La sécurité numérique

de l’entrepriseL’effet papillon du hacker

1 Pierre-Luc RéfaLo

© Groupe Eyrolles, 2013 ISBN : 978-2-212-55525-7

Sommaire

Avertissement ................................................................................................11

Préambule ......................................................................................................13

Introduction ..................................................................................................23

Première Partie Tout est risque à l’ère du numérique ....................................33

Chapitre 1 - Au cœur de la complexité ......................................................35L’écosystème des entreprises .................................................................35L’entreprise numérique et ses risques ....................................................36

Chapitre 2 - Les risques numériques : défis du xxie siècle .......................39Des risques naturels aux risques psychologiques… et numériques ....39De Mafiaboy à Zeus, ou l’essor des botnets et l’avènement des groupes cybercriminels ....................................................................41De « I Love You » à Conficker, ou l’industrialisation du malware ..........42De l’infrastructure à l’information ou le ciblage de l’attaque ...............44De Serge Humpisch à Albert Gonzales ou comment l’économie de la cybercriminalité impose sa loi .......................................................46Vieille comme le monde : l’ingénierie sociale .......................................48Des perspectives au cœur de la globalisation .......................................49

Chapitre 3 - Au-delà des risques, les réponses juridiques ........................53De la protection des données et du secret à la dissuasion/sanction ..53

Chapitre 4 - Au-delà des risques et des lois, les réponses du marché .....69Un marché privilégié qui entre dans la crise… ......................................69De l’antivirus à l’anti-tout… À l’anti-rien ? ..............................................71De l’application des correctifs à la gestion des vulnérabilités : une quête sans fin ? ..................................................................................72De la défense périmétrique à la défense en profondeur : les leçons de l’histoire .............................................................................74De la détection/prévention d’intrusion au SIEM : boucler la boucle ...76Des tendances fortes pour un marché à bout de souffle  ....................77

Chapitre 5 - Les dés sont jetés .....................................................................79

6 La sécurité numérique de l’entreprise

© G

roup

e Ey

rolle

s

Deuxième Partie La fonction sécurité SI : à la croisée des chemins .........81

Chapitre 1 - La sécurité numérique au cœur de la sécurité globale ........83Des changements structurels ..................................................................83Le concept de sécurité globale ..............................................................85La démarche engagée en France ...........................................................87

Chapitre 2 - Les mutations de l’univers de la sécurité numérique ..........91Essence de la fonction sécurité SI ..........................................................91Une question de pouvoirs .......................................................................93Trois axes clés : gouvernance, culture et économie ..............................95

Chapitre 3 - Une fonction désormais reconnue, mais… ..........................97… immature et en quête de professionnalisation .................................97… aux activités très variées et en manque de structuration .................98Aujourd’hui incontournable voire stratégique ....................................100Désormais sous la menace… ................................................................101

Chapitre 4 - De Doctor No à « Yes we can » ..........................................105S’il était un animal, le RSSI serait un caméléon ...................................105Six enjeux cadrant son champ d’action ...............................................106Attraits et dangers de la transversalité et du pilotage .......................107Impacts des normes ISO/IEC 2700x sur la sécurité des SI ..................108Trop d’activités pour pas assez de résultats ? ......................................110S’il était un métier, le RSSI serait missionnaire ou médecin ...............111

Chapitre 5 - Le RSSI un « faux métier » pris en étau… ........................115Entre menaces et opportunités ............................................................115Intelligence économique et cyberdéfense ..........................................116Conformité et protection des données personnelles .........................117Dématérialisation et confiance numérique ..........................................119Des devoirs et des pouvoirs ..................................................................120

Chapitre 6 - Un pas vers une meilleure gouvernance .............................123Stratégie vs opérations ..........................................................................123Sécurité numérique vs sécurité du business ........................................124Disponibilité vs confidentialité ..............................................................125

troisième Partie Que restera-t-il du secret ? .........................................................127

Chapitre 1 - Confidentialité, secret et vie privée ....................................129

© G

roup

e Ey

rolle

s

Sommaire 7

Chapitre 2 - Retour aux sources ...............................................................133L’ère numérique : de l’âge de pierre à l’âge du silicium .....................133La science du secret ...............................................................................135Trois questions clés ................................................................................136Distinguer secret et confidentialité ......................................................137La réalité des faits ..................................................................................138

Chapitre 3 - Importance de la sociologie.................................................141Les trois sphères : professionnelle, privée, publique ..........................141Les trois générations : baby-boomers, génération X, génération Y ..143Quelle place pour la cyberéthique ? .....................................................146Trois invariants : gouvernance, culture, économie ...............................147

Chapitre 4 - Au cœur du management des organisations .....................149La transparence comme valeur de l’ère numérique ? .........................149La transparence : symptôme démocratique de l’entreprise ...............151La tension secret/transparence .............................................................153

Chapitre 5 - La législation « secret » et « confidentialité » : entre « trop-plein » et « manque » .........................................................155

Définitions ...............................................................................................155Secret bancaire et secret médical .........................................................158Secret des correspondances .................................................................159Les hypothèses d’atteintes ....................................................................160Quelles perspectives ? ...........................................................................161

Chapitre 6 - Normes et référentiels « Sécurité » : un langage enfin partagé ? ..........................................................................165

Le poids grandissant des normes .........................................................165La méthode EBIOS.................................................................................167Le référentiel général de sécurité .........................................................168L’IGI 1300 .................................................................................................169

Chapitre 7 - Le secret et la confidentialité en pratique ..........................171Une boîte à outils à l’efficacité incertaine… ........................................171Le chiffrement : pour quels usages ? .....................................................172Les atteintes à la confidentialité et au secret ......................................173De l’importance de la réglementation… .............................................174Les questions en suspens ......................................................................175

Chapitre 8 - Mission impossible ? .............................................................177La fin du secret ? .....................................................................................177Gérer la confidentialité ..........................................................................177Le poids des lois – le choc des normes ................................................178Pas de classification sans acculturation ................................................178

8 La sécurité numérique de l’entreprise

© G

roup

e Ey

rolle

s

Quatrième Partie Acculturation « sécurité numérique » ..................................181

Chapitre 1 - La clé du facteur humain .....................................................183Tout est risque ! Et rien n’est sûr… .......................................................184Sentiment de sécurité et marché de l’insécurité, ou l’inverse ? .........185De la parole aux actes ...........................................................................187Les trois axes : communiquer, sensibiliser, former ...............................189De l’inconscience à la malveillance ......................................................189

Chapitre 2 - Culture et culture des risques ..............................................191Qu’est-ce que la culture ? ......................................................................191La culture du risque numérique ............................................................192Individuel vs collectif ..............................................................................195

Chapitre 3 - État de la culture de la sécurité numérique ........................197Critères d’évaluation ..............................................................................197Enjeux majeurs et risques redoutés......................................................197La culture du pilotage ............................................................................198La culture de l’action ..............................................................................200La culture des synergies ........................................................................201Les cinq points de la culture des risques numériques .........................................................................203

Chapitre 4 - Vers un processus d’acculturation .......................................205De quoi parle-t-on ? ...............................................................................205Une boîte à outils complète mais à bien exploiter .............................207Gouvernance et pédagogie ..................................................................210Évaluation et économie .........................................................................213« Best of » de la communication/sensibilisation ..................................214Implication des pouvoirs publics et des acteurs privés ......................216

Chapitre 5 - Entre culture des risques et culture de crise ......................219

CinQuième Partie Dépenser moins ou dépenser mieux ? ...............................223

Chapitre 1 - Culture du risque et principe de précaution .....................225On protège ce qui a de la valeur ..........................................................225Une question de professionnalisation ..................................................226Une des clés du futur .............................................................................227Marché contre démocratie ....................................................................229

Chapitre 2 - Création d’un nouveau marché ...........................................233Les cinq phases d’évolution du marché ...............................................233Les questions clés de l’économie de la sécurité numérique ..............234

© G

roup

e Ey

rolle

s

Sommaire 9

Chapitre 3 - Apports des travaux européens ...........................................239Université de Cambridge ......................................................................239Les travaux de l’ENISA ...........................................................................241Les travaux du Cercle européen de la sécurité ...................................243

Chapitre 4 - Connaître ce qu’on dépense ................................................245Pas si simple que cela… ........................................................................245Le champ de la consolidation ...............................................................246Utilité et pertinence des dépenses de fonctionnement .....................246Quelle progression des dépenses ?......................................................248Types de dépenses prioritaires en 2010-2011 ......................................248Facteurs d’augmentation des dépenses ..............................................250

Chapitre 5 - Indicateurs ratios des dépenses ...........................................253Une innovation porteuse d’espoir ........................................................253Les ressources humaines de pilotage de la sécurité numérique .......254Les actions d’acculturation ....................................................................255La protection des postes de travail ......................................................256Pratiques de contrôle et audit ..............................................................257Processus de gestion des accès logiques ............................................258De grandes inégalités face à l’achat ....................................................259Une place de marché traditionnelle .....................................................260

Chapitre 6 - Impacts économiques des incidents ...................................261Incidents vécus et quête du risque zéro ..............................................261Analyse d’impact économique .............................................................262Le rôle limité de l’assurance ..................................................................263

Chapitre 7 - Trois évolutions structurelles ..............................................265Pression croissante sur le marché .........................................................265L’impact du cloud computing ...............................................................266Trois processus de gestion de la sécurité numérique ........................267Au-delà de la politique sécurité............................................................267

Conclusion - Que restera-t-il de la sécurité numérique ?.......................269

Annexes - Associations et groupes de travail ...........................................285

Bibliographie ...............................................................................................286

Remerciements ...........................................................................................289

Index .............................................................................................................291