Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité

Étiquettes

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Préambule :

Votre première réaction peut-être « mais il mélange tout », il présente une rencontre de l’IHEDN (regardez la vidéo insérée au § III de ce billet)  qui se rapporte en premier lieu aux Armées et, ensuite, à l’Intelligence Economique (incluant la sécurité, le cyberespace et la cybersécurité).

Ne sommes-nous pas loin du contrôle interne, et de son corollaire la gestion des risques, applicables au sein des entreprises et du secteur public, objet principal de ce blog?

Toute entité, quelle soit du secteur privé ou de l’univers public, gère des informations dont certaines sont considérées comme privilégiées et très sensibles.

De plus en plus, deux éléments ont pris la primauté par rapport aux marchés et aux produits : l’information et son « véhicule » l’informatique ou système d’information au sens large.

Information : En langage courant – Renseignement, ensemble de renseignements. Chercher des informations, de l’information sur quelque chose. Information confidentielle, privilégiée. Nous entendons aussi parler d’autoroute de l’information, d’autoroute électronique ou d’autoroute informatique : ensemble des techniques et des dispositifs qui visent à diffuser l’information au moyen de réseaux d’ordinateurs.
Regroupement de réseaux d’ordinateurs permettant de diffuser l’information.

Informatique : Science du traitement automatique et rationnel de l’information (traitement de l’information ou traitement des données : Ensemble des opérations que l’on fait subir à des données en vue de les exploiter). Informatique théorique, appliquée. Informatique formelle, analytique. Informatique et micro-ordinateurs. Informatique documentaire, linguistique, juridique.

I – De la maîtrise de l’information à la maîtrise des risques :

Tout dirigeant souhaite obtenir une information la plus complète, transverse et pertinente possible.

L’intérêt d’une démarche globale est de distinguer les interactions d’un risque à l’autre au sein d’une entité comme à l’extérieur de celle-ci.

La maîtrise de l’information se réalise grâce à cinq actions :

  1. L’identification des besoins.
  2. La veille informationnelle.
  3. La collecte des informations.
  4. La protection et la sauvegarde.
  5. La diffusion de l’information.

A qui revient initialement cette organisation ? A l’humain, les NTIC n’étant à considérer que comme des outils de gestion.

 

 

III – Rencontres IHEDN du 20 mai 2017 :

Pour faire suite à ce qui est énoncé dans le préambule, l’intérêt des éléments évoqués lors de cette rencontre, et objet de ce billet, repose sur trois principes de base :

  1. La modification de paradigme.
  2. La prévention.
  3. La sécurité.

Ce constat est basé sur les éléments ci-après :

  • Les mises à jour de toutes les applications des systèmes d’information ne sont pas systématiquement réalisées de « peur » de créer des dysfonctionnements (au travers des interactions) dans le système de l’entité.
  • L’apparition d’un nouveau risque systémique (différent de celui des mondes bancaire et financier) : la plus grande majorité des entités privées et publiques disposent des mêmes architectures informatiques, des mêmes applications de gestion, à configurations identiques, et d’une similitude d’action dans leur emploi. Ce qui « facilite » l’élaboration de scénarios d’attaques.
  • Cyberguerre et Internet : les mots employés et les définitions apportées ne sont pas toujours adéquats et détournent l’attention de la réalité. Pour parler de cyberguerre, il faut avoir au moins un ennemi connu et visible (au sens de détecté), ce qui n’est pas le cas lors de la survenance des attaques (difficultés à remonter jusqu’à l’origine d’une attaque, « aporie » au sujet des commanditaires, absence de preuves juridiques, matériels…). La réalité  entrepreneuriale se nomme plutôt : « bataille » de l’information.
  • Entreprise/industrie/collectivités… :  nous sommes en face d’une criminalité du XXI ème siècle (cybercriminalité…) dont les réponses juridiques actuelles ne sont pas encore pertinentes. A ce propos devons-nous parler de cyberespace ou de champ numérique interplanétaire?

Que convoitent les prédateurs : toutes les données qu’elles appartiennent au secteur marchand ou qu’elles soient la propriété du secteur public.  Pour cela, ils s’attaquent de différentes manières aux systèmes d’information, et à leurs extensions, des entreprises. Ils se situent à la frontière entre la cyberguerre (au sens militaire) et l’espace numérique interplanétaire.

En France, pour répondre en partie à ces nouveaux risques, il a été créée l’ANSSI (Agence Nationale de la Sécurité Informatique) http://www.ssi.gouv.fr/agence/missions/ledito-du-dg/  dont une de ses missions est « la promotion d’une culture de la cyber sécurité auprès des entreprises de toutes tailles et des particuliers, souvent moins au fait de ces problématiques. Ce positionnement se traduit par une politique ambitieuse de sensibilisation et d’accompagnement ainsi que par des actions relatives à la formation’.

 

Que nous précise également cette rencontre?

 

Comme pour les autres risques, il n’existe pas de risque zéro. La seule façon de prévenir et de réduire ces nouveaux risques consiste en la création d’un lien fort entre le monde de la sécurité intérieure et le monde de la Défense (sous forme de R&D). Les services d’enquêtes doivent travailler ensemble et mutualiser leurs informations.

Un autre volet de sécurisation, qui permettrait de réduire certains cyberrisques, serait « d’édifier » une filière industrielle nationale  (les objectifs principaux sont les maîtrises du hardware et du software) Un équilibre sera à trouver en matière de coûts.

En parallèle, il convient de créer des formations adaptées, et non pas seulement des masters spécialisés, en vue de disposer, en termes de ressources humaines, de différents degrés de compétences afin de répondre aux besoins des nouveaux métiers liés à la gestion des cyberrisques. Ceci passe par un enseignement au sein d’une filière académique.

Enfin, en termes budgétaires, la sécurité numérique ne doit pas être la variable d’ajustement. Dans un avenir proche, elle représentera une part importante de la continuation de l’activité, au sens large et, donc, de la pérennité de l’entreprise.

La méthode résumée : Faire exploser les limites entre monde privé et monde public afin de mettre en oeuvre les meilleures solutions et d’accomplir une véritable coopération.

via Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité

 

A consulter également :

Cyberattaques : une montée en puissance depuis dix ans

La cybersécurité doit devenir l’affaire de tous

L’Europe n’est toujours pas prête à affronter une cyberattaque majeure

WannaCry : « essentiel de se mette en ordre de bataille, collectivement » pour l’Anssi

La traque des pirates de la cyberattaque mondiale commence

Check Point : En 2017, a quoi ressemblera le paysage des cybermenaces ? — La cybercriminalité

Pourquoi les banques françaises sont vulnérables aux cyberattaques

Survey : 66% of IT pros think their companies’ cyberincident response plans are ineffective

12 réflexions à propos de “ Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité ”

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.