EuraTechnologies +(33) 320 191 855 Mars 2014 Édition 1 Numéro 5

euratech trends
La cybersécurité
une nécessité dans
un monde numérique
La mondialisation et la numérisation négligences, fraude, corruption,
de nos sociétés dématérialisent les ri- mauvaise évaluation de la criticité
Qu'est-ce que
chesses dans un espace sans frontière, des informations détenues, nou- la cybersécurité ?
le cyber espace. Ces richesses digi- veaux comportements (Bring Your Selon l’ANSSI (Agence nationale
tales attisent les convoitises d’individus Own Device (BYOD) ou Bring Your de sécurité des systèmes d’infor-
ou d’organisations, criminelles ou non, Own Cloud (BYOC))… mation), la cybersécurité est
qui ont la capacité de commettre La 7e édition de l'étude PwC’s 2014 l'"état recherché pour un système
leurs méfaits où qu'ils soient sur la pla- Global Economic Crime Survey d’information lui permettant de
nète. Souvenez-vous ! En 2010, le pro- effectuée auprès de 5 128 organi- résister à des événements issus
gramme Stuxnet s'est attaqué au pro- sations de plus de 1 000 employés du cyber espace susceptibles de
gramme d’armement nucléaire dans 95 pays révèle que près de compromettre la disponibilité,
iranien, en sabotant le processus la moitié (48 %) des répondants l’intégrité ou la confidentialité
d’enrichissement de l’uranium. En ont signalé une augmentation du des données stockées, trai-
2012, le ver Flame, contrôlé à dis- risque de la cybercriminalité. Une tées ou transmises et des ser-
tance, était capable de copier tous hausse de 23 % par rapport à 2011. vices connexes que ces sys-
types de fichiers, de mémoriser les Le risque numérique a évolué et s'est tèmes offrent ou qu’ils rendent
frappes sur le clavier, de déclencher complexifié depuis l’apparition des pre- accessibles. La cybersécurité fait
le micro et l’émetteur Bluetooth, et miers virus dans les années 90. De1990 appel à des techniques de sécu-
pouvait s’autodétruire à tout moment. à 2000, les attaques informatiques sont rité des systèmes d’information et
Toujours en 2012, les ordinateurs de la essentiellement le fait de spécialistes s’appuie sur la lutte contre la cy-
présidence française étaient piratés de l’informatique cherchant à mon- bercriminalité et sur la mise en
depuis les États-Unis. En 2013, l’admi- trer leurs compétences en piratant des place d’une cyber défense."
nistration américaine accusait le parti sites ou des serveurs très protégés, ap-
communiste chinois et des organisa- partenant généralement aux agences
tions terroristes d’avoir orchestré plu- de sécurité ou de défense.
sieurs tentatives de piratage sur son Entre 2000 et 2008, une véritable crimi-
capacité à fournir le service attendu),
territoire. La même année, en Corée nalité numérique, professionnalisée et le piégeage de logiciels par l'intro-
du sud, les réseaux de télévision YTN, spécialisée apparaît. Elle vise à déga- duction d'un programme malveil-
MBC et KBS et deux grandes banques, ger des profits essentiellement maté- lant (virus, ver, cheval de Troie...),
Shinhan et NongHyup, ont été pertur- riels pour des organisations criminelles. les techniques d'ingénierie sociale
bés par une cyber attaque provenant Depuis 2008, le cyber espace est deve- (phishing) qui visent à acquérir des
de Chine. Dernier exemple, Edward nu un domaine d’intervention pour les informations pour usurper l'identité
Snowden dénonçait, toujours en 2013, États, des groupes à caractère politique d'un utilisateur ; attaques des couches
le programme de surveillance des ac- revendicatif et certains acteurs écono- basses des réseaux, rançongiciels.
tivités civiles PRISM de la NSA, qui dis- miques pour conduire des opérations Confrontés à ces menaces, les en-
posait d'un accès direct aux données visant à saboter les moyens de produc- treprises, les administrations et les
hébergées par les géants américains tion ou les réseaux, obtenir des informa- particuliers sont soit désarmés, soit
des technologies de l'information et tions ou des données sensibles (APT : peu conscients des risques courus
de la communication (TIC). Advanced Persistent Threats) et mettre et de leurs conséquences écono-
Ces exemples spectaculaires et mé- en cause la réputation des cibles. miques et financières. Or, selon les
diatisés ne doivent pas faire oublier Les techniques d'attaques sont mul- estimations de Norton(1), le coût
que la cybercriminalité peut venir tiples et ne cessent de se diversifier : financier de la cybercriminalité
de l'extérieur comme de l'inté- déni de service (saturation d’un ré- atteindrait, en 2012, 110 milliards de
rieur (défaut de stratégie sécurité, seau ou d’un service par un envoi de dollars, dont 42 % liés à des fraudes,
non-respect des réglementations, requêtes en très grand nombre afin 17 % à des vols ou pertes de données
vengeances, méconnaissances, d’empêcher ou de limiter fortement sa et 26 % aux frais de réparation.
02 euratech trends

Pourquoi les organisations

sont-elles plus vulnérables ?
QUELQUES CHIFFRES CLÉS...
L'importance des gains possibles, la ment) susceptibles de compromettre
faiblesse encore relative des peines la confidentialité, l'intégrité et la dis- • Une étude publiée en juillet 2003
encourues et le faible investissement ponibilité des données déportées. conjointement par McAfee et le
nécessaire à la maîtrise des armes Les outils de mobilité (ordinateurs Center for Strategic and International
numériques participent à la profes- portables, smartphones, tablettes) Studies, avec l’appui d’économistes
sionnalisation de la cybercriminalité qui concourent à l'évolution des et d’experts en sécurité, estime
et à la sophistication des attaques. usages (BYOD ou BYOC) génèrent le coût de la cybercriminalité
Par ailleurs, la numérisation de notre également des risques car ils sont mondiale entre 230 et 770
monde et les nouvelles pratiques in- moins matures en matière de sécu- milliards d’euros !
duites accentuent les vulnérabilités rité, le rythme d'innovation très élevé • Malgré un contexte économique
potentielles des systèmes. En effet, des applications entraîne des failles, encore difficile, les dépenses
les solutions d'hébergement des don- et les offres américaine et asiatique consacrées à la cybersécurité
nées à distance (cloud computing) prédominantes constituent un risque seront en hausse. Selon Market
se sont largement déployées pour pour les pays européens. Research, en 2013, l’Europe
représenter 150 milliards de dollars Enfin, le développement des logiciels a représenté un marché de
en 2014, selon Gartner. Les nombreux de supervision et de contrôle à distance 19 milliards d'euros, juste
avantages qu'elles offrent (baisse ainsi que celui de l'Internet des objets derrière l’Amérique du Nord
des coûts, facturation à l'usage, puis- étendent aussi le risque d'attaque. (78 milliards d'euros) et devant
sance de calcul quasiment illimitée, En dernier lieu, même si les dépenses l’Asie-Pacifique, 17,8 milliards
travail collaboratif facilité, mobilité, de sécurité des systèmes d'informa- d'euros.
évolutivité) expliquent ce phéno- tion augmentent, elles sont encore • D'après le cabinet Vanson Bourne
mène. Toutefois, le cloud computing trop souvent considérées comme qui a réalisé une étude mondiale
induit des risques organisationnels, une variable d'ajustement et sont sur la sécurité informatique auprès
techniques et juridiques (par délo- fortement contraintes dans un de 1 400 décideurs IT (Information
calisation des données d'héberge- contexte de maîtrise des coûts. Technology) d'organisations
publiques et privées de plus de

Les États s'organisent... 500 collaborateurs : en moyenne,

17 % des budgets IT sont consa-
crés à la sécurité. Et 74 % des
répondants estiment qu'ils vont
La cybersécurité permet d’assurer Network and Information Security continuer d'accroître leurs
la disponibilité, l’intégrité et la Agency) en 2004. Cette agence dépenses en la matière.
confidentialité des données joue un rôle d'expertise et de soutien •K  aspersky Lab et B2B International
numériques. À ce titre, les États- aux États membres en retard dans le estiment à 500 000 euros le coût
Unis considèrent la sécurité des domaine de la cybercriminalité. Pour d’une attaque et à 1 850 000
infrastructures comme un enjeu autant, elle n'a pas de responsabilité euros pour une attaque réussie.
de souveraineté nationale. C'est opérationnelle en raison de la
pourquoi le gouvernement devrait volonté des États de préserver leur • En décembre 2013, le chiffre
consacrer 50 milliards de dollars souveraineté. L'inauguration en d'affaires de Target, géant américain
à la cyber défense sur la période janvier 2013 d’un Centre européen de la distribution, a baissé de 4 %
2010-2015. de lutte contre la cybercriminalité suite à une attaque qui a corrompu
En 2011, le Royaume-Uni a renouvelé (European Cybercrime Center, EC3) 40 millions de cartes bancaires
sa stratégie de cybersécurité en renforce l'ambition de l'Europe en la appartenant à ses clients.
engageant un programme de matière. Le plan stratégique mis en
financement d'environ 800 mil- place a pour objectif de créer un
lions d'euros sur quatre ans. Tout cyberespace ouvert, sûr et sécurisé. oublier la mise en œuvre d'une
comme l'Allemagne, qui a renforcé Il vise à réduire la cybercriminalité, politique du cyberespace interna-
la résilience de ses infrastructures à développer la cyber résilience, tionale cohérente.
critiques et a augmenté les moyens la politique de cyberdéfense et les En France, un rapport parlementaire
budgétaires et humains du BSI capacités liées à la Politique de réalisé en 2006 constatait le retard
(Bundesamt für Sicherheit in der sécurité et de défense commune préoccupant pris par la France en
Informationstechnik). (PSDC), ainsi que les ressources matière de sécurité des systèmes
L'Europe, quant à elle, a réagi à ce industrielles et technologiques en d'information. À partir de 2008, une
fléau en créant l’ENISA (European faveur de la cybersécurité. Sans démarche politique est véritablement
 euratech trends 03
lancée, avec la publication du Livre ressources allouées sur la période
blanc sur la défense et la sécurité
nationale, qui consacre la sécurité
2014-2019 permettront à la Défense
d’investir près d’un milliard d’euros AGENDA
des systèmes d’information “enjeu de en faveur de la cybersécurité et de
souveraineté nationale”. Une nouvelle la cyberdéfense. Signalons enfin 7E FORUM INTERNATIO-
stratégie qui donne naissance, en que la cybersécurité est l'un des NAL DE CYBERSÉCURITÉ
2009, à l’ANSSI, visant à protéger 34 plans de la Nouvelle France les 20 et 21 janvier 2015, Lille
les opérateurs d'importance vitale industrielle, initiés par le Ministère
(OIV(2)). Aujourd’hui, l’Agence dispose du redressement productif. LES ASSISES
de 350 agents et d’un budget de 80 Mieux structurer la demande DE LA SÉCURITÉ
millions d’euros. Cent recrutements nationale afin d’orienter la R&D ET DES SYSTÈMES
supplémentaires sont prévus en 2014 publique et privée sur le marché D’INFORMATION
(500 à l’horizon 2015). Le Livre blanc national, puis partir à la conquête du 1 au 3 octobre 2014, Monaco
2013 sur la défense et la sécurité des marchés internationaux, mettre
nationale renforce la volonté du en place des projets vitrines de
gouvernement de prioriser l'action déploiement de solutions de cyber-
BOTCONF’14
en faveur de la cybersécurité, en sécurité, développer nos entreprises du 3 au 5 décembre 2014, Nancy
partenariat avec le Royaume-Uni françaises sur les nouvelles techno-
et l'Allemagne. Elle s'est concrétisée logies de souveraineté, consti- C&ESAR 2014, CYBERSE-
par la création d'un "volet de tuent les enjeux essentiels auxquels CURITY OF SCADA AND
cybersécurité robuste" dans le plan le plan "Cybersécurité" devra INDUSTRIAL CONTROL
Vigipirate rénové. Par ailleurs, les apporter des réponses. SYSTEMS
du 24 au 26 novembre 2014,
L'émergence d'un nouveau marché Rennes

L'approche des PME/PMI de la acteurs ont généré un chiffre Principal gisement de croissance,
cybersécurité dépend en grande d’affaires de 10 milliards d'euros, l'infogérance de sécurité. Elle
partie de la sensibilité des dont 5 milliards à l’export. Ils consiste pour les entreprises à
dirigeants à ces questions. La emploient 85 000 à 96 000 confier la surveillance de leurs
démarche de l’ANSSI, qui vient de personnes dont 50 à 56 000 en réseaux à des tiers quand elles n'ont
publier un guide(3), les aidera à en France. Ce sont pour 50 % des PME pas les moyens de se doter d'un
prendre conscience et à assurer et 6 sont des leaders mondiaux. centre de surveillance informatique.
un niveau de sécurité minimal. Les nouveaux logiciels comme Grâce à cette externalisation, le
Dans les grandes entreprises, les outils de protection des marché du service de la cyber-
l'efficacité de la gestion du risque identités ou de sécurisation des sécurité devrait croître de 8 % à
numérique est souvent liée à données, connaissent une 10 % au moins jusqu'en 2017.
l'organisation choisie. Pour simplifier croissance de 7 % à 10 %. Kasperky, IBM, McAfee et Symantec,
à l'extrême, l'une des réponses aux Des outils de test identifient les acteurs historiques de cet éco-
menaces passe par une meilleure failles dans les logiciels. Et plus les système devraient profiter d'une
collaboration entre la DSI (Direction logiciels sont complexes, plus ils hausse généralisée des dépenses
des systèmes d'information) et les s'accompagnent de services, des grands groupes dans l'intégration
autres directions. Mais ce n'est pas commercialisés par Thales, Steria de solutions et le conseil, estimées à
tout car les techniques d'intrusion ou Orange Business Services, 7,8 % pour 2014 et à 11,4 % pour 2015.
progressent rapidement et la appelés pour "boucher les trous" Les solutions traditionnelles ne
complexité des moyens de les des systèmes d'information. La suffisent donc plus. L'espionnage
contrer également. C'est l'une société Mandiant, rachetée par industriel et les cyberattaques se
des raisons qui explique la forte FireEye pour 1 milliard de dollars, généralisant, les acteurs proposent
croissance de la filière de la dispose d'unités d'élites capables des prestations de plus en plus
confiance numérique(4). d'intervenir à toute heure pour complètes, et accompagnent grands
Rien qu'en France, l’observatoire aider les grands groupes à se groupes et institutions dans la
de la confiance numérique protéger et à répondre aux préservation de leur intégrité
estime qu’en 2012, les 700 à 800 menaces informatiques. numérique.

1 Norton (2012), 2012 Norton 2 Les secteurs étatiques, les secteurs 3 ANSSI (2013), Guide d’hygiène 4 Les entreprises apportant des
cybercrime report, juillet de protection des citoyens et les informatique services, solutions et technologies
secteurs de la vie économique qui amenuisent les risques
et sociale de la nation et accroissent donc la confiance
04 euratech trends

Dans le Nord-Pas de Calais,

des acteurs de 1er rang
LE CONSEIL RÉGIONAL, possédant des agences commer-
FER DE LANCE ciales à l'internationale (France,
Belgique, Pays-Bas, Pologne, Italie, VERBATIM
Depuis 2005, le Conseil régional
Nord-Pas de Calais dispose d’un Espagne, Inde, Singapour, Émirats- "The technological dimension
Schéma Régional d’Intelligence Arabes Unis, États-Unis) fournit must be addressed because
Économique et co-organise avec la des solutions de sécurité de bout- average users do not know
Gendarmerie Nationale (et la CEIS en-bout, innovantes, pour protéger the technology supporting
depuis 2013) le Forum International les réseaux, les postes de travail, the devices they depend on.
de la cybersécurité (FIC). les données et les infrastructures This is the reason why security
Étant donné le contexte évoqué Cloud, certifiées au plus haut by design is very important
précédemment, de la présence niveau européen (EU RESTRICTED, and why security must be
d’un certain nombre d’acteurs en OTAN et ANSSI EAL4+). Arkoon- introduced at the manufacturing
région Nord-Pas de Calais, et forte Netasq est à la tête d'un réseau level."
du succès remporté par le FIC, de 750 partenaires de distribution, Dr Kalbe, Deputy Head of Unit
le Conseil régional a également d’intégrateurs et d’opérateurs "Trust and Security"
mandaté EuraTechnologies afin de dans des entreprises de toute
mener une mission exploratoire dans taille, mais aussi dans des
le cadre de la mise en œuvre du institutions gouvernementales et
cluster Eurorégional de la Cyber- des organismes de défense de 40 défense et l'anti-intrusion des systèmes
sécurité et de la Confiance Numé- pays. informatiques (CDAISI), dont les cours
rique. La région compte également une sont dispensés par des ensei-
association de professionnels de gnants de l’Université de Valen-
DES ACTEURS DE 1ER PLAN la sécurité de l'information, R&D- ciennes. Certains d’entre eux sont à
La région compte nombre d'acteurs SSI, qui regroupe une quarantaine l’origine de l’association ACISSI
actifs dans le domaine de la sécurité d’adhérents. Ce sont des éditeurs/ (Audits Conseils, Installation et
des systèmes d’information et, par constructeurs de solutions, cabinets Sécurisation des Systèmes Inform-
extension, dans la cybersécurité : de conseils et experts, ainsi que des atiques) qui a la particularité de
Atos (1997) l'un des leaders des responsables sécurité d’entreprises pouvoir délivrer la certification
services de paiement en ligne, AxBx locales. Aujourd’hui, elle mène CEH, Certified Ethical Hacking et
(1999), un autre éditeur du seul une réflexion sur deux sujets d’organiser un challenge interna-
antivirus français, Advens (2000) majeurs : la mobilité et la sécurité/ tional de sécurité informatique,
expert reconnu en sécurité des SI le cloud et la sécurité. Hack-nowledge Contest.
métiers, Dhimyotis (2005) expert en Du coté utilisateurs, Infonord-CLUSIR- De son côté, l'IUT de Lens propose
authentification, signature électronique RSSI se compose d’une quarantaine une Licence professionnelle SIL
et chiffrement, et BRM Avocats de responsables sécurité des systèmes (Systèmes Informatiques et Logiciels)
(1988) qui s’est très rapidement d’information de PME régionales et spécialité sécurité informatique.
intéressé et spécialisé sur les de grandes entreprises, d’experts
problématiques de propriété en sécurité, et d’universitaires. Ses
intellectuelle, droit des technologies membres s’engagent à promouvoir BIBLIOGRAPHIE
de l’information et de la communication. une politique active de sécurité dans Hacking - Un labo virtuel pour auditer
Rédaction et mise en page : Empreinte communication

Citons également Arkoon-Netasq leur entreprise et/ou organisation. et mettre en place des contre-
(1998), récemment racheté par mesures, Franck Ebel, Jérôme
Cassidian Cybersecurity (groupe DES FORMATIONS DE POINTE Hennecart, Édition ENI.
EADS), leader européen des Sur le plan de la formation, l’IUT CYBERSOCIÉTÉ, Entre espoirs
et risques, Myriam Quéméner,
appliances de sécurité des réseaux. de Maubeuge propose une licence L’Harmattan 2013.
Cette société de 200 personnes, professionnelle Collaborateur pour la

165, avenue de Bretagne, Équipe Développement économique : 03 20 19 18 55 [email protected]

59000 Lille Accueil EuraTechnologies : 03 59 08 32 30

Retrouvez-nous sur le Web ! www.euratechnologies.com