— CYBERSÉCURITÉ — 

Consulter la page Données Personnelles

 

Cyber sécurité, sécurité informatique ou sécurité des systèmes d’information (SSI)  désignent l’ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs matériels et immatériels (connectés directement ou indirectement à un réseau) des Etats et des organisations (avec un objectif de disponibilité, intégrité,  authenticité, confidentialité, preuve et non-répudiation).

 

I. L’objet de la cyber sécurité : le système d’information

 

Le système d’information représente un élément  essentiel du patrimoine de l’organisation, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation soient uniquement utilisées dans le cadre prévu et défini par elles.

La directive du 12 août 2013 relative aux attaques contre les systèmes d’information propose de définir le système d’information comme un “dispositif qui assure en exécution d’un programme, un traitement automatisé de données informatiques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ce dispositif ou en vue du fonctionnement, de l’utilisation, de la protection et de la maintenance de celui-ci ».

Cette directive n’a pas été transposée en droit français, qui a conservé la  notion de système de traitement automatisé de données (STAD) sans toutefois la définir véritablement (on la retrouve aux articles 323-1 à 323-7 du Code pénal).

Le 6 juillet 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive sur la sécurité des réseaux et des systèmes d’information dite  « directive NIS«  (Network and Information Security) qui prévoit notamment :

  • Le renforcement des capacités nationales de cybersécurité
  • L’établissement d’un cadre de coopération volontaire entre Etats
  • Le renforcement par chaque État de la cybersécurité des « opérateurs de services essentiels »  (OSE) au fonctionnement de l’économie et de la société (notion plus large que celle d’opérateur d’importance vitale OIV) puisqu’ils fournissent des “services essentiels au fonctionnement de la société ou à l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services” dans des secteurs variés: énergie, transport, marchés financiers, santé…
  • L’instauration de règles européennes communes en matière de cybersécurité pour les fournisseur de services numériques (FSN) dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.

La transposition de cette directive a été assurée en France par la loi du 26 février 2018. L’agence européenne chargée de la sécurité des réseaux et des systèmes d’information (ENISA) est chargée d’aider les Etats dans la bonne mise en oeuvre de la directive. En France, l’ANSSI est chargée de recueillir les notifications d’incidents des opérateurs.

 

II. Les objectifs de la cyber sécurité

 

La cyber sécurité, est l’ensemble des moyens (techniques, juridiques, humains…) visant :

  • La disponibilité : le système doit fonctionner sans failles durant les plages d’utilisation prévues et garantir l’accès aux services et ressources installées avec le temps de réponse attendu.
  • L’intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. Les éléments considérés doivent être exacts et complets.
  • La confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.

 

III. Menaces et enjeux de la cyber sécurité  

 

  • Menaces

Les principales sources de menaces auxquelles un système d’information peut être confronté sont :

  1. Un utilisateur du système : sans intention malveillante, il est possible qu’un utilisateur par son comportement mette en danger l’intégrité du système d’information en  accédant à des données auxquelles il n’est pas censé avoir accès ou en divulguant des données confidentielles. Le social engineering ou ingénierie sociale exploite pleinement cette faille humaine.
    Le social engineering ou ingénierie sociale consiste à exploiter pleinement cette faille humaine en manipulant l’utilisateur afin qu’il divulgue malgré lui des données confidentielles.
  2. Une personne malveillante : une personne parvient à s’introduire dans  le système, aux fins d’accéder à des données ou à des programmes auxquels elle n’est pas censée avoir accès pour les exploiter.
  3. Un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions pouvant déboucher sur la modification et la collecte de données confidentielles à l’insu de l’utilisateur afin d’être réutilisées à des fins malveillantes.

Le moyen d’accéder au système est souvent la détection d’une vulnérabilité ou faille de sécurité, c’est-à-dire une faiblesse non résorbée dans la conception d’un logiciel ou d’un système d’exploitation, conséquence d’une erreur de programmation, de mauvaises pratiques…

Cette découverte, intentionnelle ou non, permet de « tromper » l’application, en réalisant une opération non prévue par son concepteur, notamment en outrepassant les vérifications de contrôle d’accès ou en exécutant des commandes sur le système hébergeant l’application.

Injection SQL Le langage SQL (Structured Query Language) permet d’exploiter des bases de données. L’injection SQL consiste donc à demander l’exécution de requêtes non prévues par le système afin d’en compromettre la sécurité.
Attaque par hameçonnage / Phishing L’hameçonnage consiste à créer l’illusion de la légitimité de l’envoi (en général un email) chez la victime destinataire afin qu’elle transmette ses identifiants bancaires ou professionnels.
Attaque par déni de service distribuée (DDOS) L’attaque DDOS (Distributed Denial of Service) consiste à assaillir un réseau d’un nombre important de requêtes simultanées supérieur à ce que ses ressources lui permettent de traiter, afin d’entraîner l’arrêt du fonctionnement. La génération d’un nombre important de requêtes peut être réalisée par la mobilisation massive d’internautes mais résulte plus généralement de l’usage de botnets ou plus récemment par la manipulation des systèmes de gestion de mémoire cache.
Rançongiciel / Ransomware L’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.
Cross-site scripting Attaque consistant en l’injection d’un contenu spécifique dans une page web afin de déclencher un comportement déterminé chez le navigateur la visitant.
Buffer overflow En principe, les données envoyées à un programme sont stockées en mémoire vive dans une zone “tampon” où le programme va vérifier que les données n’excèdent pas la valeur maximale autorisée. Lorsque la valeur excède ce seuil maximal, le programme lit en principe une instruction impossible à exécuter et affiche en retour un message d’erreur.

Dans le cadre de l’attaque par buffer overflow, l’attaquant tire profit des faiblesses du programme et du processeur soutenant son exécution en envoyant une instruction dépassant le seuil maximal au programme, qui au lieu de provoquer une erreur va plutôt conduire celui-ci à exécuter une instruction malveillante.

Backdoor Littéralement la “porte dérobée”, ce terme désigne la faille dans la sécurité qui demeure à l’insu de l’utilisateur ou du propriétaire légitime d’un programme ou objet électronique, et qui permet à un tiers de se ménager un accès aux données afférentes.

La procédure d’exploitation d’une vulnérabilité logicielle est appelée exploit. L’exploitation de cette vulnérabilité, par le fait de porter atteinte à ce système, c’est-à-dire à son fonctionnement normal, à la confidentialité ou à l’intégrité des données qu’il contient est illégale (on parle de black hat).

La cybercriminalité englobe les infractions aux systèmes de traitement automatisé de données (STAD) proprement dit  et les infractions de droit commun, facilitées par le recours aux NTIC (ex. vol, escroqueries, fraudes, harcèlement, usurpations d’identité…).

Une fois la vulnérabilité découverte, il est recommandé de la signaler (on parle alors de white-hat) au responsable du système d’information (RSI) qui pourra y apporter un correctif (patch)  à l’occasion d’une mise à jour logiciel. De nombreuses organisations ont désormais mis en place des programmes de bug-bounty, c’est-à-dire un audit de leurs systèmes par des tiers, reconnus et  récompensés pour leurs découvertes.

Les vulnérabilités les plus recherchées sont les vulnérabilités 0-day  pour lesquelles aucun correctif de sécurité n’a encore été développé et qui n’étaient pas connues de la communauté avant sa publication. Elles  sont particulièrement précieuses pour les cybercriminels, certaines sont révélées mais la plupart du temps elles restent confidentielles. Un marché de vulnérabilités particulièrement lucratif a vu le jour, les prix pouvant atteindre jusqu’à un million d’euros.

 

  • Enjeux  

La cyber sécurité représente un enjeu majeur à tous niveaux.

Les Etats en premier lieu, qui du fait des enjeux économiques, stratégiques et (géo)politiques majeurs liés à la cyber sécurité sont tenus de mettre en oeuvre une cyberdéfense afin d’assurer leur souveraineté numérique, qui s’entend de la qualité que possède un État à exercer un pouvoir suprême dans les domaines des nouvelles technologies et des technologies de l’Internet.

Pour ce faire, les États ont très tôt financé les dépenses en recherche fondamentale en la matière,  à des fins militaires, notamment en cryptographie qui est un outil (longtemps considéré comme une arme en France)  utilisé afin d’assurer la confidentialité d’une information (stockée ou transitée), son intégrité (toute modification est détectable), et l’identification de son origine (l’émetteur peut être identifié de façon authentique). La cryptographie est désormais accessible au grand public par le biais notamment de solutions VPN (Virtual Private Network) et connaît un regain d’intérêt au gré des révélations médiatisées.

Elle doit être distinguée du chiffrement,  qui consiste en la  transformation à l’aide d’une clé d’un message en clair (dit texte clair) en un message incompréhensible (dit texte chiffré) pour celui qui ne dispose pas de la clé de déchiffrement.

Les entreprises et les organisations possèdent de plus en plus d’actifs immatériels (patrimoine informationnel) qui comprennent le système d’information (logiciels, réseaux, bases de données…).

A ce titre, il est important de rappeler que des outils internes à l’entreprise peuvent être mis en place telle qu’une charte informatique.

La charte informatique contribue à la sécurité des biens, corporels et incorporels, mais aussi des personnes (règles relatives à l’encadrement de l’usage des ressources informatiques, sécurité des mots de passe, encadrement du bring your own device, etc.). L’ANSSI a publié des conseils pour établir une charte informatique. C’est un outil essentiel de culture de la sécurité dans l’entreprise

L’atteinte portée au système d’information d’une organisation peut causer :

  1. Un préjudice financier résidant dans l’indisponibilité plus ou moins prolongée du service (attaque DDoS), la suppression malveillante ou le vol d’une base de données pouvant être suivie d’une demande de rançon (ransomware), le détournement de fonds (« arnaque au président ») au moyen du recours à l’ingénierie sociale (social-engineering) , le dédommagement des victimes d’un piratage ou d’une fraude par le biais d’un hameçonnage (phishing), le vol d’un secret de fabrication par le biais de la rétro-ingénierie (reverse engineering) c’est-à-dire la décompilation du code source d’une application pour se l’approprier et produire une contrefaçon. Un moyen de protection est l’obfuscation du code.
  2. Un préjudice réputationnel via la dégradation de l’image de marque ou de la crédibilité (ex: le defacing ou défacement qui consiste en l’atteinte à l’intégrité d’un site pour y exprimer un message idéologique ou négatif)  et par publicité négative et la perte de confiance du public engendrée par la survenance d’une attaque.
  3. Un préjudice écologique et/ou sanitaire : la défaillance d’un système peut provoquer des catastrophes écologiques (ex. : AZF, marées noires, centrales nucléaires, etc.)

Pour les particuliers,  l’enjeu de la protection de la vie privée et des données personnelles est au cœur de la matière d’autant plus que les services et objet recourant au traitement de données personnelles se multiplient. Une information volontairement partagée peut être enregistrées (par ex. au moyen d’un keylogger) volée et utilisée ou altérée à des fins criminelles (ex. usurpation d’identité).  A ce titre, le RGPD oblige les responsables de traitement à notifier (volontairement ou sous la contrainte d’une autorité de contrôle) les violations de données personnelles aux personnes concernées lorsque celles-ci présentent un risque élevé pour leurs droits et libertés (art. 34 du RGPD)

 

IV. Les acteurs de la protection

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est un service créé en 2009, à compétence nationale,  rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale.

L’Agence européenne chargée de la sécurité des réseaux et de l’information (AESRI, Grèce) est une agence de l’Union européenne créée le 10 mars 2004 par un règlement de l’Union européenne.

Le Centre européen de lutte contre la cybercriminalité (EC3, Pays-Bas) est une structure mise en place par l’Union européenne, dans le but est de lutter contre la cybercriminalité en Europe et protéger les citoyens.

Le Forum international de la cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité et à renforcer la lutte contre la cybercriminalité, priorité de l’Union européenne affichée dans le programme européen de Stockholm de 2010-2015.

L’organisation européenne de la cybersécurité (ECSO) 17 a été créée en juin 2016 avec pour objectif d’aider les projets qui permettraient de développer, de promouvoir ou d’encourager les initiatives sur la cybersécurité en Europe.


Nos derniers articles sur les données personnelles et la cybersécurité