Éditoriaux Défense Sécurité Terrorisme Zones de conflits Logistique Livres de référence Liens
Terre Air Mer Gendarmerie Renseignement Infoguerre Cyber Recherche

Les menaces dirigées contre les entreprises

 

Les menaces dirigées contre les entreprises (9)

 

« La sécurité des ordinateurs de bureau et des réseaux d'entreprise est souvent limitée au déploiement de solutions basiques. Le niveau des barrières techniques reste très vulnérable dans les pratiques de transferts, traitements ou dans le stockage de l'information. La plupart des équipements nomades constituent des vulnérabilités dans les systèmes d'information.»  Prenant son bâton de pèlerin, Alain Juillet, infatigable, poursuit son combat pour une meilleure sécurisation des données informatiques au sein de nos  entreprises. Avec la numérisation rapide du monde de l'entreprise, celui-ci a l'obligation d'assurer la sécurité des transactions et la confidentialité des données. Pendant plusieurs années, alors qu'il était le haut responsable chargé de l'Intelligence économique (HRIE), il avait favorisé la recherche et le développement de logiciels performants et avait, avec ses collaborateurs, sensibilisé les responsables économiques et politiques de l'urgente nécessité d'adapter l'entreprise à la menace. Dans le "grand dossier" de la revue Défense consacré à "la cybercriminalité sous sous toutes ses formes",[1] Alain Juillet, en sa qualité de président du groupe sur la sécurité numérique des entreprises au CES, revient sur ces menaces dirigées contre les entreprises. Ce texte est reproduit ici avec l'accord de la rédaction de la revue. Paris le 15 octobre 2010.©

 

par Alain Juillet (*)

 

Dans le monde du 21° siècle, l'Internet et les outils informatiques sont devenu un enjeu de croissance et de compétitivité pour notre pays. En modifiant profondément les modes d'actions, les systèmes d'information jouent un rôle central dans l'ensemble des fonctions économiques et sociologiques. Ils ont ouvert un gisement important d'amélioration de la productivité dont nos entreprises n'ont pas encore tiré toutes les conséquences.

 

 

 Alain Juillet au cours d'une conférence à Bruxelles

 

A l'heure où les risques se diversifient et augmentent avec la numérisation rapide du monde de l'entreprise celui-ci a l'obligation d'assurer la sécurité des transactions et la confidentialité des données. Comme le détaille le rapport « Sécurité numérique des entreprises : enjeux et réponses » du CES au ministère de l’Intérieur,[2] ceci implique de fiabiliser au mieux les sources sur Internet et d’établir le niveau de confiance indispensable au développement de l'économie numérique. Dans ce but il faut mettre en place des outils numériques fiables permettant d'identifier, quantifier et analyser de façon détaillée tous les types de menaces pour implanter des dispositifs de sécurité capables d’y répondre. Face à un niveau de risque réel ce besoin est encore largement sous-estimé au niveau des budgets. La sécurité des ordinateurs de bureau et des réseaux d'entreprise est souvent limitée au déploiement de solutions basiques. Le niveau des barrières techniques reste très vulnérable dans les pratiques de transferts, traitements ou dans le stockage de l'information. La plupart des équipements nomades constituent des vulnérabilités dans les systèmes d'information. Le développement logiciel souffre généralement à tous les stades d’un manque de protection. Cette insuffisance des investissements requis pour garantir la sécurité s'explique par une perception du risque numérique trop souvent vécu comme extérieur à l'entreprise avec pour conséquence des actions répondant aux incidents réels plutôt qu’aux besoins d'identification des vulnérabilités. Nous sommes face à des opérateurs réticents à reconnaître ou déclarer tout type d'incidents pouvant être pénalisant en termes d'image et sur le plan opérationnel ou financier.

 

Il va donc falloir entreprendre, à tous les niveaux, des actions de sensibilisation à cette nouvelle réalité dans laquelle prennent une part croissante le développement du web 2, les solutions nomades professionnelles, les offres en réseaux ouvert et l’infogérance. C’est d’autant plus important que la sécurité des systèmes sera une préoccupation croissante dans le monde de l’industrie et des services. La place des technologies de l'information et de la communication dans la vie sociale et économique va continuer d'évoluer, multipliant les sources de risques pour les entreprises. La convergence télécom/informatique s'accélère avec l’utilisation de solutions dématérialisées. Le web 3 va ouvrir de nouveaux accès. Le « cloud computing » offre des opportunités d’externalisation génératrices de réduction de coût, sous réserve de sécuriser la contractualisation des échanges, le stockage physique des données et leur localisation car certaines législations sont inadaptées. L'Internet des objets va généraliser le pilotage à distance d'équipements et le suivi des circuits d’utilisation des produits donnant une place croissante aux objets connectés. Dans cet environnement changeant les grandes entreprises sauront protéger plus ou moins efficacement la partie la plus sensible de leurs flux de données. Il en sera tout autrement des PME-PMI qui méconnaissent les aspects techniques et ne disposent pas des outils juridiques ou financiers contre le vol ou le piratage de données;

 

 

 Alain Juillet à l'école polytechnique

 

Parallèlement on assiste à un besoin croissant de confidentialité et de protection de l'identité numérique des personnes physiques. La multiplication des réseaux sociaux et de leurs moyens d’accès, la dissémination d’un volume croissant de données, l'accélération du relâchement du lien social et éthique dans les entreprises ouvre de nouvelles failles de sécurité. Les conflits sociaux futurs comprendront sans doute une dimension numérique sous forme d'attaque sur les réseaux internes, le sabotage des outils de production, la paralysie des systèmes informatiques, ou le vol de données visant la réputation des dirigeants ou de la société. La réflexion en cours sur le droit à l'oubli aura également un impact sur les entreprises car la conservation des données, essentielle dans la pratique du droit des affaires et du droit pénal, rend inimaginable la destruction systématique à la fin d’une période légale des informations présentes sur Internet.

 

 Alain Juillet invité de Richard Labévière sur RFI

 

L'impact économique des atteintes à la réputation ou à l'image pose la question du statut et de la gestion de l'identité numérique des personnes physiques ou morales. Cette identité se construit à partir de l’image que l’on se donne et de celle que l’on vous donne dans une sphère médiatique allant du buzz et des nouveaux médias aux approches traditionnelles. Étant entendu que l'effet des rumeurs varie selon la crédibilité perçue de l’émetteur origine et la qualité des relais, la réputation numérique d'une entreprise peut subir divers types d’actions directes ou indirectes : des campagnes à caractère protestataire par des mouvements plus ou moins identifiés, la publication d’informations internes dans le but de nuire, le détournement de noms ou de sites de marque pour en tirer profit. Ceci est facilité par les outils collaboratifs de partage de connaissance multimédias du Web 2 qui permettent en interconnexion d'enregistrer, de dupliquer, de détourner et de diffuser des données numériques instantanément à des coûts quasiment nuls. De surcroît Internet a pour caractéristique de conserver les données sans limite de temps en leur donnant le même niveau de crédibilité par l’indexation des contenus. Dans cet environnement la défense de la réputation et de l’identité sur Internet est devenu un enjeu central en matière de communication, de marketing et de sécurité d’entreprise.

 

 

Alain Juillet au cours de son grand entretien avec la revue Défense

 

L’excellent rapport du GFII [3] sur « e-réputation et identité numérique des organisations » donne une typologie des menaces et des modes de traitement applicables qu'il faudra compléter par des études par branches professionnelles. La réponse aux attaques en fonction de la vitesse de réaction choisie peut utiliser les outils du marketing viral s'appuyant sur une veille des blogs et sites d'opinion, des cabinets spécialisés en gestion de crise, ou des spécialistes du droit sur la propriété intellectuelle et la protection des personnes.

 

En vingt ans on est passé des virtuoses de l'informatique exploitant individuellement leur compétence technique à une véritable criminalité spécialisée dans le numérique pour y dégager des profits essentiellement matériels. Accompagnant l’évolution des systèmes, ces professionnels, travaillant dorénavant en réseaux et en cellules pour attaquer les entreprises en diversifiant leurs modes d'action, pénètrent les systèmes d'information et mènent des opérations de prédation en utilisant des logiciels malveillants.

 

Les entreprises sont confrontées à trois types de comportement.

-       Les cybercriminels exploitent les réseaux et les systèmes pour en tirer un gain direct ou indirect.

-       Les cyberactivistes utilisent le réseau et les outils numériques associés à des logiciels et des sites malveillants pour promouvoir leur position, déstabiliser une image de marque, désinformer les marchés ou diffuser leurs opinions.

-       Les cyberterroristes utilisent ces technologies pour recruter, préparer des actions, communiquer leurs objectifs, et réaliser des attaques et sabotages de grande ampleur.

La capacité et le champ d'action des cybercriminels devraient encore s'accroitre grâce aux opportunités liées au développement d'Internet et des outils informatiques. Les principaux risques sont les attaques directes contre les systèmes d'information des entreprises ou des infrastructures, les actions visant au sabotage des systèmes de contrôle ou de télémaintenance, les détournements liés à la sous-traitance et à l'infogérance, et le développement de piratages visant des composants physiques mal sécurisés, tels les équipements nomades. Mais ces attaques directes devraient décroître au profit de la diffusion de moyens discrets de contrôle à distance des systèmes d'information, de pillage de données ou encore d'enrôlement de machines pour les utiliser dans des attaques concertées. De plus on s’aperçoit qu’aujourd’hui la finalité de la plupart des attaques n'est plus de neutraliser un système d'information mais de porter atteinte à la crédibilité d'une personne physique ou morale en utilisant une ou plusieurs stratégies conjointes : la diffusion de contenu portant atteinte à son image, le détournement de moteurs pour influencer le référencement, les forfaitures dans les réseaux sociaux, le développement de l'activité criminelle autour du vol, de la falsification de données, de l'usurpation d'identité ou les techniques du « pishing ». C’est pourquoi, au-delà de la protection des données et la sécurité des outils, il va falloir garantir la confidentialité et la protection de l'identité numérique.

 

 

Le développement du commerce électronique est fondé sur deux piliers : favoriser le développement d'un climat de confiance entre les parties prenantes, protéger les transactions sur Internet et les infrastructures avec des outils maîtrisés. On assiste parallèlement à la montée de la diffusion de contrefaçons via ce même Internet. Parti du luxe, c'est devenu un phénomène préoccupant car il touche de multiples activités. Outre l'effet économique sur les acteurs légitimes, il fait courir dans certains cas des risques spécifiques aux populations. En plus des points et mesures évoqués tout au long de cet article, ceci doit nous rappeler l'importance du rôle du tiers de confiance chargé de sécuriser les transactions qu’il faut savoir sélectionner et utiliser efficacement.

 

A l’aube de la numérisation des marchés publics européens, il est temps de créer une nouvelle relation entre l'État et les entreprises dans la gestion du risque numérique pour répondre aux enjeux. Dans ce cadre il faudra continuer à encourager l’émergence de solutions innovantes nationales ou continentales pour ne pas laisser un quasi monopole à nos amis anglo-saxons. On pourrait y ajouter la mise en place des forums collaboratifs ou de cercles de confiance publics-privés permettant aux entreprises de s'alerter de manière anonyme ou traiter les incidents numériques dans un cadre confidentiel. Il faudra enfin encourager les initiatives régionales, territoriales ou consulaires dans le domaine de la sécurité coopérative pour permettre aux PME/PMI d'avoir elles aussi des solutions efficaces pour échanger avec leurs clients et fournisseurs.

 

(*) Senior Advisor au cabinet Orrick Rambaud Martel et président du groupe sur la sécurité numérique des entreprises au CES.

 

[1] Numéro 147 de Défense (septembre-octobre 2010), revue bimestrielle de l'Union des Associations des Auditeurs de l'Institut des Hautes Études de Défense Nationale (IHEDN), réalisée par des bénévoles, « auditeurs de l'IH ». Abonnements: BP 41-00445 Armées.

[2]  Le Conseil économique de sécurité (CES) a été créé le 12 décembre 2008 par Michèle Alliot-Marie.
[3]  Le Groupement français de l'industrie de l'information (GFII) est l'auteur du rapport "e-réputation et identité numérique des organisations".
 

Au sommaire du grand dossier :


Derniers articles

Verdun 2016 : La légende de la « tranchée des baïonnettes »
Eyes in the Dark: Navy Dive Helmet Display Emerges as Game-Changer
OIR Official: Captured Info Describes ISIL Operations in Manbij
Cyber, Space, Middle East Join Nuclear Triad Topics at Deterrence Meeting
Carter Opens Second DoD Innovation Hub in Boston
Triomphe de St-Cyr : le Vietnam sur les rangs
Dwight D. Eisenhower Conducts First OIR Missions from Arabian Gulf
L’amiral Prazuck prend la manœuvre de la Marine
Airmen Practice Rescuing Downed Pilots in Pacific Thunder 16-2
On ne lutte pas contre les moustiques avec une Kalachnikov...
Enemy Mine: Underwater Drones Hunt Buried Targets, Save Lives
Daesh Publications Are Translated Into Eleven Languages
Opération Chammal : 10 000 heures de vol en opération pour les Mirage 2000 basés en Jordanie
Le Drian : Daech : une réponse à plusieurs niveaux
Carter: Defense Ministers Agree on Next Steps in Counter-ISIL Fight
Carter Convenes Counter-ISIL Coalition Meeting at Andrews
Carter Welcomes France’s Increased Counter-ISIL Support
100-Plus Aircraft Fly in for Exercise Red Flag 16-3
Growlers Soar With B-1s Around Ellsworth AFB
A-10s Deploy to Slovakia for Cross-Border Training
We Don’t Fight Against Mosquitoes With a Kalashnikov
Bug-Hunting Computers to Compete in DARPA Cyber Grand Challenge
Chiefs of US and Chinese Navies Agree on Need for Cooperation
DoD Cyber Strategy Defines How Officials Discern Cyber Incidents from Armed Attacks
Vice Adm. Tighe Takes Charge of Information Warfare, Naval Intelligence
Truman Strike Group Completes Eight-Month Deployment
KC-46 Completes Milestone by Refueling Fighter Jet, Cargo Plane
Air Dominance and the Critical Role of Fifth Generation Fighters
Une nation est une âme
The Challenges of Ungoverned Spaces
Carter Salutes Iraqi Forces, Announces 560 U.S. Troops to Deploy to Iraq
Obama: U.S. Commitment to European Security is Unwavering in Pivotal Time for NATO
International Court to Decide Sovereignty Issue in South China Sea
La SPA 75 est centenaire !
U.S. to Deploy THAAD Missile Battery to South Korea
Maintien en condition des matériels : reprendre l’initiative
La veste « léopard », premier uniforme militaire de camouflage
Océan Indien 2016 : Opérations & Coopération
Truman Transits Strait of Gibraltar
Navy Unveils National Museum of the American Sailor
New Navy, Old Tar
Marcel Dassault parrain de la nouvelle promotion d’officiers de l’École de l’Air
RIMPAC 2016 : Ravitaillement à la mer pour le Prairial avant l’arrivée à Hawaii
Bataille de la Somme, l’oubliée
U.S., Iceland Sign Security Cooperation Agreement
Cléopatra : la frégate Jean Bart entre dans l’histoire du BPC Gamal Abdel Nasser
Surveiller l’espace maritime français aussi par satellite
America's Navy-Marine Corps Team Fuse for RIMPAC 2016
Stratégie France : Plaidoyer pour une véritable coopération franco-allemande
La lumière du Droit rayonne au bout du chemin





Directeur de la publication : Joël-François Dumont
Comité de rédaction : Jacques de Lestapis, Hugues Dumont, François de Vries (Bruxelles), Hans-Ulrich Helfer (Suisse), Michael Hellerforth (Allemagne).
Comité militaire : VAE Guy Labouérie (†), GAA François Mermet (2S), CF Patrice Théry (Asie).

Contact