La protection de l’information - mdipi.gov.dz€¦ · La protection de l’information: un axe...
Transcript of La protection de l’information - mdipi.gov.dz€¦ · La protection de l’information: un axe...
La protection de l’information: un axe majeur de
la sécurité économique
Journée d’étude sur
« La veille et l’intelligence économique: au service de la croissance»
organisée sous le haut patronage de Monsieur le Ministre de l’Industrie et des Mines
par l’Institut Supérieur de Gestion et de Planification
et la Direction Générale de la Veille Stratégique, des Etudes et des Systèmes d’Information – Ministère de l’Industrie et des Mines –
le 23 mai 2017
Pr Noufeyle HADID
Chef de la chaire des sciences économiques et politiques Ecole Nationale Préparatoire aux Etudes d’Ingéniorat
Coordinateur du doctorat e-Business Université d’Alger 3
Pr Noufeyle HADID 2
Avec la mondialisation des échanges, qui a placé les entreprises dans une
situation de concurrence internationale accrue, le développement
exponentiel des TIC et l'hyperconnectivité du monde, dans lequel les
informations de toutes sortes circulent sans frontière, l’information est
devenue une matière première stratégique que les entreprises doivent savoir
maîtriser pour en tirer un avantage concurrentiel.
Introduction
Pr Noufeyle HADID 3
Maîtriser l’information stratégique, c’est aussi savoir la protéger des
cyberattaques, mais il est clair qu’en ce domaine il n’existe pas de
risque zéro, tout l’enjeu pour l’entreprise est donc de réduire les risques à un
niveau qui n’entrave pas son fonctionnement.
Il devient donc nécessaire de savoir réagir rapidement. En d’autres termes,
ne plus agir en défensive, mais de façon résiliente, puisque la cyber-résilience
est liée à la notion de gestion, et non d'élimination, des risques.
Introduction
Définir et présenter les éléments fondamentaux de la
sécurité économique.
Présenter les différentes formes de cyberattaques.
Mettre en évidence les enjeux de la cybercriminalité pour
l’entreprise.
Expliquer les aspects de la politique de protection de
l'information.
4 Pr Noufeyle HADID
Objectif multiple
Pr Noufeyle HADID 5
Axe N° 1 :
Les éléments fondamentaux de la sécurité économique
Pr Noufeyle HADID 6
La sécurité économique est l’ensemble des actes et initiatives pris pour protéger
et défendre l’économie et les entreprises des atteintes de toute nature.
La sécurité économique vise avant tout trois objectifs :
l’identification et l’analyse des menaces dont les entreprises sont la cible ;
la protection des entreprises, quels que soient leur taille et secteur d’activité ;
la diffusion d’une culture de la sécurité du patrimoine matériel et immatériel
au sein de l’ensemble des entreprises.
Pr Noufeyle HADID 7
La sécurité économique en tant que « POLITIQUE PUBLIQUE »:
La politique publique de sécurité économiques s’inscrit dans la continuité de
celle relative à l’intelligence économique.
La sécurité économique en tant que « STRATÉGIE POUR LES ENTREPRISES »:
Chaque entreprise, quelle que soit sa taille, peut valoriser et protéger ses
informations stratégiques.
8 Pr Noufeyle HADID
Axe N° 2 :
Les différentes formes de cyberattaques
9 Pr Noufeyle HADID
Une cyberattaque est une attaque réalisée par des Cyberactivistes,
des Cybercriminels ou des États. Elle peut viser une personne physique,
une entreprise, une organisation publique, un secteur économique,
ou des infrastructures essentielles d’un Etat.
Selon le sondage « The Global State of Information Security Survey 2015 » le
nombre de cyberattaques dans le monde a atteint 42 800 000 cyberattaques
en 2014, soit l’équivalent de 117 582 cyberattaques par jour, et que ce nombre
a augmenté de 48 % par rapport à 2013.
Et d’après le rapport publié en 2015 par Allianz Corporate and Specialty,
intitulé « Un guide pour les Cyber-risques » : le coût moyen annuel des
cyberattaques au niveau mondial est 445 milliards de dollars.
10 Pr Noufeyle HADID
Les cyberattaques, sans mobile économique.
Les cyberattaques, ciblant des intérêts économiques.
Les cyberattaques, entre États.
: Les formes de cyberattaques
(Cyberactivisme)
(Cybercriminalité)
(Cyberespionnage et Cyberguerre)
11 Pr Noufeyle HADID
1. Les cyberattaques sans mobile économique :
Ce cyberattaquant est appelé « Hacktiviste », « Cyberactiviste ».
Les principales techniques utilisées :
le phishing , l’usurpation d’identité , l’ingénierie sociale , les attaques DDoS
et l’exploitation des vulnérabilité dites "zero-day" .
L’objectif du cyberattaquant (individu ou groupe d’individus) est de partager ou
d’imposer une opinion ou des idées.
12 Pr Noufeyle HADID
Exemple n°1:
Le mois de février 2016, et selon Le Monde, le groupe Anonymous a attaqué le
Centre français d’Identification des Matériels de la défense, et a volé des
informations sensibles et paralysé le site Web. Affirment agir pour protester
contre la prolongation de l’état d’urgence en France et la vente d’armes à
l’Arabie Saoudite.
Les documents piratés ont été diffusés sur Internet. Ils contenaient :
les noms, intitulés du poste, mots de passe, numéros de téléphone et
adresses e-mail d’un certain nombre d’employés travaillant pour la Défense, en
plus des informations sur les fournisseurs et partenaires de l’armée.
13 Pr Noufeyle HADID
Exemple n°2:
Le moi de février 2016, et d’après Motherboard, un Hacktiviste surnommé
DotGovs, a piraté via l’Intranet du ministère américain de la justice, des données
privées de 20 000 employés du FBI. La motivation du Hacktiviste serait de
rappeler la situation en Palestine.
La liste comprend des noms, des adresses e-mail et des intitulés de postes,
comme par exemple « directeur adjoint », « expert en sécurité »,
« agent spécial ». La liste inclut également les noms de plus de 1000 employés
du FBI spécialisés dans le renseignement.
14 Pr Noufeyle HADID
2. Les cyberattaques ciblant des intérêts économiques :
Ce cyberattaquant est appelé «Cybercriminel » ou « Cyberpirate ».
Les principales techniques utilisées :
Les Ransomwares à chiffrement , le phishing , l’usurpation d’identité , les
fraudes à la carte bancaire , l’ingénierie sociale , les attaques DDoS
et l’exploitation des vulnérabilité dites "zero-day" .
L’objectif du cyberattaquant (individu, groupe d’individus ou entreprise) est
l’argent, y compris l'espionnage industriel.
15 Pr Noufeyle HADID
Au début du moi de février 2015, et selon Wall Street Journal, des cybercriminels
ont attaqué le système informatique de l’assureurs-santé américain « Anthem »,
et ont volé des données personnelles relatives à un quart des Américains
(plus de 80 millions d’assurés).
Ces données médicales permettent la création de fausses identités pour :
se faire prescrire des médicaments qui seront ensuite revendus ;
ou bien de remplir de fausses déclarations d’assurance santé.
Exemple n°1:
16 Pr Noufeyle HADID
Exemple n°2:
Le mois de janvier 2016, et d’après le Canard Enchainé, le ministère des
transports français a été infecté par le Ransomwares « Locky ». Ce Trojan a
bloqué un très grand nombre d’ordinateurs du ministère.
Il a demandé une rançon de 1000 $ par poste infecté. Les employés été obligé de
débrancher les postes infectés du réseau.
17 Pr Noufeyle HADID
Exemple n°3:
En février 2016, et selon Reuters, des cybercriminels ont réussi à pénétrer dans le
système de messages interbancaires « Swift », en simulant un transfert de fonds
autorisé, et ont volé 81 millions de dollars sur un compte de la Banque centrale du
Bangladesh auprès de la Réserve fédérale à New York (FED).
Ce réseau effectue les transactions financières de plus de 10 800 institutions
financières dans 200 pays. Il est censé être ultra-sécurisé et sert à transférer des
milliards de dollars chaque jour.
18 Pr Noufeyle HADID
3. Les cyberattaques entre États :
L’objectif du cyberattaquant (acteur étatique) est :
d’espionner un système informatique (sans le paralyser).
ou de saboter les systèmes d’information critiques et les infrastructures
essentielles d’un Etat. Telles que les cyberattaques contre les réseaux
électriques, les centrales nucléaires, la distribution d’eau, le trafic aérien,
le contrôle de la circulation, en plus des cyberattaques contre les organismes
gouvernementaux.
Les principales techniques utilisées :
Les attaques ciblées (APT) , les attaques DDoS , le phishing , l’ingénierie sociale et
l’exploitation des vulnérabilité dites "zero-day" .
Ce cyberattaquant est appelé «Cyberespion » / « Cyberguerrier ».
Pr Noufeyle HADID 19
En février 2013, et selon Der Spiegel, la National Security Agency (NSA) a piraté le
réseau informatique de seize sociétés (dont Orange) qui gèrent le câble sous-
marin (SEA-ME-WE 4) reliant la France à l’Afrique du Nord et à l'Asie, accédant
ainsi aux informations acheminées par ce câble.
Exemple n°1:
Pr Noufeyle HADID 20
D’après le Guardian et le Washington Post (6 juin 2013), la NSA utilise depuis 2007
un programme d'espionnage en ligne nommé PRISM qui surveille les
communications (de non-Américains) qui transitent par les services de Google,
Facebook, Microsoft, appel, etc.
Exemple n°2:
21 Pr Noufeyle HADID
Selon le Guardian (juillet 2013) la NSA utilise depuis 2008 un programme de
surveillance de masse nommé Xkeyscore lui permettant de scanner le trafic
Internet mondial, d'intercepter les données et de les analyser. Parmi les données
accessibles : le trafic web, les recherches web, les réseaux sociaux, email, chats,
documents, images, vidéos, les photos de webcam, les fichiers uploadés dans le
Cloud, les sessions Skype, les appels téléphoniques, etc.
Exemple n°3:
Pr Noufeyle HADID 22
2. Exemples de cyberattaques en rapport avec le Cyberespionnage :
Opération "Red October" :
Attaque découverte par : Kaspersky en octobre 2012.
Active : depuis 2007.
Cible en Algérie : ambassades.
Pr Noufeyle HADID 23
Opération « Equation Group" :
Attaque découverte par : Kaspersky en février 2015.
Active : depuis le début des années 2000.
Cibles en Algérie : Energie et infrastructure.
Pr Noufeyle HADID 24
Axe N° 3 :
Les enjeux de la cybercriminalité pour l’entreprise
Pr Noufeyle HADID 25
Quelques statistiques en rapport avec les
cybermenaces contre les entreprises :
Selon une étude menée auprès de 10 000 entreprises au niveau mondial présentée dans le rapport sécurité 2014 de "Check Point" :
33% des entreprises ont téléchargé au moins un fichier infecté.
84% des entreprises ont téléchargé des logiciels malveillants.
et dans 73% des entreprises, au moins un Bot a été détecté.
88% des entreprises ont subi au moins un incident de fuite de données.
Toutes les 60 secondes, des postes de travail accèdent aux sites web
malveillants.
Toutes les 10 minutes, un poste de travail télécharge un logiciel
malveillants.
2 malwares frappent les entreprises toutes les heures.
Pr Noufeyle HADID 26
1. Enjeux financiers :
une désorganisation du fonctionnement de l’entreprise (à cause de
l'endommagement du système d’information).
le coût de réparation du matériel et les frais de sécurisation du
système informatique.
Les enjeux en matière de cybercriminalité pour l’entreprise sont
considérables, et il est possible de les classer en 3 catégories:
diminution du chiffre d’affaires.
et la perte de l’avantage concurrentiel.
remboursement des pertes de ses clients (à cause des fuites des
données sensibles).
frais de procès et paiement des amandes.
Pr Noufeyle HADID 27
2. Enjeux juridiques :
Une responsabilité juridique qui peut être engagée (des sanctions
pour atteintes à la vie privée).
3. Enjeux en rapport avec la réputation de l’entreprise :
Une dégradation de sont image et de sa réputation numérique
(e-reputation) vis-à-vis du public, de ses clients et de ses
collaborateurs.
Pr Noufeyle HADID 28
Cas réels de cyberattaques contre les entreprises
Avril 2014:
Le piratage des données bancaires de 56 millions de cartes bancaires de
la chaîne de bricolage américaine Home Depot.
Impact : perte de plus de 43 millions de dollars (frais de
procès, d’enquêtes, de réparation et de sécurisation du
systèmes informatique, etc.)
Février/Mars 2014:
Le piratage des données personnelles de 145 millions d’utilisateurs de la
plateforme d’eBay.
Impact : perte de confiance des clients, diminution du pourcentage
d’activité sur la plateforme, diminution du chiffre d’affaires.
29
La cyberattaque de :
"Sony Picture"
Février 2014 :
Piratage de plus de 110 To de données (les données de près de 47 000
employés, et des données relatives à l’entreprise (film non-diffusé et
script de futures séries).
Le 21 novembre 2014 :
L’entreprise reçoit un courrier électronique de demande de rançon. Elle
refuse de payer.
Le 24 novembre 2014 :
Un malware infecte tous les postes de travail et 75% des serveurs de
l’entreprise. L’activité de l’entreprise est paralysée.
Pr Noufeyle HADID
30
Impact de la cyberattaque sur "Sony Pictures"
1. révélation des salaires des dirigeants.
2. révélation des informations personnelles des employés.
4. divulgation d’informations stratégiques (savoir-faire, procédures, etc.).
8. perte de contrôle des comptes Twitter et Facebook.
9. dépôts de plainte et poursuite judiciaire.
5. divulgation des contrats.
7. 19% de perte pour chaque film diffusé sur Internet (sur les 5 piratés).
3. révélation d’informations techniques sur le système informatique.
10. et plus de 5 semaines de paralysé du système informatique.
6. coûts de réparation et frais de sécurisation du système informatique.
Pr Noufeyle HADID
Pr Noufeyle HADID 31
Axe N° 4 :
Aspects d’une politique de protection de l'information
Pr Noufeyle HADID 32
Pour faire face à la cybercriminalité et de ses techniques qui sont
de plus en plus variées et sophistiquées, l’entreprise devra bâtir une
politique de protection adéquate reposant sur trois finalités :
l’intégrité, la confidentialité et la disponibilité du système d’information.
la confidentialité des données :
l'intégrité des données :
et la disponibilité des données.
Il s'agit de garantir à la fois :
Pr Noufeyle HADID 33
Ces éléments sont appelés "les principes fondamentaux de la sécurité de l’information" ou CIA Triad, pour Confidentiality, Integrity and Availability.
CIA Triad (la triade CIA)
Pr Noufeyle HADID 34
Cette politique se décline en trois niveaux :
1. Le niveau stratégique :
En définissant les objectifs globaux de la sécurité, et qui découle de:
l’établissement de l’état des lieux ;
la hiérarchisation des données selon leur importance stratégique ;
et l’analyse des risques.
Dans cette phase, l’entreprise devra tenir compte des normes universelles en rapport avec la sécurité de l’information, telles que :
La norme ISO/IEC 21001:2013 : Exigences des systèmes de management
de la sécurité de l'information.
Et la norme ISO/IEC 27002 :2013 : Code de bonnes pratiques
pour la gestion de la sécurité de l'information.
Pr Noufeyle HADID 35
2. Le niveau organisationnel :
le plan de secours ;
En définissant :
et le rôle de chaque membre du personnel.
la charte utilisateur ;
Pr Noufeyle HADID 36
3. Le niveau technique :
Mise en place des moyens de protection :
plan de sauvegarde (fréquence et type de sauvegarde) ;
sécurité logique (anti-malwares, chiffrement, etc.) ;
sécurité physique (sécurité des locaux) ;
sans oublier le facteur humain (établissement de règles
élémentaires, comme ne pas noter son mot de passe sur un papier).
Pr Noufeyle HADID 37
Ces outils sont utilisés dans la gestion des parcs d’appareils mobiles
hétérogènes, type BYOD, à l’aide d’une plate-forme d’administration
supportant des systèmes variés : Windows 10, Windows phone, iOS, Android,
BlackBerry OS, etc.
1. Les outils de Mobile Device Management (MDM)
Quels sont les principales solutions techniques à utilisées ?
Pr Noufeyle HADID 38
La DSI doit protéger les différents réseaux permettant l’accès au système d’information de l’entreprise à l’aide des VPN sécurisés et le filtrage des adresses URL.
2. Les VPN (Virtual Private Network)
Pr Noufeyle HADID 39
3. Les Pare-feux et les anti-malwares
La DSI doit sécuriser les données présentes sur les serveurs, les ordinateurs et les appareils mobiles à l’aide des pare-feux et des logiciels anti-malwares.
40 Pr Noufeyle HADID
Conclusion
La technologie de l’information et de la communication et un outil
de modernisation de l’entreprise, de l'administration et de l'État.
Néanmoins, il faut tenir compte des cybermenaces et des cyber-risques.
Selon Bruce Schneir, Expert américain en cybersécurité :
Et il est également important de comprendre que ces cybermenaces ne
peuvent pas être éliminées, mais que les cyber-risques peuvent être gérés.
Pr Noufeyle HADID 41
Mais malgré les cybermenaces très évidentes, l’attitude à l’égard des
cyberattaques demeure celle-ci : « Ça ne m’arrivera pas à moi ».
Conclusion
La réalité des cyberattaques ne consiste pas à se demander « si » cela se
produira, mais bien « quand » cela se produira et « par qui ».
Il faut donc déplacer les efforts sur comment les entreprises et les
gouvernements peuvent résister et réagir à une cyberattaque réussie
(c’est l’objectif de la cyber-résilience ).