Les Très petites entreprises (TPE) et les Petites et moyennes entreprises (PME) représentent une source importante d emplois et d innovations.

Transcription

1 PR EM I ER M I N IST R E DÉLÉGATION INTERMINISTÉRIELLE À L INTELLIGENCE ÉCONOMIQUE Frmatin à la cybersécurité des TPE et des PME [ Référentiel pédaggique Mars 2015

2

3 Ce dcument est le résultat d une réflexin d entreprises et d acteurs institutinnels spécialisés dans l accmpagnement et la prtectin des entreprises en matière de cyber-risques. À la demande du Premier ministre, ce travail a été pilté par la Délégatin interministérielle à l intelligence écnmique (D2IE avec le sutien de l Agence natinale de la sécurité des systèmes d infrmatin (ANSSI Ce référentiel pédaggique est un cahier des charges destiné à aider les rganismes de frmatin à élabrer des ffres de stage en cybersécurité au prfit des TPE/PME. Il décrit les prgrammes minimaux à partir desquels les frmateurs divent dévelpper une ingénierie pédaggique permettant de prduire des prgrammes et des cntenus adaptés. Tut rganisme suhaitant mettre en place des frmatins sur la base de ce référentiel est invité à en faire part, pur infrmatin, à la D2IE (sec.d2ie@pm.guv.fr). Les Très petites entreprises (TPE) et les Petites et myennes entreprises (PME) représentent une surce imprtante d emplis et d innvatins. Elles évluent aujurd hui dans un envirnnement de plus en plus numérique, qui favrise incntestablement leur cmpétitivité et leur crissance. Pur autant, les nuvelles technlgies de l infrmatin et de la cmmunicatin (NTIC), lrsqu elles snt mal maîtrisées, peuvent être à l rigine de vulnérabilités et faciliter les attaques sur l entreprise. Pur y faire face, les TPE/PME n nt pas tujurs la pssibilité de recruter des prfils dédiés à la sécurité infrmatique. Qui plus est, l apprche qu elles nt de la gestin des infrastructures infrmatiques varie en fnctin de l utilisatin qui en est faite, de leur taille, du secteur écnmique et du budget qui y est cnsacré. De fait, à l exceptin de certains secteurs très spécifiques, le niveau de perceptin et de prise en charge du cyber-risque dans les TPE/PME est aujurd hui très faible. Afin de prmuvir un envirnnement favrable au dévelppement écnmique et de préserver le patrimine immatériel de ces entreprises, il cnvient aujurd hui, dans une démarche d intelligence écnmique, de mettre en place des slutins humaines et techniques adaptées aux spécificités des TPE/PME. La frmatin de référent en cybersécurité interne au prfit des TPE/PME permettra de répndre en partie à ce défi. 1

4 Objectif de la frmatin L bjectif général de la frmatin est de faire du participant un «référent en cybersécurité» interne. A la fin du curs, le participant devra être en mesure de : maîtriser les enjeux de la cybersécurité pur l entreprise ; identifier et utiliser les utils nécessaires à la prtectin des infrmatins sensibles (persnnelles et prfessinnelles) sur les différents réseaux. Pur cela, les cmpétences attendues à la fin de la frmatin snt les suivantes : identifier et analyser des prblèmes de cybersécurité dans une perspective d intelligence et de sécurité écnmiques ; cnnaître les bligatins et respnsabilités juridiques de la cybersécurité ; identifier et cmprendre les menaces liées à l utilisatin de l infrmatique et des réseaux internet, réseaux privés d entreprises, réseaux publics ; mettre en œuvre les démarches de sécurité inhérentes aux besins fnctinnels ; savir présenter les précautins techniques et juridiques pur faire face aux attaques. Public et prérequis de la frmatin La frmatin à la cybersécurité est uverte à l ensemble des TPE/PME du territire. Elle dit tucher un public hétérgène au sein de ces TPE/PME. Pur cela, elle cmprend sept mdules servant à cnstruire un parcurs chérent et destiné aux différents prfils que snt les dirigeants, les cadres, les respnsables infrmatiques, etc. Des cnnaissances de base faciliternt la cmpréhensin des participants. Structure pédaggique de la frmatin Ce prgramme s rganise autur d un blc de mdules cmmuns à l ensemble des TPE/PME, avec des ntins d rdre général et des mdules cmplémentaires, en fnctin de l utilisatin faite du numérique et des prfils des TPE/PME. Chaque mdule se termine par une évaluatin tandis qu un ensemble de liens vers des ressurces cmplémentaires (sites web, dcuments, statistiques, etc.) est furni aux participants désireux d apprfndir certains sujets de cybersécurité. 2

5 MODULE 1 - Cybersécurité : ntins de bases, enjeux et drit cmmun MODULE 2 - L hygiène infrmatique pur les utilisateurs MODULE 3 - Gestin et rganisatin de la cybersécurité MODULE 4 - La cybersécurité pur les PME innvantes MODULE 5 - Administratin sécurisée du système d infrmatin (SI) interne d une PME MODULE 6 - La cybersécurité des PME ayant externalisé tut u partie de leur système d infrmatin MODULE 7 - Sécurité des sites internet gérés en interne Les vlumes hraires présentés dans les mdules snt dnnés à titre indicatif. 3

6 Descriptin détaillée MODULE 1 Cybersécurité : ntins de bases, enjeux et drit cmmun Durée 3 heures Objectifs Cmprendre les mtivatins et le besin de sécurité des systèmes d infrmatin (SI). Cnnaître les définitins et la typlgie des menaces. Cntenu détaillé Définitin de la cybersécurité Sécurité des SI (préventin) + Cyberdéfense (réactin) + Cybercriminalité (sanctin) = Cybersécurité Les enjeux de la sécurité des SI La nuvelle écnmie de la cybercriminalité Les déficiences en matière de cybersécurité peuvent engendrer des pertes financières directes (manque de dispnibilité d un site marchand, par exemple) u indirectes (espinnage écnmique sur des appels d ffres, par exemple). Panrama des menaces seln une typlgie Panel assez large des différentes menaces (attaques intrusives - injectin SQL, passive phishing, destructrices virus, etc.). Détails sur les Advanced persistent threat (APT, Attaque persistante avancée) : rôle des PME dans ces attaques. Les vulnérabilités (exemples, déterminatin, veille) Vulnérabilité : faiblesse d un bien, que ce sit à la cnceptin, la réalisatin, l installatin, la cnfiguratin u l utilisatin. Fcus sur l ingénierie sciale Les prpriétés de sécurité Présentatin du principe de défense en prfndeur Un lgiciel spécialisé dans la cybersécurité n est pas suffisant. La démarche de cybersécurité s inscrit dans un prcessus glbal de sécurité écnmique (sécurité bâtimentaire, sécurisatin des déplacements, cntrôle d accès, etc.). Cf. La sécurité écnmique au qutidien en 22 fiches thématiques (D2IE). 4

7 Identificatin et évaluatin des actifs et des bjectifs de sécurité Arriver à identifier précisément le besin. Par exemple, un site internet marchand et un site internet «vitrine» n nt pas les mêmes besins en termes de sécurité. Critères : dispnibilité, intégrité, cnfidentialité, preuve / traçabilité. Ces critères permettent de déterminer le niveau de sécurité des SI. Aspects juridiques et assurantiels Respnsabilités Quelles snt les respnsabilités des entreprises qui n nt pas assez sécurisé leurs SI? Quelles pssibles actins récursires vers les prestataires? Réglementatin eurpéenne : analyse de risque bligatire pur une entreprise dès qu il y a une déclaratin à la Cmmissin natinale de l'infrmatique et des libertés (CNIL). Préservatin de la preuve Que faire en cas d attaques infrmatiques? Cmment préserver la preuve tut en restant pératinnel? Qui faut-il cntacter? Le rôle de l huissier. L ffre assurantielle 5

8 MODULE 2 L hygiène infrmatique pur les utilisateurs Durée 3 heures Objectifs Appréhender et adpter les ntins d hygiène de base de la cybersécurité pur les rganisatins et les individus. Cntenu détaillé Cnnaitre le système d infrmatin et ses utilisateurs Faire une cartgraphie des SI de l entreprise. Identifier le patrimine infrmatinnel de sn rdinateur (brevets, recettes, cdes surce, algrithmes ) Cnnaitre la valeur des infrmatins cntenues dans sn rdinateur pur appliquer les différentes prcédures de sécurité en fnctin des dcuments utilisés. Maîtriser le réseau de partage de dcuments (en interne u sur internet) Identifier précisément les passerelles qui existent entre internet et le réseau interne pur éviter les failles qui permettrnt / faciliternt une intrusin nn détectée. Mettre à niveau les lgiciels Définir une véritable plitique de mise-à-jur des lgiciels (Qui est en charge? À quel mment? etc.). Authentifier l utilisateur Présentatin des différentes méthdes permettant d authentifier les utilisateurs et ainsi de leur attribuer la méthde qui crrespnd le mieux aux dcuments qu ils utilisent. Evquer les bnnes pratiques pur les mts/phrases de passe (cnceptin, fréquences d utilisatin, etc.). Nmadisme - Prblématiques liées au BYOD (Bring yur wn devices) Evquer les risques liés à l utilisatin des terminaux mbiles persnnels (PC et/u Smartphne) dans la chaîne de sécurité de l entreprise. 6

9 MODULE 3 Gestin et rganisatin de la cybersécurité Durée 3 heures Objectifs Appréhender les multiples facettes de la sécurité au sein d une rganisatin. Cnnaitre les métiers directement impactés par la cybersécurité. Anticiper les difficultés curantes dans la gestin de la sécurité. Cntenu détaillé Présentatin des publicatins/recmmandatins Guides de l ANSSI Recmmandatins de la CNIL Recmmandatins de la plice et de la gendarmerie Club de la Sécurité de l infrmatin Français, Club des experts de la sécurité de l'infrmatin et du numérique (CLUSIF/CESIN), etc. Observatires znaux de la SSI Les CERTs (Cmputer emergency respnse team) Il s agit ici de sensibiliser les PME à l imprtance de la veille sur les différentes dcumentatins dispnibles. Présentatin des différents métiers de l infrmatique (infgérance, hébergement, dévelppement, juriste, etc.) Méthdlgie pédaggique pur respnsabiliser et diffuser les cnnaissances ainsi que les bnnes pratiques internes (management, sensibilisatin, psitinnement du référent en cybersécurité, chartes, etc.) Insister sur les messages que le référent en cybersécurité dit transmettre aux utilisateurs finaux des PME. Présenter le principe des chartes infrmatiques que chaque utilisateur dit cnnaitre. Maîtriser le rôle de l image et de la cmmunicatin dans la cybersécurité Surveillance de l e-réputatin Cmmunicatin externe Usage des réseaux sciaux, prfessinnel et persnnel Méthdlgie d évaluatin du niveau de sécurité 7

10 Présentatin d un audit de sécurité (réglementatin, avantages, cût etc.). Actualisatin du savir du référent en cybersécurité Les décuvertes en matière de cybersécurité snt nmbreuses, rapides et les méthdes d attaques évluent en permanence. Il est dnc nécessaire que le référent en cybersécurité cnnaisse les grandes actualités du dmaine. Gérer un incident / Prcédures judiciaires Identifier clairement le pint de cntact dans la PME ainsi que sn rôle (lien avec les services de plice, résilience du SI de l entreprise etc.). 8

11 MODULE 4 La cybersécurité pur les PME innvantes Durée 3 heures Objectif Appréhender la prtectin de l innvatin à travers les utils infrmatiques Cntenu détaillé Présentatin de la prtectin du patrimine scientifique et technique de l entreprise L bjectif est de présenter les mesures et bligatins liées à la préservatin du patrimine scientifique et technique, ntamment les dispsitifs étatiques (ZRR, classifié de défense, etc.). Drit de la prpriété intellectuelle lié aux utils infrmatiques Il s agit de dnner les myens nécessaires aux entreprises ayant des dnnées imprtantes pur cnnaitre les tenants et les abutissants des cntrats cmme l infgérance, par exemple. Cyber-assurances Présentatin d un dmaine nuveau et émergent. L bjectif est de dnner les clés nécessaires à une PME dans le cas ù elle suhaiterait suscrire à une ffre de cyber-assurance. Cas pratiques Présentatin de cas de cyber-attaques avérés. 9

12 MODULE 5 Administratin sécurisée du système d infrmatin (SI) interne d une PME Durée 6 à 9 heures Objectifs Savir sécuriser le SI interne Savir détecter puis traiter les incidents Cnnaitre les respnsabilités juridiques liées à la gestin d un SI Cntenu détaillé Analyse de risque (EBIOS / MEHARI) Définir les besins auxquels répndre à travers les principes et dmaines de la SSI Principes et dmaines de la SSI afin de sécuriser les réseaux internes Dévelppement de la ntin de défense en prfndeur évquée précédemment. Plitique et stratégie de sécurité Gestin des flux, ntamment réseaux sans fil / architecture réseaux (clisnnement du réseau) Gestin des cmptes, des utilisateurs, des privilèges seln le besin d en cnnaître Gestin des mts de passe Gestin des mises à jur Jurnalisatin et analyse Gestin des prcédures Plan de cntinuité d activité (PCA) / Plan de reprise d activité (PRA) Virtualisatin / clisnnement Détecter un incident Gestin de crise Traitement technique de l incident Prcédure rganisatinnelle et cmmunicatin Reprise d activité Méthdlgie de résilience de l entreprise Traitement et recyclage du matériel infrmatique en fin de vie (rdinateurs, cpieurs, supprts amvibles, etc.) Aspects juridiques Respnsabilité en l absence de cnfrmité des infrastructures Cyber-assurances 10

13 MODULE 6 La cybersécurité des PME ayant externalisé tut u partie de leur SI Durée 3 heures Objectifs Cnnaitre les techniques de sécurisatin d une SI, partiellement u intégralement externalisé Cntenu détaillé Les différentes frmes d externalisatin Les cntrats de services «classiques» Enjeux du clud cmputing Sftware as a Service (SaaS) Techniques de sécurité lrs de l externalisatin (chiffrement des dnnées ) Cmment chisir sn prestataire de service? Quels snt les pints clés, techniques et rganisatinnels, de sécurité à bien identifier lrs du chix d un prestataire. Abrder la ntin et le cntexte de certificatin / qualificatin des prduits. Aspects juridiques et cntrat Cnnaitre les bases juridiques pur prtéger sn patrimine écnmique lrs de l externalisatin d un SI Exemple : qui est prpriétaire des dnnées (même après la fin du cntrat)? Présentatin du référentiel de l ANSSI Maitriser les risques de l infgérance 11

14 MODULE 7 Sécurité des sites internet gérés en interne Durée 9 à 12 heures Objectifs Cnnaitre les règles de sécurité pur gérer un site internet Cntenu détaillé Menaces prpres aux sites internet Apprche systémique de la sécurité (éviter l apprche par patches) Cnfiguratin des serveurs et services HTTPS et Infrastructure de gestin de clés (IGC) Services tiers Avantages et limites de l utilisatin d un CMS et / u dévelppement web Sécurité des bases de dnnées Utilisateurs et sessins Obligatins juridiques réglementaires Le e-cmmerce La Li pur la cnfiance dans l'écnmie numérique (LCEN), la Cmmissin natinale infrmatique et liberté (CNIL), Payment Card Industry-Data Security Standard (PCI-DSS) 12

15 Dcumentatin nn exhaustive La sécurité écnmique au qutidien en 22 fiches thématiques, à destinatin des TPE/PME Guides techniques et bnnes pratiques de l ANSSI

16 Délégatin interministérielle à l intelligence écnmique Délégatin interministérielle à l intelligence écnmique 55, rue St Dminique Paris Tél : (33) Cntact : sec.d2ie@pm.guv.fr Maquette et impressin : Pôle Cnceptin graphique-fabricatin DSAF Mars 2015