Thèse Professionnelle

Transcription

1 Thèse Professionnelle Cyril Nalpas Le traitement des risques cyber dans les TPE/PME en France en 2014 : entre innocence et innovation MBA Management du Risque Banque, finance, assurance 2013 /

2 Remerciements Je souhaite remercier tout particulièrement Gérard Peliks, Président de l atelier Sécurité du Forum Atena, pour son expertise professionnelle et ses conseils avisés. Je tiens également à remercier Yves Roucaute, Président du conseil scientifique de l INHESJ, Directeur et créateur de la formation «MBA Management du Risque : banque, finance, assurance», ainsi que ses intervenants, parmi lesquels Bruno Hamon, fondateur de la société MIRCA et Président du groupe de travail PCA à l AFNOR, et Jean-Jacques Brun, Directeur Management du Risque à la CEIS. Ma reconnaissance va au général Marc Watin-Augouard qui a été le premier à m ouvrir des perspectives sur la cybersécurité et à m offrir des échanges intéressants. Mes remerciements vont aussi à la société CEIS, Compagnie Européenne d Intelligence Stratégique, en la personne de son Directeur Général, Guillaume Tissier, ainsi que Barbara Louis-Sidney, Consultante Cybersécurité, et Benoît Mercier, Consultant Management du Risque. Mes missions au sein de la CEIS sont au cœur de l ensemble de la présente étude, qui n aurait pu voir le jour sans les opportunités qui m ont été offertes au sein de l entreprise. travail. Enfin, je remercie mes proches pour leur soutien et leurs conseils tout au long de ce 2

3 Résumé Cette étude traite de la gestion du risque cyber au sein des PME et des TPE au travers de l analyse des principaux risques et de l émergence de nouvelles offres assurantielles. Elle soulève la nécessité d améliorer l accessibilité intellectuelle et financière de ces entreprises à la cybersécurité, au moyen de l amélioration et de la création d outils de sécurité informatique qui ne seraient pas uniquement dédiés à des experts. Ces outils doivent permettre notamment d apporter une perception de situation intelligible et d accompagner le profane dans sa prise de décision. 3

4 Préambule Le constat d une cybersécurité à plusieurs vitesses face aux cybermenaces, selon que l on se place au niveau des grandes entreprises ou à l inverse des plus petites, m a semblé constituer un sujet de recherche attractif : l exploration des solutions pragmatiques et innovantes à apporter aux PME/TPE. challenge. Participer, même modestement, à une réflexion prospective, m a paru être un beau 4

5 Sommaire Le traitement des risques cyber... 1 dans les TPE/PME en France en 2014:... 1 entre innocence et innovation... 1 Remerciements... 2 Résumé... 3 Préambule... 4 Sommaire... 5 Introduction... 7 Partie 1 : Le risque cyber des PME/TPE I. Définition II. Typologie des impacts III. Typologie des méthodes d attaque visant les petites entreprises IV. Les facteurs de risque Fin de l innocence : prise de conscience et arbitrage des entrepreneurs Partie 2 : La réponse au risque cyber : en quête d innovation I. La gestion du risque cyber A. Etude des menaces et des risques B. Mise en place du plan d action C. Les exercices de crise II. Les assurances cyber : un marché émergent A. Rappel historique B. Le contenu et cibles des offres assurantielles en France C. Couverture des risques D. Les exclusions de garantie E. L évaluation des risques et les exigences des assureurs F. L accompagnement dans la sécurisation et la mise à disposition d experts III. Amélioration de la perception cyber à travers l accessibilité cognitive A. Visualisation du cyberespace et perception de situation B. Un potentiel à exploiter IV. Un outil à la décision à destination des TPE/PME A. Les capacités des outils libres disponibles B. L aide à la sécurisation C. L aide à la réaction en cas de brèche

6 D. Accessibilité et pédagogie E. Une maintenance constante de l outil par l équipe de développement Conclusion Glossaire Bibliographie Annexe 3 : Benchmark des assurances cyber en France en Annexe 2 : Systèmes de visualisation du cyberespace Annexe 3 : Gouvernance étatique de la cybersécurité

7 Introduction La question de la fragilité des PME et des TPE face aux cybermenaces est en débat depuis quelques années, mais la prise de conscience par les pouvoirs publics n est pas encore nécessairement partagée par ces petites entreprises. Celles-ci relèvent en outre de réalités très différentes en termes de niveau de cybersécurité. La sécurité informatique de ces entreprises concerne en réalité l ensemble des acteurs, car, constituant le tissu des activités du pays, elles peuvent contaminer toute la chaîne de l économie. Elles représentent en effet un vivier de données, parfois sensibles, appartenant à des tiers. De plus, si elles peuvent être des cibles premières, elles sont également susceptibles de constituer des portes d entrées aux menaces visant les plus grandes entreprises dont elles sont des sous-traitantes. Une sécurité à plusieurs vitesses On constate une disparité dans les capacités cyber des acteurs. Les réseaux nationaux bénéficient de la protection de la Défense et de l ANSSI (Agence Nationale de la Sécurité des Systèmes d Information), qui a pour principale mission d assurer la cybersécurité des systèmes d information de l Etat et des OIV (Opérateurs d Importance Vitale). De leur côté, les grandes entreprises ont l expertise et les moyens financiers de s assurer une cybersécurité adéquate. Cela n est pas le cas des entreprises plus modestes, particulièrement dans une conjoncture économique de crise où l heure est à la réduction des dépenses. Nous faisons ainsi face à une cybersécurité à plusieurs vitesses en fonction de la nature des acteurs. Un coût financier bloquant Effectivement, les plus petites entreprises peuvent difficilement investir dans la sécurité. Les entreprises qui démarrent vont focaliser leurs investissements sur leur cœur 7

8 de métier afin de faire de la croissance, et non sur la protection de l infrastructure. La recherche du succès est toujours préalable à la pérennisation du business. Il existe ainsi une phase de forte vulnérabilité entre le moment de création de l entreprise et le moment où elle adopte une stratégie IT et de cybersécurité. Des entreprises particulièrement vulnérables Avec les fonctions dédiées à la sécurité informatique pour la grande majorité absentes des PME, et une informatique souvent externalisée ou gérée par une personne dénuée de formation appropriée, on se retrouve avec un niveau de conscience qui est plus ou moins celui de la population générale. Hier, cette conscience de la menace cyber était absente des esprits des non-professionnels de l informatique ; Aujourd hui, les actions de sensibilisation et la présence plus forte des cas d attaques recensés dans les médias commencent à porter leurs fruits, mais la situation peine à s améliorer. D une part, le rehaussement du niveau de sécurité dans les grandes entreprises fait des PME des cibles plus vulnérables en comparaison, en conséquence de quoi elles sont d autant plus visées malgré un potentiel plus faible à priori ; d autre part, la multiplication des nouveaux usages informatiques personnels provoque une porosité toujours plus forte entre le système informatique des particuliers et celui de leur lieu de travail : clés USB et appareils mobiles Wi-Fi font que l entreprise est vulnérable à une contamination involontaire par ses employés. Un manque de données statistiques fiables Le domaine de la cybersécurité est confronté à un cruel manque de données statistiques, particulièrement lorsque l on s intéresse spécifiquement à un pays. En effet, les entreprises ne souhaitent pas faire savoir qu elles ont été victimes d un incident cyber, et certaines cyberattaques restent inconnues, car non détectées. Si une information personnelle d un client est exfiltrée et se trouve utilisée dans le cadre d une usurpation d identité, on ne connait pas nécessairement l origine de la fuite. Il n est pas non plus évident que ce client, victime, s en rende compte. Le cybercriminel fera d ailleurs de son mieux pour ne pas laisser de traces. 8

9 Sur le plan juridique, les infractions cyber relevant principalement des infractions traditionnelles, elles n entrent pas nécessairement dans les statistiques officielles. Il est également difficile de faire confiance aux études réalisées par les sociétés de sécurité informatique qui ont de toute façon intérêt à dresser un tableau dramatique, mais peut-être peut-on plus facilement s accorder sur les tendances relevées par celles-ci. Elles restent cependant pour l heure incontournables, et seront citées au cours de cette étude lorsqu il s agira d établir des tendances. Pour faire face à ce manque de données fiables, il a été indiqué lors du Forum International de la Cybersécurité de 2014 qu il sera confié au Centre Expert de lutte contre la Cybercriminalité Français (CECyF) la mission d apporter un indicateur statistique précis de la cybercriminalité. Une perception des risques en trompe-l œil? «Les PME notamment en régions, qui débutent souvent comme une entreprise familiale qui grossit par la suite, n ont généralement pas conscience de la diversité des cybermenaces qui pèsent sur elles d autant que leurs failles peuvent être techniques mais aussi organisationnelles!» Sylvain Defix de NTT Com Security. D un autre côté, les sondages rapportent au contraire que les petites entreprises sont généralement relativement bien informées des dangers informatiques. Selon un sondage 1 à l échelle mondiale de Kasperky Lab : 35% des TPE classent la protection des données comme l une des principales difficultés auxquelles elles sont confrontées dans l informatique d entreprise, contre 26% pour les entreprises de taille moyenne et 29% pour les grandes entreprises. De la même façon, les TPE semblent mieux au courant des problèmes de sécurité liés à l utilisation des appareils mobiles : 31% d entre elles considèrent que la sécurité des ordinateurs portables et des mobiles constitue l une des trois priorités pour la sécurité IT, contre 23% pour l ensemble des entreprises. Un sondage 2 de Symantec à destination des SMB (entreprises de moins de 500 personnes) confirme cet état de fait. Il révèle cependant une des raisons pour lesquelles la cebook_marketwire_linkedin_2011nov_worldwide_smbflashpoll 9

10 sécurité est insuffisamment traitée dans ces entreprises : 50% d entre elles se considèrent trop petites pour intéresser d éventuels cyberattaquants. Et pour cause : les attaques cyber à l encontre des TPE/PME ne sont pas médiatisées parce que ces entreprises sont moins connues, parce que l échelle de ces attaques n impressionne pas, et bien sûr car les entreprises qui en sont victimes ne le communiquent pas. Cela contribue à la croyance populaire du «trop petit pour être ciblé». Pour autant, on ne peut pas dire qu elles soient moins victimes que les autres : selon le rapport sur les menaces de sécurité Internet 2012 de Symantec, 31% des attaques ciblées concernent des PME 3. Deux ans plus tard, le constat est le même au sein du Threat Report : les entreprises de moins de 250 salariés constituent les cibles de 30% des attaques. Une distinction TPE/PME peu pertinente Les classifications de PME et de TPE reflètent des réalités très différentes en termes de niveau de sécurité de l information. On ne peut pas comparer une entreprise de 15 personnes avec une autre comprenant plus d une centaine de salariés lorsque l on parle de gestion de l IT. Nous avons ainsi regroupé au sein du terme de PME : - Des entreprises qui ne possèdent pas d informaticien dédié et formé : la gestion de l informatique est confiée à l employé le plus compétent, en marge de sa fonction principale. - Des entreprises qui possèdent un informaticien dédié, mais pour lesquelles la sécurité informatique n est pas une priorité dans les faits. - Des entreprises qui possèdent un ou plusieurs salariés dédiés à la cybersécurité

11 Une innovation insuffisamment protégée Une entreprise innovante qui ne protège pas suffisamment son capital informationnel ne prend pas seulement le risque de voir perdre un avantage concurrentiel, elle risque également de perdre sa compétitivité. En cas de vol de secrets (stratégiques, commerciaux ou techniques) par une société concurrente, elle commercialisera ses produits à un prix de vente supérieur à celui de la concurrence, car incluant le coût de la recherche et du développement. TPE/PME et Intelligence Economique : un partenariat nécessaire Comme le fait remarquer le commandant de Gendarmerie Rémy Février, «Ce n est plus le secteur ou la taille de l entreprise qui sont le critère pertinent pour les attaques, c est sa compétitivité» : c'est-à-dire ses stratégies, ses approches et ses connaissances sous forme de données numériques. Le domaine de l intelligence économique s intéresse de plus en plus à l information noire, et c est alors de l espionnage, alors qu elle est censée se limiter à l information blanche et grise. Ceci est renforcé par un jugement du tribunal de grande instance de Créteil en date du 23 avril 2013 : celui-ci a considéré que si le responsable d un système d information ne sécurise pas celui-ci contre les intrusions, le délit d accès et de maintien frauduleux au sens de l article et suivants du code pénal n est pas constitué 5. Pour Thibault Renard, Responsable Intelligence Economique de la CCI France, «Aujourd hui, le défi est que le développement et l appropriation de l IE en France doivent clairement se faire au niveau des PME/TPE, pas seulement au niveau des institutions, des Grands Groupes ou même des ETI». Il ajoute en outre que «ni les CCI, ni aucun acteur, public ou privé, ne peuvent accomplir seuls la tâche d amener l ensemble des entreprises à s approprier l IE. Les CCI agissent donc en partenariat au niveau national et territorial avec les pouvoirs publics (D2IE, SCIE, Ministère de l Intérieur), en liaison avec les

12 fédérations professionnelles (MEDEF, CGPME) et le milieu associatif très développé de l IE (CDSE, 3AF, AEGE, Académie de l IE) et bien entendu en complémentarité avec les professionnels de l IE représentés par le Syndicat Français de l IE (SYNFiE)» 6. Le réseau consulaire PACA a lancé le programme Performance PME intelligence économique, avec l objectif d accompagner 600 TPE/PME vers l adoption des réflexes premiers de l intelligence économique. Parmi les leçons tirées de cette expérience, on retient que les enjeux de la mondialisation et de la concurrence sont connues par les TPE/PME, mais que celles-ci n identifient pas encore l intelligence économique comme un véritable levier de compétitivité et n ont donc pas développé un système adapté d IE au sein de leur organisation. Elles identifient la sécurité des systèmes d information parmi les axes d intelligence économique, mais résument celle-ci à la seule sécurité des systèmes informatiques. D autre part, elles considèrent l intelligence économique comme une démarche intellectuelle peu pragmatique. Pour les accompagner dans ce domaine, le compte rendu de ce programme suggère d accompagner les entreprises vers une pratique de l intelligence économique sans la définir comme telle. Au sein de la démarche IET de la Gendarmerie : les référents sûreté Il serait faux de dire que les PME sont oubliées par les pouvoirs publics. De son côté, la Gendarmerie Nationale a développé une démarche d intelligence économique territoriale (IET 7 ). Un rapport relatif à l action de la Gendarmerie Nationale en matière d intelligence économique relève que 75% des atteintes économiques se concentrent sur des entreprises de moins de 500 salariés, dont 80% sont situées en zone Gendarmerie Nationale. Le maillage territorial de la Gendarmerie en fait l acteur privilégié pour une interaction proactive avec les PME/TPE. Des référents-sûreté de la Gendarmerie sont chargés de centraliser l information et de mettre en place des actions de prévention, après avoir établi un diagnostic de vulnérabilité. En 2012, ceux-ci ont conduit actions de sensibilisation et établi plus de diagnostics de vulnérabilité 8. En 2013, ce sont 9003 actions de sensibilisation d entreprises et 4807 diagnostics de vulnérabilité. Par exemple, l opération «Tranquillité Entreprises» réalisée par la Gendarmerie de la région ale2602%20bd.pdf 8 (p22) 12

13 Rhône-Alpe, travail de prévention et de sensibilisation a notamment été constituées de ces diagnostics de vulnérabilité. De même, des échanges réguliers entretenus avec les fédérations professionnelles (CGPME et MEDEF notamment) permettent d associer acteurs publics et privés dans les démarches d intelligence économique. On peut citer l exemple «Lundi de l IE», conférences organisées régulièrement par le cercle Intelligence Economique du MEDEF Ile-de-France. Une synergie publique/privée Devant l ampleur des cybermenaces, les pouvoirs publics ont souhaité une coopération avec le privé. Le général Marc Watin-Augouard, créateur du FIC 9 et directeur de l EOGN 10, rappelait que «L idée qui a soutenu la création du FIC, c est de décloisonner, dans un monde cyber complètement ouvert, le secteur public, les administrations, et le secteur privé, les entreprises». Lors de l édition 2014 du FIC, le ministre de la Défense, Jean-Yves le Drian, abordait le sujet de la réserve citoyenne cyberdéfense (RCC), «dont l élargissement est indispensable pour toucher davantage d acteurs de la société civile, notamment les PME et les PMI». Les nouveaux plans de l Etat L année 2014 a été riche en productions de plans étatiques dans le domaine de la cybersécurité. La feuille de route du plan Cybersécurité de la Nouvelle France Industrielle comporte quatre objectifs principaux : - Accroître significativement la demande en solutions de cybersécurité de confiance 9 Forum Internationnal de la Cybersécurité 10 Ecole des Officiers de la Gendarmerie Nationale 13

14 - Développer pour les besoins de la France des offres de confiance ; - Organiser la conquête des marchés à l étranger ; - Renforcer les entreprises nationales du domaine cybersécurité. L une des mesures phare prévoit la création d un label France pour les offres nationales. Les actions concernant la cyberdéfense peuvent en outre être bénéfiques au secteur de la cybersécurité. Le Ministère de la Défense a constitué un Pacte Défense Cyber, rendu public en février L action 17 de ce pacte vise à l augmentation du «nombre de thèses de doctorat approfondissant l expertise en cyberdéfense». Il précise que «l IRSEM soutiendra les études en cyberdéfense dans le domaine des sciences humaines et sociales». Pour le cas spécifique des PME/PMI dans la filière de la cybersécurité, les actions 23 et 25 leur prévoient un soutien particulier : valorisation des projets à l export, accompagnement et incitation à participer ou lancer des projets bénéficiant du dispositif RAPID, et enfin des actions de sensibilisation renforcées afin qu elles veillent à leur propre cybersécurité. Enfin, Le 4 juin 2014, le Ministère de l Intérieur a annoncé la création d un «cyber-préfet», qui sera chargé de coordonner la mise en œuvre d un plan stratégique de lutte contre les cybermenaces. L enjeu de cette nomination est d assurer la protection des PME française. Cette mesure vient en complément d un plan d action triennal pour l intelligence économique territoriale ( ) qui mobilisera le corps préfectoral et amplifiera la formation des cadres du ministère et les actions de sensibilisation. 14

15 Toutes ces actions de sensibilisation produites récemment par les pouvoirs publics parviennent-elles à influencer l acteur principal du changement qui est l humain? Spécifiquement le chef d entreprise qui devra réaliser son arbitrage face à un investissement en cybersécurité. Comment pouvons nous permettre aux petites entreprises en croissance d être protégées des cybermenaces jusqu à ce qu elles atteignent une taille critique qui leur permet d avoir les moyens de se doter d experts en sécurité? Il convient d opposer à cette attitude imprudente la méthode classique de management du risque, qui passe en premier lieu par la cartographie de ces risques. Nous nous attacherons en second lieu aux nouvelles solutions assurantielles et à des solutions techniques innovantes. 15

16 Partie 1 : Le risque cyber des PME/TPE TPE/PME. Il s agit ici d évaluer ici le périmètre des risques qui peuvent concerner les I. Définition La survenance d un risque cyber signifie toute destruction, perte, altération, divulgation ou accès non-autorisé à des données informatiques. Cette définition comprend l indisponibilité due à l altération d un système informatique, celui-ci étant lui-même constitué de données. Ce faisant, on doit distinguer les menaces cyber d ordre intentionnel (malveillance) des menaces d ordre non intentionnel. En effet, la cybersécurité ne se limite pas à la protection vis-à-vis de la cybercriminalité, qui agit majoritairement à travers les réseaux. On peut distinguer trois principales couches du cyberespace : - La couche physique : les équipements, les câbles ; - La couche logicielle : les logiciels, les protocoles. On distingue à celle-ci plusieurs couches (en comptant la couche physique, respectivement 4 et 7 pour les modèles Internet et OSI 11 ) ; - La couche sémantique ou cognitive. Ces couches sont interdépendantes. Une courte interruption, à peine perceptible, sur la couche physique a des répercussions auxquelles il faut répondre sur la couche logicielle. Dans le cas d une panne électrique survenant la nuit, les conséquences se découvrent généralement au matin : l équipement n est probablement pas endommagé, mais l extinction de l ensemble du SI va demander un redémarrage selon un ordre précis, des reconfigurations et que la propagation des nouvelles tables de DNS s effectue. Ceci peut facilement rendre indisponible le SI aux employés la majeure partie de la matinée

17 Une vulnérabilité sur la couche logicielle peut permettre à un attaquant de s introduire dans un web et de changer la signification de l information qu il affiche (couche sémantique). La norme ISO définit le capital à protéger concernant la sécurité de l information : Les actifs primaires : o Les processus et l activité o L information Les actifs de support : o Le matériel o Les logiciels o Les réseaux o Le personnel o Les sites o Le support organisationnel (autorités de tutelle, maison-mère, département, agences, etc.) La sécurité des données doit répondre à trois principaux objectifs : - La disponibilité : l information doit être accessible à tous ceux qui en ont besoin (et y sont autorisés). - La confidentialité : l information doit rester accessible uniquement aux personnes autorisées. - L intégrité : l information ne doit pas être corrompue ou rendue incomplète. Deux autres objectifs permettent d élargir les premiers pour définir la sécurité du système d information : - La non-répudiation et l imputation : aucun utilisateur ne doit pouvoir contester les opérations qu il a réalisées, et aucun tiers ne doit pouvoir s attribuer les actions d un autre utilisateur. - L authentification : l identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d échange. 17

18 Malheureusement, on ne possède pas toujours une connaissance exacte de l état de sécurité des données, notamment dans le cas d une APT advanced persistant threats. Le rapport 2014 M-Trend 12 de Mandiant relève qu en moyenne, il faut 229 jours avant qu une entreprise ne se rende compte qu elle est victime d une APT. Le risque menaçant ce capital peut être de nature intentionnelle ou non intentionnelle, interne ou externe. Le risque d origine intentionnelle (malveillance) On peut considérer que le temps où la recherche de la gloire constituait la principale motivation des hackers est révolu. Ce faisant, les cyberattaques ciblant les entreprises, y compris les plus petites, répondent à quatre motivations principales : - Le cybermilitantisme, ou cyberhacktivisme : incarnation des opérations coup de poing dans le cyberespace dans la défense d une cause. Ces actions prennent le plus souvent la forme d attaques DDoS ou de défiguration de site web. Il concerne cependant moins les PME que les grandes entreprises. - L objectif mafieux purement pécuniaire : vol d informations commercialisables, racket (prise en otage de données ou de systèmes). - Le cyberespionnage : il s agit d intelligence économique, et son origine peut être aussi bien étatique que concurrentielle. - La vengeance : le plus souvent un employé actuel ou passé, qui aura considéré ne pas avoir été traité à sa juste valeur. Quelle que soit la motivation, le risque peut comporter un élément interne. On constate ici l asymétrie propre aux attaques dans le cyberespace : - Des individus avec de très faibles moyens peuvent causer des dommages considérables ; - Une entreprise sans défense peut se retrouver face à la puissance d un Etat qui s intéresse à son capital informationnel

19 Le risque d origine non-intentionnelle Le risque non intentionnel est soit d origine naturelle (incendie, inondation, etc.), soit d origine humaine : on parle alors d erreur ou de négligence. Ainsi, la survenance d un sinistre peut être d origine accidentelle, bien que souvent d origine humaine. Effectivement, le facteur humain est ici aussi omniprésent. Il est souvent rappelé que lors de la conception d ARPANET (l ancêtre d Internet), la robustesse a été privilégiée au détriment de la sécurité. Notre Internet a pourtant bien une réalité physique qui le rend vulnérable, notamment à l erreur humaine. Le 13 mai 2011 à Vélizy 13, une machine de travaux publics endommage plusieurs fibres optiques, ce qui coupe l accès à Internet des locaux de plusieurs grandes entreprises parmi lesquelles Carrefour, SFR et Free. Au niveau de la couche logicielle, une mauvaise configuration peut également donner lieu à des indisponibilités : la connexion d un équipement configuré avec une adresse IP déjà existante sur le réseau ne manquera pas de perturber celui-ci. Il s agira bien souvent d un employé ayant connecté sans autorisation son propre ordinateur, et entre l identification du problème et sa résolution, on observe une asymétrie entre l intention et les pertes potentielles (chômage technique, pertes d opportunités, etc.). On peut également mentionner les défaillances matérielles et logicielles provoquant l indisponibilité ou la perte de données. Cependant en cas de perte avérée de données due à une défaillance, il convient de considérer que celle-ci relève d une erreur humaine, de niveau stratégique : celle de ne pas avoir prévu de redondance des données (sauvegardes) shtml 19

20 II. Typologie des impacts Les impacts peuvent être d ordre financier, d image, légal. Impacts financiers : - Perte de chiffre d affaire : généralement par indisponibilité des services - Cyberextorsion (DDoS, Ransomware) : l entreprise se retrouve paralysée par des attaques à l encontre de son système d information, et est contrainte de payer une rançon pour rétablir la disponibilité de ses données ou de ses services - Perte d avantage concurrentiel : Vol de brevets ou de contrats, attaque généralement transparente au moment des faits. Le coût de la R&D étant intégré au prix de vente du produit, si une entreprise concurrente obtient des secrets de fabrication, alors elle pourra vendre à un prix inférieur un produit similaire et ainsi conquérir tout ou partie du marché Impacts sur l image : On pourrait penser que les TPE/PME seraient moins concernées par les risques d altération d image, notamment en ce qui concerne les crises médiatiques, cependant le fait est qu aucune entreprise ne souhaite faire savoir qu elle a été victime d une cyberattaque. C est un aveu d échec qui réduit fortement la confiance des clients envers l entreprise, surtout lorsque l entreprise est susceptible de posséder des informations confidentielles les concernant (qu il s agisse d informations personnelles de particuliers ou d informations sensibles d un partenaire). 20

21 Impacts légaux : L article 34 de la loi Informatique et Libertés 14 impose de «prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès». Concernant la confidentialité des données : l article alinéa 2 du code pénal dispose que «La divulgation d informations commise par imprudence ou négligence est punie de 3 ans d emprisonnement et de d amende.» Il existe en outre des dispositions législatives et réglementaires spécifiques à certains secteurs. Dans le domaine médical, l article L du code de la santé publique dispose que l hébergement de données de santé à caractère personnel auprès d un tiers requière : - Le consentement de la personne concernée ; - D avoir recours à un prestataire agréé par le Ministère de la Santé. L obtention de l agrément est soumise à la mise en œuvre de solutions techniques et organisationnelles assurant la sécurité et la restitution des données hébergées. Ces hébergeurs sont en outre soumis à l obligation médicale prévue à l article du code pénal et punie d un an d emprisonnement et de d amende. En ce qui concerne le risque de responsabilité civile, du fait des articles 1382 et 1383 du Code Civil, les entreprises sont responsables notamment dans les cas suivants : - En cas de transmission de ver ou de virus, de vol de données confiées par des tiers ; - En cas de préjudice à un tiers du fait de l indisponibilité des services de l entreprise victime. En effet, l article 1382 dispose que «tout fait quelconque de l homme, qui cause à autrui un dommage, oblige par la faute duquel il est arrivé, à le réparer» ; L article 1383 dispose quant à lui «Chacun est responsable du dommage qu il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence.»

22 La directive européenne «vie privée et communications électroniques», telle qu amendée en 2009, impose une obligation aux «fournisseurs de services de communications électroniques accessibles au public dans la communauté» de notifier l autorité nationale compétente ainsi que les particuliers concernés lorsque qu une violation de données à caractère personnel a eu lieu. Celle-ci a été transposée dans le droit français au sein de la loi informatique et libertés (article L34bis). On peut se demander si cette obligation a aussi vocation à s appliquer aux cybercafés par exemple, cependant il faut surtout noter que la directive précise bien qu à terme, cette obligation sera étendue à tous les secteurs et à tous types de données 15. Il y a en outre un projet de règlement européen en matière de protection des données à caractère personnel qui aura vocation à s appliquer à tous les secteurs. Les obligations en termes de protection des données, notamment personnelles, sont nombreuses, et ceci d autant plus que le vol de données numériques en tant que telles est maintenant reconnu par la jurisprudence. Dans un vol de données, la jurisprudence et une partie de la doctrine ont longtemps considéré qu il n y avait pas à proprement parler d appropriation frauduleuse de la chose d autrui, dans le cas où les données étaient dupliquées sans soustraction de leur support original. Cependant, dans un arrêt du 4 mars 2008, la Chambre criminelle de la Cour de Cassation a clairement pris position sur le vol de fichiers informatiques en reconnaissant que l infraction est caractérisée en l absence même d un support = &fastPos=1 22

23 III. Typologie des méthodes d attaque visant les petites entreprises Une étude de 2011 du Ponemon Institute 17 a recensé les types d attaques les plus couramment employées à l encontre des petites entreprises. L étude montre que les attaques DDoS sont un phénomène plutôt rare les concernant (elles concernent moins de 4% des attaques), alors que l hameçonnage et l ingénierie sociale comptent pour 30% des attaques et que toutes comprennent l utilisation de code malicieux. IV. Les facteurs de risque Toute création technologique induit des risques qui se révèlent souvent après l adoption et l appropriation massive de ces technologies créant de nouveaux usages. Il y a ainsi un temps de latence avant l arrivée des actions correctives. L ère Internet se caractérise par la multiplication de nouveaux usages qui sont autant de facteurs de risques. Mobilité et BYOD La mobilité, c'est-à-dire le fait de se déplacer avec ses outils informatiques et ses données, est davantage perçue dans les entreprises comme une économie et une agilité plutôt qu un risque. Elle facilite cependant la perte ou la fuite de données. Face aux risques de vol ou de perte du matériel, il est nécessaire de s assurer d avoir préalablement réalisé une copie des données emportées, et de chiffrer ces dernières. Les entreprises ayant recours au BYOD (Bring Your Own Device, littéralement «Apportez votre propre matériel») se rendent vulnérables aux infections de l informatique personnelle des employés. On assiste à une porosité toujours plus grande entre cette informatique personnelle et l informatique professionnelle. Cela a commencé lorsque

24 l employé utilisait son ordinateur professionnel pour une utilisation parfois personnelle à son domicile. Aujourd hui, le BYOD complète la boucle avec des employés qui connectent leurs smartphones et autres tablettes sur le SI de l entreprise. Utilisation du Wi-Fi L utilisation du Wi-Fi comporte deux principaux problèmes : - Il fait disparaître la frontière périmétrique de l accès filaire : équipé d une antenne adéquate, un réseau Wi-Fi peut être capté à plus d un kilomètre. - Il engendre un faux sentiment de sécurité chez les utilisateurs non avertis ou nonprécautionneux. Les premières tentatives de protocole de chiffrement visant à sécuriser les connexions Wi- Fi ont échoué, mais sont pourtant toujours disponibles au sein des équipements. Aucun professionnel de la sécurité ne choisirait le protocole WEP (Wired Equivalent Privacy) pour sécuriser son réseau, et pourtant ce choix est généralement le premier dans la liste des méthodes de chiffrement proposées sur les matériels (tristement, pour des raisons d ordre alphabétique). A sa création, le protocole de chiffrement était le WEP. Les analyses successives des algorithmes de chiffrement employés dans ce protocole ont fait passer le temps d obtention de la clé par simple écoute à quelques heures en 2001, quelques minutes en 2005 et finalement quelques secondes depuis Il y a cependant eu un temps de réaction relativement long de la part des fournisseurs d accès à Internet, de l ordre de plusieurs années, qui ont continué à livrer des box paramétrées avec le Wi-Fi activé par défaut et chiffré à l aide du protocole WEP. Or, d une part, les connexions Internet des TPE sont souvent les mêmes que celles des particuliers, et d autre part les systèmes informatiques des particuliers constituent un point d entrée vers les entreprises. De plus, l emploi du BYOD est d autant plus courant que l entreprise est de taille modeste. Cette masse de réseaux Wi-Fi est aujourd hui encore loin d être négligeable. Ceci est d autant plus dramatique que les utilisateurs ne se savent pas à ce point vulnérables. 24

25 En outre, quelle que soit la méthode de chiffrement employée, les utilisateurs ont tendance à choisir une clé courte, facile à retenir, car la connexion est généralement partagée à l ensemble des employés. Ceci rend ces réseaux vulnérables aux attaques par force brute (utilisation d un programme qui va tester des clés construites à partir d un dictionnaire). Externalisation de l informatique : infogérance & Cloud computing L externalisation désigne le transfert de tout ou partie d'une fonction d'une organisation (entreprise ou administration) vers un partenaire externe. Dans le cas de l externalisation de l informatique, on parle d infogérance. Celle-ci peut être une source de risques. On va facilement considérer, puisque l on confie cette fonction informatique à autrui, que l on a plus à s occuper de la cybersécurité. Pourtant d une part, il faut encore s assurer que le contrat avec le prestataire inclut des garanties de sécurité, et d autre part il ne faut pas oublier que la sécurité informatique est également une question de gouvernance : une politique de sécurité devant être absolument appliquée par les employés. Il faut aussi considérer que transférer sa sécurité vers un prestataire de service n implique pas pour autant le transfert de sa responsabilité civile et pénale quant à la protection de ses données sensibles : l article 31 de la loi Informatique et Liberté dispose que «le responsable du traitement des données personnelle est la personne, l autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens». Le cloud computing constitue la forme la plus évoluée d externalisation. Associant simplicité et faible coût, il attire de nombreuses entreprises, notamment les plus petites. Son utilisation pour stocker ses données peut constituer une amélioration ou une détérioration du niveau de sécurité, selon le prestataire choisi. Sogeti 18 relève 7 points d attention à surveiller de près lors d une démarche Cloud computing : - Le contrôle des administrateurs du Cloud ; - La conformité réglementaire ; - La localisation des données ; 18 de%20la%20cybers%c3%a9curit%c3%a9.pdf 25

26 - La ségrégation des données ; - La reprise après sinistre ; - Le support des investigations ; - La viabilité à long terme du fournisseur. La localisation des données est un élément déterminant en termes juridiques. L hébergement des données dans un pays tiers emporte plusieurs conséquences non négligeables : - La législation du pays en question peut faciliter l investigation dans les données numérique par les autorités locales (exemple du Patriot Act aux Etats-Unis, malgré l accord Safe Harbor); - A l inverse, la législation étrangère peut ne pas prévoir d obligations similaires à celle du droit français en termes de gestion des données par le prestataire. Les leaders dans le domaine du Cloud Computing étant américains (Amazon, Google, Microsoft, etc.), donc relevant du droit anglo-saxon où le prestataire devient propriétaire des données, on comprend que nombreux sont ceux en France qui souhaitent voir émerger un Cloud souverain qui pourrait rivaliser avec eux. Cependant ce problème dépasse la simple question de l hébergement des données, car ce sont surtout les services associés qui déterminent le choix d un prestataire. Il en existe trois types : - IaaS (Infrastructure as a Service) : il s agit de la fourniture d un socle d infrastructure informatique virtualisé. L entreprise gère la partie applicative et le middleware, mais le matériel, le système d exploitation et le réseau est à la charge du fournisseur cloud. - PaaS (Platform as a Service) : l entreprise cliente ne gère que la partie applicative, tout le reste étant géré par le fournisseur, y compris le middleware. - SaaS (Software as a Service) : il s agit d applications en ligne, accessibles depuis n importe quel ordinateur. Il en existe pour un grand nombre de finalité : relation client, ressources humaines, gestion d entreprise, gestion de projet et bien entendu partage de documents. 26

27 L offre des leaders américains du marché est particulièrement attrayante, mais étant donné l ampleur potentielle de la contrepartie (faibles garanties contre l espionnage, transfert de la propriété des données), il faut être particulièrement vigilant en matière de garanties offertes par le prestataire. Il peut être préférable de choisir un service moins abouti en termes de fonctionnalités, mais meilleur garant de la confidentialité des données. Encore faut-il que le prestataire choisi ait suffisamment investi dans la sécurité. Il est nécessaire d identifier le cadre légal et de vérifier la qualité de celui-ci. Utilisation du web Pour Renaud Bidou, CTO de Denay All, «les principales menaces actuelles portent sur l interface Web», du fait de l importance de la surface d attaque. «La surface d attaque est importante. Qui plus est, ce sont des technologies très simples à attaquer, parce que le développement Web est à la portée de n importe qui et se fait bien souvent sans considération de sécurité.». Ainsi, selon le rapport de menace 19 de Symantec en date d avril 2014, un site légitime sur huit serait exposé à une vulnérabilité critique. Une technique courante pour infiltrer une entreprise est celle du watering hole. Cette attaque consiste à infecter un site web visité régulièrement par les employés afin d infecter automatiquement ceux-ci lorsqu ils consultent la page (drive-by download)

28 Fin de l innocence : prise de conscience et arbitrage des entrepreneurs Les entreprises commencent à prendre conscience des risques, cependant elles sont nombreuses à ne pas avoir les moyens de se protéger ou à continuer à ne pas se sentir réellement concernées. L élargissement des obligations de notification à l ensemble des secteurs d activités pourrait permettre de faire remonter à la surface les attaques cyber visant les entreprises les plus petites, ce qui lèverait définitivement le doute chez elles quand à la nécessité d agir en anticipation. Quoiqu il en soit, face au manque de moyens des petites structures, il semble nécessaire de s assurer qu il existe des solutions de sécurité accessibles, non seulement en termes de coûts mais également en termes d intelligibilité vis-à-vis de néophytes (démystification des contraintes de la sécurité informatique). La responsabilité civile et éventuellement pénale devrait amener les chefs d entreprise à agir préventivement dans la gestion de ce risque cyber. Nous nous attacherons spécifiquement aux réponses aux menaces d origine malveillante, car ce sont elles qui entraînent le plus d innovation. 28

29 Partie 2 : La réponse au risque cyber : en quête d innovation La réponse au risque s articule autour de deux axes : - la réduction du risque par la diminution de la fréquence : Il est urgent d élever le niveau de sécurité. Cette sécurité est autant une question de gouvernance que de solutions techniques, mais il est nécessaire de s assurer que la conscience du risque soit universellement reconnue par l ensemble des acteurs. - la protection en cas d occurrence de la menace : Quel que soit le niveau de sécurité, la défense n est pas infaillible, d autant qu elle sera toujours tributaire de l erreur humaine. Une fois la fréquence réduite au maximum par une gouvernance et des solutions techniques adéquates, il reste à se prémunir de l intensité d une défaillance de la sécurité. Concernant l augmentation du niveau de sécurité, nous nous intéresserons tout particulièrement à la question de l accessibilité des outils de sécurité. S il reste toujours envisageable de répondre à la problématique de l accessibilité d un point de vue tarifaire les PME ont des moyens limités mais leur nombre permet de rentabiliser un produit spécifiquement conçu pour elles l utilisation des outils de sécurité reste l affaire des professionnels de la sécurité informatique. Nous nous intéresserons en premier lieu à la démarche de management du risque, appliqué aux risques liés au système d information. Puis, nous examinerons les solutions d assurance cyber en France, qui se sont multipliées ces dernières années après avoir émergé aux Etats-Unis dans les années Dans l optique de rendre les logiciels de sécurité informatique plus accessibles, nous nous intéresserons ensuite à la représentation du cyberespace et à la visualisation d informations au sein de ces outils. En dernier lieu, nous faisons la proposition d un logiciel unifié à destination des plus petites structures, qui aurait pour objectif d accompagner celles-ci dans la sécurisation de 29

30 leur réseau. Cet outil devrait relever d une grande pédagogie afin de permettre la formation de ses utilisateurs, car bien souvent la responsabilité de la gestion informatique est donnée à la personne qui a le plus de connaissances dans le domaine sans pour autant être formée spécifiquement. 30

31 I. La gestion du risque cyber Si la fonction de Risk Manager est traditionnellement absente des TPE/PME, l utilisation des méthodes de cette discipline est devenue nécessaire, particulièrement pour le risque cyber qui concerne tous les acteurs. En effet, le système d information est aujourd hui présent au cœur de la plupart des processus de l organisation, et ceci dans l ensemble des secteurs d activité. Rappelons ces mots du CLUSIF : «Il est urgent que les dirigeants intègrent dans l analyse de leur environnement les faiblesses liées aux systèmes d information. La gestion des vulnérabilités informatiques en tant que telle ne crée pas directement de la valeur. Par contre, une absence de gestion des vulnérabilités limite indirectement la création de valeur pour l organisation». 20 Nous exclurons le risque stratégique pour nous intéresser spécifiquement au risque opérationnel : le risque de pertes provenant de l inadéquation ou de la défaillance de procédures internes, de personnes, de systèmes ou faisant suite à des évènements externes. La démarche décrite dans cette partie correspond à celle employée par les sociétés de conseil de sécurité informatique, et toute entreprise peut bénéficier de cette méthode. Il est à noter que la gestion du risque implique des réévaluations régulières, et ceci est d autant plus vrai dans le domaine de l informatique qui est amené à évoluer constamment. Ceci constitue la principale limite de l application de cette méthode à des petites structures

32 A. Etude des menaces et des risques D après le livre blanc de Check Point Software sur la protection des données et les risques juridiques 21, l étude de risque doit comprendre : Le recensement des données à caractère personnel et leurs supports : matériels, logiciels, canaux de communication, support papier. L étude des menaces qui pèsent sur chaque support : recensement, hiérarchisation, probabilité. L étude des risques : combinaison des impacts avec les menaces correspondantes, hiérarchisation des risques selon leur gravité et leur vraisemblance. La détermination des mesures de sécurité afin de réduire, transférer ou éviter les risques. Une démarche plus générale, proposée par le cabinet MIRCA, rappelle en outre le caractère cyclique d une bonne gestion de risque. La démarche doit être réévaluée de façon plus ou moins régulière. Ainsi, la méthode préconisée est la suivante : L identification des risques, qui consiste à déterminer les évènements de risques potentiels et leurs éventuelles causes et conséquences L évaluation des risques, qui consiste à apprécier l impact de l évènement de risque ; La gestion des risques, qui consiste à définir les mesures stratégiques et opérationnelles pour éviter, transférer et / ou réduire la survenance et l impact des risques ; Le contrôle et la surveillance des risques, qui consistent à s assurer de la cohérence et de l adéquation du niveau des risques en regard des objectifs fixés. Cartographie et hiérarchisation des risques Il faut définir quels sont les biens à protéger, définir les menaces et les risques potentiels, ainsi que leur criticité

33 Pour une société, les données les plus sensibles seront les informations client, pour une autre cela concernera un secret industriel. Identification des biens primordiaux : La première action de la démarche de risk management consiste ainsi à effectuer le recensement de : - L ensemble des données sensibles et leur support ; - Les éléments du système d information dont l indisponibilité serait dommageable ; Identification des menaces : Il faut déterminer les menaces qui pèsent sur les biens à protéger préalablement définis. Cela peut être, par exemple : - L extorsion en cas de chiffrement de données nécessaires au fonctionnement du business; - Les éventuels comportements à risques du personnel (à tous les étages de la pyramide) ; Détermination de la criticité des risques : Pour chaque risque identifié, il faut définir notamment : - Sa gravité : du risque négligeable au risque catastrophique. - Sa probabilité d occurrence : rare, improbable, probable, fréquent. Définition du plan d action Face à un risque, on peut répondre de quatre façons différentes : Le refuser : sortir de l activité ; L accepter ; Le transférer : vers une compagnie d assurance ; Le mitiger : prendre des mesures pour diminuer sa fréquence et/ou son intensité. 33

34 Le plan d action comprendra le choix parmi les quatre possibilités précitées. La définition de ce plan s appuie sur l ensemble des données récoltées lors de l étude du risque : la liste des risques, leur criticité (probabilité x gravité), ainsi que les mesures envisagées. Il faut définir des mesures de protection appropriées. Ces mesures peuvent relever aussi bien de protections d ordre physique, informatique que cognitif (formation et sensibilisation des individus). B. Mise en place du plan d action La mise en place des nouvelles mesures techniques Par exemple, l une des actions possibles pour mitiger le risque face aux cyberextorsions par ransomware est la mise en place d une procédure de sauvegardes automatiques. Nouvelles mesures de gouvernance et sensibilisation des employés Comme mentionné à plusieurs reprises, la protection du système informatique et des données concerne des mesures techniques, mais également des mesures de gouvernance et de sensibilisation des employés. Cela consiste donc à établir des règles à destination du personnel, en s assurant d être le plus pédagogique possible : il faut s assurer que le personnel comprenne en quoi il est concerné par la mesure, parfois contraignante, comme par l enjeu, qu il doit s approprier. S il n aperçoit que vaguement le bénéfice des nouvelles règles qui lui sont imposées, il n en fera probablement rien. On se rapproche de la problématique de l accompagnement au changement propre à tous projets internes. Notons par ailleurs l émergence, très récente, d offres en matière d exercices de crise cyber. 34

35 Un point essentiel : le plan de continuité d activité L un des dangers principaux qui guette une entreprise en cas d incident cyber est l interruption d activité. Il est nécessaire de se préparer à cette éventualité. Il faut avoir réfléchi aux mesures permettant de continuer l activité de l entreprise avant qu un incident gravissime ne survienne. Les objectifs du PCA sont d anticiper les risques opérationnels de grande envergure et d analyser et de réduire les impacts potentiels d une interruption d activité. Un PCA doit permettre de pouvoir continuer d exercer l activité, en mode dégradé. Il s agit de renforcer la résilience de l entreprise à une crise. Il est à noter que l élément humain est un aspect majeur du PCA : ce sont des personnes qui agiront pour permettre de continuer les activités dans les meilleures conditions possibles. Il a été démontré que la perte de repère en situation de sinistre affecte fortement la capacité à prendre des décisions, y compris celle du management 22. Pour Bruno Hamon, fondateur de la société MIRCA et Président du groupe de travail PCA à l AFNOR, le PCA n est pas un outil destiné uniquement aux grands groupes. Il rappelle ainsi qu une PME est plus sensible aux risques de choc extrême, notamment car elle est généralement monosite et possède une assise financière beaucoup plus fragile. C. Les exercices de crise Parmi les outils classiques de gestion de crise, on trouve les exercices de crise cadre. Ceci concernera davantage les PME de taille importante, ainsi que les collectivités locales. Nous voyons en outre apparaître en France une offre en matière d exercice de crise de type cyber. Comme le souligne Jean-Jacques Brun, directeur Management du Risque chez CEIS 23, ces prestations, à l instar de celle en cours de création par la Fondation Saint-Cyr, en partenariat avec les sociétés CEIS, Sogeti et Thales, «permettent en outre Compagnie Européenne d Intelligence Stratégique 35

36 de sensibiliser efficacement les participants aux risques induits par l omniprésence de l informatique au sein de leurs activités professionnelles : ils apprennent à reconnaître les menaces de type cyber, à éviter les pièges, et à agir efficacement en situation de crise». 36

37 II. Les assurances cyber : un marché émergent Les polices classiques sont insuffisantes. En effet, concernant la responsabilité civile, ces polices excluent généralement la perte et la divulgation de données personnelles, ainsi que les dommages causés aux tiers suite à la contamination informatique par l entreprise souscriptrice. Les assurances cyber se positionnent en complément des polices classiques, qui ne couvrent généralement pas les dommages immatériels. Les assurances cyber se multiplient en France, pour plusieurs raisons : les attaques se multiplient, les contraintes réglementaires se renforcent et les assureurs anglo-saxons, notamment américains, sont à la recherche d un nouveau marché. En 2013, la LLoyds déclarait que les cyber risques étaient en troisième position des risques majeurs des entreprises, ce qui montre bien la volonté des compagnies d assurances de se positionner sur un tel marché, au-delà du seul monde anglo-saxon. A. Rappel historique Les assurances cyber en France sont des traductions des assurances cyber anglosaxonnes. L assurance cyber est née aux US dans les années Elles peinaient alors à trouver leur public, de la même façon que les assurances cyber en France à leur lancement (vers 2010). Cependant la conjoncture a changé. Outre l explosion de la menace, le renforcement des cadres légaux, notamment du côté de la notification des incidents (article L34-al2 Loi Informatique et Liberté, Règlement européen à venir prévoyant l élargissement de cette obligation à l ensemble des secteurs), ainsi que la prise de conscience grandissante des risques par les entreprises suite aux actions constantes de sensibilisation de la part des pouvoirs publics ont favorisé le développement des offres d assurance en France. Pourtant, les sociétés d assurances restent confrontées au problème de l absence de données statistiques historiques exploitables pour évaluer le risque. 37

38 Les données actuarielles sont en effet très difficiles à obtenir, puisque les entreprises ne font pas part de leurs incidents de sécurité. D après John Wheeler, directeur de recherche chez Gartner en charge de la gestion du risque et de la sécurité, «même ceux qui sont assurés rechignent à formuler des demandes d indemnisation pour éviter de communiquer les informations et parce qu ils craignent pour leur réputation». En l absence de données, il faut se reposer sur les outils d analyse et de modélisation. B. Le contenu et cibles des offres assurantielles en France Les assureurs présents aujourd hui sur le marché français sont encore en majorité anglo-saxons : ils cherchent de nouveaux marchés après avoir connu un premier succès, particulièrement aux Etats-Unis. Tous proposent des offres globales, multirisques, ceci afin d équilibrer leur portefeuille dans un marché où l offre est encore supérieure à la demande, encore faible. Certaines, nous le verrons plus loin, incluent le traitement du risque en amont et en aval. Ce fonctionnement par «package» peut soulever des difficultés d accessibilité en termes de coûts : face à un manque de moyens, une petite entreprise pourrait souhaiter souscrire à une police couvrant un risque plus restreint mais pertinent au vu du souscripteur. D un autre côté, il est évident que le choix ne serait pas nécessairement aisé pour celui-ci, qui devrait naviguer entre le langage de l assureur et un domaine cyber qu il ne maîtrise a priori que très peu. Cette capacité de choix reste malgré tout pertinente, notamment lorsque sont couverts des sinistres de fréquence (ceux de faible gravité mais qui occurrent régulièrement). Ceux-là vont à l encontre de la pertinence de l assurance, dont l utilité relève dans la couverture des sinistres d amplitude (faible fréquence, forte gravité). Dans le cas des sinistres de fréquence, l assuré a davantage intérêt à agir de façon proactive face au risque, mais si celui-ci est inévitable, il reste inutile de l assurer. Certaines offrent visent spécifiquement les TPE et/ou les PME. Par exemple, dès 2010, Axa proposait une offre destinée spécifiquement aux entreprises de moins de 30 salariés incluant une option cyberrisques «qui sécurise les PME sur l essentiel des cyberattaques 38

39 (repérage du virus, pertes de données, pertes d exploitation)». Depuis, d autres ont mises en place des offres spécifiques aux PME, mais aussi à certaines catégories professionnelles comme le fait l assureur AIG : professionnels de la santé, professionnels de l Internet et de la communication, etc. Autre méthode pour cibler les TPE/PME : l utilisation d un outil de tarification en ligne à destination des courtiers, notamment les courtiers de province, comme l a fait l assureur Beazley (qui prévoit la disponibilité de l outil à partir d octobre 2014) 24. Il subsiste en outre certaines incertitudes d ordre réglementaire, comme nous le verrons plus loin. C. Couverture des risques Les contrats d assurance cyber visent à couvrir la responsabilité civile (RC) et les pertes liés aux dommages immatériels (rarement les dommages matériels). Sont généralement couverts : - Les frais liés au recours à une équipe spécialisée en intervention suite à incident de sécurité : investigation, sécurisation et remise en service du système informatique, y compris des données ; - Les frais de notifications pour violation de confidentialité et de mise en place d un centre d appel pour les tiers ; - Les frais pour recours à une équipe d aide en relations publiques, afin de gérer une crise médiatique, et mitiger les dommages à la réputation ; - Les frais pour recours à une équipe juridique afin de mitiger les ramifications juridiques ; - Les dommages aux tiers au titre de la responsabilité civile. Cela comprend généralement notamment les dommages liés à l indisponibilité du système informatique pour les clients, ainsi que les dommages causés aux réseaux informatiques des tiers

40 Comme nous le verrons plus loin, certaines compagnies d assurance mettent à disposition des équipes techniques, juridiques, de relations publiques ou de centre d appel, soit internes à la compagnie d assurance soit liées à un partenariat avec celle-ci. De nombreuses polices cyber prennent en charge les frais de négociation en cas de cyberextorsion, et certaines vont même jusqu à la pris en charge de la rançon. On retrouve finalement ici le même traitement que concernant les assurances enlèvement. Les assurances, contrairement aux autorités étatiques, encouragent donc les entreprises à céder aux extorsions, car elles considèrent que les coûts liés à la perte d exploitation en cas d indisponibilité du SI sont supérieures au montant de la rançon. Concernant la couverture de la perte de chiffre d affaire, seules deux compagnies d assurances annoncent la couvrir en ces termes dans leur offre (AxA et Hiscox). Certaines couvertures proposées par les assurances soulèvent certaines questions de légalité. Par exemple, les amendes sont assurables aux Etats-Unis, mais la question n est pas encore réellement tranchée en France. Cela n empêche pas de nombreuses polices de proposer la couverture de celles-ci, bien que certaines précisent que la couverture est possible «si la loi l autorise». L objectif premier des assurances cyber, on le voit avec la mise à disposition d équipes techniques, juridiques, de relations publiques et de négociation en cas d extorsion, est bien entendu de mitiger au maximum les conséquences d une cyberattaque. Cela passe notamment par la remise en service la plus rapide possible du système d information atteint. Ceci constitue une nette innovation dans la gestion de risques pour les petites entreprises, a priori démunies contre ce nouveau type d atteintes. D. Les exclusions de garantie Concernant les exclusions de garantie, se pose la question de la définition de l assuré et du tiers. En principe, la qualité d assuré comprend la société souscriptrice, ses représentants légaux, ses filiales ainsi que ses préposés agissant en cette qualité, c'est-àdire les employés. 40

41 L article du code des assurances dispose que l on ne peut pas exclure une garantie «en fonction de la nature ou de la gravité du dommage causé par les personnes dont l assuré est responsable». Autrement dit, si les dommages causés par les employés sont couverts, alors ils le sont que la faute soit de nature intentionnelle ou non. Il est néanmoins possible d exclure la faute intentionnelle de la société souscriptrice et de ses représentants légaux. Ainsi, les actes de malveillance interne sont censés être couverts. Il faut à se sujet noter que le salarié peut également constituer un tiers. Le salarié en tant que personne physique peut se retourner contre l entreprise en cas de fuite de ses données personnelles. Et comme une entreprise possède nécessairement des données personnelles de ses employés au sein de son système d information, ce cas de figure est loin d être théorique. Il faut quoi qu il en soit être particulièrement attentif aux formulations des cas de couverture ou d exclusion. En effet, les produits d assurances cyber ont fortement tendance à mêler des formulations de faits générateurs très vagues et d autres très précis. Les formulations vagues donnent lieu à des difficultés tant les interprétations peuvent être multiples. Il y a ainsi une difficulté entre la volonté pour les assureurs d être intelligibles dans les termes choisis au sein des offres, et la nécessité de lever toute ambigüité, de préférence évidemment avant la survenance d un sinistre. Il faudra notamment s intéresser à : - La distinction entre malveillance et négligence. - La définition retenue de la définition des prestataires de services informatiques Rappelons, en outre, qu au titre des exclusions de garantie : l article L du code des Assurances permet d exclure l assurance du vice propre de la chose assurée. Autrement dit, on pourrait exclure toute faille informatique, si l on considère qu elles constituent une erreur de programmation et ainsi un vice propre à l environnement logiciel du système d information. 41

42 E. L évaluation des risques et les exigences des assureurs Les assureurs se renseignent sur les candidats à l assurance à l aide de questionnaires de souscription. Ces questionnaires visent notamment à déterminer le niveau de dépendance de l entreprise à son système d information ainsi qu à évaluer les pertes d exploitation en cas d indisponibilité de celui-ci. La visite sur site reste rare. Si les assureurs exigent une étude de la sécurité et du risque, elles ne demandent pas d évaluation sur site «dans 99% de cas» d après Mark Greisiger, président de NetDiligence (une entreprise spécialisée dans l évaluation du risque informatique pour assureurs et courtiers). Ces évaluations sont généralement réalisées à la demande du client, ou lorsqu il requiert un montant de garantie particulièrement élevé. Les assureurs apprécient les certifications, notamment ISO 27001, ISO et PCI DSS 25 mais cela ne peut que jouer en la défaveur des plus petites sociétés pour lesquelles le coût de ces certifications est prohibitif. F. L accompagnement dans la sécurisation et la mise à disposition d experts Face à la difficulté pour les PME de se protéger contre un risque qu elles maîtrisent mal, plusieurs sociétés d assurance ont fait le choix d accompagner leurs clients dans leur démarche de sécurisation en s associant avec des sociétés de service informatique spécialisées dans la cybersécurité. On peut citer par exemple l exemple d Axa avec Cassidian Cyber Security, ou d Allianz avec Thalès. Ce partenariat permet d inclure, notamment, prestations en aval et en amont des incidents cyber à l offre d assurance : - En prévention des attaques : l audit du site et la sécurisation - A la suite d une attaque : mise à disposition d une équipe afin de résoudre l incident et de récolter les preuves (forensic). 25 Payement Card Industry Data Security Standard, normes de sécurité pour la protection des données de compte établies par le PCI SSC. 42

43 Cette sécurisation a priori a un impact qui va au-delà de l évitement d une éventuelle future atteinte. Dans un jugement du 21 février 2013, le tribunal de grande instance de Paris a considéré que l absence de protection efficace de l accès à la base de données personnelles de la société Sazenza la rendait responsable de son préjudice subi à hauteur de 30% 26. Cette solution est similaire à celle retenue par le tribunal de grande instance de Créteil en date du 23 avril 2013 : si le responsable d un système d information ne sécurise pas celuici contre les intrusions, le délit d accès et de maintien frauduleux au sens de l article et suivants du code pénal n est pas constitué. En conclusion, on peut considérer que les garanties offertes par les assurances sont globalement pertinentes, mais qu elles souffrent encore d incertitudes et de manque de clarté pour être appréhendées par les plus petites structures qui ont davantage de difficulté à déterminer avec précision les risques d un domaine qu elles maîtrisent mal. D autre part, il reste très difficile d évaluer les montants associés aux pertes s agissant des dommages immatériels, contrairement aux risques matures pour lesquels il est aisé de le faire. Cependant, on ne peut que féliciter les approches pluridisciplinaires employées par plusieurs compagnies d assurances, qui n hésitent pas à accompagner le client en aval et en amont dans le traitement du risque cyber. Au-delà de l efficacité financière d une souscription à une police d assurance cyber, cette dernière a quoiqu il en soit le mérite d enclencher une démarche qualité au sein de l entreprise souscriptrice vis-à-vis de ces nouvelles menaces. Il semble toutefois nécessaire de rappeler le caractère cyclique du marché de l assurance. Nous sommes en effet dans un état d incertitude, en particulier du fait de législations et de jurisprudences qui sont amenées à évoluer dans un domaine naissant

44 On peut rappeler qu en 2002, sous le double effet de la loi Kouchner et de l arrêt Perruche, le marché de l assurance «Responsabilité Civile Médicale» des cliniques privées a vu le retrait de la majorité de ses acteurs

45 III. Amélioration de la perception cyber à travers l accessibilité cognitive Nous devons tenter de dépasser les blocages des utilisateurs, principaux acteurs de la sécurité, en améliorant leur perception cognitive de l environnement cyber qui est le leur. Pour ce faire, nous devons clarifier la représentation visuelle des outils de sécurité. Ceci est en premier lieu au bénéfice des experts, mais cette innovation pourra être étendue à terme au grand public. A. Visualisation du cyberespace et perception de situation La complexité et la taille du cyberespace dans sa dimension technique le rendent particulièrement difficile à se représenter. Il est composé de multiples couches, correspondant à différents niveaux d abstraction. Afin d assurer la sécurité des réseaux dont ils sont responsables, les administrateurs système utilisent des outils de surveillance de ces multiples couches du cyberespace. Ces derniers n apportent généralement pas une visualisation explicite de l environnement virtuel qui approcherait la représentation cognitive du cyberespace que peuvent s en faire leurs utilisateurs. Pourtant, pour une prise de décision efficace, il est nécessaire d avoir la compréhension de l environnement et de son fonctionnement. Le processus d organisation cognitive de ces éléments s appelle la perception. Il semble donc qu il y a un véritable besoin de faciliter la représentation du cyberespace auprès des utilisateurs. C est un travail qui concerne tout autant la technique que les sciences cognitives, et à ce titre il nécessite de faire travailler ensemble des experts de ces domaines respectifs afin d aboutir à des modèles de représentation qui ne manqueront pas d être repris par les éditeurs de logiciels. 45

46 Il serait faux de dire que le domaine de la représentation visuelle ait été éclipsé par les éditeurs, cependant celle-ci semble plus souvent mise en avant à des fins marketing que dans l idée d être exploitable et exploitée. Ainsi, de nombreux acteurs ont mis en ligne des cartes de visualisation des cyberattaques (Kaspersky, Norse, FireEye, pour ne citer qu eux). Ces différentes cartes ne sont malheureusement pas exploitables ; Elles servent à illustrer auprès des clients potentiels les technologies qui permettent de faire fonctionner ces cartes en détectant les cyberattaques. Elles pourraient cependant constituer ce qu on imaginerait être le niveau le plus macro d un outil qui intégrerait différents niveaux de granularité. Certains peuvent craindre qu une amélioration de la perception de l environnement cyber puisse être utilisée à des fins offensives, et ainsi ne ferait qu accélérer une coûteuse course à l armement cyber. Cependant, à connaissance égale des vulnérabilités, cette visualisation bénéficierait davantage à la cybersécurité car la défense est évidemment la première à avoir la main sur les systèmes à protéger. 46

47 1. Visualisation d information et théorie cognitive Le domaine de la visualisation d information a émergé «à partir des recherches dans des disciplines telles que l interaction homme-machine, les sciences informatiques, le graphisme, le design, la psychologie et les méthodes commerciales» 28. Elle permet la représentation d informations abstraites afin de renforcer la cognition humaine. Pour les créateurs de l outil VisAlert 29, l interface d un IDS (Intrusion Detection System) devrait être aussi proche que possible de la représentation cognitive de l utilisateur afin de rendre sa compréhension plus rapide et plus précise. En ce sens, la visualisation d information fait partie de l ergonomie. On la voit d ailleurs d autant plus fusionner avec cette notion avec la démocratisation des smartphones et autres tablettes qui bénéficient des écrans tactiles. On réalise avec ceux-ci la combinaison entre le visuel et la fonction sous-jacente. Difficile de parler de la mise en avant de l ergonomie dans l informatique sans parler de la stratégie derrière le design des produits Apple. Afin de faciliter leur utilisation et leur prise en main, des efforts considérables ont été mis dans la conception des produits, afin de les rendre «intuitifs», c'est-à-dire permettre une compréhension immédiate du fonctionnement de l outil en vue de son utilisation. Et pour arriver à ce résultat, il faut non seulement créer un système suivant une logique universellement ou quasi-universellement partagée, mais également s assurer d afficher les étapes commandées par l utilisateur selon la représentation cognitive qu il s en fait. Il est rarement possible de représenter l intégralité des informations que l on souhaite transmettre en un seul visuel : l humain ne peut interpréter de son champ de vision qu un nombre limité de types distincts d objets. La solution est de représenter les informations selon différents niveaux de granularité. Il est nécessaire de prendre en compte le pourcentage non négligeable d individus atteints d une forme quelconque de daltonisme, presque 10% pour les hommes, lors des choix de 28 Benjamin B. Bederson et Ben Shneiderman, The Craft of Information Visualization : Readings and Reflections, 2003, Morgan Kaufman

48 code couleur comme attribut de visualisation. Eviter alors l utilisation du rouge et du vert, couleurs concernées par la forme la plus courante de daltonisme, semble judicieux. Certains experts estiment qu un outil de visualisation devrait éviter la troisième dimension 30 car la perspective prive celui-ci de l efficacité de certains attributs de visualisation, notamment la taille des objets représentés. Cette taille peut alors servir à indiquer la sévérité d un évènement sans avoir recours à une couleur vive que tous ne peuvent pas distinguer. La théorie de l intégration des attributs d Anne Treisman détermine quatre principales caractéristiques des objets qui sont identifiées avant d être traitées à un niveau conscient : - La couleur ; - La forme ; - L orientation ; - Le mouvement. 30 Jay Jacobs, Bob Rudis, Data-Driven Security,

49 2. Sources de données nécessaires à la visualisation du cyberespace Nature des éléments En premier lieu, il s agit de la nature et des caractéristiques des équipements, premières caractéristiques qui permettent de définir les éléments constitutifs d un réseau. Ils constituent ainsi l ossature de toute représentation du cyberespace. Il est d ailleurs possible de trouver des cartographies efficaces en dehors des outils dédiés à la sécurité : Cartographie du réseau local d'une box Numéricable Ce schéma réseau, généré automatiquement par le modem représenté au centre, indique d une façon intelligible les éléments du réseau local qu il détecte, ainsi que les liens réseaux. 49

50 Evènements réseau Le second type de données nécessaire est constitué des évènements réseaux, qui sont recueillis dans les logs, ou journaux d évènements. Les évènements sont analysés par un SIEM (Security Information and Events Management), qui gère et corrèle les logs à la recherche d une cause commune aux évènements recensés. La majeure partie des outils actuels de sécurité présentent leurs résultats sous forme de rapports et de tableaux de bord. Il existe encore aujourd hui un problème de diversité des formats de logs, qui alourdit la tâche de centralisation et de corrélation. L organisation américaine à but non lucratif MITRE travaillait sur un programme de standardisation de ceux-ci, appelé Common Event Expression. Malheureusement, du fait des changements de priorités décidés par leur soutien financier (le gouvernement étatsunien), ce dernier a mis fin à ce projet 31. Cette diversité n est pas un élément réellement bloquant, mais cela contribue comme toujours à alourdir le coût du développement de ces outils. Malheureusement, dans l informatique comme dans tous les autres domaines, le processus de standardisation est un travail qui se compte en années

51 B. Un potentiel à exploiter Il semble que de nombreux outils de sécurité souffrent de report d informations ne s attachant pas suffisamment à la présentation efficace de l information. Il ne s agit en aucun cas de dénigrer ceux-là. Le premier outil présenté est d excellente facture, et extrêmement puissant. Pourtant, le même niveau de qualité ne se retrouve pas dans l art de transmettre avec rapidité et efficacité les résultats de ses travaux. 1. La visualisation statique Visualisation de rapport Nessus est un scanner de vulnérabilité, c'est-à-dire qu il est un programme conçu pour identifier les vulnérabilités dans une application, un système d exploitation ou un réseau. Un rapport de vulnérabilité de Nessus 5, résultat du scan d un réseau domestique Bien que l outil à l origine de ce rapport soit capable de détecter un grand nombre d informations à travers ses scans, il est perfectible dans sa présentation des résultats, au détriment de la rapidité d interprétation de l utilisateur. 51

52 Par exemple, il est capable de déterminer quel système d exploitation fonctionne sur chaque hôte recensé. Il sait également reconnaître quel est le type d équipement sondé. Ces informations pourraient être facilement représentées sur cet écran afin de permettre de savoir rapidement à quelle ligne correspond quel équipement. Résultat de la sonde d identification du système d exploitation de l hôte ciblé. On peut ainsi imaginer introduire davantage d informations au niveau macro sans pour autant surcharger l affichage. Cela accélère en outre le lien entre réalité physique et réalité cyber. Le même rapport de vulnérabilité, agrémenté d icônes permettant d identifier le type d équipement (routeur, tablette, machines virtuelles, imprimante, ordinateur physique) et le type de système d exploitation (Unix, ios, XP, Seven) à partir des résultats des sondes. Idéalement, on souhaite fournir autant d informations que possible, sans tomber dans une surcharge visuelle qui nuirait à celle-ci. 52

53 Visualisation statique du cyberespace Il existe aujourd hui de nombreux outils qui permettent de scanner un réseau et d en dresser une carte intelligible, et ceci d autant plus que le réseau est de taille modérée (ce qui est a priori le cas du réseau d une petite entreprise). Nous pourrions ainsi imaginer l alliance des fonctionnalités d un détecteur de vulnérabilité avec celles d un générateur de carte du réseau, afin de mettre en lumière au premier coup d œil les éléments vulnérables. Cette proposition sera redéveloppée au cours de la dernière partie «Outil d aide à la décision cyber à l attention des TPE/PME». 10-Strike Network Diagram 53

54 2. De la visualisation statique à la visualisation dynamique Le passage à la visualisation dynamique, c'est-à-dire la mise à jour en quasi temps réel d une représentation du cyberespace avec les évènements l affectant permettrait d accéder à ce qui est nécessaire à la prise de décision : la perception de situation. Une équipe de chercheurs de l University of Utah et de l Utah Stat University a présenté au sein d un article de l IEEE Computer Society VisAlert 32, un outil potentiel de visualisation du réseau développé suivant une approche pluridisciplinaire : architecture, psychologie cognitive et sciences informatiques. Ces travaux ont donné naissance à un projet d outil représentant le réseau en deux dimensions et présentant celui-ci sous trois axes : «Quoi, Quand, Où?». Les éléments du réseau sont présentés au sein du disque intérieur, alors que les évènements, classés par type, sont présentés sur les cercles extérieurs par ordre chronologique. Le cercle d évènements le plus proche du centre est celui du moment actuel ; les évènements reportés par celui-ci sont reliés par des faisceaux aux éléments du réseau auxquels ils correspondent. Cet outil centraliserait ainsi les informations de sécurité pour obtenir une vision claire du réseau, par exemple en s interfaçant avec un logiciel SIEM (Security Information and Events Management)

55 VisAlert Concept VisAlert Illustré en situation L outil reporte des alertes de type Snort (en bleu) et évènement Windows (en orange). Ici, l attaquant tente d accéder à un système vulnérable, tout en sondant intensivement un autre système afin de détourner l attention de la cible réelle. 3. De la visualisation dynamique à l interaction avec le cyberespace Une fois obtenue la visualisation en temps réel du cyberespace, on peut travailler à rendre toute aussi intuitive l interaction avec celui-ci. C est précisément ce sur quoi travaille depuis quelques années la DARPA. Initié durant l été 2012, le projet Plan X de la DARPA (Defense Advanced Research Projects Agency) vise à développer des technologies capables, au-delà de la seule protection de ses propres systèmes, de lancer des attaques sur les systèmes ennemis. L un des objectifs du projet est de créer une carte interactive et mise à jour en temps réel de l ensemble du cyberespace. Comme le projet CIAP 33, l architecture du système doit permettre à celui-ci de s alimenter d un grand nombre de données de différents types afin d établir la cartographie. La diversité des données envisagées par les concepteurs est telle que l on imagine la 33 Voir annexe 1 : Systèmes de visualisation du cyberespace 55

56 difficulté à laquelle seront confrontés les chercheurs s agissant de permettre une visualisation claire du cyberespace. A ceci, il faut rappeler que l interface devra également représenter les possibilités d interaction avec l environnement, qui représentent un enjeu majeur du projet et qui seront nécessairement tout aussi diverses. Ces interactions doivent permettre de mener des actions aussi bien défensives qu offensives. Le produit final se devra d être particulièrement intuitif : il n est pas à l unique destination des experts en sécurité. L objectif de la DARPA est d être en mesure d offrir un outil accessible à un grand nombre de cybercombattants, n ayant reçu qu une formation cyber minimale : il s agit de créer l outil du cybersoldat qui puisse être aussi accessible que le fusil pour le soldat conventionnel. Récemment 34, la DARPA a indiqué vouloir intégrer l Oculus Rift à son système. Il faut cependant garder à l esprit que l Oculus Rift engendre une forte fatigue visuelle qui empêche l utilisation prolongée du dispositif (à ce sujet, notons que la vidéo de démonstration de la Darpa ne fait que renforcer cette présomption). Ceci implique qu un tel dispositif ne serait adapté qu à des missions offensives reposant sur le lancement d attaques entièrement prédéfinies (fonctionnalité prévue dans le Plan X). En effet, l utilisation de l Oculus Rift dans le cadre d une mission de surveillance aurait pour conséquence de multiplier les ressources humaines nécessaires. La surveillance du réseau s effectuera ainsi plus probablement sur d autres supports, comme par exemple les tablettes holographiques 35, dont l intégration au sein de Plan X est en cours d expérimentation par la DARPA social&utm_source=twitter.com&utm_campaign=buffer 56

57 Proof-of-Concept - Plan X sous Oculus Rift Cet outil en cours de création illustre parfaitement l importance de la visualisation dans l accessibilité des problématiques cyber au plus grand nombre. Conscients qu il leur sera difficile de préserver une supériorité sur le cyberespace sur le long terme si le nombre d experts en sécurité est un facteur limitant de puissance, les Etats-Unis misent sur une technologie qui abaisse le pré requis en termes de niveau de formation. 57

58 IV. Un outil à la décision à destination des TPE/PME Avant de rentrer dans le vif du sujet, il est important de préciser le terme «d aide à la décision». Il est aujourd hui très souvent utilisé dans le cadre de l informatique décisionnelle, généralement à des fins d aide aux choix de type stratégique à l aide d outils de type OLAP 36. Nous retiendrons au contraire la définition la plus stricte de l aide à la décision. Celle-ci, aussi appelée recherche opérationnelle, est l ensemble des techniques permettant d opter pour la meilleure prise de décision possible. Il s agira ici tout particulièrement d offrir à un non-expert les informations essentielles à la sécurisation de son système d information. S agissant des logiciels de sécurité informatique, nous pouvons établir la distinction suivante : - Les logiciels qui agissent automatiquement une fois installés sur le système et ne demandent pas ou peu de supervision par l utilisateur : c est le cas des antivirus et des pare-feu. - Les logiciels qui sont destinés spécifiquement aux professionnels de la sécurité informatique : les détecteurs de vulnérabilité, les IDS et IPS, les SIEM, les SOC, etc. Voici de nombreuses années qu est annoncée la mort des logiciels antivirus. Cette annonce, exagérée, est due au changement de paradigme en termes de menaces cyber. La première fonction d un antivirus est d analyser les fichiers à la recherche de marqueurs correspondant à la base de données référençant l ensemble des malwares connus. Cette approche est bien sûr inefficace dans le cas d une attaque ciblée contre un réseau, pour laquelle l attaquant créé un code malveillant spécifique à sa cible : il n y a alors que peu de moyens d identifier en tant que tel ce malware (les antivirus récents intègrent, il est vrai, une analyse de l approche comportementale, mais celle-ci reste malgré tout limitée). Pour autant, elle reste utile s agissant de l ensemble des menaces non ciblées

59 Ainsi, la première catégorie de logiciels reste nécessaire, mais est insuffisante. Ceci pose un problème évident face à des utilisateurs démunis face aux outils de nouvelle génération, qui nécessitent un certain niveau d expertise. Nous avons besoin de rendre accessibles ces outils afin de permettre aux plus petites entreprises un niveau de cybersécurité adapté aux nouvelles menaces. Partant du constat que les experts en sécurité sont onéreux et peu nombreux, alors que les petites entreprises constituent une multitude, la voie logicielle semble être celle à privilégier afin de renforcer leur sécurité. Il semble judicieux que cet outil combine tout à la fois : - les fonctionnalités d un détecteur de vulnérabilités, afin de réaliser l audit de sécurité et de protéger le système informatique de façon préventive. - Les fonctionnalités d un système de détection d intrusions, afin de limiter l impact des brèches - Une visualisation d information évoluée telle que définie dans le précédent chapitre. - Un abord fortement pédagogique afin de permettre à un utilisateur technophile mais non formé de monter en compétences en cybersécurité : il doit tout autant être un manuel d utilisation qu un outil d aide à la décision. Cet outil serait destiné tout particulièrement aux personnes dans l entreprise qui ont la responsabilité de la gestion de l informatique. Souvent, celles-ci n ont pas de formation informatique, mais sont les personnes qui possèdent le plus de connaissance ou d appétence pour le domaine et s occupent de l informatique à côté de leur fonction principale. Ils sont donc à l aise avec l informatique, sans pour autant avoir de connaissances poussées dans le domaine. Nous proposons ainsi la création d un outil qui serait, dans sa partie technique, un système expert. Le système expert représente en effet la version logicielle de l aide à la décision, car il reproduit les mécanismes cognitifs d un expert de son domaine. Il est capable de répondre à des questions en mettant en relation faits et règles à l aide d un moteur d inférence reposant essentiellement sur le syllogisme. 59

60 Il ne s agit pas de remplacer des experts existants, mais bien d offrir de façon accessible les bases de la sécurité à ceux qui n ont ni la formation adéquate, ni les moyens financiers pour recourir à ces experts. A. Les capacités des outils libres disponibles Les scanners de vulnérabilités sont capables, en plus de détecter lesdites vulnérabilités, de proposer des solutions à destination des utilisateurs expérimentés. Vulnérabilité SSH sur une Neuf box V4 (rapport de Nessus 5) L outil nous informe de deux vulnérabilités SSH connues affectant notre box (une vulnérabilité à une attaque de type DoS et une vulnérabilité permettant d énumérer les utilisateurs). La solution proposée est de mettre à jour le serveur SSH à la version ou à une version plus récente. Ceci est difficilement exploitable pour le béotien, tout au plus peut-il comprendre qu il y a un logiciel à mettre à jour sur l équipement. Ce type d équipement étant censé se mettre à jour automatiquement, il n y a en réalité pas grand-chose à faire côté utilisateur, mis à part contacter l opérateur pour demander une mise à jour du firmware (logiciel intégré au matériel), soit demander un équipement encore maintenu par le constructeur, c est à dire à jour des failles de sécurité connues. 60

61 Il faut noter que les détecteurs de vulnérabilité sont d autant plus efficaces qu ils sont installés directement sur le poste à examiner. Ainsi, il aura pu identifier 165 vulnérabilités sur la machine virtuelle hébergeant le logiciel, contre moins de 50 en moyenne pour les autres postes du réseau. Détection de l absence d une mise à jour critique d un navigateur, permettant à un site infecté d exécuter du code malveillant avec les privilèges de l utilisateur (rapport de Nessus 5) Il serait ainsi préférable que le logiciel que nous proposons ait vocation à être installé sur l ensemble du parc informatique, afin de procéder à un audit de sécurité permanent le plus exhaustif possible. B. L aide à la sécurisation Un tel outil doit reprendre à son compte toutes les capacités d un scanner de vulnérabilités. L outil doit, après analyse du système d information, remonter des suggestions selon plusieurs axes : Les points de vulnérabilité spécifiques: - L absence de protections de type antivirus sur des postes utilisateurs ; - L absence de firewall ou l ouverture de certains ports non utilisés ; 61