Référentiel Cyber V5.0
Référentiel Cyber V5.0
Référentiel Cyber V5.0
Editorial 6 Sommaire
Remerciements 7
A. Préambule 8
A.1 Introduction 10
A.2 Définitions 1 1
B. Technologies et services 14
B.1 Cyber-protection 19
B.1.1 Méthodes 19
B.1.1.1 Analyse de risques 19
B.1.1.2 Modélisation de la menace et des attaques 19
B.1.1.3 Modélisation d’architectures sécurisées 19
B.1.1.4 Environnement de conception sécurisé 19
B.1.1.5 Méthodes formelles 20
B.1.2 Produits et technologies de sécurité 20
B.1.2.1 Produits 20
B.1.2.2 Technologies 21
B.1.3 Services 24
B.1.3.1 Outils et techniques d’évaluation 24
B.1.3.2 Ingénierie système 26
B.1.3.3 Gouvernance 26
B.2 Cyber-résilience 27
B.2.1 Méthodes 27
B.2.2 Produits et technologies 27
B.2.3 Services 28
B.3 Cyberdéfense 28
B.3.1 Méthodes de Lutte Informatique Défensive (LID). 28
B.3.1.1 Connaissance de la menace 28
B.3.2 Produits et technologies de LID 29
B.3.2.1 Administration de la sécurité 29
B.3.2.2 Produits de détection d’intrusion
(sondes et capteurs réseaux) 29
B.3.2.3 Prévention d’intrusion
(Firewalls, Anti-virus, Anti-malwares) 30
B.3.2.4 Outils d’investigation numérique 30
B.3.3 Services 31
B.3.3.1 Formation 31
B.3.3.2 Evaluation de sécurité 31
B.3.3.3 Services juridiques 32
B.3.3.4 Réaction aux incidents 32
B.3.3.5 CERT / CSIRT 32
2 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 3
PÔLE D’EXCELLENCE CYBER
B.6 Zoom sur l’utilisation de l’Intelligence Artificielle (IA) D.2 Analyse des cas d’usage selon la taille des entreprises 63
en cybersécurité 36
E. Les ressources humaines 64
B.6.1 Introduction et principales méthodes et algorithmes 36
B.6.2 Cas d’usage de l’IA pour la cybersécurité 37 F. Les domaines de recherche académique 68
B.6.3 Sécurité de l’IA 38
B.6.4 Agrément et homologation des solutions à base d’IA 39 G. Les platesformes 72
B.6.5 Big data et infrastructures et technologies dédiées G.1 Recherche et développement en cybersécurité (R&D) 74
à l’implémentation de solutions d’IA 40 G.2 Formation et entraînement à la sécurité numérique 74
C. Domaines d’activité de la Cyber (ou segmentation marchés) 42 G.3 Validation et certification de produits 75
4 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 5
PÔLE D’EXCELLENCE CYBER
Editorial Lors de son discours de Rennes en date du 3 octobre 2019 la ministre Le Pôle d’excellence cyber tient à remercier les personnes suivantes Remerciements
des Armées, a rappelé les ambitions de la France dans le domaine de la qui ont contribué à la préparation et à l’élaboration de ce référentiel en
cyberdéfense et le rôle dévolu au Pôle d’excellence Cyber (PEC) dans fournissant soutien, expertise et conseils clés :
le dispositif global.
Michel Corriou
Le Pôle poursuit son travail de fédération, d’animation et de décloison- Directeur des Opérations
nement pour répondre à trois enjeux principaux : le développement des b<>com
formations, la structuration d’une filière, l’accompagnement de l’innovation
Patrick Erard
dans les offres de service et les produits de confiance.
Délégué général adjoint du Pôle d’excellence cyber
Ces enjeux mobilisent l’ensemble des membres et partenaires du Pôle Jean-Marc Jezequel
d’excellence cyber, instituts de recherche, de formation, PME, grands Directeur de l’IRISA
groupes industriels, ministère des Armées et région Bretagne. Professeur à l’Université de Rennes I
Leur rencontre fait naître des opportunités et des synergies, porteuses Jean-Pierre Lebee
de projets concrets. Direction générale de l’armement
Le Pôle d’excellence cyber présente par ce document le fruit d’un de Gérard Le Bihan
ces groupes de travail en charge de proposer et de maintenir à jour un Directeur général du pôle Images et réseaux
référentiel pour le domaine de la cyberdéfense.
Gilles Michalon
Direction Technique Critical Information Systems and Cybersecurity
Élaboré par un panel d’experts privés et étatiques, du monde de la
Thales
recherche, de la formation, de la défense ou de l’industrie, ce document
décrit, en particulier, les différentes composantes de la cybersécurité, Jean-Charles Nicolas
que ce soit pour les technologies et services, les domaines fonctionnels Ex-Délégué général du Pôle d’excellence cyber
ou les cas d’usage et permet d’y entrevoir les enjeux associés.
Stéphane Paquelet
Il se veut pragmatique et utile aux différents acteurs du domaine pour Responsable du laboratoire Intelligence Artificielle
leur permettre de se positionner dans ce paysage en recomposition b<>com
permanente et d’identifier les enjeux et les opportunités de dévelop-
pement associés. Jean Picco
Direction Technique Critical Information Systems and Cybersecurity
Outil de dialogue et de concertation, il a vocation à évoluer régulièrement, Thales
tant pour tenir compte des nouvelles technologies et des nouveaux
Frédéric Pierre
usages que pour s’enrichir des remarques et des propositions de tous
Directeur Scientifique
ses lecteurs.
Systancia
Membre du Comité de Direction
Il est un document essentiel de partage au sein du Pôle pour permettre
Systancia Management
aux acteurs par nature très différents de se comprendre et ainsi de
pouvoir travailler ensemble. Paul-André Pincemin
Délégué à la cybersécurité et aux restructurations militaires
Il est un bien commun, mis à la disposition de la communauté nationale Rennes Métropole/Ville de Rennes
et européenne de cyberdéfense, pour contribuer à l’ambition d’un
développement d’une « cyber vallée européenne » souhaitée par la Frédéric Rémi
ministre des Armées. Directeur Général
AMOSSYS
Didier Virlogeux
Philippe Verdier Direction Marketing Critical Information Systems and Cybersecurity
Président du Pôle d’excellence cyber Thales
6 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 7
PÔLE D’EXCELLENCE CYBER
PRÉAMBULE _
8 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 9
PÔLE D’EXCELLENCE CYBER
•L
a deuxième traite des domaines fonctionnels qui utilisent les technologies, les
méthodes et les services listés dans la première partie.
•L
a troisième contient un premier exemple d’analyse suivant une structuration
basée sur la taille des entreprises clientes, et propose des exemples de
structuration par métiers.
Même s’il existe quelques définitions des termes « cyberdéfense » ou « cybersé- A.2
curité » (par exemple l’ITU (International Télécommunication Union) fournit une
définition dans le document IUT-T X.1205 (04/2008)), celles-ci ne permettent
Définitions
pas de délimiter clairement le contenu de ces domaines.
ANSSI
Cybersécurité :
A.1 Le Pôle d’excellence cyber a, depuis sa création, contribué à développer l’activité État recherché pour un système d’information lui permettant de résister à
de recherche, l’offre de formation et à dynamiser le tissu industriel. des événements issus du cyber-espace susceptibles de compromettre la
Introduction disponibilité, l’intégrité ou la confidentialité des données stockées, traitées
Ce référentiel qui a constitué une de ses premières productions a pour objectif ou transmises et des services connexes que ces systèmes offrent ou qu’ils
de déterminer ce que recouvre le terme générique de « cyber », aujourd’hui rendent accessibles.
largement répandu. La cybersécurité fait appel à des techniques de sécurité des systèmes d’infor-
mation et s’appuie sur la lutte contre la cyber-criminalité et sur la mise en
Il vise à dépasser la seule taxonomie technique en s’intéressant aussi aux cas place d’une cyberdéfense.
d’usages, reflétant ainsi un des grands objectifs du Pôle d’excellence cyber.
Cyberdéfense :
Bien entendu, ce document a vocation à être partagé et diffusé largement, et Ensemble des mesures techniques et non techniques permettant à un État de
cette nouvelle version, qui intègre des retours de l’ensemble des acteurs, sera défendre dans le cyberespace les systèmes d’information jugés essentiels pour
amenée à évoluer régulièrement. le pays.
10 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 NNovembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 11
PÔLE D’EXCELLENCE CYBER
2. Volet cyber-résilience
Cyber Renseignement
Capacité des systèmes à continuer à fonctionner éventuellement en mode
Cyber Résilience Renseignement d’intérêt cyber
dégradé lorsqu’ils sont soumis à des agressions. Figure 1 :
Renseignement d’origine cyber Regroupements
des activités
3. Volet cyberdéfense de cybersécurité
Ensemble des mesures techniques ou organisationnelles permettant la surveil-
lance, l’appréciation de la sécurité et la réaction face à des attaques.
Nota bene : excluant les activités purement militaires, le terme cybersécurité, du
4. Volet cyber-renseignement périmètre cerclé de bleu sur la figure 1, est celui qui va nous intéresser dans le
Ensemble des opérations de collecte, d’enrichissement sémantique (traitement, reste du document, l’engagement cyber étant réservé aux Armées.
analyse, fusion, interprétation) et de diffusion des informations, issues ou à
destination (*) du cyber espace.
(*) Il est d’origine ou/et d’intérêt cyber (ROC/RIC) selon qu’il est issu ou à
destination du cyberespace.
5. Volet cyber-engagement
Actions sur les systèmes numérisés adverses et opérations d’influence numérique
à des fins de soutien de la supériorité militaire.
1 http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
2 https://www.defense.gouv.fr/content/download/551530/9394277/Politique%20MINARM%20de%20lutte%20informatique%20DEFENSIVE.pdf
12 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 13
PÔLE D’EXCELLENCE CYBER
TECHNOLOGIES
ET SERVICES _
14 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 15
PÔLE D’EXCELLENCE CYBER
16 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 17
PÔLE D’EXCELLENCE CYBER
3 https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/
18 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 19
PÔLE D’EXCELLENCE CYBER
Les environnements de conception sécurisés doivent garantir l’intégrité des codes • L’importance de briques de base sans lesquelles la confiance ne peut
générés (par exemple en s’assurant que les bibliothèques sont bien issues d’une être établie (voir le chapitre B.1.2.2 ci-après) :
source sûre, …) et offrir des outils pour limiter le risque d’erreurs de codage. - Langages sécurisés, règles de programmation ;
Quels que soient les méthodes ou les cycles de développement adoptés, et en - Compilateur « de confiance »;
particulier pour les méthodes agiles, la prise en compte des problématiques de - Machine virtuelle et OS « de confiance » ;
sécurité est à considérer tout au long du cycle de développement, et notamment - Implémentation sûre (logiciel et matériel) ;
sur les phases amont. - Cryptographie sûre.
Les organisations qui évoluent vers le modèle « DevOps » pour favoriser les retours • Le domaine émergent des objets communiquant renforce ce besoin
des équipes opérationnelles vers les équipes de développement, doivent aussi de bases matérielles et logicielles de confiance.
intégrer la sécurité de façon continue sur l’ensemble du cycle de vie des appli- L’importance de produits de confiance ou souverains est bien entendu critique
cations et des infrastructures. pour cette catégorie de produits.
Les processus liés à la sécurité ne sont plus isolés et les équipes en charge de Au niveau organisationnel aussi bien que technique, l’absence de standards
la sécurité sont bien immergées au sein de l’équipe projet pour mettre en place permettant la mise en place de chaines de confiance entre différents acteurs
la sécurité dès le démarrage et prendre en compte les enjeux liés à l’automati- est aussi une problématique.
sation spécifique à l’approche « DevOps ». Cette tendance a donné naissance à
l’expression « DevSecOps ». B.1.2.2 _Technologies
20 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 21
PÔLE D’EXCELLENCE CYBER
B.1.2.2.2 _Composants électroniques l’incapacité d’arriver à concilier un niveau de sécurité en adéquation avec
Comme la cryptographie à laquelle ils sont souvent associés, les composants de un niveau fonctionnel acceptable pour les utilisateurs. Il existe donc dans
sécurité constituent une brique de base indispensable. ce domaine un vaste champ de recherche et de réalisations de produits.
Il convient de bien comprendre et savoir évaluer les fonctions de sécurité intrin- Les produits de type DLP (Data Leak/Loss Prevention) peuvent être ratta-
sèques des composants sur étagères. Il est aussi important de pouvoir disposer chés à cette catégorie car ils utilisent sensiblement les mêmes concepts :
de capacités de réalisation de composants spécifiques. identification de l’information sensible, contrôle des flux selon le niveau
de sensibilité.
L’existence de catalogues d’IP sécurisées ou apportant des services de sécurité
est dans ce cadre une voie intéressante. B.1.2.2.4.2 _OS sécurisé
Les systèmes industriels souverains déploient des solutions intégrant des
B.1.2.2.3 _Informatique de confiance OS sécurisés reposant sur des noyaux de tailles limitées pour en faciliter
Indépendamment des initiatives mondiales comme le Trusted Computer Group leurs évaluations et en permettre leur maitrise.
(TCG) qui peuvent poser des problèmes de maîtrise ou de gestion de la vie privée,
il existe un besoin réel de pouvoir garantir des transactions sûres, assurer la Les systèmes informatiques grand public utilisent en revanche des sys-
gestion de droits pour la diffusion de produits numériques, et globalement tèmes d’exploitation qui sont, non maîtrisés pour les OS propriétaires,
protéger les systèmes informatiques contre les agressions et les utilisations et difficiles à maîtriser pour les systèmes ouverts, à cause de leur taille
frauduleuses. Les techniques faisant intervenir un tiers de confiance, les DRM, et de leur complexité. S’il parait aujourd’hui illusoire de vouloir dévelop-
la stéganographie (watermarking, …) ou la blockchain font partie des éléments per un OS de type Windows ou IOS entièrement maîtrisé, la recherche
utilisables pour répondre à ce besoin. de solutions à base de virtualisation, par exemple, peut permettre de
reporter une partie du problème sur un logiciel de plus petite taille sus-
La confiance est aussi nécessaire dans les outils de développement et de pro- ceptible d’être maîtrisé. Toutes les techniques de cloisonnement, de bac
duction du logiciel afin de garantir que le produit final est bien à l’image du code à sable (sand boxing), d’hyperviseurs, etc sont donc d’un intérêt cer-
source fourni en entrée. La maîtrise des outils de développement est dans ce tain. Elles sont notamment mises en œuvre pour bâtir des architectures
cadre un autre axe d’intérêt. multi-niveaux, chaque niveau de sécurité fonctionnant dans une « cage
» étanche, sauf pour des échanges plus critiques qui passent alors par
B.1.2.2.4 _Logiciel sécurisé l’hyperviseur.
B.1.2.2.4.1 _Multi-niveaux L’application de ces techniques peut concerner le monde bureautique
Le multi niveau est un besoin prégnant dans le domaine de la défense où au sens large mais aussi les systèmes embarqués, les terminaux mobiles
coexistent des niveaux de classification et de sensibilité très divers. Il existe et les objets connectés. Sans maîtrise des OS, il est en effet difficile de
aussi au sein des entreprises dans lesquelles il est possible de trouver conjoin- prétendre à une maîtrise des produits qui les utilisent.
tement des informations ouvertes, des informations confidentielles liées aux
personnels, des informations financières, stratégiques, relevant du secret in- En complément, il est nécessaire d’acquérir une bonne compréhension
dustriel, … Il apparaît également cohérent de vouloir séparer des réseaux de du fonctionnement de ces différents OS afin de pouvoir les configurer
type bureautique de réseaux de type industriels, ou des systèmes acces- de la manière la plus sûre possible en fonction des besoins applicatifs.
sibles par des clients de systèmes internes à l’entreprise. Ceci peut se concrétiser par la publication de guides de sécurisation ou
bien par la réalisation d’outils de vérification ou de configuration auto-
Le besoin de multi-niveaux peut s’exprimer suivant plusieurs modalités : matiques.
• Interconnecter des réseaux et systèmes de niveaux différents en permettant
des échanges selon une politique de sécurité définie (par exemple connecter B.1.2.2.4.3 _Protection contre la rétro-conception
un réseau contenant des informations sensibles et des informations ouvertes La protection contre la rétro-conception est une étape indispensable
à l’Internet pour échanger de l’information non sensible) ; pour la protection de droits (des licences d’utilisation, par exemple) mais
• Mettre à disposition sur un serveur, une base de données, … des informations aussi pour la protection de savoir-faire industriels. Il est nécessaire de dis-
de différents niveaux de sensibilité et permettre à des utilisateurs d’y accéder poser de méthodes et d’outils facilement utilisables pour qu’ils soient mis
selon des droits d’accès qui leurs sont propres ; en œuvre par les industriels dans le but de mieux protéger leurs produits.
• Permettre à un utilisateur d’accéder depuis le même poste de travail à Ils doivent pouvoir s’adapter aux différents langages de programmation
des environnements de niveaux de sensibilité différents. aux différents environnements d’exécution et s’insérer dans les processus
de développement. Les techniques peuvent être purement logicielles
Tous ces sujets ont été étudiés depuis longtemps et des produits commer- ou faire appel à des éléments matériels. Il reste un vaste champ de re-
ciaux ont même été mis sur le marché. Leur diffusion a jusque-là toujours cherche tant pour les techniques de protection (obfuscation de code, par
été freinée, à la fois par une difficulté d’exploitation certaine, mais aussi par exemple) que pour les outils qui les mettent en œuvre.
22 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 23
PÔLE D’EXCELLENCE CYBER
B.1.3 _Services Les outils et les techniques intéressants dans ce domaine sont notamment :
• Les outils d’analyse de code statiques et dynamiques ;
B.1.3.1 _Outils et techniques d’évaluation
•L
es outils de recherche de vulnérabilité, par test à données aléatoires
L’obtention d’un niveau de confiance sur les produits de sécurité passe par une (fuzzing), injection de code, …
évaluation de leur résistance face à une large palette d’attaques. À cet effet,
Il convient donc de préciser l’importance de la mise en place d’un schéma d’éva- • Les outils de rétro-conception logicielle.
luation reconnu par l’ensemble des acteurs de la filière. Ce schéma se déclinera Ces différents outils peuvent être utilisés quels que soient les domaines
en méthodologies d’évaluation ad hoc par typologie de produits. d’application des logiciels à évaluer. Par contre, certaines catégories de
Les outils et méthodes d’évaluation sont donc indispensables pour garantir le logiciels (comme par exemple les logiciels de cryptographie) nécessitent
niveau de confiance des produits cyber. Parmi les thématiques afférentes au des compétences spécifiques et éventuellement quelques outils complé-
schéma d’évaluation, il est possible de citer : mentaires pour faire une recherche de vulnérabilités pertinente.
• L’évaluation de la sécurité du logiciel (audit de code, de configuration ou Il faut aussi pouvoir intégrer ces outils dans un environnement de test permet-
d’architecture) ; tant autant que faire se peut la génération automatique de tests, leur gestion
• La génération de tests ; en configuration ou leur rejeu pour améliorer la productivité de cette activité.
24 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 25
PÔLE D’EXCELLENCE CYBER
26 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 27
PÔLE D’EXCELLENCE CYBER
B.2.3 _Services Les méthodes et outils dédiés à la connaissance de la menace sont détaillés
au paragraphe B.4 dédié au cyber-renseignement.
Les services permettant d’améliorer la cyber-résilience sont tout d’abord les
services de surveillance de réseau, qui permettent de détecter les attaques et
éventuellement de prendre des mesures de défense pour s’en prémunir. Ensuite, B.3.2 _Produits et technologies de LID
il est possible d’identifier les services de maintien en condition opérationnelle
(MCO) et de maintien en condition de sécurité (MCS). En effet, de nombreuses B.3.2.1 _Administration de la sécurité
attaques informatiques peuvent se diffuser à cause de la mauvaise configuration
des systèmes : versions obsolètes, bases antivirales non mises à jour, … B.3.2.1.1 _SIEM (Security Information and Event Management)
Le MCS de systèmes enfouis ou de systèmes industriels, dont il est parfois Les SIEM sont des outils qui intègrent des fonctions de collectes d’évé-
difficile d’interrompre le fonctionnement, pose de nombreuses difficultés nements générés par des sondes (voir ci-après), de normalisation de
qu’il est nécessaire d’étudier. ces informations, d’agrégation et de corrélation, puis de visualisation
La réalisation de PCA/PRA (plans de continuité d’activité, plans de reprise vers un opérateur. Les SIEM peuvent ensuite être connectés à un SOC
d’activité) constitue aussi un volet important pour identifier les services (Security Operation Center, voir ci-après).
essentiels, et la manière dont l’organisation peut fonctionner en cas d’attaque
B.3.2.1.2 _SOC / Réaction à incident
puis revenir à un mode de fonctionnement nominal.
Des fonctions basiques peuvent être intégrées dans les SIEM, mais elles sont
Pour l’ensemble de ces activités, il est nécessaire de disposer de méthodes
plus généralement identifiées dans les SOC (Security Operation Center).
et d’outils qui permettent d’évaluer les niveaux de résilience d’un SI et d’une
architecture, notamment par l’évaluation des niveaux de risque et l’identifi- Le SOC a pour rôle d’agréger les données issues des sondes, de les analyser,
cation des points de panne unique. puis d’en donner une vue pertinente au regard des décisions à prendre
pour assurer la sécurité du SI et du processus qu’il sous-tend.
Par ordre de difficulté croissante, les techniques d’aide à la décision sont :
•L
a présentation de solutions techniques possibles vers un opérateur
(de type fiche réflexe par exemple) ;
•L
a présentation de solutions techniques priorisées selon les impacts
métier ou processus ;
•L
a réaction automatique sur scénarios : possibilité de basculer dans
des modes de repli en fonction de conditions préétablies ;
• La réaction automatique par système expert.
Ces fonctions de réaction sont très critiques, une réaction inappropriée ou
disproportionnée pouvant entraîner des conséquences désastreuses pour
le fonctionnement de l’entreprise ou de l’organisme concerné.
B.3 B.3.1 _Méthodes de Lutte Informatique Défensive (LID) B.3.2.2 _Produits de détection d’intrusion (sondes et capteurs réseaux)
Cyberdéfense Les produits de détection d’intrusion désignent des sondes qui vont capter
B.3.1.1 _Connaissance de la menace
l’information alimentant ensuite le reste de la chaîne de LID.
Pour connaître la menace externe, il est nécessaire de la mesurer par une Il convient de citer :
veille active, notamment sur les sites d’information non officiels (Internet
•L
es capteurs basiques qui enregistrent l’activité du système (journali-
clandestin ou dark Web). L’exploration du Web profond (deep Web) via des
sation des événements) ;
techniques de « crawling » est à ce titre pertinente.
• Les sondes réseaux, qui analysent le trafic pour identifier des événements
Pour connaître la menace sur le SI, il est nécessaire de disposer d’outils de
anormaux ;
collecte et de traitement d’informations en sources ouvertes et en sources
fermées, sur les technologies, produits ou systèmes des technologies de •L
es sondes hôtes qui vont analyser le fonctionnement d’un poste de
l’information, mais aussi de systèmes connexes, comme par exemple les travail ou d’un serveur pour identifier les comportements anormaux ;
systèmes de contrôle industriel. •L
es sondes métiers qui vont analyser un processus (process) pour
L’exploitation de ces données peut nécessiter des compétences dans les identifier des déviations par rapport à un comportement normal ou
domaines des bases de données, du « big data », du « DATA mining », … acceptable.
28 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 29
PÔLE D’EXCELLENCE CYBER
Ces sondes relèvent des données qu’il est nécessaire de faire remonter par un Certains de ces outils peuvent être utilisés dans le cadre d’actions judiciaires
réseau. Ce réseau de collecte peut être soit confondu avec le réseau opération- et doivent donc garantir une forte intégrité et une parfaite traçabilité des
nel, soit dédié. Ces flux sont à sécuriser en eux-mêmes. actions.
Les sondes peuvent fonctionner par détection de signatures ou suivant une L’évolution des technologies et des usages conduit à réaliser des investigations
analyse comportementale (les sondes métiers sont plutôt exclusivement dans numériques non seulement sur des supports physiques et des postes de
cette seconde catégorie). travail, mais aussi sur des réseaux, des systèmes ou des architectures de type
Cloud. Les volumes de données à traiter sont de plus en plus considérables
La détection d’intrusion peut être considérée selon un axe domaine d’emploi (investigation numérique et big data). Cette évolution demande de nouvelles
afin de s’adapter à des catégories de systèmes différentes (SI, systèmes d’armes, méthodes et de nouveaux outils.
systèmes industriels). Elle peut aussi être considérée selon un axe technique
avec les différents types de sondes (réseaux, systèmes) et différents modes de Une description complémentaire de méthodes et outils d’investigation
détection, notamment la détection comportementale (déviance par rapport à numérique est proposée au sein du chapitre dédié au cyber-renseignement.
un usage normal).
Les anti-virus ou les firewalls se présentent souvent comme des outils de pré- B.3.3.1 _Formation
vention d’intrusion. Ils peuvent se placer au niveau réseau ou au niveau système
et ont comme caractéristique de détecter et de bloquer les attaques. B.3.3.1.1 _Formation cybersécurité
Les anti-virus peuvent être classés comme des outils de prévention ou de défense L’ANSSI propose sur son site4 une liste de profils. Cette liste est résumée
(ils protègent contre les agressions en éliminant les logiciels malveillants au chapitre E. Des formations initiales ou continues doivent être proposées
détectés et ils génèrent des alertes). Il existe globalement deux grandes familles : afin d’être en mesure de disposer de ressources humaines en quantité et
ceux utilisant des bases de signatures et les anti-virus comportementaux. de qualité pour tenir les postes qui sont à pouvoir dans les sphères privée
Les deux modes peuvent être mixés et sont parfois associés à des fonctions de ou étatique. Ce besoin en formation nécessite des outils et systèmes de
type Cloud pour des estimations de risques (réputation de logiciels, …). Pour ces formation à la cyberdéfense, à la supervision de la sécurité, et à la gestion
produits, il s’agit de conserver une capacité à identifier de nouvelles menaces de crise.
toujours plus complexes sans trop pénaliser le fonctionnement des postes ou Ces moyens doivent servir à la formation de personnels de différents niveaux
des serveurs. (utilisateurs, techniciens, ingénieurs, experts), civils ou militaires et dans ce
dernier cas pour des systèmes en métropole ou sur les théâtres d’opérations
Concernant les malwares, pour en comprendre le fonctionnement et les éradiquer
extérieures.
il est nécessaire de disposer d’outils spécifiques. En effet, pour des raisons évi-
dentes, l’analyse de ces logiciels ne peut être réalisée que dans un environnement
B.3.3.1.2 _Entrainement supervision et gestion de crise
maîtrisé afin d’éviter leur propagation. Par ailleurs, le degré de sophistication
avancée de ces malwares commande d’effectuer leur analyse dans des environ- Ces formations plus spécifiques doivent permettre de disposer de personnels
nements hautement réalistes, au risque qu’ils ne déploient pas l’ensemble de de différents niveaux, aptes à réagir efficacement en cas de crise cyber.
leurs fonctionnalités. Ces formations peuvent aussi inclure la dimension juridique liée à la cyber-
défense (quels sont les droits en cas d’attaque, quelles limites à la réaction,
L’analyse de ces logiciels peut aussi demander des outils évolués de rétro- …), des aspects éthiques, et prendre en compte des aspects psychologiques,
conception pour comprendre le détail de leur fonctionnement. telle la gestion du stress. Afin de mieux spécifier les contrats de service ou
de développement de produits, les aspects contractuels doivent aussi être
Une description des méthodes et outils est proposée en complément au sein du
abordés.
chapitre consacré au cyber-renseignement.
B.3.3.2 _Evaluation de sécurité
B.3.2.4 _Outils d’investigation numérique
Il est vital de pouvoir estimer le niveau de sécurité des outils ou services de
Les outils d’investigation numérique sont utilisés pour rechercher les traces laissées LID. Leur évaluation par des entreprises de confiance est donc indispensable.
par une agression informatique et reconstruire la chronologie des événements, Les outils et enjeux sont identiques à ceux développés pour les outils de
ou encore pour reconstruire des données effacées. protection (cf. B.1.3.1).
4 http://www.ssi.gouv.fr/entreprise/formations/profils-metiers/
30 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 31
PÔLE D’EXCELLENCE CYBER
B.3.3.3 _Services juridiques Si nous excluons le renseignement au profit des activités de la Défense
Nationale et sans prétention d’exhaustivité, nous citerons comme princi-
Les services juridiques interviennent de manière transverse sur les différentes pales sources de renseignement technique :
activités, soit pour borner et sécuriser les différentes prestations de services,
soit pour définir le cadre d’emploi de certains outils, ou pour encadrer la mise •
L’OSINT (Open Source INTelligence) qui concerne les informations
en place de procédures ou d’outils de cybersécurité au sein des entreprises. accessibles au grand public en source ouverte. Ces sources incluent
les journaux, l’Internet, les écrits, les diffusions, les fuites d’information
quelle que soit leur origine ;
B.3.3.4 _Réaction aux incidents
• Le SOCMINT (SOCial Media INTelligence) qui fait référence aux méthodes
Dans le cas où une attaque a atteint son but, la remise en service du système et moyens dédiés à la surveillance des médias sociaux, de manière à anti-
d’information de l’organisation attaquée peut demander des ressources ciper ou agir sur les besoins et les comportements des utilisateurs ;
humaines conséquentes à la fois en quantité (s’il faut par exemple une inter-
vention physique sur un grand nombre d’équipements) et en qualité (préser- •L
a recherche de vulnérabilités sur les logiciels et les équipements. Que
vation des traces, expertise technique pour l’éradication des malwares, …). ce soit en provoquant l’apparition de défauts ou de pannes par des
Ces équipes peuvent être internes ou externes à l’organisation mais doivent tests tous azimuts hors du champ d’utilisation de l’équipement (tests à
être formées et entrainées. données aléatoires (fuzzing)), ou par la recherche de voies d’infiltration
et d’exploitation de failles ; ces activités ont pour but d’identifier les
B.3.3.5 _CERT5 / CSIRT vulnérabilités afin d’organiser la défense des infrastructures ;
• La rétro-ingénierie ou le reverse engineering. Consiste à étudier et à
Les CERT (Computer Emergency Response Team) ou CSIRT (Computer Security décortiquer un objet pour en déterminer son fonctionnement ou sa
Incident Response Team) sont des entités publiques ou privées qui assurent méthode de fabrication. Ces études peuvent être, par exemple, l’ana-
le traitement des alertes informatiques, l’entretien et la diffusion de bases de lyse d’un binaire malicieux, d’un virus, la recherche de vulnérabilités en
vulnérabilités et la diffusion de messages d’alertes ou de prévention. vue de leur éradication, ou l’étude d’un objet (physique ou logique)
pour lutter contre la copie et les contrefaçons.
B.4.1.3 _Analyses
B.4 Le cyber-renseignement désigne l’ensemble des opérations de collecte, d’enri- Les analyses ont pour vocation d’apporter une compréhension rapide et
chissement sémantique (traitement, analyse, fusion, interprétation) et de diffu- exhaustive sur le déroulement d’un événement (campagnes d’attaque), sur
Cyber- sion des informations issues ou à destination du cyberespace. le mode opératoire d’un groupe déterminé, ou sur le fonctionnement d’un
renseignement malware et/ou sur son évolution.
Il est d’origine cyber lorsqu’il est issu du cyberespace. Il est d’intérêt cyber lors-
qu’il est à destination du cyberespace. Sur le plan technique, elles apportent les informations sur la structure d’un
malware et/ou sur des indicateurs de compromission (Indicators of com-
B.4.1 _Méthodes promise (IoC)). Les descriptions techniques issues des analyses amènent à
l’écriture de règles de détection et permettent d’avoir une démarche proactive
et non pas uniquement réactive.
B.4.1.1 _Orientation préparation et planification des opérations de collecte
Les descriptions techniques sont complétées par une analyse contextuelle
L’orientation consiste à identifier la nature et les supports des informations à
et stratégique, qui, à partir des éléments techniques obtenus grâce à l’in-
recueillir, à définir la suite des opérations nécessaires au recueil, et à invento-
vestigation, vise à déterminer la motivation réelle de l’attaquant. Pour cela,
rier les moyens à mettre en œuvre.
la compréhension de l’écosystème international qui entoure l’attaque (ju-
Les capacités matérielles et humaines et leur préparation préalable condi- ridique, financier, social, culturel) est essentielle pour saisir les tendances
tionnent la réussite des opérations de recueil. stratégiques qui expliquent l’événement.
L’analyse du contexte stratégique permet une compréhension accrue des
B.4.1.2 _Le recueil d’informations facteurs déclencheurs des événements et donc la mise en place de démarches
Le recueil d’informations concerne l’ensemble des activités permettant d’agglo- proactives.
mérer les informations et d’en tirer profit. Idéalement les rapports d’analyse contiennent une description des secteurs
Le renseignement technique couvre des formes très variées, liées à la nature industriels et géographiques touchés, l’origine de l’attaquant, ses Tactiques,
de l’information et à son mode de recueil. Techniques et Procédures (TTP), et ses motivations.
5 Le terme CERT est une marque déposée de l’université Carnegie Mellon et ne peut être utilisé sans leur accord
32 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 33
PÔLE D’EXCELLENCE CYBER
B.4.1.4 _La gouvernance Le monitoring des activités souterraines de la cybercriminalité et des trafi-
quants et la surveillance du cyberespace pour la lutte contre le terrorisme
Le renseignement militaire est une activité de nature régalienne, sa gouvernance
illustrent l’importance de l’activité de suivi des cyber-menaces.
n’est pas détaillée dans ce document6.
B.4.3.2 _Lutte contre l’espionnage
B.4.2 _Produits et technologies Le cyber espionnage consiste à récupérer des données sensibles ou des droits
afin d’obtenir un avantage sur une entreprise ou une entité gouvernementale.
B.4.2.1 _Sondes et capteurs réseaux
Le site gouvernemental dédié à la lutte contre l’espionnage7 en expose les
Se reporter au paragraphe B 3.2.2. risques et les moyens de prévention. Le Service de l’Information Stratégique
et de la Sécurité Economique (SISSE) propose 26 fiches autour de la sécurité
B.4.2.2 _Outils d’investigation économique8. L’Institut National des Hautes Études de la Sécurité et de la
Les outils d’investigation ont pour objectif d’identifier les vulnérabilités résiduelles Justice (INHESJ) a également publié un kit de sensibilisation des atteintes à
des systèmes d’information, les menaces qui leurs sont associées, ils aident à la sécurité économique9.
caractériser les attaques que ces systèmes pourraient subir ou subissent. La règlementation pour la cybersécurité des entreprises est évoquée au
Les outils d’investigation sont de natures très variées, ils dépendent du support chapitre H.3
de stockage, de transport, ou d’exploitation des informations qui sont à protéger.
B.4.3.3 _Constitution de bases de données
Leur terrain d’application est extrêmement étendu (depuis les couches maté- La constitution de bases de données permet de capitaliser les connais-
rielles jusqu’aux applications), protéiforme et mouvant. sances issues du renseignement, de les représenter sous différents angles
À titre d’exemple nous avons cité : les fouilles de données, les agents conver- de vues selon les problématiques à adresser, et de les rendre disponibles
sationnels, les outils de corrélation et de classification, les tests à données pour une exploitation numérique par un calculateur et ses logiciels.
aléatoires (fuzzing), les scanners de vulnérabilités, liste loin d’être exhaustive. Divers types d’objets peuvent être capitalisés et mis en base ou en cata-
logue pour être réemployés à des fin de lutte informatique défensive (LID)
Le lecteur pourra s’adresser pour plus de détails aux services et agences de ou offensive (LIO). Sans exhaustivité nous pouvons citer :
l’État, tels que la DGSI ou l’ANSSI en France, ou vers des sociétés privées
spécialisées dans ce domaine. •L
es logiciels malveillants (vers, chevaux de Troie, portes dérobées,
spywares, keyloggers, rootkits, ransomwares, …) ;
• Les signatures de logiciels malveillants ;
B.4.3 _Services
• Les indicateurs de compromission ;
B.4.3.1 _Renseignements sur la menace et rapports de Threat Intelligence • Les vulnérabilités matérielles, logicielles, ou des systèmes ;
Le renseignement sur la menace consiste à caractériser la menace sous ses dif- • Les incidents observés ;
férents aspects : • Les scans réseau via l’Internet ;
• Son origine : de qui provient-elle ? • Les certificats et les mots de passe interceptés ou décryptés.
• Pourquoi ? Dans quel contexte ?
• Qui en est la cible ? B.4.3.4 _Cyber Threat Intelligence Platform (Capitalisation de renseignements)
• Quels sont les lieux concernés par la menace ? Un service de CTI performant utilise une plateforme pour pouvoir :
• Quand peut-elle être exercée ? • Agréger plusieurs sources de données sur une même plateforme ;
• Sous quelles formes peut-elle s’exprimer ? • Corréler, qualifier et valider les informations, via des processus ou par
• Quels sont les moyens et les modes opératoires de l’attaquant ? investigation ;
• Quelles sont les solutions pour s’en protéger ? • Disséminer l’information via des capacités d’interfaçage avec l’environnement.
Le renseignement sur la menace fait l’objet de rapports de Threat Intelligence Dans un environnement interconnecté, complexe et changeant, il est essentiel
(TI) ou Cyber Threat Intelligence (CTI) synthétisant tout ou partie des réponses de comprendre l‘évolution rapide des menaces afin d’adapter les processus et
aux questions adressées. les opérations de cyberdéfense.
34 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 35
PÔLE D’EXCELLENCE CYBER
Défendre une infrastructure contre des vulnérabilités inconnues du plus grand Ces notions ne sont pas équivalentes, mais bien imbriquées : l’intelligence
nombre, qualifiées de zero-day, lutter contre des menaces persistantes complexes artificielle englobe l’apprentissage, qui lui-même englobe l’apprentissage
(Advance Persistent Threat (APT)) est un défi majeur qui nécessite une com- par réseaux de neurones, qui lui-même englobe l’apprentissage profond.
préhension des objectifs et du mode de fonctionnement de l’adversaire.
L’IA englobe aussi plusieurs autres types de techniques logicielles, comme
Une plateforme Cyber Threat Intelligence permet d’améliorer la résolution des les moteurs de règles (systèmes experts), et de même l’apprentissage englobe
incidents de sécurité en évoluant d’une défense réactive et partielle à une réponse de nombreuses techniques qui ne font pas appel à des réseaux de neu-
proactive et adaptée. Les formats d’échange d’informations sur les menaces rones (par exemple les forêts aléatoires, Support Vector Machine (SVM),
peuvent prendre plusieurs formes, mais les analystes se tournent presque toujours etc.) dont certaines ont par exemple l’avantage de l’explicabilité des raison-
vers l’échange d’indicateurs de compromission (Indicators of Compromise nements par construction.
(IOC). Les opérations de collecte, partage et échange d’informations en sont les
étapes clés. Une analyse méthodologique avec modélisation de la problématique et des
données afférentes facilite la mise en évidence des notions d’explicabilité et
de fiabilité qui sont clés pour la certification des solutions incorporant ces
techniques.
B.5 Le cyber-engagement désigne les actions sur les systèmes numérisés des adver-
saires et les opérations d’influence numérique qui visent à soutenir la supériorité Une telle approche doit être encouragée par rapport à une approche de
Cyber- militaire des Armées. type « boite noire » de l’intelligence artificielle qui permet une résolution
engagement rapide de certains problèmes mais au prix bien souvent de biais de repré-
L’engagement étant une activité de nature régalienne, la rubrique n’est pas déve-
sentativité, de robustesse et fiabilité des résultats proposés.
loppée dans ce document10.
De nombreuses thématiques scientifiques relèvent traditionnellement de l’IA.
Elles peuvent être classées en quelques grandes familles : résolution de
problèmes ; connaissance et raisonnement, notamment en environnement
incertain ; planification ; apprentissage ; communication, perception et action.
Nous allons dans les chapitres qui suivent nous concentrer sur les liens entre
IA et cybersécurité, selon quatre points de vue :
• Les cas d’usage de l’IA en cybersécurité ;
• La cybersécurité des systèmes intégrant de l’IA ;
• L’évaluation des systèmes intégrant de l’IA ;
•L
es données et les plateformes nécessaires pour développer des sys-
tèmes à base d’IA.
B.6 B.6.1 _Introduction et principales méthodes et algorithmes B.6.2 _Cas d’usage de l’IA pour la cybersécurité
Zoom Dans ce document, nous adoptons une définition volontairement large de Les applications de l’IA pour la cybersécurité sont potentiellement infinies
sur l’utilisation la notion d’intelligence artificielle (IA) dans laquelle tout système informa- si on considère que cette technique peut être utilisée dans tous les systèmes
de l’Intelligence tique capable d’analyser son environnement pour décider de ses actions et numériques.
interagir est considéré comme intelligent.
Artificielle (IA)
Pour une discussion approfondie à ce sujet, on renverra le lecteur à : Quatre grandes catégories d’applications où l’IA peut apporter un gain
en cybersécurité particulièrement significatif peuvent être identifiées :
Russel, S., Norvig, P., 2010. Artificial Intelligence: a modern approach.
3nd Edition. Prentice Hall, Pearson Education Inc. • L’aide au développement sécurisé : l’IA pourrait aider à la modélisation
et à la simulation de systèmes complexe, à la détection d’erreurs de
Cette définition de l’intelligence artificielle ne se limite pas, à celle d’appren- conception ou de codage, permettant ainsi le développement de produit
tissage (machine learning), voire d’apprentissage profond (deep learning). sûrs par conception ;
10 P
our plus d’informations, les éléments publics figurent à l’adresse :
https://www.defense.gouv.fr/content/download/551555/9394645/El%C3%A9ments%20publics%20de%20doctrine%20militaire%20de%20lutte%20informatique
%20OFFENSIVE.pdf
36 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 37
PÔLE D’EXCELLENCE CYBER
•L
’évaluation de sécurité : l’IA peut permettre la recherche de vulnérabilités annotations, …) vont être prépondérantes pour que l’apprentissage se déroule
sur des logiciels mêmes complexes ou volumineux, mais aussi sur des com- correctement. D’autres propriétés doivent aussi être étudiées, comme leur
posants avec la capacité d’analyser des images de puces électroniques. intégrité, pour être sûr que l’apprentissage de déroule bien avec les données
L’IA montre aussi d’ores et déjà sa capacité à la caractérisation de menaces sélectionnées à cet effet.
DPA permettant d’aider à la sécurisation de composants. Enfin, l’IA peut
permettre d’assister des équipes de pentest en réalisant des tests automati- Des méthodes algorithmiques peuvent aussi être employées pour éliminer
sés permettant de démultiplier les capacités des équipes ; les menaces, elles sont listées plus haut. Certains moyens de détection per-
mettent aussi d’identifier des attaques (par leurre notamment), ce qui vient
•L
a détection d’attaques : ce sujet a probablement été un des premiers où renforcer la sécurité de l’ensemble.
l’IA a été utilisée en cybersécurité. Il s’agit ici de détecter des signaux faibles
dans des masses de données importantes (des logs, par exemple), de
B.6.4 _Agrément et homologation des solutions à base d’IA
détecter des comportements anormaux d’individus ou de processus qu’ils
soient métiers ou informatiques, d’effectuer des analyses de corrélation L’évaluation de produits de sécurité « traditionnels » (pare-feu, IDS, chiffreurs,
entre des multitudes d’évènements, et de détecter des logiciels malveillants etc.) restait jusqu’à présent cantonnée à l’utilisation de techniques détermi-
complexes ; nistes. L’intégration progressive d’algorithmes d’apprentissage et de prise
de décision dans les nouvelles familles de produits de sécurité nécessite de
•L
a réaction aux attaques : ce sujet reste aujourd’hui majoritairement à
facto une adaptation des méthodes d’évaluation afin notamment de renforcer
défricher mais une IA pourrait : aider à proposer des mesures de réaction
l’efficacité intrinsèque de ces produits de sécurité.
face à une attaque, voire prendre automatiquement ces mesures, aider à
l’identification de la source de la menace et à développer des contre-mesures. À l’instar des usages de l’IA en cybersécurité (détection d’intrusion, filtrage
de spams, analyse de malwares, détection d’exfiltration de données, authen-
B.6.3 _Sécurité de l’IA tification biométrique,…), les méthodes utilisées (classification, partitionnement
de données (clustering), détection d’anomalies, régression linéaire et prédic-
Les algorithmes d’IA, comme tous les algorithmes peuvent être la cible d’attaques
tions,…) sont de plus en plus nombreuses, ce qui induit forcément :
informatiques. C’est aussi le cas des machines qui les hébergent mais en première
hypothèse on considérera que ce point est adressé par les techniques classique •D
es limitations d’ordre opérationnel (complexité du paramétrage, prise
de sécurisation de l’IT. en compte du modèle de menace, …) ;
Les systèmes d’IA devront donc être sécurisés depuis leur phase de conception. • Des limitations liées à l’efficacité des algorithmes face aux attaques
Cette sécurité devra être évaluée lors des phases de qualification et la sécurité complexes et/ou nouvelles ;
réévaluée durant tout le cycle de vie du système. De manière synthétique,
•D
es limitations liées à la robustesse des algorithmes (résistance à l’empoi-
quatre grands types de vulnérabilités pour les systèmes d’IA sont à prendre en
sonnement, résistance à l’évasion, …).
considération :
•L
’empoisonnement de données : introduction dans le jeu de données de Dans ce contexte, la spécification d’une démarche d’évaluation / de certification
données erronées choisis pour affecter le comportement des systèmes ; de produits de sécurité intégrant de l’IA devra reposer sur :
•L
a porte dérobée : introduction d’un biais dans le modèle qui va déclencher •L
’analyse du modèle de menace du produit (exposition du produit à
un certain comportement face un événement choisi par l’attaquant (ex : l’empoisonnement, intérêt de l’attaquant à évader le mécanisme cible,
marque sur un panneau STOP qui le fera considérer comme un autre panneau) ; confidentialité des entrées, …) ;
•L
a reconstruction de données d’apprentissage : cette vulnérabilité consiste à •L
’analyse de l’adaptabilité du produit à l’environnement (adaptation des
mener des actions de rétro-conception, elle permet de remonter aux données paramètres au contexte opérationnel, capacité d’assistance au para-
qui ont servi à entrainer le modèle. Ces données peuvent être sensibles, voire métrage, …) ;
classifiées pour des applications défense ; • L’analyse de l’efficacité du produit dans un environnement réaliste ;
•L
e leurrage : il s’agit d’introduire une perturbation dans les données d’entrée • L’utilisation d’une plateforme Cyber Range générant du trafic d’attaque
pour modifier la réponse du système en ajoutant du bruit dans une image ou et du trafic de vie pertinent ;
sur un son (one pixel attack par exemple), bruit choisi pour être indétectable
par un humain mais spécifiquement conçu pour provoquer une erreur du • La confrontation du produit à un catalogue d’attaques ;
système. • La construction de scénarios réalistes et variés ;
Les techniques de sécurisation vont dépendre du type d’IA utilisé. Pour les IA •L
’analyse de la robustesse des algorithmes retenus (« empoisonnement »
utilisant massivement des données (apprentissage automatique), leur qualité des données d’entrainement, évasion du moteur de test, inversion du
intrinsèque et la qualité des traitements associés (mise en forme, filtrage, modèle, extraction du modèle et de ses paramètres / seuils, …).
38 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 39
PÔLE D’EXCELLENCE CYBER
La normalisation d’une démarche d’évaluation / certification opérationnelle de Ces plateformes doivent s’appuyer sur des architectures matérielles et
ce type devrait voir le jour d’ici quelques années sous l’impulsion de l’ENISA logicielles à l’état de l’art. Au niveau matériel, l’infrastructure doit être
et des Agences Nationales de Sécurité qui vont multiplier les investissements dimensionnée pour héberger plusieurs centaines de téraoctets de données
autour de cette thématique. et fournir du traitement sur différents types de processeurs (CPU, GPU,
FPGA,…).
B.6.5 _Big data et infrastructures et technologies dédiées Au niveau logiciel, le volume de données visé privilégie des bases de données
à l’implémentation de solutions d’IA de type NoSQL avec, par exemple, des canevas logiciels issus de l’open
Aujourd’hui branche phare de l’IA, l’apprentissage statistique (Machine Lear- source comme Hadoop, ElasticSearch,…
ning, Deep Learning) requiert massivement un accès aux données. Or, ces L’offre de service de ces plateformes doit également inclure l’instanciation
données sont souvent la propriété de quelques acteurs et leur accès peut être à la demande de pipeline de traitement de données se basant sur des
complexe, notamment pour des domaines sensibles tels que la cybersécurité. librairies d’apprentissage statistique à l’état de l’art comme Spark, TensorFlow,
Précisons ci-dessous les enjeux spécifiques à la constitution, au transport et à PyTorch, Scikit-Learn,…
l’exploitation de ces jeux de données.
Dans les deux cas, l’exploitation nécessite des capacités réseaux pour l’achemine-
ment des données vers des plateformes disposant de capacités de stockage et
de calcul intensif. Ces plateformes devront répondre aux enjeux de confidentialité
et de souveraineté des projets demandeurs et les offres de « Clouds privés »
fournies par des acteurs de confiance sont à privilégier.
40 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 41
PÔLE D’EXCELLENCE CYBER
DOMAINES D’ACTIVITÉ
DE LA CYBER
(OU SEGMENTATION MARCHÉS) _
42 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 43
PÔLE D’EXCELLENCE CYBER
À titre d’exemple, dans le domaine des TIC, il est fréquemment utilisé la segmentation
suivante :
• Management
• Applications
• Communications
• Réseaux
•Terminaux
Cette segmentation n’est pas applicable dans l’état car elle est incomplète pour le
domaine cyber. Il est donc nécessaire d’en définir une plus précise couvrant l’en-
semble des domaines concernés tout en restant dans une approche par couche
(couches basses, couches hautes) comme pour le modèle OSI. La liste ci-dessous
présente les grands domaines du monde cyber. Cette liste pourra évoluer en fonction
de l’évolution de ces marchés.
Services Services
Intelligence Artificielle Artificial Intelligence
Authentification et identité numérique Authentication & Identity management
Analyseurs, gestion et supervision Analysers, management & supervision
Cloud Cloud
OS et applications OS & applications
Communications et transactions Communications & transactions
Réseaux industriels Industrial networks
Réseaux Networks
Terminaux et objets connectés End point & IoT
Composants et hardware Chipset & hardware
Ces domaines peuvent ensuite être appliqués à des secteurs d’activité comme indiqué
au chapitre D : cas d’usage.
Figure 6 :
Segmentation marché
44 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 45
PÔLE D’EXCELLENCE CYBER
C.1 Les différents services du domaine cyber sont décrits au chapitre B (B.1.3 pour Chacun utilise une ou plusieurs identités numériques pour accéder aux C.3
la cyber-protection, B.2.3 pour la cyber-résilience, B.3.3 pour les services liés à différents services offerts sur l’Internet. La gestion de ces identités pose
Services la cyberdéfense, et B.4.3 pour les services liés au cyber-renseignement). des problèmes techniques, par exemple autour de l’identification et de
Authentification
l’authentification et des supports ou techniques associés (support d’identité et identité
numérique, biométrie, certification, …), mais aussi des problèmes juridiques numérique
(respect de la vie privée, droit à l’image, droit à l’oubli, usurpation d’identité,
…). Le sujet de l’identité numérique intègre aussi celui de l’anonymat qui
pose lui aussi des problèmes techniques et juridiques complexes.
C.2 Se reporter au paragraphe B.6 qui propose un zoom sur l’utilisation de l’Intelli-
En particulier, le volet juridique de la gestion des identités numériques est
gence Artificielle en cybersécurité.
Intelligence extrêmement sensible en ce qu’il touche à la réglementation des données
Artificielle à caractère personnel. Ces données font l’objet d’un cadre juridique d’inspi-
ration européenne avec l’entrée en vigueur du RGPD en mai 2018, complété
par la loi informatique et libertés modifiée par la loi du 20 juin 2018.
Les textes placent la prévention des risques d’atteintes aux données person-
nelles comme une obligation, par la mise en place du concept de protection
de la vie privée dès la conception (privacy by design). Il s’agit de la prise
en compte des données personnelles au stade de la conception des produits
et services, mais aussi de l’actualisation des processus au cours de l’exploitation
de ceux-ci.
En complément, c’est tout un système de recueil et de conservation des
données personnelles qui est imposé, du consentement de la personne
concernée à la suppression des données, en passant par le stockage en
Europe ou en dehors. Sur cette dernière obligation, le RGPD favorise le
stockage des données personnelles au sein de l’Union Européenne, même
s’il prévoit la possibilité de conclure des accords pour garantir le même
niveau de sécurité avec un pays non-membre de l’UE (à titre d’exemple, le
privacy shield avec les Etats-Unis).
Cette réglementation n’est pas seulement incitative puisqu’elle prévoit des
amendes administratives dissuasives en cas de non-respect des principes
liées à la protection des données personnelles. Ces sanctions peuvent se
cumuler avec une action pénale voire une demande de dommages et intérêts.
C’est pour toutes ces raisons, que, à titre d’exemple, l’arrêté du 8 novembre
2018 relatif au fonctionnement de la solution d’accès universel aux admi-
nistrations en ligne, FranceConnect11, précise le périmètre des données à
caractère personnel, les acteurs qui en sont destinataires et les modalités
de leur conservation.
La croissance fulgurante de la dématérialisation des services, qu’ils soient
étatiques (impôts, Assurance Maladie, …) ou privés (gestion de ses comptes
bancaires, réservations en ligne, achats en ligne, …) accroit la criticité et les
enjeux de l’identité numérique.
En alternative à la suprématie des GAFAM (Google Apple Facebook Amazon
Microsoft) principaux fournisseurs d’identité, l’Union Européenne et les
états se préoccupent de la problématique, avec l’objectif de promouvoir
la mise en place d’une identité numérique européenne ou nationale
respectueuse des lois adoptées pour la protection des citoyens.
11 https://franceconnect.gouv.fr/
46 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 47
PÔLE D’EXCELLENCE CYBER
C.4 On va retrouver dans ce domaine l’ensemble des produits, technologies et services Précisément sur ce point l’extraterritorialité du droit états-unien prolongée
décrits au chapitre § B.1 ci-dessus. avec le Cloud ACT du 23 mars 2018 (Clarifying Lawful Overseas Use of
Analyseurs, Data) renforce l’intérêt pour les états de disposer de services Clouds
gestion et Leurs besoins et leurs enjeux découlent donc directement de ceux-ci.
souverains.
supervision
En effet, cette loi contraint, sur simple réquisition judiciaire, tous fournisseurs
de services de communications électroniques, dont les fournisseurs de
services d’hébergement dans le Cloud, soumis à la juridiction états-unienne,
indépendamment de leur localisation physique ou de leur nationalité, à
fournir les données de communications en leur possession et contrôle,
pouvant inclure des données stratégiques d’entreprise ainsi que des
données à caractère personnel de leurs clients.
48 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 49
PÔLE D’EXCELLENCE CYBER
C.7 Sécuriser les réseaux n’est pas suffisant pour contrer l’ensemble des menaces Ce chapitre concerne l’ensemble des équipements et des solutions qui C.9
sur les communications. Il est très souvent nécessaire de sécuriser les flux audio, constituent les réseaux de transmissions et de communications, du niveau
Communications vidéo, de messagerie instantanée (chat) ou de données. De même, le dévelop- 1 au niveau 3. Il regroupe les équipements de transmission électriques
Réseaux
et transactions pement de la visio-conférence pour du travail collaboratif à haute valeur ajoutée ou optiques, les commutateurs des réseaux locaux (Local Area Network
nécessite la mise en place de solutions adaptées. Les solutions VPN (Virtual (LAN) de niveau 2 ainsi que les routeurs d’accès, d’agrégation et de cœur
Private Network) utilisées notamment pour l’accès à distance à des réseaux de réseau de niveau 3.
d’entreprises par des postes nomades sont également à prendre en compte
dans cette catégorie. La sécurité des réseaux est un domaine historique de la SSI. En dehors
du chiffrement des liaisons qui est bien maîtrisé, se pose la question de la
Les nouvelles technologies dites de « blockchain » qui permettent de sécuri- maîtrise des équipements, des protocoles et des services qui constituent
ser les transferts d’information ou les transactions sans tiers de confiance ou le cœur des réseaux des opérateurs. Le fonctionnement global de notre
organe central de contrôle vont jouer un rôle majeur dans les années à venir société repose sur la disponibilité des services de communication, et les
dans un certain nombre de domaines. Elles viennent compléter les solutions conséquences d’un arrêt général ces services aurait un impact considérable,
plus historiques, qui restent toutefois indispensables pour la sécurisation des tant sur le fonctionnement de l’Etat que celui des entreprises. L’évolution
transactions monétaires. vers des architectures réseau dites SDN (Software Defined Networking),
la virtualisation et donc potentiellement la délocalisation de fonctions
intelligentes des réseaux ) va engendrer des problèmes de sécurité et de
confiance d’un genre nouveau.
C.8 Les réseaux industriels ou plus généralement les systèmes de contrôle indus- Dans un autre registre, l’interconnexion de réseaux de sensibilités différentes,
triel (SCI), parfois improprement appelés SCADA (Supervisory Control and la connexion entre un Intranet et Internet, entre un réseau industriel et
Réseaux Data Acquisition, le logiciel du système de contrôle industriel), se retrouvent un réseau bureautique, les nouveaux usages (par exemple Bring Your
industriels dans une infinité de domaines que ce soit pour le pilotage de processus industriels, Own Device (BYOD), en français Apportez Votre Equipement personnel
la gestion technique bâtimentaire, ou de nombreux systèmes d’armes. de Communication (AVEC)) génèrent de nouveaux problèmes: fuite des
données sensibles de l’entreprise, intégrité des données, pollution du SI
Leur positionnement à l’interface entre un domaine informatique (des applications
par des logiciels malveillants, déni de service, …
métiers) et un système physique via des ensembles de capteurs et d’actionneurs,
en font des systèmes particulièrement sensibles en terme de sécurité.
Comme l’ont prouvé des exemples médiatisés (Stuxnet, Flame, …), une attaque
informatique sur des systèmes de ce type peut avoir des conséquences dans
le monde physique, provoquant des pertes de services (coupure électrique,
C.10.1 _Mobilité-Nomadisme C.10
perturbation de l’alimentation en eau potable, …) voire des accidents entrainant Terminaux et
Le domaine du nomadisme va concerner plusieurs types de préoccupations :
des pertes humaines (blocage de la manœuvrabilité d’un navire dans un port objets connectés
ou en mer, …). •L
a sécurité des terminaux :
Outils de travail au quotidien, les smartphones ou tablettes contiennent
Ce domaine pose de nombreux défis, dus notamment aux spécificités de ce des informations sensibles pour les entreprises et sont particulièrement
milieu : susceptibles d’être perdus ou volés. Par ailleurs ils ont souvent un
• Systèmes souvent temps réel ; usage mixte (privé/professionnel) qui les rend vulnérables à de multiples
problèmes de sécurité. La généralisation des comportements de type
• Difficultés de mise à jour des équipements (coût de l’arrêt d’une ligne de BYOD ne font qu’augmenter les risques encourus ;
production, accessibilité, …) ;
•L
a gestion des terminaux et des applications :
• Protocoles parfois spécifiques ; Les flottes de terminaux peuvent compter des centaines voire des milliers
•… d’objets qu’il faut pouvoir gérer, tracer, mettre à jour, … Le problème
est identique pour les applications métiers ;
Ce domaine inclut également la sécurisation des solutions de robotique et des
solutions de chaine logistique (supply chain). •L
es accès aux systèmes d’information de l’entreprise :
Les terminaux mobiles doivent se connecter au(x) SI de l’entreprise. Il
Les solutions informatiques existantes, dites « sur étagères », ne sont donc pas faut se prémunir contre les usurpations, les connexions suite à un vol
capables de répondre à tous les besoins. Ce domaine est très vaste et encore ou à une perte d’un terminal ou des données qu’il contient, des intrusions
peu exploré, même si la profusion d’articles scientifiques sur le sujet et les pro- via ces points d’accès externes.
ductions des grands fournisseurs de solutions évoluent rapidement.
50 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 51
PÔLE D’EXCELLENCE CYBER
Le domaine des objets connectés connait une explosion considérable avec des
milliards d’objets produits, que ce soit dans les domaines industriels, dans celui
du commerce et de la distribution, dans le médical ou pour une utilisation
personnelle.
Ces données sont susceptibles d’être écoutées par des tiers non autorisés
(collecte d’images, informations sur la présence ou l’absence de personnes
dans un lieu, …). Leur prise de contrôle à distance qui pourrait provoquer des
accidents graves (dispositifs médicaux implantés, matériels hospitaliers, …).
Dans tous les cas, des masses de données issues de capteurs différents
peuvent être agrégées et corrélées pour caractériser des comportements
individuels.
C.11 Les composants matériels sont les briques de base des outils numériques. Dès
que l’on souhaite un haut niveau de sécurité, il est indispensable de maîtriser
Composants le matériel sous-jacent. Les composants peuvent être une source de menaces,
et hardware s’ils contiennent des vulnérabilités ou des pièges qui peuvent permettre à
un agresseur de contourner les mesures de protection logicielles misent en
œuvre par ailleurs.
D’un autre côté, ils peuvent aussi renforcer considérablement la sécurité d’un
objet en rendant inopérantes les modifications du logiciel en vue de mener
une attaque.
Par exemple, il est beaucoup plus facile de protéger un logiciel contre la copie
en s’appuyant sur un élément matériel qu’en se basant uniquement sur une
solution logicielle.
52 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 53
PÔLE D’EXCELLENCE CYBER
CAS D’USAGE _
54 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 55
PÔLE D’EXCELLENCE CYBER
Les chapitres précédents ont abordé le sujet via une approche technologique. • Usine du futur :
Il est maintenant utile de croiser cette approche avec une analyse des cas - Industries agro-alimentaires ;
d’usage, c’est-à-dire des domaines métiers où ces technologies, produits et ser- - Cobotique et robotique industrielle ;
vices peuvent être utilisés. Pour ce faire, il nous semble intéressant d’identifier - Industries culturelles et créatives ;
des critères qui peuvent être dimensionnant pour les solutions ou les produits. • Drones et robots ;
• Protection de la vie privée ;
Dans un premier temps, nous nous proposons d’utiliser deux critères : • Villes intelligentes (smart cities).
• Son domaine d’activité, et donc les risques devant être adressés ;
• La taille de l’entité utilisatrice des produits ou services de cybersécurité. D.1.1 _Transports
D’autres critères différenciant peuvent être envisagés, comme par exemple l’im- Le domaine des transports se caractérise par un nombre d’opérateurs très
plantation internationale qui peut entrainer l’obligation de répondre à des lé- importants (c’est un peu moins vrai pour le ferroviaire) et donc une organisa-
gislations ou des directives nationales de sécurité différentes. Les retours d’ex- tion extrêmement distribuée. Cette structure apporte de manière générale une
périences de l’utilisation des différents cas d’usages conduiront à introduire si meilleure résilience que dans d’autres domaines.
nécessaires d’autres critères. Par contre, il est possible d’identifier un risque commun pour tous les acteurs,
le risque de pertes humaines et de dysfonctionnement majeur de la société
Chaque produit ou service cyber pourra au final être caractérisé selon : dans le cas d’un accident lié à une cyber-attaque.
• Ses briques technologiques (chapitre B) ;
• Son domaine fonctionnel (chapitre C) ;
• Son (ou ses) cas d’usage(s) (chapitre D).
Chaque secteur d’activité a ses propres contraintes, techniques, organisation- D.1.1.1 _Automobile connectée
D.1
nelles, réglementaires voire culturelles. Il est donc crucial que les produits et L’automobile devient un objet connecté, que ce soit dans le cadre d’une
Analyse services proposés soient en adéquation avec ces réalités. utilisation personnelle ou professionnelle (gestion de flotte, suivi de trajets,
des cas d’usage hyper-connectivité, ...). De nombreux articles ont montré la vulnérabilité
L’analyse détaillée des cas d’usage et donc des besoins afférents devra être
selon le secteur réalisée en collaboration avec les acteurs concernés, qui seuls peuvent ex-
potentielle des architectures actuelles et des travaux ont été lancés pour les
sécuriser. Les risques sont liés à la multiplication des calculateurs, à la connexion
d’activité primer un besoin pertinent. À titre d’exemple, voici une première liste de cas entre des bus temps réels pour les fonctions de conduite et de sécurité (ABS,
d’usages liés à des activités essentielles : ESP, gestion moteur, …) et des bus utilisés pour des fonctions de confort ou de
•T ransports : divertissement.
- Automobile et infrastructure routière connectée ; L’arrivée de ports de type USB permettant la connexion de supports amovibles
- éronautique ; courants et la généralisation de l’intégration de fonctions de téléphonie
- Navires et navigation maritimes ; mobile offrent tout à la fois des portes d’entrées pour l’introduction de
- Infrastructures ferroviaires ; logiciels malveillants, et des liens pour les activer ou les piloter à distance. Il
- Production et distribution d’énergie (smart energy, y compris smart grids) ; convient alors d’imaginer des attaques ciblées ou aléatoires pouvant causer
des dommages matériels pouvant aller jusqu’à des pertes humaines.
• Gestion de l’eau (distribution et retraitement) ;
• Santé ; Les travaux qui sont menés sur les véhicules autonomes (fonctionnement
automatique sans intervention du conducteur) renforcent bien évidemment
• Systèmes de communication ;
le besoin de disposer de solutions de sécurité éprouvées. Cette dynamique
• Domotique / gestion technique bâtimentaire ; suppose que le niveau de sécurité exigé se rapproche de celui des applications
• Banques / assurances ; aéronautiques critiques.
56 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 57
PÔLE D’EXCELLENCE CYBER
D.1.1.2 _Aéronautique En effet une grande part du trafic international utilise la voie maritime. La
confidentialité et l’intégrité des échanges est aussi un aspect à prendre en
Le domaine aéronautique est très vaste et recouvre à la fois les aéronefs, les in- compte.
frastructures aéroportuaires et la gestion du trafic aérien.
Comme l’a montré une cyber attaque sur le port d’Anvers il y a quelques
La sureté de fonctionnement est une préoccupation permanente dans ce do- années, des trafiquants ayant accès aux systèmes portuaires peuvent réaliser
maine, notamment en ce qui concerne les aéronefs, avec des règles de certifi- des vols de grande envergure.
cation très poussées. La prise en compte de menaces cyber s’effectue progres-
sivement, à mesure que l’évolution des techniques et des usages augmente les D.1.1.4 _Infrastructures ferroviaires
risques potentiels.
Les infrastructures ferroviaires sont sensibles aux risques liés à la disponibilité,
Pour exemple, il convient de citer les réseaux de divertissement à bord, qui qui peuvent conduire à de graves perturbations du trafic. Leur intégrité
permettent aux passagers de connecter leurs propres équipements, sachant doit aussi être protégée, cela pour éviter qu’une prise de contrôle n’ait de
qu’il existe des liens potentiels entre ces réseaux et les réseaux liés au pilotage conséquences sur la sécurité des passagers ou des riverains (déraillement
de l’appareil. ou collisions de trains de passagers ou de matières dangereuses).
58 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 59
PÔLE D’EXCELLENCE CYBER
Sans systèmes de communication l’activité de la plupart des entreprises s’arrête Pour des industries culturelles et créatives, les attaques de plusieurs médias
ou est au moins fortement ralentie. Il existe donc des besoins forts sur la disponi- français montrent qu’une vulnérabilité sur le réseau informatique interne
bilité globale des grandes infrastructures de communication. peut conduire à un impact immédiat sur la « production » (ici les pro-
Il est aussi important de garantir la protection des données échangées, que grammes diffusés par la chaîne). Les impacts financiers directs (pertes
ce soit pour la protection de la vie privée, le secret des affaires ou la propriété de revenus publicitaires, …) ou indirects (perte d’image) peuvent être très
intellectuelle. importants.
60 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 61
PÔLE D’EXCELLENCE CYBER
D.1.10 _Protection de la vie privée Trois grandes catégories sont ici considérées : D.2
La multiplication des applications numériques, des réseaux sociaux et des •L
e grand public et les TPE, auxquels on pourra aussi raccrocher les petites Analyse
usages associés constituent un véritable défi qui peut potentiellement remettre collectivités territoriales (mairies ou communautés de communes des cas d’usage
en cause la notion même de vie privée. Il est nécessaire de disposer de solutions rurales) ;
permettant à chacun de maîtriser les informations numériques qu’il souhaite
selon la taille
•L
es PME/PMI et ETI, ainsi que les collectivités territoriales plus consé-
diffuser ou celles qu’il souhaite garder dans un cercle maîtrisé. des entreprises
quentes (villes, départements, régions) ;
À cet égard, un équilibre entre cette protection de la vie privée et la nécessaire •L
es grands groupes, les OIV et les administrations d’Etat ou les mé-
imputabilité des actions est à trouver pour éviter que ces outils ne soient utilisés tropoles.
à des fins commerciales (données médicales revendues aux assureurs), délic-
tueuses ou criminelles Par rapport à l’analyse du marché cyber, ces différents groupes se carac-
térisent par leurs capacités diverses en termes d’expertise interne ou de
moyens financiers et humains.
Les produits ou les services pour le groupe 1 doivent être simples d’utilisations,
quasi autonomes ou administrés par des tiers, car les entités concernées
n’ont pas les capacités techniques, humaines ou financières pour mettre
en œuvre ces systèmes complexes.
De même, le niveau de confiance dans les produits, qui est lié aux types
de menaces contre lesquelles on veut se prémunir, sera différent entre une
TPE, un OIV et une entité gouvernementale. Les PME ou ETI, selon leur
activité, pourront se rattacher à l’un ou l’autre groupe. Ainsi, apparaît la
nécessité de créer des gammes de produits et de services adaptés à ces
différents types de marchés.
62 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 63
PÔLE D’EXCELLENCE CYBER
LES RESSOURCES
HUMAINES _
64 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 65
PÔLE D’EXCELLENCE CYBER
Intégrateur de sécurité
Architecte sécurité
Cryptologue
Évaluateur sécurité
Analyste de la menace
12 https://www.ssi.gouv.fr/particulier/formations/profils-metiers-de-la-cybersecurite/
66 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 67
PÔLE D’EXCELLENCE CYBER
LES DOMAINES
DE RECHERCHE
ACADÉMIQUE _
68 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 69
PÔLE D’EXCELLENCE CYBER
Les domaines académiques de recherche en cybersécurité couvrent un large spectre Taxonomie de l’ « Association Référentiel
dont la combinaison est la condition du succès. Ces domaines sont structurés selon la for Computing Machinerie » PEC
typologie de l’ACM (Association for Computing Machinerie). Security in hardware
Cette association américaine à but non lucratif, éditrice de nombreuses revues de Tamper-proof and tamper-resistant designs Cyber-protection-produits & technologies-technologies-composants électroniques
référence, met à jour régulièrement une taxonomie de la recherche en informatique Embedded systems security Cyber-protection-produits & technologies-produits-matériel et logiciel embarqué
comprenant un volet sécurité, qui constitue un standard de facto de classification de Hardware security implementation Cyber-protection-produits & technologies-technologies-composants électroniques
la recherche en informatique. Pour cette raison, il est utile de présenter ici une table Hardware-based security protocols Cyber-protection-produits & technologies-technologies-composants électroniques
de correspondance entre les deux approches. Hardware attacks and countermeasures Domaines fonctionnels-composants matériels
Malicious design modifications Domaines fonctionnels-composants matériels
Cette première correspondance entre ces axes de recherche académique et les
Side-channel analysis and countermeasures Cyber-protection-services-évaluation-évaluation composant
produits, technologies et domaines fonctionnels permet de mettre en évidence l’apport
Hardware reverse engineering Cyber-protection-services-évaluation-évaluation composant
potentiel de la communauté académique au développement de la filière.
Systems security
Operating systems security Cyber-protection-produits & technologies-technologies-logiciel sécurisé
Taxonomie de l’ « Association Référentiel Mobile platform security Cyber-protection-produits & technologies-technologies-logiciel sécurisé
for Computing Machinerie » PEC Trusted computing Cyber-protection-produits & technologies-technologies-logiciel sécurisé
Cryptography Virtualization and security Cyber-protection-produits & technologies-technologies-logiciel sécurisé
Key management Cyber-protection-Produits & technologies-technologies-cryptographie Browser security Domaines fonctionnels-progiciels applicatifs & solutions intégrées
Public key (asymmetric) techniques Cyber-protection-Produits & technologies-technologies-cryptographie Distributed systems security Domaines fonctionnels-progiciels applicatifs & solutions intégrées
Digital signatures Cyber-protection-Produits & technologies-technologies-cryptographie Information flow control Cyber-protection-produits & technologies-produits
Public key encryption Cyber-protection-Produits & technologies-technologies-cryptographie Denial-of-service attacks Cyber-résilience-méthodes-résistance aux attaques
Symmetric cryptography and hash functions Cyber-protection-Produits & technologies-technologies-cryptographie Firewalls Cyber-protection-produits & technologies-produits
Block and stream ciphers Cyber-protection-Produits & technologies-technologies-cryptographie Vulnerability management Cyber-protection-services-évaluation-évaluation système
Hash functions and message authentication Cyber-protection-Produits & technologies-technologies-cryptographie Penetration testing Cyberdéfense-produits &technologies de LID
codes Vulnerability scanners Cyberdéfense-produits &technologies de LID
Cryptanalysis and other attacks Cyber-protection-Produits & technologies-technologies-cryptographie File system security Cyber-protection-produits & technologies-produits
Information-theoretic techniques Cyber-protection-Produits & technologies-technologies-cryptographie Network security
Mathematical foundations of cryptography Cyber-protection-Produits & technologies-technologies-cryptographie Security protocols Cyber-protection-produits & technologies-produits
Formal methods and theory of security Web protocol security Cyber-protection-produits & technologies-produits
Trust frameworks Cyber-protection-méthodes-environnement de conception sécurisé Mobile and wireless security Domaines fonctionnels-mobilité-nomadisme
Security requirements Cyber-protection-services-ingénierie système Denial-of-service attacks Cyber-résilience-méthodes-résistance aux attaques
Formal security models Cyber-protection-méthodes-méthodes formelles Firewalls Cyber-protection-produits & technologies-produits
Logic and verification Cyber-protection-méthodes-méthodes formelles Database and storage security
Security services Data anonymization and sanitization Domaines fonctionnels-progiciels applicatifs & solutions intégrées
Authentication Cyber-protection-produits & technologies Management and querying of encrypted data Domaines fonctionnels-progiciels applicatifs & solutions intégrées
Biometrics Cyber-protection-produits & technologies Information accountability and usage control Domaines fonctionnels-progiciels applicatifs & solutions intégrées
Graphical / visual passwords Cyber-protection-produits & technologies Database activity monitoring Domaines fonctionnels-progiciels applicatifs & solutions intégrées
Multi-factor authentication Cyber-protection-produits & technologies Software and application security
Access control Cyber-protection-produits & technologies Software security engineering Cyber-protection-produits & technologies-technologies-informatique de confiance
Pseudonymity, anonymity and untraceability Cyber-protection-produits & technologies Web application security Domaines fonctionnels-progiciels applicatifs & solutions intégrées
Privacy-preserving protocols Cyber-protection-produits & technologies Social network security and privacy Cas d’usage-sécurité de la vie privée
Digital rights management Cyberprotection-produits & technologies-technologies-informatique de confiance Domain-specific security and privacy architectures Cas d’usages
Authorization Cyber-protection-produits & technologies Software reverse engineering Cyber-protection-services-évaluation-évaluation logicielle
Intrusion/anomaly detection
Human and societal aspects of security
and malware mitigation
and privacy
Malware and its mitigation Cyberdéfense-produits &technologies de LID-analyse de malware Economics of security and privacy Cas d’usage-sécurité de la vie privée
Intrusion detection systems Cyberdéfense-produits &technologies de LID-détection d’intrusion Social aspects of security and privacy Cas d’usage-sécurité de la vie privée
Social engineering attacks Méthodes de LID-connaissance de la menace Privacy protections Cas d’usage-sécurité de la vie privée
Spoofing attacks Méthodes de LID-connaissance de la menace Usability in security and privacy Cas d’usage-sécurité de la vie privée
Phishing Méthodes de LID-connaissance de la menace
70 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 71
PÔLE D’EXCELLENCE CYBER
LES PLATESFORMES _
72 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 73
PÔLE D’EXCELLENCE CYBER
L’ensemble des éléments présentés dans les précédents chapitres de ce document Deux aspects de l’entraînement sont à distinguer :
peut nécessiter à un moment ou à un autre l’utilisation de plateformes. Un des • L’entraînement au sens «répétition de procédure» (training) permettant d’acquérir
objectifs du pôle d’excellence est donc de s’assurer que la disponibilité de plate- des automatismes ;
formes adaptées (incluant aussi celles intervenant sur des données) permette le • L’entraînement au sens « exercice en situation inconnue », permettant notamment
développement des actions des partenaires du Pôle d’excellence cyber, et, plus d’évaluer les compétences en situation inattendue, en situation de crise.
généralement, de la filière cybersécurité et cyberdéfense.
Au sens du Pôle d’excellence cyber, une plateforme de cybersécurité (et de cyber- Une plateforme de validation fournit des moyens de tests permettant d’une part de
défense) est un environnement maîtrisé constitué de moyens techniques, humains, G.3
valider la conformité fonctionnelle d’un produit par rapport à ses spécifications et à
organisationnels, permettant d’appréhender de manière générale différents aspects la documentation associée, et d’autre part de tester sa fiabilité et sa robustesse de Validation
liés à la cybersécurité. fonctionnement dans un environnement représentatif d’une configuration réelle y et certification
Une plateforme de cybersécurité est considérée comme un ensemble de « ressources »,
un « magasin » de moyens (techniques, services, contenus, humains) permettant de
compris au-delà du domaine d’emploi spécifié. Les validations peuvent par exemple de produits
être réalisées par des tiers de confiance qui ont pour mission d’éprouver une confi-
répondre à des enjeux (montée en compétence, qualification de produit, capitalisation guration proposée par un fournisseur à un client.
de savoir et de données, ...). C’est un socle, un collectif de plusieurs ressources permet-
tant de bâtir des projets, des usages ou des services. La certification s’appuie sur une évaluation généralement réalisée par des centres
d’évaluation de la sécurité des technologies de l’information (CESTI ou ITSEF)
Cinq types de plateformes ont été identifiés au sein du GT plateforme du Pôle agréés par l’ANSSI et qui possèdent les moyens matériels, logiciels et humains
d’excellence cyber13 : nécessaires à cette évaluation.
• Recherche et développement en cybersécurité (R&D) ;
Dans ce contexte, l’évaluation est réalisée suivant des critères normalisés, tels que,
• Formation et entraînement à la sécurité numérique ; par exemple, les critères communs (CC) (norme internationale) ou la Certification de
• Validation et certification de produits ; Sécurité de Premier Niveau (CSPN) à l’issue de laquelle une certification est délivrée
• Industrialisation de produits de sécurité ; par l’ANSSI.
• Plateforme en contexte opérationnel. Les plateformes de certification nécessitent des compétences d’experts permettant
d’élaborer des tests de vulnérabilités (connus ou spécifiques au produit) en vue de
rédiger un rapport technique d’évaluation (RTE ou ETR).
Les plateformes dites d’« usage » sont des plateformes techniques réelles (matérielles) G.5
G.2 Une plateforme de formation constitue un support permettant principalement de et opérationnelles dans lesquelles des solutions de cybersécurité peuvent être intégrées.
Plateforme
répondre aux besoins de sensibilisation, d’enseignement et d’apprentissage. Elle
Formation fournit des moyens techniques, organisationnels, humains, ainsi que des contenus Ces plateformes sont soit des environnements de fonctionnement nécessitant des en contexte
et entraînement moyens de sécurisation, soit des environnements qui vont assurer la sécurité d’une
(cours, exercices, etc.) permettant de répondre à ces besoins.
infrastructure. Ces plateformes d’usage ne sont pas nécessairement des plateformes opérationnel
à la sécurité La formation peut être dispensée en présentiel sur des équipements physiques mettant de cybersécurité, mais peuvent contribuer au développement de la filière en tant que
numérique à disposition les cours et les exercices et permettant de réaliser des travaux pratiques support de validation de produits ou de solutions de cybersécurité.
sur des configurations matérielles et/ou logicielles. Elle peut également être dispensée
en ligne. Plateformes d’audit ou de pentest : Dans un contexte opérationnel, il peut être néces-
saire de contrôler et valider la sécurité des infrastructures qui sont déjà en place.
L’entraînement se distingue de la formation de par son objectif, qui est de mettre en Les tests peuvent alors être réalisés en mode in-situ (sur des plateformes réelles en
situation réelle des personnels afin de leur permettre d’acquérir des automatismes fonctionnement) ou ex-situ (sur des plateformes indépendantes reproduisant des
et des savoir-faire sur la base de leurs connaissances. environnements réels).
13 https://www.pole-excellence-cyber.org/wp-content/uploads/2018/02/Typologie-de-plateformes-V1.4.pdf
74 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 75
PÔLE D’EXCELLENCE CYBER
NORMALISATIONS
EUROPÉENNES _
76 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 77
PÔLE D’EXCELLENCE CYBER
H.1 Le Règlement Général de l’UE sur la Protection des Données (RGPD14 et GDPR15 en Maîtrise des risques
anglais) dont les sanctions sont entrées en vigueur le 25 mai 2018 renforce et Les atteintes à la protection des données à caractère personnel ont donné lieu,
RGPD harmonise la protection des données à caractère personnel16 pour l’ensemble par le passé, à des situations désastreuses à la fois pour les entreprises et pour
des citoyens de l’UE. Il remplace la directive sur la protection des données per- les personnes touchées, avec pour conséquences des pénalités parfois élevées.
sonnelles de 1995. Contrairement à une directive qui fait l’objet d’une transpo-
sition inévitablement différente dans chaque droit national, une règlementa- Avec l’activation prochaine des sanctions prévues par le RGPD, la conformité est
tion s’impose ex abrupto dans tous les Etats Membres de façon homogène à devenue cruciale puisque des pénalités allant jusqu’à 4 % du chiffre d’affaires
quelques exceptions près. Le RGPD s’applique à toute organisation, publique mondial pourront être prononcées à l’encontre des entreprises défaillantes (art.
et privée, qui traite des données personnelles pour son compte ou en tant que 83, 84 du RGPD et article 65 de la loi n°2016-1321 du 7 octobre 2016).
sous-traitant, dès lors qu’elle est établie sur le territoire de l’Union européenne
ou que son activité cible directement des résidents européens. À mesure que la complexité des systèmes d’information des entreprises augmente,
les risques liés à la gestion des accès augmentent. De plus, l’ubiquité d’Internet a
Ce règlement impose des exigences entièrement nouvelles quant à la façon imposé d’une part le partage généralisé d’informations entre les sociétés et leurs
dont les organisations doivent traiter ces données, ce qui implique, pour les en- partenaires et prestataires et, d’autre part, la pervasivité des accès aux ressources
treprises, d’accroitre leurs efforts dans la gestion de la sécurité des informations de l’entreprise.
et les investissements associés. Il est important de noter que le règlement (qui
est déjà en application, seule l’application des sanctions est différée à mars 2018) De ce fait, si les fuites d’informations les plus retentissantes (Sony, Yahoo!, ...)
s’impose à toutes les entreprises, européennes ou extra-européennes, ayant une sont souvent l’œuvre d’acteurs extérieurs à l’entreprise, la majorité (en nombre
activité qui accède à des données personnelles de citoyens de l’UE (art.3). et probablement en valeur) des brèches de sécurité proviennent de l’intérieur de
l’organisation, où les conséquences d’un comportement négligent ou malfaisant
Le changement le plus important dans le cadre du RGPD est probablement l’ac- peuvent être démultipliées si une gestion rigoureuse des permissions et des
cent mis sur la responsabilisation, une combinaison de contrôles opérationnels accès n’est pas opérationnelle. La protection des données se trouve au cœur du
sur les systèmes et les données et la transparence de ces contrôles, y compris la RGPD (art.5).
« protection des données par conception » (en tenant compte de la protection
de la vie privée lors de la conception des systèmes et des produits), la sécurité Volatilité des permissions
appropriée des données, l’exécution d’analyses d’impact sur la vie privée et la Au sein du SI d’une entreprise, les données sont continuellement importées,
tenue de dossiers sur les activités de traitement. stockées, transférées vers et depuis des référentiels structurés (base de données,
Pour atteindre ces objectifs, le RGPD pose les principes suivants relatifs à la annuaires…) ou non-structurés (messageries, fichiers…), voire hors du périmètre
collecte, la conservation et la manipulation des données à caractère personnel physique de la société dans le Cloud.
(art. 5) : Cette hétérogénéité ne permet pas, en général, aux responsables du SI (DSI),
•P
rincipe de licéité, loyauté et transparence : tous les traitements d’une de la sécurité (RSSI) et au Délégué à la Protection des Données (Guidelines on
donnée à caractère personnel doivent correspondre à ce qui a été décrit Data Protection Officers, G29 2017) d’avoir la vision d’ensemble nécessaire pour
à la personne concernée ; vérifier et valider que les employés aient les droits d’accès et les autorisations
strictement nécessaires à l’accomplissement de leurs missions. La validation
•P
rincipe de limitation des finalités : la collecte des données à caractère de la conformité de l’entreprise aux exigences du RGPD est alors une mission
personnel doit être effectuée pour des motivations « déterminées, impossible.
explicites et légitimes » ;
•P
rincipe de minimisation des données : au regard des traitements réalisés, De plus, ces mêmes employés peuvent être amenés à changer de rôle au sein
les données traitées doivent être « adéquates, pertinentes et limitées à ce de l’organisation, en cas de mutation ou de promotion interne par exemple. Cela
qui est nécessaire » ; signifie qu’ils acquièrent de nouveaux droits et accèdent à de nouveaux ensembles
de données, sans obligatoirement perdre les accès précédemment acquis (en
•P
rincipe d’exactitude : les données à caractère personnel doivent être tout cas immédiatement).
« exactes et, si nécessaire, tenues à jour » ;
Cette distorsion du modèle de droits initial peut constituer une menace en ce qui
•P
rincipe de limitation de la conservation : les données à caractère personnel concerne la légalité du traitement des données à caractère personnel puisque la
doivent être « conservées […] pendant une durée n’excédant pas celle base juridique du traitement des données peut ne plus s’appliquer au nouveau
nécessaire au regard des finalités pour lesquelles elles sont traitées » ; rôle du salarié (art.4). Ce serait alors une violation du RGPD puisque le principe de
•P
rincipe d’intégrité et de confidentialité : les données à caractère personnel responsabilité sous-jacent au RGPD impose à tout responsable d’être capable
doivent être « traitées de façon à garantir une sécurité appropriée ». de démontrer qu’il se conforme aux obligations du règlement (art.24).
78 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 79
PÔLE D’EXCELLENCE CYBER
Limitations des référentiels d’entreprise La certification est un enjeu stratégique pour les entreprises et pour les H.2
pays.
La forme la plus simple du contrôle des accès au SI peut être réalisée grâce Certifications
aux fonctionnalités des annuaires d’entreprise : par exemple, la solution Le projet de règlement Cyber Act propose de mettre en cohérence les (Cyber Act)
Microsoft Active Directory permet de structurer les ressources de l’entreprise certifications nationales de et créer un schéma européen harmonisé de
dans des groupes disposant de droits d’accès spécifiques. certification.
Cependant, ces méthodes sont trop complexes et trop statiques pour prendre Il répond à l’attente des différents acteurs de la cybersécurité, industriels
en compte la mobilité et l’hétérogénéité des cas d’usage actuels. De plus, la comme autorités nationales et doit être un outil essentiel pour la mise en
vue d’ensemble des droits et permissions des personnes est tout simplement place de la réglementation RGPD.
impossible à consolider compte tenu de l’imbrication des différentes struc-
tures ; la différence entre les droits apparents et les droits réels d’un employé Le cadre de certification européen19 est détaillé sur le site de l’Agence
peut engendrer des risques graves de violations de règle du RGPD si toutes les Nationale de la Sécurité des Systèmes d’Information (ANSSI).Le lecteur
relations ne sont pas correctement interprétées. pourra également affiner sa compréhension des enjeux et objectifs en
consultant le site de l’Alliance pour la Confiance Numérique20 (ACN).
En effet, la prise en compte des principes de protection des données à
caractère personnel dès la conception et par défaut17 sont partie intégrante
de l’évaluation de la conformité (art.25).
Par ailleurs, les autorisations attribuées à un employé à travers les fonctionnalités Les différentes catégories de réglementation dont l’ANSSI a la mission
de l’annuaire central ne reflètent pas forcément les droits de cette personne H.3
d’assurer l’exécution figurent dans la rubrique dédiée du site de l’ANSSI21.
dans une application donnée si la correspondance est réalisée « manuellement ». Règlementations
L’automatisation du processus est la seule façon de garantir que les droits Ces catégories réunissent les thèmes relatifs à la protection des systèmes pour la cybersécurité
attribués sont correctement et immédiatement appliqués (à un delta temporel d’information, de l’administration électronique ainsi que plus spécifiquement
près lié à la fréquence de synchronisation des référentiels, le cas échéant). à la cryptographie ou à d’autres réglementations techniques.
des entreprises
Enfin, il existe de nombreux cas d’usage dans lesquels il est essentiel de
garantir, à tout moment, que des ensembles de droits toxiques, c’est-à-dire
incompatibles entre eux, ne sont pas simultanément attribués à une personne
ou un groupe de personnes18. Si tel était le cas, ce serait à nouveau un cas de
violation des règles du RGPD.
En résumé
Le RGPD définit les objectifs qui doivent être atteints en termes de protections
des données à caractère personnel, sans imposer de méthodes ou de tech-
nique spécifique. Cette protection que le RGPD définit et encadre exige que
les organisations contrôlent et restreignent l’accès aux données personnelles.
80 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 81
PÔLE D’EXCELLENCE CYBER
ANNEXES _
82 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 83
PÔLE D’EXCELLENCE CYBER
84 - RÉFÉRENTIEL CYBER V5.0 - Novembre 2019 Novembre 2019 - RÉFÉRENTIEL CYBER V5.0 - 85
PÔ L E D ’ E XC E L L E N C E CYBE R
référentiel
cyber V5.0
NOVEMBRE 2019
France
35700 RENNES
12 B rue du Patis Tatelin
www.pole-excellence-cyber.org
© PÔLE D’EXELENCE CYBER - Novembre 2019 - Crédit photos : ©istock-Rawpixel, MicroStockHub, monkeybusinessimages, solarseven, metamorworks, ipopba, Tinpixels, M_a_y_a, gremlin - ©123RF-dolgachov.
Conception et impression : Temps-Présent - tpcommunication.com