Archives de catégorie Non classé

Depuis quelques années, l’émergence des réseaux de distribution intelligents d’énergie (smartgrid), le déploiement de compteurs communicants et la propagation rapide des objets connectés (IoT = internet des objets) dans la maison (smarthome) permettent aux clients et aux acteurs du secteur de l’énergie respectivement de nouveaux usages et de nouvelles offres innovantes.

Ces usages sont basés sur les données collectées et traitées par l’ensemble de ces dispositifs. Parmi ces données, il y a des données personnelles. Depuis mai 2018, la collecte et le traitement de ces données personnelles sont soumis à l’application du Règlement général sur la protection des données (RGPD).

Quelles sont les points d’attention à respecter par les acteurs du secteur de l’énergie qui collectent et traitent ces données ?

Tout d’abord, quelles sont les typologies de données collectées ?

Exemples de données collectées :

• La courbe de charge (historique de sa consommation d’un usager) issue du compteur communicant. Son analyse permet de déduire par exemple :
  • Le nombre de personnes vivant dans le logement,
  • Des informations sur la vie de la ou des personnes vivant là, telles que les heures de levée et de coucher, les périodes d’absence.
• Les données issues des objets connectés tels que des capteurs et régulateurs équipant des appareils domestiques (réfrigérateur, chauffage, machine à laver, contrôle des volets…) qui peuvent constituer un système de domotique.
• Les données liées au rechargement d’un véhicule électrique…

Quels sont les usages issus de ces données ?

Ces données permettent, par exemple :

• D’évaluer la consommation du logement.
• De gérer les équipements de la maison via un système domotique.
• Pour un fournisseur d’énergie :
  • De réaliser un bilan énergétique et de proposer des travaux d’isolation, le changement d’appareil domestique qui consomment trop d’énergie.
  • D’adapter la consommation aux évolutions du cours de valorisation de l’énergie et donc d’optimiser le coût pour l’usager.
  • De faire de l’effacement, c’est-à-dire suspendre ou réguler le fonctionnement d’appareils domestiques tels que lave-vaisselle, lave-linge… en cas de pic de consommation.

Quelles sont les points d’attention à respecter par les acteurs du secteur de l’énergie qui collectent et traitent ces données ?

Au regard du RGPD, le responsable de traitement (entité considérée comme responsable des données personnelles collectées et traitées), ici, un fournisseur d’énergie, doit s’assurer que pour chaque donnée personnelle collectée et traitée :

• Corresponde bien une finalité déterminée, explicite et légitime.
• La collecte a été :
  • Licite, c’est-à-dire réalisée sur une base légale. En fonction de l’usage, il peut s’agir d’une base contractuelle, du consentement de l’usager…
  • Loyale et transparente, c’est-à-dire que l’usager a bien été informé de la collecte des données et de leurs traitements prévus, de leurs finalités.
• La durée de conservation est bien définie et n’est pas disproportionnée.
• Les données personnelles sont protégées. Il s’agit essentiellement de protection cyber qui permettent de garantir l’intégrité, la disponibilité, la confidentialité et la résilience des données.
• Les données ne font pas l’objet d’une sous-traitance, d’une vente car dans ces 2 cas des conditions complémentaires sont exigées, et plus encore, lorsque les données font l’objet d’un transfert hors Union Européenne.
• L’aptitude du responsable de traitement de permettre à l’usager de faire respecter ses droits, par exemple le droit d’opposition (à de la collecte de certaines données).

Energie, big data et RGPD

Le secteur de l’énergie a accès à une quantité croissante de données issue des compteurs communicants, des objets connectés de la maison, des réseaux de production et de distribution de l’énergie (smartgrid) et d’autres sources (ex : météo). Afin d’offrir à leur client les meilleurs produits et services, les entités (entreprises, association, organismes publics) doivent être capable de traiter ces masses colossales de données. Pour cela, elles peuvent s’appuyer sur les technologies big data, intelligence artificielle… Mais avant tout, pour les données personnelles collectées et traitées, elles doivent s’assurer de respecter le Règlement général sur la protection des données (RGPD) sous peine de sanctions, de perte de confiance de ses clients et d’atteinte à sa réputation.

La pandémie au covid-19 a entrainé une adoption massive du télétravail dans les entités (entreprises, associations, organismes publics). Pour un travail distant efficace et attrayant, pour le collaborateur et pour l’entité, il faut mettre en place des solutions disponibles, flexibles, performantes et sécurisées.

Quelles sont les solutions les plus pertinentes pour un travail à distance efficace mais sécurisé ?

NB : il n’existe pas de solutions garantissant la cybersécurité totale de vos SI (Systèmes d’Information). Mais la mise en place de toutes ou du maximum de ces solutions réduira considérablement votre niveau d’exposition.

Le choix de l’équipement

Il est de loin préférable, si vos budgets vous le permettent, que les collaborateurs utilisent un poste de travail (mobil) fournis par l’entité, à l’exception éventuellement pour les smartphones et les tablettes. En effet, votre équipe informatique (si vous en avez une) pourra configurer et maintenir les dispositifs de sécurité de chaque poste. A défaut, utiliser un ordinateur personnel comporte des risques importants. En effet, l’absence de dispositifs de sécurité suffisants sur des postes personnels est très fréquents, car cela nécessite des compétences de professionnels. De plus, certaines utilisations personnelles sont très exposées aux cybermenaces : les jeux en lignes, les téléchargements douteux…

De plus, expliquez à vos collaborateurs comment aménager un lieu de travail agréable, ergonomique (pour éviter les mauvaises positions propices aux troubles musculosquelettiques par exemple), bien éclairé (pour éviter la fatigue oculaire). Rappelez également les règles du travail sur ordinateur : se lever régulièrement, faire des pauses…

Pour les collaborateurs qui travaillent beaucoup chez eux, si possible, les équipez de mobilier de bureau adapté.

Si la personne est beaucoup au téléphone, fournissez-lui, si possible un casque équipé d’un microphone.

La protection physique de l’équipement

En déplacement, ne laisser jamais votre poste sans surveillance.

Chez un client, attachez votre poste de travail avec un câble de sécurité lorsque vous vous absentez, quelques minutes. Pensez à verrouiller votre session avec un mot de passe, car l’envoie d’un mail de votre poste est très rapide à faire par malveillance ou par accident (chez vous, par un enfant en bas âge ou un chat qui joue sur le clavier). Programmez une mise en verrouillage automatique ainsi qu’un délai d’expiration de la session. Si vous vous absentez longuement, entreposer votre poste dans un endroit sécurisé tel qu’un bureau et une armoire verrouillé (les agents d’entretien ont accès à chaque bureau). Ne laisser jamais votre poste de travail dans un véhicule.

Si vous travaillez sur votre poste dans les transports, utilisez un écran de protection pour éviter les regards indiscrets.

Ne connectez jamais un clé USB dont vous ne connaissez pas la provenance (une clé USB trouvé dans le métro, la rue – il s’agit souvent de clés USB piégées déposées dans la rue à dessein) ou dont la provenance est douteuse (inconnu qui vous demande un service) et dont vous ne pouvez garantir la sécurité.

La protection cyber de l’équipement

Protégez votre poste de travail avec :

• Une solution antivirus et antimalware fiable. A défaut de budget suffisant, il existe des solutions gratuites.
• Un pare-feu.
• Un dispositif efficace de mise à jour automatique. En effet, les applications comportent de trop nombreuses vulnérabilités et les cybercriminels s’en tiennent constamment informés afin de les exploiter si possible, avant la mise en œuvre des correctifs, pour infiltrer la machine concernée. Il est donc essentiel de mettre à jour toutes les applications que vous utilisez.
• Une solution de chiffrement de vos données. Ainsi, en cas de vol de votre poste de travail, vos données seront inaccessibles.

Sauvegardez régulièrement vos données sur des disques durs externes et/ou dans un service cloud chiffré.

Pensez à vérifier régulièrement que vos sauvegardes fonctionnent car, désormais, les cybercriminels les attaquent aussi.

Pour vous connecter au réseau et applications de l’entité, mettez en place :

• Un VPN (Virtual Private Network), pour que les données échangées entre votre poste de travail et le SI auquel vous êtes connecté soient chiffrées et donc inexploitables en cas d’interception.
  • NB : les solutions VPN fournies à des fins de confidentialité (donc les VPN qui ne sont pas solutions d’entreprise) ne protègent les données qu’entre votre poste et le fournisseur VPN, et non entre le fournisseur VPN et le destinataire final. Votre connexion n’est donc pas sécurisée de bout en bout.
• Un accès aux applications, via des comptes nominatifs avec des droits d’accès limités aux besoins d’utilisation de chaque collaborateur.
• Une politique de mot de passe forte, avec un renouvellement périodique et idéalement une solution de gestion de mot de passe.
• Pour les applications en Saas, une authentification multifacteur. Par exemple : un profil et mot de passe, puis un code reçu par sms suite à la validation du profil / mot de passe.

Si vous utilisez une connexion Wi-Fi

Connexion Wi-Fi de votre domicile. Pensez à configurer votre connexion Wi-Fi pour utiliser un protocole de chiffrement suffisant – par exemple le WPA2 (et surtout pas le WEP, cassable en quelque minute) – avec un mot de passe d’accès fort. A défaut, un attaquant pourra intercepter toutes les données qui transitent par le Wi-Fi y compris vos données de connexion (profil, mot de passe).

Evitez le Wi-Fi public. Vous pouvez vous connecter en utilisant un point d’accès personnel, par exemple votre smartphone. A défaut, si vous devez utiliser un Wi-Fi public, utilisez impérativement un VPN.

Pour échanger avec vos collègues

Utilisez la messagerie de l’entité préalablement configurée par l’équipe informatique de l’entité. Si vous n’en avez pas, mettez-en une en place.

Concernant la visioconférence, utilisez une solution recommandée par l’ANSSI (Agence Nationale de Sécurité des SI). Les solutions grand-public comportent parfois des vulnérabilités. Les mots de passe de la solution de visioconférence doivent être régulièrement changés.

Sensibilisation et formation des collaborateurs

Sensibilisez et formez vos collaborateurs aux risques cyber et aux moyens de s’en prémunir.

Vous pouvez notamment énoncer les bonnes pratiques à respecter dans une charte informatique à diffuser aux collaborateurs, qu’ils s’engageront contractuellement à respecter.

Outre une sensibilisation et une formation régulière aux bonnes pratiques à appliquer, il faut les sensibiliser aux typologies d’attaques utilisées par les cybercriminels tels que les messages malveillants de type phishing.

Un modèle d’architecture de moins en moins adapté

La transformation du fonctionnement du numérique et par conséquent des architectures IT s’accélère actuellement.

Jusqu’à il y a peu, l’architecture était principalement centralisée sur un datacenter où l’ensemble des données de l’entité (entreprise, association, organisme public) est stocké, consulté, traité et partagé. Les utilisateurs sont majoritairement localisés dans un ou quelques sites géographiques avec parfois quelques collaborateurs itinérants. Ils accèdent au datacenter centralisé via un réseau sécurisé, tout deux dotés de plusieurs zones successives de défenses (cybersécurité) avec des pare-feu, des antivirus gérés par des équipes dédiées.  Dans cette architecture, il est difficile d’obtenir un accès au datacenter depuis l’extérieur. Mais tout le monde à l’intérieur du réseau est approuvé par défaut. Si parmi ces personnes, il y a une malveillante, elle peut accéder à l’ensemble des ressources de l’entreprises.

Mais depuis plusieurs années, du fait de la multiplication de l’utilisation du cloud, de la généralisation du travail distant (télétravail) et/ou mobil dans certains secteurs, en raison du covid, de la multiplication des objets connectés (IoT) bientôt boosté par la 5G, les entités ont :

• Leurs données, leurs appareils, leurs applications et leurs services souvent réparties entre le datacenter de l’entité et de nombreux fournisseurs de cloud.
• Leurs utilisateurs de plus en plus mobiles ou en travail distant.
• Un besoin de maîtrise et de contrôle de la cybersécurité des accès et de l’utilisation des données, appareils, applications, services.

Le modèle centralisé de Datacenter et de réseau sécurisé de l’entreprise devient obsolète. Il n’offre plus le niveau de performances, de sécurité et de contrôle d’accès dont les entités et leurs utilisateurs ont besoin.

Un nouveau modèle d’architecture

Pour faire face à cette transformation et ce besoin de cybersécurité, le Gartner a proposé en 2019, un nouveau modèle d’architecture, le « Secure Access Service Edge » ou SASE (prononcer «sassi»).

Le SASE :

• Identifie les utilisateurs et les terminaux utilisés,
• Applique une sécurité basée sur les politiques de l’entité,
• Fournit un accès sécurisé à l’application ou aux données appropriées.

Cette approche permet aux entités d’appliquer un accès sécurisé quel que soit l’emplacement de leurs utilisateurs (collaborateurs, prestataires sous contrats), applications ou appareils.

Le SASE constitue un changement des principes d’architecture IT qui s’éloigne du modèle d’architecture centralisé, vers un modèle d’architecture décentralisé.

Cette approche architecturale fait converger les exigences de réseau et de sécurité en une solution unique dans le cloud. Le SASE distribue l’accès des utilisateurs aux ressources de l’entité au lieu de les regrouper en un seul endroit.

Il permet de répondre ainsi aux besoins de transformation numérique rapide des entités, d’adoption des nouvelles technologies et de mobilité des personnes.

Quels sont les apports du SASE ?

Le modèle SASE peut apporter à votre entité :

• Flexibilité : avec une architecture basée sur le cloud, vous pouvez mettre en œuvre et fournir autant de services de sécurité que vous le souhaitez tels que :
  • Une prévention des menaces,
  • La sécurité DNS,
  • Le filtrage Web,
  • Le sandboxing des fichiers suspects,
  • La protection contre le vol d’informations d’identification,
  • La prévention de la perte de données.

• Baisses de coûts : vous pouvez simplifier votre architecture informatique, au lieu d’avoir recours et à gérer plusieurs produits ponctuels pour maintenir les serveurs et la sécurité en interne. Consolider votre pile de sécurité dans une seule plate-forme chez un seul fournisseur cloud réduira considérablement vos coûts et vos ressources informatiques et produira des économies d’échelle.

• Complexité réduite et prévention des menaces : En choisissant un fournisseur SASE, vous pouvez gérer tous les aspects de la sécurité à partir d’une seule console. Vos équipes de sécurité peuvent :
  • Surveiller qui est connecté au réseau,
  • Analyser toutes les sessions d’accès,
  • Inspecter les contenus pour identifier les logiciels malveillants et les données sensibles,
  • Créer des règles de pare-feu,
  • Mettre à jour les antivirus sur des appareils spécifiques
  • Rechercher des activités ou des attaques suspectes.
  • Isoler des terminaux individuels qui semblent être compromis.

• Performances améliorées : avec l’architecture cloud performante du fournisseur SASE, l’accès ininterrompu et immédiat aux applications, à Internet et aux données de l’entité pourra être disponible dans le monde entier grâce à un réseau privé (SD-WAN) composé de POP (Point of présence = point d’interface entre plusieurs réseaux ou dispositifs de communication) présents dans le monde entier. Ce réseau privé, au routage optimisé, permet d’acheminer les données en évitant les problèmes de latence d’internet. Ceci est crucial pour les applications de vidéo, de collaboration, de conférence Web, et toute autre application sensible à la latence.

• Accès Zero Trust «zéro confiance» (ZTNA = Zero Trust Network Access)  : il s’agit d’une approche dont le principe est de «ne jamais faire confiance, et de toujours vérifier l’identité des utilisateurs, des appareils et des applications qui tentent de se connecter au réseau de l’entité. Les connexions ne sont plus basées sur une adresse IP, mais sur la capacité de l’utilisateur, appareil et application à s’identifier correctement. Le personnel n’aura accès qu’à des applications spécifiques pour lui permettre de faire son travail.

Sur quelles technologies s’appuient le SASE ?

Le SASE fait converger en un seul service :

• Les services SD-WAN (Software Defined – Wide Area Network),
• Le pare-feu de nouvelle génération NGFW (physique) ou FWaaS  (basé sur le cloud),
• La passerelle Web sécurisée (SWG) : solutions unifiées de prévention des menaces, telles que le filtrage d’URL, l’antivirus, l’IPS, l’anti-bot et la prévention des attaques Zero-Day.l’accès
• Un accès ZTNA (Zero Trust Network Access),
• Les courtiers de sécurité d’accès au cloud (CASB : Cloud Access Security Broker). Service qui permet le contrôle des applications SaaS de l’entité, notamment en sécurisant l’accès aux applications et en éliminant les défis du Shadow IT.

Cette approche SASE est très récente, les offres ne sont donc pas encore totalement matures. Il faut choisir une offre totalement intégrée et non une offre proposant une multitude de produits assemblés qui seront difficiles à intégrés et ne permettront pas un fonctionnement optimal du SASE.

Perspectives

Le SASE répond à des besoins nouveaux qui se généralisent très rapidement : l’utilisation du cloud, le travail distant, les IoT. Cette approche, SASE, décrit donc probablement une architecture qui devrait s’inscrire dans la durée, révolutionnant ainsi les architectures IT.

Depuis la promulgation du « Cloud Act » américain et suite aux révélations du lanceur d’alertes Edward Snowden, nous savons que tout hébergement de données chez une entreprise américaine ou toute utilisation de ses services numériques, par une entité (entreprise, association, organisme public), est susceptible d’être scruté par l’administration américaine, ses agences et par extension, dans le cadre de la guerre économique internationale, par les adversaires américains de l’entité.

Certains pensaient que le « Privacy Shield » (accord sur le régime de transfert des données entre les Etats-Unis et l’Union Européenne) assuraient la conformité au RGPD pour toute donnée faisant l’objet d’un transfert aux Etats Unis. Mais depuis son invalidation le 16 juillet 2020 par la Cour de Justice Européenne, les illusions se sont totalement dissipées.

Désormais, il est temps de prendre conscience que la maîtrise de la souveraineté de vos activités passe par la maîtrise de la souveraineté des systèmes d’information (SI) qui les sous-tendent.

Une nouvelle ère digitale

Aujourd’hui à l’ère du monde digital, et de la guerre économique mondialisée, le numérique devient la base de toute activité professionnel, personnel, sociale et la donnée en est la matière première.

La souveraineté et la sécurité (intégrité, exhaustivité, disponibilité, résilience, respect de la vie privée) devraient en être les fondations.

La souveraineté, c’est la maîtrise technique et juridique de la gestion de ses données.

Or, à ce jour, l’Europe est dépendante des acteurs américains (les GAFAM) et asiatiques.

Or, l’extraterritorialité du droit américain, au travers en particulier du « Patriot Act » et du « Cloud Act » et la nature des régimes en Chine ou en Russie, ne permettent pas de garantir aux entités européennes que leurs activités et leurs données ne seront pas scrutées par ces états, leurs administrations et leurs agences de renseignement.

Un contexte favorable à l’action

Pour permettre aux entités européennes, la souveraineté et l’autonomie sur leur activités numériques, la France et l’Union Européenne doivent soutenir le développement d’une filière numérique de services d’hébergement cloud, de cybersécurité puis de services numériques, de classe mondiale.

Nous disposons pour cela en Europe, en particulier en France, d’atouts considérables. Il existe en France de nombreux opérateurs de cloud (dont le leader européen OVH) et de nombreuses entreprises spécialisées en pointe dans la cybersécurité. Cet écosystème a un fort potentiel. Nous disposons également de gros potentiels en intelligence artificielle, en cryptographie…

De plus, nous n’en sommes qu’au début de l’ère numérique. La multiplication des objets connectés boostée par la 5G crée de nouvelles opportunités d’usage, de nouveaux business modèles, de nouvelles cybermenaces.

Quels atouts potentiels d’une filière numérique souveraine

Une filière numérique (cloud et cybersécurité) souveraine européenne voir française, c’est, pour les entités (entreprises, associations, organismes publics) :

• Une offre de services numériques innovante plus large.
• Disposer et maîtriser de nos propres bases de données, riches et diversifiée ouvrant de nouvelles perspectives d’analyses et de recherches.
• Maîtriser la gestion, la gouvernance et la sécurité des données et de ses activités.
• Maîtriser la localisation géographique des données et des traitements.
• Faciliter la maîtrise de la résilience des activités.
• Des dispositifs performants de cybersécurité défensive mais aussi offensive.
• S’assurer un cadre réglementaire commun tel que le RGPD.
• Faciliter les recours juridiques grâce à des législations et des tribunaux locaux.
• Faciliter la gestion des prestataires, leur contrôle et audit et la réversibilité des prestations.

C’est aussi l’opportunité de proposer des services respectant les valeurs européennes notamment la protection des données personnelles, le respect de la vie privée, le blocage des lois extraterritoriales des puissance hors Union Européenne. C’est donc proposer sur le marché numérique internationale une alternative de haute valeur par rapport aux offres américaines et chinoises. Une opportunité pour l’émergence de futurs leaders du numérique mondiaux en Europe et en France.

Enfin, pour l’Europe et la France, c’est potentiellement :

• Des emplois,
• Du développement économique,
• Un instrument de suprématie, de concurrence dans le marché mondial du numérique,
• Un dispositif de dissuasion contre des attaques numériques.

Prérequis et perspectives

Cela suppose toutefois, une offre large, innovante, performante et compétitive. Cela prendra du temps.

Les américains ont une avance considérable dans le numérique avec des services très performants et très compétitifs. La Chine a rattrapé une partie de son retard.

Nos entités nationales (entreprises, associations, organismes publics) utilisent déjà, pour nombre d’entre elles, les services des GAFAM et parfois d’acteurs chinois tels que Alibaba. Leur priorité devrait être de reprendre, a minima, la maîtrise de leurs données sensibles et critiques.

Et non, le chiffrement des données n’offre pas une assurance raisonnable de protection de vos données. Cela n’empêche par exemple pas le possible blocage de votre accès à vos données.

Désormais, il faut une volonté et surtout une vision politique à long terme sur le positionnement du pays dans le numérique. Une vision française et européenne, des budgets conséquents et des marchés publics réservés aux acteurs français et européens.

Il faut créer des formations sur le numérique à la hauteur des enjeux (des filières d’excellence), les conditions pour conserver les meilleurs talents, des crédits conséquents pour la recherche.

Il faut créer des organismes de défense, de veille et d’attaque français et européens.

L’initiative franco-allemande GAIA-X visant à définir les conditions à la création d’un cloud européen est-il le signe, enfin, d’une prise de conscience de ce besoin de souveraineté ? L’avenir nous le dira.

A défaut, la France et l’UE seront totalement dépendants des grandes puissances numériques et perdront totalement leur souveraineté.

Les cyberattaques concernent aujourd’hui les particuliers et les entités (entreprises, associations, organismes publiques) de toutes tailles et de tous secteurs. Chaque jour révèle son lot d’attaques d’envergure plus ou moins grande.

Les technologies sont utilisées partout. De nos PC, tablettes, smartphones, elles se sont progressivement immiscées dans nos objets du quotidien (montres, brosse à dents, électroménager, enceinte connectée…). Mais désormais, boostées par l’IoT (l’internet des objets) et bientôt la 5G, elles envahissent désormais tout : à la maison (smarthome), les transports (véhiculent autonomes…), nos villes (smartcity), les réseaux (smartgrid…), le monde industriel (usines 4.0).

Ces technologies produisent de grandes quantités de données, parfois des données personnelles, parfois des données sensibles voir stratégiques.

La sécurisation des SI est nécessaire mais même dotés des meilleures protections, des failles subsistent toujours (les vulnérabilités zéro-day par exemple).

Le contexte actuel de pandémie, qui a contraint l’adoption massive du télétravail dans l’urgence, a entrainé le déploiement à la va vite de solutions informatiques peu sécurisées, donc sans grande maîtrise des risques et sans mise en place des dispositifs de cybersécurité adéquats. 

Ainsi, des failles existent et/ou subsistent. Les pirates, dont beaucoup se sont professionnalisés et regroupés, les utilisent.

Mais comment comprendre et faire face aux cyberattaques ?

Les principales cyberattaques

Il faut d’abord comprendre quelles sont ces cybermenaces.

Parmi les principales cybermenaces :

• Le Ransomware est une application qui verrouille l’accès à vos données. L’attaquant demande, pour déverrouiller l’accès, une rançon. NB : il ne faut jamais payer la rançon, car il n’y aucune assurance que l’accès aux données soient débloquées pour autant. De plus, l’entité deviendra une cible récurrente puisqu’elle paie. A savoir également : les entités possèdent désormais souvent des sauvegardes permettant de rétablir le système et donc d’éviter de payer la rançon. Donc les attaquants attaquent désormais aussi les sauvegardes, les rendant inopérantes. Donc les entités doivent protéger leurs sauvegardes et vérifier régulièrement qu’elles fonctionnent. L’attaquant peut également copier les données avant d’en bloquer l’accès. En cas de non-paiement et/ou d’un rétablissement du système à l’aide d’une sauvegarde, il pourra menacer l’entité de publier les données sur internet avec les conséquences en termes d’image, de confiance à assumer.

• Le Déni de service (DoS) est attaque informatique qui provoque le dysfonctionnement ou la paralysie complète d’un service proposé (la plupart du temps sur internet) en sollicitant le système d’information de la cible, jusqu’à saturation.

• L’hameçonnage, (phishing), est une technique par laquelle un attaquant usurpe l’identité d’un tiers légitime, par exemple une banque via un e-mail frauduleux (ou un mail covid du ministère de la santé) qui parait authentique, dans le but d’obtenir des informations sensibles.

• L’intrusion désigne un accès non autorisé au système d’information de l’entité.

• Le malware (logiciel malveillant) est un logiciel qui vise à nuire à votre ordinateur, à en prendre le contrôle, à accéder à votre réseau d’entité et/ou à voler ou détériorer vos données. Parfois il vous avertit de la présence de logiciels nuisibles sur votre terminal et vous invite, contre rémunération à contacter quelqu’un ou à télécharger des logiciels de « réparation ».

• Toute autre méthode malveillante : l’ingénierie sociale (manipulation d’une personne sur la base de renseignements la concernant en vue de l’escroquer), faux site internet, clé USB infecté, faux réseau WiFi…

Qui sont les attaquants et quelles sont leurs motivations ?

Les attaquants à l’origine de ces cyberattaques sont multiples. Parfois, ils se liguent entre eux et/ou commanditent à d’autres des attaques pour plus d’efficacité et de discrétion. On trouve :

• Les pirates informatiques isolés qui souhaitent nuire à l’entité par rancœur (suite à un licenciement par exemple) idéologie ou par motivation financière (ex : ransomware).
• Des hacktivistes qui regroupent des hackers dont la motivation est idéologique et qui cherchent à nuire à la réputation et à l’image de marque d’une entité (ex : piratage et modification de la page d’accueil d’un site par l’affichage d’un message revendicatif ou dégradant pour l’entreprise, autre ex : déni de service DoS).
• Des groupes de cybercriminels motivés par l’argent (ex : ransomware – autre ex : vol de données bancaires d’une entreprise et revente sur le darkweb – autre ex : commercialisation d’outil de piratage…)
• Les entreprises spécialisées ou des communautés de hackers mercenaires qui pratiquent l’espionnage, le sabotage, le vol de données, la déstabilisation qui peuvent s’attaquer à des personnalités, des entreprises, des organismes publics, des états.
• Des agences d’état qui mènent des actions de surveillance, d’espionnage, d’attaque.

Les attaques informatiques présentent plusieurs avantages pour les attaquants. Elles sont :

• Peu risquées,
• Discrètes (pour une attaque bien réalisée, il est souvent impossible d’identifier avec certitude l’attaquant),
• Peu couteuses,
• Très efficaces (une attaque bien menée peut paralyser ou détruire tout un SI),
• Elles peuvent être furtives (difficiles à détecter).

Conséquences des cyberattaques

Pour la victime, les conséquences potentielles sont multiples et dépendent du type d’attaque. Cela peut être :

• Du temps d’exploitation perdu si le SI est indisponible et donc l’activité de l’entité ralentie voire stoppée.
• Des coûts d’investigations et de remise en état du SI et des coûts potentiels d’actions en justice.
• La perte de confiance des clients.
• L’atteinte à la réputation et la déstabilisation de l’entreprise, d’une personne publique (homme politique, dirigeant d’entreprise…) ou d’institutions par la diffusion de documents internes sensibles, de données personnelles…
• Le vol d’informations stratégiques revendues à un concurrent, potentiellement : processus de fabrication, innovations technologiques, secrets commerciaux…
• Dans le cas d’impact sur des données personnelles, l’exposition à des sanctions de la CNIL.
• Des litiges avec vos clients pour les mêmes raisons
• Si certaines de vos données ont été détruites ou chiffrées, que vous ne pouvez les récupérer alors qu’elles sont nécessaires à votre activité, la pérennité de votre activité peut être compromise.
• L’atteinte au fonctionnement d’objets ou de SI sensibles avec parfois des impacts humains et/ou économiques. Exemples : Prise de contrôle à distance, sabotage, blocage par un pirate :
  • D’une voiture autonome en cours de trajet avec les risques d’accidents que cela comporte.
  • Des systèmes informatiques d’une entité – par exemple un hôpital, une banque… impactant voir bloquant leur fonctionnement.
  • De machines pouvant par exemple, dans le cas de services publics bloquer la distribution d’eau, d’électricité, les transports…
  • D’un système domotique donnant accès à vos serrures électroniques, vos caméras de surveillance, vos enceintes connectées, votre système d’éclairage, de régulation thermique…
• Des primes d’assurance qui peuvent augmenter.
• Des pertes financières liées à toutes les conséquences précédentes.

NB : Les entreprises utilisent ces techniques pour éliminer des concurrents, gagner des appels d’offre, étayer des procès.

Que faire face à ces cybermenaces ?

Il existe différents dispositifs à mettre en œuvre qui dépendent de la maturité de l’entité :

• Mettre en place un dispositif de défense efficace en appliquant les bonnes pratiques de sécurité du SI puis monter en maturité en particulier pour les actifs les plus risqués.
  • NB : vos ressources informatiques (cloud, infogérant) et accès externes (télétravail, prestataires externes) doivent également être protégés de façon suffisante. NB : Les prestataires d’une grande entreprise ont souvent leur SI moins bien protégés que le leur. Les pirates les ciblent donc pour accéder plus facilement au réseau de leurs clients. La mise en œuvre massive et dans l’urgence du télétravail s’est parfois faite au détriment de la sécurité. Lorsque, par exemple un collaborateur utilise son PC personnel souvent très peu protégé pour se connecter au réseau de l’entreprise.
  • Sensibiliser les collaborateurs face aux risques, leurs manifestations et les bonnes pratiques à adopter.
  • Toutefois, si ces dispositifs sont indispensables, ils ne sont pas suffisants. Ils peuvent être contournés car ils ne protègent que contre des menaces déjà connues.

• Mettre en place des dispositifs et une équipe de surveillance du SI pour détecter les attaques, les traiter efficacement. Mettre en place des dispositifs de continuité d’activité, de reconstruction du SI et de reprise de l’activité. Par exemple un SOC (Security Operations Centers).

• Coopérer à des structures d’alerte et d’assistance telles que les CERT (Computer Emergency Response Team). Elles aident les organismes qui lui sont rattachés à faire de la prévention et du traitement d’incidents de sécurité IT.

• Solliciter des entreprises spécialisées dans la prévention des fuites internes pour des clients particulièrement visés tels que les célébrités, les secteurs du luxe, de la pharmacie, de l’énergie, de la défense, du divertissement. Ces entreprises surveillent en permanence le darknet pour détecter des failles zéroday par exemple, des données et fichiers volés de leurs clients.

• Mettre en place une stratégie d’attaque.

Conclusion

Les cyberattaques se multiplient et se professionnalisent. Des états, des entreprises, des groupes d’intérêts divers les utilisent de plus en plus pour nuire, déstabiliser voire éliminer leurs adversaires.

Même dotés d’un véritable arsenal informatique, il n’existe pas de dispositif de défense infranchissable. Le contexte actuel de développement des IoT et la généralisation du télétravail génère des vulnérabilités supplémentaires. La mise en place de dispositifs de surveillance et d’intervention est donc indispensable. Une cyberattaque est facile à mettre en place, difficile à anticiper et presque impossible à contrer. Ne rien faire pour faire face, c’est condamner son activité.

La 5G arrive en France et dans le monde en 2020.

Elle s’ajoute aux autres générations, la première pour les services de pagination, la 2^ème pour la téléphonie mobile, la 3^ème pour l’accès internet, et la 4^ème pour le streaming.

Couplée au développement rapide et massif de l’IoT (Internet des Objets), du big data et de l’intelligence artificielle, la 5G offrira des opportunités d’innovation très prometteuses qui bouleverseront les usages et généreront de nouveaux modèles économiques.

Toutefois, son déploiement et son utilisation présente des défis et des enjeux de cybersécurité majeurs.

Qu’est-ce que la 5G ?

La 5G est la nouvelle génération de standard en matière de téléphonie mobile.

Cette technologie apporte notamment :

• Une vitesse de téléchargement allant jusqu’à 20 gigabits (Gb) par seconde, 20 fois plus rapide qu’avec la technologie 4G actuelle.
• Une capacité à gérer une densité de connexion beaucoup plus élevée, allant jusqu’à un million d’appareils par km² (100 000 pour la 4G).
• Une connexion haut débit possible lors de déplacement à grande vitesse (dans un TGV par exemple)
• Un délai de transmission des données de la source à la destination de moins d’une milliseconde, (10 millisecondes pour la 4G) donc en temps réel permettant un délai de réaction immédiat.
• Une grande efficacité énergétique. Pour la même quantité de données transportées la 5G consomme jusqu’à 100 fois moins que la 4G.
• …

Opportunités apportées par la 5G

La 5G, grâce à ces apports permet de connecter un grand nombre d’objets connecté (IoT), à de partager des données en temps réel pour un coût faible et une consommation d’énergie « modérée » par objet connecté (mais démultipliés par le nombre d’objets connectés).

Cela permet l’apparition de nouveaux usages pour les particuliers, les entreprises et les collectivités.

• Pour les particuliers, par exemple, le travail à distance, la maison intelligente ou la voiture autonome.
• Pour les entreprises, par exemple, la surveillance, la gestion et l’optimisation des chaines de production (usine 4.0).
• Pour les collectivités, par exemple, le suivi des réseaux électriques (smartgrid), la ville intelligente (smartcity).

Risques liés à la 5G

Les risques liés à la 5G concernent les objets connectés via la 5G, le réseau lui-même.

Les risques concernant les objets sont démultipliés du fait du nombre potentiel important d’objets connectés. Or, à ce jour, de nombreux objets sont peu sécurisés par défaut.

Parmi les faiblesses communément constatées actuellement (comme pour les IoT) :

• Pour les objets connectés
  • L’absence de chiffrement des données de l’objet connecté ou des données collectées et partagées. Elles sont ainsi exposées lors de leur transmission sur le réseau. Le risque est d’autant plus important lorsqu’il s’agit de données personnelles ou de données stratégiques.
  • L’utilisation de logiciels non mis à jour présentant ainsi des vulnérabilités souvent connues.
  • Des mots de passe standards (mot de passe utilisé par défaut par l’objet à sa « sortie d’usine ») ou faibles et donc faciles à identifier.
• Pour le réseau
  • Défaut de sécurisation du réseau.
  • Compte tenu du volume de trafic et du nombre d’objet potentiel dont sont issus les données, la surveillance est plus difficile.

Ainsi :

• Les données peuvent facilement être exploitées à des fins malveillantes par des pirates informatiques.
• Un attaquant peut prendre le contrôle de l’objet connecté soit, par exemple pour le détériorer (une machine-outil ou une infrastructure critique), soit pour l’intégrer dans un réseau de botnet pour mener des attaques informatique type déni de service (DDoS).
• L’objet connecté peut servir à de l’espionnage, savoir ce que vous faite chez vous, dans votre bureau, votre salle de réunion.
• L’objet connecté peut servir de point d’entrée pour un pirate dans un réseau informatique et mettre en danger l’utilisateur, l’entreprise, la collectivité concernés.
  
  

Toutefois n’oubliez pas que vos utilisateurs sont dans la majorité des cas à l’origine de bon nombre des cybermenaces soit involontairement, par manque de vigilance et/ou de formation, soit par malveillance.

Comment sécuriser la 5G ?

Il est très difficile de sécuriser son réseau 5G. Il faut sécuriser l’ensemble des objets connectés et le réseau de bout en bout. La sécurité du réseau 5G est aussi forte que la sécurité de ses maillons les plus faibles.

Les objets connectés sont souvent nombreux, de natures très différentes, utilisant des modes de connexion au réseau variés (Bluetooth, Wi-Fi, Ethernet…).

Tout d’abord, il vous faut recenser et cartographier l’ensemble des objets IoT que vous utilisez, ainsi que leur état de sécurité ou de vulnérabilité. A défaut, il sera difficile de les protéger.

Puis, il s’agit d’appliquer les bonnes pratiques de cybersécurités :

• Pour les objets connectés
  • Utilisez des mots de passe robustes.
  • Mettez à jour les logiciels utilisés par chaque objet.
  • Testez vos vulnérabilités.
• Pour le réseau
  • Chiffrez les données.
  • Utilisez des protocoles d’échange de données sécurisés (VPN).
  • Protégez votre réseau par l’utilisation de pare-feu, de systèmes de détection d’intrusion (IDS), d’antimalware…
  • Surveillez le trafic notamment les demandes d’accès aux ressources du réseau qui devront être vérifiées, et authentifiées
  • …

Plus d’informations sur les bonnes pratiques de cybersécurité : le guide ANSSI CPME.

Ainsi, la 5G couplé à l’IoT génère de nombreuses opportunités d’utilisation et de modèles d’affaire innovant mais ils s’accompagnent également de nombreuses menaces de cybersécurité. Il faut s’en prémunir ou le risque de piratage informatique est grand.

L’avenir est au tout connecté. Les objets de la vie personnelle (balance, réfrigérateur, montre, téléviseur, caméra, véhicule…) ou de la vie professionnelle (machine-outil, capteur, imprimante…) deviennent des objets connectés. L’avènement de la 5G va permettre l’accélération de cette connexion massive des objets qui nous entourent.

C’est l’internet des objets = IoT (Internet of things).

Cette perspective offre de formidables opportunités pour le développement des affaires. Toutefois, elle s’accompagne aussi de menaces.

En effet, la multiplication de ces objets connectés dans les réseaux offre une surface démultipliée aux cybermalveillances.

Qu’est-ce que l’IoT ?

L’Internet des objets (IoT = Internet of Things) fait référence aux millions d’objets physiques dans le monde désormais connectés. Chacun de ces objets est doté d’une puce informatique et d’une adresse IP unique lui permettant, en toute autonomie, de collecter et d’échanger des informations en temps réel. L’IoT institue un lien entre monde réel et monde numérique. L’utilisation des données collectées permet d’offrir aux utilisateurs de nouveaux services et aux entreprises de nouveaux modèles économiques innovants.

Le terme IoT est essentiellement utilisé pour les objets qui ne sont généralement pas connectés. Ainsi, les PC, tablettes ou smartphones ne sont pas considérés comme des IoT.

Les applications de l’IoT

Les applications sont infinies. Pour les applications domestiques, il sera par exemple possible de piloter un thermostat, une ampoule et finalement tous les objets connectés de la maison via son smartphone.

Pour les entreprises, il sera possible par exemple de suivre le fonctionnement, grâce à de multiples capteurs d’une machine-outil, d’anticiper les disfonctionnements et donc de planifier les réparations avant même qu’une panne survienne.

A une échelle encore plus grande, il sera possible de piloter un réseau électrique (smartgrid), une ville intelligente (smartcity)…

L’avènement des IoT est dû à la miniaturisation des puces basses consommation et la baisse de leurs coûts, la disponibilité croissante de réseaux de communication haut débit sans fil. L’avènement de la 5G va doper cette généralisation.

D’ici 2025, le nombre d’IoT dans le monde est estimé autour des 50 Milliards.

Toutefois, ces objets sont très nombreux et collectent et partagent parfois des informations hautement sensibles dont des données personnelles. C’est pourquoi, assurer la cybersécurité de ces objets et de leur environnement et réseau de communication est fondamental.

En effet, la compromission de certains de ces objets pourraient avoir de graves conséquences, par exemple : espionnage industriel dans le cas d’une machine-outil ou attaque visant à la détériorer, prise de contrôle d’une voiture autonome par un pirate lors d’un trajet, dérèglement de capteurs de température pour une centrale électrique dont les données erronées pourraient conduire à de mauvaises décisions…

Quelles sont les principales faiblesses constatées des IoT ?

Les IoT doivent être sécurisés. Toutefois, ils présentent actuellement de nombreuses faiblesses faciles à exploiter.  Ce qui attire, par conséquent, les cybercriminels. Parmi les faiblesses communément constatées actuellement :

• L’absence de chiffrement des données collectées et partagées. Elles sont ainsi exposées lors de leur transmission sur le réseau. Le risque est d’autant plus important lorsqu’il s’agit de données personnelles ou de données stratégiques.
• L’utilisation de logiciels non mis à jour présentant ainsi des vulnérabilités souvent connues
• Des mots de passe standards (mot de passe utilisé par défaut par l’objet à sa « sortie d’usine ») ou faibles et donc faciles à identifier.
• Défaut de sécurisation du réseau

Ainsi :

• Les données peuvent facilement être exploitées à des fins malveillantes par des pirates informatiques.
• Un attaquant peut prendre le contrôle de l’objet connecté soit, par exemple pour le détériorer (une machine-outil ou une infrastructure critique), soit pour l’intégrer dans un réseau de botnet pour mener des attaques informatique type déni de service (DDoS).
• L’objet connecté peut servir à de l’espionnage, savoir ce que vous faite chez vous, dans votre bureau, votre salle de réunion.

Comment sécuriser vos objets IoT

Il est très difficile de sécuriser les objets IoT. Ils sont souvent nombreux, de natures très différentes, utilisant des modes de connexion au réseau variés (Bluetooth, Wi-Fi, Ethernet…).

Tout d’abord, il vous faut recenser et cartographier l’ensemble des objets IoT que vous utilisez, ainsi que leurs caractéristiques. A défaut, il sera difficile de les protéger.

Puis, il s’agit d’appliquer les bonnes pratiques de cybersécurités :

• Pour l’objet connecté
  • Utilisez des mots de passe robustes.
  • Mettez à jour les logiciels utilisés par chaque objet.
  • Testez vos vulnérabilités.
• Pour le réseau
  • Chiffrez les données.
  • Utilisez des protocoles d’échange de données sécurisés.
  • Protégez votre réseau par l’utilisation de pare-feu, de systèmes de détection d’intrusion (IDS), d’antimalware…
  • Surveillez le trafic
  • …

Plus d’informations sur les bonnes pratiques de cybersécurité : le guide ANSSI CPME.

L’utilisation des objets connectés se généralise. Le défi de leur sécurisation est très important. Entreprise ou particuliers, vous devez protéger vos objets connectés ou subir et assumer les conséquences de cyberattaques.

L’omniprésence des cybermenaces

Aujourd’hui l’usage de l’informatique s’est généralisé. Dans cet environnement, les cybermenaces sont désormais omniprésentes. Qu’il s’agisse de malveillance ou d’espionnage, elles peuvent impacter significativement vos activités et parfois remettre en cause la pérennité même de l’entreprise.

Il ne s’agit plus de savoir si votre entreprise, quelle que soit sa taille et son activité, sera attaquée, mais comment s’en prémunir et, le cas échéant, comment réagir.

La cybersécurité, c’est-à-dire la protection de vos données et de vos SI (Systèmes d’Information) face aux cybermenaces est donc indispensable à la résilience et la pérennité de vos activités.

Elle est également nécessaire à la protection des données personnelles conformément au RGPD (Règlement Général sur la Protection des Données – mai 2018. Elle est aussi, par la confiance et la réputation qu’elle apporte à vos utilisateurs, un vecteur de compétitivité et de croissance.

Les TPE et les PME ont souvent peu de compétences et de moyens à consacrer à la cybersécurité.

Certaines bonnes pratiques faciles à mettre en œuvre et nécessitant peu de moyen, permettent de faire face aux principales cybermenaces.

Voici une liste de quelques guides et formations gratuites à consulter et utiliser sans modération !

Bonnes pratiques en matière de cybersécurité

Le « Guide des bonnes pratiques de l’informatique« . Il est issu de la collaboration entre la CPME (Confédération des PME) et l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).

C’est un excellent guide dont les mesures sont faciles à appliquer. Il recense les bonnes pratiques informatiques de base à la protection de vos SI. Il vous permettra de vous prémunir de nombreuses cybermenaces.

Sensibilisez et formez vos utilisateurs

La plupart des attaques réussies le sont en raison d’un manque de vigilance des utilisateurs.

Concernant les cybermenaces

Comprendre les cybermenaces, comment elles se manifestent et fonctionnent permettra aux utilisateurs de savoir comment les repérer et les éviter.

L’ANSSI encore (Agence Nationale de Sécurité des Systèmes d’Information) a créé une excellente formation en ligne gratuite. Très complète et très pédagogique, vous pouvez cibler sur les domaines qui vous intéressent le plus.

La rubrique des risques cyber qui présente différentes cybermenaces et comment s’en prémunir.

Concernant les bonnes pratiques informatiques

Comprendre les principales mesures de cybersécurité et donc de protection de vos données et SI facilitera leur compréhension et par conséquent leur application par les utilisateurs.

Le « Guides des bonnes pratiques de l’informatique » (CPME / ANSSI) à diffuser auprès de vos utilisateurs.

A compléter, si besoin, par le « guide des bonnes pratiques de sécurité numérique à observer en déplacement » de l’ANSSI.

Si vous avez des questions sur la mise en œuvre de ces pratiques, sur les outils de cybersécurité recommandés, sur l’audit de vos mesures de cybersécurité ou aller plus loin, contactez-nous.

L’annulation du « Privacy Shield »

La Cour de justice de l’Union européenne (CJUE) a annulé, jeudi 16 juillet 2020, le « Privacy Shield », l’accord adopté en juillet 2016 entre les Etats-Unis et l’Union Européenne qui permettait aux entreprises de transférer légalement les données personnelles de citoyens européens aux Etats-Unis.

Ainsi, depuis le 16 juillet, les transferts de données personnelles qui s’appuient sur cette base juridique sont donc illégaux. Et les entreprises dans cette situation encourent une amende dont le montant peut atteindre 20 millions d’euros ou 4% du chiffre d’affaire.

Les conséquences de cette décision vont constituer pour de nombreuses entreprises européennes un très grand défi. En effet, d’un point de vue pratique, les entreprises utilisant les services d’entreprises américaines sur le sol américain pour le stockage et le traitement de données personnelles doivent immédiatement suspendre ces transferts et ces traitements et supprimer les données personnelles des serveurs américains.

Les conditions du RGPD pour le transfert hors UE de données personnelles

Pour rappel, le RGPD (Règlement Général sur la Protection des Données – règlement qui s’applique dans l’Union Européenne depuis mai 2018) prévoit que lorsque des données personnelles font l’objet, pour du stockage et du traitement, d’un transfert hors UE, certaines conditions doivent être respectées :

• L’adéquation : Le pays dans lequel sont transférées les données, est jugé disposer d’une réglementation garantissant un niveau de protection des données personnelles de niveau équivalent au RGPD. Il existe donc une liste de ces pays.
• Les Clauses Contractuelles Types : clauses insérées dans le contrat entre l’expéditeur et le destinataire des données qui décrivent les règles à appliquer par le destinataire pour se conformer au RGDP.
• Les BCR (règles d’entreprise contraignante) : qui sont des règles appliquées par un groupe au sein de ses différentes entités et qui garantissent un niveau de protection conforme au RGPD.

La législation américaine : Patriot Act et Cloud Act

La législation américaine, notamment le Patriot Act et le Cloud Act, permet à l’administration américaine et à ses agences de renseignement, pour des raisons officielles de sécurité nationale d’accéder et d’utiliser ces données stockées sur son sol mais aussi dans toute entreprise américaine quel que soit son implantation géographique, sans autorisation ni notification de leurs propriétaires. Et depuis les révélations d’Edouard Snowden, nous savons que l’administration américaine ne s’en prive pas pour mener la guerre économique y compris contre ses alliés.

Ainsi, stocker et traiter ses données chez une entreprise américaine, s’est prendre le risque d’exposer ses données à de l’espionnage industriel et à ne pouvoir respecter le RGDP pour les données personnelles.

Les solutions

Ainsi les entreprises européennes, qui font appel à des prestations d’hébergement et de stockage de données personnelles de citoyens européens peuvent mettre en place l’une des conditions citées plus haut, ce qui peut s’avérer difficile voir impossible auprès de prestataires type GAFA et à minima long ou alors, plus sûr, confier le stockage de ces données et traitements à des prestataires européens dans le territoire de l’UE et qui ne sous-traitent pas ces activités à des entreprises américaines.

Il existe dans l’UE des prestataires de services informatiques variés de haut niveau. Consultez par exemple la liste de ces entreprises françaises (en bas de page). Choisir une entreprise européenne, c’est se faciliter sa mise en conformité au RGPD et le maintien de la confidentialité de vos données et traitements. C’est aussi l’opportunité de contribuer au développement de géants européens du numérique à l’image des GAFA américains ou des BATX chinois et de contribuer à la reconquête de la souveraineté numérique du pays.

Que faire ?

Toutes les entreprises ayant des traitements impliquant un transfert de données aux Etats-Unis et dans toute entreprise américaine doivent définir un plan d’action et initier sa mise en œuvre. Certaines de ces actions seront longues à mettre en œuvre, il faut donc se mettre au travail rapidement.

Le SOC, vecteur de détection des attaques

A l’heure où les cybermenaces sont omniprésentes, la question n’est plus de savoir si votre organisation subira une attaque mais comment votre organisation y fera face.

Chaque organisation doit protéger son SI (Système d’Information) mais cela ne suffit pas. Aucun dispositif de défense n’est infaillible. Un nouveau virus pas exemple non répertorié par les éditeurs d’antivirus ne sera pas a priori détecté.

De plus, se développe l’usage, par les organisations et leurs collaborateurs, d’équipements mobiles professionnels mais aussi personnels, du cloud, d’accès réseaux externes (wifi public par exemple), procurant de nombreux angles d’attaques. La protection permet d’éviter nombre d’attaque mais cela ne suffit pas, les organisations doivent pouvoir les détecter pour pouvoir les traiter en temps réel.

Pour cela, de nombreuses organisations se sont dotées d’un SOC (Security Operation Center).

Qu’est-ce qu’un SOC ?

Le SOC est une équipe assurant la supervision et l’administration opérationnelle de la sécurité du SI d’une organisation et de ses données.

Son objectif est de :

• Surveiller et analyser en continu (24/7) l’activité sur les SI (serveurs, points finaux (terminaux), applications, base de données), et réseaux de l’organisation
• Détecter, analyser les incidents de sécurité et veiller à ce qu’ils soient traités.

Le SOC est une organisation opérationnelle composé d’analystes et d’experts en cybersécurité.

L’équipe peut être composée :

• En partie d’internes pour une meilleure maîtrise du contexte et des enjeux de l’organisation et la maîtrise des connaissances des menaces à couvrir
• En partie d’externes, pour un apport d’expertises techniques et pour faciliter la couverture de l’amplitude horaire d’activité du SOC des 24/7.

Les outils du SOC

Le SOC peut s’appuyer sur des outils technologiques tels que :

• Le SIEM (Security Information Event Management) ou SI de gestion des événements de sécurité. Cet outil permet de centraliser la collecte d’informations provenant du réseau, des dispositifs de sécurité et des applications de l’organisation puis de les analyser selon des scénarios préétablis afin d’identifier et de catégoriser des incidents.
  • Désormais, le SIEM est souvent complété par des outils de Machine Learning et d’analyse statistique avancée voir de l’IA (Intelligence Artificielle) et du Deep Learning pour améliorer la détection de signaux faibles correspondant à des menaces.
• Le SOAR (Security Orchestration Automation Response). Un SOAR permet de collecter des données sur tous les événements IT, de les analyser automatiquement selon des scénarios définis manuellement ou par une IA, d’identifier les menaces connues afin de les classifier et d’isoler les vrais attaques des faux positifs afin de faire gagner du temps aux analystes en cybersécurité.
• La CTI (Cyber Threat Intelligence) a pour but d’identifier, d’analyser et de hiérarchiser les cybermenaces visant votre entreprise afin de lui permettre d’anticiper les attaques et de mieux s’en protéger. Il s’agit d’une démarche qui consiste à collecter, analyser et diffuser des informations liées aux cybermenaces, aux cyberattaquants, à leurs motivations et à leurs modes opératoires et d’en tirer les renseignements pertinents par rapport à l’environnement économique et géopolitique de l’entreprise. Elle aide aussi à déterminer si l’entreprise a été victime d’une attaque.
• L’UEBA (User Behavior Analytics) qui permet d’analyser les comportements d’utilisateurs.
• Les IPS/IDS (Système de Détection d’Intrusion) qui sont des sondes de détection d’intrusion qui permettent d’identifier des trafics d’informations suspects.
• Le DLP (Data Loss Prevention) qui permet de lutter contre la fuite de données.
• Le CASB : (Cloud Access Security Broker) est un outil qui permet de détecter les menaces, d’anticiper les incidents et d’apporter une visibilité sur l’ensemble des applications hébergées dans le Cloud d’une organisation.
• L’EDR (Endpoint Detection and Response) est un outil complétant l’antivirus qui permet de bloquer des menaces connues ou inconnue par de l’analyse de suites d’actions dont le résultat est suspect.

Attention, le SOC ne remplace pas un CERT (Computer Emergency Response Team). La répartition usuelle des rôles se traduit par le SOC détecte l’incident, le CERT le traite. Ils sont donc complémentaires.