Sujet élaboré par une cellule pédagogique nationale

CONCOURS INTERNE D’INGÉNIEUR TERRITORIAL

SESSION 2019

ÉPREUVE DE PROJET OU ÉTUDE

ÉPREUVE D’ADMISSIBILITÉ :

L’établissement d’un projet ou étude portant sur l’une des options, choisie par le candidat lors de son inscription, au sein de la spécialité dans laquelle il concourt.

Durée : 8 heures Coefficient : 7

SPÉCIALITÉ : INFORMATIQUE ET SYSTÈMES D’INFORMATION

OPTION : RÉSEAUX ET TÉLÉCOMMUNICATIONS

À LIRE ATTENTIVEMENT AVANT DE TRAITER LE SUJET :

Vous ne devez faire apparaître aucun signe distinctif dans votre copie, ni votre nom ou un nom fictif, ni initiales, ni votre numéro de convocation, ni le nom de votre collectivité employeur, de la commune où vous résidez ou du lieu de la salle d’examen où vous composez, ni nom de collectivité fictif non indiqué dans le sujet, ni signature ou paraphe.

Sauf consignes particulières figurant dans le sujet, vous devez impérativement utiliser une seule et même couleur non effaçable pour écrire et/ou souligner. Seule l’encre noire ou l’encre bleue est autorisée. L’utilisation de plus d’une couleur, d’une couleur non autorisée, d’un surligneur pourra être considérée comme un signe distinctif.

L’utilisation d’une calculatrice de fonctionnement autonome et sans imprimante est autorisée.

Le non-respect des règles ci-dessus peut entraîner l’annulation de la copie par le jury.

Les feuilles de brouillon ne seront en aucun cas prises en compte.

Ce sujet comprend 80 pages dont 2 annexes.

Il appartient au candidat de vérifier que le document comprend le nombre de pages indiqué.

S’il est incomplet, en avertir le surveillant.

Vous répondrez aux questions suivantes dans l’ordre qui vous convient, en indiquant impérativement leur numéro. Vous répondrez aux questions à l’aide des documents et de vos connaissances. Des réponses rédigées sont attendues et peuvent être accompagnées si besoin de tableaux, graphiques, schémas …

Vous êtes ingénieur territorial au sein de la Direction des Systèmes d’Information (DSI) du

département d’INGEDEP (2 500 agents) dont le Système d’Information (SI) a été victime

récemment d’une cyber-attaque de type « Ransomware » de gravité moyenne et sans

conséquence majeure.

Conscient de l’évolution des menaces en matière de cybersécurité, le Directeur des

Systèmes d’Information (DSI) s’engage dans un projet global d’audit et de renforcement du

niveau de sécurité du SI. Par ailleurs, la direction générale s’interroge sur les nombreux

investissements réalisés dans le domaine de la sécurité du SI et sur la continuité d’activité

de la collectivité en cas de sinistre.

À l’aide des annexes, vous répondrez aux questions suivantes :

Question 1 (5 points)

Différentes solutions de sécurité ont été mises en place et le DSI s’interroge sur l’empilement

de ces solutions techniques et leur capacité de réponse à l’ensemble des menaces qui

peuvent toucher le SI d’INGEDEP. En ce sens, le DSI vous confie le projet d’audit et de

renforcement de la sécurité du SI et vous demande :

a) d’établir un état des lieux de la sécurité du SI d’INGEDEP, en en soulignant les faiblesses

mais aussi les atouts. (3 points)

b) d’identifier les menaces émergentes et les solutions à déployer en matière de virus.

(2 points)

Question 2 (6 points)

INGEDEP a souhaité auditer sa chaîne de protection antivirale. Sur la base des conclusions

de cet audit (annexe 2), de votre état des lieux (question 1a) et des solutions existantes pour

répondre aux nouveaux risques (question 1b), vous présenterez :

a) l’architecture et l’organisation cible permettant de répondre aux problèmes recensés.

(3 points)

b) la démarche projet préconisée permettant de mettre en œuvre cette nouvelle architecture

cible. (3 points)

Question 3 (3 points)

L’analyse de la récente cyber-attaque démontre que le facteur humain est au centre de la

sécurité et doit être pris en compte dans la gestion des risques du SI.

Vous présenterez un plan de mesures de responsabilisation et de sensibilisation permettant

de mieux communiquer sur les bonnes pratiques informatiques et d’améliorer les réflexes

des utilisateurs du SI face à des actions malveillantes.

Question 4 (3 points)

L’étude des risques sur les architectures techniques du SI d’INGEDEP a mis en évidence la

complexité et la vulnérabilité de la plate-forme de sauvegarde ainsi que sa capacité à

2/80

satisfaire à l’évolution croissante des données de la collectivité. Les objectifs pour la

direction des systèmes d’information sont la recherche d’une solution fonctionnelle plus

efficace et garantissant la sécurité des données et la maîtrise des coûts d’exploitation.

Dans ce cadre, une migration totale ou partielle vers une solution de sauvegarde « cloud »

est envisagée notamment pour les environnements et données de test.

Vous présenterez les avantages et inconvénients d’une telle solution dans le « cloud » ainsi

que les enjeux juridiques, techniques et financiers.

Question 5 (3 points)

Le DSI doit présenter le projet aux élus et vous demande de préparer une note de synthèse

reprenant l’ensemble des éléments permettant de valider les propositions de renforcement

de son niveau de sécurité.

Liste des documents :

Document 1 : « Comment se prémunir de ces menaces ? » - ANSSI - ssi.gouv.fr -

consulté le 5 avril 2019 - 1 page

Document 2 : « Les 10 chapitres du guide d’hygiène informatique de l’ANSSI » -

Pierre-Alexandre Conte - lagazettedescommunes.com -

23 février 2017 - 2 pages

Document 3 : « Cybersécurité : les collectivités territoriales, des cibles potentielles

sous surveillance » - Pierre-Alexandre Conte -

lagazettedescommunes.com - 23 février 2017 - 4 pages

Document 4 : « Cybersécurité : attaques informatiques en cours et bonnes

pratiques » (extrait) - lyon-metropole.cci.fr - consulté le 10 mai 2019 - 4

pages

Document 5 : « Les collectivités territoriales cibles des pirates informatiques » -

Pierre-Alexandre Conte - lenetexpert.fr - 27 février 2017 - 3 pages

Document 6 : « Mathieu Vigneron, Atos : éviter les empilements de solutions de

sécurité et de favoriser les solutions orchestrables » - Marc Jacob -

Global Security Mag - octobre 2018 - 3 pages

Document 7 : « Comment appliquer le principe du Privacy by Design ? » (extrait) -

Livre Blanc - ageris-consulting.com - 2 avril 2016 - 12 pages

Document 8 : « Méthode et outils à l’usage des équipes projet : Agilité & sécurité

numériques » (extrait) - ANSSI - octobre 2018 - 30 pages

Document 9 : « Former et sensibiliser les agents à la sécurité informatique pour

réduire les risques » - Pierre-Alexandre Conte -

lagazettedescommunes.com - mis à jour le 23 février 2017 - 2 pages

Document 10 : « Prendre en compte et maîtriser le facteur humain dans la SSI » -

Fiche SSI PRATIC N°9 - assuris.fr - janvier 2010 - 3 pages

Document 11 : « "Cloud" et souveraineté numérique : le débat fait rage » - Pierre-

Alexandre Conte - lagazettedescommunes.com - 27 février 2017 -

2 pages

3/80

Document 12 : « Le PRA et le PCA revisités par le Cloud » - Olivier Bouzereau -

Solutions Numériques N°20 - 11 juin 2018 - 5 pages

Liste des annexes :

Annexe 1 : « Présentation générale des infrastructures » - INGEDEP - février 2019

- 3 pages

Annexe 2 : « Rapport d'audit de sécurité du Système d'Information (SI) » -

INGEDEP - février 2019 - 2 pages

Documents reproduits avec l’autorisation du C.F.C.

Certains documents peuvent comporter des renvois à des notes ou à des documents

non fournis car non indispensables à la compréhension du sujet.

4/80

ADMINISTRATION > PRINCIPALES MENACES > COMMENT SE PRÉMUNIR DE CES MENACES ?

COMMENT SE PRÉMUNIR DE CES MENACES ?

L’application des mesures d ’hygiène préconisées par l ’ANSSI, auxquelles le Centre de cyberdéfense a contribuéen apportant son expérience opérationnelle, permettrait d ’éviter plus de 80 % des attaques informatiquesrencontrées.

La quasi-totalité des autres pourraient être évitées en exploitant de façon plus approfondie les guides et recommandations de l’agence.

Au quotidien, les principales lacunes de sécurité constatées par le Centre de cyberdéfense sont :

des systèmes et des applications, dont les sites Web, qui ne sont pas à jour de leurs correctifs de sécurité

une politique de gestion des mots de passe insuffisante (mots de passe par défaut ou trop simples et non renouvelés régulièrement…)

une absence de séparation des usages entre utilisateur et administrateur des réseaux

un laxisme manifeste dans la gestion des droits d’accès

une absence de surveillance des systèmes d’information (analyse des journaux réseaux et de sécurité)

un cloisonnement insuffisant des systèmes qui permet à une attaque de se propager au sein des réseaux

une absence de restrictions d’accès aux périphériques (supports USB…)

une ouverture excessive d’accès externes incontrôlés au système d’information (nomadisme, télétravail ou télé administration des systèmes)

une sensibilisation et une maturité insuffisantes des utilisateurs et des dirigeants face à la menace dont ils ne perçoivent pas les risques.

ANSSIAgence nationale de lasécurité des systèmesd'information

DOCUMENT 1

ssi.gouv.fr - consulté le 5 avril 2019

5/80

DOSSIER : Sécurité informatique : comment se protéger ?www.lagazettedescommunes.com

SÉCURITÉ INFORMATIQUE

Les 10 chapitres du guide d’hygiène informatique de l’AnssiPierre-Alexandre Conte | Dossiers d'actualité | France | Publié le 23/02/2017

L’Agence nationale de la sécurité des systèmes d'information a publié un Guide d’hygiène informatique, dont les mesures « sont la transposition dans le monde numérique de règles élémentaires de sécurité sanitaire ».

01 – Sensibiliser et former.L’Agence nationale de la sécurité des systèmes d’information (Anssi) recommande de sensibiliser les utilisateurs aux bonnes pratiques en termes de sécurité informatique, mais aussi de former les équipes opérationnelles pour éviter les erreurs générant des failles. Maîtriser les risques de l’infogérance en se posant les bonnes questions en amont est également important.

02 – Connaître le système d’information (SI).Protéger efficacement les données sensibles nécessite de les identifier. Cela permet ensuite de localiser les postes à risque. Il faut aussi disposer d’un inventaire complet des comptes bénéficiant de droits étendus, veiller aux départs, aux arrivées et aux changements de fonctions. Enfin, les équipements qui s’y connectent doivent être maîtrisés.

03 – Authentifier et contrôler les accès.L’Anssi incite à prêter attention au rôle de chaque personne, à attribuer les bons droits sur les ressources sensibles. Concernant l’accès au SI, les mots de passe doivent être correctement dimensionnés et, si besoin, stockés dans un endroit sécurisé. Lorsque cela est possible, l’authentification la plus forte doit être privilégiée.

04 – Sécuriser les postes.Cette mesure implique de mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique, de configurer un pare-feu avec précaution, de chiffrer les données sensibles transmises par internet, de proscrire l’utilisation de supports amovibles tels que les clés USB et d’homogénéiser les politiques de sécurité.

DOCUMENT 2

6/80

Outre le fait de protéger l’accès physique aux serveurs et aux locaux techniques, l’Anssi recommande de veiller à segmenter et à cloisonner le réseau pour éviter que toutes les machines soient liées entre elles. Utiliser des protocoles réseaux sécurisés, protéger la messagerie professionnelle, font partie des autres conseils.

06 – Sécuriser l’administration.La navigation sur internet comporte de nombreux risques. Il convient donc d’interdire l’accès au web depuis les postes ou serveurs utilisés pour l’administration du SI. L’utilisation d’un réseau dédié et cloisonné est encouragée. Par ailleurs, il faut limiter au strict besoin opérationnel les droits d’administration.

07 – Gérer le nomadisme.

Il faut prendre des mesures de sécurisation physique, mais aussi chiffrer les données sensibles en cas de perte dumatériel nomade. S’assurer de la sécurisation de la connexion de l’appareil au réseau du SI est aussi crucial. Plusglobalement, adopter des politiques de sécurité dédiées aux terminaux mobiles apparaît indispensable.

08 – Maintenir le système d’information à jour.Les failles contenues dans les logiciels sont particulièrement dangereuses. Mais elles sont progressivement corrigées. Aussi, il est important de s’équiper des versions les plus récentes des différents outils pour minimiser les risques. Anticiper la fin de leur maintenance est également essentiel.

09 – Superviser, auditer, réagir.L’Anssi préconise, si possible, de désigner un RSSI, mais aussi de procéder régulièrement à des contrôles et audits de sécurité. Il convient également de mettre en place une politique de sauvegarde des composants critiques. En cas d’incident, disposer d’une procédure de gestion s’avère essentiel pour éviter de commettre des erreurs.

10 – Privilégier l’usage des produits et services qualifiés par l’Anssi.L’agence propose une liste de produits et de prestataires qualifiés par ses soins. Elle encourage l’utilisation de ces derniers pour toute entité, car elle estime qu’il s’agit du seul gage d’une étude sérieuse et approfondie du fonctionnement technique de la solution et de son écosystème.

REFERENCES

Guide d'homologation des systèmes d'information (Anssi)Référentiel général de sécurité (RGS)Guide d'hygiène informatique

05 – Sécuriser le réseau.

7/80

DOSSIER : Sécurité informatique : comment se protéger ?www.lagazettedescommunes.com

SÉCURITÉ INFORMATIQUE

Cybersécurité : les collectivités territoriales, des cibles potentielles sous surveillancePierre-Alexandre Conte | Dossiers d'actualité | France | Publié le 23/02/2017

Si elles n’en ont pas toujours conscience, les collectivités territoriales peuvent bel et bien être victimes de cyberattaques. Et ce, pour de multiples raisons. En cas de faute avérée, les sanctions encourues peuvent devenir particulièrement difficiles à assumer.

Une République numérique. C’est ainsi qu’a été baptisée la loi portée par l’actuelle secrétaire d’Etat chargée du numérique, Axelle Lemaire, parue le 8 octobre 2016 au « Journal officiel ». Un nom ô combien symbolique et révélateur de la profondeur de la transformation vécue par l’ensemble de la société.Celle-ci touche naturellement les collectivités territoriales, qui bénéficient des multiples avantages qu’elle génère, mais qui doivent, dans le même temps, composer avec de nouvelles obligations. Parmi elles, figure en tête de liste la sécurisation de leur système d’information.

En préambule de son rapport d’activité annuel paru en 2016, l’Agence nationale de la sécurité des systèmes d’information (Anssi) introduisait le sujet comme suit : « Les technologies numériques procurent des gains de productivité et sont donc source de richesse et de compétitivité pour notre pays, mais elles induisent également des vulnérabilités nouvelles. La cybersécurité est devenue, de ce fait, une condition structurante, non seulement de la sauvegarde de notre patrimoine économique et intellectuel, mais aussi de la protection physique de nos concitoyens. » Des propos signés Louis Gautier, secrétaire général de la défense et de la sécurité nationale.

50 %

Dans son rapport d’activité concernant l’année 2015, l’Anssi explique avoir reçu 4 000 signalements, soit 50 % de plus qu’en

2014. L’Agence a aussi dû traiter une vingtaine d’incidents de sécurité majeurs.

Les sites web en première ligne

La première erreur en matière de sécurité informatique consiste à penser qu’une collectivité, quelle que soit sanature, n’a aucune raison d’être la cible d’une attaque. C’est pourtant un raisonnement fréquemment rencontréau sein des petites et moyennes communes, qui considèrent parfois qu’elles ne détiennent rien qui puisse

DOCUMENT 3

8/80

intéresser d’hypothétiques assaillants. « Comme tout un chacun qui dispose d’une visibilité sur internet, les collectivités territoriales peuvent faire partie des victimes d’une vague d’attaques, précise Guy Flament, référent de l’Anssi au sein de la région Nouvelle Aquitaine.

Leur présence sur internet, notamment par le biais de leurs sites web, offre des surfaces pour les attaquants, qui peuvent leur permettre d’afficher des messages de revendication ou de propagande. Ensuite, les collectivités subissent des attaques par des « rançongiciels » qui prennent en otage leur système d’information et offrent de le libérer contre une rançon. En ce qui concerne les autres menaces informatiques que peuvent être le sabotage ou l’espionnage, elles ne sont pas, pour le moment, particulièrement visées. Mais elles pourraient le devenir, notamment à cause du nombre de données à caractère personnel qu’elles hébergent. »

Plusieurs milliers de sites Internet de communes mal sécurisés

Les collectivités territoriales brassent en effet de plus en plus de données, dont certaines s’avèrent particulièrement sensibles. Elles sont au cœur de toutes les préoccupations, comme en témoignent les nombreux articles qui leur sont consacrés au sein de la loi pour une République numérique. Il convient donc de les protéger. « Les collectivités détiennent notamment l’état civil. Il ne faudrait pas qu’un jour ces fichiers puissent être modifiés par des attaquants. Les comptes de la commune intéressent aussi les gens et tout ce qui touche aux dossiers de consultation publique », lance Guy Flament.

Sanctions pénalesLa protection des données du citoyen est garantie par la loi « informatique et libertés ». C’est évidemment la Commission nationale de l’informatique et des libertés (Cnil) qui veille au respect de cette dernière. Ses compétences ont été élargies par la loi pour une République numérique.

Sur le plan financier, les collectivités encourent une amende pouvant s’élever jusqu’à 3 millions d’euros ; ce n’est pas rien ! La Cnil peut aussi ordonner que l’organisme sanctionné informe à ses frais les victimes. La loi prévoit par ailleurs la possibilité de sanctionner pénalement les maires, les présidents de conseils régionaux et de conseils généraux en cas de manquement grave, comme le fait de ne pas prendre les mesures nécessaires pour garantir la confidentialité des informations ou l’utilisation de ces dernières à d’autres fins.

A partir du mois de mai 2018, les collectivités devront appliquer le règlement européen sur le sujet. Concernant ce dernier, selon Pierre Deprez, avocat du cabinet DS avocats dans le département « droit de la propriété intellectuelle, technologies numériques et data », on parle d’un « changement de paradigme ». Cela signifie le passage « d’un régime de déclaration et d’autorisation des traitements à un régime d’accountability, d’autoresponsabilité ».

Les communes devront conserver « une trace des moyens techniques et organisationnels qu’elles auront mis en œuvre pour assurer la sécurité des données », dans le but de montrer patte blanche en cas de contrôle.

Mais les données ne sont pas l’unique préoccupation des collectivités. D’autres domaines requièrent leur attention, à l’image des objets connectés. Ce sont de formidables outils, mais ils peuvent aussi se retourner contre ceux qui les utilisent.

« Les objets connectés, comme les smartphones il y a quelques années, représentent une augmentation de la surface d’attaque puisqu’ils sont, par nature, connectés à internet. Si ces objets ne sont pas correctement configurés et sécurisés, ils offrent une porte d’entrée à d’éventuels attaquants », précise Guy Flament.

9/80

« L’émergence des outils connectés implique de prendre ses précautions, déclare de son côté Olivier Fouqueau, directeur général des services d’Infocom94, syndicat intercommunal informatique du Val-de-Marne. Quand une direction générale des services techniques, voire un élu, décide que c’est super d’équiper toutes les places de parking d’un capteur pour permettre de savoir, à distance, par le biais de son téléphone portable, s’il y a une place pour se garer, mais qu’il n’y a pas de sécurité autour, cela peut très vite devenir difficile à gérer. »

Les rapports affirmant que la cybercriminalité est en constante augmentation sont rendus publics de manière quasi quotidienne. Pour autant, il n’est pas si évident de trouver une collectivité territoriale qui accepte de faire part d’une mauvaise expérience. La raison est simple : elle relève de la peur de voir son image se détériorer. C’est là l’un des principaux risques encourus, notamment par les villes.

« Il ne se passe pas une journée sans qu’il y ait un site internet défiguré dans la région », déplore le référent de l’Anssi en Nouvelle Aquitaine. En cas de pertes de données et de responsabilité avérée, le règlement européen demandera également aux collectivités, en 2018, d’informer le public quant à ses failles de sécurité. Si les communes sont concernées par leur image, elles doivent en plus composer avec l’inaccessibilité de leur site. Ce qui peut altérer de manière plus ou moins grave la mission de service public.

La perte peut aussi être financière, notamment s’il y a demande de rançon, les sommes demandées étant, la plupart du temps, élevées.

« Le sujet de la sécurité est souvent diabolisé, regrette Frank Mosser, expert dans le domaine de la cybersécurité et président de MGDIS, société éditrice de services logiciels de pilotage et de valorisation de l’action publique, basée à Vannes. Quand ça fait trop peur, on a tendance à mettre la tête dans le sac et à faire l’autruche. Il y a quelques années, ce n’était pas si grave que cela. Là, ça le devient un peu plus. »

Le « rançongiciel », fléau international en pleine expansionExtorsion Tout le monde ou presque a entendu parler de Locky. Ce « ransomware » – « rançongiciel » en

français – s’est rendu populaire en faisant de nombreuses victimes au cours de l’année passée. Une fois activé

sur l’ordinateur de la personne visée, ce dernier chiffre les données et demande une somme d’argent en

échange de leur restitution. S’il reste l’exemple le plus connu, Locky n’est pas un cas unique. Loin de là.

290 millions de dollars – Le FBI estime que durant le premier trimestre de l’année 2016, environ 209 millions de

dollars ont été extorqués par le biais de « rançongiciels ». Aux Etats-Unis, le Hollywood Presbyterian Medical

Center a fait partie des victimes au mois de février 2016. Paralysé pendant plus d’une semaine, il avait fini par

débourser la somme de 17 000 dollars pour reprendre une activité normale. Et ce, après avoir dû envoyer de

nombreux patients vers d’autres établissements.

Une mésaventure similaire est arrivée trois mois plus tard au Kansas Heart Hospital. Mais cette fois, après avoir

payé la rançon, l’hôpital n’a pas pu récupérer ses fichiers. Pire, une seconde somme d’argent lui a été demandée.

Fin janvier, c’est la police de Washington qui s’est aperçue que le réseau de vidéosurveillance de la ville ne

fonctionnait plus correctement. Avant de prendre connaissance du problème : depuis le 12 janvier, un «

ransomware » avait commencé à faire son œuvre, paralysant 123 des 187 caméras utilisées. En cherchant la

source du dysfonctionnement, des enquêteurs sont tombés un peu plus tard sur un message les invitant à payer

une somme. Ce qui n’a pas été fait. Le réseau a été réinstallé dans l’urgence.

Des risques divers

10/80

Chaque jour ou presque, des collectivités découvrent qu’elles ont été victimes d’une attaque informatique.

Mais difficile de témoigner à visage découvert. Voici ce qu’une victime raconte, sous couvert d’anonymat : «

Nous sommes arrivés un matin et nos postes informatiques étaient bloqués, explique cette directrice générale

des services. Impossible de travailler dans ces conditions. Sur les écrans était affiché un message

énigmatique et surtout, une demande de rançon. »

Si la police a rapidement été prévenue, la commune a dû se résoudre à trouver une solution au plus vite pour

reprendre une activité normale. « Nous ne pouvions pas payer la somme, explique-t-elle. Nous avons appelé

notre prestataire informatique qui a fait le déplacement et nous a indiqué qu’une grande partie de nos

données, notamment les plus récentes, étaient perdues.

Personne n’avait anticipé le problème. Cela a créé beaucoup de remous au sein de la collectivité, dans la

mesure où nous ne savons pas qui est responsable de l’attaque. L’enquête est toujours en cours. Plusieurs

pistes ont été évoquées, dont des personnes hostiles à certaines décisions locales. C’est une expérience qui

reste encore assez traumatisante pour nous. »

Si le prestataire informatique a fourni une solution d’appoint pour que les données soient plus fréquemment

sauvegardées, aucun changement en profondeur, en termes de sécurité, n’a été apporté à ce jour.

REFERENCESGuide d'homologation des systèmes d'information (Anssi)Référentiel général de sécurité (RGS)Guide d'hygiène informatique

CHIFFRES CLES

Date clé

4 mai 2018 C'est la date à laquelle le règlement européen sur la protection des données personnelles entrera enapplication. Ses objectifs ? Renforcer les droits des personnes, responsabiliser les acteurs traitant des donnéeset crédibiliser la régulation. Les sanctions seront renforcées en cas de manquement à la loi. Les amendespourront, par exemple, s'élever à 20 millions d'euros pour les collectivités.

L’expérience traumatisante d’une commune piratée

11/80

Conseils sécurité

Cybersécurité : attaques informatiques en cours et bonnes pratiques

Se protéger contre la cybercriminalité est essentiel pour l'activité de votre entreprise. Quelques conseils pour vous prémunir contre les différentes cyber-attaques. 80 % des entreprises ayant subi un sinistre informatique majeur avec perte de données informatiques (mauvaise manipulation, virus, vol de données ou de matériel, fraude interne, déni de service...) déposent le bilan dans les 2 années qui suivent. Vous trouverez ci-dessous quelques conseils sur les cyberattaques en cours et des conseils de bonnes pratiques. Site Cybermalveillance.gouv.fr : le site national d'assistance et de prévention du risque numérique propose un kit de sensibilisation à la cybermalveillance , il traite des questions de sécurité du numérique, partage les bonnes pratiques dans les usages personnels, et vise à améliorer les usages dans le cadre professionnel.

Cyber-attaques en cours Retrouvez ici les alertes de la Gendarmerie du Rhône et de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sur les attaques informatiques constatées dernièrement. Un nouveau site d'aide aux victimes Le gouvernement a lancé Cybermalveillance.gouv.fr: le dispositif national d’assistance aux victimes d’actes de cybermalveillance. Ce service vise notamment à accueillir les victimes (particuliers, entreprises et collectivités territoriales) par le biais d’une plateforme numérique, et à les diriger vers les prestataires de proximité susceptibles de les assister techniquement. Un espace de sensibilisation informe également le public sur les risques des cyber-attaques. Les prestataires souhaitant proposer leurs services peuvent s’enregistrer sur la plate-forme.

Cyber-attaques de type ransomware ou rançongiciel Qu'est-ce-qu'un "virus rançon" ? Un ransomware (appelé également rançongiciel, crypto-virus ou virus rançon) est un logiciel malveillant pouvant entraîner soit le blocage d'un ordinateur, soit le chiffrement de données qu'il renferme, ou encore, la récupération des informations sensibles. Il ordonne ensuite le paiement d'une rançon (souvent en monnaie virtuelle, bitcoin) pour en restaurer l'accès.

ODIN : un virus ransomware , déclinaison de cryptohost ODIN serait apparu pour la première fois le 29 septembre 2016. Il s’agit de la dernière déclinaison du ransomware LOCKY. Il utilise un système de cryptographie identique aux versions précédentes (Locky, Zepto, ...) mais chiffre les fichiers en leur ajoutant désormais une extension en « .odin ». La clé ayant été modifiée, le déchiffreur « Autolocky », qui permettait depuis quelques temps de décrypter les fichiers en « .locky » est inefficace. A l’instar de ses prédécesseurs, ce nouveau ransomware change l’image de fonds d’écran et laisse apparaître une fenêtre contenant les instructions de paiement, lequel sera effectué via le réseau TOR. Alors que pour Locky, les cybercriminels exigeaient la somme de 360 euros (soit environ un bitcoin), la rançon désormais demandée s’élève à 2000 euros (toujours payable en bitcoins).

DOCUMENT 4

12/80

CRYPTOHOST : le virus qui verrouille vos données dans une archive RAR Il se fait passer généralement pour le logiciel P2P uTorrent et se télécharge souvent sous le nom de uTorrent.exe pour tromper les utilisateurs. Un simple clic sur l'exécutable suffit pour l'activer. CryptoHost, connu également sous le nom de Manamecrypt, ne chiffre pas directement vos fichiers. Il opère tout simplement en déplaçant vos fichiers dans une archive au format RAR protégée par un mot de passe. Il affichera par la suite trois messages différents sur votre bureau en vous précisant de régler la somme de 0.33 Bitcoins (environ 120 euros) pour récupérer vos données. Récupérer les fichiers verrouillés par CryptoHost : Une équipe de recherche composée de Michael Gillepsie, MalwareForMe, MalwareHunterTeam et enfin Bleeping Computer a découvert le moyen de récupérer ses données en déverrouillant l’archive sans payer cette fameuse rançon. L’équipe révèle que le ransomware combine le numéro d’identification du processeur, le numéro de série de carte mère ainsi que celui du disque « C:\ » pour générer un algorithme de cryptographie. C’est cet algorithme qui est utilisé pour nommer l’archive RAR verrouillée. Par conséquent personne nepossède le même mot de passe... en fait il correspond tout simplement au nom de l’archive combiné à votre nom d’utilisateur. Exemple : Si votre archive se nomme "9876543210FEDCBA01234" et que votre nom d’utilisateur c’est « Michel », votre mot de passe est le suivant : 9876543210FEDCBA01234Michel. Avant de rentrer votre mot de passe, pensez à stopper le processus de CryptoHost en passant par votre gestionnaire de tâche (accessible en faisant CTRL + ALT + Suppr). Dans la liste des processus vous trouverez « CryptoHost.exe », il vous suffira de faire un clic-droit sur le processus et de choisir l’option « arrêter le processus ». Il faudra bien évidemment procéder à la suppression de CryptoHost par la suite en supprimant le fichier suivant : C:\Users\Nom d’utilisateur\AppData\Roaming folder\cryptohost.exe. Vous pouvez également supprimer la clé de registre correspondante en passant par votre éditeur de registre : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software%AppData%\cryptohost.exe Source : Logithèque

JIGSAW : le ransomware qui lance un compte à rebours et menace de détruire vos fichiers Il laisse une heure à sa victime pour payer la rançon, puis commence à détruire les fichiers de l'ordinateur en accélérant son rythme toutes les heures. Si aucun paiement n’est effectué dans un délai de 72 heures, tous les fichiers restants disparaissent. Inactiver Jigsaw puis déchiffrer les fichiers à l'aide d'un utilitaire. La première chose à faire, c’est d’ouvrir le gestionnaire de tâches de Windows et de terminer tous les processus appelés firefox.exe oudrpbx.exe qui ont été créés par le ransomware, indique Lawrence Abrams. Puis, il faut lancer l’utilitaire Windows MSConfig et supprimer l’entrée de démarrage pointant vers %UserProfile%\AppData\Roaming\Frfx\firefox.exe. Cela arrêtera le processus de destruction des fichiers et empêchera le malware de se relancer au redémarrage du système. Les utilisateurs pourront alors télécharger l’utilitaire "Jigsaw Decrypter" hébergé par BleepingComputer.com afin de déchiffrer leurs fichiers. Lorsque ce sera fait, il est hautement recommandé de télécharger un logiciel anti-malware à jour et de lancer un scan complet de son ordinateur pour désinstaller entièrement le ransomware. Source : le Monde Informatique

PETYA Petya est un ransomware qui chiffre l’ensemble du disque dur. Les cibles identifiées actuellement sont les entreprises : de faux emails de candidature menant vers des liens de téléchargement Dropbox sont utilisés.

13/80

Le G DATA Security Labs a détecté les premiers fichiers jeudi 24 mars en Allemagne. La campagne actuellement en cours vise les entreprises. Dans un email au service des ressources humaines, il y a une référence à un CV se trouvant dans Dropbox. Le fichier stocké dans le partage Dropbox est un exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est possible. Le message est clair : le disque est chiffré et la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables. Les experts du G DATA SecurityLabs travaillent à l’analyse de ce nouveau type de ransomware. G DATA recommande aux entreprises et particuliers de redoubler de vigilance quant aux emails reçus. Dans les entreprises, le blocage des partages en ligne de type Dropbox est à étudier, ces systèmes permettant de passer à travers les filtrages des passerelles emails. Nouveau : en utilisant un algorithme, il s’avère désormais possible de casser la clé de chiffrement interdisant l’accès aux données et de restaurer le Master Boot Record (MBR), la partition de démarrage qui permet à l’ordinateur d’initier le lancement de son système d’exploitation.

CTB LOKER La nouvelle version du virus « CTB Locker » réussit à passer outre les firewalls et antivirus les plus sophistiqués,si ceux-ci sont mal configurés. « CTB Locker » se propage essentiellement via des courriels d'apparence anodine , personnalisés au maximum (notamment grâce à des informations recueillies par le biais des techniques dites de social engineering) en vue de ne pas éveiller les soupçons des utilisateurs ciblés. Un document, identifié comme étant une facture, une plainte de client, un bon de commande, …, comportant l'extension « .cab » (format de fichier Microsoft compressé) contient l’exécutable malveillant, lequel s'installe une fois le document ouvert puis crypte les données à l'insu de l'utilisateur. Peu de temps après, une fenêtre « pop -p » apparaît et informe le salarié de l'attaque dont il vient d'être victime et de la nécessité de payer une rançon avant l'échéance d'un compte à rebours affiché à l'écran pour obtenir un retour à la normale. Payer se révèle souvent sans aucun effet car une fois la rançon réglée, le cybercriminel disparaît sans transmettre la clé de déchiffrement nécessaire au déblocage.

Autres ransomwares : LOCKY et CRYSIS (Crysis venant du fait que ce dernier modifie les extensions des documents chiffrés en ".Crysis"). Il cible les entreprises et semble être installé par des attaques "bruteforce RDP". Si le groupe à l'origine de ce ransomware est le même que pour les autres attaques, il y a probablement peu de chances de récupérer les documents chiffrés, même après paiement de la somme exigée. Comme dans les cas précédents, le fond d'écran est modifié avec les instructions de paiement adresse de contact dalailama2015@protonmail.ch par exemple.

Des règles de bon sens : La première règle élémentaire de sécurité est la suivante : "On réfléchit puis on clique et non pas l'inverse". Seule une vigilance de tous les instants peut éviter les désagréments causés par un ransomware. La seconde règle de sécurité à appliquer par tous (particuliers, administrations et entreprises privées) est de réaliser des sauvegardes très régulières et d'en vérifier la viabilité. En cas de problème, cette action est la seule à permettre un retour à la normale (plus ou moins rapide) après avoir subi une

14/80

atteinte de ce type. Comment se protéger contre le virus rançon ?

• Sensibiliser régulièrement les salariés et ce quel que soit le niveau de responsabilité exercé.Tout personnel connecté au réseau de l'entreprise est susceptible d'être rendu destinataire de mails piégés pouvant infecter au mieux son ordinateur et au pire l'intégralité du système d'information de l'entreprise.

• Effectuer des sauvegardes régulières de l'ensemble du système informatique et des donnéescontenues. S'assurer régulièrement de leur viabilité.

• Installer et mettre à jour régulièrement antivirus et firewall.• Bloquer les extensions .cab dans les applications messagerie• Effectuer une veille régulière qui permettra d'anticiper et de s'adapter aux nouvelles

menaces.Que faire en cas de problème ?

• Prendre en photo tous les écrans (mail frauduleux et ses pièces-jointes) ou réaliser des copiesd'écran et noter toutes les actions réalisées ainsi que les heures,

• Isoler les serveurs et lancer un scan antivirus,• Identifier l'adresse IP émettrice du mail,• Supprimer le profil utilisateur problématique sur les serveurs,• Supprimer l'ensemble des fichiers cryptés,• Restaurer l'ensemble des dossiers et fichiers depuis des sauvegardes ou des points de

restauration système réalisés antérieurement à l'attaque,• Communiquer immédiatement sur l'attaque auprès de tous les utilisateurs,• Analyser en vue de comprendre les raisons pour lesquelles le mail n'a pas été filtré par les

systèmes sécurité.Procéder avec minutie au risque de perdre vos fichiers.

• Dans tous les cas, déposer rapidement plainte auprès du service de police ou degendarmerie territorialement compétent en cas de problème avéré ou de simple tentative.

Première tentative réussie de ransomware sur MAC Ke.Ranger ou KeyRanger est un malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets devraient se faire ressentir à compter du 07 mars 2016. Et ces effets risquent d'être dévastateurs, si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur. Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon s'il veut recouvrer ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9). Une fois ce délai de grâce de 3 jours achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés. Les utilisateurs ayant installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès aujourd'hui, d'être les victimes de Ke.Ranger. Apple aurait réagi en supprimant le certificat du développeur permettant d'installer le malware. Les ransomwares sont de plus en plus courants sur Windows, et jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas. […]

15/80

Les collectivités territoriales cibles des pirates informatiques

27 février 2017 - Par Pierre-Alexandre Conte

Si elles n’en ont pas toujours conscience, les collectivités territoriales peuvent bel et bien être victimes de cyberattaques. Et ce, pour de multiples raisons. En cas de faute avérée, les sanctions encourues peuvent devenir particulièrement difficiles à assumer. Une République numérique. C’est ainsi qu’a été baptisée la loi portée par l’actuelle secrétaire d’Etat chargée du numérique, Axelle Lemaire, parue le 8 octobre 2016 au « Journal officiel ». Un nom ô combien symbolique et révélateur de la profondeur de la transformation vécue par l’ensemble de la société. Celle-ci touche naturellement les collectivités territoriales, qui bénéficient des multiples avantages qu’elle génère, mais qui doivent, dans le même temps, composer avec de nouvelles obligations. Parmi elles, figure en tête de liste la sécurisation de leur système d’information. En préambule de son rapport d’activité annuel paru en 2016, l’Agence nationale de la sécurité des systèmes d’information (Anssi) introduisait le sujet comme suit : « Les technologies numériques procurent des gains de productivité et sont donc source de richesse et de compétitivité pour notre pays, mais elles induisent également des vulnérabilités nouvelles. La cybersécurité est devenue, de ce fait, une condition structurante, non seulement de la sauvegarde de notre patrimoine économique et intellectuel, mais aussi de la protection physique de nos concitoyens. » Des propos signés Louis Gautier, secrétaire général de la défense et de la sécurité nationale.

FOCUS Dans son rapport d’activité concernant l’année 2015, l’Anssi explique avoir reçu 4 000 signalements, soit 50 % de plus qu’en 2014. L’Agence a aussi dû traiter une vingtaine d’incidents de sécurité majeurs. Les sites web en première ligne La première erreur en matière de sécurité informatique consiste à penser qu’une collectivité, quelle que soit sa nature, n’a aucune raison d’être la cible d’une attaque. C’est pourtant un raisonnement fréquemment rencontré au sein des petites et moyennes communes, qui considèrent parfois qu’elles ne détiennent rien qui puisse intéresser d’hypothétiques assaillants. « Comme tout un chacun qui dispose d’une visibilité sur internet, les collectivités territoriales peuvent faire partie des victimes d’une vague d’attaques, précise Guy Flament, référent de l’Anssi au sein de la région Nouvelle Aquitaine. Leur présence sur internet, notamment par le biais de leurs sites web, offre des surfaces pour les attaquants, qui peuvent leur permettre d’afficher des messages de revendication ou de propagande. Ensuite, les collectivités subissent des attaques par des « rançongiciels » qui prennent en otage leur système d’information et offrent de le libérer contre une rançon. En ce qui concerne les autres menaces informatiques que peuvent être le sabotage ou l’espionnage, elles ne sont pas, pour le moment, particulièrement visées. Mais elles pourraient le devenir, notamment à cause du nombre de données à caractère personnel qu’elles hébergent. » Les collectivités territoriales brassent en effet de plus en plus de données, dont certaines s’avèrent

DOCUMENT 5

16/80

particulièrement sensibles. Elles sont au cœur de toutes les préoccupations, comme en témoignent les nombreux articles qui leur sont consacrés au sein de la loi pour une République numérique. Il convient donc de les protéger. « Les collectivités détiennent notamment l’état civil. Il ne faudrait pas qu’un jour ces fichiers puissent être modifiés par des attaquants. Les comptes de la commune intéressent aussi les gens et tout ce qui touche aux dossiers de consultation publique », lance Guy Flament.

Sanctions pénales La protection des données du citoyen est garantie par la loi « informatique et libertés ». C’est évidemment la Commission nationale de l’informatique et des libertés (Cnil) qui veille au respect de cette dernière. Ses compétences ont été élargies par la loi pour une République numérique. Sur le plan financier, les collectivités encourent une amende pouvant s’élever jusqu’à 3 millions d’euros ; ce n’est pas rien ! La Cnil peut aussi ordonner que l’organisme sanctionné informe à ses frais les victimes. La loi prévoit par ailleurs la possibilité de sanctionner pénalement les maires, les présidents de conseils régionaux et de conseils généraux en cas de manquement grave, comme le fait de ne pas prendre les mesures nécessaires pour garantir la confidentialité des informations ou l’utilisation de ces dernières à d’autres fins. A partir du mois de mai 2018, les collectivités devront appliquer le règlement européen sur le sujet. Concernant ce dernier, selon Pierre Deprez, avocat du cabinet DS avocats dans le département « droit de la propriété intellectuelle, technologies numériques et data », on parle d’un « changement de paradigme ». Cela signifie le passage « d’un régime de déclaration et d’autorisation des traitements à un régime d’accountability, d’autoresponsabilité ». Les communes devront conserver « une trace des moyens techniques et organisationnels qu’elles auront mis en œuvre pour assurer la sécurité des données », dans le but de montrer patte blanche en cas de contrôle. Mais les données ne sont pas l’unique préoccupation des collectivités. D’autres domaines requièrent leur attention, à l’image des objets connectés. Ce sont de formidables outils, mais ils peuvent aussi se retourner contre ceux qui les utilisent. « Les objets connectés, comme les smartphones il y a quelques années, représentent une augmentation de la surface d’attaque puisqu’ils sont, par nature, connectés à internet. Si ces objets ne sont pas correctement configurés et sécurisés, ils offrent une porte d’entrée à d’éventuels attaquants », précise Guy Flament.

Des risques divers « L’émergence des outils connectés implique de prendre ses précautions, déclare de son côté Olivier Fouqueau, directeur général des services d’Infocom94, syndicat intercommunal informatique du Val-de-Marne. Quand une direction générale des services techniques, voire un élu, décide que c’est super d’équiper toutes les places de parking d’un capteur pour permettre de savoir, à distance, par le biais de son téléphone portable, s’il y a une place pour se garer, mais qu’il n’y a pas de sécurité autour, cela peut très vite devenir difficile à gérer. » Les rapports affirmant que la cybercriminalité est en constante augmentation sont rendus publics de manière quasi quotidienne. Pour autant, il n’est pas si évident de trouver une collectivité territoriale qui accepte de faire part d’une mauvaise expérience. La raison est simple : elle relève de la peur de voir son image se détériorer. C’est là l’un des principaux risques encourus, notamment par les villes. « Il ne se passe pas une journée sans qu’il y ait un site internet défiguré dans la région », déplore le référent de l’Anssi en Nouvelle Aquitaine. En cas de pertes de données et de responsabilité avérée, le règlement européen demandera également aux collectivités, en 2018, d’informer le public quant à ses failles de sécurité. Si les communes sont concernées par leur image, elles doivent en plus composer

17/80

avec l’inaccessibilité de leur site. Ce qui peut altérer de manière plus ou moins grave la mission de service public. La perte peut aussi être financière, notamment s’il y a demande de rançon, les sommes demandées étant, la plupart du temps, élevées. « Le sujet de la sécurité est souvent diabolisé, regrette Frank Mosser, expert dans le domaine de la cybersécurité et président de MGDIS, société éditrice de services logiciels de pilotage et de valorisation de l’action publique, basée à Vannes. Quand ça fait trop peur, on a tendance à mettre la tête dans le sac et à faire l’autruche. Il y a quelques années, ce n’était pas si grave que cela. Là, ça le devient un peu plus. »

FOCUS - Le « rançongiciel », fléau international en pleine expansion Extorsion Tout le monde ou presque a entendu parler de Locky. Ce « ransomware » – « rançongiciel » en français – s’est rendu populaire en faisant de nombreuses victimes au cours de l’année passée. Une fois activé sur l’ordinateur de la personne visée, ce dernier chiffre les données et demande une somme d’argent en échange de leur restitution. S’il reste l’exemple le plus connu, Locky n’est pas un cas unique. Loin de là. 290 millions de dollars – Le FBI estime que durant le premier trimestre de l’année 2016, environ 209 millions de dollars ont été extorqués par le biais de « rançongiciels ». Aux Etats-Unis, le Hollywood Presbyterian Medical Center a fait partie des victimes au mois de février 2016. Paralysé pendant plus d’une semaine, il avait fini par débourser la somme de 17 000 dollars pour reprendre une activité normale. Et ce, après avoir dû envoyer de nombreux patients vers d’autres établissements. Une mésaventure similaire est arrivée trois mois plus tard au Kansas Heart Hospital. Mais cette fois, après avoir payé la rançon, l’hôpital n’a pas pu récupérer ses fichiers. Pire, une seconde somme d’argent lui a été demandée. Fin janvier, c’est la police de Washington qui s’est aperçue que le réseau de vidéosurveillance de la ville ne fonctionnait plus correctement. Avant de prendre connaissance du problème : depuis le 12 janvier, un « ransomware » avait commencé à faire son œuvre, paralysant 123 des 187 caméras utilisées. En cherchant la source du dysfonctionnement, des enquêteurs sont tombés un peu plus tard sur un message les invitant à payer une somme. Ce qui n’a pas été fait. Le réseau a été réinstallé dans l’urgence.

FOCUS - L’expérience traumatisante d’une commune piratée Chaque jour ou presque, des collectivités découvrent qu’elles ont été victimes d’une attaque informatique. Mais difficile de témoigner à visage découvert. Voici ce qu’une victime raconte, sous couvert d’anonymat : « Nous sommes arrivés un matin et nos postes informatiques étaient bloqués, explique cette directrice générale des services. Impossible de travailler dans ces conditions. Sur les écrans était affiché un message énigmatique et surtout, une demande de rançon. » Si la police a rapidement été prévenue, la commune a dû se résoudre à trouver une solution au plus vite pour reprendre une activité normale. « Nous ne pouvions pas payer la somme, explique-t-elle. Nous avons appelé notre prestataire informatique qui a fait le déplacement et nous a indiqué qu’une grande partie de nos données, notamment les plus récentes, étaient perdues. Personne n’avait anticipé le problème. Cela a créé beaucoup de remous au sein de la collectivité, dans la mesure où nous ne savons pas qui est responsable de l’attaque. L’enquête est toujours en cours. Plusieurs pistes ont été évoquées, dont des personnes hostiles à certaines décisions locales. C’est une expérience qui reste encore assez traumatisante pour nous. » Si le prestataire informatique a fourni une solution d’appoint pour que les données soient plus fréquemment sauvegardées, aucun changement en profondeur, en termes de sécurité, n’a été apporté à ce jour.

18/80

Mathieu Vigneron, Atos : éviter les empilements de solutions de sécurité et favoriser les solutions orchestrables

Octobre 2018 par Marc Jacob

Pour sa nouvelle participation aux Assises de la Sécurité, Atos présentera sa gamme de solutions de cybersécurité avec en particulier ses offres de Gestion des identités et des accès, de protection des données, de communications mobiles sécurisées et ses servicesen sécurité. Mathieu Vigneron, Directeur commercial cybersécurité France chez Atos conseille entre autre d’éviter les empilements de solutions de sécurité et de favoriser les solutions orchestrables.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Mathieu Vigneron : Atos présentera une large gamme de solutions de cybersécurité, et mettra notamment en avant les points suivants : La Gestion des Identités et des Accès (IAM, E-SSO…) au sein des organisations lors du recours à des ressources et services externalisés et partagés, avec nos solutions Evidian. La protection des données et les produits de chiffrement Trustway. La mise en place d’une infrastructure sécurisée via des identités de confiance et la sécurité de l’Internet des Objets avec les solutions Horus. Les services en sécurité gérés depuis nos Security Operations Centers (SOCs), pour combattre les menaces – ainsi que la sécurité des applications et données d’entreprise dans le Cloud à l’heure de la mobilité. Les communications mobiles ultra-sécurisées avec notre smartphone Hoox.

GS Mag : Quel sera le thème de votre conférence cette année ?

Mathieu Vigneron : Nous organisons un atelier le jeudi 11 octobre à 10h au sujet de la mutualisation des solutions de gestion des accès et des identités entre les différentes filiales de l’entreprise Orange, grâce à notre solution Evidian IAM. Opérée centralement, la solution Evidian IAM facilite et harmonise les processus du Groupe, tout en respectant les spécificités fonctionnelles de chaque filiale.

Nous participerons également à l’atelier ‘Transformez votre IT vers le Cloud en toute confiance’ par McAfee, mercredi 10 octobre à 15h.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?

Mathieu Vigneron : Les principales menaces observées en 2018 sont directement liées aux grands chantiers digitaux engagés par nos clients. Les environnements techniques et métiers évoluent. Les risques aussi. Atos accompagne ses clients dans la gestion des menaces liées : • Aux environnements hybrides (cloud public/privés – iaas, paas, saas) qui induisent ladensification des flux est/ouest, les larges fédérations d’identités, la conteneurisation et les démarches devOps, à l’accroissement de la surface exposée via la multiplication des APIs et de leurs usages ;

• A l’avènement de l’intelligence artificielle et des algorithmes de machine-learning quiconsomment et produisent de plus en plus de données avec plus ou moins de considérations quant à leur confidentialité et sensibilité ;

DOCUMENT 6

19/80

• A l’accélération de la convergence des environnements IT/OT qui expose brutalement dessystèmes jusqu’à présent isolés et aux besoins de disponibilité et d’intégrité sans commune mesure avec la plupart des systèmes corporate.

GS Mag : Quid des besoins des entreprises ?

Mathieu Vigneron : La transformation digitale au cœur des préoccupations des entreprises. Il est nécessaire de comprendre les nouvelles menaces liées au changement de périmètre (Cloud, on-premises, IoT), de comprendre le niveau de maturité de l’entreprise en termes de sécurité pour définir comment faire évoluer la stratégie de l’entreprise.

Les enjeux de mise en conformité (GDPR, LPM, NIS) sont toujours aussi nombreux. Les approches « théoriques » ne répondent pas au besoin. Nos clients recherchent des compromis acceptables entre business et sécurité/conformité.

L’opération de la sécurité et les SOC sont au cœur de nombreuses réflexions chez nos clients. Beaucoup de demandes mais peu de projets qui voient effectivement le jour. Toutefois, le niveau de maturité évolue rapidement et nous observons une transition progressive des besoins de sécurité orientés « infrastructures » vers des besoins orienté « métiers » et construits sur des cas d’usage.

S’outiller pour détecter des menaces toujours plus fines et discrètes dans des environnements très dynamiques et hétérogènes (cloud, mobilité, OT). L’approche « antivirus & signatures » ne suffit plus. Les besoins concernent la détection des comportements déviants, les capacité de sandoxing, les bases de réputation et les capacités de réaction et de quarantaine lorsqu’il y a un doute.

Protéger les données (quelle que soit leur localisation). Comment décliner l’approche data-centric dans des contextes de migration vers le Cloud. Comment identifier les données sensibles (savoir-faire, propriété intellectuelles, données stratégiques, données personnelles, …). Evaluer les risques induits par le CloudAct/PatriotAct et construire une réponse adaptée (sans freiner la transformation digitale).

De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Mathieu Vigneron : Atos, en tant qu’ESN, accompagne ses clients dans leur transformation digitale et se positionne comme un partenaire de confiance. La division cybersécurité du groupe Atos a donc développé des solutions adaptées à ces nouveaux enjeux. Notre stratégie est aujourd’hui déclinée sur les piliers :

Digitalisation du poste et de l’environnement de travail

Hybridation des infrastructure dans le Cloud

Intelligence Artificielle et Big Data

Atos fonde sa stratégie sur les compétences de ses propres collaborateurs et experts mais aussi en sélectionnant ses partenaires technologiques pour leur interopérabilité et pour leur capacité d’automatisation et d’orchestration (spécifiquement dans ces nouveaux contexte). Atos engage notamment ses efforts autour de :

Nouvelles techniques d’authentification dans les environnements virtualisés

Enclaves souveraines dans des environnements Cloud publics

Outillage et méthode DevSecOPS

20/80

SOC prescriptif

Convergence des processus IT/OT et Ops/SSI

Nous accompagnons également les entreprises dans leur ‘cybersecurity journey’ autour des problématiques de sécurisation du cloud, du digital workplace, des identités de confiance, de la supervision des infrastructures, de sécurisation et de gouvernance des données, la sécurisation des milieux industriels.

GS Mag : Avec l’entrée en vigueur du RGPD, la « security & privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?

Mathieu Vigneron : Atos est acteur de la cybersécurité, en conseil, en intégration, en opérateur mais aussi en tant qu’éditeur de produits du domaine. La prise en compte de la cybersécurité est au cœur des processus mis en œuvre par les équipes cybersécurité depuis des années (et donc bien avant la mise en place du nouveau règlement européen).

La protection de nos systèmes et l’organisation de nos services/prestations est pilotée par les risques en termes d’atteinte à la confidentialité et à l’intégrité de nos données et de celles de nos clients.

Nous engageons aujourd’hui des efforts :

de communication autour de ces systèmes de management pour expliquer les choixd’architectures qui ont été fait et qui sont fait quotidiennement avec nos clients.

de protection des environnements/prestations DevOPS avec l’outillage sécurité adéquat(offre DevSecOPS) pour compléter les plateformes CICD existantes.

de protection des architectures big-data et analytiques peu compatible, par nature, avecles principes du règlement européen.

Nous avons pour objectif accompagner et aider les entreprises depuis l’identification de leurs données personnelles avec le DPIA (data protection impact assessment) jusqu’à la mise en place des solutions adéquates pour les contrôler, les protéger et les superviser.

GS Mag : Quel est votre message aux RSSI ?

Mathieu Vigneron : J’en aurais deux :

1. Prenez de la hauteur. Construisez votre stratégie cybersécurité. Evitez les empilements ou lesjuxtapositions d’outils et favorisez les solutions orchestrables. Acceptez et accompagnez les transformations en profondeur des architectures et cherchez à rationnaliser votre modèle de défense en l’associant le plus possible aux cas d’usage de vos métiers. Le ROI n’en sera que plus facile à produire. Pour cela il faudra nécessairement identifier, qualifier et quantifier les risques, ainsi que se focaliser sur l’opération des technologies afin de pouvoir faire face aux menaces en perpétuelles évolutions.

2. Soyez au cœur, en tant qu’acteur, de la convergence des processus IT (opérations) et desprocessus sécurité. Œuvrez pour que la sécurité soit la plus intégrée possible au SI et accompagnez la transformation digitale (Cloud, IA, Digital workplace), de votre entreprise enproposant des solutions/réponses innovantes et orchestrées aux nouveaux enjeux. La stratégie sécurité de votre entreprise doit être alignée avec sa stratégie globale.

21/80

COMMENT APPLIQUER LE PRINCIPE DU PRIVACY BY DESIGN?

Livre Blanc

TOUT D’ABORD, UN CONSTAT

Force est de constater que la prise en compte de la protection des données à caractère personnel (DCP) dès les phases amont d’un nouveau projet informatique n’est pas encore entrée dans les mœurs, ni des éditeurs de solutions, ni des donneurs d’ordre ou acheteurs.

Les contrôles de conformité de nature juridique réalisés par le CIL ou les audits de sécurité réalisés par le RSSI montrent que des efforts sont encore à consentir dans ce domaine.

Voici quelques exemples de sujets faiblement pris en compte voire totalement oubliés dans les démarches projets :

• L’application informatique déployée récemment ne prévoitpas de purge automatique des données des DCP dont le traitement n’est plus nécessaire.

• Les DCP restent stockées dans la base de données activepour une durée illimitée alors qu’elles devraient basculer dans une base de données intermédiaire, voire dans une base d’archivage en fonction de la finalité du traitement et du cadre légal applicable aux DCP concernées.

• L’application informatique ne prévoit pas de chiffrement desDCP permettant de limiter leur lisibilité aux seuls professionnels habilités à y accéder.

• Les DCP échangées en pièce jointe de courriel ne sont paschiffrées ou protégées contre une lecture illicite notamment lors de l’usage de la messagerie sur internet.

• Les traces embarquées dans les applications informatiquessont difficilement exploitables (si elles existent) pour identifier l’origine d’une violation1 sur les DCP.

• Les supports amovibles (exemple : clé USB) utilisés par lesutilisateurs contiennent des DCP et ne sont pas protégés en cas de perte ou de vol.

1 violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données [source : article 4 du projet de règlement européen]

DOCUMENT 7

- ageris-consulting.com - 2 avril 2016

22/80

• L’application informatique ne permet pas la mise en œuvre de solutions d’authentificationforte (carte à puce par exemple) sans un développement complémentaire du fournisseur (sicela est possible) entrainant un surcoût non budgété.

• Les systèmes de surveillance et d’alarme ne sont pas programmés pour traiter les violationsde DCP et les procédures de gestion des incidents ne prévoient pas la notification auresponsable des traitements et/ou aux personnes concernées, des incidents sur les DCP lesplus sensibles dans la limite de 72h00 après leur identification.

• Le cahier des charges ne contient pas de clauses spécifiques de sécurité des DCP imposantau fournisseur le respect de la politique de protection des DCP de l’organisme et des règlesqui en découlent.

• Le fournisseur n’a pas suffisamment mis l’accent sur la sécurité des DCP dans les réponsesau cahier des charges et n’a pas joint un plan d’assurance sécurité (PAS) à son dossier.

Les exemples sont malheureusement nombreux, et les failles de sécurité qui sont identifiées dans les démarches d’audit ou de contrôle sont parfois difficiles à colmater, voire impossibles à traiter.

L’ORIGINE DE CE CONSTAT

Il est difficile de pouvoir affirmer que l’origine de ce constat est unique. Cela dépend bien évidemment de l’organisme concerné, de sa maturité et des pratiques internes en matière de protection des données et des systèmes d’information. Cependant, il est généralement admis qu’une absence de prise en compte ou une méconnaissance de ces sujets au plus haut niveau de l’organisme est souvent à l’origine d’une politique de protection des DCP insuffisamment adaptée aux enjeux, aux risques liés à l’usage des systèmes d’information et aux risques de nature juridique.

Il est à rappeler que la loi « informatique et libertés » (n° 78-17 du 6 janvier 1978 modifiée en 2004) précise en son article 34 : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ». Le responsable des traitements doit donc être informé de la nature des risques résiduels identifiés dans le cadre de contrôles ou mis en évidence lors d’un nouveau projet afin qu’il puisse décider des mesures de protection qui en découlent et assumer pleinement sa responsabilité de nature juridique. De nombreuses questions restent encore trop souvent sans réponse positive :

• Le responsable des traitements est-il informé des risques numériques résiduels du nouveauprojet informatique avant sa mise en production ?

• Le responsable des traitements a-t-il acté la prise en compte de mesures spécifiques de sécuritépermettant de traiter les risques identifiés dans le cadre du nouveau projet avant sa mise enproduction ?

• Le responsable des traitements a-t-il homologué la sécurité informatique du nouveau projet etaccepté les risques résiduels ?

23/80

COMMENT PROCEDER POUR AMELIORER LA SITUATION ?

Le prérequis à l’amélioration de la situation est la mise en place d’une gouvernance adaptée aux nouveaux enjeux réglementaires et aux nouveaux risques qui doit s’appuyer sur les éléments suivants :

• La création d’une filière fonctionnelle « SSI2 » adaptée à l’organisme et prévoyant ladésignation d’un RSSI (fonctionnellement rattaché à la Direction Générale) et la mise en placede référents SSI dans les directions métiers. Au niveau des maitrises d’œuvre (DSI, Moyensgénéraux), il convient également de désigner des responsables en charge de la mise en œuvredes politiques de sécurité ;

• La création d’une filière fonctionnelle « Informatique et libertés » s’appuyant sur le CIL et lamise en place de référents « Informatique et Libertés » dans les directions métiers (selon la taillede l’organisme bien évidement).

• La mise en place d’une instance de décision, placée sous la responsabilité du responsabledes traitements et/ou dirigeant de l’organisme dont la mission sera de piloter, d’arbitrer etd’homologuer la sécurité des systèmes d’information. Il convient bien évidemment de rappeleraux dirigeants de l’organisme leurs rôles et responsabilités en matière de protection des DCPet des SI au travers de réunions de sensibilisation et d’ateliers d’échange afin qu’ils adhérentpleinement à la démarche.

Il est rappelé que l’ANSSI3 impose la mise en place d’une gouvernance de la SSI au travers de différents référentiels et directives tels que la PSSI-E (Politique de Sécurité des Systèmes d’Information de l’Etat) ou le RGS 2.0 (Référentiel Général de Sécurité).

Une fois les prérequis mis en œuvre, il convient ensuite que les équipes en charge de la mise en œuvre de nouveaux projets informatiques (Chefs de projets Informatique (CPI) et Utilisateur (CPU)) soient formés et outillés pour intégrer la protection des DCP dès les phases amont des projets.

Le CIL et le RSSI sont des acteurs importants dans la mise en place de cette démarche et doivent réussir à faire adhérer pleinement à la démarche l’ensemble des acteurs impliqués (CPI, CPU, Chefs de Service, etc.).

L’équipe projet devra alors formaliser un dossier de sécurité du nouveau projet en vue d’une homologation de la SSI par le responsable des traitements et/ou le dirigeant de l’organisme en complément d’un dossier d’évaluation d’impact sur la vie privée si des données sensibles ou perçues comme sensibles sont traitées.

Le RSSI coordonne les actions relatives au dossier de sécurité, le CIL celles relatives à l’EIVP.

2 SSI : Sécurité des Systèmes d’Information 3 ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (créée par le décret du 7 juillet 2009)

24/80

Le croquis ci-dessous donne un exemple de la gouvernance basée sur les recommandations de l’ANSSI que les organismes peuvent mettre en oeuvre :

AQSSI = Autorité Qualifiée en SSI RT = Responsable des Traitements

AH : Autorité d’Homologation

QUE DOIT CONTENIR LE DOSSIER DE SECURITE PERMETTANT L’HOMOLOGATION DE LA SSI ? Dans son « guide d’homologation de la SSI en 9 étapes4 », l’ANSSI recommande la constitution d’un dossier SSI comprenant les documents suivants :

1. La stratégie d’homologation2. L’analyse de risques3. La politique de sécurité du système d’information (PSSI)4. Le journal de bord de l’homologation

5. Les référentiels de sécurité6. Le tableau de bord de l’application des règles d’hygiène informatique

7. La cartographie des systèmes d’information de l’organisme8. Les schémas détaillés des architectures du système

9. Le document présentant les risques identifiés et les objectifs de sécurité

4 Source : www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples - 20/03/2016

25/80

10. Les procédures d’exploitation du système11. Les exigences de sécurité à destination des systèmes interconnectés

12. Les décisions d’homologation des systèmes interconnectés13. Les certificats de sécurité des produits utilisés

14. Les attestations de qualification des produits ou prestataires15. Les plans de tests et d’audits

16. Les rapports de tests et d’audits et les plans d’action associés17. Le dossier des risques résiduels

18. Les éventuelles décisions d’homologation antérieures19. Le tableau de bord des incidents et de leur résolution20. Le journal des évolutions

La liste de documents à produire (20) parait exhaustive et lourde à appliquer mais elle permet au responsable des traitements de prendre pleinement connaissance de la situation, de pouvoir prendre les décisions qui s’imposent et d’assurer pleinement ses responsabilités de nature juridique.

Ne pas lui fournir les éléments recommandés par l’ANSSI, l’expose (le responsable des traitements) à une mauvaise prise de décision et expose l’équipe projet à des reproches quant à l’absence d’informations fournies pour la prise de décision notamment si une violation de DCP est constatée après la mise en production du projet.

2 APPROCHES, CELLE DE L’ANSSI ET CELLE DE LA CNIL : QUELLE DEMARCHE ADOPTER ? L’ANSSI a fourni des recommandations concernant la démarche d’homologation à adopter notamment dans le RGS 2.05 et dans la PSSI-E6 dont voici quelques extraits :

Extrait du RGS 2. 0 : [Chapitre 1. Mise en conformité avec les exigences du « décret RGS »] « Afin de mettre leur système d’information en conformité avec le RGS, les autorités administratives doivent adopter une démarche en cinq étapes, prévue par le décret n° 2010-112 du 2 février 2010 (décret RGS) : 1. Réalisation d’une analyse des risques (art. 3 al. 1) ;2. Définition des objectifs de sécurité (art. 3 al. 2) ;3. Choix et mise en oeuvre des mesures appropriées de protection et de défense du SI (art. 3 al. 3) ;4. Homologation de sécurité du système d’information (art. 5) ;5. Suivi opérationnel de la sécurité du SI.»

Extrait de la PSSI-E : [Deuxième Partie : objectifs et règles - Gestion des risques et homologation de sécurité] « INT-HOMOLOG-SSI : Homologation de sécurité des systèmes d’information. Tout système d’information doit faire l’objet d’une décision d’homologation de sa sécurité avant sa mise en exploitation dans les conditions d’emploi définies. L’homologation est l’acte selon lequel l’autorité atteste formellement auprès des utilisateurs que le système d’information est protégé conformément aux objectifs de sécurité fixés. La décision d’homologation est prise par l’autorité d’homologation (désignée par l’autorité qualifiée), le cas échéant après avis de la commission d’homologation. Cette décision s’appuie sur une analyse de risques adaptée aux enjeux du système considéré, et précise les conditions d’emploi. »

5 RGS : Référentiel Général de Sécurité 6 PSSI-E : Politique de Sécurité des Systèmes d’Information de l’Etat

26/80

La démarche imposée par l’ANSSI prévoit la réalisation d’une analyse des risques systématique et la définition des objectifs de sécurité comme point d’entrée permettant ensuite d’adapter les mesures de sécurité aux enjeux identifiés. Par ailleurs, la CNIL a défini une méthodologie permettant d’évaluer l’impact sur la vie privée (EIVP)7 qui prévoit :

1. De décrire le (s) traitement(s) considéré(s), les données à caractère personnel concernées etleur usage ;

2. D’identifier les mesures existantes ou prévues pour respecter les exigences légales et traiterles risques sur la vie privée des personnes concernées par le(s) traitement(s) ;

3. D’apprécier les situations à risques pour vérifier qu’ils sont convenablement traités au seinde l’organisme ;

4. De valider la manière dont il est prévu de respecter les principes de protection de la vie privéeet de valider les risques résiduels.

Force est de constater que les 2 approches de l’ANSSI et de la CNIL sont proches et qu’elles introduisent les mêmes concepts :

1. Le périmètre doit être décrit pour bien délimiter la cible de la démarche.2. Une appréciation des risques doit être réalisée par l’équipe projet. A noter que la CNIL

s’appuie sur la méthode EBIOS de l’ANSSI pour identifier les risques sur les DCP.

3. La décision finale revient au dirigeant / responsable des traitements (homologation,acceptation de l’EIVP).

La matrice suivante décrit quelle démarche adopter en fonction de la nature du projet et des données traitées :

Type de projet Démarche de l’ANSSI8

Démarche de la CNIL9

Nouveau projet informatique avec données à caractère personnel non sensibles au sens de la loi « informatique et libertés »

X

Nouveau projet informatique avec données à caractère personnel sensibles au sens de la loi « informatique et libertés » ou perçues comme sensibles par la CNIL

X X

Nouveau projet informatique sans donnée à caractère personnel X

Traitement déjà opérationnel avec données à caractère personnel non sensibles au sens de la loi « informatique et libertés »

X

Traitement déjà opérationnel avec données à caractère personnel sensibles au sens de la loi « informatique et libertés » ou perçues comme sensibles par la CNIL

X X

Traitement déjà opérationnel sans donnée à caractère personnel X

7 Le livre Blanc d’AGERIS Priv@cy décrit la démarche EIVP : www.slideshare.net/ThierryRAMARD/ageris-privcy-livre-blanc-sur-lvaluation-dimpact-sur-la-vie-prive-eivp 8 Guide d’homologation en 9 étapes 9 Guide d’évaluation d’impact sur la vie privée (EIVP)

27/80

METHODOLOGIE A APPLIQUER LORSQU’IL EST PREVU DE TRAITER DES DCP SENSIBLES OU PERÇUES COMME SENSIBLES DANS LE CADRE DU NOUVEAU PROJET La démarche méthodologique, basée sur les recommandations des autorités compétentes (CNIL et ANSSI) pourrait être la suivante :

La démarche Les actions Outillages ou référentiels disponibles

Décrire le périmètre du projet

1. Identifier le contexte et les contraintes éventuellesdu projet

Guide d’homologation en 9 étapes

2. Décrire le(s) traitement(s) considéré(s), les donnéesà caractère personnel concernées et leur usage

Guide EIVP de la CNIL

Identifier les mesures existantes ou prévues

3. Décrire les mesures existantes ou prévues pourrespecter les exigences légales

Guide EIVP de la CNIL

4. Décrire les mesures pour traiter les risques sur la vieprivée des personnes concernées par le(s)traitement(s)

Guide EIVP de la CNIL Guide d’hygiène informatique de l’ANSSI Norme ISO 27002

Identifier les besoins de sécurité du SI

5. Faire une estimation rapide des besoins SSI duprojet / Classification des informations et des actifsen support

Guide d’homologation en 9 étapes

Analyser les risques sur les DCP

6. Identifier les sources de risques Guide EIVP de la CNIL

7. Analyser l’impact des évènements redoutés pour lespersonnes concernées

Guide EIVP de la CNIL

8. Analyser la vraisemblance de scénarios demenaces

Guide EIVP de la CNIL

9. Dresser la cartographie des risques résiduels

Valider l’EIVP & homologuer la SSI

10. Mettre en évidence les non-conformités de naturejuridique

Guide EIVP de la CNIL

11. Décider de la stratégie de traitement des risquesrésiduels

Guide EIVP de la CNIL

12. Définir le plan d’actions de réduction des risques Guide EIVP de la CNIL Guide d’hygiène informatique de l’ANSSI

13. Faire auditer la SSI du projet par un tiersindépendant

Guide d’homologation en 9 étapes

14. Formaliser le dossier de sécurité du projet Guide d’homologation en 9 étapes

15. Homologuer la SSI du projet Guide d’homologation en 9 étapes

16. Formaliser une attestation formelle d’homologationet de validation de l’EIVP

Guide EIVP de la CNIL Guide d’homologation en 9 étapes

Ces étapes peuvent bien évidemment être plus ou moins importantes et complexes en fonction de la nature du projet.

28/80

QU’ELLE EST LA DUREE DE VALIDITE D’UNE HOMOLOGATION DE LA SSI10 ? L’homologation de la SSI d’un projet doit être décidée pour une durée maximale. Cette durée doit prendre en compte l’exposition du système d’information aux nouvelles menaces, ainsi que les enjeux de sécurité du système, c’est-à-dire le degré de criticité des informations et des processus du système. Pour un système bien maîtrisé, avec peu de risques résiduels et ne présentant pas de difficultés particulières, il est recommandé de prononcer une homologation d’une durée maximale de cinq (5) ans, avec revue annuelle. Cette durée maximale doit être réduite à trois (3) ans pour un système avec de nombreux risques résiduels ou à un (1) an pour un système présentant de nombreux risques résiduels.

L’homologation peut être retirée dans le cas où les circonstances l’imposent. Ainsi, l’ANSSI identifie, dans son guide d’homologation en 9 étapes, les évènements suivants pouvant impliquer un réexamen du dossier, pouvant conduire à une nouvelle décision d’homologation ou pouvant conduire à un retrait de la décision :

• Raccordement d’un nouveau site sur le système d’information ;

• Ajout d’une fonctionnalité majeure ;

• Succession de modifications mineures ;

• Réduction de l’effectif affecté à une tâche impactant la sécurité ;

• Changement d’un ou de plusieurs prestataires ;

• Prise de fonction d’une nouvelle autorité d’homologation ;

• Non-respect d’au moins une des conditions de l’homologation ;

• Changement du niveau de sensibilité des informations traitées et, plus généralement, du niveaudu risque ;

• Evolution du statut de l’homologation des systèmes interconnectés ;

• Publication d’incidents de nature à remettre en cause les garanties recueillies dans le dossierde sécurité ;

• Décision de l’autorité d’homologation.À ce titre, il est recommandé que l’instance de décision (la commission d’homologation) soit réunie annuellement par l’autorité d’homologation (AH), afin de procéder à une revue du respect des conditions de l’homologation.

10 Source : Source : www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples - 20/03/2016

29/80

QUELLES SONT LES MESURES DE SECURITE QUI PEUVENT ETRE MISE EN ŒUVRE DANS LE CADRE D’UN NOUVEAU PROJET ?

La CNIL a diffusé en 2012 un guide des «mesures pour traiter les risques sur les libertés et la vie privée»11. Ce guide identifie 34 mesures dans 5 domaines dont voici la liste :

Domaines Mesures proposées par la CNIL

01 -Minimiser les Données à Caractère Personnel

01-Agir sur les éléments à protéger 02 -Gérer les durées de conservation des Données à Caractère Personnel 03 -Informer les personnes concernées 04 -Obtenir le consentement des personnes concernées 05-Permettre l’exercice du droit d’opposition 06-Permettre l’exercice du droit d’accès direct 07-Permettre l’exercice du droit de rectification 08-Cloisonner les Données à Caractère Personnel 09-Chiffrer les Données à Caractère Personnel 10-Anonymiser les Données à Caractère Personnel

2-Agir sur les impacts 11-Sauvegarder les Données à Caractère Personnel 12-Protéger les archives des Données à Caractère Personnel 13-Contrôler l’intégrité des Données à Caractère Personnel 14-Tracer l’activité sur le système informatique 15-Gérer les violations sur les Données à Caractère Personnel

3-Agir sur les sources de risque

16-S’éloigner des sources de risques 17-Marquer les documents contenant des Données à Caractère Personnel 18-Gérer les personnes internes qui ont un accès légitime 19-Contrôler l’accès logique des personnes 20-Gérer les tiers qui ont un accès légitime aux Données à Caractère Personnel 21-Lutter contre les codes malveillants 22-Contrôler l’accès physique des personnes 23-Se protéger contre les sources de risques non humaines

4-Agir sur les supports 24-Réduire les vulnérabilités des logiciels 25-Réduire les vulnérabilités des matériels 26-Réduire les vulnérabilités des canaux informatiques 27-Réduire les vulnérabilités des personnes 28-Réduire les vulnérabilités des documents papier 29-Réduire les vulnérabilités des canaux papier

5-Actions transverses 30-Gérer l’organisation de protection de la vie privée 31-Gérer les risques sur la vie privée 32-Gérer la politique de protection de la vie privée 33-Intégrer la protection de la vie privée dans les projets 34 -Superviser la protection de la vie privée

11 Source : www.cnil.fr/sites/default/files/typo/document/CNIL-Guide_securite_avance_Mesures.pdf - 20/03/2016

30/80

Il ne s’agit bien évidemment pas d’appliquer systématiquement l’ensemble de ces mesures ; elles doivent être sélectionnées et dimensionnées en fonction des risques identifiés sur la vie privée des personnes concernées.

L’ensemble de ces mesures fait l’objet d’explications et d’aides à la mise en œuvre ce qui représente aux alentours de 400 préconisations formulées par la CNIL. Ce guide permet donc de prendre en compte la plupart des cas spécifiques relatifs aux traitements de DCP et permet d’élaborer un plan d’action précis pour réduire les risques à un niveau acceptable pour les personnes concernées et pour l’organisme en charge de la mise en œuvre des traitements.

D’autres référentiels bien connus des RSSI peuvent également servir de documents de travail tels que les bonnes pratiques énoncées dans la norme ISO 27002 : 2013 ou les 40 règles d’hygiène informatique proposées par l’ANSSI.

Enfin, dans le cas où l’organisme dispose d’une PSSI validée par la Direction Générale, les règles fonctionnelles et/ou techniques y figurant doivent bien évidemment servir de base de travail pour les équipes projets. Dans tous les cas contraires, il est recommandé de formaliser une politique interne de protection des DCP et une politique de sécurité des SI (PSSI) qui servira de référentiel interne pour tout nouveau projet.

LES MESURES DE NATURE JURIDIQUE QUI DOIVENT IMPERATIVEMENT ETRE APPLIQUEES

Des principes et droits fondamentaux «non négociables», qui sont fixés par la loi, doivent être respectés et ne peuvent faire l’objet d’aucune modulation, quels que soient la nature, la gravité et la vraisemblance des risques encourus12.

Ainsi les 11 principes et droits fondamentaux suivants doivent être systématiquement appliqués dans tout nouveau projet informatique :

1. Finalité : les DCP doivent être collectées pour des finalités déterminées, explicites et légitimesconformément à l’article 6 de la [Loi-I&L] et de la [Directive-95-46].

2. Minimisation : Les DCP doivent être adéquates, pertinentes et non excessives au regard desfinalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs conformément àl’article 6 de la [Loi-I&L] et de la [Directive-95-46]).

3. Qualité : les DCP doivent être exactes, complètes et, si nécessaire, mises à jourconformément à l’article 6 de la [Loi-I&L] et de la [Directive-95-46]). L’exigence de qualité porteégalement sur le lien entre les données qui identifient les personnes et les données qui lesconcernent.

4. Durées de conservation : Les DCP doivent être conservées pendant une durée qui n’excèdepas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitéesconformément à l’article 6 de la [Loi-I&L] et de la [Directive-95-46], à défaut d’une autreobligation légale imposant une conservation plus longue.

5. Information : Le respect du droit à l’information des personnes concernées doit être appliquéconformément à l’article 32 de la [Loi-I&L] et aux articles 10 et 11 de la [Directive-95-46]).

6. Consentement : L’obtention du consentement des personnes concernées ou existence d’unautre fondement légal justifiant le traitement doit être respecté conformément à l’article 7 de la[Loi-I&L].

12 Source : www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf

31/80

7. Droit d’opposition : Le droit d’opposition des personnes concernées doit être respectéconformément à l’article 38 de la [Loi-I&L] et article 14 de la [Directive-95-46].

8. Droit d’accès : Le droit des personnes concernées d’accéder à leurs données doit être respectéconformément à l’article 39 de la [Loi-I&L] et article 12 de la [Directive-95-46].

9. Droit de rectification : Le droit des personnes concernées de corriger leurs données et de leseffacer doit être appliqué ; La personne concernée peut demander que les «données inexactes,incomplètes, équivoques, périmées» ou dont «la collecte, l’utilisation, la communication ou laconservation est interdite» soient supprimées conformément à l’article 40 de la [Loi-I&L] et article12 de la [Directive-95-46]).

10. Transferts : Les obligations en matière de transfert de données en dehors de l’Unioneuropéenne doivent être respectées en conformité avec les articles 68 et 69 de la [Loi-I&L] et les articles 25 et 26 de la [Directive-95-46]).

11. Formalités : définition et accomplissement des formalités préalables applicables au traitement.

Il convient donc que le cahier des charges technique formalisé dans le cadre du nouveau projet impose des directives aux développeurs internes ou aux sous-traitants / partenaires externes pour que les applications informatiques intègrent, intrinsèquement et dès que cela est possible, des mécanismes automatiques pour traiter les 11 fondamentaux évoqués.

Toute impossibilité de mise en œuvre doit être justifiée et des solutions de contournement doivent être proposées par le tiers ou le développeur pour traiter les obligations légales.

RECOMMANDATIONS POUR METTRE EN ŒUVRE LA DEMARCHE « PRIVACY BY DESIGN »

La mise en place d’une démarche de prise en compte la protection des DCP dans les nouveaux projets implique les éléments suivants :

1. La Direction générale de l’organisme doit être impliquée dans le processus notamment pourl’imposer à tous les acteurs et pour prendre les décisions qui s’imposent (homologation ou nonde la SSI, validation ou non de l’EIVP, choix des mesures de protection, ….). Des actions desensibilisation à la démarche sont nécessaires pour que la bonne compréhension des rôles etdes responsabilités des uns et des autres.

2. La démarche projet de l’organisme doit être adaptée pour intégrer la prise en compte duprocessus à chacune des étapes du projet. A noter que l’ANSSI a diffusé un guide d’intégrationde la SSI dans les projets13 qui décrit les livrables à prévoir par le chef de projet à chaque étapede celui-ci.

3. Les chefs de service en charge de la mise en œuvre d’un nouveau traitement doivent êtreimpliqués dans la démarche afin de participer à l’évaluation d’impact sur la vie privée au mêmetitre que les chefs de projet (CPI et CPU) qui auront un rôle plus spécifique dans la formalisationdu dossier de sécurité du projet.

13 www.ssi.gouv.fr/guide/40-gissip-guide-dintegration-de-la-securite-des-systemes-dinformation-dans-les-projets

32/80

4. Les RSSI et les CIL sont incontournables dans la démarche et constituent un binôme « socle »de la démarche. Dans un premier temps, ils accompagnent au changement les équipesconcernées, ensuite ils contribuent à donner un avis au dirigeant de l’organisme sur la décisionà prendre concernant l’homologation de la SSI et la validation de l’EIVP.

5. Les sous-traitants ou les partenaires doivent également être impliqués dans le processus lorsde la mise en œuvre des mesures de sécurité et dans l’élaboration du plan d’assurance SSI.

6. Une phase pilote doit probablement être mise en œuvre avant d’envisager une généralisationdu processus pour tous les nouveaux traitements de DCP et tous les nouveaux projetsinformatiques notamment si la maturité de l’organisme sur le sujet est faible.

7. Des actions de formation et de sensibilisation sont indispensables au démarrage de ladémarche afin que chacun s’approprie le processus et son rôle dans la démarche.

8. Un outillage adapté peut s’avérer nécessaire pour faciliter la réalisation des différentesétapes notamment pour apprécier les risques et définir les plans d’action.

9. Une aide externe pour la mise en œuvre de la démarche pourrait s’avérer utile pour éviter leserreurs dans la réalisation des étapes et capitaliser sur des expériences acquises.

10. La gouvernance SSI et « Informatique et Libertés » et la mise en place des filièresfonctionnelles est le prérequis indispensable à la réussite de la démarche. Le RSSI et le CILdoivent agir pour que l’organisation, les rôles et les responsabilités soient établis avant de mettreen œuvre le processus complet.

[...]

33/80

/ PRÉ

FACE

1/ À

QUI

S’AD

RESS

E CE

GUI

DE ?

2/ L

A PR

ISE

EN C

OMPT

E IN

CRÉM

ENTA

LE D

U RI

SQUE

3/ L’

ATEL

IER

D’AN

ALYS

E DE

RIS

QUE

4/ L

E PR

EMIE

R AT

ELIE

R

5/ L’

APPR

ÉCIAT

ION

DES

RISQ

UES

: LES

BAS

ES À

CON

NAÎTR

E ET

À TR

ANSM

ETTR

E

6/ Q

UE FA

IRE

APRÈ

S CH

AQUE

ATEL

IER ?

7/ LE

S AT

ELIE

RS S

UIVA

NTS,

ITÉRA

TION

APR

ÈS IT

ÉRAT

ION

8/ S

E PR

ÉPAR

ER À

UNE

DÉM

ARCH

E D’

HOMO

LOGA

TION

9/ F

ICHE

S MÉ

MO•S

tructu

rer sa

politi

que d

e séc

urité

• Les

clés p

our id

entifi

er les

risqu

es nu

mériq

ues c

ritiqu

es• L

e can

evas d

e l’an

alyse

de ris

que

• Un e

xemp

le co

mplet

/ ANN

EXES

• Glos

saire

• Bibl

iograp

hie

/ CON

TRIB

UER

À CE

GUI

DE

SOM

MAI

RE

AN

SS

I - O

ctob

re 2

018

Agi

lité

& s

écur

ité n

umér

ique

s

Mét

hode

et o

utils

à l'

usag

e de

s éq

uipe

s pr

ojet

DOCUMENT 8

34/80

La m

aîtr

ise

plei

ne e

t ent

ière

du

num

ériq

ue –

de

ses p

rogr

amm

es, d

e se

s ou

tils,

de s

es m

étho

des

et m

ême

de s

es c

odes

– e

st a

ujou

rd’h

ui

une

dim

ensi

on e

ssen

tielle

de

la sé

curi

té e

t de

la so

uver

aine

té. L

’Éta

t, au

mêm

e tit

re q

ue le

s en

trep

rise

s, ne

peu

t se

con

tent

er d

’êtr

e le

con

som

-m

ateu

r pas

sif d

e so

lutio

ns d

ével

oppé

es p

ar d

’aut

res,

pas p

lus q

u’il

ne p

eut

se sa

tisfa

ire

d’an

cien

nes m

étho

des e

t de

prot

ocol

es fi

gés.

C’es

t po

urqu

oi l’

agili

té e

t la

séc

urité

doi

vent

dés

orm

ais

être

inté

grée

s, au

pl

us tô

t et e

n pe

rman

ence

, dan

s la

cond

uite

de

proj

ets e

t ain

si n

ourr

ir e

ffi-

cace

men

t la

prév

entio

n de

s ris

ques

num

ériq

ues e

t la

déte

ctio

n de

s cyb

erat

-ta

ques

. Si l

’idée

fait

son

chem

in, s

a m

ise

en œ

uvre

tard

e en

core

à se

gén

é-ra

liser

.

C’es

t do

nc a

vec

beau

coup

d’e

ntho

usia

sme

que

l’AN

SSI

et la

DIN

SIC

ont

dé

cidé

de

conj

ugue

r le

urs

expe

rtis

es r

espe

ctiv

es e

n m

atiè

re d

e sé

curi

té

num

ériq

ue e

t de

gest

ion

de p

roje

t agi

le p

our

prop

oser

une

mét

hodo

logi

e co

mm

une

réso

lum

ent p

ratiq

ue e

t con

crèt

e.

Pour

la D

INSI

C, la

sécu

rité

des

serv

ices

dém

atér

ialis

és q

u’el

le d

ével

oppe

est

un

e va

leur

card

inal

e qu

i con

ditio

nne

l’effi

caci

té d

e to

ut p

roje

t, la

sûre

té d

e l’É

tat

et, b

ien

souv

ent,

la p

rote

ctio

n de

la

vie

priv

ée d

es c

itoy

ens.

Pour

l’A

NSS

I, l’a

gilit

é es

t un

impé

ratif

face

à u

n ét

at d

e la

men

ace

en m

ou-

vem

ent p

erm

anen

t.

Gui

llaum

e Po

upar

dD

irec

teur

gén

éral

de

l’Age

nce

natio

nale

de

la sé

curi

té d

es sy

stèm

es d

’info

rmat

ion

(AN

SSI)

Hen

ri V

erdi

erD

irec

teur

inte

rmin

isté

riel

du

num

ériq

ue e

t du

syst

ème

d’in

form

atio

n et

de

com

mun

icat

ion

de l’

État

(DIN

SIC)

La m

étho

de q

ue p

ropo

se c

e do

cum

ent

repo

se d

onc

avan

t to

ut s

ur l’

expé

-ri

ence

de

celle

s et

ceu

x qu

i, co

nsci

ents

de

la v

aleu

r de

cet

te a

llian

ce, l

a m

ette

nt e

n œ

uvre

et l

a fo

nt é

volu

er à

cha

que

nouv

eau

proj

et. P

our p

reuv

e,

le c

œur

de

la d

émar

che

repo

se s

ur l’

orga

nisa

tion

d’at

elie

rs d

’app

réci

atio

n de

s risq

ues e

t pré

pare

effi

cace

men

t à l’

hom

olog

atio

n de

s ser

vice

s num

ériq

ues

et a

pplic

atio

ns.

Nou

s ten

ons à

rem

erci

er n

os é

quip

es q

ui o

nt su

par

tage

r et

enr

ichi

r le

urs

conv

ictio

ns e

t pri

orité

s res

pect

ives

ain

si q

ue to

us ce

ux q

ui, p

ar le

ur p

artic

i-pa

tion

à l’a

ppel

à co

mm

enta

ires

, ont

fait

de ce

gui

de u

n ou

til q

ui sa

ura

fair

e éc

ho à

la ré

alité

des

équ

ipes

pro

jet !

PRÉF

ACE

AGIL

ITÉ &

SÉC

URIT

É NU

MÉR

IQUE

SMé

thode

et ou

tils à

l’usag

e des

équip

es pro

jet

35/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESÀ QUI S’ADRESSE CE GUIDE ?

À

QUI S

’ADR

ESSE

CE G

UIDE

?

Intitu

lé «

Agi

lité &

sécu

rité

num

ériq

ues –

Mét

hode

et o

utils

à l’

usag

e de

s éq

uipe

s pro

jet »

, ce

guid

e ex

pliq

ue d

e m

aniè

re p

ratiq

ue e

t con

crèt

e au

x éq

uipe

s d’e

ntité

s pub

lique

s et p

rivé

es c

omm

ent c

ondu

ire

un d

ével

op-

pem

ent n

umér

ique

dan

s le

cadr

e d’

une

équi

pe a

gile

tout

en

cons

idér

ant l

e vo

let s

écur

ité.

De

l’ana

lyse

au

trai

tem

ent d

es ri

sque

s num

ériq

ues,

des fi

ches

mém

o, ex

empl

es

et r

esso

urce

s do

cum

enta

ires

vou

s ac

com

pagn

ent p

as à

pas

dan

s le

dév

e-lo

ppem

ent s

écur

isé

de v

os se

rvic

es o

u pr

odui

ts.

Plus

pré

cisé

men

t, so

nt c

once

rnée

s par

ce

docu

men

t les

équ

ipes

don

t : le

pri

ncip

al o

bjec

tif

est

de li

vrer

rap

idem

ent

et f

réqu

emm

ent

un

prod

uit o

u un

serv

ice

à se

s usa

gers

, pou

r rés

oudr

e un

pro

blèm

e au

quel

ce

ux-c

i son

t con

fron

tés ;

les

mem

bres

son

t do

tés

de c

ompé

tenc

es d

iver

ses

– te

chni

ques

ou

non

– et

trav

aille

nt e

nsem

ble

au q

uotid

ien

;

les

mem

bres

son

t su

ffisa

mm

ent

auto

nom

es p

our

déci

der

ense

mbl

e de

l’or

gani

satio

n de

leur

pro

pre

trav

ail ;

l’at

tent

ion

est

prio

rita

irem

ent

tour

née

vers

la q

ualit

é de

ce

qu’e

lles

prod

uise

nt e

t qui

s’ou

tille

nt e

n co

nséq

uenc

e da

ns u

n so

uci p

erm

anen

t d’

amél

iora

tion.

Gén

éral

emen

t, ce

s car

acté

rist

ique

s – sa

ns ê

tre

indi

vidu

elle

men

t ess

entie

lles

à «

l’agi

lité »

– s’o

bser

vent

dan

s des

équ

ipes

plu

tôt r

édui

tes d

e ci

nq à

dix

per

-so

nnes

et s

’acc

ompa

gnen

t de

prat

ique

s tel

les q

ue le

man

agem

ent v

isuel

(tas

k bo

ard,

etc

.), l’

utili

satio

n sy

stém

atiq

ue d

e te

sts a

utom

atis

és, l

e dé

ploi

emen

t co

ntin

u, le

s out

ils D

evO

ps e

t le

cade

ncem

ent d

u tr

avai

l en

itéra

tions

. Nou

s dé

signo

ns l’e

nsem

ble

des i

nter

vena

nts d

’une

telle

équ

ipe

par l

e te

rme

équi

pe

prod

uit.

À QUI

S’AD

RESS

E CE G

UIDE

?

36/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUESÀ QUI S’ADRESSE CE GUIDE ?

À QUI S’ADRESSE CE GUIDE ?

NOTE

SLa

sécu

rité nu

mériq

ue co

ncern

e tou

te org

anisa

tion e

t tous

type

s de p

rojets

. La m

éthod

e d’id

entifi

cation

et de

traite

ment

des r

isque

s décr

ite da

ns ce

guide

perm

et de

mett

re en

évide

nce

quels

sont,

parm

i ces

risqu

es nu

mériq

ues, l

es plu

s con

séque

nts da

ns le

conte

xte d’

usag

e du

servic

e ou d

u prod

uit. L

a natu

re de

s risq

ues à

cons

idérer

est v

ariée

.

Citon

s, pa

r exe

mple,

les ac

tions

de sa

botag

e par

déni

de se

rvice

distr

ibué,

le vol

de do

nnée

s éc

onom

iques

ou à

carac

tère p

erson

nel, l

a frau

de ou

le dé

tourne

ment

d’usag

e à de

s fins

luc

rative

s, l’u

surpa

tion d

’iden

tité ou

enco

re les

actio

ns de

désta

bilisa

tion e

t d’at

teinte

à la

réputa

tion.

37/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESLA PRISE EN COMPTE INCRÉMENTALE DU RISQUE

LA P

RISE

EN

COM

PTE

INCR

ÉMEN

TALE

DU

RIS

QUE

Dan

s une

dém

arch

e sé

curi

taire

clas

sique

, l’é

quip

e dé

finit

les b

esoi

ns

de sé

curi

té e

t les

faço

ns d

’y ré

pond

re d

ès la

pha

se d

e co

ncep

tion

d’un

pro

jet,

les m

esur

es d

e sé

curi

té é

tant

très

souv

ent d

éfini

es e

t m

ises

en

œuv

re p

our

le p

érim

ètre

fina

l et s

on c

as d

’usa

ge à

la c

ible

. Dan

s un

e dé

mar

che

agile

, l’é

quip

e ch

erch

e à

livre

r trè

s tôt

de

la v

aleu

r à u

n pu

blic

do

nné

avec

un

prod

uit

inco

mpl

et, t

out

en c

herc

hant

à s

usci

ter

l’adh

ésio

n d’

autr

es p

ublic

s en

étoff

ant c

e pr

odui

t.

Voic

i, ill

ustr

ées,

deux

con

cept

ions

opp

osée

s : c

e qu

e pe

ut ê

tre

la c

ourb

e de

di

ffusi

on d

’un

prod

uit,

com

paré

e à

celle

résu

ltant

de

la li

vrai

son

d’un

pro

jet.

% du

publi

c visé

Prod

uit in

créme

ntal

Proje

t clas

sique

Temp

s

Diffus

ion d’

un pr

oduit

vs liv

raiso

n d’un

proje

t

LA P

RISE

EN

COM

PTE

IN

CRÉM

ENTA

LE D

U RI

SQUE

 :

LA C

LÉ D

E LA

COM

PATI

BILI

TÉ A

GILE

Pour

une

équ

ipe

dont

l’ob

ject

if es

t de

livre

r ra

pide

men

t de

la v

aleu

r à

ses

utili

sate

urs,

une

éval

uatio

n pe

rtin

ente

du

risq

ue e

st d

onc

obte

nue

en co

nsi-

déra

nt si

mul

tané

men

t le

nom

bre

d’us

ager

s et l

e ri

sque

enc

ouru

par

chac

un,

pour

dét

erm

iner

une

exp

ositi

on g

loba

le a

u ri

sque

.

38/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

LA PRISE EN COMPTE INCRÉMENTALE DU RISQUE

LA PRISE EN COMPTE INCRÉMENTALE DU RISQUE

Expo

sition

au ris

que r

ésidu

el d’u

n prod

uit

Ain

si, l

a pr

ise

en co

mpt

e de

s enj

eux

de sé

curi

té p

ar u

ne é

quip

e ag

ile se

veu

t co

ntin

ue (t

out a

u lo

ng d

e la

cons

truc

tion

et d

e l’a

mél

iora

tion

du se

rvic

e) e

t pr

agm

atiq

ue p

uisq

u’el

le p

rior

ise

les

effor

ts e

n fo

nctio

n du

ris

que

réel

et

assu

me

l’exi

sten

ce d

e ri

sque

s rés

idue

ls. C

e pr

inci

pe d

e m

anag

emen

t de

la

sécu

rité

num

ériq

ue p

ar le

s ri

sque

s es

t cel

ui q

ui g

uide

la d

émar

che

pro-

posé

e.

La fi

gure

ci-d

esso

us su

perp

ose

à la

cour

be d

e di

ffusi

on u

ne co

urbe

hyp

othé

-tiq

ue r

epré

sent

ant

le r

isqu

e ré

sidu

el a

uque

l un

seul

usa

ger

sera

it ex

posé

. In

itial

emen

t, le

ris

que

par

usag

er e

st s

ubst

antie

l, m

ais

avec

une

poi

gnée

d’

utili

sate

urs,

il re

ste

glob

alem

ent a

ccep

tabl

e. E

n re

vanc

he, l

orsq

ue le

pro

duit

devi

ent

un s

uccè

s, l’é

quip

e do

it al

ors

renf

orce

r le

tra

item

ent

des

risq

ues

rési

duel

s.

L’im

port

ant

est

donc

de

s’ass

urer

d’a

rriv

er a

u po

int

d’in

flexi

on e

n ay

ant

couv

ert l

es ri

sque

s num

ériq

ues l

es p

lus i

mpo

rtan

ts, l

a re

cher

che

de l’

exha

us-

tivité

n’é

tant

pas

forc

émen

t pri

orita

ire,

sou

s pe

ine

d’al

loue

r de

s re

ssou

rces

co

nséq

uent

es p

our

un r

ésul

tat

miti

gé a

lors

que

ces

der

nièr

es a

urai

ent

pu

être

inve

stie

s dan

s une

mei

lleur

e co

mpr

éhen

sion

du

beso

in.

NOTE

S

% du

publi

c visé

Expo

sition

total

e au r

isque

Risqu

e rés

iduel

par u

sage

rTe

mps

% du

publi

c visé

Ris

que r

ésidu

el pa

r usa

ger

Expo

sition

total

e au r

isque

39/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESL’ATELIER D’ANALYSE DE RISQUE

L’A

TELI

ER D

’ANA

LYSE

DE R

ISQU

E

Nos

reco

mm

anda

tions

conc

rète

s env

ers l

es é

quip

es a

gile

s peu

vent

se

résu

mer

ain

si : l

’équ

ipe

se ré

unit,

à in

terv

alle

s rég

ulie

rs, p

our

disc

uter

des

ris

ques

num

ériq

ues

qui p

euve

nt im

pact

er le

s us

ager

s de

son

serv

ice

ou p

rodu

it e

t déc

ider

de

la m

eille

ure

man

ière

de

trai

ter

ces

risq

ues.

Un

atel

ier t

ype

d’an

alys

e de

risq

ue se

dér

oule

dan

s les

con

ditio

ns su

ivan

tes :

pré

senc

e de

tout

e l’é

quip

e et

seul

emen

t de

l’équ

ipe ;

dur

ée fi

xe e

t lim

itée

(une

à t

rois

heu

res)

, mie

ux v

aut

priv

ilégi

er la

pr

ogra

mm

atio

n de

plu

sieu

rs a

telie

rs.

Le su

ppor

t d’a

nim

atio

n de

l’at

elie

r peu

t rep

oser

sur l

’util

isat

ion

d’un

pap

er

boar

d ou

de

Post

-it p

our a

ccom

pagn

er la

dis

cuss

ion

et a

nim

er le

s élé

men

ts

d’an

alys

e de

risq

ue q

ui a

uron

t été

con

sign

és su

r des

feui

llets

.

L’ATE

LIER

D’A

NALY

SE D

E RI

SQUE

 : LE

CŒ

UR D

E LA

DÉM

ARCH

E

40/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

L’ATELIER D’ANALYSE DE RISQUE

L’ATELIER D’ANALYSE DE RISQUE

Les co

nditi

ons d

u su

ccès

d’u

n at

elie

r d’a

naly

se d

e ris

que

sont

à ra

ppro

cher

de ce

lles d

’aut

res «

ritu

els »

agi

les,

com

me

par e

xem

ple

la ré

tros

pect

ive.

Vé

rita

ble

faci

litat

eur,

l’ani

mat

eur d

e ce

s ate

liers

ass

ume

un rô

le p

arti

cu-

lière

men

t im

port

ant d

ont v

oici

que

lque

s-un

es d

es p

rinc

ipal

es r

espo

nsa-

bilit

és : s’

assu

rer q

ue la

pri

se d

e pa

role

est

répa

rtie

de

faço

n éq

uilib

rée

entr

e le

s diff

éren

ts p

artic

ipan

ts à

l’at

elie

r ;

vei

ller à

ce

que

le g

roup

e ne

dév

ie p

as d

u su

jet à

trai

ter ;

mai

nten

ir u

n cl

imat

bie

nvei

llant

;

surv

eille

r l’h

orlo

ge…

Un

bon

atel

ier n

e dé

bord

e pa

s (tr

op) d

u te

mps

im

part

i.

Une

ani

mat

ion

effica

ce s

uppo

se é

gale

men

t de

bie

n m

aîtr

iser

le c

anev

as

d’an

alys

e de

risq

ue ; c

elui

-ci e

st p

rése

nté

sché

mat

ique

men

t plu

s loi

n (s

ectio

n «

L’app

réci

atio

n de

s risq

ues :

les b

ases

à co

nnaî

tre

et à

tran

smet

tre »

pag

e 20

) et

de

faço

n pl

us d

étai

llée

et a

naly

tique

en

fiche

mém

o pa

ge 42

.

La p

rése

nce

d’un

exp

ert e

n sé

curi

té n

umér

ique

n’e

st p

as in

disp

ensa

ble

à la

ré

ussi

te d

e la

dém

arch

e. Q

uelle

s que

soie

nt le

s con

clus

ions

de

l’ana

lyse

de

risq

ue, c

’est

à l’

équi

pe d

ans

son

ense

mbl

e qu

’il in

com

bera

de

met

tre

en

œuv

re le

s act

ions

qui

s’en

dég

agen

t et c

’est

not

amm

ent e

n ce

la q

ue s’

illus

tre

l’agi

lité

d’un

e éq

uipe

.

Un

atel

ier

de t

rava

il n’

est

pas

une

réun

ion.

L’e

ffica

cité

d’u

n at

elie

r es

t co

nditi

onné

e pa

r un

e pr

ise

de p

arol

e et

d’in

itiat

ive

équi

libré

e en

tre

part

i-ci

pant

s. El

le r

isqu

e d’

être

dim

inué

e pa

r la

pré

senc

e d’

obse

rvat

eurs

ou

de

pers

onne

s no

n im

pliq

uées

(ou

trè

s in

dire

ctem

ent)

dan

s la

réa

lisat

ion

du

prod

uit.

Le n

ivea

u de

mat

urité

et d

e co

mpé

tenc

e au

sein

de

l’équ

ipe

en m

atiè

re d

e sé

curi

té n

umér

ique

pès

era

lui a

ussi

de

faço

n dé

term

inan

te su

r les

résu

ltats

de

la d

émar

che.

Si l

’équ

ipe

ne m

aîtr

ise

pas s

uffisa

mm

ent c

es c

ompé

tenc

es

au d

émar

rage

, il l

ui fa

udra

don

c le

s ac

quér

ir. L

a pr

ésen

ce d

’un

expe

rt e

n sé

curi

té n

umér

ique

, dan

s une

pos

ture

de

serv

ice

et d

’acc

ompa

gnem

ent,

peut

do

nc ê

tre

un fa

cteu

r de

réus

site

. Il o

u el

le p

ourr

a jo

uer u

n rô

le d

’ani

mat

ion

ou d

e fa

cilit

atio

n, m

ais

égal

emen

t fai

re b

énéfi

cier

de

son

expe

rtise

lors

que

c’est

opp

ortu

n.

/ COM

MEN

T ANI

MER

L’ATE

LIER ?

/ FAU

T-IL

SE FA

IRE A

CCOM

PAGN

ER ?

L’ad

age

est b

ien

conn

u : «

Le m

eille

ur m

omen

t pou

r pla

nter

un

arbr

e, c’é

tait

il y

a 20

ans

; le

deu

xièm

e m

eille

ur m

omen

t, c’e

st m

aint

enan

t. » Il

n’e

st

jam

ais t

rop

tard

pou

r par

ler d

e sé

curit

é nu

mér

ique

et é

valu

er le

s risq

ues i

n-hé

rent

s à

la c

ondu

ite d

’un

proj

et d

onné

, idé

alem

ent a

vant

mêm

e le

déb

ut

des

trav

aux

de r

éalis

atio

n, v

oire

d’in

vest

igat

ion.

Néa

nmoi

ns, l

e fa

it qu

e l’é

quip

e ai

t déj

à ré

alisé

un

ou p

lusie

urs

incr

émen

ts d

e fo

nctio

nnal

ité, v

oire

qu

e so

n pr

odui

t soi

t déj

à ac

cess

ible

à d

e pr

emie

rs u

sage

rs, n

e sa

urai

t con

stitu

er

une

raiso

n va

labl

e de

ne

pas s

e liv

rer à

l’ex

erci

ce.

/ QUA

ND FA

UT-IL

TENI

R CE

S AT

ELIE

RS ?

41/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESLE PREMIER ATELIER

LE P

REM

IER

ATEL

IER

En

amon

t du

prem

ier a

telie

r voi

re e

n dé

but d

e sé

ance

, il e

st im

port

ant

de d

éfini

r le

péri

mèt

re d

e l’a

naly

se.

Y e

st in

clus

: ce

qui

eng

age

la re

spon

sabi

lité

de l’

équi

pe e

t de

sa h

ié-

rarc

hie.

E

n es

t exc

lu :

ce q

ui re

lève

éve

ntue

llem

ent d

’aut

res a

cteu

rs.

Pour

lanc

er c

e pr

emie

r ate

lier,

vous

pou

vez

prop

oser

le ca

drag

e su

ivan

t :

Un

moi

s apr

ès le

lanc

emen

t du

prod

uit,

vous

déc

ouvr

ez a

vec h

orre

ur u

n ar

ticle

dan

s la

pres

se n

atio

nale

qui

fait

état

d’u

ne é

norm

e fa

ille

de sé

cu-

rité

exp

loité

e av

ec s

uccè

s. Q

uels

scén

ario

s de

men

aces

pos

sible

s vo

us

vien

nent

à l’

espr

it ?

Cet e

xerc

ice

perm

ettr

a de

con

cent

rer l

’att

enti

on d

es p

arti

cipa

nts s

ur le

s en

jeux

et

beso

ins

de s

écur

ité

les

plus

impo

rtan

ts t

out

en a

mor

çant

la

disc

ussi

on. L

orsq

ue c

elle

-ci c

esse

de

fair

e ém

erge

r de

nou

velle

s id

ées,

pro-

pose

z au

x pa

rtic

ipan

ts d

e fo

rmal

iser

ce q

ui re

ssor

t de

l’ate

lier e

n co

nsul

tant

la

sect

ion

suiv

ante

.

N’h

ésite

z pa

s à

ordo

nnan

cer

dès

ce p

rem

ier

atel

ier

les

gran

des

étap

es q

ui

guid

eron

t vo

tre

dém

arch

e de

séc

urité

num

ériq

ue. S

i cel

le-c

i s’in

scri

t da

ns

une

hom

olog

atio

n de

sécu

rité

, con

sulte

z la

sect

ion

« Se

pré

pare

r à u

ne d

é-m

arch

e d’

hom

olog

atio

n »

page

31.

LE P

REM

IER

ATEL

IER

Premi

er ate

lier

Cadr

er le

pér

imèt

re

et fa

ire u

ne an

alyse

de

risq

ue g

lobale

Les at

eliers

sui

vants

Analy

ser p

lus

finem

ent l

es ri

sque

s et

les t

raite

r

Après

un

ateli

er Fo

rmali

ser

les ré

sulta

ts

Et si

besoi

n Pr

épar

er

l’hom

ologa

tion

42/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

LE PREMIER ATELIER

LE PREMIER ATELIER

Afin d

’illustr

er co

ncrèt

emen

t la dé

march

e prop

osée

, nou

s avon

s cho

isi de

rend

re co

mpte

du

premi

er ca

s rée

l dan

s leq

uel e

lle a é

té uti

lisée.

Il s’ag

it de l

a plat

eform

e nati

onale

Le.Ta

xi do

nt la

missi

on es

t d’in

forme

r sur

la dis

ponib

ilité e

t la gé

oloca

lisatio

n des

véhicu

les de

s opé

rateu

rs de

taxi

partic

ipants

.

Pour

ce sy

stème

d’inf

ormati

on, n

ous a

vons s

ouha

ité re

trace

r dan

s ce g

uide l

’ensem

ble de

la

déma

rche,

du pr

emier

atelie

r à la

cons

titutio

n du d

ossier

d’ho

molog

ation

. L’an

alyse

de ris

que

comp

lète e

st dis

ponib

le en

fiche

mém

o pa

ge 49

et le

s exe

mples

à su

ivre s

ont is

sus d

e ces

atelier

s et d

e leu

rs livr

ables

.

/ Un e

xemp

le su

ivi pa

s à pa

s : Le

.Taxi

NOTE

S

/ Res

sourc

es ut

iles

Référ

entie

ls rég

lemen

taires

et

norm

atifs

Guide

s d’h

ygièn

e inf

ormati

que

Bases

de

conn

aissan

ces

d’ana

lyse d

e risq

ue

Straté

gie

d’hom

ologa

tion

visée

43/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESL’APPRÉCIATION DES RISQUES : LES BASES À CONNAÎTRE ET À TRANSMETTRE

L’APP

RÉCI

ATIO

N DE

S RI

SQUE

S

La va

leur

mét

ier

corr

espo

nd à

la v

aleu

r liv

rée

aux

utili

sate

urs

et

s’art

icul

e en

use

r sto

ries

. Les

use

r sto

ries

au

nive

au le

plu

s mac

ros-

copi

que

(par

fois

app

elée

s ep

ics)

rev

êten

t gé

néra

lem

ent

un e

njeu

de

sécu

rité

sign

ifica

tif v

is-à

-vis

de

l’un

ou l’

autr

e de

s cri

tère

s ci-d

esso

us.

[D]

Dis

poni

bilit

é : l

a fo

nctio

nnal

ité p

eut

être

util

isée

au

mom

ent

voul

u ;

[I] I

ntég

rité

: le

s don

nées

sont

exa

ctes

et c

ompl

ètes

;

[C] C

onfid

enti

alit

é : l

es in

form

atio

ns n

e so

nt d

ivul

guée

s qu’

aux

per-

sonn

es a

utor

isée

s ;

[P] P

reuv

e : le

s tra

ces d

e l’a

ctiv

ité d

u sy

stèm

e so

nt o

ppos

able

s en

cas

de c

onte

stat

ion.

De

par

leur

crit

icité

vis

-à-v

is de

s en

jeux

opé

ratio

nnel

s et

rég

lem

enta

ires

de

l’org

anism

e, ce

s qua

lités

doi

vent

êtr

e pr

otég

ées f

ace

aux

men

aces

jugé

es v

rai-

sem

blab

les (

atta

ques

info

rmat

ique

s, ac

tes d

e fr

aude

, err

eurs

, déf

ailla

nces

, etc

.).

L’APP

RÉCI

ATIO

N DE

S RI

SQUE

S :

LES

BASE

S À C

ONNA

ÎTRE

ET À

TRAN

SMET

TRE

/ Exe

mple 

: Le.T

axi

User

storie

s[D

][I]

[C]

[P]

Un cl

ient tr

ansm

et son

iden

tifian

t, sa p

ositio

n et

son nu

méro

de té

lépho

neUn

clien

t peu

t éme

ttre un

e dem

ande

(«

héler

virtue

llemen

t » un

taxi)

Un cl

ient p

eut é

value

r une

cours

e effe

ctuée

ou

décla

rer un

incid

ent

Un ad

minis

trateu

r peu

t enre

gistre

r ou r

adier

un ta

xi

Besoi

n imp

ortan

tBe

soin t

rès im

porta

nt

44/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

L’APPRÉCIATION DES RISQUES : LES BASES À CONNAÎTRE ET À TRANSMETTRE

L’APPRÉCIATION DES RISQUES : LES BASES À CONNAÎTRE ET À TRANSMETTRE

Com

men

cez

par c

es q

uatr

e ca

tégo

ries

qui

ont

tend

ance

à co

nstit

uer «

l’ang

le

mor

t » p

our

beau

coup

d’é

quip

es. R

éser

vez

une

coul

eur

plus

cla

ssiq

ue,

le ja

une

par e

xem

ple,

pou

r lis

ter s

épar

émen

t à la

fin

de l’

exer

cice

:

Les s

céna

rios

de

risq

ues p

euve

nt ê

tre

nom

més

abu

ser s

tori

es ca

r ils

corr

es-

pond

ent

au r

ever

s né

fast

e d’

une

user

sto

ry e

t en

gend

rent

une

per

te d

e va

leur

.

Cha

que

beso

in d

e sé

curi

té id

entifi

é co

nstit

ue le

poi

nt d

e dé

part

pou

rdé

crire

un

ou p

lusie

urs

évén

emen

ts r

edou

tés

susc

eptib

les

de c

ompr

o-m

ettr

e la

val

eur d

’usa

ge.

Un

risq

ue d

écri

t la

réal

isat

ion

d’un

scén

ario

de

men

ace

inte

ntio

nnel

ou

acci

dent

el :

1/ u

ne so

urce

de

risq

ue (u

n cy

berc

rim

inel

ou

un fr

aude

ur, p

ar e

xem

ple)

2/ p

ar le

bia

is d

’un

com

posa

nt v

ulné

rabl

e du

pro

duit

ou se

rvic

e

3/ p

rovo

que

un é

véne

men

t red

outé

4/ o

ccas

ionn

ant

des

impa

cts

sur

la v

aleu

r m

étie

r, di

rect

s et

indi

rect

s (h

umai

ns, o

péra

tionn

els,

juri

diqu

es, e

tc.).

On

lui a

ssoc

ie u

ne c

ritic

ité b

asée

sur l

’est

imat

ion

conj

oint

e de

la g

ravi

té d

es

impa

cts e

t de

la v

rais

embl

ance

du

scén

ario

de

men

ace

cond

uisa

nt à

l’év

éne-

men

t red

outé

.

/ DES

BES

OINS

DE S

ÉCUR

ITÉ A

UX ÉV

ÉNEM

ENTS

RED

OUTÉ

S

/ LES

RIS

QUES

RÉS

ULTE

NT D

E LA C

OMBI

NAIS

ON D

ES É

LÉM

ENTS

DE

L’ANA

LYSE

/ Exe

mple 

: Le.T

axi

Évén

emen

ts red

outés

Impa

cts m

étier

Gravi

té

Le sys

tème n

e rép

ond p

asEx

périe

nce u

tilisat

eur d

égrad

ée

Perte

de cl

ients

Un op

érateu

r de t

axis é

met d

e fau

sses

posit

ions

Qualit

é de s

ervice

dégra

dée

Perte

de cl

ients

Un ta

xi fai

t une

cours

e d’ap

proch

e en

pure

perte

Perte

de co

nfian

ce et

d’ad

hésio

n de

s tax

is

Désen

gage

ment

abou

tissan

t à u

ne ré

ducti

on de

l’offre

de ta

xis

Modé

réeTrè

s élev

ée

Cha

cune

des

qua

tre

caté

gori

es p

ré-c

itées

cor

resp

ondr

a à

une

coul

eur

de

Post

-it. V

oici

une

sugg

estio

n po

ur la

cor

resp

onda

nce

entr

e le

s cou

leur

s :

En ta

nt qu

’ <a

ttaqu

ant>

lorsq

u’ <u

n com

posan

t>

est vu

lnérab

le

je sou

haite

dé

clenc

her u

n <é

vénem

ent re

douté

>

afin d

e pro

voque

r un

<imp

act né

gatif>

les m

esures

de sé

curité

déjà

mises

en pl

ace ;

les m

esures

de sé

curité

à pre

ndre,

déjà

conn

ues o

u qui

ont é

mergé

de la

discu

ssion

.

45/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESQUE FAIRE APRÈS CHAQUE ATELIER ?

L’ate

lier i

nitia

l ne

suffi

ra p

eut-ê

tre

pas à

pla

cer l

’équ

ipe

en si

tuat

ion

de c

onfia

nce

vis-à

-vis

du

trai

tem

ent d

es r

isqu

es n

umér

ique

s, pa

rti-

culiè

rem

ent

s’il

s’agi

t de

la p

rem

ière

mis

e en

œuv

re d

’une

tel

le

dém

arch

e ou

d’u

n su

jet p

artic

uliè

rem

ent s

ensi

ble.

Pour

favo

rise

r la

cont

inui

té d

e ce

trav

ail d

’un

atel

ier à

l’au

tre,

il e

st u

tile

d’en

fo

rmal

iser

les r

ésul

tats

de

man

ière

cohé

rent

e av

ec la

dém

arch

e ag

ile ch

oisi

e pa

r l’é

quip

e. L

es d

étai

ls d

épen

dron

t, bi

en e

nten

du, d

e ch

aque

équ

ipe

et d

e se

s pra

tique

s d’o

rgan

isat

ion

et d

’ingé

nier

ie, m

ais v

oici

que

lque

s pis

tes :

l’an

alys

e de

ris

que

peut

êtr

e co

nsig

née

dans

un

Wik

i ou

tout

aut

re

espa

ce d

ocum

enta

ire,

pou

rvu

qu’il

soit

faci

lem

ent a

cces

sibl

e pa

r tou

s le

s mem

bres

de

l’équ

ipe ;

les

abus

er s

tori

es p

ourr

ont

être

tra

itées

com

me

les

user

sto

ries

et

ajou

tées

au

back

log ;

si l’

équi

pe le

fait

pour

les u

ser s

tori

es, e

lles p

euve

nt ê

tre

prio

risé

es,

anno

tées

par

leu

rs d

éfin

itio

ns d

e «

fait

» e

t év

entu

elle

men

t «

prêt

» ;

la d

émon

stra

tion

de la

pri

se e

n co

mpt

e de

s ri

sque

s as

soci

és à

une

ab

user

stor

y pe

ut ê

tre

faite

par

le b

iais

de

test

s aut

omat

isés

, com

me

c’est

le c

as p

our

les

user

sto

ries

: au

lieu

de

dém

ontr

er p

ar u

n te

st

qu’u

n sc

énar

io fo

nctio

nnel

abo

utit,

on

cher

cher

a à

dém

ontr

er, a

u co

ntra

ire,

qu’

un v

ecte

ur d

’att

aque

n’a

bout

it pa

s.

QUE F

AIRE

AP

RÈS

CHAQ

UE AT

ELIE

R ?

QUE

FAIR

E AP

RÈS

CHAQ

UE A

TELI

ER ?

46/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESLES ATELIERS SUIVANTS, ITÉRATION APRÈS ITÉRATION

Au

fil d

es it

érat

ions

, il d

evie

ndra

pér

iodi

quem

ent n

éces

sair

e d’

ac-

tual

iser

ou

d’affi

ner

le r

ésul

tat

du p

rem

ier

atel

ier,

par

exem

ple

lors

des

évé

nem

ents

suiv

ants

:

la r

éalis

atio

n d’

une

user

sto

ry in

duit

des

évol

utio

ns d

’arc

hite

ctur

e te

lles

que

l’ajo

ut o

u la

mod

ifica

tion

d’un

com

posa

nt te

chni

que ;

la r

éalis

atio

n d’

une

user

stor

y am

ène

à ex

pose

r de

s do

nnée

s d’

une

autr

e na

ture

que

cel

les

préc

édem

men

t tr

aité

es (d

es d

onné

es p

erso

nnel

les

par

exem

ple,

alo

rs q

ue c

e n’

étai

t pas

le c

as a

upar

avan

t) ;

l’éq

uipe

réal

ise u

n at

elie

r déd

ié à

une

fonc

tionn

alité

spéc

ifiqu

e du

pro

duit,

qu

i adr

esse

une

ou

plus

ieur

s us

er st

orie

s plu

s pa

rtic

uliè

rem

ent s

ensi

bles

en

term

es d

e sé

curi

té ;

les r

etou

rs d

es u

sage

rs a

mèn

ent à

éva

luer

diff

érem

men

t la

vale

ur m

étie

r de

s diff

éren

tes u

ser s

torie

s ou

les b

esoi

ns d

e sé

curi

té q

ui le

ur so

nt a

ssoc

iés ;

le n

ombr

e d’

usag

ers o

u le

vol

ume

de tr

ansa

ctio

ns m

étie

r a se

nsib

lem

ent

évol

ué, d

e te

lle so

rte

que

l’exp

ositi

on to

tale

au

risq

ue a

, elle

aus

si, é

volu

é.

À l’

imag

e de

s aut

res a

ctiv

ités m

enée

s par

les é

quip

es a

gile

s, le

trav

ail à

réa-

liser

est

alo

rs p

resq

ue id

entiq

ue à

celu

i du

prem

ier a

telie

r. A

u fil

des

itér

atio

ns,

l’équ

ipe

appr

endr

a ai

nsi à

teni

r com

pte,

dan

s son

pla

n de

cha

rge,

du

tem

ps

cons

omm

é pa

r les

act

ivité

s lié

es à

la sé

curi

té a

fin d

e lis

ser c

e tr

avai

l dan

s le

tem

ps, c

omm

e el

le le

fait

pour

les a

ctiv

ités l

iées

à la

qua

lité.

LES

ATEL

IERS

SUI

VANT

S,

ITÉRA

TION

APRÈ

S ITÉ

RATIO

N

LES

ATEL

IERS

SU

IVAN

TS

On

appe

lle «

det

te te

chni

que

» le

choi

x qu

e fa

it un

e éq

uipe

de

priv

ilégi

erte

mpo

raire

men

t la

livra

ison

de n

ouve

lles f

onct

ionn

alité

s, au

dét

rimen

t de

pra

tique

s de

conc

eptio

n te

lles q

ue le

refa

ctor

ing,

l’au

tom

atisa

tion

en so

u-tie

n du

test

ou

la m

ise e

n co

mm

un d

es c

onna

issan

ces.

Cett

e st

raté

gie

peut

s’a

vére

r pa

yant

e m

ais d

oit r

ésul

ter

d’un

cho

ix d

élib

éré

et n

on d

’un

man

que

/ DET

TE S

ÉCUR

ITAIR

E

47/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

LES ATELIERS SUIVANTS, ITÉRATION APRÈS ITÉRATION

LES ATELIERS SUIVANTS, ITÉRATION APRÈS ITÉRATION

NOTE

Sde

com

péte

nces

dan

s ces

dom

aine

s. L’

inte

ntio

n es

t de

met

tre

plus

rapi

dem

ent

de n

ouve

lles v

ersio

ns d

u pr

odui

t ou

du se

rvic

e en

tre

les m

ains

des

usa

gers

et

d’ob

teni

r de

s ret

ours

de

ces d

erni

ers,

avan

t de

« re

mbo

urse

r »

la d

ette

dan

s un

seco

nd te

mps

.

Par a

nalo

gie,

on

peut

par

ler d

e «

dett

e sé

curit

aire

» lo

rsqu

e l’é

quip

e es

t am

e-né

e à

diffé

rer l

e tr

aite

men

t de

cert

ains

risq

ues d

ans l

e bu

t de

met

tre

plus

ra-

pide

men

t le

prod

uit à

l’ép

reuv

e de

ses p

rem

iers

usa

gers

. De

la m

ême

faço

n,

cette

stra

tégi

e do

it ré

sulte

r d’u

n ch

oix d

élib

éré

et n

on d

’un

man

que

d’at

tent

ion

port

ée à

l’an

alys

e de

risq

ues o

u de

com

péte

nces

en

la m

atiè

re.

Dan

s le

s de

ux c

as, u

n at

elie

r d’

anal

yse

de r

isque

tel q

ue n

ous

l’avo

ns d

écri

t ci

-des

sus p

eut a

men

er l’é

quip

e à

rése

rver

une

par

t im

port

ante

de

sa ca

paci

té,

ou c

onsa

crer

une

itér

atio

n en

tière

, à la

pris

e en

com

pte

de la

sécu

rité

du sy

s-tè

me.

48/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESSE PRÉPARER À UNE DÉMARCHE D’HOMOLOGATION

L’hom

olog

atio

n de

sécu

rité

est

un

acte

form

el p

ar le

quel

l’au

tori

-té

resp

onsa

ble

d’un

syst

ème

enga

ge sa

resp

onsa

bilit

é en

mat

ière

de

ges

tion

du

risq

ue. E

lle e

st re

ndue

obl

igat

oire

, pou

r les

adm

inis

-tr

atio

ns, p

ar le

déc

ret

n°20

10-1

12 d

u 2

févr

ier

2010

, sel

on d

es m

odal

ités

préc

isée

s pa

r le

Réf

éren

tiel g

énér

al d

e sé

curi

té (

RG

S). D

e m

ême,

elle

est

ob

ligat

oire

pou

r tou

t pro

duit

trai

tant

d’in

form

atio

ns re

leva

nt d

u se

cret

de

la D

éfen

se n

atio

nale

, com

me

préc

isé

dans

l’In

stru

ctio

n gé

néra

le in

term

inis

-té

riel

le 1

300

(IG

I 130

0). C

itons

éga

lem

ent l

a lo

i de

prog

ram

mat

ion

mili

taire

, do

nt le

vol

et cy

ber (

loi n

° 20

13-1

168

du 1

8 dé

cem

bre

2013

- art

icle

22)

, im

pose

au

x op

érat

eurs

d’im

port

ance

vita

le le

ren

forc

emen

t de

la s

écur

ité d

es sy

s-tè

mes

d’in

form

atio

n cr

itiqu

es q

u’ils

exp

loite

nt, m

ené

dans

le c

adre

d’u

ne

dém

arch

e d’

hom

olog

atio

n.

Lors

qu’e

lle n

’est

pas

régl

emen

tair

emen

t im

posé

e, la

dém

arch

e d’

hom

olo-

gati

on r

este

tou

tefo

is u

ne e

xcel

lent

e fa

çon

de t

émoi

gner

, vis

-à-v

is d

es

usag

ers,

de la

vol

onté

de

pren

dre

en c

ompt

e la

séc

urit

é nu

mér

ique

des

se

rvic

es p

ropo

sés e

t de

valo

rise

r le

nive

au d

e m

aîtr

ise

des r

isqu

es a

ttei

nt

(la m

étho

de p

rése

ntée

peu

t éga

lem

ent s

ervi

r de

poin

t de

dépa

rt à

une

dé-

mar

che

de c

ertifi

catio

n ou

de

qual

ifica

tion

de so

lutio

ns d

e sé

curi

té).

Com

me

le r

appe

lle le

gui

de «

L’ho

mol

ogat

ion

de s

écur

ité e

n ne

uf é

tape

s sim

ples

» :

Les

livra

bles

de

l’ate

lier

d’an

alys

e de

ris

que,

tel

que

nou

s l’a

vons

pré

sent

é da

ns c

es p

ages

, con

stitu

ent u

n en

tran

t néc

essa

ire

mai

s gén

éral

emen

t ins

uf-

fisan

t dan

s le

cadr

e d’

une

dém

arch

e d’

hom

olog

atio

n. P

ar c

onsé

quen

t, no

us

reco

mm

ando

ns d

e dé

dier

un

atel

ier

à la

pré

para

tion

de

la c

omm

issi

on

d’ho

mol

ogat

ion

(form

alisa

tion

du d

ossie

r de

sécu

rité,

bila

n de

s tes

ts e

t aud

its

de sé

curi

té, c

onso

lidat

ion

des r

isqu

es ré

sidu

els,

suiv

i des

mes

ures

de

sécu

ri-

té e

t du

plan

d’a

ctio

n co

rrec

tif).

SE P

RÉPA

RER

À UNE

DÉM

ARCH

E D’H

OMOL

OGAT

ION

L’obje

ctif d

e la dé

march

e d’ho

molog

ation

[...] e

st de t

rouver

un éq

uilibre

entre

le ris

que a

ccepta

ble

et les

coûts

de sé

curis

ation

, puis

de fa

ire ar

bitrer

cet é

quilib

re, de

man

ière f

ormelle

, par

un

respo

nsab

le qu

i a au

torité

pour

le fai

re.

SE P

RÉPA

RER

À UN

E DÉ

MAR

CHE

D’HO

MOL

OGAT

ION

49/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

SE PRÉPARER À UNE DÉMARCHE D’HOMOLOGATION

SE PRÉPARER À UNE DÉMARCHE D’HOMOLOGATION

Une

déc

ision

d’h

omol

ogat

ion

ferm

e po

urra

êtr

e pr

onon

cée

dès l

ors q

u’un

pr

odui

t ou

un s

ervi

ce a

ura

atte

int s

on «

régi

me

de c

roisi

ère »

. Elle

est

gé

néra

lem

ent a

ssor

tie d

’une

pér

iode

de

valid

ité p

lus l

ongu

e (t

rois

ans é

tant

un

e va

leur

typi

que)

et v

ise le

cont

exte

d’ex

ploi

tatio

n no

rmal

emen

t pré

vu, s

ans

rest

rictio

ns p

artic

uliè

res d

’usa

ge.

Le gu

ide

L’ho

mol

ogat

ion

de s

écur

ité e

n ne

ufét

apes

sim

ples

dét

aille

les é

tape

s de

la c

onst

i-tu

tion

du d

ossie

r de

sécu

rité

en v

ue d

’une

com

mis

-si

on d

’hom

olog

atio

n. S

impl

e, p

ratiq

ue e

t co

ncis,

l’e

xpér

ienc

e pro

uve q

u’il

sera

un

com

pagn

on p

réci

eux

pour

tout

es le

s équ

ipes

agi

les q

ui so

uhai

tent

abo

u-tir

à u

ne d

écisi

on d

’hom

olog

atio

n.

Par

hyp

othè

se, l

’équ

ipe

à la

quel

le s

’adr

esse

le p

rése

nt g

uide

che

rche

àm

ettr

e ra

pide

men

t en

serv

ice

une

prem

ière

ver

sion

inco

mpl

ète

du p

ro-

duit,

pui

s à l’

étoff

er p

ar in

crém

ents

fonc

tionn

els.

Dan

s ce

cont

exte

, l’é

quip

e se

diri

gera

don

c na

ture

llem

ent v

ers u

ne d

écis

ion

d’ho

mol

ogat

ion

prov

isoi

re, a

fin d

’ada

pter

le n

ivea

u de

ris

que

rési

duel

ac

cept

é à

un co

ntex

te d

onné

. Sa

valid

ité se

ra li

mité

e da

ns le

tem

ps e

t con

di-

tionn

ée p

ar d

es cr

itère

s lié

s au

volu

me

ou à

l’in

tens

ité d

’expl

oita

tion,

dan

s une

un

ité a

ppro

prié

e : e

n no

mbr

e d’

usag

ers,

en v

olum

e de

tran

sact

ions

, etc

.

Ces c

ritè

res

de v

alid

ité d

oive

nt p

ouvo

ir êt

re m

esur

és e

t sur

veill

és a

fin d

’ob-

ject

iver

que

l’on

resp

ecte

enc

ore

les c

ondi

tions

de

valid

ité d

e l’h

omol

ogat

ion

prov

isoi

re. L

’équ

ipe

pour

ra m

odul

er la

dur

ée e

t les

cri

tère

s de

val

idité

des

ho

mol

ogat

ions

pro

viso

ires s

ucce

ssiv

es e

n fo

nctio

n de

la d

iffus

ion

réel

lem

ent

cons

taté

e du

serv

ice.

Une

str

atég

ie d

’hom

olog

atio

n po

ur la

pla

tefo

rme

Le.T

axi p

ourr

ait a

insi

se

décl

iner

en

troi

s jal

ons :

un ja

lon

« au

toris

atio

n de

test

s » d

’une

dur

ée d

’un

à tr

ois m

ois,

men

ée

excl

usiv

emen

t aup

rès d

’usa

gers

vol

onta

ires s

ur co

nsen

tem

ent e

xplic

ite ;

un

jalo

n « a

utor

isatio

n pr

oviso

ire d

’expl

oita

tion »

, d’u

ne d

urée

max

imal

e de

12

moi

s et u

n pl

afon

d de

1 00

0 co

urse

s cum

ulée

s ;

un ja

lon

« m

ise e

n se

rvic

e fe

rme »

tel q

ue d

écrit

ci-a

près

.

/ HOM

OLOG

ATIO

N PR

OVIS

OIRE

/ HOM

OLOG

ATIO

N FE

RME

/ FOR

MAL

ISER

LE D

OSSI

ER D

’HOM

OLOG

ATIO

N

Si l’

équi

pe n

’a p

as e

u re

cour

s aux

serv

ices

d’u

n ex

pert

en

sécu

rité

num

ériq

ue

lors

des

ate

liers

d’a

naly

se d

e ris

que,

ni à

l’in

terv

entio

n d’

un a

udite

ur e

xter

ne

pour

réal

iser,

par e

xem

ple,

des

test

s d’in

trus

ion

ou u

ne re

vue

de co

de a

xée

sur

les b

esoi

ns d

e sé

curit

é, c

es v

érifi

catio

ns e

xtér

ieur

es s’

impo

sent

gén

éral

emen

t co

mm

e pr

éala

bles

à u

ne d

écisi

on fe

rme.

La m

ise e

n pl

ace

d’un

pla

n d’

amél

iora

tion

cont

inue

de

la sé

curi

té p

our l

es

vers

ions

succ

essiv

es à

ven

ir du

pro

duit

ou d

u se

rvic

e es

t éga

lem

ent u

n él

émen

t im

port

ant d

e la

déc

ision

d’h

omol

ogat

ion.

Ce

plan

gar

antit

la m

onté

e en

pui

s-sa

nce

et e

n m

atur

ité d

e la

sécu

rité

du p

rodu

it et

per

met

une

ges

tion

prio

risée

de

s ris

ques

rési

duel

s sel

on le

ur c

ritic

ité.

Not

ez e

nfin

que

l’on

pren

d so

in d

e ne

pas

par

ler d

’hom

olog

atio

n « d

éfini

tive »

. En

effe

t, le

car

actè

re é

volu

tif d

’un

prod

uit d

oté

d’un

e fo

rte

com

posa

nte

logi

-ci

elle

impo

se d

e ré

éval

uer

pério

diqu

emen

t les

risq

ues,

quan

d bi

en m

ême

le

prod

uit s

erai

t res

té in

chan

gé. C

hose

qui

n’ar

rive,

en p

ratiq

ue, q

ue tr

ès ra

rem

ent.

L’hom

oLog

atio

n de

séc

urit

éen

neuf

étape

s sim

ples

À retr

ouver

sur :

www.s

si.gou

v.fr

50/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESFICHES MÉMO

La po

litiq

ue d

e sé

curi

té d

’un

syst

ème

d’in

form

atio

n (P

SSI)

s’a

rtic

ule

auto

ur d

e tr

ois n

ivea

ux d

e m

esur

es d

e sé

curi

té :

Les

mes

ures

d’h

ygiè

ne in

form

atiq

ue c

ouvr

ent

dive

rs d

omai

nes :

se

nsib

ilisa

tion

et fo

rmat

ion,

aut

hent

ifica

tion,

sécu

risa

tion

des p

oste

s et

rése

aux,

adm

inist

ratio

n, n

omad

isme,

etc.

Elle

s con

stitu

ent u

n « s

ocle

de

bon

nes p

ratiq

ues »

app

licab

les d

e fa

çon

syst

émat

ique

et c

onfé

rant

un

niv

eau

de p

rote

ctio

n ca

pabl

e de

rés

iste

r au

x m

enac

es le

s pl

us

cour

ante

s.

Les

mes

ures

rég

lem

enta

ires

et

norm

ativ

es c

ompl

èten

t ce

soc

le

d’hy

gièn

e pa

r des

exig

ence

s sec

torie

lles a

pplic

able

s dan

s des

dom

aine

s pr

écis,

selo

n le

s enj

eux

de sé

curi

té id

entifi

és (d

ispo

nibi

lité,

inté

grité

, co

nfide

ntia

lité,

preu

ve).

Ain

si, la

loi d

e pr

ogra

mm

atio

n m

ilita

ire (L

PM)

dict

e-t-

elle

des

obl

igat

ions

aux

opé

rate

urs

d’im

port

ance

vit

ale,

le

réfé

rent

iel g

énér

al d

e sé

curi

té (R

GS)

s’ap

pliq

ue a

ux sy

stèm

es d

’in-

form

atio

n de

l’adm

inist

ratio

n, le

s règ

lem

ents

de

la C

NIL

et l

e rè

glem

ent

géné

ral s

ur la

pro

tect

ion

des d

onné

es (R

GPD

) eur

opée

n s’a

ppliq

uent

à

tout

opé

rate

ur tr

aita

nt d

e do

nnée

s à c

arac

tère

per

sonn

el, l

’inst

ruc-

tion

géné

rale

inte

rmin

isté

riel

le 1

300

(IG

I 130

0) d

éfini

t les

règ

les

re-

lativ

es à

la p

rote

ctio

n du

secr

et d

e la

Déf

ense

nat

iona

le, e

tc.

Les

mes

ures

issu

es d

es a

telie

rs d

’ana

lyse

de

risq

ue c

ompl

èten

t ce

so

cle

par

des

mes

ures

con

text

uelle

s, sp

écifi

ques

aux

cas

d’u

sage

du

prod

uit o

u du

serv

ice

dans

son

écos

ystè

me

(exe

mpl

es : m

ise

en p

lace

d’

une

liste

bla

nche

pou

r sé

curi

ser

un p

roce

ssus

de

trai

tem

ent a

uto-

mat

isé,

dur

ciss

emen

t d’

une

mes

ure

d’hy

gièn

e, a

dapt

atio

n d’

une

mes

ure

régl

emen

tair

e, e

tc.).

Ces

mes

ures

conf

èren

t au

prod

uit r

obus

-te

sse

et ré

silie

nce

face

aux

men

aces

cibl

ées e

t/ou

soph

istiq

uées

jugé

es

vrai

sem

blab

les.

STRU

CTUR

ER S

A PO

LITIQ

UE

DE S

ÉCUR

ITÉFI

CHE

MÉM

O 1

FICH

ES

MÉM

O

51/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

L’ana

lyse

de

risq

ue n

’a d

onc

pas v

ocat

ion

à pr

océd

er à

une

nou

velle

iden

ti-fic

atio

n de

s mes

ures

de

sécu

rité

con

nues

ou

impo

sées

, qui

relè

vent

resp

ec-

tivem

ent d

e l’h

ygiè

ne e

t de

la rè

glem

enta

tion.

Les a

ctiv

ités d

e sé

curit

é vi

sent

à id

entifi

er le

s scé

nario

s de

risqu

es cr

itiqu

es

et le

s m

esur

es d

e sé

curi

té p

erm

etta

nt d

e le

s tr

aite

r. L’o

bjec

tif e

st d

’at-

tein

dre

un n

ivea

u de

sécu

rité

corr

espo

ndan

t aux

enj

eux

et b

esoi

ns sé

curit

aire

s da

ns u

ne d

émar

che

agile

, un

scén

ario

de

risq

ue e

st d

écri

t sou

s la

form

e d’

une

abus

er st

ory

de n

atur

e in

tent

ionn

elle

ou

d’un

scén

ario

d’o

rigin

e ac

cide

ntel

le.

Cett

e fic

he m

émo

rece

nse

les

aspe

cts

mét

hodo

logi

ques

à c

onsi

dére

r en

pr

iori

té lo

rs d

es a

telie

rs d

’ana

lyse

de

risq

ue.

LES

CLÉS

POU

R ID

ENTIF

IER

LE

S RI

SQUE

S NU

MÉR

IQUE

S CR

ITIQU

ES

User

story,

abus

er sto

ry et

scén

ario a

ccide

ntel

User

stor

y : «

En ta

nt qu

’utilis

ateur,

je ré

serve

en lig

ne m

on bi

llet de

spec

tacle.

»

Abus

er s

tory

(scé

nario

inten

tionn

el) :

« En t

ant q

u’hac

ktivis

te, j’e

mpêch

e les

clients

de

réserv

er en

ligne

leur

billet

de sp

ectac

le en

satur

ant le

serve

ur ap

plicati

f par

une a

ttaqu

e en

déni

de se

rvice.

Cec

i con

duit

à un

impa

ct pré

judicia

ble su

r l’im

age

et la

crédib

ilité d

u ge

stion

naire

du se

rvice,

voire

une p

erte d

e clien

ts. »

Scén

ario

accid

ente

l : «

Le ser

vice d

e rése

rvation

en lig

ne est

rend

u indis

ponib

le en r

aison

d’u

ne err

eur de

mise

à jou

r du s

erveur

applic

atif pa

r le pr

estata

ire en

charg

e de la

main

tenanc

e du

systè

me. C

eci co

nduit

à un im

pact p

réjud

iciable

sur l’i

mage

et la c

rédibil

ité du

gestio

nnair

e du

servic

e, voir

e une

perte

de clie

nts. »

L’ana

lyse

de

risqu

e do

it s’a

ttach

er à

iden

tifier

les a

buse

r sto

ries s

péci

fique

s, c’e

st-à

-dire

sign

ifica

tives

en

term

es d

’impa

ct e

t qui

relè

vent

de

men

aces

– i

nten

tionn

elle

s ou

acci

dent

elle

s – n

on c

ouve

rtes

par

les m

esur

es d

’hyg

iène

info

rmat

ique

ou

régl

emen

taire

s. Ce

s abu

ser s

torie

s per

met

tent

de

com

plét

er,

d’or

ient

er e

t de

cons

olid

er la

pol

itiqu

e de

sécu

rité

du p

rodu

it ou

du

serv

ice.

/ SE C

ONCE

NTRE

R SU

R LE

S RI

SQUE

S NU

MÉR

IQUE

S LIÉ

S AU

X CA

S D’U

SAGE

DU

PROD

UIT

FICHE

MÉM

O 1 /

STRU

CTUR

ER SA

POLIT

IQUE D

E SÉC

URITÉ

ATEL

IER

D’ANA

LYSE

DE

RIS

QUE

CADR

E RÉG

LEME

NTAI

RE ET

NOR

MATIF

PRIN

CIPE

S DE B

ASE E

T D’HY

GIÈN

E INF

ORMA

TIQUE

Stru

cturat

ion de

s mes

ures d

e séc

urité

d’un

prod

uit

FICH

E M

ÉMO

2

52/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

En te

rmes

de

volu

mét

rie, l

’iden

tifica

tion

et le

trai

tem

ent d

e ci

nq à

dix

abu

ser

stor

ies c

onst

ituen

t une

pre

miè

re b

ase

solid

e po

ur d

éfini

r les

mes

ures

de

sécu

-rit

é st

ruct

uran

tes l

iées

aux

cas d

’usa

ge c

oura

nts d

u pr

odui

t.

Parm

i les

scén

ario

s de

risq

ues à

pre

ndre

en

com

pte

dans

une

ana

lyse

de

risq

ue, c

eux

de n

atur

e in

tent

ionn

elle

peu

vent

s’av

érer

par

ticul

ière

men

t re

dout

able

s lor

sque

l’at

taqu

e es

t men

ée a

vec l

a vo

lont

é d’

atte

indr

e l’o

bjec

tif

visé

en

enga

gean

t de

s m

oyen

s pa

rtic

uliè

rem

ent

impo

rtan

ts. L

es é

lém

ents

co

nstit

utifs

clas

siqu

es à

pre

ndre

en

com

pte

dans

une

abu

ser s

tory

inte

ntio

n-ne

lle so

nt le

s sui

vant

s :

/ PRI

VILÉ

GIER

LES A

BUSE

R ST

ORIE

S (SC

ÉNAR

IOS I

NTEN

TIONN

ELS)

L’ana

lyse

de

risqu

e n’

a pa

s voc

atio

n à

iden

tifier

de

nouv

elle

s mes

ures

de

trai

-te

men

t con

nues

ou

impo

sées

, qui

relè

vent

resp

ectiv

emen

t de

l’hyg

iène

info

r-m

atiq

ue e

t de

la ré

glem

enta

tion,

et q

ui so

nt c

onsid

érée

s com

me

nativ

emen

t in

tégr

ées d

ans l

a po

litiq

ue d

e sé

curit

é du

pro

duit

(voi

r fich

e m

émo

page

35 ).

En re

vanc

he, e

lle a

voc

atio

n à :

val

ider

ou

non

les d

érog

atio

ns é

vent

uelle

s à c

e so

cle

de sé

curit

é ;

iden

tifier

le b

esoi

n de

dur

cir c

e so

cle ;

iden

tifier

des

mes

ures

com

plém

enta

ires

ad h

oc li

ées

aux

cond

ition

s d’

empl

oi d

u pr

odui

t, à

ses p

roce

ssus

mét

ier,

à so

n éc

osys

tèm

e, e

tc.

La ré

ussi

te d

’une

att

aque

sur u

n sy

stèm

e d’

info

rmat

ion

ne re

lève

que

rare

-m

ent d

e l’e

xplo

itatio

n d’

une

seul

e fa

ille.

Les

atta

ques

inte

ntio

nnel

les s

uive

nt

géné

rale

men

t un

e dé

mar

che

séqu

encé

e ex

ploi

tant

de

faço

n co

ordo

nnée

pl

usie

urs v

ulné

rabi

lités

de

natu

re in

form

atiq

ue o

u or

gani

satio

nnel

le.

C’es

t en

rai

son

de te

lles

séqu

ence

s qu

e de

s fa

illes

d’a

ppar

ence

ano

dine

peu

vent

de

veni

r lou

rdes

. Plu

sieur

s mod

èles

exist

ent e

t peu

vent

êtr

e ut

ilisé

s (ex

empl

e :

cybe

r ki

ll ch

ain

de L

ockh

eed

Mar

tin).

L’équ

ipe

pour

ra e

xplo

iter

le m

odèl

e su

ivan

t, do

nné

à tit

re d

’info

rmat

ion.

FICHE

MÉM

O 2 /

LES C

LÉS P

OUR I

DENT

IFIER

LES R

ISQUE

S NUM

ÉRIQU

ES CR

ITIQU

ES

Un ou

plus

ieurs

attaq

uant(

s)Un

e cibl

eUn

e ou p

lusieu

rs fin

alité(

s)Un

chem

in d’a

ttaqu

e exp

loitan

t gén

éralem

ent

plusie

urs ve

cteurs

et/

ou vu

lnérab

ilités

1 2 3 4 5

Reco

nnais

sanc

e exte

rne

Intrus

ion

Reco

nnais

sanc

e inte

rne

Latér

alisa

tion e

t élév

ation

de pr

ivilèg

es

Pilota

ge et

explo

itatio

n de l

’attaq

ue

L’atta

quan

t recu

eille d

es inf

ormati

ons s

ur la

cible

par to

us le

s moye

ns po

ssible

s :

source

s ouve

rtes (

résea

ux so

ciaux

) ou n

on (o

fficine

s).

L’atta

quan

t s’in

trodu

it via

un co

urriel

piégé

, un m

aliciel,

des d

roits

usurp

és,

une i

njecti

on SQ

L, un

e faill

e non

corrig

ée, u

n zero

-day,

etc.

L’atta

quan

t mèn

e des

activi

tés de

reco

nnais

sance

inter

ne lu

i perm

ettan

t de c

artog

raphie

r l’ar

chite

cture

résea

u, ide

ntifie

r les m

écan

ismes

de sé

curité

mis

en pl

ace,

recen

ser le

s vul

nérab

ilités

explo

itable

s et lo

calise

r les s

ervice

s, inf

ormati

ons e

t com

posan

ts str

atégiq

ues.

À part

ir de s

on po

int d’

accè

s init

ial, l’a

ttaqu

ant v

a prog

resser

dans

le sy

stème

d’i

nform

ation

et ac

quéri

r des

droits

lui p

ermett

ant d

e se d

éplac

er « n

’impo

rte où

»

dans

le ré

seau,

de pr

opag

er les

outils

malv

eillan

ts et

de m

ainten

ir son

accè

s en t

oute

discré

tion.

Selon

les o

bjecti

fs de

l’atta

quan

t : sab

otage

, alté

ration

de se

rvice

, vol d

e don

nées,

fraud

e, fal

sifica

tion,

détou

rneme

nt d’u

sage,

usurp

ation

d’ide

ntité,

défig

uratio

n de s

ite, e

tc.

53/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

/ CON

SIDÉ

RER

L’ÉCO

SYST

ÈME C

OMM

E UNE

SOU

RCE

DE R

ISQU

E POT

ENTIE

L

On

ente

nd p

ar é

cosy

stèm

e l’e

nsem

ble

des p

artie

s pre

nant

es q

ui g

ravi

tent

auto

ur d

u pr

odui

t ou

du se

rvic

e et

qui

sont

gén

éral

emen

t néc

essa

ires

à

son

fonc

tionn

emen

t. U

n no

mbr

e cr

oiss

ant d

e m

odes

opé

rato

ires d

’atta

ques

ex

ploi

te le

s vu

lnér

abili

tés

d’un

éco

syst

ème

pour

att

eind

re le

ur c

ible

. C’e

st

ains

i qu’

aux

État

s-Uni

s, un

cas

ino

a fa

it le

s fra

is d

’une

att

aque

men

ée p

ar le

bi

ais…

d’u

n aq

uari

um c

onne

cté !

L’a

naly

se d

e ri

sque

doi

t alo

rs p

rend

re e

n co

mpt

e ce

s élé

men

ts d

e l’é

cosy

stèm

e, su

scep

tible

s de

rend

re p

ossi

ble

ou d

e fa

cilit

er la

réal

isat

ion

d’ab

user

stor

ies.

Les p

artie

s pre

nant

es c

ritiq

ues d

’un

écos

ystè

me,

à p

rend

re e

n co

mpt

e da

ns

l’ana

lyse

de

risq

ue, p

euve

nt p

ar e

xem

ple

être

iden

tifiée

s en

vous

pos

ant l

es

ques

tions

suiv

ante

s : L

a re

latio

n av

ec c

ette

par

tie p

rena

nte

est-e

lle e

ssen

tielle

pou

r m

on

activ

ité ?

Suis

-je d

épen

dant

de

serv

ices

ou

de b

ases

de

donn

ées h

éber

-gé

s ou

expl

oité

s par

la p

artie

pre

nant

e ?

Jusq

u’à

quel

poi

nt la

par

tie p

rena

nte

accè

de-t-

elle

à m

es r

esso

urce

s in

tern

es (m

es lo

caux

, mes

rése

aux

info

rmat

ique

s, m

on o

rgan

isatio

n) ?

Ses

ser

vice

s et

rés

eaux

info

rmat

ique

s so

nt-il

s ex

posé

s su

r In

tern

et ?

So

nt-il

s suffi

sam

men

t séc

uris

és ?

Pui

s-je

cons

idér

er q

ue se

s int

entio

ns so

nt fa

vora

bles

à m

on é

gard

?

Une

mét

hode

sim

ple

et p

ragm

atiq

ue d

’éval

uatio

n de

la m

enac

e d’

un é

cosy

s-tè

me

est p

ropo

sée

dans

le g

uide

EBI

OS

de l’

AN

SSI.

L’id

enti

ficat

ion

des

scén

ario

s de

ris

que,

par

ticu

lière

men

t ce

ux d

e na

ture

in

tent

ionn

elle

, néc

essi

te u

ne ce

rtai

ne e

xper

tise

en sé

curi

té n

umér

ique

. Un

cons

tat d

’aut

ant p

lus v

rai p

our l

es ca

s d’a

ttaq

ues s

ophi

stiq

uées

, met

tant

en

œuv

re u

n sé

quen

cem

ent p

lani

fié d

e m

odes

d’a

ctio

n su

r plu

sieu

rs c

ompo

-sa

nts –

tech

niqu

es e

t hum

ains

gén

éral

emen

t – d

u pr

odui

t et d

e so

n éc

osys

-tè

me.

Com

me

nous

l’av

ons p

réci

sé p

lus h

aut,

l’acc

ompa

gnem

ent d

e l’é

quip

e pa

r un

expe

rt d

ans c

e do

mai

ne p

eut d

onc

être

un

atou

t pou

r la

réus

site

de

l’ate

lier,

en p

ropo

rtio

n av

ec le

deg

ré d

e co

mpl

exité

du

prod

uit e

t de

l’éco

-sy

stèm

e.

Injec

tion d

e cod

e malv

eillan

t par

rebon

d via

un pa

rtena

ire tie

rs co

nnec

té fac

ilitan

t l’ex

filtrat

ion

de do

nnée

s sen

sibles

, etc.

/ Exe

mple

FICHE

MÉM

O 2 /

LES C

LÉS P

OUR I

DENT

IFIER

LES R

ISQUE

S NUM

ÉRIQU

ES CR

ITIQU

ES

Nou

s vo

us r

ecom

man

dons

d’a

dopt

er u

ne v

isio

n gl

obal

e de

s sé

quen

ces

d’at

taqu

es p

ossi

bles

dan

s vos

ate

liers

de

sécu

rité

, afin

de

ne p

as m

inim

iser

à

tort

un

scén

ario

don

t la

vrai

sem

blan

ce e

t l’im

pact

pou

rrai

ent s

e ré

véle

r di

spro

port

ionn

és. C

ette

app

roch

e do

it vo

us p

erm

ettr

e d’

iden

tifier

faci

le-

men

t les

com

posa

nts

criti

ques

sus

cept

ible

s de

ser

vir

de v

ecte

urs

d’en

trée

ou

d’e

xplo

itatio

n, d

e re

lais

de

prop

agat

ion,

etc

. Ces

com

posa

nts –

de

natu

re

tech

niqu

e, h

umai

ne o

u or

gani

satio

nnel

le –

fero

nt a

lors

l’ob

jet d

e m

esur

es

ad h

oc o

u d’

un d

urci

ssem

ent d

u so

cle

exis

tant

54/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

LE C

ANEV

AS

DE L’A

NALY

SE D

E RIS

QUE

Dan

s ce

tte

rubr

ique

, il s

’agi

t de

rec

ense

r le

s pr

inci

paux

élé

men

ts d

eva

leur

d’u

sage

mis

en

œuv

re p

ar le

pro

duit,

et d

’est

imer

leur

s bes

oins

de

sécu

rité

(DIC

P : d

ispo

nibi

lité,

inté

grité

, con

fiden

tialit

é, p

reuv

e). C

es é

lé-

men

ts se

ront

gén

éral

emen

t exp

rim

és so

us fo

rme

de u

sers

stor

ies.

L’obj

ectif

est

d’id

entifi

er, p

our

chaq

ue u

ser

stor

y, q

uels

son

t les

bes

oins

de

sécu

rité

les

plus

impo

rtan

ts a

fin d

’ori

ente

r pa

r la

sui

te le

trav

ail d

’iden

tifi-

catio

n de

s scé

nari

os d

e ri

sque

s per

tinen

ts. L

e de

gré

d’im

port

ance

peu

t êtr

e po

ndér

é pa

r un

indi

ce si

mpl

e. P

ar e

xem

ple,

• po

ur u

n be

soin

impo

rtan

t et

• • p

our u

n be

soin

très

impo

rtan

t. U

n sc

hém

a si

mila

ire

pour

ra ê

tre

adop

té

pour

les

autr

es é

lém

ents

de

l’ana

lyse

. L’é

valu

atio

n de

l’im

port

ance

d’u

n be

soin

de

sécu

rité

est

souv

ent i

téra

tive

et o

bten

ue p

ar c

ompa

rais

on a

u fu

r et

à m

esur

e de

l’at

elie

r ; u

n be

soin

iden

tifié

com

me

« tr

ès im

port

ant »

trad

uit

le fa

it qu

’il e

st e

ssen

tiel p

our l

e pr

odui

t.

Le p

oint

de

dépa

rt d

e l’a

telie

r – le

s use

r sto

ries –

est

ess

entie

l. En

com

men

çant

pa

r là

, l’é

quip

e an

cre

dans

le r

este

de

l’ate

lier

l’idé

e qu

e le

s m

esur

es d

e sé

-cu

rité

serv

ent l

a va

leur

livr

ée a

ux u

sage

rs. E

n eff

et, p

our

chaq

ue b

esoi

n de

sé

curi

té im

port

ant r

elat

if à

une

user

stor

y, il

y a

un

ou p

lusi

eurs

évé

nem

ents

re

dout

és e

t au

moi

ns u

n sc

énar

io d

e ri

sque

susc

eptib

le d

e co

mpr

omet

tre

la

prop

ositi

on d

e va

leur

.

1 / L

ES U

SER

STOR

IES E

T LEU

RS B

ESOI

NS D

E SÉC

URITÉ

Un cl

ient p

eut é

mettre

une d

eman

de («

héler

virtu

elleme

nt un

taxi

»), év

aluer

une c

ourse

eff

ectué

e ou d

éclar

er un

incid

ent.

12

34

5

Les u

ser s

tories

et

leurs

beso

ins de

sécu

rité

Les s

ource

s de r

isque

s et

leurs

inten

tions

Les é

véne

ments

redo

utés

et leu

rs im

pacts

L’éco

systèm

e et

les co

mpos

ants

vulné

rables

Les s

céna

rios d

e risq

ues

et les

mes

ures d

e trai

temen

t

/ Exe

mple

FICH

E M

ÉMO

3

55/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

Il s’a

git d

e re

cens

er le

s sou

rces

de

risqu

es –

acci

dent

elle

s ou

inte

ntio

nnel

les,

exte

rnes

ou

inte

rnes

– su

scep

tible

s d’

impa

cter

la v

aleu

r d’

usag

e : q

ui o

u qu

oi p

ourr

ait p

orte

r at

tein

te a

ux b

esoi

ns d

e sé

curi

té. L

e sc

hém

a ci

-des

sous

ré

sum

e qu

elqu

es-u

nes d

es m

otiv

atio

ns à

l’or

igin

e d’

atta

ques

inte

ntio

nnel

les,

et p

eut c

onst

ituer

un

poin

t de

dépa

rt in

tére

ssan

t à la

disc

ussio

n lo

rs d

e l’a

telie

r.

Un

évén

emen

t red

outé

(ER

) cor

resp

ond

au n

on-re

spec

t d’u

n be

soin

de

sécu

rité

: ch

aque

bes

oin

de s

écur

ité

asso

cié

à un

e us

er s

tory

de

l’éta

pe 1

se

décl

ine

donc

sel

on u

n ou

plu

sieu

rs é

véne

men

ts r

edou

tés.

Il co

nvie

nt d

e pr

écis

er le

s im

pact

s (s

ur le

s m

issi

ons

ou la

séc

urité

des

per

-so

nnes

, fina

ncie

rs, j

urid

ique

s, d’

imag

e, e

nvir

onne

men

taux

, etc

.) ai

nsi q

ue le

ni

veau

de

grav

ité e

stim

é, l’o

bjec

tif é

tant

d’id

entifi

er e

n pr

iorit

é le

s évé

nem

ents

re

dout

és d

ont l

es c

onsé

quen

ces s

erai

ent d

iffici

lem

ent s

urm

onta

bles

.

En p

rem

ière

app

roch

e, l’

éche

lle d

e co

tatio

n ad

opté

e pe

ut s

e lim

iter

à un

in

dice

de

prio

rité

(P),

par e

xem

ple

: P1

– ER

à re

teni

r, P2

– E

R à

con

sidé

rer

dans

un

seco

nd t

emps

. De

faço

n pl

us é

labo

rée,

une

éch

elle

de

cota

tion

à tr

ois

nive

aux

ou p

lus

pour

ra ê

tre

adop

tée

: • g

ravi

té fa

ible

, • •

moy

enne

, • •

• él

evée

.

Un

évén

emen

t red

outé

est

exp

rim

é so

us la

form

e d’

une

expr

essi

on c

ourt

e qu

i per

met

de

com

pren

dre

faci

lem

ent l

e pr

éjud

ice

lié à

la u

ser s

tory

conc

er-

née.

Il e

st r

ecom

man

dé d

e m

entio

nner

dan

s l’i

ntitu

lé d

e l’E

R la

sou

rce

de

risq

ue la

plu

s vra

isem

blab

le su

scep

tible

d’e

n êt

re à

l’or

igin

e. E

nfin,

dan

s un

souc

i d’e

ffica

cité

, l’é

quip

e s’i

ntér

esse

en

prem

ière

app

roch

e au

x év

énem

ents

re

dout

és a

ssoc

iés a

ux b

esoi

ns d

e sé

curi

té «

très

impo

rtan

ts »

.

2 / L

ES S

OURC

ES D

E RIS

QUES

ET LE

URS

INTE

NTIO

NS

3 / L

ES ÉV

ÉNEM

ENTS

RED

OUTÉ

S ET

LEUR

S IM

PACT

S

Il es

t rec

omm

andé

de

rece

nser

des

sour

ces d

e ris

ques

de

natu

res e

t de

mot

iva-

tions

var

iées

pou

r di

spos

er d

’un

écha

ntill

on d

e ris

ques

repr

ésen

tatif

à p

artir

du

quel

bât

ir de

s scé

nario

s don

t les

men

aces

et m

odes

opé

rato

ires d

iffèr

ent.

Opéra

teur c

oncu

rrent

cherc

hant

à disc

rédite

r, voir

e sab

oter le

servi

ce Le

.Taxi

(malv

eillan

ce). 

Mafi

a che

rchan

t à co

llecter

des d

onné

es à c

aractè

re pe

rsonn

el po

ur les

mon

nayer

(ap

pât d

u gain

).

Un op

érateu

r con

curre

nt, se

faisa

nt pa

sser p

our u

n clien

t, hèle

un ta

xi qu

i réalis

e une

cours

e d’a

pproc

he en

pure

perte

.

FICHE

MÉM

O 3 /

LE CA

NEVA

S DE L

’ANAL

YSE D

E RISQ

UE

/ Iden

tifica

tion d

es so

urces

de ris

ques

Espion

nage

- Ren

seign

emen

t - Int

ellige

nce éc

onom

ique

Idéolo

gie -

Agita

tion -

Pro

paga

nde

Neutr

alisa

tion -

Sa

botag

e - De

struc

tion

Malve

illanc

e - Ve

ngea

nce

Ludiq

ue -

Explo

it

Fraud

e -

Lucra

tif

Prépo

sition

neme

nt str

atégiq

ue (i

nvasio

n)

Unité

s spé

cialisé

es Ag

ence

s de r

ensei

gnem

ent

Officin

es sp

éciali

sées

Hackt

ivistes

Cy

berte

rroris

tes

Cybe

rpatrio

tes

Unité

s spé

cialisé

es Ag

ence

s de r

ensei

gnem

ent

Officin

es sp

éciali

sées

Veng

eurs

; Sala

riés m

écon

tents

; Con

curre

nts dé

loyau

x

Adole

scents

désœ

uvrés

Hacke

rs ch

evron

nés

Mafia

s Ga

ngs

Officin

es

Unité

s spé

cialisé

es Ag

ence

s de r

ensei

gnem

ent

Officin

es sp

éciali

sées

/ Exe

mple

/ Exe

mple

56/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

Il s’a

git d

’iden

tifier

par

mi l

es c

ompo

sant

s du

pro

duit

ceux

con

trib

uant

àla

réa

lisat

ion

des

user

sto

ries

iden

tifiée

s da

ns l’

étap

e 1

et

susc

eptib

les

d’êt

re c

once

rnés

ou

cibl

és p

ar le

s so

urce

s de

ris

ques

de

l’éta

pe 2

. Il e

st r

e-co

mm

andé

de

préc

iser

, pou

r cha

que

com

posa

nt, q

uelle

s son

t les

vul

néra

bi-

lités

que

ces

sour

ces d

e ri

sque

s pou

rrai

ent e

xplo

iter.

4 / L

’ÉCOS

YSTÈ

ME E

T LES

COM

POSA

NTS

VULN

ÉRAB

LES

5 / L

ES S

CÉNA

RIOS

DE R

ISQU

ES (A

BUSE

R ST

ORIE

S)

ET LE

S M

ESUR

ES D

E TRA

ITEM

ENT

/ Exe

mple

Base

de d

onné

es Le.

Taxi (

vulné

rabilit

és ex

ploita

bles 

: acc

ès en

lectu

re/éc

riture

depu

is Int

ernet,

mod

ificati

on fré

quen

te).

Un at

taqua

nt ex

terne

accè

de au

x info

rmati

ons à

carac

tère p

erson

nel d

e clien

ts en

usurp

ant

l’iden

tité du

serve

ur Le.

Taxi o

u en e

xploit

ant u

ne vu

lnérab

ilité n

on co

rrigée

. Un

clien

t de m

auvai

se foi

attrib

ue ab

usive

ment

une m

auvai

se no

te à u

n tax

i.

Prest

ataire

infor

matiq

ue as

suran

t la t

éléma

inten

ance

du

serveu

r qui

hébe

rge la

base

de

donn

ées L

e.Tax

i.

L’id

entifi

catio

n de

s com

posa

nts p

eut ê

tre

stru

ctur

ée c

omm

e su

it :

infr

astr

uctu

res

phys

ique

s : b

âtim

ents

, loc

aux,

esp

aces

phy

siqu

es

perm

etta

nt l’

activ

ité e

t les

éch

ange

s de

flux

; o

rgan

isat

ions

: st

ruct

ures

org

anis

atio

nnel

les,

proc

essu

s m

étie

rs e

t su

ppor

ts, r

esso

urce

s hum

aine

s ;

syst

èmes

num

ériq

ues m

atér

iels

et l

ogic

iels

: sys

tèm

es in

form

atiq

ues

et d

e té

léph

onie

, rés

eaux

de

com

mun

icat

ion.

Le d

egré

de

gran

ular

ité d

ans l

a de

scri

ptio

n de

s com

posa

nts s

era

adap

té a

u ni

veau

de

conn

aiss

ance

du

prod

uit

lors

de

l’ate

lier.

Enfin

, les

com

posa

nts

prio

rita

ires

à r

ecen

ser

sont

ceu

x qu

i con

trib

uent

(de

faço

n di

rect

e ou

indi

-re

cte)

aux

use

r sto

ries

aya

nt d

es b

esoi

ns d

e sé

curi

té «

impo

rtan

ts »

.

Afin

d’é

tend

re le

pér

imèt

re d

e l’a

ppré

ciat

ion

des r

isqu

es, v

ous p

ouve

z co

m-

plét

er c

ette

éta

pe e

n id

entifi

ant

quel

les

part

ies

pren

ante

s de

l’éc

osys

tèm

e se

raie

nt s

usce

ptib

les

d’êt

re e

xplo

itée

s po

ur fa

cilit

er u

ne a

ttaq

ue s

ur u

n co

mpo

sant

du

prod

uit

(rep

orte

z-vo

us à

la fi

che

mém

o pr

écéd

ente

). Le

s pa

rtie

s pr

enan

tes

criti

ques

à c

onsi

dére

r en

pri

orité

son

t ce

lles

qui o

nt u

n lie

n av

ec u

n de

s com

posa

nts r

ecen

sés.

La fin

alité

de

l’ate

lier e

st d

’iden

tifier

les r

isqu

es n

umér

ique

s de

réfé

renc

e à

pren

dre

en c

ompt

e po

ur b

âtir

ou

com

plét

er la

pol

itiqu

e de

séc

urité

du

pro

duit.

L’équ

ipe

com

men

ce p

ar d

ress

er u

ne li

ste

de s

céna

rios

de

risq

ues

– abu

ser

stor

ies –

en

conf

ront

ant l

es so

urce

s de

risqu

es 2

, les

évé

nem

ents

redo

utés

3

et le

s co

mpo

sant

s vu

lnér

able

s 4

. Con

crèt

emen

t, il

s’agi

t de

voir

de

quel

le

faço

n ch

aque

sou

rce

de r

isqu

e re

tenu

e pe

ut im

pact

er d

es c

ompo

sant

s du

pr

odui

t, pa

r exp

loita

tion

nota

mm

ent d

e le

urs v

ulné

rabi

lités

ou

d’un

fact

eur

exte

rne

aggr

avan

t, po

ur g

énér

er u

n év

énem

ent

redo

uté.

Cha

que

abus

er

stor

y pe

ut e

nsui

te ê

tre

éval

uée

en te

rmes

de

vrai

sem

blan

ce p

uis d

e cr

itici

té

à pa

rtir

de

la g

ravi

té d

e l’é

véne

men

t red

outé

ass

ocié

.

Pour

chaq

ue a

buse

r sto

ry ré

pert

orié

e, l’

équi

pe p

eut d

éfini

r si b

esoi

n l’o

ptio

n de

tra

item

ent

du r

isqu

e la

plu

s ap

prop

riée

(évi

ter,

rédu

ire,

tran

sfér

er, a

c-ce

pter

). D

ans l

e ca

s où

le ri

sque

doi

t êtr

e ré

duit,

les p

artic

ipan

ts id

entifi

ent

les m

esur

es d

e sé

curi

té c

ompl

émen

tair

es q

u’il

faud

ra m

ettr

e en

œuv

re, e

n pl

us d

es m

esur

es e

xist

ante

s ou

déjà

pré

vues

. Leu

r ré

alis

atio

n es

t con

sign

ée

par l

’équ

ipe

au m

ême

titre

que

les a

utre

s use

r sto

ries

.

/ Exe

mple

/ Exe

mple

FICHE

MÉM

O 3 /

LE CA

NEVA

S DE L

’ANAL

YSE D

E RISQ

UE

57/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

Enfin

, l’é

quip

e pe

ut c

lore

l’at

elie

r en

iden

tifia

nt le

s ri

sque

s ré

sidu

els.

Ces d

erni

ers c

once

rnen

t :

les

abus

er s

tori

es n

on t

rait

ées

(acc

epté

es e

n l’é

tat)

ou

seul

emen

t pa

rtie

llem

ent (

mes

ures

de

sécu

rité

mis

es e

n pl

ace,

mai

s ne

rédu

isan

t pa

s com

plèt

emen

t ou

suffi

sam

men

t le

risq

ue) ;

les

abus

er s

tori

es fa

isan

t l’o

bjet

d’u

n tr

ansf

ert

du r

isqu

e, le

quel

ne

couv

re g

énér

alem

ent p

as l’e

nsem

ble

des i

mpa

cts (

exem

ple :

l’ass

uran

ce

ne c

ouvr

e pa

s l’a

ttei

nte

à l’i

mag

e) ;

pou

r affi

ner,

dans

un

deux

ièm

e te

mps

: le

s be

soin

s de

séc

urit

é de

l’é

tape

1 e

t le

s év

énem

ents

red

outé

s de

l’ét

ape

3 n

on d

éclin

és e

n ab

user

stor

ies.

Un

cert

ain

trav

ail (

souv

ent s

ubje

ctif

) de

cons

olid

atio

n de

s ris

ques

rési

duel

s es

t à e

ffect

uer p

ar l’

équi

pe a

fin d

e di

spos

er d

’un

bila

n à

jour

et r

eflét

ant l

’éta

t de

maî

tris

e du

ris

que

num

ériq

ue d

u pr

odui

t. Le

s ri

sque

s ré

sidu

els

les

plus

si

gnifi

cati

fs s

eron

t en

pri

orit

é re

cens

és e

t m

is e

n év

iden

ce. P

ar e

xem

ple,

l’u

sage

d’é

chel

les d

e gr

avité

, vra

isem

blan

ce e

t cri

ticité

, ass

ocié

es à

des

seui

ls

d’ac

cept

ion

du r

isqu

e, c

onst

ituer

a un

e ai

de p

réci

euse

pou

r hi

érar

chis

er le

s ri

sque

s ré

sidu

els

avec

obj

ectiv

ité e

t co

hére

nce.

Not

ons

enfin

que

ce

bila

n,

enri

chi a

u fil

des

ate

liers

d’a

naly

se d

e ri

sque

, ser

a co

mpl

été

par d

’éven

tuel

les

vuln

érab

ilité

s rés

idue

lles i

dent

ifiée

s à l’

issu

e de

s aud

its d

e sé

curi

té.

De

faço

n al

tern

ativ

e, l’

équi

pe p

eut

choi

sir

de d

iffér

er l’

iden

tifica

tion

et la

co

nsol

idat

ion

des

risq

ues

rési

duel

s lo

rs d

’un

atel

ier

de s

ynth

èse

dédi

é, n

o-ta

mm

ent p

our l

a pr

épar

atio

n d’

une

com

mis

sion

d’h

omol

ogat

ion.

La s

ecti

on s

uiva

nte

prés

ente

l’in

tégr

alit

é de

l’an

alys

e de

ris

que

pour

la

plat

efor

me

Le.T

axi e

t vou

s per

met

tra

d’ob

serv

er l’

artic

ulat

ion

des d

iffér

ents

él

émen

ts p

rése

ntés

ici s

ur u

n ca

s pra

tique

.

UN EX

EMPL

E COM

PLET

Voic

i, à

titre

d’il

lust

ratio

n, l’

exem

ple

déta

illé

du s

ervi

ce L

e.Tax

i dév

elop

pé

par l

’incu

bate

ur d

e se

rvic

es n

umér

ique

s de

la D

INSI

C.

Les t

able

aux

que

nous

livr

ons c

i-des

sous

cor

resp

onde

nt à

la re

stitu

tion

for-

mel

le d

’un

des

atel

iers

d’a

naly

se d

e ri

sque

, san

s aj

out

ni r

etou

ches

aut

res

que

des é

volu

tions

de

term

inol

ogie

en

cour

s de

réda

ctio

n.

User

storie

sBe

soins

de sé

curit

é

Un ta

xi pe

ut rem

onter

sa po

sition

via l’i

nterfa

ce

de pr

ogram

matio

n app

licative

(API)

Dispo

nibilit

é : un

e posi

tion d

oit re

monte

r sou

s cin

q minu

tes

Intég

rité : a

ltérat

ions d

étecta

bles

Un cl

ient e

t un t

axi co

nvienn

ent d’u

ne cou

rse (s

cénari

o glo

bal d

écomp

osé en

sous-

scéna

rios c

i-dess

ous) 

: U

n clien

t peu

t con

naître

les ta

xis à

proxim

ité

(ou su

ivre un

taxi e

n app

roche

) U

n clien

t peu

t éme

ttre un

e dem

ande

(«

héler

virtue

llemen

t » un

taxi)

Le ta

xi, pu

is le c

lient, p

euven

t con

firmer

la prise

en

charg

e Le

taxi o

u le c

lient p

eut a

nnule

r la co

urse

Dispo

nibilit

é : so

us ci

nq m

inutes

Int

égrité

 : alté

ration

s déte

ctable

s et c

orrige

ables

Co

nfide

ntiali

té : l’

inform

ation

sur le

s cou

rses e

st à

diffus

ion lim

itée

Un cl

ient p

eut é

value

r une

cours

e effe

ctuée

ou

décla

rer un

incid

ent

Dispo

nibilit

é : so

us 72

h

Un ta

xi pe

ut sig

naler

un pr

oblèm

e lié

à une

cours

eDis

ponib

ilité :

sous

72 h

Un pa

rtena

ire pe

ut en

regist

rer un

véhic

uleDis

ponib

ilité :

sous

72 h

Int

égrité

 : alté

ration

s déte

ctable

s

Un ad

minis

trateu

r peu

t enre

gistre

r ou r

adier

un

parte

naire

Dispo

nibilit

é : so

us 72

h

Intég

rité : a

ltérat

ions d

étecta

bles

Un ad

minis

trateu

r peu

t con

sulte

r les s

tatist

iques

parte

naire

sCo

nfide

ntiali

té : le

s stat

istiqu

es son

t à di

ffusio

n lim

itée

FICHE

MÉM

O 3 /

LE CA

NEVA

S DE L

’ANAL

YSE D

E RISQ

UEFI

CHE

MÉM

O 4

58/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

Sour

ces d

e risq

ues

Mode

s opé

ratoir

esVra

isemb

lance

Attaq

uants

exter

nes (

clients

, hac

kers)

Un at

taqua

nt ex

terne

accè

de à

la ba

se de

donn

ées

Un at

taqua

nt ex

terne

surch

arge l

e sys

tème

Acteu

rs ag

réés d

e mau

vaise

foi

(taxis

, opé

rateu

rs)

Un pa

rtena

ire su

rcharg

e le s

ystèm

e

Un pa

rtena

ire te

nte de

faus

ser la

co

ncurr

ence

en en

voyan

t de f

ausse

s po

sition

s

Évén

emen

ts red

outés

Impa

cts m

étier

Grav

ité

Le sys

tème n

e rép

ond p

asExp

érien

ce uti

lisate

urs dé

gradé

e pe

rte de

clien

ts

Un op

érateu

r de t

axis é

met d

e fau

sses

positi

ons

Quali

té de

servi

ce dé

gradé

e pe

rte de

clien

ts

Un ta

xi fai

t une

cours

e d’ap

proch

e en

pure

perte

Perte

de co

nfian

ce et

d’adh

ésion

de

s taxi

s dé

senga

geme

nt ab

outis

sant

à une

rédu

ction

de l’o

ffre de

taxis

Un ta

xi s’e

nregis

tre av

ec de

faus

ses

inform

ation

sCa

ptatio

n abu

sive d

e cou

rses

perte

de co

nfian

ce, ris

que j

uridiq

ue

Comp

osan

ts du

systè

me

API Ta

xi Ex

chan

ge Po

int (T

XP)

Serve

urs (1

serve

ur ac

tuellem

ent)

Donn

ées s

tocké

es

Admi

nistra

teurs

Parte

naire

s

Risqu

esMe

sures

exist

antes

ou pr

évue

s

Un pa

rtena

ire te

nte de

faus

ser la

conc

urren

ce

en en

voyan

t de f

ausse

s posi

tions

Signa

ture c

ryptog

raphiq

ue de

s rem

ontée

s de

posit

ions p

ar les

parte

naire

s

Un at

taqua

nt ext

erne a

ccède

à de

s infor

matio

ns con

fiden

tielles

en ex

ploitan

t une

faille

Ferm

eture

des p

orts a

utres

que H

TTP/

HTTP

S au

trafic

issu

d’ad

resses

IP in

conn

ues

Un at

taqua

nt ex

terne

accè

de à

des i

nform

ation

s co

nfide

ntielle

s en u

surpa

nt l’id

entité

du se

rveur

Écha

nges

sécuri

sés pa

r HTT

PS

Un cl

ient d

e mau

vaise

foi co

mman

de un

taxi

sans

inten

tion d

’hono

rer sa

comm

ande

Trans

actio

n en d

eux é

tapes,

bann

issem

ent

tempo

raire

des c

lients

abus

ifs

Un ta

xi fou

rnit d

es co

urses

ne re

spec

tant p

as la

qualit

é de s

ervice

atten

due

Enreg

istrem

ent d

’une n

otatio

n attri

buée

par le

clien

t au

taxi

Un cl

ient d

e mau

vaise

foi at

tribue

abus

iveme

nt un

e ma

uvaise

note

au ta

xiLes

notat

ions s

ont a

ssocié

es à u

ne co

urse r

éelle

spéc

ifique

FICHE

MÉM

O 4 /

UN EX

EMPL

E COM

PLET

59/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

FICHES MÉMO

FICHES MÉMO

Les r

isque

s rés

idue

ls su

ivan

ts so

nt p

rovi

soire

men

t acc

epté

s mai

s doi

vent

êtr

e tr

aité

s par

les m

esur

es c

itées

en

rega

rd :

Risqu

es ré

sidue

ls ma

jeurs

Mesu

res à

pren

dre

Le sys

tème e

st ind

ispon

ible s

uite à

un dé

ni

de se

rvice

Redo

nder

les se

rveurs

Un ta

xi usur

pe l’id

entité

d’un

véhic

ule lég

itime

À ins

truire

lors

de la

mon

tée en

puiss

ance

NOTE

SFIC

HE M

ÉMO 4

/ UN

EXEM

PLE C

OMPL

ET

60/80

AGILITÉ & SÉCURITÉ NUMÉRIQUESANNEXES

GLOS

SAIR

E

ANNE

XES

Term

esDé

finitio

ns

Abus

er sto

ryBrè

ve de

script

ion d’

un sc

énari

o de r

isque

(sou

s une

form

e ana

logue

à ce

lle d’u

ne us

er sto

ry) qu

i sera

utilis

é pou

r déte

rmine

r les m

esures

de sé

curité

à im

pléme

nter e

t réalis

er les

tests

de co

uvertu

re du

risqu

e.

Analy

se de

risq

ueSo

us-pr

ocess

us de

gesti

on de

s risq

ues v

isant

à ide

ntifie

r, ana

lyser

et éva

luer

les ris

ques.

Back

logLis

te de

fonc

tionn

alités

ou de

tâch

es (cf

. user

stori

es) ju

gées

néce

ssaire

s à la

bo

nne r

éalisa

tion d

u prod

uit.

Beso

in de

sécu

rité

Défin

ition p

récise

et no

n amb

iguë d

u nive

au d’

exige

nces

opéra

tionn

elles

relati

ves à

une v

aleur

métie

r pou

r un c

ritère

de sé

curité

donn

é (dis

ponib

ilité,

confi

denti

alité,

intég

rité, p

reuve,

etc.)

.

Comp

osan

t du s

ystèm

e d’i

nform

ation

(bien

su

pport

)

Resso

urce s

ur laq

uelle

repose

nt de

s fon

ction

nalité

s et q

u’il c

onvie

nt de

séc

uriser

en fo

nctio

n de s

a criti

cité.

On di

sting

ue no

tamme

nt : le

s syst

èmes

numé

rique

s, les

orga

nisati

ons e

t resso

urces

huma

ines,

les lo

caux

et

infras

tructu

res ph

ysiqu

es.

DevO

ps

Désig

ne un

e com

muna

uté ré

unie

autou

r de p

ratiqu

es vis

ant à

rédu

ire l’é

cart

entre

les p

erson

nes q

ui dé

velop

pent

un pr

oduit

ou un

servi

ce, e

t celle

s qui

sont c

hargé

es de

l’héb

erger,

l’opé

rer, le

surve

iller, e

tc. Pa

r exe

mple,

les

équip

es de

dével

oppe

ment

sont a

lertée

s et m

obilis

ées s

ur tou

s les

incide

nts

de pr

oduc

tion.

DICP

Acron

yme d

ésign

ant le

s diffé

rentes

catég

ories

de be

soins

de sé

curité

qu’il

convi

ent u

suelle

ment

de pr

endre

en co

mpte

lors d

’une a

nalys

e des

risqu

es nu

mériq

ues :

disp

onibi

lité, in

tégrité

, con

fiden

tialité

, preu

ve.

Écos

ystèm

e

Partie

s pren

antes

qui g

ravite

nt au

tour d

u syst

ème d

’infor

matio

n (SI)

et

intera

gissen

t au t

ravers

d’int

erfac

es log

iques

ou ph

ysiqu

es. Il

peut

s’agir

des

clients

ou us

agers

d’un

servi

ce, d

e part

enair

es, de

cotra

itants

, etc.

L’é

cosys

tème i

nclut

égale

ment

l’ensem

ble de

s serv

ices e

t résea

ux su

pport

s ind

ispen

sables

au bo

n fon

ction

neme

nt du

SI.

Évén

emen

t red

outé

Situa

tion c

rainte

par l’

organ

isme.

Il s’ex

prime

par la

comb

inaiso

n des

source

s de

men

aces

susce

ptible

s d’en

être

à l’or

igine

, d’un

e user

story

, du b

esoin

de

sécuri

té co

ncern

é et d

es im

pacts

poten

tiels.

Un év

énem

ent re

douté

co

rresp

ond à

une v

iolatio

n d’un

besoi

n de s

écuri

té d’u

ne us

er sto

ry.

61/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

ANNEXES

ANNEXES

Term

esDé

finitio

ns

Homo

logati

on

de sé

curit

é

Attest

ation

, par

une a

utorité

resp

onsab

le, qu

e le n

iveau

de sé

curité

est

confo

rme a

ux at

tentes

et qu

e les

risqu

es rés

iduels

sont

acce

ptable

s dan

s un

conte

xte d’

emplo

i don

né.

Impa

ctCo

nséq

uenc

e dire

cte ou

indir

ecte

de l’i

nsati

sfacti

on de

s beso

ins de

sécu

rité

sur l’

organ

isme o

u sur

son en

viron

neme

nt.

Mesu

re de

sécu

rité

Moyen

de tra

iter u

n risq

ue de

sécu

rité. U

ne m

esure

peut

être d

e natu

re tec

hniqu

e, ph

ysiqu

e ou o

rganis

ation

nelle.

Objec

tif de

sécu

rité

Dans

le pr

ésent

guide

, un o

bjecti

f de s

écuri

té co

rresp

ond à

l’opti

on de

tra

iteme

nt dé

cidée

pour

un sc

énari

o de r

isque

. Typiq

ueme

nt : é

viter, r

éduir

e, tra

nsfér

er, ac

cepte

r.

Refac

toring

Pratiq

ue te

chniq

ue co

nsist

ant à

amélio

rer la

conc

eptio

n (lisi

bilité

, mod

ularité

, etc

.) d’un

code

sourc

e exis

tant s

ans e

n mod

ifier la

fonc

tionn

alité,

et plu

s lar

geme

nt à p

rendre

en co

mpte

la co

ncep

tion t

out a

u lon

g du d

évelop

peme

nt d’u

n log

iciel, p

lutôt

que l

ors d’

une p

hase

distin

cte au

débu

t.

Risqu

e rés

iduel

Risqu

e sub

sistan

t aprè

s le t

raitem

ent d

u risq

ue et

la m

ise en

œuvr

e des

mesu

res de

sécu

rité. Il

peut

être p

résen

t dès

la co

ncep

tion (

l’équip

e a

acce

pté la

prése

nce d

u risq

ue) o

u ide

ntifié

a po

sterio

ri (pa

r exe

mple

lors d

’un

audit

exter

ne).

Scén

ario d

e risq

ue

Scén

ario d

écriv

ant la

surve

nue d

’un év

énem

ent re

douté

. Il co

mbine

les

source

s de r

isque

s sus

cepti

bles d

’en êt

re à l

’origi

ne, le

s com

posan

ts du

SI

visés,

des m

odes

d’acti

on op

érés s

ur ce

s com

posan

ts et

les vu

lnérab

ilités

explo

itable

s pou

r qu’i

ls se

réalise

nt. Da

ns le

prése

nt gu

ide, u

n scé

nario

de

risqu

e est

égale

ment

désig

né so

us l’a

ppella

tion «

abuse

r stor

y ».

Sourc

e de r

isque

Entité

ou pe

rsonn

e à l’o

rigine

de sc

énari

os de

risqu

e.

User

story

Au lie

u de f

aire l

’objet

d’un

cahie

r des

charg

es, la

réalis

ation

d’un

prod

uit pa

r un

e équ

ipe ag

ile su

ppose

de dé

coup

er le

travai

l à ré

aliser

en in

créme

nts de

val

eur m

étier

appe

lés «

user s

tories

».

Valeu

r méti

erInf

ormati

on ou

proc

essus

jugé

impo

rtant

pour

l’orga

nisme

et qu

’il co

nvien

t do

nc de

proté

ger. O

n app

récier

a ses

besoi

ns de

sécu

rité. E

n dém

arche

agile,

la

valeu

r méti

er est

géné

ralem

ent e

xprim

ée so

us la

form

e d’un

e user

story

.

Vulné

rabilit

éCa

ractér

istiqu

e d’un

comp

osant

du SI

qui p

eut c

onsti

tuer u

ne fa

ibless

e ou

une f

aille a

u reg

ard de

la sé

curité

numé

rique

.

BIBL

IOGR

APHI

E

Les so

urce

s ci-a

près

con

stitu

ent u

n bo

n po

int d

e dé

part

pou

r to

ut o

rga-

nism

e so

uhai

tant

app

rofo

ndir

ses

con

nais

sanc

es o

u bâ

tir s

on p

ropr

e ré

fére

ntie

l en

mat

ière

de

dém

arch

e ag

ile, d

e dé

velo

ppem

ent s

écur

isé

ou d

e pr

atiq

ues d

’hom

olog

atio

n. C

ette

bib

liogr

aphi

e ne

se v

eut p

as e

xhau

stiv

e.

/ DÉM

ARCH

E AGI

LE

Le

man

ifest

e ag

ile e

st le

doc

umen

t « h

istor

ique

» e

t de

fait

inco

ntou

r-na

ble

pour

qui

souh

aite

maî

tris

er le

suje

t. To

ute

la li

ttér

atur

e qu

i sui

t se

répa

rtit

en d

eux

caté

gorie

s, de

s glo

ses s

ur le

Man

ifest

e et

des

reto

urs

d’ex

péri

ence

s du

terr

ain.

w

ww

.agi

lem

anife

sto.

org/

iso/

fr/m

anife

sto

Le

réfé

rent

iel d

es p

ratiq

ues a

gile

s de

l’Ins

titut

Agi

le, a

vec

le so

utie

n de

l’as

soci

atio

n A

gile

Alli

ance

, vis

e un

rece

nsem

ent d

es p

ratiq

ues l

es

plus

répa

ndue

s dan

s la

com

mun

auté

. On

l’util

isera

ave

c pro

fit co

mm

e un

glo

ssai

re é

tend

u pe

rmet

tant

d’é

vite

r de

s in

com

préh

ensi

ons :

la

litté

ratu

re su

r le

suje

t est

en

effet

rich

e en

jarg

on, s

ouve

nt a

nglo

phon

e,

qui d

érou

te p

arfo

is le

s néo

phyt

es.

ww

w.re

fere

ntie

l.ins

titut

-agi

le.fr

Ges

tion

de p

roje

t agi

le, a

vec

Scru

m, L

ean,

eXt

rem

e Pr

ogra

mm

ing…

de

Vér

oniq

ue M

essa

ger,

prop

ose

aux

pers

onne

s aya

nt le

rôle

– fo

rmel

ou

info

rmel

– de

che

f de

proj

et u

n to

ur d

’hor

izon

, ten

ant c

ompt

e de

s sp

écifi

cité

s du

cont

exte

fran

çais,

de

l’his

tori

que

des d

émar

ches

agi

les

et d

es p

rinc

ipal

es r

uptu

res a

vec

les d

octr

ines

ant

érie

ures

de

gest

ion

de p

roje

t. Il

s’app

uie

sur

les t

émoi

gnag

es d

e no

mbr

eux

expe

rts i

ssus

de

la c

omm

unau

té a

gile

fran

coph

one.

The

Pho

enix

Pro

ject

, de

Gen

e Ki

m, K

evin

Beh

r et

Geo

rge

Spaff

ord

est u

ne b

onne

intr

oduc

tion

à l’u

n de

s dom

aine

s les

plu

s réc

emm

ent

déve

lopp

és p

ar la

com

mun

auté

agi

le :

les

prin

cipe

s et

pra

tique

s re

-gr

oupé

es s

ous

l’étiq

uett

e D

evO

ps. S

ous

une

form

e in

édite

(c’e

st u

n ro

man

), il

cons

titue

une

ent

rée

en m

atiè

re a

cces

sibl

e et

effi

cace

.

62/80

AGILITÉ & SÉCURITÉ NUMÉRIQUES

AGILITÉ & SÉCURITÉ NUMÉRIQUES

ANNEXES

ANNEXES

/ P

RATIQ

UES

D’HOM

OLOG

ATIO

N ET

D’AN

ALYS

E DE R

ISQU

E

/ RÉG

LEM

ENTA

TION

(DE S

ÉCUR

ITÉ)

Gui

de A

NSS

I L’h

omol

ogat

ion

de sé

curi

té e

n ne

uf é

tape

s sim

ples

: w

ww

.ssi.g

ouv.

fr/g

uide

-hom

olog

atio

n-se

curi

te

Bas

e de

con

nais

sanc

es E

BIO

S de

l’A

NSS

I :

ww

w.ss

i.gou

v.fr

/adm

inis

trat

ion/

man

agem

ent-d

u-ri

sque

/ la

-met

hode

-ebi

os-ri

sk-m

anag

er

Vou

s tro

uver

ez é

gale

men

t sur

le si

te d

e l’A

NSS

I d’a

utre

s gui

des v

ous p

er-

met

tant

d’a

ppro

fond

ir v

os p

ratiq

ues

en m

atiè

re p

ar e

xem

ple

de d

éfen

se

en p

rofo

ndeu

r, d’

élab

orat

ion

d’un

e PS

SI o

u d’

un p

lan

de m

onté

e en

ma-

turi

té S

SI :

w

ww

.ssi.g

ouv.

fr/e

ntre

pris

e/bo

nnes

-pra

tique

s/met

hodo

logi

e

Le

lect

eur p

ourr

a se

repo

rter

au

site

de l’A

NSS

I qui

pré

sent

e un

pan

oram

a de

s te

xtes

rég

lem

enta

ires

en

mat

ière

de

sécu

rité

num

ériq

ue r

elat

ifs à

la

prot

ectio

n de

s sys

tèm

es d

’info

rmat

ion,

à la

confi

ance

num

ériq

ue, a

insi

que

plus

spé

cifiq

uem

ent

à la

cry

ptog

raph

ie o

u à

d’au

tres

rég

lem

enta

tion

s te

chni

ques

: w

ww

.ssi.g

ouv.

fr/e

ntre

pris

e/re

glem

enta

tion

Con

cern

ant l

a sé

curit

é nu

mér

ique

des

syst

èmes

d’in

form

atio

n d’

impo

rtan

ce

vita

le (

SIIV

), ré

gie

par

l’art

icle

22

de la

loi d

e pr

ogra

mm

atio

n m

ilita

ire,

le

lect

eur p

ourr

a co

nsul

ter l

e lie

n su

ivan

t :

ww

w.s

si.g

ouv.

fr/e

ntre

pris

e/pr

otec

tion

-des

-oiv

/pro

tect

ion-

des-

oi

v-en

-fran

ce

Out

ils p

ratiq

ues p

our l

’iden

tifica

tion

et l’

éval

uatio

n de

scén

ario

s de

risq

ue

num

ériq

ue (e

xem

ples

) :

Tac

tical

Thr

eat M

odel

ing

de S

AFE

Code

: w

ww

.safe

code

.org

/pub

licat

ions

STR

IDE

Thre

at M

odel

de

Mic

roso

ft :

ww

w.o

was

p.or

g/in

dex.

php/

Thre

at_R

isk_

Mod

elin

g#ST

RID

E

DR

EAD

Risk

Rat

ing

Secu

rity

Thr

eats

: w

ww

.wik

i.ope

nsta

ck.o

rg/w

iki/S

ecur

ity/O

SSA

-Met

rics

#DR

EAD

ou

w

ww

.ow

asp.

org/

inde

x.ph

p/Th

reat

_Ris

k_M

odel

ing#

DR

EAD

/ DÉV

ELOP

PEM

ENT S

ÉCUR

ISÉ

Vou

s tro

uver

ez su

r le

site

de

l’AN

SSI u

n en

sem

ble

de g

uide

s, re

com

man

-da

tions

et b

onne

s pra

tique

s (cr

ypto

grap

hie,

pos

tes d

e tr

avai

l et s

erve

urs,

liais

ons

sans

fil e

t mob

ilité

, rés

eaux

, app

licat

ions

Web

, ext

erna

lisat

ion,

sys-

tèm

es in

dust

riel

s, te

chno

logi

es sa

ns c

onta

ct, a

rchi

vage

éle

ctro

niqu

e, e

tc.)

: w

ww

.ssi.g

ouv.

fr/e

ntre

pris

e/bo

nnes

-pra

tique

s

OW

ASP

Pro

activ

e Co

ntro

ls (O

pen

Web

App

licat

ion

Secu

rity

Proj

ect)

pro

pose

un

e lis

te d

e di

x co

ntrô

les

de s

écur

ité p

réve

ntifs

déd

iés

au d

ével

oppe

men

t lo

gici

el. C

es t

echn

ique

s so

nt c

lass

ées

par

ordr

e d’

impo

rtan

ce d

écro

issa

nt.

Ce d

ocum

ent a

été

écr

it pa

r des

dév

elop

peur

s pou

r des

dév

elop

peur

s :

ww

w.o

was

p.or

g/in

dex.

php/

OW

ASP

_Pro

activ

e_Co

ntro

ls

SAFE

Code

– S

ecur

ity G

uida

nce

for

Agi

le P

ract

ition

ers –

pro

pose

des

re-

com

man

datio

ns p

ratiq

ues s

ous f

orm

e de

use

r sto

ries

cen

trée

s sur

la sé

curi

-té

et

les

tâch

es d

e sé

curi

té q

u’ils

peu

vent

faci

lem

ent

inté

grer

dan

s le

urs

envi

ronn

emen

ts d

e dé

velo

ppem

ent a

gile

: w

ww

.safe

code

.org

/pub

licat

ions

[...]

63/80

DOSSIER : Sécurité informatique : comment se protéger ?www.lagazettedescommunes.com/461392/former-et-sensibiliser-les-agents-a-la-securite-informatique-pour-reduire-les-risques

NUMÉRIQUE

Former et sensibiliser les agents à la sécurité informatique pour réduire les risquesPierre-Alexandre Conte | Actu experts prévention sécurité | Dossiers d'actualité | Publié le 20/09/2016 | Mis à jour le 23/02/2017

Lorsque le sujet de la sécurité numérique est mis sur la table, les agents, qui adoptent encore tropsouvent des comportements à risque, ont tendance à être exclus de l'équation. A tort, comme l'ontrappelé la plupart des intervenants du colloque organisé par la Mission Ecoter le 15 septembre, quiinvitent les collectivités territoriales à former et sensibiliser leur personnel sur cette question.

Les acteurs du monde de la sécurité informatique s’accordent à le dire : une grande partie des incidents sont liés à une faille humaine. Une étude de l’Université Friedrich-Alexander d’Erlangen-Nuremberg menée par le

professeur Zinaida Benenson et publiée mi-août a d’ailleurs révélé que 56% des personnes cliquent sur des liens présents dans des mails envoyés par des inconnus. Et ce, même si celles-ci ont conscience du danger qu’elles encourent. La curiosité est la principale raison de cette prise de risque.

Ce test effectué auprès de 1700 étudiants, Laurent Charveriat l’a relayé au cours d’un colloque organisé le 15 septembre à Puteaux par la Mission Ecoter. Le thème de celui-ci : « Sécurité des lieux, sécurité des usagers. » Le directeur d’I-Tracing, une société notamment spécialisée dans la sécurité des systèmes d’information, souhaitait par ce biais faire comprendre aux collectivités territoriales qu’elles sont d’abord rendues vulnérables par le comportement de leurs agents.

Les agents en première ligneContrairement à ce que beaucoup d’entre elles pensent encore, comme l’a révélé en 2015 une étude de Primo

France, les collectivités territoriales sont des cibles, à l’instar des particuliers ou des entreprises. Et elles le

seront d’autant plus à l’avenir avec la place croissante prise par le numérique.

De l’atteinte à la vie privée au vol de données sensibles en passant par l’altération de la réputation ou les pertes financières, les conséquences d’un piratage peuvent être multiples, comme l’a rappelé Jean-Philippe Collignon, directeur de développement chez Engie Ineo Cybersécurité.

Pour diminuer le risque, la seule véritable réponse à apporter, c’est la formation. Il est devenu indispensable de sensibiliser les agents à ces questions pour les pousser à adopter un comportement responsable tout en leur

DOCUMENT 9

64/80

faisant prendre conscience des pratiques frauduleuses existantes. Car ces derniers sont plus que jamais en première ligne.

Début juin, la société PhishMe a publié un rapport établissant que 93% des attaques via phishing contenaient des ransomwares, soit des logiciels malveillants visant à prendre en otage des données en les cryptant et réclamer une rançon en échange de leur restitution. Un simple clic peut ainsi conduire un système d’information à être paralysé. C’est ce qui est arrivé à un hôpital de Los Angeles, en février 2016. Pour retrouver au plus vite un fonctionnement normal, la direction de ce dernier a dû débourser 17000 dollars. L’idée reçue veut que les hackers visent des cibles qui auraient des moyens financiers importants. Mais Laurent Charveriat rappelle qu’ils n’adoptent généralement pas cette stratégie-là : « Le maire a tendance à se dire que sa commune n’est la cible de rien, de personne. Mais la logique des hackers, c’est d’inonder partout. Statistiquement, il y a un nombre d’utilisateurs qui vont cliquer. »

De l’importance de connaître son système d’informationSi la faille humaine ne doit pas être négligée, il ne faut pour autant pas mettre de côté les autres portes d’entrée vers les systèmes d’information des collectivités territoriales. A commencer les lieux en eux-mêmes, dont la sécurité physique doit être assurée. Veiller à ce que les sous-traitants respectent les règles fixées est également indispensable.

Concernant le volet numérique, « cela ne sert à rien de tout sécuriser, cela n’a pas de sens », affirme le directeur général d’I-Tracing. Avant de préciser sa pensée : « On met des agents de police devant les écoles, pas partout. Et on ne commence pas par la technique. Il faut faire un ‘Connais-toi toi-même’. Quelles sont les données sensibles et qui sont les consommateurs de ces données ? Uniquement des personnes en interne ou la population y a-t-elle accès ? Derrière, il faut les mesures qui s’imposent. »

Ces mesures dépendent donc essentiellement de ce qui est menacé. Certaine solutions permettent un retour rapide à un fonctionnement normal tandis que d’autres garantissent une perte minimale de données en cas de panne. Reste à savoir si l’outil met en cause le fonctionnement de la collectivité territoriale ou non. Par ailleurs, Audrey Paris, expert SSI chez Engie Ineo a pris soin de préciser qu’un « simple bilan ponctuel de la sécurité ne suffisait pas » mais qu’il fallait un « suivi en continu ».

Évidemment, cette sécurité a un coût. Mais elle est aujourd’hui devenue un enjeu central. Pour ceux qui se refusent encore à penser dans ce sens, le nouveau règlement européen sur la protection des données

personnelles qui entrera en application en 2018 devrait achever de les convaincre. Les sanctions seront ainsi renforcées.

Certes, une marge de manœuvre est laissée aux États par rapport au secteur privé mais les amendes encourues par les entreprises – jusqu’à 20 millions d’euros ou de 2 à 4% du chiffre d’affaire – en cas de non respect des règles donnent un ordre d’idée des sanctions envisageables. Avant d’en arriver là, mieux vaut donc anticiper. Et

appliquer dans un premier temps ce que préconise l’ANSSI dans son référentiel général de sécurité.

65/80

Prendre en compte et

maîtriser le facteur humain dans la SSI

Même avec les meilleurs outils existants en matière de

sécurité informatique, le système d’information d’une

entreprise peut devenir perméable si l’entreprise ne

maîtrise pas le facteur humain.

En effet, le personnel fait partie intégrante du SI. Il en

est même un maillon essentiel. Chaque salarié ayant

accès à tout ou partie du patrimoine informationnel, il

est important qu’il ait conscience de la sensibilité et de

la vulnérabilité des informations et qu’il respecte quoti-

diennement les règles internes de sécurité.

Cette fiche pratique vous explique comment sensibili-

ser le personnel à la sécurité informatique et pourquoi

nommer un responsable dans ce domaine.

Voici les points clés à retenir :

Intégrer la protection de l’information dans la com- Ü

munication globale de l’entreprise.

Sensibiliser, former, impliquer et responsabiliser le Ü

personnel à tous les niveaux.

Communiquer sur la stratégie et les actions prévues Ü

en matière de sécurité, en insistant largement sur les

bénéfices d’une telle démarche afin d’éviter les po-

tentielles résistances aux changements.

Assurer le responsable sécurité du soutien indispen- Ü

sable de la hiérarchie.

Eviter que l’entreprise attende les problèmes pour Ü

agir, il est souvent déjà trop tard.

Mettre en place des solutions réalistes et adaptées Ü

en fonction des risques encourus par l’entreprise.

Pour plus de sécurité, nous avions choisi de

changer le mot de passe des utilisateurs tous les 6 mois.

Mais cela n’a pas duré longtemps car les collaborateurs

écrivaient leur code sur un papier qu’ils cachaient dans

leur tiroir ou sous leur clavier.

Finalement cette mesure a créé des risques supplémen-

taires au lieu de mieux protéger notre système d’infor-

mation.

Sommaire

1 - Nommer un responsable « Sécurité du système d’information »

2 - Sensibiliser et former le personnel à la SSI

Avertissement : cette fiche est le fruit d’un travail de vul-

garisation et comporte par conséquent une information

générale et non exhaustive. Elle ne saurait engager la

responsabilité de l’éditeur (Direccte, ENE) et de ses dif-

fuseurs.

DOCUMENT 10assuris.fr - janvier 2010

66/80

1. Nommer un responsable« Sécurité du système d’information »

Le responsable SSI a pour mission de garantir l’inté-

grité, la confidentialité, la disponibilité et la traçabilité

des données de l’ensemble des systèmes d’information

de l’entreprise. Il définit les orientations, élabore et met

en œuvre une politique de sécurité.

Il est aussi celui sur qui repose la maîtrise du facteur

humain dans la sécurité du système d’information.

Il n’existe pas de profil type. Le responsable SSI doit réu-

nir plusieurs compétences :

Une bonne connaissance dans le domaine de la Ü

sécurité, sans pour autant connaître en détail le

fonctionnement des technologies. Il doit acqué-

rir et mettre à jour un minimum de connaissances

à la fois pour être crédible vis-à-vis des techni-

ciens en sécurité informatique et pour savoir ap-

précier les risques liés à l´utilisation du système

d´information.

Une vision transversale de l’activité de l’entreprise. Ü

Des aptitudes en communication pour mener des Ü

missions de sensibilisation.

Des aptitudes en organisation car il sera le chef d’or- Ü

chestre de la gestion d’éventuels sinistres.

Dans les PMI PME, cette fonction est très souvent assu-

rée par le responsable informatique lui-même ou encore

le responsable qualité.

2. Sensibiliser et former lepersonnel à la SSI

2.1. Comment ?

Il s’agit de mener régulièrement des actions d’informa-

tion et de sensibilisation auprès du personnel pour lui

faire comprendre les enjeux de la SSI. Ces actions facili-

tent l’acceptation et l’application de règles qui peuvent

parfois paraître contraignantes.

L’objectif est de transmettre un premier niveau de

connaissance et de diffuser les bonnes pratiques concer-

nant la sécurité informatique.

Tout utilisateur doit :

Avoir eu connaissance de la charte informatique et Ü

l’appliquer.

Connaître la démarche à suivre en cas de problème Ü

de sécurité informatique (personne à contacter).

Etre en mesure de juger de la sensibilité d’une infor- Ü

mation.

Connaître son périmètre d’accès à l’information. Ü

Les actions de sensibilisation peuvent se faire à travers :

Des discussions informelles entre employés et res- Ü

ponsables SSI.

Des notes d’information (emails courts et prati- Ü

ques).

De l’affichage dans les zones sensibles (photoco- Ü

pieurs, bureau de recherche et développement).

Des réunions thématiques régulières. Ü

Des séances de formation. Ü

67/80

DRIRE

2.2. Les facteurs clés de succès

Les supports utilisés dans le cadre d’actions de sensibili-

sation à la SSI doivent être simples, ludiques et interac-

tifs afin d’assurer l’efficacité des messages et de susciter

l’intérêt du plus grand nombre.

L’introduction de nouvelles pratiques peut générer

certaines résistances aux changements. Il est alors

conseillé d’axer le discours de sensibilisation sur les

avantages qu’apporte la SSI pour garantir l’activité de

l’entreprise.

Par ailleurs, il convient de contrôler régulièrement le

respect par le personnel des règles et sa connaissance

des dispositions pratiques inscrites dans le règlement

intérieur. Des mesures incitatives peuvent aussi être en-

visagées.Généralement, les actions de sensibilisation se

font en complément d’une démarche de diffusion de la

charte informatique interne1.

Enfin, les règles seront d’autant plus prises au sérieux si

les responsables les respectent eux-mêmes de manière

exemplaire.

1 Pour en savoir plus sur la charte informatique, se référer à la fiche n°6 « Les droits et obligations du chef d’entreprise en matière de SSI ».

68/80

DOSSIER : Sécurité informatique : comment se protéger ?www.lagazettedescommunes.com

Pierre-Alexandre Conte | Dossiers d'actualité | France | Publié le 27/02/2017

NUMÉRIQUE

« Cloud » et souveraineté numérique : le débat fait rageUne note ministérielle du 5 avril 2016 affirme l'obligation pour les collectivités d'avoir recours à un « cloud souverain ». Mais l'offre répondant à cette injonction ne donne pas satisfaction à toutes les collectivités, qui se trouvent dans une position inconfortable.

Le « cloud » est une solution adoptée ou envisagée par un nombre important de collectivités. Elles voient dans ce système de stockage « dans le nuage », une solution adaptée à leurs besoins de modernisation. Le 5 avril 2016, une note informative émanant du ministère de l’Intérieur et du ministère de la Culture et de la communication est toutefois venue jeter le trouble.

Celle-ci explique que les collectivités doivent impérativement souscrire une offre de « cloud souverain ». La démarche inverse est qualifiée « d’illégale, pour toute institution produisant des archives publiques » du fait de la nécessité de s’assurer que les données sont stockées et traitées sur le territoire national.

Les Américains dans le viseurA l’évidence, la note, qui a été signée par le directeur général des collectivités locales, Bruno Delsol, et par le directeur chargé des archives de France, Hervé Lemoine, vise les offres provenant de sociétés américaines.

De Microsoft à Google, en passant par Amazon, les entreprises proposant leurs services sont nombreuses. Elles disposent en effet de moyens colossaux et ont investi depuis longtemps dans ce système de stockage. A ce jour, ces acteurs sont nettement en avance sur leurs concurrents français et se taillent la part du lion sur le marché international et hexagonal.

Pour autant, adopter une solution émanant d’entreprises américaines comporte un risque. Et pas des moindres. Car ces dernières ont l’habitude de conserver des « backdoors », c’est-à-dire des portes dérobées dont les utilisateurs n’ont pas connaissance, qui leur permettent d’avoir un accès au logiciel.

DOCUMENT 11

Or en vertu des lois en vigueur aux Etats-Unis, le gouvernement peut avoir accès aux données personnelles

hébergées sur le sol américain ou détenues par une société américaine à tout moment, sans autorisation

judiciaire. Ce qui pose un problème évident pour les collectivités.

69/80

Offre étrangèreSi la note informative du 5 avril 2016 donne des consignes assez fermes, elle n’est, pour autant, pas un texte de loi. Aussi, malgré les risques encourus, les collectivités peuvent encore se tourner vers une offre de « cloud » étrangère. D’autant que plusieurs sociétés américaines, à l’instar d’Amazon et de Microsoft, ont annoncé qu’elles allaient ouvrir des « data centers » en France.

Leurs systèmes de stockage « en nuage » deviendront alors, de fait, souverains. Mais rien ne permet d’affirmer pour autant que les données détenues par ces entreprises ne tomberont jamais dans les mains de l’administration du pays dans lequel est établie leur maison mère. Les collectivités territoriales qui abordent la question du « cloud » se doivent donc d’être conscientes des conséquences induites par le choix de leur prestataire. Certaines d’entre elles vont ainsi privilégier l’efficacité du service en veillant à ne pas stocker de données sensibles, tandis que d’autres vont choisir la solution la plus sécurisée… Cette question n’a, de toute évidence, pas fini de faire parler.

Communauté urbaine de Dunkerque (Nord) 21 communes – 201 400 hab.

Une orientation vers une offre de Microsoft pour remplacer lamessagerie actuelleLa cybersécurité fait partie des préoccupations principales de la communauté urbaine et de la ville de Dunkerque. Pour autant, en dépit de la note informative du 5 avril 2016, elle s’oriente vers une offre « cloud » de Microsoft pour remplacer sa messagerie actuelle sous Lotus notes.Un choix assumé par son directeur des systèmes d’information, René-Yves Labranche : « Une annonce de Microsoft nous a signalé que la société implanterait des data centers en France dès 2017. Et Office 365 semble être la solution adaptée à notre besoin, tout en respectant au maximum la sécurité », lance-t-il.

Avant d’expliquer en profondeur la démarche : « Il y a une antinomie entre la notion de cloud souverain et la nécessité de transformation et de modernisation des systèmes d’information dans les collectivités. Si on applique cette note à la lettre, on fait marche arrière sur la totalité de la transformation qu’on a déjà opérée et pour laquelle nous sommes en conformité avec le référentiel général de sécurité. Nous avons un RSSI et avons

beaucoup investi en termes humains et financiers pour améliorer la sécurité de notre système d’information. »

REFERENCES

Note d’information relative à l’informatique en nuage, 5 avril 2016

70/80

Le PRA et le PCA revisités par le Cloud

Dans toutes les branches d’activités, la continuité de la production informatique

devient critique. Les plans de reprise se démocratisent autour des fibres noires,

de la virtualisation et du Cloud.

« Sans plan de reprise ou de continuité informatique, l’organisation se ferme de nombreux

marchés car désormais les appels d’offres réclament aux soumissionnaires qu’ils précisent

11 juin 2018

DOCUMENT 12

71/80

> Bruno Hamon

> Didier Lavoine

leurs moyens de secours informatiques mis en place. La technologie pousse dans le bon

sens, vers la démocratisation des solutions. Les prix d’acquisition et d’exploitation chutent à

travers les offres Cloud, la location de fibre noire ou encore les postes de travail en mode

VDI », observe Bruno Hamon, fondateur et directeur associé du cabinet Mirca et chargé de

mission à l’Afnor.

Le spécialiste préconise de définir avec les métiers les exigences de

continuité d’activité, par rapport à la notion de “promesse client”.

Pour cela, il prend en compte trois sinistres principaux dans

l’élaboration d’un PCA : des locaux inaccessibles, de façon durable

ou non, une perte totale ou partielle du système d’information et un

absentéisme important du facteur humain. Un tel plan doit « se

construire avec les métiers en y ajoutant la prévention contre les

fuites de données et la nécessité d’être en conformité avec le

Règlement sur la protection des données personnelles ou RGPD

dans l’objectif de bien maîtriser son patrimoine informationnel. Cela

inclut les données à caractères personnelles au-delà de son système

d’information, dans le Cloud comme chez les hébergeurs. »

Plusieurs risques à anticiper

Les technologies et prestataires de services Cloud relèvent le défi d’une production IT

ininterrompue, autour d’offres DRaaS (Disaster Recovery as a Service) notamment : «

Depuis deux ans, les CSP (Cloud Service Providers) développent leur propre réseau

d’interconnexion entre datacenters, sans passer par les opérateurs. La fibre noire

multiplexée facilite ainsi la bascule rapide entre les sites de Paris et Francfort, en cas de

sinistre », précise Didier Lavoine, directeur technique, Développement et Innovation de

Digora.

On distingue trois types de pannes majeures intervenant au niveau des

bâtiments, des équipements logiques ou physiques. Sur site, les

incidents météorologiques (orage, grêle ou tempête) peuvent

provoquer une coupure d’alimentation électrique, une inondation, un

incendie, voire la destruction du datacenter. Un acte de vandalisme, de

terrorisme ou une attaque militaire auront des conséquences

semblables.

Les pannes de serveurs ou d’équipements réseau sont le plus souvent liées à un

composant défectueux (processeur, mémoire, disque, carte réseau). Enfin les pannes

72/80

logiques ont diverses causes possibles : la cyberattaque, l’effacement maladroit de fichier,

un bug dans une application ou la corruption de données numériques.

Face à cette variété de sinistres, l’organisation retient souvent plusieurs protections pour

limiter l’impact des défaillances. Ce faisant, elle multiplie les interfaces d’administration à

prendre en main en situation d’urgence. Le PRA détaille les procédures pour remettre en

production les systèmes critiques, pas à pas. Il précise les étapes clés à suivre en cas de

crash. Pour le préparer, on place trois repères clés sur une échelle de temps, à commencer

par l’heure supposée du sinistre au centre de cette ligne. Deux jalons sont répartis de part

et d’autre : à gauche, la PDMA (perte de données maximale admissible) et à droite du

sinistre, la DMIA (durée maximale d’interruption admissible) ou DIMA (durée

d’indisponibilité autorisée). Ces deux repères peuvent glisser dans le temps, selon la

criticité de l’application. Ils s’expriment en minutes, en heures ou en jours, plus rarement

en secondes.

Des objectifs propres à chaque plan

Chaque plan de reprise d’activités gagne à établir ses propres objectifs, réalistes, par

application. Cette approche fournit la séquence de restauration des applications et données

à remettre en production, suivant leur priorité. Dès qu’une nouvelle application apparaît,

l’évaluation de son couple PDMA/ DMIA devient nécessaire. De même, tout nouvel

équipement actif à peine connecté, un serveur, un firewall ou un routeur rejoindra la liste

des matériels à remplacer dans un délai convenu, par une ou plusieurs voies planifiées

d’avance (acquisition, échange ou stock).

Un nouveau socle tangible à définir

Lorsqu’un sinistre survient, le temps de réaction de l’organisation conditionne la reprise des

activités métiers, donc la poursuite des affaires. « Le PRA n’est pas un simple effet de

mode. La dépendance des entreprises au digital est de plus en plus forte, souligne Anwar

Saliba, directeur général adjoint d’Euclyde. Le coût de mise en œuvre du plan ne serait pas

son principal obstacle : « Les technologies Cloud allègent le coût du PRA, lorsqu’on réserve

des ressources sur un site distant, on ne paye qu’en cas de besoin. Nos clients consacrent

de 5 % à 10 % de leur budget IT annuel à leur PRA. C’est peu, comparé aux 50 %

nécessaires pour un PCA, bâti sur deux datacenters distincts. »

La mutualisation des moyens techniques et le modèle de

facturation du Cloud, à l’usage, expliquent la démocratisation du

PRA, assuré par une bonne gestion du capacity planning par le

prestataire. En effet, la probabilité que tous ses clients73/80

déclenchent leur PRA en même temps reste proche de zéro.

L’investissement se transforme donc en charges : « Tant que le

client ne démarre pas son PRA, il n’y pas de licence à payer aux

fournisseurs ; seules des ressources matérielles sont mises à

disposition ».

En résumé, la définition du PRA dépend des objectifs de sécurité

que l’organisation se fixe : « Lorsqu’une reprise sous un à cinq

jours convient, une simple sauvegarde suffit. Mais si on doit > Anwar Saliba

assurer une restauration complète sous 4 heures, il faut ajouter

des mécanismes de réplication synchrone et quelques zéros à la

facture », reconnaît-il. Pour reconstruire certaines transactions critiques, on peut aussi

repartir de snapshots ou rejouer les dernières étapes des journaux systèmes.

Plus que des recettes de virtualisation ou d’automatisation, le socle d’infrastructure doit

devenir tangible et résilient.

Le mécanisme de reprise d’activitésPDMA Perte de données maximale admissible

RPO Recovery point objective, objectif quantitatif de données perdues

DMIA Durée maximale d’interruption admissible

RTO Recovery time objective, objectif de reprise après incident

74/80

AVIS D’EXPERT

Francis Brisedoux,

manager IT d’ASL Airlines France.

ASL Airlines France retient Rubrik pour ses restaurations instantanées

« Ceinture, bretelles et parachute », qualifie Francis Brisedoux, le manager IT d’ASL

Airlines France. La compagnie aérienne, héritière de l’Aéropostale, protège efficacement le

socle informatique de ses activités de fret et de transport de passagers, assurées par la

rotation de 17 Boeing 737.

Elle a choisi le soutien de l’éditeur Rubrik pour mener les sauvegardes compressées,

dédupliquées et chiffrées de machines virtuelles (VM) sur plusieurs sites, en Cloud privé,

sur un site de PRA, chez OVH, puis Amazon Web Services au-delà d’un mois. Pour garantir

les niveaux de services des VM, quatre fréquences de sauvegarde sont retenues avec leur

propre règle de rétention.

« L’assurance tous risques d’une DSI, c’est d’avoir des sauvegardes fiables et performantes

», souligne le manager. Son équipe IT, composée de 6 personnes pour 250 serveurs, épaule

450 salariés dans la filiale française. Dès 2009, elle met le cap sur l’industrialisation de

l’infrastructure avec la virtualisation des serveurs sous VMware, puis celle des postes VDI en

2011, l’hyperconvergence avec Nutanix en 2013, la ToIP dans le Cloud en 2014, et le

nouveau PRA avec Rubrik en 2017.

Olivier Bouzereau

Dossier publié dans Solutions Numériques N°20

75/80

Conseil départemental d’INGEDEP Février 2019

Présentation générale des infrastructures

1. PRESENTATION

INGEDEP est doté d’un réseau étendu de 130 sites interconnectés. On recense aujourd’hui 400 serveurs physiques et/ou virtuels au sein du Datacenter de la collectivité. Les 47 collèges du département sont interconnectés avec le réseau d’INGEDEP et font partie des 130 sites. On recense 2 000 postes qui se répartissent ainsi :

• 1 150 postes sur des liens haut-débit• 650 postes sur des liaisons bas débit de type Wan connectés sur une infrastructure de

postes virtuels• 200 portables en situation de mobilité

2. ARCHITECTURE RESEAU

L’architecture réseau est organisée autour d’un cœur à 40 gigabits gérant des vlans de niveau 2 et de niveau 3 sécurisés par le protocole VRRP. La sécurisation des équipements de distribution est réalisée grâce au protocole Spanning-Tree. Les supports intersites sont divers : filaire, fibre optique monomode, faisceaux hertziens, liaison radio 5GHz. Un Wan MPLS raccorde l’ensemble des sites distants du département.

2.1 Le bouclage optique

Les principaux sites métropolitains sont raccordés via une boucle optique qui permet d’assurer une sécurité accrue au niveau de l’acheminement des flux via la boucle.

2.2 Architecture WAN

L’ensemble des 130 sites « éloignés » du département d’INGEDEP sont raccordés grâce à un MPLS opérateur. Les liens sont dimensionnés avec des liaisons SDSL de 1Mbs, 2Mbs et 4Mbs selon la taille des sites et de leur parc informatique. Le management du réseau Wan est assuré par l’opérateur. L’interconnexion avec le Lan est basée sur un Vlan d’interconnexion. Lors de la perte d’un routeur, l’ensemble du trafic bascule sur le second routeur.

2.3 Architecture Internet

Un accès internet d'un débit de 40 Mb est mutualisé pour l’ensemble du personnel d’INGEDEP. L’ensemble des éléments de l’infrastructure de sécurité : firewall, proxy, Reverse-proxy, relais de messagerie sont installés au sein du Datacenter.

ANNEXE 1

76/80

2.4 Architecture Téléphonique

L’installation téléphonique d’INGEDEP est une solution constructeur et full IP dans la majorité des sites.

3. STOCKAGE

INGEDEP dispose d’une infrastructure de stockage centralisée qui intègre les technologies SAN & NAS. L’architecture actuelle est constituée de 2 baies située au sein du Datacenter.

4. ARCHITECTURE DE VIRTUALISATION

Une infrastructure de virtualisation des serveurs a été mise en œuvre sur la base de la solution VMWARE Vsphere. Cette solution fonctionne sur une plate-forme matérielle à base de châssis de type blade et de lames à processeurs Intel, ainsi que des serveurs physiques dédiés faisant office d’hyperviseur. Elle compte environ 400 serveurs virtuels qui reposent sur 20 serveurs physiques (ESX et ESXi). Dans le cadre d'un PRA/PCA, une étude globale est en cours afin d'exploiter pleinement cette infrastructure de virtualisation pour un basculement rapide en cas de problème majeur au sein du Datacenter.

5. ARCHITECTURE DE MESSAGERIE

INGEDEP est équipé d’une solution de messagerie d’entreprise basée sur la solution Zimbra. Cette solution permet d’offrir les services suivants :

• Envoi / réception de messages en interne et en externe• Messagerie en client web• Accès à la messagerie (et agenda) pour les utilisateurs en interne et en externe pour une

population d’agents (directeurs, chefs …)• Synchronisation de la messagerie (et agenda) avec des appareils mobiles (IPhone

77/80

principalement) pour une population d’agents « VIP »

6. ARCHITECTURE DE SAUVEGARDE

L’architecture de sauvegarde d’INGEDEP est installée au sein du Datacenter et repose sur les solutions suivantes : - l’outil de backup TINA-Time Navigator pour la sauvegarde des serveurs de fichiers - le logiciel de sauvegarde VEAM pour la sauvegarde des environnements virtuels - une baie disque dédiée au sein du Datacenter - une librairie LTO6

7. SECURITE DU SYSTEME D’INFORMATION ET PROTECTION DES DONNEES

INGEDEP ne dispose pas de Politique de Sécurité du Système d’Information (PSSI). Une charte informatique a cependant été rédigée en l’année 2002, elle est présente sur l’Intranet. La démarche de nomination d'un Délégué à la Protection des Données (DPD/DPO) est initiée avec la Direction des Systèmes d'Information (DSI) et la Direction des Affaires Juridiques (DAF) afin d'engager les actions de conformité et notamment l'élaboration d'une démarche projet respectant les principes du RGPD.

78/80

Conseil départemental d’INGEDEP Février 2019

Rapport d'audit de sécurité du Système d'Information (SI)

Un premier audit des architectures a permis d'évaluer l'exposition du Système d'Information (SI) d'INGEDEP aux menaces externes. Il a été mené selon une approche globale composé de 3 types d'audit :

• audit macroscopique d'architecture ;• audit macroscopique des composants antiviraux ;• audit macroscopique des processus.

1. Audit macroscopique d'architecture

• Le composant proxy « W..... » assure la sécurité des échanges avec internet et le filtragedes URL dans le cadre de la navigation des utilisateurs ;

• La passerelle mails est équipée du logiciel « T............" » qui assurent la sécurité et lefiltrage des mails échangés sur le réseau local et ceux en provenance d’internet ;

• Les postes utilisateurs sont protégés par la solution antivirale « S..........Suite » ;• En termes de segmentation réseau, le LAN est bien découpé en VLANs mais sans

étanchéité entre les segments ;• Le routage est activé entre les VLANs, il n’existe aucune composante de type « Firewall »

pour sécuriser les flux entre les différents segments ;• En cas d’infection virale sur le VLAN utilisateurs, l’infection pourrait se propager aux

infrastructures serveurs ;• La distribution des mises à jour des systèmes d’exploitation sur les postes comme sur les

serveurs n’est pas systématique. Les systèmes restent vulnérables aux attaques viralesutilisant ces failles comme vecteur de propagation (faille RDP, netbios …) ;

• Certains postes connectés au SI utilisent un mode de connexion particulier (postes « NATé ») ce qui les autorise à naviguer vers l’extérieur ;

• L’architecture mise en place permet la mise à jour des composants et la récupération desdernières bases virales des postes de travail comme des serveurs ;

• L'architecture existante ne permet pas la mise en place de PCA et de PRA.

2. Audit macroscopique des composants antiviraux

• les bases virales sont mises à jour régulièrement (1 fois/jour) pour tous les composants ;• Le composant "passerelle mails " T............." est en version X et présente un retard d'une

version majeure ; • Le rapport de protection antivirale fait apparaître 2 % des postes de travail dont le statut de

protection représente un point d’attention (antivirus périmé ou désactivé).

3. Audit macroscopique des processus

• Le processus de gestion des alertes n’est pas clairement identifié et non outillé :◦ aucun document ne décrit le processus de traitement des alertes ;◦ les alertes sont reçues par mail (liste de diffusion, pas d’acteur fixe identifié pour le

traitement), sans possibilité de synthèse ou de mise en avant d’évènements importantsou d’un niveau de gravité élevé ;

ANNEXE 2

79/80

◦ les alertes ne sont pas corrélées ;◦ les alertes ne donnent pas lieux à la formalisation de plans d’actions.

• Les actions et processus liés à la gestion de la plateforme antivirale mettent en évidencedes problématiques de niveau de sécurité :◦ absence de comptes nominatifs, certaines tâches d’administration sont effectuées avec

des comptes génériques ;

◦ il est difficile d’assurer la traçabilité des actions (ajout d’exception sur la passerelle mail,ajout de règles de firewall) ;

◦ les alertes ne sont pas corrélées (détection de comportement suspect par corrélation deplusieurs alertes venant de plusieurs composants), ni différenciées (analyse etclassification des alertes selon leurs types/priorité) ;

◦ les alertes ne donnent pas lieux à la formalisation de plans d’actions ;

◦ il n’existe pas de « revue de sécurité » pour le traitement des exceptions et desdemandes de modification.

80/80