des entreprises. Il est important dans ce sens dindiquer aux utilisateurs dans un
document administratif (contrat de travail, charte, rglement intrieur), les bonnes pratiques
dune hygine informatique faisant la distinction entre un usage professionnel et un usage
personnel dun systme dinformation. Cest dans ce sens que la CGPME a publi en collaboration avec lANSSI, le guide des bonnes pratiques informatiques, recueil dinformation
permettant aux chefs dentreprise daccder simplement un premier niveau de scurit.
71
72
PARTIE 1| 7. LE WHATS NEXT EN MATIRE DE CYBERSCURIT POUR LES SITES DE E-COMMERCE: LE PIRE EST-IL DEVANT?
Les pistes pour limiter ce risque ne sont pas videntes mettre en uvre. Il existe des technologies telles
que les Cloud Access Security Broker qui permettent de monitorer lusage de ces services cloud.
Associs une gouvernance forte, la visibilit offerte par ces outils peut aider les directions IT reprendre
le contrle. Mais Arnaud prvient: face la varit des services cloud et la vitesse laquelle ceux-ci
voluent, il faut se prparer encaisser une forte charge de travail pour ne pas freiner linnovation et
ralentir les projets.
En ce qui concerne la problmatique des mots de passe, la solution passe selon Arnaud, par une vraie
approche de la gestion des identits. Les utilisateurs devront sauthentifier ces services cloud non plus
par le biais dune base de comptes pour chaque application laquelle ils accdent, mais grce une plateforme de gestion des identits. Pour Arnaud, cela va aussi passer par un recours plus systmatique
lauthentification renforce. Elle consiste mettre en place des couples didentifiants, entre par exemple,
un login et un mot de passe associs lidentit du matriel qui permet daccder aux services cloud. Selon
Arnaud: bien quils voluent positivement, ces systmes dauthentification entranent forcment davantage de friction et un ralentissement des processus daccs. La solution sans contrainte reste inventer.
Pour Damien Cazenave (vente-privee.com), il ne faut pas non plus tomber dans la tentation de mettre sur
le dos du cloud des contraintes lies la scurit qui existaient avant lui. La seule diffrence, cest que la
facilit dutilisation quoffre le cloud dmultiplie les problmatiques de scurit.
Par ailleurs, il conviendrait selon
lui, que les entreprises sinterrogent objectivement sur les
niveaux de scurit respectifs
atteints par les solutions maison, comparativement celui
atteint par les solutions dacteurs
majeurs comme Microsoft, qui
traitent les enjeux de scurit
proportionnellement la taille de
leur entreprise.
73
PARTIE 1| 7. LE WHATS NEXT EN MATIRE DE CYBERSCURIT POUR LES SITES DE E-COMMERCE: LE PIRE EST-IL DEVANT?
PARTIE 1| 7. LE WHATS NEXT EN MATIRE DE CYBERSCURIT POUR LES SITES DE E-COMMERCE: LE PIRE EST-IL DEVANT?
75
76
PARTIE 2
TAT DES LIEUX
CLS DE LECTURE
1. INTRODUCTION:
QUELQUES CLS DE COMPRHENSION
1.1 LE E-COMMERCE:
UN SECTEUR FORCMENT ATTRACTIF POUR LES CYBER-PIRATES
On trouve profusion des chiffres sur le dveloppement des cyber-attaques. Des dizaines dtudes sont
produites tous les mois sur le sujet, la plupart de ces tudes tant menes (et finances) par les fournisseurs de solutions eux-mmes. Certaines de ces tudes restent extrmement pertinentes et conduites
avec tout le srieux ncessaire (cf. rfrences des tudes incontournables en annexes de ce document).
Mais, force est de constater quelles sont souvent difficiles dcrypter pour le lecteur qui ne possde pas
de solides bases techniques. La vision business de limpact de la cybercriminalit est difficile cerner
avec prcision, au niveau national (les tudes tant souvent ralises par des acteurs globaux et les rsultats consolids), et secteur par secteur (a fortiori pour le secteur du e-commerce qui apparat comme
transverse aux secteurs figurant dans les tudes).
Il nen reste pas moins une vidence que le e-commerce est un secteur particulirement touch par
la cyberscurit. Selon le Global security report, du fournisseur de solution Trustwave datant de 2013,
48% des cyber-attaques auraient vis des sites de vente en ligne.
QUELQUES CHIFFRES:
UNE CYBER-ATTAQUE TOUTES LES 8MINUTES
Une perte de donnes toutes les 6h30
23000donnes voles par attaques en moyenne
Une DDoS cote entre 7et 40K / heure au site vis
31 % des retailers ayant enregistr des attaques en 2014 ont galement perdu des
donnes
60% des attaques qui aboutissent des compromissions sont effectues en quelques
minutes (automatises)
En moyenne, une faille PHP prsente dans un framework nest patche que 129jours
plus tard
En 3ans, il y a eu une augmentation de 67% du vol de donnes
Un retailer est, en moyenne, en risque 328jours / an sur son site Web
Le cot annuel de la cybercriminalit dpass les 400Md$ en 2013
Les volumes CB, cest 4trilliards de $ de transaction en 2013
61% du trafic Web est ralis par des robots.
77
NBS SYSTEM
NBS System est une socit fournissant des services de cloud priv infogrs et scuriss.
La socit se revendique comme leader de linfogrance Magento et Hybris en France.
Philippe Humeau est diplm de lEPITA en 1999. Il cre NBS System la sortie de ses
tudes, socit dont il occupe toujours le poste de Directeur Gnral, en charge du business
development. Au fur et mesure des annes, Philippe a dvelopp un fort intrt pour le
e-commerce et a crit plusieurs ouvrages dans ce domaine, dont le Benchmark des
solutions e-commerce, qui a touch plus de 60000lecteurs dans le monde.
AKAMAI TECHNOLOGIES
Akamai est le leader des services de diffusion de contenu (CDN). Les CDN sont largement
rpandus dans le paysage internet actuel. Ils amliorent la diffusion dun pourcentage
considrable du trafic internet mondial. Un rseau de diffusion de contenu (CDN) est une
plate-forme de serveurs hautement distribue qui traite directement les demandes des utilisateurs finaux en contenu Web. Elle sert dintermdiaire entre un serveur de contenus,
galement appel serveur dorigine, et ses utilisateurs finaux, ou clients.
Akamai propose des solutions en matire de performances Web, performances mobiles,
scurit dans le cloud et diffusion multimdia qui optimisent les expriences des internautes
sur tous les terminaux, partout dans le monde.
Emmanuel Mac est Security Product Line Director chez Akamai Technologies. Il fait partie
de lquipe en charge du dveloppement, du dploiement et du support des solutions de
scurit au sein dAkamai. Sa mission est de dfinir et de supporter la stratgie des solutions
de scurit, afin que celles-ci sadaptent aux spcificits du march europen.
Pour contrer efficacement un ennemi, il faut le connatre au mieux prconisait le stratge Sun Tzu. Mme
si la cybercriminalit est protiforme, Philippe Humeau (NBS System) dcrit ci-aprs les motivations
principales des cyber pirates et dcrit les grands principes de leurs modes opratoires.
78
79
Le montant dun cyber-piratage peut aller de quelques dollars plusieurs centaines selon la compltude
des informations. Selon leur type, les numros de cartes bancaires voles se vendent au volume de gros,
de 5 100$.
Philippe Humeau rappelle que ce type de criminalit est finalement assez attractif compar dautres,
du fait de son faible risque et du niveau rduit dinvestissement quelle ncessite. Pour lui, compromettre
un applicatif Web est beaucoup plus simple quun dispositif physique, un algorithme de chiffrement ou un
logiciel compil propritaire. La barrire dentre technique est tellement basse que de nombreux pirates
en herbe, parfois mineurs, y accdent facilement aprs quelques heures ou jours de consultation
des techniques sur Youtube par exemple.
Les cyber-pirates tiennent aussi leurs bases de donnes jour!
Sur internet, une adresse IP qui hberge un site (de e-commerce ou non), est en moyenne scanne
plusieurs dizaines de fois par jour, rappelle Philippe Humeau.
Des scanners cherchent en permanence identifier des cibles vulnrables et rpertorier les logiciels (et
leurs versions) qui tournent sur ces machines. Nul doute que ces scans automatiques occupent une place
importante parmi le nombre des requtes gnres automatiquement par les machines entre-elles
(scripts et programmes), qui reprsentent aujourdhui 60% du trafic sur internet.
Ainsi les attaquants se constituent des bases de donnes de machines dores et dj vulnrables ou
qui pourraient le devenir si une faille de scurit tait dtecte sur un des logiciels quelles utilisent.
Les systmes aujourdhui dans un tat de scurit satisfaisant peuvent devenir demain vulnrables quand
une faille sur un logiciel est dcouverte rappelle Philippe Humeau.
Quand les scanners dtectent une vulnrabilit, lattaque automatique est lance par injections SQL
ou Cross Site Scripting (XSS). Les compromissions ont lieu en quelques secondes en gnral, quelques
minutes tout au plus. La dcouverte de la compromission par le e-marchand pourra prendre, quant elle,
plusieurs jours voire plusieurs semaines!
Des attaques beaucoup plus cibles peuvent se concentrer sur un site. Dans ce cas, les cyber-attaquants
dbrayent le mode automatique. Le site vis nest alors pas choisi au hasard (par exemple Adobe ou
Sony), le temps investi est plus grand, les mthodes utilises sont galement plus pointues. Et, il arrive
parfois que le rsultat soit la hauteur de linvestissement en temps pass, quand le butin est de
plusieurs dizaines de millions de comptes utilisateurs ou de numros de cartes bancaires.
Une injection SQL, a ressemble quoi?
Phillipe Humeau donne ci-aprs un exemple trs clbre dinjection SQL, dune simplicit enfantine, qui ne
marche quasiment plus jamais de nos jours. Mais cet exemple illustre bien le principe dune injection
SQL et les dommages quelle peut produire!
Dans le champ login et mot de passe le pirate saisit:
Login: admin or 1=1
Password: <vide>
La requte sera alors retranscrite la machine de la faon suivante:
SELECT * FROM members WHERE username = admin OR 1=1 AND password =password
Cette requte retournera TRUE car mme si le mot de passe ne correspond pas, 1est bien gal 1,
et comme la requte demande si le password est le bon ou si 1=1, lensemble de la proposition est
considr comme vraie et le site autorisera laccs.
80
38,11 %
30,85 %
Autre
PHPi*
RFI*
0,86 %
1,14 %
1,65 %
7,15 %
XSS*
Shellshock*
SQLi*
LFI*
* voir p. 103
types dattaques applicatives
81
Par ailleurs, le processus danalyse des systmes est une opration qui doit tre renouvele rgulirement, afin de sassurer que les protections mises en place sont en adquation avec les potentiels points
de faiblesse du systme.
Parmi les attaques les plus rpandues, il y a les attaques gnrant beaucoup de charge (rseau et/ou machine) ce sont les attaque DoS ou DDoS, dont le but est de saturer linfrastructure et ainsi perturber le bon
fonctionnement des systmes. Dautres attaques, plus avances, comme les injections SQL ou le Cross Site
Scripting (XSS) permettent de manipuler directement les donnes prsentes dans les systmes. La liste
non exhaustive des attaques sur internet est dtaille dans le chapitre suivant.
Depuis quelques annes, on voit apparatre un nouveau type menace, le Ransomware. Le principe
est simple, il sagit dun chantage la cyber-attaque visant une entreprise (ou plusieurs dans un secteur
donn) contre une somme dargent, gnralement en Bitcoin, pour ne pas tre attaqu.
Plusieurs groupes en ont fait leurs spcialits, comme DD4BC, comprenez DDoS For Bitcoin.
82
Jan. 15
112
Jan. 15
101
Jan. 29
105
32 Mpps
Jan. 30
267
Jan. 30
224
Feb. 1
133
Feb. 6
130
Feb. 10
103
Feb. 17
174
Feb. 21
36 Mpps
289
Feb. 21
184
Feb. 22
124
Feb. 24
51 Mpps
Feb. 26
44 Mpps
132
133
Financial Sercices
Mar. 12
230
Mar. 19
Gaming
124
Mar. 20
114
Mar. 22
Mar. 23
114
0
50
100
150
200
250
83
3%
4%
11%
26%
5%
13%
Two Vectors
Four Vectors
51%
Q3 2015
Single Vector
Three Vectors
32%
56%
Q2 2015
2%
3%
12%
3%
Q4 2015
35%
42%
45%
41%
Q1 2016
84
une cyber-attaque, la part du trafic que cela reprsente gnre un bruit pouvant perturber le business.
De plus, lagrgation de contenus de certains Bots peut aller lencontre de la stratgie de lentreprise.
Il est donc important de prendre ce trafic au srieux, tant dun point de vue technique que mtier.
Afin de bien comprendre les diffrents Bots agissant sur internet, voici une infographie reprsentant 24h
danalyse de trafic des Bots sur la plate-forme dAkamai.
Source: Akamai
30 %
En moyenne, le trac gnr
par les Bots reprsente 30 %
du trac dun site web.
Ce nombre peut atteindre
plus de 60 % dans certains
secteur comme le retails.
40 %
50 %
10 %
50%
5%
3%
15%
23%
4%
55%
30%
7%
Other detected web scrapers
Development frameworks
8%
Search-engine impersonators
Web-browser impersonators
85
86
Cyber-extorsion
La menace dune attaque informatique ou la demande de ranon pour empcher la divulgation dinformations deviennent monnaie courante. Il existe plusieurs typologies de cyber-extorsion dont les plus rpandues sont la menace dattaque par dni de service (DoS) et la demande de ranon contre la remise dune
cl pour dcrypter des donnes. Le hacker va exiger le paiement dune ranon contre la cl qui permettra
de dcrypter les donnes.
La mise en cause personnelle du dirigeant
Les dirigeants de site de e-commerce peuvent tre mis en cause titre personnel par la CNIL, ou des tiers,
pour non respect de la rglementation sur les donnes personnelles ou sensibles.
Assurance
Montant du sinistre
25000
Assurance
Montant du sinistre
35000
Menace dextorsion
Contexte
Assurance
Montant du sinistre
75000
87
Montant du sinistre
Frais de surveillance:
300000
Frais de notification:
57000
Frais de communication:
50000
Contexte
Montant du sinistre
Contexte
Montant du sinistre
30000
Frais de communication
de crise:
10000
Frais davocats:
250000
Expertise IT et frais
de notifications:
500000
Frais dagences de
communication:
250000
Contexte
Montant du sinistre
Frais lgaux:
15000
Frais de notification:
50000
Call Center:
75000
Scurit informatique:
100000
Veille internet:
75000
Gestion de crise:
27000
88
89
90
PARTIE 3| 1. OUTILS DE DIAGNOSTIC PERMETTANT DE SITUER LA MATURIT DUN SITE EN MATIRE DE CYBERSCURIT
PARTIE 3
COMMENT METTRE EN UVRE
ET RENFORCER UNE VRITABLE
POLITIQUE DE CYBERSCURIT
POUR UN SITE DE E-COMMERCE
1. OUTILS DE DIAGNOSTIC PERMETTANT DE
SITUER LA MATURIT DUN SITE DE E-COMMERCE
EN MATIRE DE CYBERSCURIT
Les outils permettant dtalonner la maturit dune organisation face aux risques cyber sont nombreux.
Philippe Humeau (NBS System) propose ci-aprs un quiz rapide qui permet dj de procder une
premire valuation.
20QUESTIONS
POUR SAVOIR O EN EST VOTRE SCURIT
source: NBS System
QUESTIONNAIRE
1. Votre socit dispose-t-elle un RSSI
en interne?
2. Existe-t-il une politique de scurit
crite?
3. Si vous avez des donnes concernant
des particuliers, ont-elles fait lobjet
dun dpt CNIL?
4. Votre personnel a-t-il t sensibilis
la scurit et/ou au phishing?
5. Existe-t-il une procdure de
rvocation systmatique des accs
informatiques des personnes ne
travaillant plus dans lentreprise?
6. Disposez-vous dun Plan de
Reprise dActivit (PRA) et dun Plan
de Continuit (PCA)?
91
PARTIE 3| 1. OUTILS DE DIAGNOSTIC PERMETTANT DE SITUER LA MATURIT DUN SITE EN MATIRE DE CYBERSCURIT
/
Firewall protgeant laccs aux ports
de vos serveurs hors 80et 443(http/
https)?
13. Votre hbergeur a t-il mis en place
Reverse proxy pour vous protger?
14. Votre hbergeur a-t-il mis en place un
Web Application Firewall pour vous
protger?
15. Effectuez-vous rgulirement des
tests dintrusion (au moins une fois
par an)?
16. Auditez-vous la scurit du code
source des applicatifs sensibles avant
mise en production?
17. Avez-vous une politique de mot de
passe empchant techniquement
lusage de mots de passe simples
(mots, hors dictionnaire, dau moins
9caractres dont un spcial) et
BARME
Compter un point par question o vous avez rpondu oui.
0 10 Votre scurit est trs insuffisante en comparaison des enjeux de votre site
de e-commerce et dune manire plus gnrale de votre activit dentreprise, il faut agir
rapidement.
11 13 La scurit vous proccupe mais vous en tes au dbut de la dmarche. Essayez de
dporter les points cls que votre socit ne peut couvrir chez un hbergeur de confiance,
spcialis dans la scurit, cela vous permettra de finaliser vos dmarches en interne avec
un primtre couvrir plus restreint.
14 17 Votre socit peut progresser, mais globalement vous allez dans la bonne direction
et la scurit est une proccupation importante dans votre entreprise. Il serait intressant de
mener un audit ou un test dintrusion pour identifier les points qui vous feraient progresser
rapidement.
17 20 Votre socit a acquis les bonnes pratiques et vos utilisateurs et clients sont entre
de bonnes mains, ne relchez pas vos efforts, la scurit demande de la constance.
92
ANSSI
LAgence Nationale de la Scurit des Systmes dInformation a mission dautorit nationale en matire de
scurit et de dfense des systmes dinformation. Pour ce faire, elle dploie un large panel dactions
normatives et pratiques, depuis lmission de rgles et la vrification de leur application, jusqu la veille,
lalerte et la raction rapide face aux cyber-attaques - notamment sur les rseaux de ltat.
Cyrille Tesser (ANSSI) possde un DESS ainsi quun Master en SSI de lUniversit de technologie de Troyes.
Il dispose galement du titre dexpert en SSI (ESSI et BESSSI) quil a acquis au cours dun parcours professionnel au sein du ministre de la Dfense, de 1996 2013. Il a t, durant ces annes, RSSI, charg
dtude, formateur SSI et auditeur. En plus de ses activits, il est galement expert judiciaire la
Cour dAppel de Paris depuis une dizaine danne.
Il a intgr lANSSI en 2013en tant que coordinateur du secteur de lindustrie. Il est depuis 2015le rfrent
de lANSSI pour la rgion le de France.
Dans le e-commerce comme dans les autres domaines, le risque zro nexiste pas. Lors de la mise en place
dun site de e-commerce, il est indispensable que la direction de lentreprise comprenne les enjeux
de scurit et accepte les risques associs. Dans cet objectif, lAgence Nationale de la Scurit des Systmes dInformation (ANSSI) recommande dadopter une dmarche dhomologation de scurit. Il sagit
dun processus interne dinformation et de responsabilisation des dcideurs, qui aboutit une dcision
de mise en service en toute connaissance de cause.
La dmarche dhomologation comportera une analyse formalise et partage des risques en jeu sur
le projet de site e-commerce, ainsi quun plan de traitement des risques, adapt et accept par la direction.
Celle-ci pourra aisment sapproprier les grandes dcisions qui en dcoulent. Aussi surprenant que
cela puisse paratre, ce mode de fonctionnement peut parfois dboucher sur des rallonges financires
et/ou RH
Pour mettre en place et suivre ce processus dhomologation de scurit, il est recommand dutiliser le
guide de lANSSI Lhomologation de scurit en 9tapes simples dont les grandes lignes sont reprises
ci-dessous. Ce guide est en libre tlchargement sur le site Web de lANSSI, ainsi que tous les documents
types afin daccompagner tout au long de la dmarche: stratgie dhomologation, dcision dhomologation, suivi des risques rsiduels, plan dactions
Recommande par lANSSI, la dmarche dhomologation dun systme dinformation est un pralable
linstauration de la confiance que lon peut trouver dans un site Web de e-commerce et dans son exploitation.
Lobjectif de cette dmarche dhomologation est de trouver un quilibre entre le risque acceptable et les
cots de scurisation, puis de faire arbitrer cet quilibre, de manire formelle, par le plus haut responsable
qui a autorit pour le faire, gnralement au niveau de la direction.
Lhomologation de scurit permettra la direction, en sappuyant sur lavis des experts, de sinformer et
dattester aux utilisateurs internes et externes du site Web de e-commerce que les risques cyber qui
psent sur eux, sur les informations quils manipulent et sur les services rendus, sont connus et matriss
de manire active, prventive et continue.
Livreblanc - octobre 2016
93
Il sagit dun processus dinformation et de responsabilisation qui aboutit une dcision, prise par les
responsables de lorganisation. Lhomologation de scurit est dlivre par une de ces personnes qui a le
titre dautorit dhomologation pour tout ou partie du site de e-commerce.
La dcision dhomologation constitue un acte formel par lequel il:
atteste de sa connaissance du systme dinformation et des mesures de scurit (techniques,
organisationnelles ou juridiques) mises en uvre.
Accepte les risques qui demeurent, quon appelle risques rsiduels.
Lhomologation permet didentifier, datteindre puis de maintenir un niveau de risque de scurit acceptable pour tout ou partie du site de e-commerce.
La dcision dhomologation sappuie sur lensemble des documents gnrs lors des tapes du processus
dhomologation et que le responsable estime ncessaires et suffisants sa prise de dcision.
La dmarche dhomologation doit tre adapte aux enjeux de scurit du systme, notamment au contexte
demploi, la nature des donnes contenues, ainsi quaux utilisateurs:
dans les cas de systmes complexes ou fort enjeu de scurit, il est souhaitable que le responsable
sentoure dexperts techniques et fonctionnels (la commission dhomologation). Il peut dlguer la
prise de dcision lun de ses reprsentants qui prsidera ce comit dexperts.
Dans le cas de systmes simples, le responsable peut mettre en place des procdures simplifies associant un nombre plus limit dacteurs.
La dmarche dhomologation doit sintgrer dans le cycle de vie du systme dinformation. Elle comprend
plusieurs tapes cls, rsumes dans les 9 tapes ci-dessous. Il est ncessaire de les suivre en mme
temps que les phases de dveloppement du systme : opportunit, faisabilit, conception, ralisation,
validation, exploitation, maintenance et fin de vie. En outre cette dmarche doit tre lance suffisamment
tt, afin de pouvoir dterminer les exigences de scurit qui seront intgres dans les cahiers des charges
de dveloppement ou dacquisition.
Les questions poses lors de ces neuf tapes permettent de constituer un dossier, sur lequel lautorit
dhomologation sappuie pour prendre sa dcision.
La dcision dhomologation est le rsultat du processus. Son objet est de vrifier que le responsable
a analys les risques de scurit et a mis en uvre les dispositifs adapts la menace.
Le terme homologation recouvre donc deux notions distinctes:
la dmarche dhomologation, avant tout destine faire connatre et faire comprendre aux responsables les risques lis lexploitation dun systme dinformation. Elle se conclut par une dcision,
soutenue par la constitution et lanalyse dun dossier de scurit.
La dcision formelle dhomologation (galement appele attestation formelle).
Se lancer dans une dmarche dhomologation est relativement simple: il sagit de vrifier que la scurit
na pas t oublie avant la mise en place du systme dinformation et dappliquer les mesures de scurit
ncessaires et proportionnes.
Les neuf tapes prsentes dans le guide de lANSSI permettront un chef de projet ou un comit de
pilotage SSI de prparer un dossier dhomologation et de le prsenter au responsable, dsign autorit
dhomologation.
Le guide Lhomologation de scurit est disponible en libre tlchargement sur le site Web de lANSSI
www.ssi.gouv.fr, ainsi que de nombreux cas pratiques et documents types afin de vous aider drouler
entirement la dmarche.
94
tape
tape
tape
tape
tape
Quelles sont les mesures de scurit supplmentaires mettre en uvre pour couvrir ces risques?
Analyser et mettre en uvre les mesures ncessaires la rduction des risques pesant sur
le systme dinformation. Identier les risques rsiduels.
Prise de dcision
tape
Dcision dhomologation
Comment raliser la dcision dhomologation?
Accepter les risques rsiduels: lautorit dhomologation signe une attestation formelle
autorisant la mise en service du systme dinformation, du point de vue de la scurit.
Suivi a posteriori
tape
95
96
97
les groupes de travail, dont la finalit est la publication de documents de type recommandation,
mthodologie ou encore tat de lart.
LEspace RSSI, rserv exclusivement aux Responsables de la Scurit des Systmes dInformation
dentreprises prives et du secteur public (hors fournisseur de solutions ou de services de scurit).
Les confrences thmatiques, organises tout au long de lanne afin de sensibiliser les dirigeants,
responsables ou organismes et pouvoirs publics limportance de la scurit de linformation.
Le risque cyber nest pas et ne sera jamais limit une problmatique technique ou technologique :
cest avant tout et surtout une problmatique mtier. Le e-commerce et les appareils connects au cyberespace offrent les mmes possibilits et avantages aux rseaux de criminels que ceux quils proposent
aux entreprises lgitimes. Cependant, lordre des priorits de la ralit oprationnelle est le suivant :
en premier lieu vient la satisfaction client, puis les rsultats financiers et enfin le risque cyber.
Panorama de la cyberscurit
Qui ?
Crime organis
tats/Nations
Hacktivistes
Collaborateur
Interne Tiers
Hacker isol
Comment ?
Spam
Spear Phishing
Sosial Engineering
Dni de service :
Botnets or Zombies
Code malicieux :
Malwares,
Advanced Persistant
Threats et
ZeroDays attacks
Sites Web
Compromis
Internet
Vecteurs
dattaques
externes
Vecteurs
dattaques
internes
Consquences
98
Infrastructure
des partenaires
commerciaux
Portail
Internet / Web
Accs
clients
BEYOND /
quipements
mobiles
Accs distant
collaborateur
Accs Wi-Fi
Systme dinformation
Collaborateur
malveillant
Vol/Perte
de donnes
Collaborateur
ngligent
Vol
didentit
Accs
non autoris
Fournisseur(s) et
sous-traitants(s)
Vol
dtournement
de fonds
Accs
non autoris
Systme
indisponible
Destruction
de donnes
Invits
et visiteurs
Altration
de limage
de la marque
Les entreprises deviennent encore plus sensibles aux attaques mesure que leur empreinte numrique
se dveloppe pour intgrer, en plus de leurs clients, leur chane dapprovisionnement (y compris les
prestataires et la sous-traitance), lutilisation de services et technologies externaliss, tierces ou connects.
La cyberscurit na pas de prix, mais elle a un cot! Les organisations ne peuvent pas prtendre tre
compltement protges contre les cyber-attaques. Nous pensons que les stratgies de cyberscurit
doivent tre adaptes afin de rpondre aux besoins oprationnels et culturels des organisations, en
tenant compte des exigences rglementaires et en se concentrant sur ce qui doit tre protg en priorit,
plutt que doffrir une couverture globale. chouer consolider
ses cyber-dfenses peut tre coteux et, au pire, menacer la
Changer
valuer et amliorer
survie de lentreprise.
Lexprience Grant Thornton dmontre que les stratgies
qui fonctionnent sont construites autour de trois piliers : les
individus, les processus et la technologie. Lorsque votre ennemi
est insaisissable, la dfense est la meilleure forme dattaque ;
cest le point de dpart dune stratgie de cyberscurit robuste.
Dans la mthodologie Grant Thornton, les actions de scurit
couvrent quatre domaines dinterventions. Ces domaines
adressent lensemble des problmatiques scurit conformment au cycle vertueux damlioration continu de la scurit au
sein dun Systme dInformation:
Prparer
Protger
Ragir
Lobjectif de cette mthodologie est daccompagner nos clients pour leur permettre dlaborer pas pas
une dmarche de scurit cyber-pragmatique, proactive et proportionnelle aux risques, ses actifs et leur
criticit, aux investissements et aux ressources. Il sagit daccompagner nos clients :
La prparation
Prendre conscience de la menace et identifier son contexte de risques, identifier ses forces, mais aussi et
surtout ses faiblesses:
lidentification des priorits pour la protection commence par une valuation des risques et lanalyse
des failles : identifier vos actifs essentiels et les vecteurs dattaques, identifier les risques et les
menaces sur ces actifs, btir les scnarios de cyber-attaques.
Laudit cyber est un diagnostic de la scurit du systme dinformation et ses processus associs.
Il doit intgrer les fondamentaux techniques et organisationnels, afin dobtenir un tat des lieux
complet, pragmatique et simple exploiter au sein des entreprises, quel que soit leur taille. Ce
diagnostic est complt par une solution de gestion des vulnrabilits qui analyse les rseaux
informatiques et dtecte les quipements mal configurs et les dfaillances de scurit. Cette prestation agile et non intrusive a un triple objectif: valuer, identifier, agir. Laudit cyber propose une vision
globale et dtaille, des risques intrusifs potentiels et leurs consquences sur les donnes
stratgiques, des risques lis linfrastructure, de son exploitation et de son organisation interne, des
enjeux lis aux obligations juridiques incluant les aspects mtier et les forces et faiblesses globales
du systme dInformation.
Une nouvelle zone de risque est apparue, celle issue de la dlgation de la gestion, de
la maintenance, de lexploitation, de la surveillance et de la supervision du systme dinformation de
lentreprise auprs de tiers: lhbergement externe. Les rseaux criminels exploitent aussi les nouvelles technologies mergentes - telles que le cloud computing et les plates-formes de mdias sociaux,
les rseaux anonymes en ligne et les systmes de monnaie virtuelle. La particularit de ces infrastructures est quelles ne sont plus la proprit de lentreprise, mais celle de socits tierces offrant ces
services et avec leur propre conception et gestion du risque cyber. Ces nouveaux outils et moyens de
production, dchanges, de partage et de communication exigent de nouvelles mesures pour suivre le
99
rythme de lre numrique. Lobjectif est de rpondre aux questions suivantes: quelles sont les exigences de scurit que vous imposez vos prestataires / fournisseurs cls? Quelles sont vos applications prsentes sur le cloud? Quels sont les engagements de vos fournisseurs cet gard? Qui peut
tre intress par lide de percer votre coffre-fort informatique? Est-ce que je respecte mes obligations rglementaires? quand remonte le dernier incident de scurit du SI du tiers? Quel a t son
impact? Comment sorganise le tiers en cas dindisponibilit de votre informatique? Laudit de scurit de tiers devient une priorit quand votre outil de production principal, votre systme dinformation,
est externalis.
La matrise des cots et la gestion assurancielle du risque cyber sont des domaines mergeants, mais
extrmement structurants dans la gestion du risque cyber.
La protection
Lvolution, la redfinition, la scurisation de larchitecture globale de vos systmes dinformation pour en
amliorer la rsilience.
valuer le niveau de maturit de la scurit par des audits de conformit, de limplmentation et
lexploitation du SI aux regards de la lgislation ou des bonnes pratiques / standards / rfrentiels, des
audits de vulnrabilits, des tests dintrusion, des revues de code
Implmenter un rseau dentreprise sous contrle et rsilient (visibilit, supervision, gestion, valuation, traabilit).
Mettre en place des outils et la configuration adquate pour vous protger des menaces ciblant vos
actifs critiques.
La raction
La gestion oprationnelle de la scurit et de ses vnements et consquences.
Disposer des comptences internes ou externes et avoir des quipes capables de traiter les vnements.
Gnrer des alertes pertinentes pour faciliter la tche des quipes et rsoudre les incidents.
Le changement
La gouvernance permettant de structurer, de dfinir, doptimiser et de piloter la stratgie cyber par la mise
en place des programmes de scurit, de sensibilisation, de formation adquats et de suivi dindicateurs
de risques, de performance.
Identifier et piloter les investissements technologiques et organisationnels.
Identifier les comptences et interactions humaines ncessaires sa cyberdfense.
GRANT THORNTON
Grant Thornton, 6e groupe leader dAudit et de Conseil dans le monde avec 4,6Md$ de CA, regroupe plus
de 42 000 collaborateurs et 3 000 associs sur 5 mtiers : Audit, Expertise Conseil, Conseil Financier,
Conseil Oprationnel & Outsourcing et Conseil Juridique et Fiscal.
Grant Thornton accompagne les entreprises dynamiques (socits cotes, entreprises publiques et
prives) pour leur permettre de librer leur potentiel de croissance, grce lintervention dassocis
disponibles et impliqus, pauls par des quipes dlivrant une expertise trs haute valeur ajoute.
En France, Grant Thornton est prsent dans 23 bureaux. Avec 163,6 M de CA, le cabinet compte
1700collaborateurs et 117associs.
Laura Letteron Filitov: Senior Manager, responsable de loffre Gestion Globale des Risques au sein de
Grant Thornton.
Lionel Benao: 11ans dexprience professionnelle en Conseil & audit de la scurit des SI.
100
101
Contre les menaces applicatives (voir inventaire ci-aprs), la premire ligne de dfense sappelle un WAF,
un Web Application Firewall. Un firewall classique (pare-feu en Franais) se charge de filtrer les accs aux
adresses IP et ports de serveurs sur lesquels repose linfrastructure e-commerce. Cependant, ils ne sont
pas conus pour filtrer spcifiquement des accs Web. partir du moment o le site accepte du trafic sur
son port 80(HTTP) ou 443(HTTPS), le firewall devient quasiment inutile car le principe dun serveur Web
est dtre, en gnral, accessible tous.
Le WAF a un rle complmentaire en fournissant une couche de comprhension des requtes Web (HTTP)
que la plate-forme excute. La fonction dun WAF est ainsi danalyser le contenu dun champ de saisie sur
un formulaire pour vrifier que ce champ contient effectivement un nom ou une adresse et pas une commande dangereuse pour la base de donnes.
Les WAF les plus couteux ne sont pas forcment les plus performants. Il existe tout type doutils dans ce
domaine. titre dexemple le WAF opensource N.A.X.S.I. est gratuit et protge dj le 3me plus grand site
sur internet (en termes de bande passante). Ce dispositif constitue un filet de scurit incontournable
pour les sites de e-commerce, tout fait abordable et indispensable.
Les bnfices de la mise en place dun WAF ne sont plus dmonter: quand 8failles de scurit ont t
dtectes en un an sur la solution Magento, les sites qui disposaient dun WAF nont eu qu mettre jour
une ou deux rgles, tandis que ceux qui nen disposaient pas ont d corriger le code source, ce qui leur
a pris plusieurs semaines, pendant lesquelles leur site tait expos des attaques automatises.
103
/
les failles rcemment dcouvertes dans le framework Struts, qui utilise OGNL, notamment
pour la manipulation de cookies et de paramtres dans les URLs.
XSS / Cross site scripting, cette attaque consiste injecter du code source Javascript dans les
champs de formulaires ou les paramtres HTTP qui ne devraient pas les accepter. Avec cette
mthode, il est parfois possible de rendre son injection persistante, cest--dire quelle
durera aprs que lattaquant ou sa victime se dconnecte et reprendra lors de sa prochaine
connexion. Avec un niveau dexcution suffisant, il devient alors possible pour lattaquant
dexcuter toute une panoplie dattaques avec le navigateur de sa victime comme par exemple
de lire, modifier ou transmettre des donnes sensibles par son entremise.
CSRF / Cest une attaque assez complexe parer puisque le serveur nest pas la source du
problme. En gnral, le but pour le pirate est dattirer un utilisateur sur un site quil contrle,
pour infecter son navigateur et se servir de sessions o il sest dj authentifi, comme par
exemple un backoffice de site ou un service bancaire.
Applicative DoS / Un dni de service applicatif consiste appeler continuellement une page
du site, une API ou une fonction quelconque, qui est particulirement lourde traiter pour
les serveurs, dans le but dpuiser ses ressources.
Bruteforce de mot de passe / Cest le fait de tenter de multiples authentifications, sur un
systme ne limitant pas le nombre de tentatives dauthentification. Cela est particulirement
utilis sur les accs au backoffice en gnral dans le cadre du e-commerce, mais cette technique marche aussi pour des transactions de carte de crdit (CCV2), pour le SSH ou encore
les e-mails. Cette vulnrabilit existe dans Bash depuis 1989, mais na t que rcemment
rvle. La forte utilisation de cet interprteur a rendu cette attaque trs populaire.
104
Astrid-Marie Pirson travaille depuis quatre ans et demi chez HISCOX France. Elle a rejoint il y a trois ans,
le dpartement sinistres sur les lignes technologies, mdias, et cyberscurit, avant den prendre la
direction technique il y a un an. Avant dintgrer HISCOX, Astrid-Marie Pirson a exerc pendant six ans, en
tant quavocate, dans un cabinet davocats au conseil dtat et la Cour de cassation.
105
Selon elle, un autre phnomne se dveloppe et contribue au dveloppement des dmarches assurancielles pour couvrir les risques cyber : la pression que commence exercer entre eux les secteurs
du march pour se prmunir mutuellement contre ces risques.
Quand elle nest pas impose dans les contrats entre clients et fournisseurs, une assurance cyber, peut
mme devenir un argument de vente pour certains acteurs. Ainsi, certains acteurs prenant des assurances cyber ne le font pas tant en raison de risques avrs que pour rpondre une pratique qui tend
se gnraliser. Cela peut aussi devenir un critre important pour convaincre des investisseurs dinjecter
du capital dans leur socit.
Un rapport de force dsquilibr entre les sites de e-commerce et les hbergeurs
Astrid-Marie Pirson souligne que le rapport de force entre les hbergeurs et les e-commerants est rarement en la faveur de ces derniers. Dans la plupart des cas, les e-commerants se voient imposer les conditions de scurit dfinies par les hbergeurs. Trs gnralement, leurs marges de ngociation sont
rduites. Les e-commerants sont contraints daccepter les clauses de renonciations recours qui
figurent dans les contrats standards des hbergeurs.
Elle espre larrive prochaine dune jurisprudence qui remette en cause laspect lonin de certains
contrats dhbergement. Pour le compte des assurs Hiscox, Astrid-Marie Pirson a trait de nombreux
cas pour lesquels la dfaillance de scurit venait objectivement de lhbergeur. Mais sa responsabilit
ne pouvait tre invoque du fait de clauses de renonciation aux recours figurant dans les contrats que les
clients dHiscox avaient signs.
Assez couramment, la responsabilit de lhbergeur ne peut tre mise en cause au-del du montant
annuel du contrat dhbergement (parfois moins dune centaine deuros). Et, dans le cas o la responsabilit de lhbergeur peut tre invoque, le primtre de cette responsabilit est souvent trs restrictif.
Il exclut en particulier les dommages indirects comme par exemple la perte de chiffre daffaires ou de
clientle pour le e-commerant.
Astrid-Marie Pirson cite plusieurs initiatives europenne (Cyspa Alliance) ou franaises (Cloud Confidence),
majoritairement constitues dhbergeurs et de prestataires de services de cloud, qui cherche dfinir
des rgles de partage de responsabilit plus quilibres. Lexercice reste extrmement compliqu.
De fait, les e-commerants sont obligs dabandonner une partie de leur systme dinformation des
acteurs extrieurs, alors mme que leur responsabilit reste entire sur lensemble de leur systme. Car,
les titulaires de lobligation de scurisation des donnes personnelles les responsables de traitement
viss par la CNIL restent les e- commerants qui les donnes ont t confies par les individus, et non
les hbergeurs qui leur hbergement est sous-trait.
Ainsi, les termes du contrat liant un e-commerant son hbergeur, (en tenant compte des ventuelles
clauses de renonciation un recours) constituent un lment trs important dont le contrat dassurance
tiendra compte.
Des attentes diffrentes en fonction de la taille du e-commerant
Pour Astrid-Marie Pirson, le march du e-commerce pour les assureurs ncessite une approche
diffrencie en fonction de la taille des e-commerants. Si les acteurs de taille importante recherchent
principalement une garantie financire contre la survenue dun sinistre potentiel, bon nombre dacteurs
du march, de taille souvent plus modeste, cherchent avant tout tre dbarrasss du problme, pour
pouvoir continuer focaliser leurs efforts sur dautres domaines que le domaine de la cyberscurit.
106
Pour rpondre cette attente, il revient lassureur de proposer une palette de services permettant
de rpondre lensemble des cas de figures qui peuvent survenir. En quelque sorte, lassureur permet
ses clients doutsourcer le risque li la cybercriminalit.
Les produits dassurance cyber figurent parmi les produits dassurance les plus
complexes
Pour Astrid-Marie Pirson, les produits dassurance contre les risques engendrs par la cybercriminalit
comptent parmi les produits dassurance les plus techniques qui soient, en raison de la souscription de ce
type de contrat qui possde trois caractristiques spcifiques:
la technicit des facteurs dclenchant des sinistres gnrs par une cyber-attaque est trs largement
suprieure celles des sinistres quun assureur traite habituellement (manquements contractuels ou
les fautes professionnelles). Dans le cas des contrats dassurance cyber, lassureur devra traiter des
cas de dnis de service ou autres ransomwares.
Lvaluation du risque est souvent trs complexe; elle doit intgrer des paramtres techniques comme
par exemple la manire dont un firewall a t mis en uvre ou bien encore le niveau de
protection dont bnficie spcifiquement son client e-commerant au sein du datacenter dans lequel
il hberge ses donnes.
La spcificit et parfois la technicit des rponses incidents que lassureur doit mettre en uvre
pour le compte de ses clients.
Ainsi pour Astrid-Marie Pirson, couvrir un risque li la cybercriminalit peut constituer pour un assureur
traditionnel une vraie sortie de sa zone de confort habituelle.
lments qui rentrent dans lvaluation dun risque cyber pour un assureur
Le lieu dhbergement du site internet, le nom du fournisseur de services informatiques auxquels les
e-commerants ont recours, les outils de CRM utiliss et leur localisation (hbergement en interne
ou utilisation en mode SaaS) Les lments qui sont pris en compte pour valuer un risque cyber sont
multiples. Mais, globalement, la souscription dune assurance cyber va dpendre de deux facteurs
principaux, les donnes un couvrir par le contrat dassurance et le primtre du systme dinformation
assurer.
Or, la comprhension du primtre prcis du systme dinformation assurer est probablement llment
le plus difficile cerner aujourdhui. En effet, la caractristique des entreprises de e-commerce est de
recourir massivement lexternalisation de leur systme dinformation, et, bien souvent aussi lexternalisation des solutions logicielles quils utilisent. Selon Astrid-Marie Pirson, de tous les produits dassurance,
lassurance contre les risques cyber est probablement celle qui ncessite, pour lassureur, dentrer le plus
dans la comprhension du systme dinformation de son client.
La contractualisation dun contrat dassurance cyber
La procdure habituelle pour contractualiser un contrat dassurance consiste remplir un questionnaire
standard. Pour les risques qui dpassent une certaine taille ou une certaine complexit, lassureur peut
mandater un expert informatique pour procder une valuation dtaille: un audit technique qui est
ensuite traduit en risques assuranciels.
107
Astrid-Marie Pirson indique quun contrat dassurance est constitu de trois parties principales:
Partie 1 : les frais pris en charge par lassurance : la palette de services que lassureur mettra la
disposition de lassur pour faire face lincident (frais de gestion de crise, de communication,
consutants).
Partie 2 : la couverture des dommages subis par lentreprise assure (frais de notification, pertes
dexploitation).
Partie 3 : la couverture des dommages causs des tiers par une cyber-attaque dont lentreprise
assure aura t la victime (rclamations de tiers pour rparation du prjudice subi). Cest un point
de diffrence avec les contrats dassurance en responsabilit civile classiques car, dans le cas
des contrats dassurance cyber, il nest pas question dune faute de lassur ni dune mauvaise
ralisation de ses prestations contractuelles.
En ce qui concerne la partie 1, Astrid-Marie Pirson insiste sur limportance doffrir lassur une palette
de services larges et de qualit, quelle que soit la taille de lassur. Cela lui permet davoir accs aux
comptences adquates pour faire face la crise.
En effet, une cyber-attaque ncessite la mobilisation de comptences trs diverses qui ne sont pas que
techniques. Par exemple, HISCOX peut mettre la disposition de ses clients les comptences dexperts
forms la ngociation pour grer des situations de cyber-extorsion, ou encore les services dune agence
spcialise dans la communication de crise et la gestion de la e-rputation.
Souscrire un contrat dassurance cyber prsente lavantage pour le e-commerant daccder trs rapidement aux bonnes ressources un cot forfaitis.
En partenariat avec ITrust, entreprise spcialise dans la cyberscurit qui accompagne nos assurs en
cas de sinistre, HISCOX travaille llaboration dun mmo de bonnes pratiques destination de ses clients
mettre en uvre en cas de dtection dun incident.
Parmi les dommages subis par lentreprise gnralement couverts par un contrat dassurance cyber
(partie 2), on trouve principalement:
la perte de revenus. Elle peut tre conscutive une interruption du site ou plus globalement
lensemble du systme dinformation. Mais, elle peut aussi tre due une cyber-extorsion (ransomware), un phnomne qui se dveloppe de plus en plus en France et qui explique notamment
pourquoi la France a rejoint le hit-parade des pays les plus exposs la cybercriminalit dans le
dernier rapport de SYMANTEC (internet Security Threat Report 2016).
La cyber-extorsion.
Le cot des enqutes et le cot des sanctions administratives.
Les frais de notification des individus et des rgulateurs en cas de violation de donnes personnelles.
Sur option, peut tre propose la couverture de la cyber-fraude (par exemple, une fraude au
Prsident ralise via le piratage de la messagerie du dirigeant dentreprise) ou des consquences
dun piratage de ligne tlphonique.
Parmi les dommages causs des tiers par une cyber-attaque dont lentreprise assure aura t la victime
(partie 3), un contrat cyber couvre gnralement:
la prise en charge des dommages et intrts auxquels une socit peut tre condamne suite une
perte de donnes personnelles, cause par une cyber-attaque ou une dfaillance de lentreprise.
Les dommages et intrts conscutifs la violation de donnes sensibles dautres entreprises ou
organismes et qui sont dtenues par lassur.
108
Les incidents lis lexistence virtuelle de lentreprise, sur internet: par exemple, les cas de prise
en main du site internet dune entreprise par un pirate qui diffuserait des propos interdits par la loi
(diffamation, apologie du terrorisme).
Critres de fixation de la prime dassurance dun contrat cyber
Le montant de la prime dassurance est un pourcentage du chiffre daffaires. Nanmoins, le chiffre
daffaires nest pas le seul critre qui rentre en ligne de compte. Les autres critres peuvent tre, par
exemple, la nature de lactivit de lentreprise, la part du chiffre daffaires ralises ltranger, la qualit de
la gestion de la cyberscurit par lentreprise, la nature et la quantit des donnes personnelles collectes
et stockes par lentreprise.
Le risque de dfaut de respect de ses obligations lgales
Astrid-Marie Pirson rappelle que la fonction de la CNIL est de sassurer de la bonne protection des
donnes personnelles. Ainsi, la CNIL sattache vrifier que les donnes personnelles sont collectes,
traits, manipules. conformment aux prescriptions de la loi de 1978et ses avis ultrieurs.
En cas de fuite de donnes, la CNIL peut procder un audit ex post pour vrifier si lentreprise a effectivement respect ses obligations (cest ce quelle a fait chez Orange). La CNIL a galement le pouvoir de
procder des contrles inopins. La DGCCRF est galement habilite, lors de ses contrles, recueillir
les informations concernant dventuelles violations de la loi Informatique et Liberts, et les transmettre
la CNIL pour action.
Les ventuelles sanctions prononces par la CNIL lencontre dun site de e-commerce sont-elles
assurables ? cette question, Astrid-Marie Pirson apporte lclairage suivant : si, dans certains pays
europens ce type de sanction nest effectivement pas assurable, en France, en ltat actuel de la jurisprudence, rien ne linterdit, sauf lorsque lamende sassimile vritablement une condamnation pnale.
109
financirement par les compagnies dassurance qui pourront rembourser, selon la police
dassurance retenue, les sanctions pcuniaires
prononces par la CNIL du fait dune perte de
donnes personnelles, les frais de notification
relatifs aux failles de scurit ou aux violations
de donnes caractre personnel, les frais et
pertes lis la violation de la vie prive, les
frais juridiques de dfense devant la CNIL et les
pertes dexploitation.
Sagissant des sanctions pcuniaires, une rserve doit tre mise. La prise en charge par
lassureur des sanctions prononces par les
autorits administratives a fait lobjet de
discussions. En effet, le 14fvrier 2012, la Cour
dappel de Paris a considr que le rle de
lAutorit des Marchs Financiers est de protger lordre public boursier. Elle souligne que
ces sanctions poursuivent le mme objectif que
les amendes pnales, savoir la rpression
dune infraction ayant port atteinte lordre
public et leffet dissuasif (1). La Cour dappel
de Paris considre donc que lassurabilit de
ces amendes est contraire lordre public. Or,
il est clairement dispos larticle 6 du Code
civil (article dailleurs expos dans la dcision)
que l on ne peut droger, par des conventions
particulires, aux lois qui intressent lordre
public et les bonnes murs. Il convient en
consquence de rester vigilant quant lassurabilit des sanctions prononces par la CNIL
qui pourrait tre contraire lordre public.
La donne assurantielle est dsormais incontournable pour les sites internet.
Mais la contrepartie de la couverture de ce
risque consiste frquemment en la mise en
place en interne de mesures de scurit adaptes la structure de lassur (ex.: politique de
scurit des systmes dinformation, charte utilisateur).
Le Risk manager a l un rle particulirement
important dans la notion de cyber risque,
puisquil va au pralable valuer et anticiper
les risques encourus par sa socit, afin de
les limiter au maximum dans le cadre de la
gestion de son systme dinformation.
(1) CA Paris, 14fvrier 2012, ple 2, ch 5numro Jurisdata: 2012-001924
Mise en situation
Commenons par une situation que vous pourriez avoir grer prochainement puisque selon un rcente
tude, 77% des cyber-attaques ciblent aujourdhui les PME .
Lentreprise ecommerce.fr, base proximit de Lille, a t victime dune cybe-rattaque engendrant le vol
des donnes personnelles de 40000clients en ligne, essentiellement dans la rgion. Le DSI de lentreprise
prend connaissance de la faille et en informe le PDG et le responsable communication, alors que lentreprise est en train de lever des fonds. Le PDG dcide de garder cet incident secret. Mais, un employ dcide
111
de partager cette information sur Twitter, puis efface ce tweet, prenant conscience aprs coup de leffet
que peut produire cette information. Un journaliste de La Voix du Nord (audience: 1004000personnes)
a cependant pris connaissance du tweet pendant ce laps de temps et appelle le PDG de lentreprise pour
obtenir davantage dinformations.
Le PDG reste sur sa posture de no comment, ce qui nempche pas le journaliste de publier un article
Ecommerce.fr fait 40000victimes en ligne. Lu 150000fois, partag par 10000personnes sur Twitter et
Facebook, cette information incite un journaliste de lmission Capital sur M6 (audience de la chane :
51 741 000 personnes) contacter lentreprise pour alimenter le reportage Cyberscurit des PME :
nos donnes bancaires sont-elles en scurit ? quil prpare. Lentreprise reste sur sa politique de
lautruche face ces appels, ce qui se traduit dans le reportage par une squence charge contre
Ecommerce.fr qui devient un des symboles de la faiblesse des systmes de scurit des e-commerants
franais. Lentreprise voit son chiffre daffaires amput de prs de 40%. Comment convaincre un investisseur aprs cet pisode? Comment retrouver la confiance de ses clients?
Vous pensez que cela narrive quaux autres ? Et pourtant, la presse a rcemment racont lhistoire
similaire dune PME base dans la rgion de Pau, dabord couverte dans la presse locale (La Rpublique
des Pyrnes: Une entreprise de lagglomration paloise ranonne par un pirate informatique), puis par
la suite reprise par des sites porte nationale tels que France TV: Barn, Cyber-attaques de PME en
Barn: un piratage organis ou encore France Info: Pau: une PME cde un pirate informatique pour
survivre. Encore plus rcemment, le piratage du site Web de Castorama a engendr une couverture
mdiatique massive au niveau national, alimente par le buzz gnr sur les rseaux sociaux.
Alors, comment mettre en place un dispositif de communication de crise, avec la recrudescence des
attaques cyber?
Crise: de quoi parlons-nous?
Une crise est une situation qui remet en cause le bon fonctionnement des affaires, notamment sous
la pression dacteurs extrieurs ou mdiatiques, et qui ncessite la mise en place dune organisation
spcifique pour grer la situation et limiter ses effets ngatifs non seulement sur le business de
lentreprise, mais aussi sur sa rputation. Une crise doit tre distingue de simples alertes:
si elle nest pas traite, une simple alerte peut ventuellement tre le fait gnrateur dune crise
dampleur qui peut avoir une rsonance majeure pour lentreprise;
a contrario, une sur-communication en situation dalerte peut engendrer une couverture qui aurait
pourtant pu demeurer limite.
Une cyber-attaque en fonction de son ampleur et de ses effets doit dont tre considre comme
une alerte ou comme une crise, qui peut devenir majeure.
Depuis ladoption du rglement gnral sur la protection des donnes du 27avril 2016, toutes les socits
victimes dune cyber-attaque, dont les donnes personnelles sont touches, seront dans lobligation,
partir de 2018, dinformer leurs clients et la CNIL. Se prparer une situation de crise suite une
cyber-attaque devient une ncessit pour toute entreprise.
Quelles spcificits dune communication de crise en cas dincidents cyber?
Limmdiatet et la rapidit de la diffusion de linformation
Grce aux rseaux sociaux, nimporte quel citoyen peut simproviser journaliste et tre le fait gnrateur
dune crise dampleur par un simple tweet. Cette ralit bouscule le cycle des mdias, en amenant les
citoyens, mais galement les journalistes la recherche dventuels tmoignages ou des supports
rutilisables (photos, vidos, enregistrements sonores), sinformer en direct sur les rseaux sociaux.
112
Lirralit du dommage
En cas de cyber-attaque, il est quasi impossible de faire instantanment un point sur la situation, de comprendre, concrtement la nature et les consquences du dommage.
Si linformation nest pas reste confidentielle (de votre fait ou parce que le pirate a dcid de communiquer sur ses exploits), vous allez devoir rpondre de nombreuses questions sans toujours avoir
de rponse.
Ce qui risque daccentuer votre position dacteur incapable de protger votre entreprise et vos clients.
Leffet amplificateur
Une situation de crise se caractrise par la grande difficult contenir la diffusion de linformation. Le
dirigeant nest plus matre de ce que lon raconte sur son entreprise qui subit la pression, les interrogations de toutes ses parties prenantes (actionnaires, clients, medias, collaborateurs). Les rseaux sociaux
accentuent ce phnomne avec une diffusion virale et en continu de linformation.
Lasymtrie des responsabilits
Le hacker est souvent considr comme
un hros des temps modernes.
Ce constat est renforc par une banalisation de leurs activits, illustre par le recours des ethical hackers, ayant pour
mission didentifier les failles de sites.
Nombre de hackers, en particulier ceux
agissant pour des motifs politiques, sont
des experts de la communication, matrisant les codes des rseaux sociaux pour
promouvoir leur action. De lautre ct du
spectre, certaines entreprises nont pas
bonne image car elles capitalisent sur les
donnes gratuites de leur clients. Les entreprises ne sont jamais des victimes
pour les journalistes, mme quand elles
sont attaques. Les victimes, ce seront
toujours les clients.
EXEMPLE DE HOLDING
STATEMENT
La socit ecommerce.fr confirme quune
faille de scurit dans les systmes informatiques de lentreprise a t dtecte, entranant le piratage des donnes de certains de
nos clients.
Nos quipes sont pleinement mobilises
pour dfinir lampleur de la faille et mettre
en uvre les mesures adquates. Nous ne
pouvons apporter plus dinformations ce
stade.
113
noter, il arrive rgulirement que les diffrents mtiers de lentreprise ne soient pas en accord quant aux
mesures mettre en uvre, chacun dfendant sa propre vision. Le service lgal aura par exemple
tendance minimiser au maximum la communication pour des raisons juridiques, quand le directeur de
la communication essaiera lui de limiter limpact sur la rputation en cherchant raconter lhistoire
du point de vue de lentreprise. Le rle de la direction gnrale et la clart dans la chane de dcision sont
ici cruciaux afin de garder une cohrence dans la raction de lentreprise.
Les 3actions mettre en uvre immdiatement au sein de la cellule de crise
Rassembler les informations disponibles pour trouver
les bonnes rponses
Une rgle et une seule : ne jamais mentir. En revanche, cest vous de raconter votre histoire. Les
rponses que vous devrez apporter doivent tre bases sur des faits vrifis, et non sur des hypothses.
Afin de pouvoir prendre une dcision stratgique quant lopportunit de communiquer, la premire
action mettre en uvre est un audit date de la situation. Sur cette base, prparez un scenarii planning, cest--dire imaginez des hypothses de situations venir pour pouvoir les anticiper. Pour chacune
de ces situations, commencer imaginer un plan de communication (qui dit quoi qui, quel moment,
en expliquant pourquoi et comment vous grez la situation).
Il est aussi important de consigner dans un tableau de bord qui retracera lintgralit des faits (toutes
les informations, aprs leur vrification) et les actions entreprises, y compris les contacts et messages sur
la situation.
Mettre en place une veille mdia et rseaux sociaux
La manire dont vous allez grer votre communication dpendra en grande partie de lcho mdiatique
quaura reu la cyber-attaque. Sil convient dtre prt ragir en cas de demande en prparant un
holding statement, un suivi en continu doit tre mis en place pour reprer les signaux faibles; cest-dire les ventuels commentaires qui laisseraient entendre que des publics en dehors de lentreprise ont
compris votre situation.
valuer lintgralit des publics concerns par votre situation
ou impliqus par la crise
Si le client apparat comme la priorit naturelle, il convient de ne pas perdre de vue que votre audience
peut en ralit tre multiple, et chacune dentre elles doit tre traite en fonction de son impact pour votre
entreprise:
partir de 2018, votre entreprise aura lobligation de communiquer toute violation de donnes
caractre personnel susceptible dengendrer un risque lev pour les droits et liberts dune
personne physique auprs de la personne intresse. En cas de violation de la scurit des donnes,
votre entreprise devra galement dsormais en informer la CNIL dans les meilleurs dlais et au plus
tard dans les 72heures aprs la prise de connaissance de la faille, moins que la violation en question
ne soit pas susceptible dengendrer un risque pour les droits et liberts des personnes physiques.
Noubliez pas vos collaborateurs, vos investisseurs et vos partenaires (votre assureur, en priorit).
Lanticipation de lensemble des sollicitations extrieures est cl: identifier les journalistes et medias,
autres relais ventuels dinformation.
Votre objectif de communication en cas de cyber-attaque:
viter une mise en cause directe
Quel que soit la crise que votre entreprise rencontre, il convient danticiper une ventuelle couverture
mdiatique. Ce qui veut dire que ce que vous allez exprimer pourra tre repris contre vous en cas dventuelle judiciarisation du problme.
114
Rseaux sociaux
+1h
+3h
+4h
+1jour
Premiers messages
apparaissent sur
Twitter
Poursuite des
rponses aux
diffrents tweets
Mdias
What??
Mon compte
ecommerce.fr pirat!
#ecommercegate
Ecommercer.fr
Linformation tant
avre:
Identification des
remontes sur Twitter
N
otification auprs
de la CNIL
Prparation dun
communiqu plus
tay avec les
informations
pertinentes et
diffusables
E
nvoi dun message
factuel aux clients
concerns
E
nvoi dun message
factuel destination
des employs visant
viter une fuite
venant de linterne
Demande du
journaliste de La Voix
du Nord
Suite larticle de
LaVoix du Nord,
demandes de mdias
nationaux
Traitement des
demandes mdias au
cas par cas
Poursuite de la veille
Poursuite de la veille
Poursuite de la veille
115
Conclusion: anticiper!
Au lieu dattendre que cette situation ne
vous arrive pour commencer vous organisez, vous avez maintenant compris
lintrt danticiper et de vous prparer.
Dautant que votre actionnaire risque de
vous le demander. Alors, comment faire?
Premiers conseils
Lanticipation et ladoption de bons
rflexes permettent de gagner un temps
prcieux. Les mesures ci-dessous, mises
en uvre soit en interne, soit par une
agence spcialise en communication
de crise, pourront permettre dviter
limprovisation et de maximiser lefficacit
de la rponse apporte.
LA GESTION DE CRISE
en cas dincident cyber ltranger
ne diffre pas fondamentalement
de ce qui est recommand en France
Dans le cas dun incident qui se droulerait
aux tats-Unis, les fondamentaux suivants
pourront ainsi tre mis en uvre:
agissez rapidement, mais dans le calme et
de manire organise;
gardez en permanence lensemble des
audiences lesprit (clients, employs,
actionnaires);
maintenez une relle cohrence et soyez
coordonn pour rduire au maximum les
risques;
concentrez-vous sur le futur, et non sur le
pass;
communiquez tt et rgulirement pour
garder le contrle sur la couverture de lincident;
obtenez les informations ne vous appuyez que sur des informations avres;
soyez honnte et transparent avec toutes
vos audiences;
assumez la responsabilit le cas chant;
communiquez directement avec les parties
prenantes ne vous reposez pas sur les
journalistes pour cela.
Warren Buffet
116
Organisation
au sein de
votre structure
Prparation
des outils de
communication
117
118
LA NUIT DU HACK
Quest-ce que le Hacking?
Cest dabord la passion de la traque des bugs (cause de piratage) des programmes
couramment utiliss, la proposition de solutions adaptes et la prvention de ces dangers
auprs des utilisateurs. Cest enfin la volont de partager linformation avec le grand public
de manire donner les cls quiconque de comprendre, dapprendre et de participer au
dveloppement des nouvelles technologies de scurit.
Autour de confrences, dateliers et de challenges, la Nuit du Hack vise rassembler les
professionnels de la scurit informatique et les hackers de tous niveaux de qualification.
Cette manifestation leur permet de dcouvrir les dernires avances techniques et dvaluer
leurs comptences dans le domaine.
Depuis ldition 2010, la Nuit du Hack accueille des confrenciers et des ateliers anglophones,
amliorant ainsi la qualit et laccessibilit de lvnement.
Objectifs de la Nuit du Hack:
instruire le grand public, en donnant chacun les moyens de comprendre et de matriser
les enjeux et les risques dun style de vie moderne intgrant en son sein les nouvelles
technologies.
Dmystifier les techniques et les secrets des pirates pour donner les moyens dune approche rationnelle et mesure des problmatiques de scurit sur internet, et fournir si
ncessaire les lments, techniques ou non, permettant de se protger.
Participer la protection et la dfense des consommateurs de services internet grce
nos investigations. Celles-ci valuent par exemple le niveau rel de scurit et de
confidentialit offert par ces services.
Diffuser les connaissances techniques les plus pointues, hors du champ restreint de celui
des spcialistes. Nous voulons ainsi favoriser le libre change de linformation, et fournir
un outil utile aux passionns comme aux professionnels de la scurit.
Permettre aux professionnels dchanger entre eux les dernires avances en matire de
scurit informatique.
119
Ces plates-formes vont devoir uvrer pour sensibiliser le march franais. Il leur faudra vaincre certaines
rticences dores et dj identifies comme la difficult autoriser des experts inconnus rechercher des
failles de scurit ou encore accepter que les vulnrabilits dcouvertes soient hberges sur un serveur
informatique, non matris par le client.
Le business modle des plates-formes de Bug Bounties est assez simple : le prlvement dune
commission sur la rmunration des Bounty, les primes financires que touchent les experts lorsquils
trouvent une faille de scurit. Il est noter que les rcompenses (les Bounties) ne sont pas uniquement
financires. Elles peuvent prendre la forme de goodies de valeurs trs variable. Par exemple, la
compagnie arienne United Airlines propose des miles ariens.
Pour tre rmunres, ces failles doivent rentrer dans le primtre dfini par lentreprise et ne pas tre
en doublon. Or, la gestion des signalements peut rapidement devenir problmatique pour lentreprise.
En effet, elle doit tre en mesure de grer un volume potentiellement important de signalements parmi
lesquels elle doit identifier les doublons et, bien videmment, procder aux corrections des failles qui ont
t dtectes. Le tout, avec un bon niveau de ractivit, pour maintenir des interactions dynamiques avec
les hunters.
Selon Ely de Travieso, le cot dun Bug Bounty pour un site e-commerce approchera sur une fourchette
haute les 5000euros alors quun audit de scurit sera lui factur autour des 10000euros.
Pour aider ses clients grer son programme de Bug Bounty, Bounty Factory a lanc Program Manager.
Ce programme permet grce des partenariats avec les 3acteurs majeurs de la scurit sur le march
franais, dexternaliser totalement la gestion du Bug Bounty, du ddoublonnage la qualification
des failles, en passant par la dfinition du montant attribuer pour chacune dentre elles.
Les quipes de Bounty Factory proposent galement ses clients de les aider dfinir le primtre du Bug
Bounty ; tche qui peut tre relativement complexe, mais qui est essentielle au bon droulement dun
Bug Bounty.
Bounty Factory, qui vient de lancer ses activits, commence convaincre un nombre de plus en plus
important dentreprises de rejoindre sa communaut. Parmi ses clients les plus connus, elle compte OVH,
et Qwant (le moteur de recherche europen).
/
t propose et semble plus adapte.
En effet, assurer la confidentialit et la scurit des donnes est une priorit pour ces Bug
Bounties. Les entreprises souhaitent se mettre
en conformit avec la rglementation actuelle
et viter toute publicit du fait de failles de
scurit.
121
Les Bug Bounties reposent quant eux sur une dmarche de tests en continu, 24/24, 7/7. Ce sont des
dizaines voire des centaines de testeurs qui participent. Lintrt des Bug Bounties tient galement
la diversit des profils des testeurs ainsi qu la varit des mthodes quils utilisent.
Les Bugs Bounties:
une manire de communiquer positivement sur la cyberscurit?
Le Bug Bounty est aussi un bon moyen de communiquer auprs de ses clients. Pour un e-commerant,
lancer son programme de Bug Bounty, cest montrer publiquement quil est proactif et ractif sur la
scurit des donnes prsentes sur son site. Cela peut contribuer ajouter un degr supplmentaire de
confiance ct client.
a permet aussi de faire quelques bons coups de communication en proposant par exemple des sommes attrayantes ou des lots originaux qui font le succs de la
marque. Par exemple, American Airlines propose des miles
aux chercheurs en scurit qui leur remontent des failles,
ce qui lui a permis dtre dans tous les mdias pendant plusieurs jours. Le programme de Bug Bounty de United Airlines est accessible depuis le site grand public: http://www.
united.com/.
Mais attention, si la personne en charge du Bug Bounty ne
joue pas le jeu en modifiant par exemple son programme
la vole dans le but de ne pas rmunrer les chercheurs en
scurit (hunters) ou en marquant comme doublon des
failles qui ne le sont pas, il prend le risque de se faire mal
voir par la communaut des bug hunters et cela peut rejaillir ngativement sur la marque.
Il convient donc dtre trs carr dans la gestion de son programme et de trouver des ides de rcompenses originales pour crer de lengouement et en faire profiter sa marque.
Pour Ely de Travieso, pilote du projet BugBountyZone, il nest pas exclu que certains e-commerants
franais, une fois rompus lutilisation des Bug Bounties, puissent communiquer la manire dun Twitter
qui a annonc rcemment avoir offert plus dun million de dollars en rcompense pour des failles de
scurit identifies.
Les Bug Bounties:
vers un cadre juridique gagnant-gagnant?
Pour les Ethical Hackers, les Bug Bounties offrent, selon Korben, un cadre juridique qui les scurise. Il leur
permet dentrer en relation avec les entreprises sans sexposer des poursuites. En labsence de ce cadre,
on sait quun certain nombre de failles de scurit, au mieux sont dcouvertes sans tre divulgues,
au pire sont monnayes sur le march noir ou peuvent tre utilises pour dmontrer publiquement la
permabilit dune entreprise aux failles de scurit.
Des chevaliers blancs peuvent aussi jouer le rle dintermdiaire entre les hackers et les deux
entreprises; cest notamment le cas de ZATAZ de son protocole dalerte. Sur son site, ZATAZ revendique
plus de 60000socits (au 30/10/2015), prives et publiques, associations aides grce au signalement
dune faille, dune vulnrabilit, dune fuite de donnes, dun piratage via le protocole dalerte.
122
SYSDREAM
Sysdream est une socit daudit, de formation en scurit informatique et spcialiste du cyber-entranement. Fonde par deux consultants passionns de scurit informatique, Sysdream est ne afin de
satisfaire la demande croissante en matire de comptences et daudit (tests dintrusion) du point de vue
de lattaquant (Scurit offensive ou Ethical Hacking), formule par les entreprises ayant un besoin lev
en scurit. Depuis 2004, Sysdream sest entoure de collaborateurs trs qualifis dans ce domaine grce
la communaut de hackers (White Hat) initie par un de ses fondateurs. Tous participent activement aux
efforts de recherche publique (publication dalertes de scurit et darticles techniques), de veille
technologique et de dveloppement doutils innovants.
Aprs trois annes au ministre de la Dfense en tant quingnieur en recherche et
dveloppement, Florian Nivette rejoint lquipe dauditeurs en scurit de Sysdream.
Les missions sur lesquelles il intervient peuvent aller du test dintrusion laudit de
configuration. Florian dispense galement des formations sur les techniques dattaques,
mais galement sur les mthodes de protection des systmes dinformation.
123
Cependant, ponctuellement, il est recommand de faire appel un intervenant extrieur. Son exprience
et sa vision de ltat de lart feront quil sera plus mme de reprer certains risques. Lexprience de
diffrents types de mission nest pas ngligeable et ajoute une vritable plus-value. Dautre part, une vision
extrieure, confronte avec les pratiques internes, est toujours enrichissante.
Normes et mthodologies
De nombreuses normes et mthodologies entourent lanalyse de risques. Plusieurs pays disposent
de leurs propres standards, sachant que lONU a uniformis les grands principes autour de la norme
ISO27005.
Celle-ci, dans le cadre de la certification ISO 27001, tablit les grands principes de la gestion de risques et
propose une mthodologie simplifie, sous forme dune analyse qualitative.
Lanalyse qualitative tend produire une valuation de risques subjective, sous forme de verbes: risque
critique, lev, modr ou faible. Une telle approche vise lefficacit, car elle est relativement simple et
pragmatique dutilisation. Elle sintgre ainsi facilement toutes sortes denvironnements.
La norme ISO 27005promeut galement le principe damlioration continue, connu sous lacronyme PDCA
(Plan, Do, Check, Act). Il faut donc voir lanalyse de risques non pas comme une analyse unitaire et ponctuelle, mais comme un processus rgulier, effectuer par exemple tous les ans.
Lide est damliorer de manire itrative la fois la scurit du systme analys (volution de la menace,
dcouverte de nouvelles faiblesses, ajout de composants), mais aussi lanalyse de risques elle-mme!
En effet, lanalyse de risques est un processus non exhaustif et toujours perfectible. Son affinage avec
le temps et lapprentissage de ses propres erreurs dapprciation, font partie du processus.
En support de cette norme, nous pouvons nous appuyer en France sur deux mthodologies reconnues:
EBIOS (Expression des Besoins et Identification des Objectifs de Scurit), issue de lANSSI, et Mehari
(Mthode harmonise danalyse des risques), issue du CLUSIF.
Ces mthodologies suivent les principes de la norme ISO, et peuvent donc tre considres comme
compatibles.
Le choix de lune ou lautre mthode dpasse le cadre de cet article. Il sagit de toute manire dune
question daffinits.
LEBIOS est particulirement utilise dans le secteur public et ladministration. Avec un socle documentaire
complet, elle propose une analyse purement qualitative.
Mehari, pour sa part, permet galement de raliser une analyse quantitative.
Lanalyse quantitative offre la possibilit, par exemple, dvaluer le niveau de risques par un chiffre,
cest--dire un cot. Cest une mtrique particulirement prcise, concrte et efficace pour les dirigeants,
puisquil sagit du critre essentiel pour une entreprise.
Nanmoins, mettre en uvre une approche quantitative est complexe. Dabord, il est ncessaire davoir
une grande maturit et une grande matrise de ses actifs, afin de pouvoir tous les chiffrer. Le temps
de calcul et les validations ncessaires allongeront galement la dure de laudit.
Ensuite, certains facteurs seront toujours dlicats estimer. Comment, par exemple, estimer le cot dune
atteinte limage dune socit?
124
125
Le temps pris par une analyse de risques peut varier en fonction de la complexit du projet auditer. Cette
dure peut varier entre une semaine et plusieurs semaines. Tout dpend bien sr de la taille du projet:
nombre dintervenants, technologies employes, complexit de larchitecture
Pour raliser une analyse de risques sur un systme, un projet ou encore une infrastructure complte,
il est donc ncessaire davoir un accs complet toutes les informations et documentations pouvant
renseigner au mieux les personnes ralisant cet audit. Ils doivent prendre en compte chaque lment,
mme si celui-ci semble peu important.
Chaque analyse commencera par une dfinition du contexte du projet. Par cette dfinition, il est important
de comprendre exactement son fonctionnement, les points cls, les points dentres et de sorties et
les mcanismes liant chaque lment entre eux.
Ensuite, la connaissance de ltat de lart et lexprience permettent de mettre en vidence les
vulnrabilits et les facteurs de menaces, partir desquels nous pouvons chafauder des scnarios
de menaces.
Chaque menace est ensuite caractrise par son niveau de vraisemblance (niveau dexposition public,
nombre dutilisateurs, degr de vulnrabilit, attrait) et son niveau dimpact (valeur des actifs affects).
Limpact nest pas seulement calcul en fonction de limpact technique, mais aussi des dommages quune
attaque pourrait porter sur limage de marque de la socit ou du produit. Lexemple le plus parlant est
celui des fuites didentifiants de connexion, causant du tort aux victimes, utilisateurs ou propritaires du
produit cibl.
Le risque de chaque menace est la rsultante du croisement entre son niveau de vraisemblance et son
niveau dimpact. Nous utilisons en gnral une matrice de correspondance pour le calculer.
Le risque initial permet davoir un premier tat des lieux de son niveau de risque. Nous pouvons ventuellement, si ce risque est considr comme inacceptable (au regard dun seuil dfini lors de ltablissement
du contexte), proposer des mesures de scurit supplmentaires.
Leur efficacit aprs application sera mesure au travers du risque rsiduel, qui doit logiquement tre
rduit (effet sur la probabilit ou limpact).
Livrable et dcision
Chaque analyse doit donner lieu un rapport reprenant tous les points de risque identifis. Il doit tre
destination des dcideurs ainsi que des quipes technique. Pour tre comprhensible par un maximum
de personnes, il faut que ce document soit crit sans aller prcisment dans les dtails techniques qui
peuvent, si ncessaire, tre adjoints en annexe.
Au terme de ltude, il est tout fait envisageable que le risque ne soit pas trait, mme avec des mesures
de scurit additionnelles.
Le rapport dune analyse de risques na pas la force dune conclusion.
Il sagit dun simple outil dcisionnel pour les dirigeants, qui doivent alors dcider que faire du risque
associ un projet. En clair, sur la base du rapport, les dcisions suivantes peuvent tre prises:
acceptation du risque: la socit estime que lactivit doit tre maintenue malgr le risque, et sans
investissement supplmentaire.
vitement du risque: cela peut se traduire par labandon du projet ou dune composante.
Rduction du risque : mise en uvre des mesures de protection recommandes pour atteindre
un niveau de risque acceptable.
126
Transfert du risque : on dlgue le risque un tiers, par exemple un prestataire pour la gestion
du paiement.
Communication du risque : les utilisateurs sont informs de la menace et utilisent le service
en connaissance de cause.
Lanalyse de risques, et aprs
Lanalyse de risques est un processus organisationnel et fonctionnel, avec les avantages que nous avons vus.
Sa limite rside dans labsence de tests techniques. Pour cette raison, complter une analyse de risques
par un ou plusieurs audits techniques constitue une vritable plus-value.
Ces deux missions se compltent parfaitement. Lanalyse de risques est proche de lactivit, large de par
son primtre et structurante sur le long terme.
Le test technique prouve en situation relle lefficacit des mesures de scurit en place. Prenant
la forme dun test dintrusion, dun audit de configuration ou darchitecture, il vient enrichir la base de
connaissances, confirmer ou infirmer certains points de vue de lanalyse de risques. Ainsi, il contribue
laffinage de celle-ci lors de sa prochaine itration.
Le test dintrusion ou Pentest (Penetration Testing) est une simulation dattaques informatiques par des
professionnels de la scurit.
Ces tests sont raliss la fois manuellement et avec des outils automatiss.
Anthony possde une licence professionnelle CDAISI (Cyber Dfense, Anti-Intrusion
des Systmes dInformation).
Il effectue des audits de scurit et tests dintrusion pour de grands comptes industriels,
bancaires et ministriels. Il dispense par ailleurs des formations permettant de sensibiliser
le personnel dentreprises aux menaces informatiques, mais aussi dautres formations plus
techniques permettant dacqurir les connaissances ncessaires la ralisation de tests dintrusion
ou encore la mise en place de moyens techniques pour se protger.
127
Par exemple, si le prestataire peut compromettre le rseau interne depuis le rseau externe alors, un
attaquant le pourra aussi. Potentiellement, ce dernier ira mme plus loin, car, contrairement lauditeur,
il na aucune contrainte de temps.
Le test dintrusion a aussi pour vocation de sensibiliser les personnes face aux attaques. En effet, bien
souvent, on ne se rend pas compte de limpact rel que peut avoir, par exemple, labsence de mises jour
sur un parc informatique, tant quun test dintrusion na pas t effectu ou quune attaque relle ne sest
produite.
Cette prestation permet aux dcideurs de mesurer concrtement les consquences dune attaque, en lui
apportant des rponses aux interrogations suivantes:
un attaquant pourrait-il facilement accder aux informations sensibles de ma socit ou de mes
employs?
Pourrait-il perturber la production?
Pourrait-il porter prjudice aux utilisateurs de mes services?
Les quipes techniques sont-elles suffisamment ractives?
Les attaques sont-elles correctement dtectes et journalises?
La scurit de mon SI est-elle correcte ou non?
Le risque est-il acceptable?
Une intrusion frauduleuse sur le systme dinformation dune socit peut coter plusieurs dizaines, voire
plusieurs centaines de milliers deuros. Un audit cote quelques milliers deuros. Dans ces conditions,
le choix peut tre rapidement fait.
Mthodologies
Certains standards existent en ce qui concerne la mthodologie suivre lors dun test dintrusion. Parmi
les plus connus, nous retrouvons lOWASP et lOSSTMM.
Les mthodologies reconnues
LOWASP (The Open Web Application Security Project): cette mthodologie Open Source incontournable
de la scurit Web prsente un guide qui recense, classe et dcrit les vulnrabilits techniques, les moyens
de dfense et de test. En plus de ses nombreux guides, lOWASP propose galement une mthode
danalyse de risque (OWASP Risk Rating Methodology).
LOSSTMM (The Open Source Security Testing Methodology Manual): il sagit galement dune mthodologie Open Source, mise au point par lISECOM sur la base de la plupart des standards du secteur.
LOSSTMM sest rcemment impose comme lune des rfrences pour les tests dintrusion, tant
pour lapproche technique que pour lanalyse du risque. Outre une mthode dtaille, complte, mais
pragmatique et abordable, lOSSTMM propose une base commune de vocabulaire et doutils mthodologiques facilitant la spcification et le droulement des prestations.
Conscutivement la dcision de mener un pentest sur son SI ou sur une de ses applications, il reste
faire un choix sur lapproche choisir.
En effet, plusieurs approches sont envisageables lors dun test dintrusion.
Lapproche Bote Noire
Elle consiste raliser les tests dun point de vue totalement externe. Autrement dit, lauditeur se met
la place dun attaquant ne disposant daucune information sur les technologies utilises par la socit
et sans accs particulier.
128
Cette approche vise vrifier la capacit, pour un attaquant externe et probablement opportuniste,
porter prjudice la socit.
Lapproche Bote Grise
Cette approche sert vrifier ce que pourrait faire une personne ayant dj des accs sur certains services
ou systmes.
Le profil dattaquant simul est typiquement une personne interne avec certains accs (stagiaire,
prestataire).
Lapproche Bote Blanche
Cette approche, quant elle, a pour but de vrifier la mise en place des bonnes pratiques de scurit.
Le prestataire audite plus exhaustivement lapplication, y compris du point de vue interne, avec tous les
accs et la documentation disponibles.
Ensuite, en fonction du point de vue de lattaquant, externe ou depuis le rseau interne, le but recherch
nest pas le mme.
Lors dun audit externe, lauditeur recherche principalement mettre en vidence le risque dintrusion
depuis internet et la fuite dinformation.
Lors dun audit interne, il souhaite davantage vrifier le cloisonnement des droits, des services et la
possibilit dlever ses privilges au sein du SI.
De plus, un autre lment entre en jeu lors dun test dintrusion. En effet, avant laudit, lauditeur dtermine
avec le commanditaire si les quipes techniques doivent tre prvenues des tests ou non.
Ne pas les avertir est plus raliste et permet de tester leur ractivit.
Dans ce cas, seules quelques personnes, dont le commanditaire, seront au courant de laudit.
Il est donc important de dfinir ce que lon souhaite tester avant de choisir une prestation plutt quune autre.
Les phases dun test dintrusion
Gnralement, les tests sont dcoups en plusieurs phases:
la prise dinformations;
la recherche de vulnrabilits;
lexploitation;
llvation de privilges;
le nettoyage des traces.
La prise dinformations
Le primtre audit fait lobjet dune exploration minutieuse la recherche dinformations: techniques
dune part, pour faciliter la dcouverte de vulnrabilits, mtiers dautre part, pour faciliter par exemple
des attaques par ingnierie sociale.
Lauditeur met en place deux types de prise dinformations: passive et active.
La prise dinformations passive, sans interaction directe avec la cible audite, passe principalement par la
recherche dinformations sur les outils publics (moteurs de recherche, bases WHOIS, annuaires).
Elle a pour but de vrifier la fuite dinformations sur internet pouvant profiter un ventuel attaquant.
129
Certaines informations prsentes sur internet peuvent constituer une menace directe (extrait de base de
donnes rfrence sur Google) ou indirecte pour une socit (authentification accessible depuis la toile
un portail dadministration).
La prise dinformations active, quant elle, consiste interroger directement la cible pour en obtenir des
informations.
Lors de cette tape, lauditeur va scanner la cible afin de prendre connaissance des services quelle utilise,
des technologies prsentes ainsi que des versions associes afin didentifier plus facilement dventuelles
failles de scurit.
Une prise dinformations dite passive se veut plus discrte, mais elle sera en gnral moins dtaille
et moins approfondie.
linverse, une prise dinformations active a pour but de rcolter un maximum dinformations, mais
sera bruyante.
Lors dun test dintrusion, les deux types de reconnaissances sont utiliss afin de balayer au mieux
lensemble du primtre.
La recherche de vulnrabilits
Une fois la premire phase termine, cest--dire lorsque lauditeur estime quil dispose dassez dlments
pour continuer, ce dernier va sefforcer didentifier des failles de scurit.
La phase prcdente joue donc un rle crucial ici. Plus lon dispose dinformations sur les services utiliss,
leurs versions, leurs configurations plus il sera ais den identifier les faiblesses.
Pour identifier des vulnrabilits, lauditeur peut procder de deux manires diffrentes.
La premire consiste prendre connaissance de lexistant. En effet, sil existe dj des failles connues sur
un produit faisant partie du primtre alors, il sera gnralement plus simple et plus rapide den tirer profit.
Pour vrifier cette information, il existe de nombreuses bases de donnes en ligne telles que:
w
ww.exploit-db.com
www.securityfocus.com
www.cvedetails.com
w
ww.cert.ssi.gouv.fr
https://nvd.nist.gov
Si aucune vulnrabilit publique nest identifie alors lauditeur va sefforcer de trouver lui-mme une faille
et de lexploiter.
Il est toutefois important de noter que toutes les failles rendues publiques nont pas forcment une preuve
dexploitation associe.
Dans ce cas, lexploitation nest pas toujours aise.
Lexploitation
Aprs avoir identifi une ou plusieurs vulnrabilits, il est ensuite question de tester la porte de celles-ci.
Cest--dire, de tester limpact rel de ces failles pour la socit.
Lauditeur va donc chercher les exploiter autant que possible, afin de dmontrer la dangerosit de ces
faiblesses.
Il est galement important de noter que le travail de lauditeur ne consiste pas uniquement prendre
le contrle de machines ou de services.
130
Son travail consiste surtout, dans le temps qui lui est imparti, faire un tour dhorizon des ventuelles
failles prsentes sur le primtre et den valuer le risque associ.
Llvation de privilges
Une suite logique de la phase dexploitation est llvation de privilges. Le but est tout simplement de
vrifier jusquo il est possible daller dans la compromission du systme.
Dit plus simplement: peut-on prendre le contrle intgral du systme ou du rseau de lentreprise?
Cette partie est donc fortement lie la phase dexploitation.
Par exemple, lors de la compromission via un utilisateur ayant des droits restreints, nous allons tenter
dobtenir les droits de ladministrateur.
Si tel est le cas, le risque sur ce serveur est dautant plus important.
Cette phase est davantage mise en avant lors des tests dintrusions internes.
Lauditeur va tester, depuis un accs employ, sil lui est possible dobtenir les droits dadministrateur
du domaine.
Le nettoyage des traces
Lors dune attaque informatique, lattaquant sefforcera gnralement de supprimer ses traces, afin que
lon ne puisse pas facilement le reprer et lidentifier.
Dans une situation de test dintrusion, cela est quelque peu diffrent. En effet, lauditeur ne va pas
chercher effacer ses traces. Au contraire, il va chercher dmontrer ses diffrentes exploitations.
Nanmoins, il aura pour tche de supprimer dventuels fichiers dposs sur les serveurs durant laudit,
et de sassurer que les diffrents lments du primtre sont exactement dans le mme tat quavant
ses tests.
Les prcautions usuelles prendre avec la mise en uvre de tests dintrusion
Lorsque des tests intrusifs sont raliss, il est bon de prendre quelques prcautions afin dviter au
maximum les effets de bord.
Lauditeur doit minimiser les tests dangereux, notamment les tests pouvant mener un dni de service.
Les services doivent rester joignables et intgres autant que possible.
Lorsque le systme de production est jug trop sensible pour risquer le moindre dni de service, il est
prfrable deffectuer les tests en priodes creuses comme la nuit ou encore le week-end.
La personne en charge des tests techniques doit imprativement tre en troite collaboration avec
un responsable oprationnel tout au long de la prestation. Il est essentiel de pouvoir ragir vite en cas
de problme.
Lauditeur doit galement respecter des rgles dthique et de dontologie. Son travail consiste remonter un maximum de problmes de scurit sur le primtre, tout en tenant compte des contraintes
de production de son client.
Les procdures mises en place sont normes et reproductibles.
131
132
133
134
135
Prparation
La prise dinformation, effectue au travers dune runion de lancement avec le mandataire et, ventuellement, les quipes techniques susceptibles dapporter leur assistance, est une tape essentielle.
Lanalyse inforensique est dlicate en raison de la nature volatile et fragile de la preuve numrique.
Avant toute intervention technique, il faut ainsi avoir une connaissance trs prcise de la cible de lanalyse.
Cette connaissance permet dadapter notre dmarche dinvestigation aux besoins et aux contraintes.
Il sagit aussi de prparer un matriel adquat (quipements et logiciels).
En effet, disposer dun bon outillage est indispensable. Par exemple, pour raliser lacquisition dun disque
dur au format IDE, il faut disposer de la connectique ncessaire (cble, adaptateur) et bien sr de lespace
disponible suffisant sur le poste ou le disque dacquisition.
Des lments spcifiques au domaine inforensique sont aussi utiles. Voici quelques exemples:
un bloqueur daccs en criture, pour accder aux disques tudis sans courir le risque daltrer
le support;
des suites logicielles danalyse et de rcupration de donnes, pour analyser les disques la
recherche de traces anciennes (FTK, Encase, Autopsy);
un espace de stockage important, type NAS;
sachets antistatiques, mousse antichoc et tiquettes pour assurer le transport du matriel lectronique saisi;
tournevis, adaptateurs et outils techniques en tout genre
Il nest pas concevable de se prsenter sur le lieu dintervention, o il faut parfois agir trs vite et sous une
certaine pression, sans savoir ce que lon doit faire ou sans le matriel ncessaire.
Identification de la menace
Avant dintervenir directement sur lincident lui-mme, lanalyste value la situation et les diffrents actifs
en priphrie autrement dit, la scne de crime.
Dune part, il sagit dtre sr que la menace ne risque pas de se propager et daggraver la situation.
Par exemple, il peut tre ncessaire de prendre, avec laccord du mandataire, la dcision disoler une
machine ou un rseau lorsquun ver risque de contaminer dautres machines, ou lorsquune exfiltration de
donnes est en cours.
Dautre part, il faut tre sr de ne pas oublier de preuves lors de la phase de collecte. Il est prfrable de
rcuprer plus dlments que ncessaire, plutt que doublier des indices qui pourraient savrer dcisifs.
Enfin, un primtre de scurit doit tre dfini, garantissant quaucune intervention inadquate ne puisse
dtruire des preuves avant leur saisie.
Collecte
La collecte est une tape cruciale, pendant laquelle seront saisies les preuves numriques sur lesquelles
toute lanalyse sera fonde.
Pour garantir le succs de lanalyse et tre conforme avec les exigences juridiques, cette tape ne doit tre
ralise que par une personne forme et rompue lexercice inforensique.
136
Les interventions ralises par les administrateurs, souvent de manire prcipite et avec un manque
dexprience dans le domaine, se soldent souvent par un dsastre: mthodes non adaptes, rsultats
incomplets, destruction de preuves
La mthode de saisie doit garantir que les preuves sont:
compltes et suffisantes pour lanalyse;
intgres pour pouvoir tre vrifies et rejoues lors dune contre-expertise, notamment dans une
perspective judiciaire.
Lanalyste doit interfrer le moins possible avec les quipements saisis, afin de ne pas polluer lenvironnement et prendre le risque deffacer des preuves.
En support, des logiciels et du matriel physique prouvs sont utiliss pour garantir la non-altration des
donnes (accs en lecture seule) et gnrer des empreintes cryptographiques comme preuve de leur
intgrit.
Gestion des preuves
Suite ltape de collecte, il est indispensable dassurer que lintgrit et la confidentialit des donnes
saisies continueront dtre prserves. Le principe de base du travail est de ne jamais travailler sur
la preuve originelle, mais sur une copie conforme (sauf forte contrainte technique).
En ralit, la bonne pratique consiste mme raliser deux copies de loriginal: une copie de travail, et une
copie de secours sur laquelle retomber en cas daltration accidentelle. Lide est de rellement sanctuariser la preuve dorigine, en ne la manipulant quune fois.
Lensemble des donnes est stock de manire chiffre et scurise, et pour un temps de conservation
dfini avec le mandataire. Les ventuels dplacements, copies et archivages sont consigns dans le rapport.
Analyse
Lanalyse est ltape la plus longue du processus, notamment lorsque la menace reste peu identifie (soupon). Lanalyste doit faire le tri au milieu dun volume dinformations souvent trs consquent, interprter
des bribes dinformations et un faisceau dindices pour reconstituer un scnario global.
cette fin, une partie importante du travail consiste placer les lments dans un ordre chronologique
(timeline).
Par ailleurs, nous distinguons deux approches danalyses distinctes et, souvent, complmentaires :
lanalyse hors-ligne et lanalyse en ligne. Dans lidal, les deux dmarches doivent tre droules, bien que
cela ne soit pas toujours possible, en fonction des prrequis techniques.
Analyse en ligne
Lanalyse en ligne, la plus classique, consiste contrler ltat gnral du systme la recherche dune
compromission ou de toute trace suspecte.
Cette analyse seffectue avec les outils dadministration du systme dexploitation, des scripts ou des outils
externes.
Cette mthode permet davoir une bonne vision du systme grce aux nombreux lments disponibles
et de dtecter les comportements anormaux les plus visibles.
Elle est cependant limite face des attaques sophistiques ayant compromis les composants les
plus scuriss du systme, car les traces seront alors caches, mme des outils danalyses.
137
Analyse hors-ligne
Lanalyse hors-ligne est la mthode danalyse privilgie, car la plus fiable. Elle consiste rcuprer un
instantan de ltat du composant analys, afin den effectuer une analyse partir du poste de lanalyste.
Dans le cas de la mmoire vive, comme les donnes analyses sont brutes et ne peuvent tre altres par
le systme dexploitation de la cible, lanalyste est en mesure de rechercher des traces dattaques sophistiques (de type rootkit).
Concernant lanalyse dun disque dur, toutes les traces dutilisation sur un systme dexploitation peuvent
tre recherches, y compris les tentatives deffacement de traces par un utilisateur.
Enfin, les traces rseau, lorsquelles sont disponibles, sont galement prcieuses, car elles donnent un
point de vue externe du trafic manent dun ordinateur.
Rtro-Ingnierie
Cette analyse consiste dsassembler un logiciel malveillant qui aurait t utilis dans le cadre dune
compromission. Lobjectif est den comprendre le fonctionnement, la vulnrabilit exploite et dessayer
didentifier son auteur.
Principales causes dchec de lanalyse inforensique
Menace non dtecte
Nous avons dj voqu ce sujet: une menace non dtecte ne peut pas faire lobjet dune analyse.
Seule une organisation mature va gnralement tre en mesure de dclencher ce type de dmarche.
Mconnaissance du domaine inforensique
Lanalyse inforensique est encore trs mconnue ou incomprise.
Souvent, la victime va dabord essayer dagir seule: modification des rgles de filtrage, scan antivirus, mises
jour
Ce sont souvent des tentatives ralises en aveugle, avec des outils gnriques et donc peu efficaces,
ainsi que des connaissances limites sur la scurit offensive et les procdures inforensiques.
Dmarche trop tardive
Trop souvent, les victimes attendent de nombreux jours, voire mois, avant de se dcider lancer une analyse inforensique.
Pendant ce laps de temps, le systme dinformation a suivi son cycle de vie: les preuves en mmoire vive
ont disparu depuis longtemps, les fichiers ont t effacs, les journaux crass
Dans ces conditions, une analyse tardive a peu de chance de russir identifier la source dune intrusion,
ou encore la vulnrabilit exploite.
La dmarche alors conseille est plutt de raliser un test dintrusion, dans le but didentifier les faiblesses,
y compris celle ventuellement exploite par lattaquant.
138
Manque de preuves
Le manque de preuves peut faire suite des dmarches non appropries de la part des quipes
dadministration (destruction de preuves suite des tentatives de reprise de contrle).
Elle peut tre aussi la consquence dun manque de journalisation et de traabilit au sein de lentreprise:
les connexions rseau ne sont pas enregistres sur le pare-feu (seuls les accs refuss, pas les accs
autoriss);
les audits Windows ne sont pas tous activs pour les vnements dauthentification;
le service Apache a une rtention de journaux insuffisante, les vnements anciens ont t effacs;
les journaux ne sont pas centraliss et archivs: lattaquant, au cours de son intrusion, a pu effacer
toutes ses traces
Do limportance de la supervision du systme dinformation et du dploiement dun centralisateur
de journaux ou dun SIEM.
Conclusion
Lanalyse inforensique est une dmarche qui ncessite beaucoup de rigueur, et des comptences
transverses: scurit dfensive et offensive, administration systme et rseau, notions de droit
Il sagit dune dmarche indispensable, qui;
permet dapprendre de ses erreurs et de sinscrire dans une dmarche damlioration continue;
deffectuer un recours en justice ou rglementaire, lorsque cela est ncessaire.
niveau de menace constant et avec le gain de maturit des organisations suite aux prises de conscience
et la pression rglementaire, le domaine de linvestigation numrique semble promis se dvelopper
considrablement.
139
Pour le responsable dun site de e-commerce, les investissements (CAPEX et OPEX) consentir pour
constamment mettre niveau la scurit de son site, peuvent apparatre comme un vritable tonneau
des Danades. Lorsque lon tudie les choses rationnellement, en dessinant la courbe qui met en regard
le niveau de protection obtenu et les budgets associs, on saperoit en fait quil est possible datteindre
rapidement un niveau dexposition aux risques acceptable pour des budgets supportables.
Il est utile de rappeler cette vidence : le risque
encouru par les sites de e-commerce est la
hauteur des gains que le pirate peut en esprer.
Les pirates qui ambitionnent dattaquer VISA
ne sont pas les mmes que ceux qui attaquent un
site de 1M de chiffre daffaires!
Les montants consacrs la scurit se doivent
dtre proportionns aux risques et enjeux; viser
une scurit raisonnable en fonction de son activit sera donc lobjectif atteindre.
Quand un pirate utilise des outils low cost, comme
par exemple un scanner de vulnrabilit automatis ou des scripts, ou encore des outils en ligne
de DDoS bas cot, il est peu probable quil puisse
compromettre la scurit dun site qui a fait le
minimum des investissements requis.
Niveau de scurit
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
5 000
40 000
400 000
15 000
150 000
1 M
ce titre, il semble intressant de prsenter ce ratio en quelques chiffres certes estims, mais qui ont le
mrite dillustrer le propos. Il convient aussi de rappeler que la scurit a un cot exponentiel, tout comme
les attaques. Cest aussi une bonne nouvelle, car tout le monde tend ne retenir que la partie haute de
la courbe exponentielle, mais en bas de lchelle, elle est trs plate. Dans notre exemple, investir 5000
par an peut par exemple protger contre 50 % des attaques. Investir 15 000 contre 70 %, 40 000
contre 80%, 150000 contre 90%, 400000 contre 95% et 1M contre 99%.
Ainsi, en matire dinvestissement en cyberscurit, la bonne approche peut tre de fermer la porte une
masse trs importante dattaques simplistes en bas de lchelle du risque pour quelques milliers deuros.
140
Vous trouverez ci-aprs quelques ides explorer en compagnie dexperts du domaine, en fonction
de paliers budgtaires:
0 10000
1000 50000
audits de configuration;
h
bergement scuris;
formation scurit;
50000 100000
100000 500000
S
ecOPS / SoC externalis;
a
udit de code systmatique sur les
diffrences entre chaque publication;
e
nvironnement dupliqu en PCA/PRA;
b
ackups dports haute frquence.
Le tableau ci-aprs reprend et synthtise les diffrents types dattaques, value leur risque respectif,
les solutions pour y faire face et le niveau de cot associ.
Il apparat dans ce tableau, que la majorit des mesures dfensives un cot faible, voire nul. Ce sont
lexpertise des partenaires, le srieux des procdures et la bonne configuration et maintenance des
services et applications qui priment!
141
142
PARTIE 4
ANNEXES
1. RECOMMANDATIONS ANSSI
1.1 RECOMMANDATIONS RELATIVES LA PROTECTION DES SITES
CONTRE LES DFIGURATIONS
Source: ANSSI. Fiche dinformation sur les annonces dattaques de sites institutionnels du 15janvier 2015
Prparation
Plusieurs lments sont vrifier afin de limiter au maximum la dfiguration dun site. Les vecteurs les plus
courants sont:
le dfaut de scurisation daccs une interface de gestion du site;
lutilisation dun mot de passe faible pour ladministration du site;
lutilisation dun gestionnaire de contenu (CMS) non maintenu ou dont les derniers correctifs de
scurit nont pas t appliqus;
lutilisation dune brique logicielle non maintenue ou dont les derniers correctifs de scurit nont pas
t appliqus.
Il est important de veiller ce que ces lments soient vrifis et corrigs si ncessaire. Pour cela,
il est possible de sappuyer sur le guide de scurisation des sites Web:
www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides.
La granularit des vnements journaliss lis aux services exposs et aux quipements rseaux doit tre
augmente. Ces journaux serviront analyser le type de trafic et les requtes illgitimes utiliss lors dune
ventuelle attaque. Ils doivent tre conservs en cas de dpt de plainte.
Enfin, la ralisation de sauvegardes rgulires permettra, en plus de restaurer le contenu du site, de
dtecter un ajout ou une modification illgitime dun fichier.
Raction
En vue deffectuer un dpt de plainte, il est ncessaire de collecter lensemble des lments techniques
dcrivant lattaque (journaux, captures rseaux, copie de disques), et de garder une trace des changes
effectus avec des tiers pendant le traitement de lincident.
Il est important de garder lesprit quun site ayant t compromis contient a minima une vulnrabilit qui
doit tre identifie et corrige. Lensemble des actions ayant pu tre ralises par les attaquants doit tre
analys. En aucun cas la restauration dune sauvegarde ou la suppression de llment ajout/modifi
ne pourra tre considre comme tant une rponse adapte.
143
Enfin, en cas dhbergement dun site sur un serveur mutualis, il est important de veiller ce que
lintgrit du serveur et des autres sites soit vrifie.
En cas dattaque, il convient de se reporter la note dinformation sur les dfigurations de sites Web:
http://www.cert.ssi.gouv.fr
conservation des traces (copie de ltat
compromis du site Web et analyse de la
compromission).
Recherche dautres intrusions (pages
dhameonnage (phishing) ; insertion de
malware ; insertion de publicits non lgitimes; modification de la configuration
du site ; installation dun porte drobe
permettant dutiliser le site pour effectuer
dautres actions malveillantes (nouvelles
compromissions, dni de service) ; stockage de fichiers soumis au droit dauteur.
144
145
En outre, un certain nombre de dispositions peuvent tre prises au niveau de lentit cible. Parmi celles-ci,
on peut notamment citer:
le blocage des adresses IP sources identifies comme tant lorigine de lattaque;
le blocage de certaines classes de trafic impliques dans lattaque, et non ncessaires au bon
fonctionnement de lentit (filtrage sur le port destination, ou de protocoles par exemple);
la limitation du nombre de connexions concurrentes, ou sur une priode de temps limite, par adresse
IP source au niveau dun pare-feu;
la rduction des dlais de garde des connexions TCP (par exemple sur des serveurs Web ou SMTP);
le blocage du trafic destination des cibles, en fonction de limpact de lattaque sur le reste de
linfrastructure rseau;
le changement dun site Web dynamique en site statique si llment dfaillant est une application Web.
Enfin, en vue deffectuer un dpt de plainte, il est ncessaire de collecter lensemble des lments
techniques dcrivant lattaque (journaux, captures rseaux), et de garder une trace des changes
effectus avec des tiers pendant le traitement de lincident.
Note dinformation sur les dnis de service:
www.cert.ssi.gouv.fr
146
2. RESSOURCES UTILES
2.1 GUIDE DES BONNES PRATIQUES
Guide ANSSI
Guides ANSSI des bonnes pratiques
http://www.ssi.gouv.fr/administration/bonnes-pratiques
Guide ANSSI dhygine informatique
http://www.ssi.gouv.fr/guide/guide-dhygiene-informatique
ANSSI: Rfrentiel pdagogique de formation la
cyberscurit des TPE et des PME
Ce rfrentiel est destin aux organismes de formation souhaitant dvelopper des comptences en
scurit des systmes dinformation au sein des TPE et PME pour ventuellement aboutir des rfrents
cyberscurit.
http://www.ssi.gouv.fr/uploads/2015/04/D2IE_formation_cybersecurite_TPE_PME_mars_2015.pdf
Autres guides
Guide Symantec de survie contre le cybercrime
https://www.symantec-wss.com/fr/cybercrime4/social
Prvenir les escroqueries aux ordres de virements
internationaux dans les entreprises
http://www.dailymotion.com/video/x21u6q1_prevenir-les-escroqueries-aux-ordres-de-virementsinternationaux-dans-les-entreprises_Webcam
La Fdration Bancaire Franaise (FBF), avec la Direction centrale de la Police Judiciaire, souhaite attirer
lattention des entreprises sur la vigilance ncessaire dans le cadre de leurs oprations de virements,
notamment linternational. Une courte vido (4mn.) reprend les interviews de deux spcialistes: JeanMarc SOUVIRA, Chef de lOffice central de la rpression de la grande dlinquance financire la Police
Judiciaire, et Willy DUBOST, Directeur systmes et moyens de paiement FBF.
La prvention des fraudes bancaires par ingnierie
sociale: document de la Socit Gnrale
https://static.societegenerale.fr/ent/ENT/Repertoire_par_type_de_contenus/Types_de_contenus/01-Pages/00-perennes/espace_securite/commun_pdf/ingenierie-sociale.pdf
147
148
2.5 ASSOCIATIONS
https://phishing-initiative.fr/contrib
http://cybercercle.com
http://www.cesin.fr
https://www.owasp.org/index.php/Main_Page
https://www.clusif.fr
http://www.afcdp.net
2.6 AUTRES
http://www.zataz.com/ | @zataz
http://secure-it.egedian.com
http://www.zataz.com/protocole-alerte-zataz/#axzz47fzqudcK
2.7 FORMATIONS
Cet annuaire prsente les formations en Scurit de lInformation proposes par les organismes de
formation qui adhrent au CLUSIF. Ces formations sont prsentes au public titre de service gratuit dans
le but doffrir une source dinformation unique aux entreprises cherchant des formations en Scurit
de lInformation.
https://clusif.fr/les-formations