Retour
 

Sécurité numérique et risques : enjeux et chances pour les entreprises - Tome I : rapport

Auteur(s) :

    • FRANCE. Office parlementaire d'évaluation des choix scientifiques et technologiques; FRANCE. Assemblée nationale; FRANCE. Sénat

Editeur :

  • Sénat : Assemblée nationale

Collection : Les Rapports de l'OPECST

Date de remise : Février 2015
370 pages

Pour lire les rapports au format PDF vous avez besoin d'un lecteur PDF.
Pour lire les rapports au format EPUB vous avez besoin d'un lecteur EPUB.

La commission des affaires économiques du Sénat a demandé à l'OPECST de conduire une étude sur l'ampleur des risques encourus par les entreprises du fait du numérique. L'OPECST devait étudier les aspects de la sécurité numérique qui seraient de nature à favoriser ou, au contraire, à entraver l'activité économique des entreprises. Après avoir mené une série d'auditions (disponibles dans un Tome II) et analysé les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, les auteurs proposent d'abord une trentaine de recommandations d'ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l'usage des entreprises.

PRÉAMBULE

INTRODUCTION - L'ACTUALITÉ DE LA SÉCURITÉ DU NUMÉRIQUE

CHAPITRE PREMIER - LE CONTEXTE INTERNATIONAL DE LA SÉCURITÉ NUMÉRIQUE DES ENTREPRISES

I. LA GOUVERNANCE TECHNIQUE DU NUMÉRIQUE À L'ÉCHELLE MONDIALE

A. LA GOUVERNANCE MONDIALE DE L'INTERNET

B. LA GOUVERNANCE MONDIALE DE LA SÉCURITÉ

II. LA GESTION MONDIALE DES INCIDENTS DE SÉCURITÉ NUMÉRIQUE

A. LES SERVICES DE VEILLE

B. LES INQUIÉTUDES GRANDISSANTES DES ÉTATS FACE AU NUMÉRIQUE

C. LES RAPPORTS DE FORCE ENTRE LES GÉANTS DE L'INTERNET, LES ÉTATS, LES ENTREPRISES ET LES CITOYENS

III. LE PROJET D'ACCORD DE LIBRE ÉCHANGE ENTRE LES ÉTATS-UNIS D'AMÉRIQUE ET L'UNION EUROPÉENNE

IV. VERS UNE EUROPE DU NUMÉRIQUE COHÉRENTE ?

V. SOUVERAINETÉ ET NUMÉRIQUE

A. UNE COLONISATION NUMÉRIQUE ?

B. LES LEÇONS TIRÉES PAR LES ÉTATS-UNIS D'AMÉRIQUE DES EXCÈS DE LA NSA

CHAPITRE II - LE CADRE NATIONAL DE LA MISE EN ŒUVRE DE LA SÉCURITÉ NUMÉRIQUE

I. NUMÉRIQUE ET LIBERTÉS

A. LE RAPPORT DU CONSEIL D'ÉTAT SUR LE NUMÉRIQUE ET LES DROITS FONDAMENTAUX

B. LIBERTÉ DE L'USAGE DU NUMÉRIQUE ET LIBERTÉS DE SES USAGERS

II. LA MISE EN ŒUVRE OPÉRATIONNELLE DE LA SÉCURITÉ NUMÉRIQUE

A. LA DIRECTION GÉNÉRALE DE L'ARMEMENT (DGA)

B. LE LABORATOIRE DE HAUTE SÉCURITÉ DU LABORATOIRE LORRAIN DE RECHERCHE EN INFORMATIQUE ET SES APPLICATIONS (LORIA)

C. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI)

D. LA GENDARMERIE NATIONALE

E. LES INDUSTRIELS

III. ORGANISATION DE LA SÉCURITÉ NUMÉRIQUE

A. LES INVESTIGATIONS DES OBSERVATOIRES PUBLICS ET PRIVÉS

B. L'INVESTIGATION POLICIÈRE

C. L'ASSURANCE CONTRE LE RISQUE CYBER

IV. LES OPÉRATEURS D'IMPORTANCE VITALE (OIV)

A. LA PROBLÉMATIQUE GÉNÉRALE

B. L'EXEMPLE DU SECTEUR DES TÉLÉCOMMUNICATIONS

C. L'EXEMPLE DU SECTEUR DE L'ÉNERGIE

CHAPITRE III - LA COMPLEXITÉ DU NUMÉRIQUE REND SA SÉCURITÉ POUR LES ENTREPRISES DIFFICILE À CONCEVOIR

I. VERS UNE REPRÉSENTATION DU NUMÉRIQUE DE NATURE À FACILITER SA CONNAISSANCE

A. L'ÉCHANGE ET LES COMMUNICATIONS HUMAINES

1. Le processus « vertical » ou interne de production des messages en vue de l'échange

a) La matérialisation du message

b) La virtualisation du message

c) Le conditionnement du message

2. Le processus « horizontal » ou externe de transport du message

3. Le niveau virtuel ou global de l'échange interindividuel et sociétal

a) Structure interindividuelle de l'échange

b) Structure sociétale de l'échange

c) Les principes de la circulation des biens et des services au sein de l'échange

B. L'ÉCHANGE ET LES COMMUNICATIONS NUMÉRIQUES

1. Le message comme objet de l'échange numérique

2. Le processus « vertical » ou interne de production de message numérique

a) La matérialisation du message

b) La virtualisation du message

c) Le conditionnement du message

3. Le processus « horizontal » ou externe de transport de message numérique

a) Le canal logique de l'échange numérique

(1) Techniques de base pour la communication électronique

(2) Techniques de multiplexage pour la mutualisation des médias

(a) Chaîne de liaison pour un canal logique « de bout en bout »

(b) Fonction de commutation

(3) Techniques avancées pour l'échange de messages

(4) Système d'adressage

(5) Infrastructure globale

(6) Routage

b) Le canal physique de l'échange numérique

(1) Principe de base d'une chaîne de liaison

(2) Le cœur de réseau

(3) L'étendue physique des réseaux

(a) Réseaux mobiles

(b) Les réseaux d'accès

c) Le canal de contrôle de l'échange

d) Maintien d'une connexion TCP/IP

II. LES INFRASTRUCTURES DU NUMÉRIQUE

A. INFRASTRUCTURES DE SERVICES MUTUALISÉS POUR LES ÉCHANGES NUMÉRIQUES

1. Infrastructure de noms de domaine (DNS)

2. Infrastructure de routage et de messagerie

3. Infrastructure de navigation : les moteurs de recherche

B. INFRASTRUCTURES GLOBALES POUR LES SERVICES : LE NUAGE NUMÉRIQUE

1. Les quelques étapes clés

2. L'informatique en nuage comme changement de paradigme

3. Les modèles de services offerts par le nuage numérique

4. Les modèles de déploiements

5. Enjeux de sécurité du nuage numérique

CHAPITRE IV - FORCES ET FAIBLESSES DU SYSTÈME D'INFORMATION DE L'ENTREPRISE

I. LES TROIS NIVEAUX DE L'ENTREPRISE

A. LE RÔLE DU SYSTÈME DE DÉCISION

a) La connaissance de l'écosystème

b) La stratégie de l'entreprise (1) Identité de l'entreprise (2) Régulation et marché (3) Gestion des savoirs et savoir-faire (4) Règles d'usage et chartes

c) Les tableaux de bords

B. LE SYSTÈME D'INFORMATION ET DE COMMUNICATION

1. Le système d'information

2. Le système de communication

a) Circulations internes

b) Circulations externes

C. LE SYSTÈME DE PRODUCTION DE L'ENTREPRISE

1. Le concept d'industrie 4.0

2. Le Manufacturing Execution System (MES)

3. Le Supervisory Control And Data Acquisition (SCADA)

4. Les capteurs et actionneurs

II. ANALYSE CRITIQUE DU SYSTÈME D'INFORMATION DE L'ENTREPRISE

A. MODÉLISATION D'UN SYSTÈME D'INFORMATION EN VUE DE SON ÉLABORATION

B. LE SYSTÈME DE COMMUNICATION

1. Le Réseau Local d'Entreprise (RLE) (1) Le câblage (2) Le réseau IP

2. Le réseau local « radio » de l'entreprise ou Wi-Fi

a) Principe de base

b) Mode de connexion

3. L'interconnexion du système d'information de l'entreprise avec son système d'information industriel

4. Objets connectés dans l'entreprise

C. LES SERVICES

1. La relation client / serveur numérique

2. Les services réseaux

a) Le service d'attribution automatique d'adresses IP

b) Le service de résolution de noms et d'adresses IP

c) Le service de gestion du réseau

3. Les services applicatifs collaboratifs

a) Le service de fichier

b) Le service de navigation

c) Le service de messagerie

d) Le service d'annuaire

4. Les services applicatifs liés aux métiers de l'entreprise

CHAPITRE V - LA SÉCURISATION DU SYSTÈME D'INFORMATION D'UNE ENTREPRISE

I. PRINCIPES DE SÉCURITÉ D'UN SYSTÈME D'INFORMATION

A. D'UNE VISION STRATÉGIQUE À UNE VISION OPÉRATIONNELLE

B. LES TROIS PROPRIÉTÉS FONDAMENTALES DE L'ÉTAT DE SÉCURITÉ

C. LES FONCTIONS DE SÉCURITÉ

D. ORGANISATION DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS

E. L'IMPÉRATIF D'AMÉLIORATION CONTINUE

II. MISE EN ŒUVRE DE LA PRÉVENTION DANS LE SYSTÈME D'INFORMATION D'UNE ENTREPRISE

A. POLITIQUES DE SÉCURITÉ DE L'ÉTAT ET DES ENTREPRISES

B. MISE EN PLACE D'UNE ARCHITECTURE POUR LA SÉCURISATION DU SYSTÈME D'INFORMATION

1. La ligne de défense périmétrique traditionnelle

2. Le pare-feu comme pièce maîtresse

3. Les zones d'accès selon la sensibilité des ressources

4. Les antivirus

C. CARACTÈRE DE L'AUTHENTIFICATION FORTE

1. Le mécanisme d'authentification

2. L'identification

a) Propriétés pour l'authentification de l'identification

b) Facteurs de complexité pour l'identification

3. La gestion des identités

4. Le protocole d'authentification

a) Principe cryptographique

b) Chiffrement et clé

5. Les principaux protocoles d'authentification

a) Login/mot de passe

b) One Time Password (OTP)

c) Certificat numérique

(1) Principe d'un cryptosystème asymétrique

(2) Infrastructure à clé publique

(3) Recours à une méthode à clé publique-clé privée avec signature pour la sécurisation des messages

(4) Application de l'utilisation d'un certificat aux services web

(5) Biométrie

D. HABILITATIONS

1. La définition des habilitations

2. L'accès aux répertoires

E. ARCHITECTURES ET PROTOCOLES POUR DES TUNNELS D'INTERCONNEXION SÉCURISÉS

1. Les architectures pour des tunnels d'interconnexion sécurisés

2. SSL : le maintien de la connexion sécurisée sur TCP/IP

CHAPITRE VI - LES FAILLES ET LES ATTAQUES NUMÉRIQUES COMPROMETTANT LA SÉCURITÉ DES ENTREPRISES

I. UN MILIEU HOSTILE

A. LES VULNÉRABILITÉS

1. Les vulnérabilités et menaces

2. La veille comme processus d'analyse des vulnérabilités

a) Les acteurs de la gestion des incidents

b) Processus d'enrichissement des connaissances

c) Identification des vulnérabilités

d) Classification des vulnérabilités

3. La vulnérabilité dite « zero-day », à corriger en zéro jour

B. ANALYSE GLOBALE DES RISQUES DANS LES ÉCHANGES NUMÉRIQUES

1. L'identification des éléments pour l'analyse des risques

a) Identification des actifs

b) Localisation des mémoires des actifs et des services

(1) Interconnexions

(2) Réseaux locaux ou distants

(3) Interconnexions privées/publiques

2. L'évaluation des risques

b) Évaluation de la potentialité

3. L'analyse des vulnérabilités

4. L'analyse de nouvelles vulnérabilités pour une informatique en nuage (cloud computing)

b) Perte ou fuite de données

g) Abus et utilisation malveillante du nuage

5. Les vulnérabilités des protocoles d'authentification

a) Vulnérabilité du One Time Password (OTP)

b) Certificat numérique

c) Biométrie

II. LES ATTAQUES CONTRE LE SYSTÈME D'INFORMATION

A. LA CLASSIFICATION DES ATTAQUES

1. Les modes opératoires de base

2. Les modes opératoires combinés

3. Les attaques sur la confidentialité et l'intégrité

B. LES ATTAQUES COMPLEXES ET CIBLÉES

1. Les attaques complexes

a) Dissection d'une attaque complexe de vol d'identifiant de session

(1) L'attaquant en phase d'approche

(2) La victime

(3) L'attaquant

b) À nouvelles technologies, nouvelles attaques

(1) Les attaques visant l'informatique en nuage

(2) La sécurisation des objets connectés

2. Les attaquants chevronnés

a) La psychologie du hacker

3. Les caractéristiques d'une cyberattitude

4. La cybercriminalité

III. LA FONCTION DE SURVEILLANCE DE LA SÉCURITÉ

A. RECOURS À LA CARTOGRAPHIE DES RISQUES

B. ACTIVITÉS DE SÉCURITÉ POUR LA DÉTECTION, L'ÉVALUATION ET LA REMÉDIATION DES INCIDENTS

1. La sécurité opérationnelle

a) Centre pour la supervision de la sécurité

b) Contrat de service de sécurité

c) Incident informatique

d) Compétences multiples et compétence d'équipe

e) Architecture de supervision d'un SOC

f) Le processus d'escalade jusqu'à la résolution de l'incident

2. L'audit de sécurité

3. L'investigation liée aux incidents

B. RÉACTION AUX ATTAQUES

1. L'analyse des flux

a) Filtrage au moyen du pare-feu

b) Filtrage (IDS)

2. Le contrôle comme point fondamental, vers un contrôle multi-échelle

CHAPITRE VII - LA CULTURE DU NUMÉRIQUE ET L'ÉDUCATION À SA SÉCURITÉ

I. TEMPS ET CONTRETEMPS DE LA SÉCURITÉ NUMÉRIQUE

A. HYPERCONNEXION ET HYPORÉFLEXION

B. DES PRIORITÉS QUI RALENTISSENT

II. LES ACTEURS DE LA SÉCURITÉ NUMÉRIQUE

A. LES CONSEILS DE SÉCURITÉ DISPENSÉS AUX INDUSTRIELS PAR L'ANSSI

1. L'infogérance

2. Une forme particulière d'infogérance : l'informatique en nuage

B. LES INITIATIVES DES INDUSTRIELS EN MATIÈRE DE SÉCURITÉ NUMÉRIQUE

III. FAIRE DE L'ÉCONOMIE AVEC DU DROIT ?

CONCLUSION

RECOMMANDATIONS

RECOMMANDATIONS D'ORDRE GÉNÉRAL

I. DÉVELOPPER UNE CULTURE DU NUMÉRIQUE : FORMER ET INFORMER MASSIVEMENT TOUTES LES CLASSES D'ÂGE À L'INFORMATIQUE, DANS TOUS LES MILIEUX SOCIAUX

II. ASSURER LES CONDITIONS D'UNE AUTONOMIE NUMÉRIQUE POUR PRÉSERVER LA SOUVERAINETÉ

III. SE DONNER LES MOYENS DE LA SÉCURITÉ NUMÉRIQUE PAR UNE MEILLEURE COOPÉRATION ENTRE LES ACTEURS

IV. À PARTIR DE DISPOSITIONS ET DE PRATIQUES NATIONALES VERTUEUSES, CONSTRUIRE UN DROIT EUROPÉEN

V. ASSEMBLÉES PARLEMENTAIRES, COLLECTIVITÉS TERRITORIALES ET ADMINISTRATIONS

VADE-MECUM DE RECOMMANDATIONS DE SÉCURITÉ NUMÉRIQUE À L'USAGE DES ENTREPRISES

1. Les préalables à la sécurité numérique de l'entreprise :

2. La construction de la sécurité numérique de l'entreprise

3. L'appréciation critique continue de la structure numérique mise en place

4. Le parc informatique de l'entreprise

5. Les trois séries de distinctions à opérer

6. Les principes propres à l'utilisation de chaque réseau ou matériel numérique

7. Les réflexes de sécurité numérique à acquérir

8. L'évaluation de la sécurité numérique de l'entreprise

9. La construction d'une résilience de l'entreprise après une attaque numérique

ANNEXES

EXTRAITS DES RÉUNIONS DE L'OPECST DU 17 DÉCEMBRE 2014 ET DU 28 JANVIER 2015 : ADOPTION DU RAPPORT

SCHÉMA DE LA SÉCURITÉ NUMÉRIQUE : INSTANCES PUBLIQUES OU PRIVÉES EN CHARGE DE LA SÉCURITÉ NUMÉRIQUE POUVANT CONCERNER LA FRANCE

EXEMPLE DE BULLETIN DE L'ANSSI (26 JANVIER 2015)

LA SÉCURITÉ NUMÉRIQUE PAR LE JEU : SCÉNARIO D'UN SERIOUS GAME - OCTOBRE 2013 RAPPORT DU CIGREF - RÉSEAU DE GRANDES ENTREPRISES

BIBLIOGRAPHIE

GLOSSAIRE

LEXIQUE DES SIGLES