La protection de l’information › IMG › pdf › Pr_Noufeyle_Hadid_-_Impression_-… ·...

La protection de l’information: un axe majeur de

la sécurité économique

Journée d’étude sur

« La veille et l’intelligence économique: au service de la croissance»

organisée sous le haut patronage de Monsieur le Ministre de l’Industrie et des Mines

par l’Institut Supérieur de Gestion et de Planification

et la Direction Générale de la Veille Stratégique, des Etudes et des Systèmes d’Information – Ministère de l’Industrie et des Mines –

le 23 mai 2017

Pr Noufeyle HADID

Chef de la chaire des sciences économiques et politiques Ecole Nationale Préparatoire aux Etudes d’Ingéniorat

Coordinateur du doctorat e-Business Université d’Alger 3

Pr Noufeyle HADID 2

Avec la mondialisation des échanges, qui a placé les entreprises dans une

situation de concurrence internationale accrue, le développement

exponentiel des TIC et l'hyperconnectivité du monde, dans lequel les

informations de toutes sortes circulent sans frontière, l’information est

devenue une matière première stratégique que les entreprises doivent savoir

maîtriser pour en tirer un avantage concurrentiel.

Introduction

Pr Noufeyle HADID 3

Maîtriser l’information stratégique, c’est aussi savoir la protéger des

cyberattaques, mais il est clair qu’en ce domaine il n’existe pas de

risque zéro, tout l’enjeu pour l’entreprise est donc de réduire les risques à un

niveau qui n’entrave pas son fonctionnement.

Il devient donc nécessaire de savoir réagir rapidement. En d’autres termes,

ne plus agir en défensive, mais de façon résiliente, puisque la cyber-résilience

est liée à la notion de gestion, et non d'élimination, des risques.

Introduction

Définir et présenter les éléments fondamentaux de la

sécurité économique.

Présenter les différentes formes de cyberattaques.

Mettre en évidence les enjeux de la cybercriminalité pour

l’entreprise.

Expliquer les aspects de la politique de protection de

l'information.

4 Pr Noufeyle HADID

Objectif multiple

Pr Noufeyle HADID 5

Axe N° 1 :

Les éléments fondamentaux de la sécurité économique

Pr Noufeyle HADID 6

La sécurité économique est l’ensemble des actes et initiatives pris pour protéger

et défendre l’économie et les entreprises des atteintes de toute nature.

La sécurité économique vise avant tout trois objectifs :

l’identification et l’analyse des menaces dont les entreprises sont la cible ;

la protection des entreprises, quels que soient leur taille et secteur d’activité ;

la diffusion d’une culture de la sécurité du patrimoine matériel et immatériel

au sein de l’ensemble des entreprises.

Pr Noufeyle HADID 7

La sécurité économique en tant que « POLITIQUE PUBLIQUE »:

La politique publique de sécurité économiques s’inscrit dans la continuité de

celle relative à l’intelligence économique.

La sécurité économique en tant que « STRATÉGIE POUR LES ENTREPRISES »:

Chaque entreprise, quelle que soit sa taille, peut valoriser et protéger ses

informations stratégiques.

8 Pr Noufeyle HADID

Axe N° 2 :

Les différentes formes de cyberattaques

9 Pr Noufeyle HADID

Une cyberattaque est une attaque réalisée par des Cyberactivistes,

des Cybercriminels ou des États. Elle peut viser une personne physique,

une entreprise, une organisation publique, un secteur économique,

ou des infrastructures essentielles d’un Etat.

Selon le sondage « The Global State of Information Security Survey 2015 » le

nombre de cyberattaques dans le monde a atteint 42 800 000 cyberattaques

en 2014, soit l’équivalent de 117 582 cyberattaques par jour, et que ce nombre

a augmenté de 48 % par rapport à 2013.

Et d’après le rapport publié en 2015 par Allianz Corporate and Specialty,

intitulé « Un guide pour les Cyber-risques » : le coût moyen annuel des

cyberattaques au niveau mondial est 445 milliards de dollars.

10 Pr Noufeyle HADID

Les cyberattaques, sans mobile économique.

Les cyberattaques, ciblant des intérêts économiques.

Les cyberattaques, entre États.

: Les formes de cyberattaques

(Cyberactivisme)

(Cybercriminalité)

(Cyberespionnage et Cyberguerre)


1. Les cyberattaques sans mobile économique :

Ce cyberattaquant est appelé « Hacktiviste », « Cyberactiviste ».

Les principales techniques utilisées :

le phishing , l’usurpation d’identité , l’ingénierie sociale , les attaques DDoS

et l’exploitation des vulnérabilité dites "zero-day" .

L’objectif du cyberattaquant (individu ou groupe d’individus) est de partager ou

d’imposer une opinion ou des idées.


Exemple n°1:

Le mois de février 2016, et selon Le Monde, le groupe Anonymous a attaqué le

Centre français d’Identification des Matériels de la défense, et a volé des

informations sensibles et paralysé le site Web. Affirment agir pour protester

contre la prolongation de l’état d’urgence en France et la vente d’armes à

l’Arabie Saoudite.

Les documents piratés ont été diffusés sur Internet. Ils contenaient :

les noms, intitulés du poste, mots de passe, numéros de téléphone et

adresses e-mail d’un certain nombre d’employés travaillant pour la Défense, en

plus des informations sur les fournisseurs et partenaires de l’armée.


Exemple n°2:

Le moi de février 2016, et d’après Motherboard, un Hacktiviste surnommé

DotGovs, a piraté via l’Intranet du ministère américain de la justice, des données

privées de 20 000 employés du FBI. La motivation du Hacktiviste serait de

rappeler la situation en Palestine.

La liste comprend des noms, des adresses e-mail et des intitulés de postes,

comme par exemple « directeur adjoint », « expert en sécurité »,

« agent spécial ». La liste inclut également les noms de plus de 1000 employés

du FBI spécialisés dans le renseignement.


2. Les cyberattaques ciblant des intérêts économiques :

Ce cyberattaquant est appelé «Cybercriminel » ou « Cyberpirate ».


Les Ransomwares à chiffrement , le phishing , l’usurpation d’identité , les

fraudes à la carte bancaire , l’ingénierie sociale , les attaques DDoS

et l’exploitation des vulnérabilité dites "zero-day" .

L’objectif du cyberattaquant (individu, groupe d’individus ou entreprise) est

l’argent, y compris l'espionnage industriel.


Au début du moi de février 2015, et selon Wall Street Journal, des cybercriminels

ont attaqué le système informatique de l’assureurs-santé américain « Anthem »,

et ont volé des données personnelles relatives à un quart des Américains

(plus de 80 millions d’assurés).

Ces données médicales permettent la création de fausses identités pour :

se faire prescrire des médicaments qui seront ensuite revendus ;

ou bien de remplir de fausses déclarations d’assurance santé.

Exemple n°1:


Exemple n°2:

Le mois de janvier 2016, et d’après le Canard Enchainé, le ministère des

transports français a été infecté par le Ransomwares « Locky ». Ce Trojan a

bloqué un très grand nombre d’ordinateurs du ministère.

Il a demandé une rançon de 1000 $ par poste infecté. Les employés été obligé de

débrancher les postes infectés du réseau.


Exemple n°3:

En février 2016, et selon Reuters, des cybercriminels ont réussi à pénétrer dans le

système de messages interbancaires « Swift », en simulant un transfert de fonds

autorisé, et ont volé 81 millions de dollars sur un compte de la Banque centrale du

Bangladesh auprès de la Réserve fédérale à New York (FED).

Ce réseau effectue les transactions financières de plus de 10 800 institutions

financières dans 200 pays. Il est censé être ultra-sécurisé et sert à transférer des

milliards de dollars chaque jour.


3. Les cyberattaques entre États :

L’objectif du cyberattaquant (acteur étatique) est :

d’espionner un système informatique (sans le paralyser).

ou de saboter les systèmes d’information critiques et les infrastructures

essentielles d’un Etat. Telles que les cyberattaques contre les réseaux

électriques, les centrales nucléaires, la distribution d’eau, le trafic aérien,

le contrôle de la circulation, en plus des cyberattaques contre les organismes

gouvernementaux.


Les attaques ciblées (APT) , les attaques DDoS , le phishing , l’ingénierie sociale et

l’exploitation des vulnérabilité dites "zero-day" .

Ce cyberattaquant est appelé «Cyberespion » / « Cyberguerrier ».

Pr Noufeyle HADID 19

En février 2013, et selon Der Spiegel, la National Security Agency (NSA) a piraté le

réseau informatique de seize sociétés (dont Orange) qui gèrent le câble sous-

marin (SEA-ME-WE 4) reliant la France à l’Afrique du Nord et à l'Asie, accédant

ainsi aux informations acheminées par ce câble.

Exemple n°1:


D’après le Guardian et le Washington Post (6 juin 2013), la NSA utilise depuis 2007

un programme d'espionnage en ligne nommé PRISM qui surveille les

communications (de non-Américains) qui transitent par les services de Google,

Facebook, Microsoft, appel, etc.

Exemple n°2:


Selon le Guardian (juillet 2013) la NSA utilise depuis 2008 un programme de

surveillance de masse nommé Xkeyscore lui permettant de scanner le trafic

Internet mondial, d'intercepter les données et de les analyser. Parmi les données

accessibles : le trafic web, les recherches web, les réseaux sociaux, email, chats,

documents, images, vidéos, les photos de webcam, les fichiers uploadés dans le

Cloud, les sessions Skype, les appels téléphoniques, etc.

Exemple n°3:


2. Exemples de cyberattaques en rapport avec le Cyberespionnage :

Opération "Red October" :

Attaque découverte par : Kaspersky en octobre 2012.

Active : depuis 2007.

Cible en Algérie : ambassades.


Opération « Equation Group" :

Attaque découverte par : Kaspersky en février 2015.

Active : depuis le début des années 2000.

Cibles en Algérie : Energie et infrastructure.


Axe N° 3 :

Les enjeux de la cybercriminalité pour l’entreprise


Quelques statistiques en rapport avec les

cybermenaces contre les entreprises :

Selon une étude menée auprès de 10 000 entreprises au niveau mondial présentée dans le rapport sécurité 2014 de "Check Point" :

33% des entreprises ont téléchargé au moins un fichier infecté.

84% des entreprises ont téléchargé des logiciels malveillants.

et dans 73% des entreprises, au moins un Bot a été détecté.

88% des entreprises ont subi au moins un incident de fuite de données.

Toutes les 60 secondes, des postes de travail accèdent aux sites web

malveillants.

Toutes les 10 minutes, un poste de travail télécharge un logiciel

malveillants.

2 malwares frappent les entreprises toutes les heures.


1. Enjeux financiers :

une désorganisation du fonctionnement de l’entreprise (à cause de

l'endommagement du système d’information).

le coût de réparation du matériel et les frais de sécurisation du

système informatique.

Les enjeux en matière de cybercriminalité pour l’entreprise sont

considérables, et il est possible de les classer en 3 catégories:

diminution du chiffre d’affaires.

et la perte de l’avantage concurrentiel.

remboursement des pertes de ses clients (à cause des fuites des

données sensibles).

frais de procès et paiement des amandes.


2. Enjeux juridiques :

Une responsabilité juridique qui peut être engagée (des sanctions

pour atteintes à la vie privée).

3. Enjeux en rapport avec la réputation de l’entreprise :

Une dégradation de sont image et de sa réputation numérique

(e-reputation) vis-à-vis du public, de ses clients et de ses

collaborateurs.


Cas réels de cyberattaques contre les entreprises

Avril 2014:

Le piratage des données bancaires de 56 millions de cartes bancaires de

la chaîne de bricolage américaine Home Depot.

Impact : perte de plus de 43 millions de dollars (frais de

procès, d’enquêtes, de réparation et de sécurisation du

systèmes informatique, etc.)

Février/Mars 2014:

Le piratage des données personnelles de 145 millions d’utilisateurs de la

plateforme d’eBay.

Impact : perte de confiance des clients, diminution du pourcentage

d’activité sur la plateforme, diminution du chiffre d’affaires.

29

La cyberattaque de :

"Sony Picture"

Février 2014 :

Piratage de plus de 110 To de données (les données de près de 47 000

employés, et des données relatives à l’entreprise (film non-diffusé et

script de futures séries).

Le 21 novembre 2014 :

L’entreprise reçoit un courrier électronique de demande de rançon. Elle

refuse de payer.

Le 24 novembre 2014 :

Un malware infecte tous les postes de travail et 75% des serveurs de

l’entreprise. L’activité de l’entreprise est paralysée.

Pr Noufeyle HADID

30

Impact de la cyberattaque sur "Sony Pictures"

1. révélation des salaires des dirigeants.

2. révélation des informations personnelles des employés.

4. divulgation d’informations stratégiques (savoir-faire, procédures, etc.).

8. perte de contrôle des comptes Twitter et Facebook.

9. dépôts de plainte et poursuite judiciaire.

5. divulgation des contrats.

7. 19% de perte pour chaque film diffusé sur Internet (sur les 5 piratés).

3. révélation d’informations techniques sur le système informatique.

10. et plus de 5 semaines de paralysé du système informatique.

6. coûts de réparation et frais de sécurisation du système informatique.

Pr Noufeyle HADID


Axe N° 4 :

Aspects d’une politique de protection de l'information


Pour faire face à la cybercriminalité et de ses techniques qui sont

de plus en plus variées et sophistiquées, l’entreprise devra bâtir une

politique de protection adéquate reposant sur trois finalités :

l’intégrité, la confidentialité et la disponibilité du système d’information.

la confidentialité des données :

l'intégrité des données :

et la disponibilité des données.

Il s'agit de garantir à la fois :


Ces éléments sont appelés "les principes fondamentaux de la sécurité de l’information" ou CIA Triad, pour Confidentiality, Integrity and Availability.

CIA Triad (la triade CIA)


Cette politique se décline en trois niveaux :

1. Le niveau stratégique :

En définissant les objectifs globaux de la sécurité, et qui découle de:

l’établissement de l’état des lieux ;

la hiérarchisation des données selon leur importance stratégique ;

et l’analyse des risques.

Dans cette phase, l’entreprise devra tenir compte des normes universelles en rapport avec la sécurité de l’information, telles que :

La norme ISO/IEC 21001:2013 : Exigences des systèmes de management

de la sécurité de l'information.

Et la norme ISO/IEC 27002 :2013 : Code de bonnes pratiques

pour la gestion de la sécurité de l'information.


2. Le niveau organisationnel :

le plan de secours ;

En définissant :

et le rôle de chaque membre du personnel.

la charte utilisateur ;


3. Le niveau technique :

Mise en place des moyens de protection :

plan de sauvegarde (fréquence et type de sauvegarde) ;

sécurité logique (anti-malwares, chiffrement, etc.) ;

sécurité physique (sécurité des locaux) ;

sans oublier le facteur humain (établissement de règles

élémentaires, comme ne pas noter son mot de passe sur un papier).


Ces outils sont utilisés dans la gestion des parcs d’appareils mobiles

hétérogènes, type BYOD, à l’aide d’une plate-forme d’administration

supportant des systèmes variés : Windows 10, Windows phone, iOS, Android,

BlackBerry OS, etc.

1. Les outils de Mobile Device Management (MDM)

Quels sont les principales solutions techniques à utilisées ?


La DSI doit protéger les différents réseaux permettant l’accès au système d’information de l’entreprise à l’aide des VPN sécurisés et le filtrage des adresses URL.

2. Les VPN (Virtual Private Network)


3. Les Pare-feux et les anti-malwares

La DSI doit sécuriser les données présentes sur les serveurs, les ordinateurs et les appareils mobiles à l’aide des pare-feux et des logiciels anti-malwares.


Conclusion

La technologie de l’information et de la communication et un outil

de modernisation de l’entreprise, de l'administration et de l'État.

Néanmoins, il faut tenir compte des cybermenaces et des cyber-risques.

Selon Bruce Schneir, Expert américain en cybersécurité :

Et il est également important de comprendre que ces cybermenaces ne

peuvent pas être éliminées, mais que les cyber-risques peuvent être gérés.


Mais malgré les cybermenaces très évidentes, l’attitude à l’égard des

cyberattaques demeure celle-ci : « Ça ne m’arrivera pas à moi ».

Conclusion

La réalité des cyberattaques ne consiste pas à se demander « si » cela se

produira, mais bien « quand » cela se produira et « par qui ».

Il faut donc déplacer les efforts sur comment les entreprises et les

gouvernements peuvent résister et réagir à une cyberattaque réussie

(c’est l’objectif de la cyber-résilience ).

La protection de l’information › IMG › pdf › Pr_Noufeyle_Hadid_-_Impression_-… ·...

Documents

Transcript of La protection de l’information › IMG › pdf › Pr_Noufeyle_Hadid_-_Impression_-… ·...