Communication">
Cybersecurite 15112017 Version-Finale
Cybersecurite 15112017 Version-Finale
Cybersecurite 15112017 Version-Finale
LE GUIDE
WWW.RESEAU-CTI.COM
Préfaces
A
vec la volonté de voir renaître une France Industrielle forte, notre ambition est de
profiter des progrès des technologies digitales pour accélérer la modernisation de
notre outil productif, revitaliser le tissu industriel français et rendre notre territoire
plus attractif à l’activité économique.
L’Alliance Industrie du futur, que j’ai l’honneur de présider depuis sa création au
mois de juillet 2015, a pour mission de mettre en œuvre sur le terrain cette volonté. Les
systèmes industriels et ce, de manière transversale à toutes les filières industrielles, évoluent
profondément avec la diffusion du numérique et l’augmentation des communications qui
l’accompagne (présence de capteurs générant des données, communications au sein et en
dehors de l’entreprise, etc.).
C’est dans ce cadre que la cybersécurité est un enjeu majeur pour les entreprises
industrielles.
Notre mission est de promouvoir d’avantage de continuité numérique mais cela
passe par une bonne connaissance et une prévention des risques ! Car la connectivité toujours
plus forte des équipements offre désormais une plus grande surface d’attaques.
La médiatisation des cyberattaques de toutes natures doit être vue comme une
opportunité pour renforcer la sensibilisation, la formation et l’accompagnement de dirigeants,
techniciens aux risques encourus par leurs équipements et surtout les former aux outils et
réflexes à adopter dans la construction de l’architecture de son système de production.
C’est dans ce cadre, que la publication du présent guide cybersécurité à destination
des PME-ETI industrielles constitue une étape importante. Après avoir décrit six grands enjeux
cybersécurité de l’industrie du futur, des fiches pratiques représentent des cas pratiques de
situations opérationnelles vécues par les entreprises industrielles.
Le réseau des CTI, soutenus par les experts de l’AIF, ont pris le parti pris de ne pas
traiter de tous les enjeux cybersécurité, de nombreux guides didactiques existants déjà, mais
de se focaliser sur les réflexes immédiats que tout entrepreneur doit prendre. Ce guide s’est
également basé sur les principes et doctrines portés par l’Agence Nationale de la Sécurité des
Systèmes d’Informations (ANSSI) dont le rôle central tant dans la définition de la doctrine
nationale mais également dans la certification des produits.
Philippe Darmayan
Président de l’Alliance pour l’Industrie du Futur
02
“ Pourquoi les CTI se mobilisent
sur le sujet de la cybersécurité
pour les PME ?
L
Les Centres techniques Industriels – CTI - ont été créés il y a plus de 60 ans, à la
demande des professions industrielles, afin d’apporter aux entreprises des moyens
et des compétences pour accroître leur compétitivité, participer à la normalisation,
faire le lien entre la recherche scientifique et l’industrie, promouvoir le progrès des
techniques, aider à l’amélioration du rendement et à la garantie de la qualité.
Ils participent activement au développement d’une industrie moderne, innovante, du futur.
Le fruit de nos travaux est présenté dans ce document, qui rassemble des mesures
concrètes et pragmatiques pour entrer dans une démarche de cybersécurité et progresser pas
à pas.
Les CTI sont prêts à vous accompagner !
Stéphane LE GUIRRIEC
Président du Réseau CTI
03
PARTIE 1 : PARTIE 2 :
DÉFINITIONS, ENJEUX ET FICHES PRATIQUES
ACTIONS INCONTOURNABLES
ENJEU N°1 PAGE
Sensibiliser, former et guider
PAGE
les collaborateurs
QU’EST-CE QUE LA CYBERSÉCURITÉ...........07
1. Sensibiliser ses collaborateurs ........ 17
POUR UNE USINE ?
2. Utiliser des outils nomades, ............. 19
accès à distance
LES SIX ENJEUX CYBERSÉCURITÉ ...............08
3. Communiquer via les réseaux .......... 21
POUR DES PME
sociaux,messagerie, internet
4. Briser les frontières entre les ........... 23
Sensibiliser, former et guider ................. 08
différents services (notamment
ses collaborateurs
entre les systèmes informatiques
et les systèmes industriels
Garantir le fonctionnement de ................ 09
l’atelier et de l’outil de production
ENJEU N°2
Garantir le fonctionnement de l’atelier
Protéger ses données d’entreprise, ........ 09
et de l’outil de production
son patrimoine immatériel
5. Garantir le fonctionnement ............... 25
des machines
Sécuriser la relation avec ....................... 09
6. Contrôler les accès............................ 27
fournisseurs et sous-traitants
7. Maîtriser la gestion et l’échange ...... 29
des données numériques internes
Sécuriser la relation avec les clients ...... 10
8. Assurer la traçabilité de .................... 31
la production
Fournir des produits connectés et/ou ..... 10
services connectés sécurisés
ENJEU N°3
Protéger ses données d’entreprise,
LA CYBERSÉCURITÉ : ....................................11
son patrimoine immatériel
TOUS CONCERNÉS !
9. Sauvegarder et protéger ................... 33
les données et logiciels
LES ACTIONS INCONTOURNABLES ..............12
10. Services en ligne et Cloud................. 35
POUR APPRÉHENDER LA CYBERSÉCURITÉ
DANS SON ENTREPRISE
ENJEU N°4
Sécuriser la relation avec les fournisseurs et
RESPONSABILITÉ DE L’ENTREPRISE ...........14
sous-traitants
11. Sécuriser les données....................... 37
SOURCES D’INFORMATIONS..........................14
numériques avec l’extérieur
ENJEU N°5
Sécuriser les échanges contractuels et
Sommaire
ENJEU N°6
Fournir des produits connectés et/ou
services connectés sécurisés
14. Sécuriser les produits et ................... 43
services connectés
PARTIE 3 :
GLOSSAIRE
04
A V A N T - P R O P O S
Ce document s’inscrit en complément de Les CTI ont ainsi choisi de partir du fonctionne-
guides plus techniques, et constitue une ment d’une PME industrielle en décrivant six
première sensibilisation à un domaine, qui peut enjeux liés à la sécurité numérique, au sein
inquiéter vu la multiplicité et les différentes desquels seront déclinés des fiches pratiques :
formes des attaques. A chaque étape de la vie
de l’entreprise et de son écosystème, les
Sensibiliser, former et guider les
enjeux, vulnérabilités et risques autour la 1 collaborateurs (4 fiches)
sécurité numérique sont décrits et des pistes
de recommandations sont proposées.
Garantir le fonctionnement de l’atelier
Ce guide est scindé en trois parties : 2 / outil de production (4 fiches)
Partie 1 : définition de la cybersécurité de
Protéger ses données d’entreprise,
ses enjeux dans un fonctionnement 3 son patrimoine immatériel (2 fiches)
d’entreprise type et des actions incontour-
nables à réaliser pour l’appréhender.
Sécuriser la relation avec les
4 fournisseurs et sous-traitants (1 fiche)
Partie 2 : des fiches pratiques adossées à
des problématiques spécifiques.
Sécuriser la relation avec
5 les clients (2 fiches)
Partie 3 : un glossaire pour mettre en lien
le vocabulaire « sécurité numérique » avec
Fournir des produits connectés et / ou
les pratiques manufacturières. 6 services associés sécurisés (1 fiche)
Ce document s’adresse à des chefs d’entre-
prise, décideurs, responsables de sites de
production, et leur permettra de : Ces fiches pratiques permettent au lecteur de
mener une réflexion propre au fonctionnement
De mesurer les enjeux pour l’entreprise et de son entreprise, notamment dans un contexte
d’en identifier les vulnérabilités spécifiques d’intégration des nouvelles technologies IOT et
numériques. Elles sont indépendantes les unes
Sensibiliser les collaborateurs des autres et couvrent les items suivants :
Présentation de recommandations et
bonnes pratiques pour aider à la mise en
place d’actions pragmatiques dans
l’entreprise
05
Définitions
enjeux et actions
incontournables
06
Qu’est-ce que la cybersécurité Les interfaces numériques nécessaires à la
communication entre ces différents systèmes
pour une usine ? constitutifs de l’entreprise sont autant de
risques supplémentaires.
La cybersécurité consiste à assurer que les
La mise en pratique de mesures très simples
ressources numériques d’une entreprise,
permet d’éviter la majorité des problèmes.
qu’elles soient matérielles (ex : puce, calcula-
teur, PC, robot, machine à commande numé-
Plus les entreprises numérisent leurs processus
rique…), logicielles (ex : programmes et
et plus les vulnérabilités augmentent. La digita-
données), ou de communication (ex : Wifi,
lisation et la connexion des usines renforcées
internet) sont préservées de toutes attaques,
dans la démarche de « Industrie du Futur »
qui les détourneraient de leur fonctionnement
imposent d’autant plus la mise en œuvre
initialement prévu.
d’actions spécifiques de cybersécurité.
Elle vise à obtenir pour les outils,
Pour entrer dans le sujet de la cybersécurité, il
les services et les données:
convient de distinguer les notions de :
La disponibilité (ex : l’opérateur a accès à
Vulnérabilité : faiblesse au niveau d’un
sa machine au moment où il en a besoin, y
élément d’un système industriel ou
compris quand son fonctionnement et/ou
d’information. La vulnérabilité peut toucher
les conditions d’utilisation sont dégradés)
la conception, la réalisation, l’installation,
L’intégrité, c’est-à-dire la conformité des
la configuration et l’utilisation. (ex : machine
caractéristiques par rapport à ce qui est
non protégée par mot de passe, obsoles-
attendu. (ex : la machine réalise l’action
cence des systèmes)
demandée et uniquement celle-là, y compris
Risque : possibilité qu’une vulnérabilité
avec un fonctionnement dégradé
conduise à un préjudice sur le fonctionne-
La confidentialité des accès (ex : en toutes
ment de l’entreprise, (ex : un attaquant
circonstances, les données clients restent
(menace) utilise un canal non protégé.
confidentielles)
(vulnérabilité) prend le contrôle à distance
et modifie les consignes de fonctionne-
Le respect de ces trois items augmente le
ment)
niveau de sécurité des collaborateurs/parte-
Menace : cause potentielle d’un incident, à
naires/clients des biens/outils /moyens de
des fins malveillantes
production et optimise la bonne marche de
Attaque : concrétisation d’une menace, qui
l’entreprise.
nécessite l’exploitation d’une vulnérabilité.
On distingue l’attaque ciblée des attaques
La cybersécurité s’intègre dans une réflexion
générales (grande majorité des cas)
plus globale de l’entreprise sur la sécurité, et
porte plus particulièrement sur :
07
G É N É R A L I T É S
Les six enjeux
Cybersécurité pour des PME
Appréhender les enjeux de la cybersécurité De façon similaire, les réseaux sociaux et les
dans une entreprise est obligatoirement une messageries sont à présent largement utilisés
démarche globale liée au fonctionnement en milieu industriel. Avec internet, ces moyens
complet de l’entreprise et de son écosystème, de communication exposent les entreprises à
et on ne peut se contenter de séparer les divers types d’attaques informatiques dont la
sujets. Pour ce faire, une approche possible est pluralité et la complexité ne cessent de croître.
de se focaliser les six enjeux suivants, choisis
par les CTI car correspondants au fonctionne- Le risque porté par le facteur humain concerne
ment classique d’une PME. tous les collaborateurs dans l’entreprise (infor-
Les six enjeux ci-dessous structurent la suite maticiens, automaticiens, personnel adminis-
de ce document : tratif, personnel d’ateliers…). Il est donc néces-
saire d’adapter sa campagne de sensibilisation
et formation aux différents métiers de l’entre-
prise et de faire travailler ensemble et de
Sensibiliser, former et guider manière décloisonnée les équipes autour des
1
les collaborateurs problématiques de sécurité.
08
L E S S I X E N J E U X
C Y B E R S É C U R I T É P O U R D E S P M E
09
L E S S I X E N J E U X
C Y B E R S É C U R I T É P O U R D E S P M E
Toutes les données et savoir-faire de l’entre- Le recourt au commerce en ligne n’est plus
prise (programmes, données machines et/ou réservé aux particuliers. Les plateformes de
produits, gammes de fabrication …) peuvent ventes de pièces et équipements manufacturés
être : gérées en direct par les entreprises sont de
plus en plus courantes. Toutes les informations
Utilisées/divulguées à mauvais escient contenues dans les catalogues mis en ligne
(concurrence, ventes...) peuvent être modifiées et/ou détournées.
Modifiées et / ou détruites
10
L E S S I X E N J E U X
C Y B E R S É C U R I T É P O U R D E S P M E
La cybersécurité :
tous concernés !
Ces six enjeux impactent le fonctionnement de l’entreprise à tous les niveaux et dans les différents
services. Le schéma ci-dessous liste les principales équipes impactées :
11
Les actions incontournables pour digitaux et d’exposition à internet, d’établir une
politique de sécurité adaptée à son environ-
appréhender la cybersécurité nement et à son contexte industriel.
dans son entreprise Les cinq items incontournables pour intégrer la
cybersécurité dans son entreprise sont décrits
ci dessous. Des recommandations d’actions
Afin d’être en mesure de protéger son entre- concrètes sont listées pour chacun d’eux. Elles
prise (collaborateurs, système de production, devront être complétées par l’application des
systèmes d’informations, …) de tous types fiches pratiques de la partie 2, en fonction des
d’attaques, il est primordial, quelle que soit sa spécificités et besoins de chaque entreprise.
taille et son degré d’intégration des outils
12
Pour le deuxième item de cette démarche, il est Il ne requiert que vingt minutes pour être
nécessaire de décrire la situation actuelle de rempli, et son utilisation à intervalle de temps
l’entreprise au regard de la cybersécurité, et régulier permet de noter les progrès apportés.
pour ce faire une phase de diagnostic est Conçu sous Excel (acceptant les macros), il
indispensable. s’utilise hors connexion pour une meilleure
sécurité et se compose d’un questionnaire de
L’Alliance Industrie du Futur travaille sur le 83 items. Il fournit une évaluation sous une
développement d’un outil spécifique de forme graphique.
diagnostic dédié à la cybersécurité des usines
dans leur globalité. Il devrait être disponible en Le lien d’accès à cet autodiagnostic est le
2018. suivant :
13
Responsabilité de l’entreprise Sources d’informations
De manière générale, les entreprises sont sou- La cybersécurité étant devenue un sujet clef, de
mises à deux régimes de responsabilité : nombreuses sources sont disponibles pour
s’informer et effectuer des actions de veille.
Une responsabilité civile (article 1384 Nous citons ci-après les acteurs de référence :
alinéa 5 du code civil): l’employeur est
civilement responsable du fait de l’activité L’Agence Nationale de la Sécurité des
de ses collaborateurs, notamment en cas Systèmes d’Information (ANSSI) est le
d’utilisation malveillante des moyens référent national de l’Etat. Elle gère en particu-
informatiques et de communications lier l’élaboration des procédés et des règles
électroniques. nécessaires à la protection des systèmes
Une responsabilité pénale (article L. 121-2 d’information de l’État et contrôle l’application
du code pénal) : l’employeur peut être des mesures adoptées au préalable. Elle a
pénalement responsable du fait de ses également un rôle de conseil et de soutien
collaborateurs dès lors qu’ils commettent envers différents organismes avec notamment
des infractions susceptibles d’engager la la publication de guides de bonnes pratiques.
responsabilité pénale des personnes Deux publications de l’ANSSI sont particulière-
morales (ex : atteinte aux systèmes de ment intéressantes en complément de ce
traitement automatisé de données, document : la cybersécurité des systèmes
contrefaçon…) et qu’elles ont été commises industriels et le guide de l’hygiène informatique.
pour le compte de l’entreprise par ses « Site internet :
organes ou représentants ».
http://www.ssi.gouv.fr/entreprise/
Dans le cadre de l’évolution réglementaire, il bonnes-pratiques/
devient nécessaire de mettre en place des
mesures de protection. Le CERT-FR (Computer Emergency Response
Team) est une équipe constituée pour réagir
En particulier, Le Règlement Général sur la aux incidents informatiques. Il existe plusieurs
Protection des Données (RGPD) ou General CERT en France et chaque CERT a son domaine
Data Protection Regulation (GDPR), qui en d’application. Les CERTS centralisent les
France se substitue à la loi informatique et demandes d’assistance suite aux incidents de
liberté, implique que le chef d’entreprise doit sécurité sur les réseaux et systèmes d’infor-
respecter des exigences de protection des mation, et jouent un rôle de prévention par
données à caractère personnel manipulées au diffusion d’informations sur les précautions à
titre de l’activité d’entreprise (ex : données prendre pour minimiser les risques d’incident.
clients, données sociales…). Ce règlement Il a par exemple publié « Les bons réflexes en
européen entrera en vigueur le 25 mai 2018. cas d'intrusion sur un système d'information »,
avec des mises à jour annuelles depuis 2002.
L’aspect réglementaire autour de la cybersécu- Site internet :
rité est en pleine évolution, et il conviendra de
se tenir régulièrement informé. https://www.ssi.gouv.fr/agence/
cybersecurite/ssi-en-france/
les-cert-francais/
14
L’AFNOR (Association Française de NORmali-
sation) est l'organisation française représen-
tant la France auprès de l'Organisation Interna-
tionale de Normalisation (ISO) et du Comité
Européen de Normalisation (CEN). Cette asso-
ciation, sous l’égide de la DIRECCTE Centre, a
coordonné une action collective qui a abouti à la
rédaction d’un « Guide de bonnes pratiques pour
l’élaboration d’un Plan de Continuité d’Activité
(PCA) ». Ce guide a pour cible les PME et ETI,
encore peu nombreuses à élaborer une straté-
gie de sécurisation de leurs systèmes informa-
tiques notamment en cas de sinistre ou d’une
cyberattaque. Elle a également rédigé un « Guide
de protection des données personnelles : l’apport
des normes volontaires » afin d’éviter les
problèmes de fichier perdus et d’anticiper la
nouvelle réglementation européenne sur la
protection des données personnelles et des
outils qui entrera en application en mai 2018.
Site internet :
http://www.afnor.org/dossiers-
thematiques/numerique/
https://www.cnil.fr/fr/thematique/
internet-technologies
https://clusif.fr/publications/
15
Fiches
pratiques
16
F I C H E P R A T I Q U E
Enjeu
prémunir.
01
• Paralysie de tout ou partie de l'outil N°
La gamme de services en ligne qu’une PME
de production, et des services de
peut solliciter est très vaste. Il est possible de
l’entreprise
façon simplifiée de les regrouper comme suit :
• Mise sur le marché de produits
défectueux
• Négligences internes, à cause d'un
• Mauvaise communication entre les
manque de formation et/ou d'informa-
collaborateurs
tions
• Le manque de mise à jour d’un utilitaire
• Demande de rançon
anti-virus crée une vulnérabilité faisant
• Usurpation d'identité (Fraude au
courir une multitude de risques poten-
président)
tiels.
• Propagation de virus (ou vers)
• Déni de service (voir lexique
17
F I C H E P R A T I Q U E
Sensibiliser ses collaborateurs
01
N° • Former un ou plusieurs référents • Désactiver ou enlever les comptes par
internes en cybersécurité défaut, les ports physiques (USB…)
inutilisés, les supports amovibles non
• Mettre en place une charte de bonne utiles, les services web non indispen-
conduite et la faire appliquer dans sables
l’entreprise
• Maîtriser les outils de programmation,
• Mettre en place un calendrier de développement et débogage des
formation et de sensibilisation pour systèmes de production
l'ensemble du personnel (cybersécurité
et sécurité du site) • Éviter d'utiliser les systèmes de
supervision de terrain de l'outil de
• Ne jamais faire confiance à un tiers production comme terminal bureautique
inconnu, sans vérifier la réalité de ou lecteur PDF
son identité par des justifications
complémentaires, notamment pour • Mettre en place un processus de veille
la messagerie, le téléphone et la pour rester informé de l'évolution des
maintenance du réseau informatique menaces, des techniques d'attaque et
des mécanismes de protection
• En particulier, ne pas ouvrir les pièces
jointes quand l’expéditeur n’est pas • Faire une sauvegarde régulière des
connu ou quand le sujet n’est pas données et logiciels sur des supports
cohérent avec l’expéditeur séparés
• Bien gérer les identifiants d'accès en les • Mettre à jour les systèmes d'exploitation
renouvelant fréquemment, notamment et applications de sécurité à chaque
pour les accès nomades évolution
18
F I C H E P R A T I Q U E
Enjeu
L’Industrie du Futur repose sur une mise à disposition et une utilisation en temps réel
de l’information, pour décider, voire pour agir sur le système d’information ou sur un
composant de l’outil de production. L’accès à distance, que ce soit pour gérer des
opérations de production ou pour la télémaintenance repose sur des outils dits nomades
tels que les smartphones, les ordinateurs portables ou les tablettes. Ces moyens sont
généralement mis à disposition par les entreprises, mais l’on commence à voir
apparaître des usages professionnels d’outils nomades personnels.
02
moyen de production pouvant conduire à
N°
Les risques importants d’intrusion et de l'arrêt de l'atelier
malveillances reposent principalement sur • Les négligences dans la gestion et
deux vulnérabilités potentielles qui sont la l'utilisation des moyens nomades par
connexion et la perte / ou le vol : manque de formation et de formalisa-
tion de procédures
• La prise en main d'une machine par • L’absence de responsabilité identifiée,
un tiers malveillant dans un but de une sous-traitance de la gestion de parc
sabotage, de rançonnage ou d’autres informatique mal maîtrisée
malveillances • La possibilité de mise en danger de la
• Le contrôle d’accès à distance avec population et/ou de l'environnement si le
authentification insuffisamment stockage et/ou l'utilisation de produits
protégée permettant une intrusion dans dangereux sont à la maîtrise à distance
le système informatique de l’entreprise d'un tiers malveillant
• Le vol ou la perte d'informations pouvant
retarder la sortie d'un nouveau produit/-
service ou renseigner un concurrent
02
N° • Faire superviser la gestion du parc des pour les appareils en mobilité, les
outils nomades e par un responsable fonctions de liaison sans fil Wi-Fi
gestionnaire et rédiger une procédure doivent être désactivées par défaut et
en cas de perte ou de vol réactivées pour un usage ponctuel
• Gérer les portes d'entrée des outils • L’usage des périphériques personnels
nomades, accès uniquement à des VPN quels qu’ils soient (téléphones,
(Virtual Private Network) utilisant des tablettes, clés USB, appareils photos,
technologies TLS (Transport Layer etc.) devrait être interdits ou en tous
Security) ou IPSec (Internet Protocol cas, une politique d’usage doit être
Security) formulée
• Sécuriser les points d’accès, les clients • Dans le cas d’une connexion par modem
Wi-Fi et le compte administrateur et n’offrant pas de système d’authentifica-
utiliser une liste d’accès d’appareil tion robuste, a minima un système de
autorisés rappel (call-back) pour valider le
numéro de téléphone appelant
• Etendre et compléter les services de
sécurité déjà déployés sur le réseau
filaire (exemple par VPN, firewall…)
Temps de Besoin de
déploiement prestataires
Coût
20
F I C H E P R A T I Q U E
Enjeu
La visibilité, le développement économique des entreprises et leur attractivité en
matière de méthodes de travail, notamment pour les « digital natives » reposent sur une
utilisation massive d’internet, des messageries et des réseaux sociaux, tant mondiaux
(Facebook, Twitter) que privés, circonscrits au périmètre de l’entreprise. Cette multipli-
cation des outils numériques de communication au bureau et dans l’usine, conjuguée à
l’utilisation croissante des messageries professionnelles à des fins personnelles font
exploser les risques cyber sur le lieu de travail.
03
N°
• Le « Spoofing » ou usurpation d’identité, • L’absence de règles sur l’utilisation de la
consiste à se faire passer pour messagerie, l’absence de charte
quelqu’un d’autre via des sites miroirs informatique avec des points clairs et
contrefaits semblables à des portails de documentés laisse la porte ouverte à
renom. tous les abus.
• L’usurpation d’identité peut conduire à
ruiner votre image de marque sur les
réseaux sociaux, à enclencher des
ordres financiers (fraude au président). Les questions à se poser
• L’absence de sensibilisation des
employés aux dangers liés à l’utilisation pour identifier les risques
de l’Internet en général est préjudi-
ciable. La question n’est pas de savoir si • Peut-on identifier rapidement un problème
une attaque va avoir lieu, mais quand. de connexion à une machine de l’atelier ?
21
F I C H E P R A T I Q U E
Communiquer via les réseaux sociaux, messagerie,
internet
03
N° • Ne jamais ouvrir un fichier attaché d’un • Interdire la mémorisation des mots de
mail de provenance inconnue passe dans les moyens connectés
22
F I C H E P R A T I Q U E
Enjeu
Nous avons vu que pour faire face aux nouveaux cyber-risques, la sensibilisation des
collaborateurs est obligatoire. Mais il n’est pas rare, en PME, de voir cohabiter des
mondes différents liés d’une part à l’informatique de gestion, d’autre part à l’informa-
tique industrielle, voire à l’automatique. Pour réussir une campagne de communication
sur la cybersécurité, il va être nécessaire de construire un langage commun. Pour ce
faire, les différents mondes du digital doivent se décloisonner.
04
N°
Les vulnérabilités proviennent essentiellement (langage à contacts, grafcet, technolo-
des passerelles entre l’informatique de gestion gies web, etc…)
et l'informatique industrielle, ainsi que • Le cloisonnement entre les services
l'absence d’une vision totale du cycle de vie techniques (ordonnancement, produc-
des informations, de la gestion à la machine tion, maintenance, approvisionnement,
de production, sans oublier la destruction au ...) et les services de gestion (planifica-
bout d’un certain temps (suivant le produit/- tion, commercial, comptabilité,...)
service et/ou la législation). ne peut conduire qu’à un manque de
compréhension des vulnérabilités de
• En cas d’attaque, l’informatique de chacun et surtout une réaction désorga-
gestion pourrait prendre la décision de nisée de type panique en cas d’attaque
couper les flux d’informations condui- • Une campagne de sensibilisation mal
sant certaines parties de l’outil de préparée, c’est-à-dire qui ne tient pas
production à avoir des comportements compte des spécificités de chaque
inadaptés, voire dangereux métier interne de l’entreprise, peut
• La pluralité des automates, concentra- conduire à des comportements
teurs et autres terminaux d’atelier contraires à ceux attendus et avoir des
contribue à augmenter les vulnérabilités conséquences négatives pour l’entre-
• L’absence d’une maîtrise commune de prise
l’ensemble des langages numériques
peut entraîner des vulnérabilités
23
F I C H E P R A T I Q U E
Briser les frontières entre les différents services
(notamment entre les systèmes informatiques et les systèmes
industriels)
04
N° • Pour réussir la sensibilisation à la en cas d’attaque sur la base d’une
cybersécurité : analyse de risques. Un intervenant
- Faire un état des lieux des différents extérieur est souhaitable
composants numériques de l’entre-
prise • Former les personnes directement
- Faire un état des lieux des connais- impactées par le plan de continuité
sances de chacun sur l’utilisation, la
programmation, la communication, • Réunir le personnel (par groupes,
les faiblesses et accès de chacun des suivant le nombre) pour procéder à la
composants présentation du plan de communication
- Construire un plan de formation avec et du plan de continuité. Distribuer les
des intervenants extérieurs en documents
fonction des résultats obtenus, et de
l’utilité pour chacun d’obtenir tel ou • Introduire les plans dans le règlement
tel état de connaissances (utilité intérieur
métier)
• Introduire les plans dans le livret
• Créer un groupe de travail multi-métiers, d’accueil des nouveaux arrivants
avec par exemple, un automaticien, un (embauche, intérimaires, ...)
informaticien, des utilisateurs (gestion,
production, maintenance, ...) et mettre • Introduire les consignes minimales dans
en œuvre les actions incontournables le document contractuel d’intervention
cybersécurité telles que décrites dans de toutes sociétés extérieures pouvant
la partie 1 de ce guide. Un intervenant intervenir dans les locaux de l’entre-
externe est recommandé prise
Temps de Besoin de
déploiement prestataires
Coût
24
F I C H E P R A T I Q U E
Enjeu
Un atelier de production est composé d’une multitude de moyens de transformation, de
manutention et de périphériques. Ces machines sont de plus en plus :
• à commande numérique (ex : programmation via des interfaces homme/machine, ..),
• instrumentées (par ex : capteurs permettant de mesurer et exploiter des données
recueillies à des fins de maintenance prédictives),
• connectées et communicantes, au travers soit de réseaux M2M (Machine to
Machine), soit par IOT.
Toutes les machines et robots sont directement ou indirectement connectés à des
réseaux et en particulier à l’internet. Ces équipements peuvent souvent accueillir des
clés USB ou des consoles de maintenance. Il est donc nécessaire de protéger ses
machines. La sécurité de celles-ci ne peut se résumer à des parades logicielles et
matérielles visant à repérer et à éradiquer des codes malveillants. Elle doit garantir
également la fiabilité du transfert d’informations intégrées
entre les différents équipements.
05
machines peut être due à quelques failles
N°
• Pour les fonctionnalités de premier classiques de type :
niveau (systèmes de production
simples) : vulnérabilités des • Mises à jour non sécurisées
capteurs/actionneurs, entrées/sorties >Téléchargement de mises à jour
déportées, automates, pupitres, sans signature authentifiée de
systèmes embarqués, analyseurs, … Les l’émetteur
risques sont de bloquer tout ou partie • Utilisation des clés par défaut
d’une machine, de modifier son compor- >Dans les protocoles de communica-
tement par la modification d’informa- tion, on garde les valeurs par défaut
tions, etc... connues de tous
• Pour les fonctionnalités de second • Pas de chiffrement des communications
niveau (systèmes de production >Les fournisseurs de réseaux de
complexes) : vulnérabilités des stations communication de l'internet des
de supervision, serveurs d’historique objets ne proposent pas de chiffre-
local, bases de données locales, … Les ment dans l’offre de base
risques les plus importants sont de • Stockage de données non sécurisé
perdre toutes les informations relatives >De nombreux composants conservent
à un groupe de machines, provoquant des données personnelles non
l’arrêt de l’unité de fabrication. prévues dans l’application d’origine
• Pour les fonctionnalités de troisième
niveau (systèmes de production très Les risques associés principaux sont :
complexes) : vulnérabilités des
systèmes intégrant des consoles de • Possibilités de propagation de virus, de «
programmation, des stations d’ingénie- vers »
rie connectées en permanence, des • Possibilités d’attaques distribuées
systèmes connectés à d’autres dédiés à • Possibilités d’accès à distance
l’exécution des fabrications, des bases • Livraison de pièces non conformes
de données centralisées, … Les risques • Une attaque grave d’un atelier de
vont de la prise en main à distance par production peut conduire à l’arrêt de
un tiers malfaisant pouvant amener à la l’activité et nuire à l’économie de
destruction d’une partie de l’atelier, à l’entreprise et plus largement de son
modifier la planification de fabrication, à écosystème.
faire accepter des pièces non • Si l’atelier utilise ou produit des
conformes, jusqu’à la perte complète substances nocives pour les hommes et
des bases de données ou leur cryptage l’environnement, les conséquences
en vue d’obtenir une rançon. sanitaires et écologiques d’une attaque
peuvent être désastreuses.
La vulnérabilité des composants IOT qui
intègrent la mécatronique ou des composants
25
F I C H E P R A T I Q U E
Garantir le fonctionnement des machines
05
N° identifier les risques
• Contrôler les accès :
• Est-ce que l’architecture physique et - Remplacer systématiquement les mots
numérique de mon site de production de passe par défaut par des mots de
est connue, formalisée ? passe personnalisés. Des matériels
offrent la possibilité de configurer un
• Est-ce qu’une analyse de risque a été accès en lecture seule pour les interven-
pratiquée (ou un audit avec un interve- tions de maintenance de premier niveau
nant extérieur possible) pour chaque - Protéger les accès physiques et numé-
niveau de fonctionnalité et chaque point riques aux stations de développ ement
d’interconnexion (USB, réseaux, …) ? SCADA, consoles de programmation
automate, terminaux portables (PDA,
• Est-ce que ma politique de sécurité est Pocket PC par exemple), écrans tactiles,
à jour (le danger évoluant sans cesse) et capteurs et actionneurs dits intelligents
intègre bien l’atelier de production? - Établir une cartographie des flux
d’information, filtrer les flux au moyen
de pare-feu, tracer et analyser les
échecs de connexion
26
F I C H E P R A T I Q U E
Enjeu
devenir la porte d’entrée d’une cyberattaque.
De très nombreux intervenants ont cependant besoin de pouvoir accéder physiquement
aux installations. Des mesures adaptées permettant de maîtriser les points d’accès
physiques, qui permettraient de s’introduire dans le système, doivent donc être mises en
place. Elles concernent en particulier tous les équipements informatiques, les ateliers
ou parties d’atelier sensibles, les salles d’archivage, etc…
06
au système d’information forme une
N°
• Deux points essentiels liés au contrôle vulnérabilité conduisant à des risques
des accès sont : majeurs pour l’entreprise. Ces risques
>Les accès physique aux infrastruc- sont les mêmes que ceux décrits dans la
tures, qui peuvent déjouer toutes les fiche pratique n°2 concernant l’accès à
préventions cybersécurité. distance.
>Des équipements d’apparence • En cas de permissivité non contrôlée
anodine notamment USB (clé USB, d’accès aux différents points névral-
clavier USB, souris USB…) peuvent giques de l’entreprise, celle-ci se trouve
être des vecteurs d’intrusion souvent en grand danger car elle peut ne plus
insoupçonnés. être en mesure d’assurer le volume de
• Chaque accès physique non sécurisé est production pour son équilibre écono-
une vulnérabilité pouvant entraîner tous mique. Les conséquences financières
les types de risques possibles. Par peuvent amener la société à disparaître.
exemple, un accès sur un port de • Une stratégie sans gestion des accès
communication (comme USB) effectué peut entraîner un manque de confiance
par une personne non compétente peut des utilisateurs dans l’utilisation des
engendrer des mauvaises configurations outils de production, la perte de
de l’outil de production et créer d’autres responsabilisation des utilisateurs
vulnérabilités. Ce même accès effectué compétents en charge de garantir le bon
à des fins malveillantes peut amener à fonctionnement.
l’injection de virus, l’espionnage • Les accès non sécurisés peuvent mettre
d’informations comme la configuration en danger la survie de l’entreprise mais
des machines, la modification des peuvent conduire aussi à des consé-
configurations pour réduire le rende- quences humaines et écologiques
ment, voire détruire le système de désastreuses.
production. Un accès direct aux • Le manque de politique de gestion des
machines permet d’imaginer toute sorte accès peut impacter la sécurité des
de manipulation, comme le vol des personnes et des bâtiments et ne plus
disques durs ou la machine elle-même, être en règle
la destruction de la machine. Recommandations, bonnes pratiques
27
F I C H E P R A T I Q U E
Contrôler les accès
06
N° - Définir les règles d’accès aux locaux, les équipements réseaux industriels et
avec le nom des personnes habilitées et les automates dans des armoires
leur période d’accès fermées à clé
- Réserver strictement l’accès aux - Eviter le placement de prises d’accès au
équipements à des personnes habilitées système industriel et câbles réseaux
- Effectuer un suivi des accès aux locaux dans des endroits ouverts au public
permettant leur analyse - Eviter le placement de prises d’accès au
- Récupérer les clés et badges d’un système industriel dans des zones sans
employé à son départ surveillance
- Changer régulièrement les codes de - Protéger l’intégrité physique des câbles
l’alarme de l’entreprise (en installer une par un capotage par exemple
s’il n’y en a pas) - Obstruer les prises dédiées à la mainte-
- Les prestataires extérieurs ne doivent nance lorsqu’elles ne sont pas utilisées
jamais recevoir de clé ou de code (bouchons, plaques d’occultation...). Une
d’alarme sauf s’il est possible de tracer autorisation préalable et une procédure
les accès et de les restreindre à des bien définie sont nécessaires avant le
plages horaires prédéfinies retrait de l’obturateur
- Rendre les contrôles d’accès robustes - Doter les armoires contenant des
(cryptage des badges, biométrie, …) équipements sensibles d’un dispositif de
- Mettre en place un système de vidéosur- détection d’ouverture avec alarme, ou au
veillance des accès minimum d’un moyen de contrôle visuel
- Mettre en place un système de détection (scellé). Une autorisation préalable et
d’intrusion pour les zones vitales, une procédure bien définie sont néces-
particulièrement celles non-occupées saires avant leur retrait
24h/24
Temps de Besoin de
déploiement prestataires
Coût
28
F I C H E P R A T I Q U E
Enjeu
Classiquement, la gestion et l’échange des données numériques internes concernent
l’informatique de gestion à tous les niveaux de l’entreprise. Avec l’avènement de
l’internet de l’industrie et des objets (numérisation et connexion des machines et
organes de production), les données « internes » s’élargissent naturellement à des
sources situées sur la chaîne de production, dont par exemple les infrastructures.
L’objectif de cette numérisation est une intégration « verticale numérique » de tout
l’écosystème des produits & services avec deux finalités en vue.
D’autre part, il s’agit de profiter des effets « d’externalités » par l’implication des
usagers et clients, sous forme d’une boucle de retour numérique sur l’expérience et
les KPI des livrables de l’entreprise. Autant la frontière entre systèmes de gestion et
systèmes industriels est claire, au moins dans la nature « structurelle » des dispositifs
qui les composent, autant les périmètres entre données « internes » et « externes »
deviennent parfois floutés, rendant complexe l’anticipation des risques associés et
parfois artificielle la séparation entre les deux démarches cybersécurité qui les ciblent.
Nous avons opté malgré tout pour des fiches séparées dans la mesure où les
« destinataires » des données numériques concernés dans la présente fiche
sont strictement internes à l’entreprise qu’il s’agisse de personnes
ou de machines.
07
Vulnérabilités et risques associés N°
• Les liaisons sans fil mal protégées principalement utilisés lors de l’échange
constituent une porte d’entrée majeure de données entre les réseaux qui ne
vers les données internes. sont pas interconnectés.
• Si le réseau ne comporte aucun cloison- • Les négligences telles que l’oubli d’un
nement, la prise de contrôle d’un poste verrouillage du poste de travail repré-
de travail par un attaquant lui permet sentent une vulnérabilité des données
généralement d’étendre son intrusion internes évidente, pouvant mettre en
aux autres postes de travail pour, in fine, danger l’entreprise et sa notoriété.
accéder aux documents des utilisateurs.
• Les médias amovibles sont des vecteurs
majeurs de propagation de virus. Ils sont
29
F I C H E P R A T I Q U E
Maîtriser la gestion et l'échange
des données numériques internes
07
N°
• Verrouiller les postes de travail • Changer les éléments d’authentification
lorsqu’ils ne sont pas occupés par défaut sur les équipements et
services
• Autoriser la connexion au réseau de
l’entreprise aux seuls équipements • Si nécessaire, employer la double
maîtrisés authentification, c’est-à-dire fournir un
mot de passe supplémentaire lors de
• S’assurer de la sécurité des réseaux l’authentification, généré aléatoirement
d’accès Wi-Fi et de la séparation des par un service tiers avec une génération
usages : mettre à disposition des unique, et réinitialisé à chaque utilisa-
visiteurs et des terminaux à usage tion
personnel un réseau Wi-Fi avec SSID
dédié • Proscrire le branchement de tout
périphérique inconnu (ex. clé USB) ou
• Identifier nommément chaque personne non maîtrisées (provenance connue
accédant au système et distinguer les mais intégrité non évaluée)
rôles utilisateur/administrateur :
- Utiliser des comptes d’accès nominatifs • Activer et configurer le pare-feu local
(éviter les comptes génériques de type des postes de travail
« admin »
- Les comptes d’administration doivent • Contrôler et protéger l’accès aux salles
comporter des identifiants et secrets serveurs et aux locaux techniques
d’identification différents des comptes
utilisateurs (p ar exemple, pmartin • Se protéger des vulnérabilités en
comme identifiant utilisateur mais effectuant régulièrement des mises à
adm-martin comme identifiant adminis- jour (correctifs)
trateur)
• Identifier les données sensibles, les
• Assurer la traçabilité des connexions et sauvegarder et intégrer cette procédure
des échanges réussis et échoués dans le Plan de Continuité d’Activité
Coût
30
F I C H E P R A T I Q U E
Enjeu
connaître à n’importe quel moment l’état de transformation du produit. Ces moyens de
traçage peuvent être positionnés sur des supports (ou palettes) ou directement sur le
produit. Les plus utilisés sont la reconnaissance optique de caractères ou de code à
barres. L’étiquette RFID est maintenant bien répandue pour l’échange d’informations
avec le produit. C’est une étiquette constituée d’un circuit électronique et d’une antenne
qui peut communiquer, pour certaines, jusqu’à 100 mètres. Une version à beaucoup plus
courte portée commence à se généraliser, même dans le public :
la technologie NFC qui permet, par exemple, le paiement
par carte bancaire sans contact.
08
la communication entre une étiquette et
N°
• Un traçage passif (sans étiquette et le lecteur et sans qu’aucune anomalie ne
protocole radio RFID ou NFC) est naturel- soit détectée. En plus de l’attaque par
lement vulnérable car facilement copiable. rejeu, l’attaquant modifie les données de
• La possibilité de lecture de l’étiquette façon illégale de façon à ce que lecteur
RFID (aussi appelée tag) ou NFC pose valide un produit de nature différente ou
aussi des problèmes de sécurité. Les contrefait.
vulnérabilités sont à deux niveaux : celui • L’attaque par injection de code est basée
de la communication avec le lecteur et sur l’attaque man-in-the-middle. il s’agit
celui de l’accès direct (physique) à de manipuler des étiquettes RFID afin d’y
l’étiquette. Les transactions avec les inclure un code malveillant ou un virus
lecteurs peuvent en effet être captées et affectant le bon fonctionnement du
réutilisées d’une façon illégale. Il existe système de gestion et de traitement des
aussi des attaques physiques comme la données. Les systèmes touchés par ce
rétroconception et l’observation de genre d’attaque deviennent inutilisables
l’activité du RFID de façon à récupérer la ou hors-service. Plus particulièrement,
structure et le contenu du RFID. Les ces attaques sont des injections de type
vulnérabilités sont décrites en détail SQL qui peuvent être utilisées pour
ci-dessous. altérer n’importe quel enregistrement
• Le clonage ou contrefaçon : il s’agit de dans une base de données SQL.
dupliquer les étiquettes RFID, en ayant • L’attaque conduisant à un déni de
effectué préalablement sa rétro-concep- service ou corruption de données : la
tion, et en créer des copies conformes, majorité des composants d’un système
permettant ainsi l’accès à une zone RFID sont des cibles potentielles pour les
restreinte, l’introduction de pièces attaques par déni de service, que ce soit
contrefaites, la modification du prix d’un l’étiquette, le lecteur, le système de ges-
produit, etc, ...) tion ou le serveur. L’attaquant n’a pas
• Le rejeu : il s’agit d’enregistrer une besoin d’avoir accès aux données trans-
communication avec le tag RFID et de la mises. L’attaque consiste à transmettre
rejouer pour valider des produits de un signal radio brouillant les échanges
natures différentes, voire contrefaites. RFID, rendant le système indisponible et
L’attaquant utilise un dispositif malveillant bloquant potentiellement la production.
qui sert de relai de communication entre • L’attaque par canaux cachés consiste à
les deux composants. L’information déterminer les paramètres de chiffrement
envoyée par l’étiquette est interceptée et (cryptographie) en analysant la consom-
est renvoyée au lecteur. Le lecteur a donc mation électrique, le temps d’exécution,
l’impression que l’information provient etc… C’est une attaque simple par analyse
directement de l’étiquette. Cette attaque de courant utilisée pour craquer un
peut s’effectuer à distance et est difficile protocole de chiffrement de type RSA (du
à contrer. Elle contourne les protocoles de nom des inventeurs Rivest Shamir
sécurité et est même capable de Adleman). La consommation de courant
contourner le cryptage en faisant usage est directement liée au paramètre de
de clés privées. déchiffrement.
• L’attaque de « l’homme du milieu » ou
« Man-in-the-middle », tout comme
31
F I C H E P R A T I Q U E
Assurer la traçabilité de la production
08
N° identifier les risques
• Munir les étiquettes RFID d’une clé
• Est-ce qu’un système passif (sans d’indentification privée non effaçable
émission radio) peut être utilisé sur mes
produits sensibles ? • Changer régulièrement l’identifiant de la
puce RFID de l’étiquette (Il est égale-
• Est-ce que je maîtrise parfaitement les ment possible de changer de manière
possibilités de la RFID et la NFC ? Leurs aléatoire l’identifiant de la puce)
caractéristiques sont-elles proportion-
nelles à mes besoins ? • Utiliser le système informatique afin de
détecter des anomalies ou incohérences
• Est-ce que je connais toutes les raisons concernant le statut d’une étiquette.
qui arrêtent ma production ? Il est en effet possible de croiser les
informations de l’étiquette RFID avec
• Est-ce que j’ai des pertes de données de celles provenant d’une autre source.
traçabilité ? • Crypter les étiquettes. Cette solution ne
résout pas le problème du pistage
• Est-ce que j’ai des défauts d’inventaire,
des variations de prix constatés chez • Utiliser si nécessaire, la commande KILL
mes revendeurs ? qui permet de désactiver l’étiquette de
manière permanente, la rendant
inutilisable dans la suite du procédé de
fabrication ou de distribution
Temps de Besoin de
déploiement prestataires
Coût
32
F I C H E P R A T I Q U E
Enjeu
De nombreuses informations existent de plus en plus sous format électronique et
contribuent grandement à la valeur d’une entreprise. Elles doivent donc impérativement
être sauvegardées et protégées contre toutes formes de pertes de données ou d’attaques
possibles, pour préserver les données de l’entreprise, leur intégrité et confidentialité.
La sauvegarde nécessite des précautions particulières, d’une part pour ne pas induire
des fuites d’informations confidentielles, d’autre part pour garantir la disponibilité des
données même en cas de défaillance, ce qui implique un processus d’archivage fréquent
et sécurisé.
09
N°
• L’absence de protection des données • La gestion de l’archivage nécessite une
technologiques (informations sur les organisation adéquate au sein de
produits, les gammes, les conditions de l’entreprise. Elle doit permettre de
fabrication, les données matériaux, les définir les personnes habilitées pour la
résultats de contrôle, etc..) peut création de documents, leurs modifica-
conduire à leur disparition et/ou leur tions, leur sauvegarde régulière, leur
piratage. restauration, ...
• Les logiciels et outils pour créer ou • La perte ou le piratage de données peut
numériser les documents, s’ils sont conduire à la faillite de l’entreprise,
piratés peuvent altérer les données amenant des conséquences écono-
et/ou les rendre disponibles à l’extérieur. miques graves pour la région et/ou la
• L’absence de sécurisation, non seule- nation.
ment au niveau des données et fichiers • L’absence de protection de données
mais aussi au niveau du processus contractuelles entraîne la responsabilité
d’archivage et d’accès aux données par de l’entreprise et des décideurs en cas
le système d’information constitue une de malveillance constatée.
vulnérabilité importante
33
F I C H E P R A T I Q U E
Sauvegarder et protéger les données et logiciels
09
N° • Identifier les documents à archiver et les documents et la définition de la
définir les conditions d’archivage selon sécurité du processus d’archivage/
la nature de ces documents. En effet, restauration
la nature des documents détermine le
mode d’archivage, qui peut être simple • Les informations devraient être sauve-
ou légal à valeur probante gardées avant et après toute modifica-
tions, y compris lorsque celles-ci ont
• Protéger les données jugées sensibles été apportées « à chaud »
avant archivage, avec des moyens
cryptographiques pour préserver leur • Tester régulièrement le processus de
confidentialité et intégrité, et permettre restauration des sauvegardes. Il peut,
aux personnes autorisées à gérer le par exemple être testé sur un échantil-
processus d’archivage et mise à jour lon limité mais représentatif du système
dans son ensemble
• Etudier un processus d’archivage et
restauration des données puis le mettre • S’assurer que les sauvegardes soient
en œuvre. Il comprend au moins ces déconnectées du système d’information
trois volets : établissement d’une et, avoir plusieurs supports physiques
cartographie avec les type de données à de sauvegarde. Conserver plusieurs
archiver, le choix des logiciels et des sauvegardes à des dates différentes.
outils numériques pour créer/numériser
Coût
34
F I C H E P R A T I Q U E
Enjeu
de calcul ou de service en général (mail, partage de document, gestion de projet…).
Elle est devenue chose courante dans la sphère personnelle et professionnelle. Ces
services permettent de tirer pleinement partie des avantages de la révolution numérique
(accès à des services pour tout à chacun qui nécessitaient auparavant un investissement
conséquent). Ils constituent un levier puissant de compétitivité en coût et fonctionnalités
souvent négligés. Il convient cependant d’observer certaines précautions afin d’exploiter
pleinement ce potentiel sans fragiliser la sécurité de son installation.
La part de services en ligne peut être internalisée sur des serveurs hébergés et exploi-
tées par l’entreprise ou externalisée sur des serveurs appartenant et exploités par une
autre entreprise. Cela dépend de ses contraintes et
de sa stratégie propre.
10
N°
La gamme de services en ligne qu’une PME peut tions permettant d’apprécier le
solliciter est très vaste. Il est possible de façon sérieux de leur hébergement
simplifiée de les classer en deux catégories : (PCI-DSS, ISO/IEC 27001, SOC1-2, …) ;
• Les services en ligne utilisés par • Dans la façon dont les services sont
l’entreprise pour elle-même sans lien exploités :
avec ses équipements ou son écosystème
client/fournisseurs (ex : mail profession- >Les données qui transiteront par ces
nel, système de gestion de projet, service services, notamment s’ils sont
de partage de documents en ligne) dont hébergés par un tiers, doivent être
l’usage est à sa discrétion ; considérées suivant leur confidentia-
• Les services en ligne utilisés par son lité (contractuelle ou non).Il convient
écosystème (ex : service de sauvegardes de s’assurer que le service en ligne
automatiques des paramètres d’une possède les fonctionnalités ou
machine-outil sur le cloud proposée par agrémentations requises (par exemple
le fabricant de machine, plateforme possibilité de cryptage coté client,
d’échange de spécifications imposée par c’est-à-dire avant que les données
un client) que l’entreprise peut ou doit soient transférées sur le serveur, ou
dans certains cas utiliser. habilitation à héberger des données
d’un certain type) afin d’éviter les
Les vulnérabilités principales résident : risques associés à l’exposition,
la falsification ou la fuite de ces
• Dans la façon dont ses services sont données.
hébergés : >L’utilisation de ces services doit
observer un ensemble de bonnes
>les serveurs doivent être hébergés et pratiques incontournables en matière
exploités selon des pratiques de de cybersécurité, notamment pour ce
sécurité compatible avec le service qui est de l’authentification (utiliser un
demandé. Il est ainsi souvent plus compte unique par rôle / utilisateur,
prudent de confier à un tiers dont utiliser un mot de passe différent par
c’est le cœur de métie, cette activité, service en ligne, et le cas échéant
plutôt que de vouloir internaliser des utiliser un gestionnaire de mot de
serveurs dans son entreprise (mal passe pour pallier à la multiplication
déployés/exploités, ils constitueraient des services en ligne) afin de limiter
un facteur de risque supplémentaire. le risque de compromission lié à
Habituellement les services en ligne l’authentification sur un service
proposent une gamme de certifica- donné.
35
F I C H E P R A T I Q U E
Services en ligne et clo
10
N° identifier les risques
• Observer les bonnes pratiques générales
• Quels sont les services en ligne qui me quant à l’usage des identifiants / mot de
sont proposés ou imposés par mon passe, notamment utiliser un mot de
écosystème (partenaire, fournisseur, passe unique par service en ligne (quitte
client, …). Quel sont les avantages / à utiliser un gestionnaire de mot de
risques associés ? passe)
Temps de Besoin de
déploiement prestataires
Coût
36
F I C H E P R A T I Q U E
Enjeu
L’accélération des échanges commerciaux, l’obligation de répondre au plus vite aux
fluctuations de la demande, l’augmentation de la complexité des produits incluant
toujours plus de fonctionnalités font que les entreprises, leurs sous-traitants et parte-
naires doivent communiquer en temps réel et donc, de façon numérique. Chaque
échange peut être considéré comme un point de vulnérabilité qu’il faut sécuriser.
11
N°
Plusieurs vulnérabilités peuvent être mises en équipements de production peuvent être
évidence, autour de la divulgation d’informations connectés à l’extérieur pour réaliser des
à des tiers non autorisés, ou de l’accès aux opérations de maintenance. Ces opéra-
informations par des personnels autorisés. tions peuvent inclure la transmission au
fournisseur de données de production.
• Externalisation : l’externalisation des Elles peuvent également amener à des
services informatiques (par exemple la mises à jour des matériels, pour
gestion commerciale avec une société) lesquelles il est nécessaire de vérifier
facilite les opérations de l’entreprise leur innocuité et leur acceptabilité dans
mais les données commerciales sont les processus de l’entreprise.
conservées à l’extérieur, dans des >Les environnements de développe-
environnements non maitrisés par ment sont rarement dédiés, il y a
l’entreprise. donc des risques de confusion en
>Les mécanismes d’accès doivent être multipliant les activités de chaque
correctement sécurisés. Il convient poste.
en particulier de se méfier des
services gratuits qui fusionnent de • Continuité de service. En cas de fin de
manière informelle services grands contrat d’externalisation mal maitrisé,
public et données professionnelles, et l’entreprise peut perdre l’accès à ses
qui sont régulièrement attaqués. données. Il convient donc de préparer la
>Il convient de s’assurer que les continuité de service, notamment en cas
données ainsi exportées peuvent être de ré-internalisation ou de changement
réimportées (et sous quel format) à de fournisseur.
tout moment, et ce de manière
utilisable. • Sécurisation des échanges : les données
échangées par des moyens « ouverts »
• Données commerciales et financières. de type messagerie peuvent être
Le cadre réglementaire implique la divulgués à des tiers non autorisés.
fourniture régulière de données finan- >Les solutions de sécurisation parfois
cières à l’extérieur. Les appels d’offre disponibles pour des PC portables
peuvent également requérir l’échange de sont souvent inopérantes pour les
données commerciales. Ces données smartphones.
sont particulièrement sensibles, tant en >Il est souvent difficile de convenir de
termes de contenu que d’échéance. Il moyens de sécurisation d’échanges
convient donc de vérifier l’intégrité des (chiffrement de messages et/ou de
données et la disponibilité des échanges. documents en pièce jointe) avec des
grandes entreprises.
• Données de production et gestion de
l’équipement de production. Les
37
F I C H E P R A T I Q U E
Sécuriser les données numériques avec
l'extérieur
11
N° identifier les risques
• Bannir les accès anonymes ou géné-
• Quel est le degré de confidentialité des riques (accès nominatif obligatoire) et
informations à transmettre vers l’exté- fournir aux utilisateurs des certificats
rieur ? (par exemple des cartes à puce)
>Quel moyen a été sélectionné pour la
transmission de ces données ? • Crypter les informations échangées
>Quel est le niveau de cybersécurité (notamment par messagerie)
associé ? Les données sont-elles
chiffrées ? • Crypter les supports de stockage des
>Quel est le niveau de cybersécurité du données (disques durs, clés USB, …)
destinataire des données ?
• Mettre en place une architecture
• De quelle nature est l’accès à distance intégrant un réseau tampon (DMZ -
offert pour la télémaintenance ? Demilitarized Zone), c’est-à-dire un sous
>Les machines de l’entreprise réseau se positionnant entre le réseau
ont-elles une connexion Internet et si interne de confiance et l’internet public.
oui comment l’utilisent-elles ? Elle est généralement créée par l’emploi
>Transmettent-elles périodiquement d’un pare-feu
des données à l’extérieur ?
• Installer un réseau privé virtuel (VPN)
• Quels services externes sont utilisés par permettant une protection du réseau, si
l’entreprise ? possible utilisant des certificats plutôt
>Ais-je essayé de récupérer mes que des login/mot de passe :
données ? >Intégrées comme service du pare-feu
(IPSec) en cas de liaison permanente
entre deux sites
>Intégrées dans les applications (TLS)
de messagerie (SMTPS, IMAPS) ou de
Facilité de mise en œuvre navigation (HTTPS) pour les échanges
applicatifs
Ressources
internes
>Intégrées dans un terminal (SSH)
pour les connexions en mode
commande (notamment pour les
machines)
Temps de Besoin de
• Mettre en place des mécanismes forts
déploiement prestataires d’authentification et de récupération de
mots de passe. A l’heure actuelle, une
double authentification par calculette
(SecurID, etc) ou SMS est opérationnelle
pour de nombreux services
Coût
• Lors de l’achat en ligne, privilégier les
plateformes sécurisées (https:/…..) et
être vigilant aux messages d’alerte de
votre navigateur concernant les certifi-
cats de sécurité
38
F I C H E P R A T I Q U E
Enjeu
La dématérialisation des contractualisations requiert des moyens adéquats de
sécurisation tels que les signatures électroniques à valeur légale. L’archivage des
documents comptables et financiers dématérialisés doit par ailleurs répondre aux
normes en vigueur (NF Z 42-013 ou ISO 14641-1).
12
N°
• L’utilisation de signatures électroniques • Il peut être nécessaire de tracer des
non labellisées par l’ANSSI peut se événements, des actions ou des
révéler dangereux informations, de manière à en retrouver
• La valeur d’un contrat peut être jugée la description exacte, l'enchaînement
nulle si le document numérique le chronologique et l'utilisation afin de
contenant ne respecte pas le cadre répondre à un cadre réglementaire.
réglementaire imposé, entraînant ainsi Toutes les traces doivent être enregis-
des pertes économiques pour l’entre- trées et conservées de manière à
prise garantir leur exhaustivité et leur
• L’absence de formation des collabora- intégrité : toute modification ou
teurs concernant les pratiques et règles suppression de traces doit être détec-
d’archivage numériques pour les table. Elles sont certifiées conformes et
documents à valeur probante peuvent peuvent être produites devant la justice
engendrer des problèmes juridiques si en tant que preuves. L’absence de
les documents ne respectent pas le moyen adapté d’archivage rend cette
cadre réglementaire défini concernant traçabilité impossible ou à valeur
leur archivage juridique nulle
• L’utilisation d’outils non sécurisés
favorise l’usurpation d’identité et la
falsification de documents
39
F I C H E P R A T I Q U E
Sécuriser les documents officiels et engagements
contractuels
12
N° • Assurer la traçabilité de toutes les • Les documents fiscaux et contractuels
opérations concernant les archives (bons de commande, états comptables,
versées (communication, migration, tickets de caisse, etc.) doivent être
éventuelle élimination...) hébergés en France ou dans un pays de
l’Union Européenne, de préférence par
• Les documents officiels et engagements une société de nationalité européenne
contractuels doivent être à valeur
probante, c’est-à-dire que l’intégrité de • Connaître les engagements pris par le
leur contenu doit être garantie légale- prestataire d’hébergement du SAE (le
ment via des mécanismes de sécurité, prestataire s’engage t’il sur la non perte
parmi lesquels une signature électro- et l’intégrité des documents ou seule-
nique sécurisée. Celle-ci devrait utiliser ment sur la disponibilité du logiciel ?)
un certificat accrédité par l’ANSSI ou
une instance européenne équivalente • Si le SAE est en mode SAAS, s’assurer
qu’il répond à la norme ISO/IEC 27001 ou
• Différentier les notions de GED (Gestion dispose du label France Cybersecurity
Electronique de Documents) et SAE
(Système d’Archivage Electronique). • S’assurer que le prestataire de SAE est
Une GED ne fait que gérer, contrôler, en mesure de fournir le document
indexer et stocker des documents archivé ainsi que les éléments de
numériques. En supplément de de ces traçabilité (horodatage d’archivage,
fonctions, un SAE répond à une logique empreintes, journal du cycle de vie de
de conservation et de conformité l’archive, journal des événements,
légale/réglementaire. Un SAE garantit journal des accès) en cas de rupture du
donc le maintien de l’intégrité des contrat
documents en empêchant leur modifi-
cation durant leur conservation. Un SAE
maintient la valeur probatoire des
documents, ce qui n’est pas le cas d’une
GED
Coût
40
F I C H E P R A T I Q U E
Enjeu
Accélérant la gestion financière, réduisant les risques d’erreur et simplifiant les procé-
dures comptables, la dématérialisation des paiements est devenue incontournable. Dans
ce contexte, les tentatives de fraudes, en particulier par ingénierie sociale s’intensifient
dans le milieu des entreprises.
13
N°
• Contrefaçon aisée des virements papier fournisseur et signale un changement
ou fax. d’IBAN, accompagné de la dernière
• La mise en ligne d’informations facture non-réglée. Celle-ci a été au
publiques concernant les collaborateurs préalable obtenue en usurpant l’identité
pouvant être utilisées à des fins de de l’entreprise cible. L’entreprise ciblée
fraude utilisant l’ingénierie sociale effectue donc un virement au fraudeur
constitue une vulnérabilité et non au fournisseur.
• Les défaillances de cybersécurité • La « fraude au président » : les
concernant en particulier l’authentifica- collaborateurs sont contactés par un
tion permettent l’usurpation d’identité fraudeur se faisant passer pour l’un de
(fraudes liées à l’ingénierie sociale) ou leurs responsables hiérarchiques et
l’accès direct aux comptes de l’entre- réclamant un transfert d’argent sur la
prise. base d’une urgence ne permettant pas
• Les impacts économiques d’une fraude d’activer sereinement les mécanismes
touchant les comptes de l’entreprise de contrôle inhérents à ce type
peuvent s’avérer élevés. d’opérations.
• La fraude du test bancaire : le fraudeur
La plupart des fraudes liées aux flux bancaires se fait passer pour le service télématique
sont de l’ordre de l’ingénierie sociale d’une banque et prétexte des tests de
(voir fiche 1). Les trois techniques malveillantes compatibilité avec l’entreprise cliente
les plus répandues sont : pour demander un virement bancaire,
supposé fictif.
• La fraude aux coordonnées bancaires :
le fraudeur se fait passer pour un
• Quel est le niveau d’information mis en • Qui est autorisé à effectuer des transac-
ligne publiquement concernant les tions et quelles sont les méthodes
collaborateurs ? d’identification employées ?
41
F I C H E P R A T I Q U E
Maitriser les flux financiers et commandes
dématérialisées
13
N° • Identifier toute personne se connectant • Limiter les informations disponibles sur
ou signant des ordres sur un portail de internet (réseau sociaux, professionnels
banque en ligne ou sur des protocoles et personnels ou autre) afin de ne pas
de télétransmission, notamment à l’aide faciliter les fraudes utilisant l’ingénierie
de l’un des moyens suivants : sociale
>Identifiant et clavier virtuel
>Identifiant et certificat personnel sur • Porter un regard critique sur les
support physique coordonnées de l’expéditeur d’un mail
ou d’un appel téléphonique
• Signer des ordres pour garantir que le
fichier n’a pas été corrompu entre son • Les outils devraient être utilisés par leurs
envoi et sa réception (certificat SWIFT responsables seulement. Par exemple,
3SKey, Secure Access…) les logiciels de comptabilité devraient
être accessibles aux comptables
• Chiffrer les fichiers d’ordres et le canal uniquement. De même, les logiciels de
(formats CMS, S/MIME, PGP) communication bancaire devraient être
réservés aux trésoriers. Cela limite les
• Vérifier l’identité de la personne émettant possibilités de fraude aux coordonnées
des ordres pour que les personnes bancaires
recevant les ordres ne soient pas
remises en cause (accusé de réception • Crypter les données-client échangées
envoyé aux clients, signature par avec un tiers pour leur transmission et
certificat SWIFT 3SKey…) leur stockage
• S’informer auprès de sa banque du plan • Avoir un code PIN utilisé pour l’applica-
d’action à appliquer en cas de cyber- tion mobile de plus de 6 caractères
attaque
• Rendre la double identification
• Limiter les virements papier ou fax, obligatoire
faciles à contrefaire
• Eteindre automatiquement les applica-
• Privilégier la dématérialisation par le tions au bout de 15min d’inactivité
biais de la banque électronique et
respecter les consignes de sécurité • Mettre en place une surveillance en
afférentes à ces outils temps réel des applications
Enjeu
Les objets connectés sont devenus omniprésents et deviennent de plus en plus exposés
aux risques liés à la cyber-sécurité. Vendre des produits connectés ou des services
associés nécessite donc la mise en place de mesures de sécurité permettant de protéger
l’entreprise, les clients et les tiers. La mise en œuvre de ces mesures est rendue
complexe par la diversité des protocoles utilisés. L’harmonisation et la normalisation de
ces protocoles constitue donc un réel enjeu. Afin de définir un cadre pour la sécurité des
objets connectés, certains critères et certifications ont récemment été mis en place au
niveau français.
14
N°
Les vulnérabilités associées aux services résoudre le problème. Dans le monde des
connectés consistent tout d’abord en la objets connectés, les mises à jour sont peu
possibilité de voler et/ou de détourner des fréquentes (voire inexistantes), et peu sécuri-
données, voire de les altérer. L’exploitation de sées (voir plus haut). Il en résulte une capacité
vulnérabilités logicielles peut amener à une pour un attaquant de compromettre un large
perte de contrôle des objets déployés. Les réseau d’objets connectés et de l’utiliser à son
vulnérabilités peuvent concerner soit l’objet profit.
lui-même, soit l’objet associé à une infrastruc-
ture de commande et de contrôle. Les risques • Vol de données. Le vol de données est la
suivants peuvent être mis en évidence : menace la plus évidente, dans la mesure
ou les protocoles utilisés dans le
• Prise de contrôle des équipements. contexte IoT, ou les équipements
Les objets connectés sont souvent terminaux, sont de faible capacité. Ils ne
fondés sur des technologies ouvertes sont donc pas capables de réaliser des
(Linux, OpenSSL, etc.), dans lesquelles opérations de chiffrement complexes.
des vulnérabilités sont régulièrement Les données sont donc souvent trans-
découvertes, soit de mise en œuvre, soit mises en clair, ou avec des mécanismes
de fonctionnement. On peut citer de chiffrement facilement déchiffrables,
plusieurs exemples de situations de sur des réseaux faiblement ou pas
prise de contrôle malveillantes : protégés. L’évolution récente des
>Détournement de capteurs intégrés réseaux IoT vers des protocoles radio
comme les caméras, micros, et très économes en énergie induit un
accès au réseau accroissement de ces risques.
>Intrusion dans la logique de contrôle/
commande/régulation du produit, • Altération de données. Pour la même
pouvant conduire à des dysfonction- raison, les équipements impliqués ne
nements et aller jusqu'au blocage de sont pas capables de sceller les données
son fonctionnement pour assurer leur intégrité, ni d’authen-
>Le détournement d’un capteur ou la tifier les différents intervenants de la
modification d'un système de contrôle/ communication. Un attaquant peut donc
commande/régulation pouvant mettre s’insérer dans une communication en se
en danger la sécurité physique d’une faisant passer pour l’un des intervenants,
installation et des utilisateurs et modifier les messages échangés.
Cela peut amener à une modification des
Les logiciels développés spécifiquement le sont données traitées par l’infrastructure (avec
de manière ad-hoc, sans préoccupation spéci- un impact direct sur la qualité de
fique pour la cyber-sécurité, ou en arbitrant service), ou à une modification de la
lors de la conception du logiciel en faveur de la configuration de l’objet connecté.
fonctionnalité. Dans un environnement
informatique, les mises à jour permettent de
43
F I C H E P R A T I Q U E
Sécuriser les produits et services connectés
14
N° identifier les risques
• Développement de l’objet
• Quel est le type de protocole utilisé par >Utiliser des composants logiciels et
l’objet connecté ? Est-il standard et matériels standards autant que
éprouvé ? possible
>Prévoir des mécanismes de mise à
• Quelles sont les dispositions visant à jour robustes, et proactifs, capables
mettre à jour l’objet connecté ? de diffusion à l’échelle du déploiement
Comment sont effectuées les mises à des objets
jour ? >Limiter les besoins de communica-
tion au strict nécessaire (filtrage
• Le produit comporte-t-il des vulnérabili- d’adresses, utilisation de relais, etc.)
tés physiques permettant d’en extraire >Prévoir des mécanismes de chiffre-
de l’information ou d'intervenir sur son ment adaptés et à l’état de l’art (par
fonctionnement ? exemple recommandations de l’ANSSI
ou du NIST) : clés, certificats, …, et
• Comment et par qui la qualité du prévoir leur renouvellement (voir
système de protection du produit mécanismes de mise à jour)
est-elle contrôlée ? >Prendre en compte les vulnérabilités
physiques du produit (vibrations et
• Puis-je utiliser des briques de dévelop- chaleur dégagée pouvant donner une
pement (matériel et logiciel) standardi- signature des modes de communica-
sées et bien maitrisées ? tion voire de leur contenu informa-
tionnel, protection électromagnétique,
• Comment puis-je assurer la surveil- etc.)
lance de l’infrastructure associée aux • Usage de l’objet et infrastructure
objets ? >Utiliser des composants logiciels et
des processus de développement
standards pour l’infrastructure
(serveurs web, protocole HTTPS,
communication MQTT, etc.)
Les sources d’informations >Maintenir l’infrastructure à jour
utiles sont : (correction des vulnérabilités du
système d’exploitation, des services,
etc.), notamment en effectuant une
« Cybersécurité des objets connectés -
veille appropriée (CERT, etc.)
Risques, bonnes pratiques et
>Valider et surveiller les processus de
opportunités, ANSSI »,
communication support (radio,
http://cedric.cnam.fr/workshops/iot-
DHCP, DNS, routage, …)
cybersecurite-cyberdefense/
>Assurer des mécanismes de remontée
Presentation_ANSSI.pdf
et de traitement des alertes entre
« Certificat National de Premier
objets et infrastructure et de réaction
Niveau », https://www.ssi.gouv.fr/
en cas de détection d’un incident (SOC,
administration/produits-certifies/cspn/
alertes, plan de continuité et/ou de
reprise d’activité, …)
Facilité de mise en œuvre • Faire certifier / auditer la conformité des
produits et services par un tiers (certificat
Ressources de sécurité informatique à l’état de l’art,
internes
utilisation de protocoles standards et
éprouvés), par exemple par un CESTI
>Eventuellement, rechercher une
CSPN (Certification de Sécurité de
Temps de Besoin de
Premier Niveau) malgré un coût
déploiement prestataires parfois élevé
• Mettre en place des dispositifs de contrôle
des fournisseurs et sous-traitants de
systèmes critiques qui interviennent dans
la fabrication des produits ou pouvant
44 Coût entrer dans la composition du produit
45
Glossaire
Bluetooth Technologie de communication sans fil qui équipe la plupart des appareils
mobiles (smartphones, tablettes, PDA, netbooks, laptops..) mais aussi les
équipements informatiques (clavier, souris …). Les failles de la technologie
Bluetooth sont réelles et il est recommandé de désactiver le Bluetooth
lorsqu’il n’est pas utile.
46
Captation de données Vol de données, soit par extraction de fichier, soit par capture de trafic
C réseau.
Capteur clavier Logiciel ou matériel employé pour capturer ce qu'une personne tape au
clavier.
Cheval de Troie Programme donnant l'impression d'avoir une fonction utile, mais qui
possède par ailleurs une fonction cachée et potentiellement malveillante.
Clé de chiffrement Une clé est un paramètre utilisé en entrée d'une opération cryptogra-
phique (chiffrement, déchiffrement, scellement, signature numérique,
vérification de signature).
47
G L O S S A I R E
Code d'exploitation Tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou
un ensemble de vulnérabilités d’un logiciel (du système ou d’une
application) à des fins malveillantes.
Code source Texte comprenant des instructions de programmation écrit dans une
syntaxe interprétable par un système informatique (soit lu par un
programme d'interprétation, soit directement par le système après
compilation). Exemples: C, Python, Java, …
Cookie Un cookie est une suite d'informations envoyée par un serveur HTTP à un
client HTTP à chaque fois que le serveur est interrogé. C'est un fichier
texte à en-tête HTTP. Il peut être utilisé pour une authentification, une
session ou pour stocker une information spécifique sur l'utilisateur. Ils ne
sont ni des logiciels espions ni des virus. Néanmoins, un grand nombre
de courriels considérés comme "spams" provient de l'information glanée
par les cookies de pistage.
Cross Site Scripting Dépôt de code malveillant (en général javascript) par un attaquant,
activé lors de la visite d'un site.
48
G L O S S A I R E
Déni de service (Dos) Action ayant pour effet d'empêcher ou de limiter la capacité d'un système
à fournir le service attendu, en sur sollicitant le service au délà de ses
capacités (ex : saturer un site web de requêtes pour le mettre hors service).
Erreurs La configuration d'un logiciel ou d'un matériel est le choix d'un certain
de configuration nombre de caractéristiques par le futur utilisateur, dans le but d'adapter
le logiciel ou le matériel à l'utilisation spécifique attendue. Une erreur de
configuration peut conduire à une vulnérabilité ou à un mauvais
fonctionnement du système.
Erreurs d'usage Mauvaise utilisation d'un logiciel ou d'un équipement, utilisation par erreur
d'un logiciel ou d'un équipement non prévu pour les résultats attendus.
49
G L O S S A I R E
Identification Communiquer son identité à un système. Une identité peut être un nom,
et de plus en plus souvent une adresse mail. Il convient donc d'être
extrêmement vigilant dans la protection des comptes de messagerie (mail)
utilisés comme mécanisme d'identification.
Ingénierie sociale Stratégie d'un attaquant par laquelle il va essayer d'obtenir des
informations de la part d'un utilisateur légitime en le trompant. Un
exemple classique est "la fraude au président", ou l'attaquant se fait
passer pour un supérieur hiérarchique et fait pression pour obtenir
une information ou une action compromettante.
Label Un label est une étiquette attachée à des données, qui peut servir à
L traiter cette donnée de façon sécurisée, en certifiant son intégrité.
Loi informatique Est concerné par la loi informatique (Loi informatique et libertés) tout
traitement ou mémorisation d'un fichier à caractère personnel, dont le
responsable et/ou le créateur est établit sur le territoire français, ou qui
recourt à des moyens de traitement situés sur ledit territoire.
M M2M Machine to Machine. Communication entre deux objets, entre un objet et
une infrastructure informatique.
50
G L O S S A I R E
Maintien en condition Définition d'un plan d'action permettant le maintien d'activité d'un
opérationnel ( MCO) équipement. Cela fait souvent partie d'un PCA (Plan de Continuité
d'Activité).
Malveillance Acte ayant pour but de nuire ou dont la conséquence est une nuisance.
Menace Cause potentielle d'un accident, à fin malveillante, s'appuyant sur une ou
plusieurs vulnérabilités.
Mouchard Logiciel ou marque espion intégré dans une page web, permettant de
tracer la navigation d'un utilisateur entre sites web.
Navigateur Logiciel client permettant d'obtenir des pages web depuis Internet et de
N les afficher sur un terminal. Les plus connus sont Chrome (Google), Edge
et Internet Explorer (Microsoft), Firefox (Mozilla), Safari (Apple). Ces
logiciels sont complexes et incluent beaucoup de composants, parfois
externes (lecteur flash, lecteur pdf, interpréteur javascript, etc.).
P Pair à pair Mode de fonctionnement d'un réseau dans lequel tout équipement
connecté au réseau possède les mêmes capacités de communication, et
aucun ne dispose de privilèges particuliers. Cela revient à dire que
chaque équipement est capable de transmettre non seulement ses
propres informations mais également celle des autres, pour assurer une
communication de bout en bout, sans infrastructure particulière. Cela
implique souvent que chaque équipement est capable de joindre
n'importe quel autre.
Plan de reprise Définition d'un plan d'action permettant à l'entreprise, après panne ou
d'activité (PRA) attaque, de revenir à un niveau normal attendu de production.
51
G L O S S A I R E
Porte dérobée Une porte dérobée est un accès secret à un logiciel, permettant à
l'éditeur ou au mainteneur informatique d'y accéder plus rapidement.
L'introduction malveillante d'une porte dérobée peut transformer le
logiciel en "Cheval de Troie".
52
G L O S S A I R E
Sniffing / sniffeur Un sniffeur est un logiciel écoutant le réseau. Les deux plus connus sont
tcpdump et wireshark.
Spam Message non sollicité. Ce vecteur est souvent utilisé pour attirer un
utilisateur vers un site web malveillant.
Spyware Logiciel espion, dont l'objectif est d'analyser l'activité d'un utilisateur
et/ou de lui voler des données.
SQL Injection Méthode d'attaque d'un site web dynamique interagissant avec une base
de données. L'attaquant détourne les requêtes de la base en ajoutant des
informations susceptibles de compromettre la sécurité du système.
Système d'exploitation Logiciel fondamental d'un ordinateur, d'un téléphone portable ou d'un
équipement informatique, intermédiaire entre les capacités du matériel
et les services dont ont besoin les applications (affichage, communication,
calcul, …). Un système d'exploitation inclut souvent des fonctions de
sécurité comme le contrôle d'accès aux fichiers, ou le filtrage réseau par
un pare-feu. Il est souvent protégé par un mécanisme d'identification-
authentification. Les plus connus sont Android, Windows, iOS, Linux.
53
G L O S S A I R E
Transport Layer Protocole de réseau privé virtuel (VPN) applicatif, permettant de sécuriser
T Security TLS les communications d'une session (web, messagerie). Dans un navigateur,
l'usage de TLS (HTTPS) se matérialise par un cadenas, et la viabilité du
certificat utilisé par une couleur verte dans la barre de navigation. TLS
permet majoritairement de garantir l'identité du serveur web auquel
l'utilisateur se connecte. Il est possible de réaliser une authentification
mutuelle par échange de certificats au préalable.
VLAN Virtual Local Area Network. Réseau local privé "virtuel"; la protection est
assurée par l'association de labels aux trames Ethernet. Un équipement
non autorisé à utiliser un label ne devrait pas accéder aux trames
labellisées. Cependant, l'information circule en clair et un attaquant peut
tout à fait écouter le réseau. Il peut arriver, en cas de problème réseau,
que l'isolation de VLANs ne fonctionne pas.
VPN Virtual Private Network. Mécanisme d'isolation d'un réseau par rapport
aux autres. Certains mécanismes d'isolation reposent sur l'utilisation de
protocoles crytographiques comme IPSec (pour sécuriser les
datagrammes IP) ou TLS (pour sécuriser un flux applicatif comme du web,
de la messagerie, etc.). Ces VPN peuvent être considérés comme forts. Il
existe d'autres mécanismes comme MPLS, dans lesquels l'information
circule en clair. Dans ce cas, un équipement compromis pourrait donner
accès à l'information circulant dans le réseau.
54
R E M E R C I E M E N T S
Le Réseau CTI remercie les CTI qui ont participé activement à la rédaction de ce document de
sensibilisation, sous l’animation de Marie-Sabine GAVOIS, déléguée générale du Réseau CTI :
Le Réseau CTI remercie vivement les membres du groupe de travail sur la cybersécurité de l’AIF :
55
WWW.RESEAU-CTI.COM
Made in Kalankaa - 02 38 55 90 44