[PDF] Tome I 26 janvier 2015 26 janv. 2015 3. Les

View - Download Tome I 26 janvier 2015

Previous PDF

Next PDF

N° 2541 N° 271

ASSEMBLÉE NATIONALE SÉNAT

CONSTITUTION DU 4 OCTOBRE 1958

QUATORZIÈME LÉGISLATURE SESSION ORDINAIRE 2014 - 2015

Enregistré à la présidence de l"Assemblée nationale Enregistré à la présidence du Sénat

le 2 février 2015 le 2 février 2015

RAPPORT

au nom de

L"OFFICE PARLEMENTAIRE D"ÉVALUATION

DES CHOIX SCIENTIFIQUES ET TECHNOLOGIQUES

sur

SÉCURITÉ NUMÉRIQUE ET RISQUES :

ENJEUX ET CHANCES POUR LES ENTREPRISES

PAR Mme Anne-Yvonne LE DAIN, députée, et M. Bruno SIDO, sénateur

Tome I : Rapport

Déposé sur le Bureau de l"Assemblée nationale par M. Jean-Yves LE DÉAUT,

Président de l"Office

Déposé sur le Bureau du Sénat

par M. Bruno SIDO,

Premier vice-président de l"Office

SOMMAIRE

3 -

SOMMAIRE

Pages

SOMMAIRE ........................................................................................................................... 3

PRÉAMBULE ............................................................................................................................ 9

INTRODUCTION - L'ACTUALITÉ DE LA SÉCURITÉ DU NUMÉRIQUE...................... 19 CHAPITRE PREMIER - LE CONTEXTE INTERNATIONAL DE LA SÉCURITÉ

NUMÉRIQUE DES ENTREPRISES........................................................................................ 25

I. LA GOUVERNANCE TECHNIQUE DU NUMÉRIQUE À L'ÉCHELLE

MONDIALE ......................................................................................................................... 26

A. LA GOUVERNANCE MONDIALE DE L'INTERNET ....................................................... 26

B. LA GOUVERNANCE MONDIALE DE LA SÉCURITÉ ...................................................... 28

II. LA GESTION MONDIALE DES INCIDENTS DE SÉCURITÉ NUMÉRIQUE............. 30

A. LES SERVICES DE VEILLE ................................................................................................. 30

B. LES INQUIÉTUDES GRANDISSANTES DES ÉTATS FACE AU NUMÉRIQUE .............. 33 C. LES RAPPORTS DE FORCE ENTRE LES GÉANTS DE L'INTERNET, LES ÉTATS,

LES ENTREPRISES ET LES CITOYENS ............................................................................. 35

III. LE PROJET D'ACCORD DE LIBRE ÉCHANGE ENTRE LES ÉTATS-UNIS

D'AMÉRIQUE ET L'UNION EUROPÉENNE .................................................................. 37

IV. VERS UNE EUROPE DU NUMÉRIQUE COHÉRENTE ?.............................................. 39

V. SOUVERAINETÉ ET NUMÉRIQUE ................................................................................. 41

A. UNE COLONISATION NUMÉRIQUE ? ............................................................................. 41

B. LES LEÇONS TIRÉES PAR LES ÉTATS-UNIS D'AMÉRIQUE DES EXCÈS DE LA

NSA ....................................................................................................................................... 43

CHAPITRE II - LE CADRE NATIONAL DE LA MISE EN OEUVRE DE LA

SÉCURITÉ NUMÉRIQUE ....................................................................................................... 45

I. NUMÉRIQUE ET LIBERTÉS ............................................................................................... 45

A. LE RAPPORT DU CONSEIL D'ÉTAT SUR LE NUMÉRIQUE ET LES DROITS

FONDAMENTAUX ............................................................................................................. 45

B. LIBERTÉ DE L'USAGE DU NUMÉRIQUE ET LIBERTÉS DE SES USAGERS .................. 51 II. LA MISE EN OEUVRE OPÉRATIONNELLE DE LA SÉCURITÉ NUMÉRIQUE........... 54 - 4 - SÉCURITÉ NUMÉRIQUE ET RISQUES :

ENJEUX ET CHANCES POUR LES ENTREPRISES

A. LA DIRECTION GÉNÉRALE DE L'ARMEMENT (DGA) ................................................. 54

B. LE LABORATOIRE DE HAUTE SÉCURITÉ DU LABORATOIRE LORRAIN DE RECHERCHE EN INFORMATIQUE ET SES APPLICATIONS (LORIA) ......................... 56 C. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

(ANSSI) ................................................................................................................................. 57

D. LA GENDARMERIE NATIONALE .................................................................................... 59

E. LES INDUSTRIELS ............................................................................................................... 60

III. ORGANISATION DE LA SÉCURITÉ NUMÉRIQUE .................................................... 60

A. LES INVESTIGATIONS DES OBSERVATOIRES PUBLICS ET PRIVÉS ........................... 61

B. L'INVESTIGATION POLICIÈRE ......................................................................................... 62

C. L'ASSURANCE CONTRE LE RISQUE CYBER .................................................................. 63

IV. LES OPÉRATEURS D'IMPORTANCE VITALE (OIV) ................................................. 64

A. LA PROBLÉMATIQUE GÉNÉRALE ................................................................................... 65

B. L'EXEMPLE DU SECTEUR DES TÉLÉCOMMUNICATIONS ........................................... 66

C. L'EXEMPLE DU SECTEUR DE L'ÉNERGIE ....................................................................... 68

CHAPITRE III - LA COMPLEXITÉ DU NUMÉRIQUE REND SA SÉCURITÉ POUR

LES ENTREPRISES DIFFICILE À CONCEVOIR ................................................................. 71

I. VERS UNE REPRÉSENTATION DU NUMÉRIQUE DE NATURE À FACILITER

SA CONNAISSANCE ......................................................................................................... 72

A. L'ÉCHANGE ET LES COMMUNICATIONS HUMAINES ............................................... 74

1. Le processus " vertical » ou interne de production des messages en vue de l'échange ............ 74

2. Le processus " horizontal » ou externe de transport du message ........................................... 77

3. Le niveau virtuel ou global de l'échange interindividuel et sociétal ....................................... 78

B. L'ÉCHANGE ET LES COMMUNICATIONS NUMÉRIQUES ........................................... 84

1. Le message comme objet de l'échange numérique .................................................................. 86

2. Le processus " vertical » ou interne de production de message numérique............................. 88

3. Le processus " horizontal » ou externe de transport de message numérique ........................... 90

II. LES INFRASTRUCTURES DU NUMÉRIQUE ................................................................. 105

A. INFRASTRUCTURES DE SERVICES MUTUALISÉS POUR LES ÉCHANGES

NUMÉRIQUES ..................................................................................................................... 105

1. Infrastructure de noms de domaine (DNS) ........................................................................... 105

2. Infrastructure de routage et de messagerie............................................................................ 107

3. Infrastructure de navigation : les moteurs de recherche ........................................................ 108

B. INFRASTRUCTURES GLOBALES POUR LES SERVICES : LE NUAGE

NUMÉRIQUE ....................................................................................................................... 111

1. Les quelques étapes clés ........................................................................................................ 111

SOMMAIRE

5 -

2. L'informatique en nuage comme changement de paradigme .................................................. 111

3. Les modèles de services offerts par le nuage numérique ......................................................... 112

4. Les modèles de déploiements ................................................................................................. 113

5. Enjeux de sécurité du nuage numérique ............................................................................... 114

CHAPITRE IV - FORCES ET FAIBLESSES DU SYSTÈME D'INFORMATION DE

L'ENTREPRISE ........................................................................................................................ 117

I. LES TROIS NIVEAUX DE L'ENTREPRISE ....................................................................... 117

A. LE RÔLE DU SYSTÈME DE DÉCISION ............................................................................. 118

B. LE SYSTÈME D'INFORMATION ET DE COMMUNICATION ......................................... 121

1. Le système d'information ..................................................................................................... 121

2. Le système de communication .............................................................................................. 122

C. LE SYSTÈME DE PRODUCTION DE L'ENTREPRISE ....................................................... 123

1. Le concept d'industrie 4.0 .................................................................................................... 123

2. Le Manufacturing Execution System (MES) ........................................................................ 124

3. Le Supervisory Control And Data Acquisition (SCADA) ..................................................... 124

4. Les capteurs et actionneurs .................................................................................................. 125

II. ANALYSE CRITIQUE DU SYSTÈME D'INFORMATION DE L'ENTREPRISE .......... 127 A. MODÉLISATION D'UN SYSTÈME D'INFORMATION EN VUE DE SON

ÉLABORATION ................................................................................................................... 128

B. LE SYSTÈME DE COMMUNICATION ............................................................................... 129

1. Le Réseau Local d'Entreprise (RLE) ..................................................................................... 129

2. Le réseau local " radio » de l'entreprise ou Wi-Fi ................................................................. 133

3. L'interconnexion du système d'information de l'entreprise avec son système

d'information industriel ...................................................................................................... 135

4. Objets connectés dans l'entreprise ........................................................................................ 136

C. LES SERVICES ...................................................................................................................... 137

1. La relation client / serveur numérique .................................................................................. 137

2. Les services réseaux ............................................................................................................. 138

3. Les services applicatifs collaboratifs ..................................................................................... 139

4. Les services applicatifs liés aux métiers de l'entreprise ......................................................... 143

CHAPITRE V - LA SÉCURISATION DU SYSTÈME D'INFORMATION D'UNE

ENTREPRISE ............................................................................................................................ 145

I. PRINCIPES DE SÉCURITÉ D'UN SYSTÈME D'INFORMATION ................................. 145 A. D'UNE VISION STRATÉGIQUE À UNE VISION OPÉRATIONNELLE .......................... 145 B. LES TROIS PROPRIÉTÉS FONDAMENTALES DE L'ÉTAT DE SÉCURITÉ .................... 146

C. LES FONCTIONS DE SÉCURITÉ ........................................................................................ 148

D. ORGANISATION DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS .......................... 148

E. L'IMPÉRATIF D'AMÉLIORATION CONTINUE ............................................................... 149

- 6 - SÉCURITÉ NUMÉRIQUE ET RISQUES :

ENJEUX ET CHANCES POUR LES ENTREPRISES

II. MISE EN OEUVRE DE LA PRÉVENTION DANS LE SYSTÈME

D'INFORMATION D'UNE ENTREPRISE ....................................................................... 151

A. POLITIQUES DE SÉCURITÉ DE L'ÉTAT ET DES ENTREPRISES.................................... 152

B. MISE EN PLACE D'UNE ARCHITECTURE POUR LA SÉCURISATION DU

SYSTÈME D'INFORMATION ............................................................................................. 154

1. La ligne de défense périmétrique traditionnelle ..................................................................... 154

2. Le pare-feu comme pièce maîtresse ....................................................................................... 155

3. Les zones d'accès selon la sensibilité des ressources .............................................................. 156

4. Les antivirus ........................................................................................................................ 157

C. CARACTÈRE DE L'AUTHENTIFICATION FORTE .......................................................... 158

1. Le mécanisme d'authentification .......................................................................................... 159

2. L'identification .................................................................................................................... 160

3. La gestion des identités ........................................................................................................ 162

4. Le protocole d'authentification ............................................................................................. 163

5. Les principaux protocoles d'authentification ........................................................................ 165

D. HABILITATIONS ................................................................................................................. 171

1. La définition des habilitations .............................................................................................. 172

2. L'accès aux répertoires ......................................................................................................... 173

E. ARCHITECTURES ET PROTOCOLES POUR DES TUNNELS

D'INTERCONNEXION SÉCURISÉS ................................................................................... 175

1. Les architectures pour des tunnels d'interconnexion sécurisés .............................................. 175

2. SSL : le maintien de la connexion sécurisée sur TCP/IP ....................................................... 176

CHAPITRE VI - LES FAILLES ET LES ATTAQUES NUMÉRIQUES

COMPROMETTANT LA SÉCURITÉ DES ENTREPRISES ................................................. 179

I. UN MILIEU HOSTILE ......................................................................................................... 179

A. LES VULNÉRABILITÉS ....................................................................................................... 180

1. Les vulnérabilités et menaces ............................................................................................... 181

2. La veille comme processus d'analyse des vulnérabilités ......................................................... 183

3. La vulnérabilité dite " zero-day », à corriger en zéro jour ..................................................... 189

B. ANALYSE GLOBALE DES RISQUES DANS LES ÉCHANGES NUMÉRIQUES .............. 190

1. L'identification des éléments pour l'analyse des risques ........................................................ 192

2. L'évaluation des risques ....................................................................................................... 196

3. L'analyse des vulnérabilités ................................................................................................. 197

4. L'analyse de nouvelles vulnérabilités pour une informatique en nuage (cloud computing) .... 201

5. Les vulnérabilités des protocoles d'authentification .............................................................. 203

II. LES ATTAQUES CONTRE LE SYSTÈME D'INFORMATION ...................................... 203

A. LA CLASSIFICATION DES ATTAQUES ............................................................................ 205

1. Les modes opératoires de base ............................................................................................... 205

2. Les modes opératoires combinés ............................................................................................ 206

3. Les attaques sur la confidentialité et l'intégrité .................................................................... 207

B. LES ATTAQUES COMPLEXES ET CIBLÉES ...................................................................... 208

1. Les attaques complexes ......................................................................................................... 208

2. Les attaquants chevronnés ................................................................................................... 213

SOMMAIRE

7 -

3. Les caractéristiques d'une cyberattitude ............................................................................... 216

4. La cybercriminalité .............................................................................................................. 217

III. LA FONCTION DE SURVEILLANCE DE LA SÉCURITÉ ............................................ 219

A. RECOURS À LA CARTOGRAPHIE DES RISQUES ........................................................... 219

B. ACTIVITÉS DE SÉCURITÉ POUR LA DÉTECTION, L'ÉVALUATION ET LA

REMÉDIATION DES INCIDENTS ..................................................................................... 221

1. La sécurité opérationnelle..................................................................................................... 222

2. L'audit de sécurité ............................................................................................................... 225

3. L'investigation liée aux incidents ......................................................................................... 226

B. RÉACTION AUX ATTAQUES ............................................................................................. 226

1. L'analyse des flux ................................................................................................................ 226

2. Le contrôle comme point fondamental, vers un contrôle multi-échelle ................................... 228

CHAPITRE VII - LA CULTURE DU NUMÉRIQUE ET L'ÉDUCATION À SA

SÉCURITÉ ................................................................................................................................. 229

I. TEMPS ET CONTRETEMPS DE LA SÉCURITÉ NUMÉRIQUE ..................................... 229

A. HYPERCONNEXION ET HYPORÉFLEXION .................................................................... 229

B. DES PRIORITÉS QUI RALENTISSENT ............................................................................... 232

II. LES ACTEURS DE LA SÉCURITÉ NUMÉRIQUE ........................................................... 233

A. LES CONSEILS DE SÉCURITÉ DISPENSÉS AUX INDUSTRIELS PAR L'ANSSI ........... 233

1. L'infogérance ....................................................................................................................... 233

2. Une forme particulière d'infogérance : l'informatique en nuage ............................................ 236

B. LES INITIATIVES DES INDUSTRIELS EN MATIÈRE DE SÉCURITÉ NUMÉRIQUE ..... 237

III. FAIRE DE L'ÉCONOMIE AVEC DU DROIT ? .............................................................. 239

CONCLUSION ......................................................................................................................... 243

RECOMMANDATIONS ......................................................................................................... 245

RECOMMANDATIONS D'ORDRE GÉNÉRAL ................................................................... 247

I. Développer une culture du numérique : former et informer massivement toutes les

classes d'âge à l'informatique, dans tous les milieux sociaux .......................................... 247

II Assurer les conditions d'une autonomie numérique pour préserver la souveraineté .... 248

III. Se donner les moyens de la sécurité numérique par une meilleure coopération

entre les acteurs.................................................................................................................... 249

IV. À partir de dispositions et de pratiques nationales vertueuses, Construire un droit

européen ............................................................................................................................... 249

- 8 - SÉCURITÉ NUMÉRIQUE ET RISQUES :

ENJEUX ET CHANCES POUR LES ENTREPRISES

V. Assemblées parlementaires, collectivités territoriales et administrations ....................... 250

VADE-MECUM DE RECOMMANDATIONS DE SÉCURITÉ NUMÉRIQUE À

L'USAGE DES ENTREPRISES ............................................................................................... 251

1. Les préalables à la sécurité numérique de l'entreprise : ......................................................... 252

2. La construction de la sécurité numérique de l'entreprise ....................................................... 252

3. L'appréciation critique continue de la structure numérique mise en place ............................. 254

4. Le parc informatique de l'entreprise ..................................................................................... 255

5. Les trois séries de distinctions à opérer ................................................................................. 256

6. Les principes propres à l'utilisation de chaque réseau ou matériel numérique ........................ 257

7. Les réflexes de sécurité numérique à acquérir ....................................................................... 258

8. L'évaluation de la sécurité numérique de l'entreprise ........................................................... 260

9. La construction d'une résilience de l'entreprise après une attaque numérique ....................... 260

ANNEXES ................................................................................................................................. 263

LETTRE DE SAISINE DE L'OPECST ........................................................................................ 265

EXTRAITS DES RÉUNIONS DE L'OPECST DU 17 DÉCEMBRE 2014 ET DU 28 JANVIER

2015 : ADOPTION DU RAPPORT .............................................................................................. 267

SCHÉMA DE LA SÉCURITÉ NUMÉRIQUE : INSTANCES PUBLIQUES OU PRIVÉES EN CHARGE DE LA SÉCURITÉ NUMÉRIQUE POUVANT CONCERNER LA

FRANCE .......................... 295

EXEMPLE DE BULLETIN DE L'ANSSI (26 JANVIER 2015) .......................................................... 297

LA SÉCURITÉ NUMÉRIQUE PAR LE JEU : SCÉNARIO D'UN SERIOUS GAME -

OCTOBRE

2013 RAPPORT DU CIGREF - RÉSEAU DE GRANDES ENTREPRISES ......................... 303

BIBLIOGRAPHIE ..................................................................................................................... 331

GLOSSAIRE ............................................................................................................................ 340

LEXIQUE DES SIGLES .............................................................................................................. 364

PRÉAMBULE

- 9 -

PRÉAMBULE

Le 16 avril 2014, vos rapporteurs ont présenté à l'OPECST leur étude de faisabilité sur la saisine de la commission des affaires économiques du Sénat, transmise à l'Office, le 26 juin 2013, d'un rapport sur " Le risque numérique » (voir, en annexe, la lettre de saisine). La raison même de l'étude de faisabilité précédant les rapports de l'Office parlementaire d'évaluation des choix scientifiques et technologiques conduit notamment à vérifier si une étude analogue récente existe concernant la sécurité des réseaux numériques utilisés par les entreprises, à recenser les multiples colloques traitant de la sécurité numérique et à apprécier la portée des choix à opérer. Dans le cadre de la présente étude, vos rapporteurs ont organisé trois journées d'auditions publiques retracées, comme l'ensemble de la centaine d'auditions, dans le tome II du présent rapport. C'est ainsi que trois auditions publiques ont été organisées.

En avril 2014, trois

tables rondes sur l'éducation au numérique et à sa sécurité ont d'abord tenté de repérer les moments et les moyens de nature à favoriser, tout au long de la vie, l'apprentissage des outils numériques, une connaissance des avantages et des risques induits par leurs usages et une conscience de leurs faiblesses ; l'omniprésence et le développement rapide de ces outils devant être accompagnés par une accélération de l'acquisition d'une véritable culture numérique par la population. Il deviendrait ainsi possible d'analyser l'évolution en cours et de se demander si elle conduit à une humanité augmentée (plus connectée, plus performante, plus généreuse...) plutôt qu'à une humanité diminuée (plus dépendante, plus influençable, plus soumise, etc.). Ce questionnement est contenu dans l'analyse de M. Éric Sadin sur l'évolution actuelle de l'humanité conduisant à une administration numérique du monde : " C'est l'apparition d'un couplage inédit entre organismes physiologiques et codes numériques qui se tisse ». 1 Le 19 juin 2014, une audition publique a permis aux intervenants à deux tables rondes de se pencher sur le cadre juridique, les risques et les aspects sociétaux de la sécurité des réseaux numériques. Enfin, le 26 juin 2014, une audition publique a réuni deux tables rondes sur le risque numérique à travers la sécurité des réseaux

1 Voir la bibliographie en annexe du présent rapport.

- 10 - SÉCURITÉ NUMÉRIQUE ET RISQUES :

ENJEUX ET CHANCES POUR LES ENTREPRISES

informatiques, le stockage des données personnelles ou industrielles et leur exploitation. La première table ronde a rassemblé des opérateurs d'importance vitale des secteurs de l'énergie et des télécommunications ; la seconde a permis d'entendre les entreprises proposant des solutions de sécurité numérique. Comme déjà envisagé par le Gouvernement en avril 2014, le thème du numérique, enjeu économique voire stratégique, devrait donner lieu au dépôt d' un projet de loi pour la fin du premier semestre 2015. Il est d'ailleurs probable qu'un tel projet de loi, nécessaire, ne règle, ni en une fois ni une fois pour toutes, les questions posées par le numérique et qu'il faille le compléter, l'approfondir à plusieurs reprises. D'une part, car bien des aspects de cette technique omniprésente ne sont pas encore entrevus, et, d'autre part, parce que l'utilisation du numérique ne cesse de se déployer à travers le monde, notamment du fait de l'évolution des supports (de l'ordinateur au téléphone portable, de la puce RFID

1 aux compteurs

individuels dits intelligents). Ce projet de loi s'inscrit dans un ensemble d'initiatives gouvernementales relatives au numérique incluant une concertation sur le numérique, organisée par le Conseil national du numérique (CNN) et comprenant une plate-forme en ligne recueillant des contributions de la

société civile (d'octobre 2014 à février 2015), la publication de la stratégie

numérique de la France, en mars 2015, laquelle, outre le projet de loi, devrait inclure un plan de mesures concrètes à caractère national et un plan stratégique à déployer au niveau européen. Mme Axelle Lemaire, Secrétaire d'État chargée du numérique, a eu l'occasion d'évoquer ce dispositif devant l'Assemblée nationale lors du débat d'orientation pour la stratégie numérique de la France, le 14 janvier 2015. Ce sur quoi la commission des affaires économiques du Sénat a souhaité être éclairée, à travers la présente saisine de l'Office sur le risque numérique, ce sont aussi les aspects de la sécurité numérique qui seraient de nature à favoriser ou, au contraire, à entraver l'activité économique des entreprises. En effet, en quelques années, un nouvel espace économique est apparu, s'est déployé commodément, y compris dans le nuage numérique,quotesdbs_dbs31.pdfusesText_37

[PDF] Convention d adhésion au service Santé/Prévention du

[PDF] Dépêche 2010-03 OBJET : PROJET DE MODIFICATION DES RÈGLEMENT INTÉRIEUR ET RÈGLEMENTS DE L ACI

[PDF] Appropriation des nouveaux médias par les jeunes :

[PDF] PREFET DES PYRÉNÉES-ATLANTIQUES

[PDF] NOM DE L ORGANISATION (ASSOCIATION/ONG)

[PDF] A 29 LA SOCIETE PAR ACTIONS SIMPLIFIEE. (adaptée à la petite entreprise) Avril 2014

[PDF] NOR : MFPF C. à l attention de

[PDF] Le Comité d Hygiène et de Sécurité et des Conditions de Travail. 12 décembre 2013

[PDF] Observatoire 2012 des Universités & Écoles

[PDF] I1401 - Maintenance informatique et bureautique

[PDF] MISSION NON EXCLUSIVE DE LOCATION

[PDF] Journal de bord de PARTHENAY ENERGIES CITOYENNES SAS. Un investissement citoyen pour la gestion des panneaux photovoltaïque sur la salle omnisports fi

[PDF] I. Lignes directrices relatives à la notion «d effet sur le commerce» Sur le B. La notion de «commerce entre Etats membres» (pts 19 et s )

[PDF] MundiVox. Les blogs des étudiants internationaux. Blog/carnet de stage pour l étudiant en mobilité internationale

[PDF] Coface et les soutiens publics à l Exportation