LISTE DES DOCUMENTS JOINTS

NOTE DE SYNTHÈSE Concours de secrétaire comptable externe interne obligation d emploi 2012 À partir du dossier joint, vous analyserez dans quelle mesure la cyber-attaque représente aujourd hui une menace croissante pour les acteurs publics et privés et quelles leçons il convient d en tirer pour mieux y faire face. LISTE DES DOCUMENTS JOINTS 1. Le cyberespionnage, une arme militaire et économique Nathalie Guibert www.lemonde.fr 17/12/2011 2 pages 2. Bercy, l Élysée et le Quai d Orsay visés par une cyberattaque www.lepoint.fr 07/03/2011 2 pages 3. Foreign hackers targeted U.S. water plant in apparent malicious cyber attack, expert says Ellen Nakashima www.whashingtonpost.com 11/18/2011 1 page 4. Cyber Attack on U.S. Chamber Pressures Congress to Speed Web Rule Rewrite Chris Strohm www.bloomberg.com 12/22/2011 2 pages 5. Patrick Pailloux, dg de Anssi : Les cyberattaques ne sont pas juste un fantasme de romancier Edouard Laugier www.lenouveleconomiste.fr 11/05/2011 5 pages 6. Cyber-attaque Portail interministériel de prévention des risques majeurs http://risques.gouv.fr 2 pages 7. Assurer la cyberdéfense Secrétariat général de la Défense et de la Sécurité Nationale www.sgdn.gouv.fr 2012 1 page 8. Defending the networks : The NATO Policy on Cyber Defence www.nato.int 2011 3 pages 9. Cyberdéfense : un nouvel enjeu de sécurité nationale Rapport d information Commission des Affaires étrangères, de la défense et des forces armées Roger Romani www.senat.fr 08/07/2008 5 pages

1 Le cyberespionnage, une arme militaire et économique Mobilisation générale dans le cyberespace. Ministères, agences gouvernementales, états-majors, mais aussi industriels et prestataires de tous types ont, ces derniers mois, investi de façon significative la cybersécurité et la cyberdéfense. «Nous cherchons où couper dans nos budgets, mais s'il est un domaine pour lequel je suis sûre que nous aurons une progression, c'est celui du cyber», nous a indiqué la secrétaire américaine à la sécurité intérieure, Janet Napolitano, le 2 décembre, à Paris. Pour elle, «le cyberespace est l'endroit où nos intérêts économiques et nos intérêts sécuritaires peuvent coïncider». En raison de leur sophistication, des attaques récentes sont prises en exemple par les décideurs pour justifier cet effort. En juin 2009, le virus Stuxnet avait endommagé des installations iraniennes lors d'une attaque attribuée aux États-Unis et à Israël : c'était la première offensive de précision, jugée efficace, contre un système de contrôle industriel. En avril 2010, 15 % de l'internet mondial avait été détourné pendant dix-huit minutes sur un serveur chinois. En mai 2011, des données américaines parmi les plus sensibles ont été forcées : comptes Gmail de hauts fonctionnaires, plans de matériel militaire chez Lockheed Martin. «Ces attaques ont montré l'urgence qu'il y avait à sécuriser nos réseaux, souligne Mme Napolitano. Elles ont révélé les incessants efforts menés par certains pour s'approprier les secrets et la propriété intellectuelle des États-Unis ou de leurs entreprises. C'est le type de crime majeur de notre ère.» Dans le domaine de l'espionnage industriel, il n'est pas d'allié ni d'ami. La guerre est-elle déclarée pour autant? Dans un récent rapport au Congrès, les services du contreespionnage américains ont désigné la Chine. Tandis que les autorités civiles pressent les grands acteurs économiques de prendre des mesures de protection, des stratégies militaires s'affinent au nom de la protection des intérêts vitaux des nations, et cette pression sécuritaire inquiète les défenseurs des libertés. Focalisés sur la fragilité de leurs réseaux électriques, les militaires américains envisagent le pire : «Une arme nucléaire peut détruire le réseau d'une ville, la crainte est qu'une cyberattaque puisse le faire à l'échelle de tout un pays, devenant une arme de destruction massive», a indiqué le général James Cartwight, ancien chef d'état-major adjoint des armées lors d'un débat organisé par le Center for Strategic and International Studies (CSIS) de Washington, le 6 décembre. Selon ce haut gradé, la probabilité que cela arrive est "très lointaine", mais il faut être «vigilant». «Il est trop tard pour se poser la question de savoir s'il faut ou non militariser le cyberespace», a noté James Lewis, directeur au CSIS. Toutes les grandes puissances ont mis à jour en 2010 et 2011 leur stratégie nationale de cyberdéfense, avec un volet offensif jamais détaillé. FANTASMES Selon l'enquête du CSIS, 35 pays développent une doctrine militaire destinée à faire face à une cyberguerre. Même si ses effets ne peuvent être maîtrisés - impossible de garantir qu'un virus envoyé sur une cible militaire ne migre pas vers un hôpital -, l'arme informatique a pris sa place parmi les autres armes d'appui, au même titre que l'artillerie. SC 2012 1/2 www.lemonde.fr 17/12/2011

1 Gare aux fantasmes, cependant. La mise en œuvre du «commandement cyber» du Pentagone en 2010, au même titre que les commandements air, terre et mer, «laisserait penser que les concepts historiques de la guerre - la force, l'attaque, la défense, la dissuasion - peuvent être appliqués au cyberespace. Ce n'est pas le cas», a tempéré Martin Libicki, expert de la RAND Corporation, qui, en 2009, conseillait l'us Air Force. «Une cyberguerre pourrait gêner mais non désarmer un adversaire, dit-il. Et n'importe quel adversaire a la capacité de frapper en retour d'une façon qui serait plus que gênante.» La difficulté d'attribuer les attaques reste une limite. On sait repérer des «signatures» de groupes de hackers ou de services étrangers, par exemple, mais la certitude qu'un tiers ne se soit pas interposé n'est jamais acquise. «Dire que c'est tel pays, c'est une décision politique», admettait le 6 décembre le général Cartwight. La priorité du moment reste donc la protection basique des systèmes d'information. «Si nous assistons à beaucoup d'attaques, c'est que les réseaux sont encore très mal protégés ; certains entrent là où, simplement, on a laissé les portes ouvertes», tempère ainsi une source française de la défense. Les gouvernements développent auprès de leurs citoyens le concept d' «hygiène informatique». Pour les réseaux sensibles, déjà cryptés et dupliqués, l'effort porte sur la mise en place d'une surveillance active afin de pouvoir limiter au plus vite l'effet d'une intrusion. En France, ces mêmes moyens de surveillance à l'état-major des armées sont en train d'être réunis avec ceux de l'agence interministérielle chargée de la cybersécurité. VERS UNE COOPÉRATION INTERNATIONALE Les gouvernements occidentaux cherchent à coordonner leurs acteurs nationaux. Aux États-Unis, un accord a été passé entre le département de la sécurité intérieure et celui de la défense pour utiliser les ressources technologiques de la National Security Agency. Conscients qu'une escalade offensive ne ferait qu'accroître la vulnérabilité de tous, ces mêmes États affichent la volonté d'un dialogue, voire d'une coopération internationale. Des experts explorent la possibilité d'un cadre juridique collectif. La nouvelle chaire de cyberstratégie créée fin novembre à l'école militaire de Paris est missionnée sur la problématique. Enfin, les exercices internationaux se développent : à l'otan, où un plan d'action a été adopté en juin. Mais également à l'union européenne, qui a organisé un premier exercice de simulation en novembre. De leur côté, les États-Unis convient leurs alliés à participer à leurs «CyberStorm», organisés depuis 2006. «Tout cela est conçu, précise Janet Napolitano, afin de nous entraîner à réagir dans le cas d'une attaque massive qui aurait des répercussions dans plusieurs pays simultanément.» Nathalie Guibert SC 2012 2/2 www.lemonde.fr 17/12/2011

Bercy, l Élysée et le Quai d Orsay visés par une cyberattaque De nombreuses informations ont été dérobées sur les ordinateurs du ministère des Finances, seul à avoir été infiltré avec succès. 2 Le ministère français de l Économie et des Finances a été, pendant plusieurs semaines, la cible d une attaque informatique très professionnelle visant des documents liés au G20, a expliqué lundi l Agence nationale de la sécurité des systèmes d information (Anssi). La cyberattaque, révélée par le site internet de Paris Match, a été confirmée lundi par la ministre de l Économie, Christine Lagarde, et par celui du Budget, François Baroin. «Il s agit bien d une attaque d espionnage», a déclaré lors d une conférence de presse Patrick Pailloux, directeur général de l Anssi, qui est rattachée à la Défense. «L objectif était véritablement de voler de l information, de façon ciblée.» Détectée début janvier alors qu elle avait sans doute commencé plusieurs semaines auparavant, cette attaque a touché environ 150 postes informatiques sur les 170 000 que regroupent les systèmes du ministère, a-t-il précisé. Les pirates se sont introduits dans les réseaux de Bercy par l intermédiaire de la messagerie informatique, le "point d entrée" ayant sans doute été une pièce jointe sur laquelle un utilisateur a cliqué, a-t-il expliqué. Des vérifications ont été menées pendant plusieurs semaines dans l ensemble des services concernés et elles ont conduit ce week-end à «une très grosse reconfiguration de l informatique de Bercy» pour renforcer leur sécurité, a précisé Patrick Pailloux. L attaque n a pas touché les dossiers fiscaux et les dossiers personnels, a-t-il assuré, et "on ne l a pas observée réussie ailleurs". Il s est toutefois refusé à dire quels autres ministères avaient été visés. La présidence de la République a démenti, de son côté, les informations du quotidien Libération selon lesquelles elle avait été, elle aussi, prise pour cible. Des pistes, pas d accusation Les espions visaient des documents liés au G20, a expliqué le directeur général de l Anssi. «Les pirates, les hackers s intéressaient au G20 et globalement à notre politique économique à l échelle internationale», a-t-il précisé. Des pirates qu il présente comme «professionnels, déterminés et organisés". "Cette attaque n a pas été menée avec trois PC dans un garage», résume-t-il. Une affirmation qui s appuie sur le nombre de postes visés et sur l éventail des personnes concernées au sein du ministère de l Économie, de la secrétaire aux hauts responsables en passant par des chargés de mission. Selon Paris Match, qui cite une «source proche du dossier», la direction du Trésor était la principale cible des hackers. Les documents auxquels les pirates ont pu accéder sont très variés et vont du «banal» au «sensible», a expliqué le patron de l Anssi. Mais les documents «classifiés», qui ne circulent que sur un réseau isolé d Internet, n ont pas été touchés. Les autorités ont «des pistes» concernant l origine de l attaque, «mais pour l instant, il est impossible de les confirmer», a dit sur Europe 1 François Baroin. Une piste chinoise est évoquée mais n a pas été confirmée. «Armées de hackers» Le ministère de l Économie a porté plainte contre X. Le parquet de Paris et la DCRI, direction du renseignement, ont été saisis du dossier. De son côté, Christine Lagarde a rappelé que le Canada avait, SC 2012 1/2 www.lepoint.fr 07/03/2011

2 lui aussi, été pris pour cible en janvier dernier. «Dès qu on a identifié les difficultés, des mesures conservatoires ont immédiatement été prises, notamment concernant les communications des documents relatifs au G20 puisqu on a rapidement identifié l intérêt manifeste pour ce sujet», a-t-elle dit à des journalistes. «Ce que je peux vous dire, c est que ça n est pas agréable», a-t-elle confié à Reuters. Pour le député UMP Bernard Carayon, spécialiste de l espionnage industriel, l affaire est grave. «Cette affaire extrêmement grave souligne la vulnérabilité des systèmes d information publics», a-t-il dit dans un communiqué. «La menace est connue depuis longtemps : certains États se sont dotés d armées de hackers». Selon lui, les systèmes d information du secrétariat général de la Défense et de la Sécurité nationale (SGDSN) ont déjà été pénétrés, comme ceux du Pentagone aux États-Unis. «Les moyens français ne sont pas à la hauteur des enjeux», a-t-il jugé. L Anssi, créée en 2009, va recruter 70 personnes cette année, ce qui portera ses effectifs globaux à 250 personnes, a précisé Patrick Pailloux lors de sa conférence de presse. SC 2012 2/2 www.lepoint.fr 07/03/2011

Foreign hackers targeted U.S. water plant in apparent malicious cyber attack, expert says Foreign hackers caused a pump at an Illinois water plant to fail last week, according to a preliminary state report. Experts said the cyber-attack, if confirmed, would be the first known to have damaged one of the systems that supply Americans with water, electricity and other essentials of modern life. Companies and government agencies that rely on the Internet have for years been routine targets of hackers, but most incidents have resulted from attempts to steal information or interrupt the functioning of Web sites. The incident in Springfield, Ill., would mark a departure because it apparently caused physical destruction. Federal officials confirmed that the FBI and the Department of Homeland Security were investigating damage to the water plant but cautioned against concluding that it was necessarily a cyber-attack before all the facts could be learned. At this time there is no credible corroborated data that indicates a risk to critical infrastructure entities or a threat to public safety, said DHS spokesman Peter Boogaard. News of the incident became public after Joe Weiss, an industry security expert, obtained a report dated Nov. 10 and collected by an Illinois state intelligence center that monitors security threats. The original source of the information was unknown and impossible to immediately verify. The report, which Weiss read to The Washington Post, describes how a series of minor glitches with a water pump gradually escalated to the point where the pump motor was being turned on and off frequently. It soon burned out, according to the report. The report blamed the damage on the actions of somebody using a computer registered to an Internet address in Russia. It is believed that hackers had acquired unauthorized access to the software company s database and used this information to penetrate the control system for the water pump. Experts cautioned that it is difficult to trace the origin of a cyber-attack, and that false addresses often are used to confuse investigations. Yet they also agreed that the incident was a major new development in cyber-security. This is a big deal, said Weiss. It was tracked to Russia. It has been in the system for at least two to three months. It has caused damage. We don t know how many other utilities are currently compromised. Dave Marcus, director of security research for McAfee Labs, said that the computers that control critical systems in the United States are vulnerable to attacks that come through the Internet, and few operators of these systems know how to detect or defeat these threats. So many are ill-prepared for cyber-attacks, Marcus said. The Illinois report said that hackers broke into a software company s database and retrieved user names and passwords of control systems that run water plant computer equipment. Using that data, they were able to hack into the plant in Illinois, Weiss said. Senior U.S. officials have recently raised warnings about the risk of destructive cyber-attacks on critical infrastructure. One of the few documented cases of such an attack resulted from a virus, Stuxnet, that caused centrifuges in an Iranian uranium enrichment facility to spin out of control last year. Many computer security experts have speculated that Stuxnet was created by Israel - perhaps with U.S. help - as a way to check Iran s nuclear program. 3 Ellen Nakashima SC 2012 1/1 www.washingtonpost.com 11/18/2011

Cyber Attack on U.S. Chamber Pressures Congress to Speed Web Rule Rewrite 4 A cyber attack on the U.S. Chamber of Commerce will intensify pressure on Congress to overhaul Web security regulations written before the existence of Facebook Inc., Twitter Inc. and Google Inc. (GOOG) s Gmail. Concern that computer systems for banks, power companies and Internet providers are vulnerable rose after hackers with ties to China stole confidential e-mails and documents from the chamber, the biggest U.S. business lobbying organization. Congress and the administration have been dithering over cybersecurity for years, said Stewart Baker, a former assistant secretary for policy at the Homeland Security Department and a partner at the Steptoe & Johnson LLP law firm in Washington. In that time, American companies have been robbed blind. This does underline, if any underlining is necessary, that we need a strong cybersecurity bill. Senate Majority Leader Harry Reid plans to take up cybersecurity legislation as early as next month to rewrite rules set after the terrorist attacks of Sept. 11, 2001. A U.S. report released last month found that China was the biggest hacker threat to American firms, and those attacks breached the networks of at least 760 companies. The chamber breach, confirmed by the organization yesterday, shows that even House and Senate members may be vulnerable to foreign hackers, said Jessica Herrera-Flanigan, a former staff director for the House Homeland Security Committee, in an interview. This latest compromise should especially be of concern as the hackers potentially could have gotten hold of sensitive and strategic e-mails to and from the chamber and these officials, said Herrera-Flanigan, who s now a partner at Monument Policy Group in Washington. Spy Versus Lobbyist The chamber, representing more than 3 million members, said yesterday that communications with fewer than 50 of its members were affected by the 2010 attack. It said it hasn t seen evidence of harm to members or the organization. The security breach was first reported by the Wall Street Journal. Republican Representatives Peter King of New York and Dan Lungren of California, and Independent Senator Joseph Lieberman of Connecticut, all sponsors of cyber protection bills, said the latest attack shows the need for such legislation. Reports like this should serve as a reminder of how important it is for the federal government to secure its networks, King said in a statement. Social Network Hackers New legislation would update a 2002 law that created the Homeland Security Department, predating social media sites that security firms such as Symantec Corp. (SYMC) say are targets. Hackers exploit some social-networking sites where Web users often let down their guard, according to Symantec. SC 2012 1/2 www.bloomberg.com 12/22/2011

4 The company issued 10 million updates and recorded 3.1 billion malware attacks last year, up from about 20,000 software updates in 2002, said Cris Paden, a spokesman for Symantec. Two House bills are aimed at protecting critical systems and improving the sharing of classified cyber-threat data between companies and government. One, H.R. 3674, introduced Dec. 15 by Republicans Lungren and King, who leads the Homeland Security Committee, lets the Homeland Security Department identify and suggest ways to thwart the biggest risks. Preventing Cyber Attacks The regulators of specific industries - not the homeland security agency - would have primary responsibility for writing rules governing cybersecurity operations in their areas, Lungren said in a statement. The bill creates a U.S. information-sharing organization as a clearinghouse for the government and companies to exchange cyber-threat data. The measure authorizes $10 million in annual government funding for three years to start the organization, Lungren said. The second House bill, H.R. 3523, was introduced Nov. 30 by Representatives Mike Rogers, a Michigan Republican who leads the House Intelligence Committee, and C.A. Dutch Ruppersberger of Maryland, the panel s top Democrat. The bill would give companies protections from lawsuits when they tell the government about attacks against their networks, while the government could provide companies with classified cyber-threat data. Data that companies give the government would be exempt from Freedom of Information Act requests and couldn t be used by the government to mandate regulations, according to the bill. Protecting critical infrastructure won t happen spontaneously - there is no business case for it and the market will never deliver, said James Lewis, director of the technology and public policy programs at the Center for Strategic and International Studies, in an e-mail. That s why we need legislation or we ll wake up some day to find that the lights don t work. Chris Strohm SC 2012 2/2 www.bloomberg.com 12/22/2011

Patrick Pailloux, dg de Anssi : Les cyberattaques ne sont pas juste un fantasme de romancier 5 Créée en juillet 2009, l Agence nationale de la sécurité des systèmes d information est la tête de pont de la cyberdéfense nationale. Le sujet est brûlant : les systèmes d information qui innervent la vie économique et sociale rendent nos sociétés et leurs défenses vulnérables. Ruptures accidentelles ou attaques intentionnelles contre les réseaux, le piratage informatique n est pas de la science-fiction. La récente intrusion dans les ordinateurs de Bercy l a rappelé avec force. Les risques d attaques de grande ampleur font désormais l objet d une attention nouvelle. Dirigé par Patrick Pailloux, l Anssi, l établissement placé sous l autorité du Premier ministre assure cette mission d autorité nationale en matière de sécurité des systèmes d information. Notre objectif est de faire de la France l une des toutes premières puissances mondiales en matière de cyberdéfense. Veille, détection, alerte et réaction, l agence se considère aussi comme un réservoir de compétences qui doit pouvoir mettre son expertise et son assistance technique au profit des administrations, des opérateurs d infrastructures vitales mais aussi des entreprises. Pour vivre, nos sociétés dépendent de plus en plus des systèmes d information. Tout le monde est concerné : le grand public, les entreprises privées, les administrations publiques, personne n échappe à l informatique. Cette dépendance rend les conséquences de pannes ou d attaques potentiellement très graves. La très grande majorité des systèmes d information que nous utilisons ont vu le jour sans réelle préoccupation de sécurité. Ordinateurs, serveurs, téléphones mobiles n ont pas été conçus pour être des produits ou des services de sécurité. Dès lors, tous les pays mettent en place des dispositifs et des bonnes pratiques de cyberdéfense mais nos sociétés restent vulnérables aux attaques informatiques. En France, il a ainsi été décidé de créer une autorité nationale en charge de ces questions : l Anssi, l Agence nationale de la sécurité des systèmes d information. Les métiers de l agence L agence a deux grands types de responsabilité : préventive et opérationnelle. L activité opérationnelle porte sur nos actions en cas d attaque majeure contre les systèmes d information de la Nation. Cela passe par des fonctions de veille et de protection des grands systèmes d information. Techniquement, nous devons être capables de comprendre le plus vite possible ce qui se passe. L Anssi s occupe aussi de la gestion des crises informatiques : nous coordonnons les actions avec les administrations, les opérateurs de communications électroniques et nos homologues internationaux. Pour nos activités opérationnelles, nous disposons d une structure qui s appelle le Cossi pour Centre opérationnel de la sécurité des systèmes d information. Il s agit du cœur du fonctionnement de l agence. C est un centre opérationnel 24 heures sur 24, sorte de vigie de la sécurité des réseaux. Par exemple dans le cadre de l attaque contre le ministère de l Économie et des Finances, nous avons mobilisé près de 40 personnes pendant deux mois. Tout d abord, il s est agi de comprendre techniquement ce qui s était passé tout en mesurant l étendue de la propagation, ensuite, nous avons dû construire un plan de nettoyage et de renforcement de la sécurité. Enfin, en cas d attaque informatique majeure, nous coordonnons la réponse de L État. SC 2012 1/5 www.lenouveleconomiste.fr 11/05/2011

5 L autre activité de l agence est la prévention. Elle passe par des opérations de conseil, de sensibilisation et donc de communication. Auparavant ces sujets étaient secrets, l État ne parlait pas de sécurité des réseaux, de cyberdéfense ou d attaques informatiques. Aujourd hui nous communiquons beaucoup plus, nous faisons des conférences, éditons des guides, publions des alertes, donnons des conseils. Nous allons même jusqu à la labellisation de produits de sécurité que nous testons dans nos propres laboratoires. Les équipes Nous recrutons beaucoup entre 60 et 70 personnes par an, ce qui est considérable. Il s agit notamment des jeunes qui sont au fait des nouvelles technologies. La sécurité informatique reste un sujet sur lequel nous avons continuellement besoin de sang neuf. Il s agit vraiment de maintenir la compétence technique en recrutant des profils de très haut niveau mais nous ne recrutons pas de pirates informatiques! Nous cherchons des personnes qui s intéressent à la sécurité informatique, mais ceux qui ont participé à des affaires criminelles n ont pas leur place à nos côtés : nous travaillons sur des sujets très sensibles, nous assurons la sécurité de l État ; nos agents sont habilités secret défense et leur probité doit être sans faille. Les moyens Quand l agence a été créée en 2009, nous étions 110. Aujourd hui, nous sommes 180. En 2012, nos effectifs devraient avoisiner les 250 collaborateurs. L État a donc fait un effort considérable. Sur le terrain, les politiques de sécurité de l État dépendent de la menace. Les mesures doivent être proportionnées aux enjeux : on ne protège pas de la même façon l informatique d une centrale nucléaire et un site Web de promotion d une politique ou d un service public. D autant plus que la protection des réseaux sensibles coûte extrêmement cher. L Europe À l échelle européenne, il existe une agence spécialisée, l European Network and Information Security Agency, l Enisa, qui est installée à Heraklion en Crête. Sa vocation est d être un centre de compétence et de ressources. Tous les membres de l Union européenne ne sont pas au même niveau, or nous sommes mutuellement dépendants les uns des autres. L Enisa aide les pays à développer leur capacité en matière de cyberdéfense et assiste la Commission européenne sur les grandes orientations à prendre. Parmi les dernières initiatives prises à l échelle européenne, on peut signaler une réglementation européenne dans le domaine des télécoms qui fixe notamment des obligations pour les opérateurs en matière de déclaration des incidents. L enjeu de la sécurité Les autorités ont désormais conscience de l importance des systèmes d information et de leur sécurité. Auparavant, j avais un peu l impression de prêcher dans le désert. Des services comme le nôtre restaient cantonnés à des domaines très précis : la cryptographie, les systèmes militaires, bref des sujets dont on ne parlait pas dans les médias. Historiquement la DCSSI (Direction centrale de la sécurité des systèmes d information), ancêtre de l Anssi, ne communiquait presque jamais. Depuis quelques années, l approche a changé. A tous les niveaux, l attaque informatique en 2007 contre l Estonie, qui a été très médiatisée, a contribué à ce changement : suite au déplacement de la statue d un soldat soviétique dans la banlieue de la capitale, le gouvernement estonien a été l objet pendant plusieurs semaines de violentes attaques informatiques : les principaux serveurs du pays ont été sollicités par des centaines de milliers de requêtes qui les ont submergés et les ont empêchés de fonctionner. C est ce que l on appelle des attaques par déni de service». Or l Estonie est un pays qui est très interconnecté : beaucoup de choses s y font sur Internet, même le Conseil des ministres. Le pays s est donc trouvé en grande difficulté. SC 2012 2/5 www.lenouveleconomiste.fr 11/05/2011

5 Cet événement a marqué les esprits, y compris en France. Cela a permis au sujet d émerger sur le plan médiatique. Le but de notre communication n est cependant pas de faire connaître l agence elle-même. L Anssi ne vend ni conseils, ni services, ni prestations. Notre objectif est de participer à la sécurisation de la Nation en sensibilisant les entreprises et les particuliers sur l existence d une menace réelle, et en leur communiquant les moyens de se protéger. C est un travail de longue haleine. Les entreprises À l origine, l Agence travaillait uniquement avec les administrations, notamment régaliennes, comme le ministère de la Défense, celui des Affaires étrangères ou celui de l Intérieur. Notre périmètre est aujourd hui plus large. Nous aidons tout d abord les grands opérateurs d infrastructures critiques, tous ces acteurs dont la Nation a besoin pour vivre. Je pense au monde de la santé, à celui des télécoms, de l énergie, des transports et de la finance. L une de nos priorités actuelles est de sensibiliser les décideurs et les chefs d entreprise notamment de taille moyenne. Il faut leur faire comprendre que l espionnage est une vraie menace tout comme les attaques qui provoquent des dysfonctionnements ou des pannes de leur informatique. La maturité des chefs d entreprise en la matière est encore faible. Ces sujets restent dans les services informatiques et ne remontent pas jusqu aux directions générales. Je peux comprendre qu il n est pas très agréable de révéler un problème ou une attaque, c est pourtant une erreur parce qu aujourd hui quasiment tous les systèmes sont raccordés à l Internet, ils sont donc vulnérables. Ce n est pas une tare d avoir un système qui a été attaqué. Cela peut arriver, il y a des attaques informatiques tous les jours, partout dans le monde. Mais lorsque cela arrive, il faut en parler pour limiter les conséquences puis renforcer la sécurité en mettant en place des dispositifs de défense en profondeur. L espionnage de services de Bercy Nous avons décidé de rendre l événement public pour sensibiliser les entreprises et les particuliers à ces sujets. C était aussi une manière de montrer que l espionnage informatique est une réalité : les cyberattaques ne sont pas juste un fantasme de romancier! En parler est un moyen de montrer qu il n y a pas de honte à avoir, tout le monde peut être victime d une attaque informatique. À Bercy, il s agissait d espionnage, des personnes non identifiées ont cherché à pénétrer dans les réseaux informatiques de l État. Ils se sont introduits par des mails piégés en se faisant passer pour des personnes connues de ceux qu ils contactaient. Grâce à ce procédé, ils se sont introduits dans les réseaux. Dès lors, ils ont eu accès à un certain nombre de données qu ils ont pu voler. L attaque sur Bercy était certes de grande ampleur, mais elle n a rien d exceptionnel. Ce type d intrusion n est pas complexe et même plutôt facile à réaliser. C est sa mise en œuvre, à cette échelle, qui a nécessité de gros moyens. Sur certains forums Internet, il n est pas bien compliqué de trouver des spécialistes capables de monter des coups du même genre, à des échelles bien moindres évidemment, pour quelques milliers d euros. Nous enregistrons tous les jours des tentatives d attaques de ce type. La détection Détecter une attaque n est pas simple. Il existe des outils techniques permettant de repérer les intrusions. Le problème est que ces dispositifs ne savent repérer que les phénomènes qu ils connaissent. Pour être vraiment efficace, il faut exercer une vigilance active sur les systèmes d information. Exemple : détecter des signaux faibles inhabituels comme des connexions email la nuit. À Bercy, nous avions noté des utilisations bizarres des boîtes aux lettres électroniques : des courriels avaient été envoyés sans aucune action de leurs expéditeurs présumés. SC 2012 3/5 www.lenouveleconomiste.fr 11/05/2011

5 Les périls Nous devons faire face à trois grands types de menaces informatiques contre la sécurité nationale. La première est l espionnage, c est-à-dire le vol de secrets de l État et des entreprises. La deuxième est la perturbation des réseaux comme en Estonie. Dès que la planète s enrhume, Internet éternue. La moindre tension géopolitique se traduit aussitôt sur le Web. Enfin la troisième menace est l attaque visant la destruction d infrastructures critiques. C est le type d offensive que nous craignons le plus. Elle pourrait viser les hôpitaux, la gestion des transports ou de l énergie, nos barrages, nos centrales nucléaires Ce n est plus complètement de la science-fiction. Il existe un exemple connu : l affaire Stuxnet. L été dernier, ce virus informatique a attaqué spécifiquement un processus industriel, a priori celui du complexe nucléaire iranien, même si l information n a jamais été confirmée. Voilà les trois types de scénarios sur lesquels nous sommes polarisés avec nos homologues internationaux. Chacun de ces scénarios a ses propres caractéristiques et ses difficultés. Par principe, l espionnage est complexe à détecter. Les attaques de perturbation sont difficiles à parer, je compare volontiers ce genre d événements à des inondations ou à des mouvements de foule. Quant aux attaques de destruction, la difficulté vient de l adversaire : ce dernier dispose nécessairement de moyens très importants, de dispositifs très sophistiqués et de fortes compétences. Une difficulté majeure est celle de la rapidité à laquelle les vulnérabilités sont utilisées par les pirates. Le modèle historique du jeune bidouilleur informatique dans son garage ou sa chambre de bonne est un peu dépassé. Aujourd hui, il y a des pirates informatiques professionnels plus ou moins bien organisés, des personnes dont l activité consiste à trouver des failles dans les systèmes pour développer des codes informatiques exploitant ces vulnérabilités. Nos dispositifs de défense et d alerte doivent donc s adapter tout aussi vite. Il ne faut par croire que pour protéger son informatique, il suffit d installer des antivirus et des firewalls : le système d information est presque un organisme vivant qu il faut protéger en permanence. Notre travail est d autant plus difficile que les attaques informatiques ont une dimension internationale. Internet ne connaît en rien les frontières. Pour leurs attaques, les pirates s appuient sur des machines disséminées un peu partout dans le monde, et des actions strictement nationales sont quasiment vouées à l échec. Une de nos obligations est d être continuellement branchés sur la menace. Nous devons être en contact permanent avec tout ce que la planète compte de gens qui travaillent sur le sujet de la sécurité : nos homologues internationaux, les grands fournisseurs de solutions matérielles et logicielles. L important est d avoir une vision la plus exhaustive et la plus précise possible des menaces du moment. Les nouvelles menaces Les réseaux sociaux sont un problème nouveau en matière de sécurité informatique. Techniquement, ils sont une porte ouverte pour ceux qui cherchent à s infiltrer dans les systèmes. Avant chaque attaque informatique, il y a un travail d environnement à faire. Pour les pirates, les réseaux sociaux sont un bon moyen de faire de l ingénierie sociale : ils aident à identifier les personnes les moins prudentes ou les plus intéressantes à piéger comme les administrateurs informatiques, qui ont généralement beaucoup de valeur informatique car ils possèdent d importants droits d accès. Le cloud computing, c est-à-dire l informatique distribuée sur Internet, pose aussi des difficultés nouvelles : avec cette approche, l utilisateur perd de plus en plus la maîtrise de son système d information. Par exemple, dans certains pays, il y a des lois qui protègent les données personnelles. Concrètement, la loi qui s applique est celle de l endroit où se situent physiquement ces données. Or avec le cloud computing, on ne sait plus où elles sont! Généralement, les contrats en matière de cloud computing sont souvent extrêmement peu précis. Confier toute son informatique à un tiers, c est SC 2012 4/5 www.lenouveleconomiste.fr 11/05/2011

5 comme donner les clés de son entreprise à quelqu un, cela comporte des risques. La mobilité enfin est un véritable souci. Les outils mobiles, en particulier les smartphones, sont vulnérables aux virus et aux attaques car ils sont souvent moins bien protégés que les ordinateurs. L autre problème est le double usage professionnel et personnel de ces appareils. Les règles de sécurité mises en place par les entreprises sont parfois bafouées par les utilisateurs. Cette porosité entre les deux sphères est extrêmement dangereuse en matière de sécurité informatique. Enfin, la mobilité pose des questions de sécurité du matériel informatique en dehors de l entreprise. Dans les guerres économiques, les vols d ordinateurs sont monnaie courante. Le facteur humain Comme toujours, le facteur humain est un élément essentiel en matière de sécurité. C est comme le code de la route : quand nos sociétés ont commencé à avoir des routes et des voitures, il a fallu s adapter. Dans l informatique aussi, il y a des règles à respecter pour être en sécurité. Pour poursuivre l analogie avec l automobile, tous les dispositifs de sécurité ne servent à rien si le conducteur roule à 130 km/heure en ville de nuit tous feux éteints! C est pareil sur Internet. Les mesures de sécurité ne servent à rien si l utilisateur fait n importe quoi avec ses mises à jour ou ses mots de passe. Edouard Laugier SC 2012 5/5 www.lenouveleconomiste.fr 11/05/2011

6 Cyber-attaque Comprendre le phénomène Qu est-ce que c est? On appelle "cyber-attaque" une tentative d atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle peut avoir pour objectif de voler des données (secrets militaires, diplomatiques ou industriels, données personnelles, bancaires, etc.), de détruire, endommager ou altérer le fonctionnement normal de dispositifs informatiques, de prendre le contrôle de processus informatiques, ou de tromper les dispositifs d authentification pour effectuer des opérations illégitimes. Les dispositifs informatiques ciblés par ces attaques sont des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à internet, des équipements périphériques tels que les imprimantes, ou des outils communicants comme les téléphones mobiles ou les assistants personnels. Contrairement à l image d Épinal, les "cyber-attaquants" sont rarement des adolescents à la recherche d un "coup" : individus parfois isolés, souvent réunis en bandes organisées ou dans des organisations criminelles voire mafieuses. L argent est à ce jour la principale motivation de leurs agissements. Les attaques informatiques peuvent viser un très grand nombre d ordinateurs ou de systèmes : on parlera alors d attaques massives, comme dans le cas de l Estonie. À l inverse, les attaques ciblées ne visent qu une seule personne (ou qu un ensemble de personnes). Elles sont généralement précédées d une collecte d informations destinées à connaître les vulnérabilités de son système d information et quelques éléments personnels pour éviter d éveiller ses soupçons lors de l attaque. Comment ça marche? Les attaques informatiques peuvent prendre des formes extrêmement variées. Un premier type d attaque informatique, dit "de déni de service", vise à saturer un système d information ou de communication pour le paralyser et l empêcher ainsi de remplir sa mission. S agissant des systèmes reliés à Internet, comme les pages web ou les téléservices, cette paralysie est simple à obtenir : on l inonde de demandes informatiques, comme le rechargement à l infini d une page Web, ce qui a pour effet de le saturer et de lui interdire de répondre aux requêtes légitimes. Pour faire ces nombreuses requêtes informatiques, les pirates informatiques utilisent des " BotNets " (abréviation de "Robot Networks"), réseaux de machines "zombies" qu ils ont prises auparavant sous leur contrôle, en général dans des régions très variées du monde, pour leur faire exécuter des actions prédéfinies. Un deuxième type d attaque vise à s introduire dans un système d information pour voler des données stockées, les modifier ou les détruire, ou pour prendre le contrôle du système. Il peut être réalisé par l envoi de messages invitant à ouvrir une pièce jointe ou à visiter une page web en cliquant sur un lien, qui mettront un code malveillant sur le poste de travail de ceux qui auront suivi cette invitation. Ce code, conçu spécifiquement pour chaque attaque, n est généralement pas connu des antivirus, et donc pas filtré. Dans le cas d attaques massives, ces messages, souvent publicitaires en apparence, sont adressés à un très grand nombre de destinataires. Les machines compromises sont alors soit fouillées pour y voler des données intéressantes, soit utilisées pour constituer un «BotNet». Les adresses de SC 2012 1/2 http://risques.gouv.fr

6 ces machines font l objet d un important commerce entre cyber-délinquants. Les attaques de ce type peuvent également être ciblées, visant spécifiquement des personnes dont on attend des informations précieuses ou des postes informatiques permettant d autres actions ciblées. Elles chercheront alors à être les plus furtives possibles, en utilisant des messages spécifiquement conçus pour apparaître comme provenant d une personne connue ou de confiance. Elles sont de plus en plus difficiles à détecter. Exemples historiques En mars 2008, une chaîne de magasins d alimentation américaine a été victime d une attaque informatique qui a permis de dérober les informations de plus de 4,2 millions de cartes bancaires. Un logiciel malveillant était installé dans tous les magasins de la chaîne en Nouvelle-Angleterre et dans l État de New York, et dans la majorité de ceux de Floride. Il interceptait les données au moment où elles étaient transmises aux banques. En 2007, l Estonie (dont l e-administration est l une des plus développées d Europe) a été le premier État à subir des attaques informatiques de grande ampleur. L administration estonienne, des banques et des journaux ont été paralysés durant plusieurs semaines par l envoi massif de requêtes informatiques saturant les ordinateurs, serveurs et réseaux. Ces attaques faisaient suite au déplacement d une statue symbolique pour la minorité russe du pays. En 2007 encore, est apparu le premier très grand réseau de machines «zombies», appelé Storm, constitué de plusieurs dizaines de milliers d ordinateurs compromis. Ce BotNet a été utilisé dans diverses attaques informatiques. En l an 2000, le virus informatique " I love You " s est répandu en quatre jours sur plus de 3 millions d ordinateurs dans le monde, entrainant une perte financière estimée à 7 milliards de dollars pour les seuls États-Unis. Portail interministériel de prévention des risques majeurs SC 2012 2/2 http://risques.gouv.fr

7 Assurer la cyberdéfense Le Livre blanc sur la défense et la sécurité nationale, approuvé par le Président de la République en juin 2008, a mis en exergue une menace nouvelle, la cybermenace. Chacun de nous y est confronté presque quotidiennement, souvent à son insu. La sécurité des systèmes d information, véritables centres nerveux de notre société, est devenue un enjeu majeur. Tous les secteurs d activités, qu ils soient étatiques, industriels, financiers ou commerciaux, sont de plus en plus tributaires des technologies et des réseaux de communications électroniques. Ils seraient très fortement affectés en cas de dysfonctionnements graves. Face à cette menace croissante et toujours plus insidieuse, le Livre blanc sur la défense et la sécurité nationale a souligné la nécessité de doter notre pays d une capacité de défense informatique active, apte à détecter et contrer les attaques. Il a recommandé que soit créée une agence nationale de la sécurité des systèmes d information. La création le 7 juillet 2009 de l Agence nationale de la sécurité des systèmes d information (ANSSI) est une étape marquante dans la mise en place progressive d une capacité de protection renforcée des systèmes d information sensibles français. L ANSSI assure la mission d autorité nationale en matière de sécurité des systèmes d information. À ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes de l État et de vérifier l application des mesures adoptées. Elle assure notamment les missions suivantes : Détection des attaques L ANSSI est chargée de détecter et de réagir au plus tôt en cas d attaque informatique, grâce à la création d un centre opérationnel renforcé de cyberdéfense, actif 24 heures sur 24, chargé de la surveillance permanente des réseaux les plus sensibles de l administration et de la mise en œuvre de nouvelles capacités de détection en amont des attaques. Prévention de la menace L agence contribue au développement d une offre de produits et de service de confiance pour les administrations et les acteurs économiques. Conseil et assistance L agence nationale de la sécurité des systèmes d information joue un rôle permanent de conseil et d assistance aux administrations et aux opérateurs d importance vitale. Communication et sensibilisation L agence nationale de la sécurité des systèmes d information informe régulièrement les entreprises et le grand public sur les menaces qui pèsent contre les systèmes d information et sur les moyens de s en protéger. Elle développe pour cela une politique de communication et de sensibilisation active. SC 2012 1/1 www.sgdn.gouv.fr 2012

DEFENDING THE NETWORKS 8 The NATO Policy on Cyber Defence The Cyber Defence Policy at a glance - Integrate cyber defence considerations into NATO structures and planning processes in order to perform NATO s core tasks of collective defence and crisis management. - Focus on prevention, resilience and defence of critical cyber assets to NATO and Allies. - Develop robust cyber defence capabilities and centralise protection of NATO s own networks. - Develop minimum requirements for cyber defence of national networks critical to NATO s core tasks. - Provide assistance to the Allies to achieve a minimum level of cyber defence and reduce vulnerabilities of national critical infrastructures. - Engage with partners, international organisations, the private sector and academia. Background The security environment of the twenty-first century has changed remarkably. Our modern societies and economies are wired together by networks, cables and the IP addresses of our computers. Increasingly dependent on complex critical communication and information systems (CIS), the Alliance must adapt and enhance its defences in order to confront emerging challenges head-on. To this end, the revised NATO Policy on Cyber Defence sets out a clear vision of how the Alliance plans to bolster its cyber efforts. Why a NATO Policy? The new NATO Policy on Cyber Defence provides a solid foundation from which Allies can take work forward on cyber security. The document clarifies both NATO s priorities and NATO s efforts in cyber defence including which networks to protect and the way this can be achieved. The 2010 NATO Strategic Concept highlighted the need to develop further our ability to prevent, detect, defend against and recover from cyber-attacks. Threats are rapidly evolving both in frequency and sophistication. Threats emanating from cyberspace whether from states, hacktivists or criminal organisations, among many others pose a considerable challenge to the Alliance and must be dealt with as a matter of urgency. Against this background, at the 2010 Lisbon Summit, the Heads of State tasked the North Atlantic Council to develop a revised NATO cyber defence policy. A NATO Concept on Cyber Defence was first drafted for Defence Ministers in March 2011, which formed the conceptual basis of the revised NATO Policy on Cyber Defence. The Policy itself was then developed and approved by the NATO Defence Ministers on 8 June. The document is coupled with an implementation tool an Action Plan, which represents a detailed document with specific tasks and activities for NATO s own structures and Allies defence forces. Policy Overview Focus In order to perform the Alliance s core tasks of collective defence and crisis management, the integrity and continuous functioning of its information systems must be guaranteed. NATO s principal focus is therefore on the protection of its own communication and information systems. Furthermore, to better defend its information systems and networks, NATO will enhance its capabilities to deal with the vast array of cyber threats it currently faces. Cyber Defence Governance North Atlantic Council Defence Policy and Planning Committee in Reinforced Format NATO Cyber Defence Management Board NATO Computer Incident Response capability SC 2012 1/3 www.nato.int 2011

8 Objectives NATO will implement a coordinated approach to cyber defence that encompasses planning and capability development aspects in addition to response mechanisms in the event of a cyber attack. To achieve this, NATO will incorporate and integrate cyber defence measures across all Alliance missions. For cyber defence capability development, the NATO Defence Planning Process (NDPP) will guide the integration of cyber defence into national defence frameworks. Recognising that NATO requires a secure infrastructure upon which it can operate, NATO networks, including NATO agencies and NATO missions abroad, will be brought under centralised protection. NATO will also develop minimum requirements for those national networks that are connected to or process NATO information. To achieve this, NATO will identify its critical dependencies on the Allies national information systems and networks and will work with Allies to develop minimum cyber defence requirements. NATO requires a secure infrastructure on which it can operate, therefore it is important that Allies ensure the protection and defence of national critical information systems and networks. If requested, NATO will assist Allies in achieving a minimum level of national cyber defence. What is NATO s role in cyber defence? The main focus of the NATO Policy on Cyber Defence is on the protection of NATO networks and on cyber defence requirements related to national networks that NATO relies upon to carry out its core tasks: collective defence and crisis management. How will NATO respond in the event of a cyber attack on NATO or the Allies? Any collective defence response by NATO will be subject to political decisions of the North Atlantic Council. NATO does not pre-judge any response and therefore maintains flexibility in deciding a course of action that may or may not be taken. Principles NATO cyber defence efforts are based on the overarching principles of prevention and resilience and non-duplication. Prevention and resilience are particularly important given the reality that certain threats will persist despite all efforts to protect and defend against them. Preventing such attacks from occurring in the first place will be achieved by increasing our level of preparedness and mitigating risk by limiting disruptions and their consequences. Resilience is key because it facilitates rapid recovery in the aftermath of an attack. Response What is the Action Plan? The Action Plan is a living document that will be continuously updated to ensure NATO is at the forefront of developments in cyberspace and maintains the necessary flexibility to meet the challenges posed by cyber threats. If the Policy sets out the what in terms of NATO cyber defence, the Action Plan details the how NATO will make it happen. As stated in the Strategic Concept, NATO will defend its territory and populations against all threats, including emerging security challenges such as cyber defence. The NATO Policy on Cyber Defence reiterates that any collective defence response is subject to decisions of the North Atlantic Council. NATO will maintain strategic ambiguity as well as flexibility on how to respond to different types of crises that include a cyber component. NATO will also integrate cyber aspects into NATO Crisis Management procedures, which will guide NATO s response within the context of a larger crisis or conflict. NATO will provide coordinated assistance if an Ally or Allies are victims of a cyberattack. To facilitate this, NATO will enhance consultation mechanisms, early warning, situational awareness and information-sharing among the Allies. To facilitate these activities, NATO has a framework of cyber defence Memoranda Of Understanding in place between Allies national cyber defence authorities and the NATO Cyber Defence Management Board. For incident response within NATO s own information infrastructure, NATO Computer Incident Response Capability (NCIRC) takes care of the day-to-day business and applies appropriate mitigation measures. SC 2012 2/3 www.nato.int 2011

8 Engaging the International Community Cyber threats transcend state borders and organisational boundaries. Their vulnerabilities and risks are shared by all. Recognising the truly global nature of cyberspaceand its associated threats, NATO and Allies will work with partners, international organisations, academia and the private sector in a way that promotes complementarity and avoids duplication. NATO will tailor its international engagement based on shared values and common approaches. Cooperation in the field of cyber defence could encompass activities including awareness-raising and sharing of best practices. Practical Steps NATO will develop minimum requirements for those national information systems that are critical for carrying out NATO s core tasks. NATO assists Allies in achieving a minimum level of cyber defence in order to reduce vulnerabilities to national critical infrastructure. Allies can also offer their help to an Ally or to the Alliance in case of a cyber attack. Cyber defence will be fully integrated into the NATO Defence Panning Process. Relevant cyber defence requirements will be identified and prioritised through the NDPP. NATO Military Authorities will assess how cyber defence supports performing NATO s core tasks, planning for military missions, and carrying out missions. Cyber defence requirements for non-nato troop contributing nations will also be defined. Strong authentication requirements will be applied. The acquisition process and supply chain risk management requirements will be streamlined. NATO will enhance early warning, situational awareness, and analysis capabilities. NATO will develop awareness programs and further develop the cyber component in NATO exercises. NATO and Allies are encouraged to draw on expertise and support from the Cooperative Cyber Defence Centre of Excellence in Tallinn. SC 2012 3/3 www.nato.int 2011

Cyberdéfense : un nouvel enjeu de sécurité nationale 9 [ ] Les principaux types d'attaques informatiques [ ]. Les attaques par déni de service Les attaques par déni de service (Denial of service - DOS) visent à saturer un ordinateur ou un système en réseau sur internet en dirigeant vers lui un volume considérable de requêtes. On parle également de déni de service distribué (Distributed denial of service - DDOS) pour des attaques fonctionnant sur le même principe, mais dont l'effet est démultiplié par l'utilisation d'ordinateurs compromis et détournés à l'insu de leurs propriétaires. Les évènements d'estonie en constituent l'exemple type. La masse de requêtes qui parvient simultanément sur un même système dépassant ses capacités, celui-ci n'est plus en mesure de fonctionner normalement. Les botnets (réseaux de «robots» logiciels) constituent le vecteur privilégié de ces attaques. Ces réseaux de machines compromises (ou machines «zombies») sont aux mains d'individus ou de groupes malveillants (les «maîtres») et leur permettent de transmettre des ordres à tout ou partie des machines et de les actionner à leur guise. Le botnet est constitué de machines infectées par un virus informatique contracté lors de la navigation sur internet, lors de la lecture d'un courrier électronique (notamment les spams) ou lors du téléchargement de logiciels. Ce virus a pour effet de placer la machine, à l'insu de son propriétaire, aux ordres de l'individu ou du groupe situé à la tête du réseau. On estime aujourd'hui que le nombre de machines infectées passées sous le contrôle de pirates informatiques est considérable. Il pourrait atteindre le quart des ordinateurs connectés à l'internet, soit environ 150 millions de machines. Le détenteur du réseau est rarement le commanditaire de l'attaque. Il monnaye sa capacité d'envoi massive à des «clients» animés de préoccupations diverses. La constitution de tels réseaux est ainsi utilisée en vue de l'envoi de courriers électroniques non désirés (spams) à des fins publicitaires ou frauduleuses, ou encore afin de dérober des informations personnelles de la cible visée. L'attaque par déni de service n'est qu'une des applications possibles. Son corollaire est le chantage au déni de service, c'est-à-dire l'extorsion de fonds auprès des entreprises ou organismes en échange d'une levée des attaques de saturation. La paralysie d'un système d'information par ce type d'attaques est relativement facile à obtenir lorsqu'il s'agit d'un service accessible au public sur le réseau internet. La vulnérabilité des réseaux internes, en principe non accessibles de l'extérieur, est moindre, mais elle est liée au degré d'étanchéité entre ces réseaux et l'internet. Or les systèmes d'information internes sont de plus en plus ouverts pour répondre aux besoins de mobilité des personnels et de communication avec des partenaires extérieurs.. Le vol ou l'altération de données Le vol ou l'altération de données contenues sur des réseaux informatiques peuvent être réalisés par des moyens variés. SC 2012 1/5 www.senat.fr 08/07/2008