Université Pierre Mendès France

Institut d'Administration des Entreprises (IAE) de Grenoble

Mémoire pour l’obtention du

Master Management Spécialité Recherche en Organisation

Anticipation et gestion du risque numérique :

Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents de

sécurité

Présenté par

Andres PEREZ

Directeurs de recherche :

Moufida SADOK

Institut Supérieur des Etudes Technologiques en Communications de Tunis

Humbert LESCA

Professeur émérite à l’UPMF de Grenoble

2010

2

Dédicace

Les grandes personnes ne comprennent jamais rien toutes seules, et c’est fatigant, pour les

enfants, de toujours et toujours leur donner des explications.

Antoine de Saint-Exupéry « Le petit prince », 1943

Ce mémoire est dédicacé à

ma mère qui m’a motivé à accomplir mes rêves,

mon père avec ses phrases

« les choses faciles ont été déjà faites, celles importantes sont difficiles »,

ma sœur qui est toujours là pour m’aider,

mon petit frère qui va devoir se battre pour ses rêves,

Anne pour son soutien et la continuation de nos rêves en Colombie,

La Police Nationale de Colombie « Tous avec le même cœur »

3

Remerciements

Je remercie tout d’abord mes deux directeurs de recherche: Mme. Moufida SADOK, qui m’a

apporté sa compréhension et qui grâce à sa discipline de travail m’a permis de progresser dans

ma recherche; M. Humbert LESCA pour l’intérêt qu’il a manifesté pour mon sujet et les conseils

qu’il m’a donné dans ma recherche.

Je tiens à remercier M. Christian DEFELIX et M. Daniel LLERENA qui m’ont donné

l’opportunité de faire mon master en France à l’IAE de Grenoble.

Je remercie également M. Ricardo ROMERO pour m’a montré la manière de monter haut et loi.

Mme. Danielle Prevosti, professeur de Français retraitée qui à du faire face à mon écriture.

Enfin, merci aux Policiers de Colombie, l’Université Nationale de Colombie, Mme. Valérie

MARCHAL, M. Hubert DROUVOT et Mme. Hélène CRUZ pour leurs aide dans les procédures

administrative qui m’a permis de venir en France pour d’y effectuer mon master.

A toutes les personnes qui m’ont aidés.

4

Table des matières

Listes des figures ................................................................................................................... 7

Liste des tableaux ................................................................................................................. 8

Introduction Générale .......................................................................................................... 9

Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques........................... 12

Introduction ........................................................................................................................ 12

1.1 Ampleur du Risque Numérique ....................................................................................... 12

1.1.1 Dépendance de l’Entreprise par Rapport aux TI ............................................ 14

1.1.2 Les enjeux du risque numérique ..................................................................... 16

1.1.3 Caractéristiques du risque numérique ............................................................ 17

1.2 Gestion et organisation de la sécurité de l’information ................................................... 20

1.2.1 La politique de sécurité .................................................................................. 21

1.2.2 L’analyse du risque ........................................................................................ 23

1.2.3 Le responsable Sécurité des Systèmes d’Information .................................... 24

1.3 Intérêt et pertinence de la recherche ................................................................................ 26

1.3.1 Rôles et activités des ERI ............................................................................... 27

1.3.2 Intérêt managérial .......................................................................................... 29

1.3.3 Intérêt académique ........................................................................................ 29

Conclusion ........................................................................................................................... 31

Chapitre 2 : L’analyse du risque ...................................................................................... 32

Introduction ........................................................................................................................ 32

2.1 Identification des flux informationnels ............................................................................ 32

2.1.1 Classification de l’information ....................................................................... 33

2.1.2 Identification des conditions d’exploitation, de traitement et de production des informations dans la chaîne de valeur de l’entreprise ................................................... 34

2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à l’accès et

ou au stockage ............................................................................................................... 36

2.2 Identification des vulnérabilités et menaces .................................................................... 37

2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à L’échange

des flux informationnels ............................................................................................... 38

2.2.2 Identification des menaces qui peuvent affecter les ressources critiques ...... 39

2.2.3 Estimation de la probabilité de l’occurrence des menaces ............................. 41

5

2.2.4 Estimation de la perte potentielle relative à chaque ressource en cas de réalisation

de la menace .................................................................................................................. 42

2.2.5 Estimation du coût des actions d’audit et de surveillance des systèmes afin de

réduire le risque ............................................................................................................. 42

2.3 Définition des mesures de protection .............................................................................. 43

2.3.1 Contrôles d’information et chiffrement d'information ................................... 44

2.3.2 Temps de destruction et de diminution de niveau .......................................... 46

2.3.3 Identification de l’émetteur et du récepteur d'information ............................. 47

2.3.4 Sécurité physique ........................................................................................... 49

2.3.5 Mesures de sécurité spéciales ......................................................................... 49

Conclusion ........................................................................................................................... 50

Chapitre 3 : Techniques de monitoring et vérification de l’efficacité des mesures de

protection ............................................................................................................................ 51

Introduction ........................................................................................................................ 51

3.1 Identification des points de contrôle ................................................................................ 51

3.1.1 Identification des ressources informatiques et des réseaux de communication53

3.1.1 Temps d'utilisation des applications et temps de manipulation des informations

54

3.1.3 Contrôle de limites des utilisateurs ................................................................ 55

3.2 Définition des métriques .................................................................................................. 56

3.2.1 Typologie des métriques ................................................................................ 56

3.2.2 Test d’opérabilité et du fonctionnement du système qui gère la métrique ..... 59

3.2.3 Coût du système d’alarme .............................................................................. 59

3.3 Détermination des moyens de protection ........................................................................ 60

3.3.1 Vérification de l’efficacité des mesures de protection ................................... 60

3.3.2 Activation de l’alarme .................................................................................... 60

Conclusion ........................................................................................................................... 61

Chapitre 4 : Amplification des alarmes et réponse aux incidents de sécurité .............. 62

Introduction ........................................................................................................................ 62

4.1 Processus d’amplification ................................................................................................ 62

4.1.1 Détection signaux faibles ............................................................................... 63

4.1.2 Amplification et création des liens ................................................................ 64

4.1.3 Représentation Figure du modèle conceptuel ................................................ 65

4.2 Rôle de la médiation ........................................................................................................ 67

4.2.1 Médiation et création collective de sens......................................................... 68

6

4.2.2 Rôles du médiateur ......................................................................................... 69

4.2.3 Heuristiques pour assister l’activité du médiateur ....................................... 70

4.3 Scenarios d’attaque ......................................................................................................... 71

Conclusion ........................................................................................................................... 72

Chapitre 5 : Réparation et mise à jour du système de protection ................................. 73

Introduction ........................................................................................................................ 73

5.1 Réparation des dégâts occasionnés par les incidents de sécurité ..................................... 73

5.1.1 Dégâts directs et indirects............................................................................... 73

5.1.2 Dégâts matériels et immatériels ..................................................................... 73

5.2 Anticipation des protections nécessaires pour réduire le risque d’être attaqué de nouveau

dans le futur ................................................................................................................................ 74

5.2.1 Solutions techniques ..................................................................................... 74

5.2.2 Solutions managériales .................................................................................. 74

5.2.3 Solutions humaines ....................................................................................... 75

5.3 Constitution d’une base de données et de connaissances ................................................ 75

5.3.1 Mémorisation des événements ...................................................................... 75

5.3.2 Base des connaissances pour le stockage des scenarios d’attaques .............. 75

5.4 Changements opérés au niveau de l’organisation et le traitement des flux informationnels 76

5.4.1 Les processus d’exploitation et de manipulation de l’information ............... 76

5.4.2 L’analyse du risque ....................................................................................... 76

5.4.3 Le processus de monitoring .......................................................................... 76

5.4.4 Le processus d’amplification........................................................................ 77

5.5.5 Communication aux employés et aux partenaires ......................................... 77

Conclusion ........................................................................................................................... 77

Conclusion générale ........................................................................................................... 78

Bibliographie ....................................................................................................................... 79

Annexe ................................................................................................................................. 82

7

Listes des figures

Figure 1. Démarche générale de la recherche ................................................................................ 10

Figure 2. Dépendance des entreprises à l'informatique .................................................................. 14

Figure 3. Connexion à distance aux réseaux d’entreprises ............................................................ 16

Figure 4. Pertes financières des incidents de sécurité par année .................................................... 18

Figure 5. Pourcentage des incidents ............................................................................................... 19

Figure 6. Malveillants et Non-malveillants .................................................................................... 20

Figure 8. Appui de la PSI entreprise sur une « norme » de sécurité .............................................. 22

Figure 9. Budget informatique pour la sécurité de l'information ................................................... 23

Figure 10. Part du budget informatique consacrée à la SSI ........................................................... 23

Figure 11. Méthode d'analyse des risques utilisée ......................................................................... 24

Figure 12. Attribution de la fonction RSSI .................................................................................... 25

Figure 13. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI ............................ 25

Figure 14. Répartition des missions du RSSI ................................................................................. 26

Figure 15. Trois flux d’information de l’entreprise ....................................................................... 33

Figure 16. Phases du guide proposé ............................................................................................... 43

Figure 17. Cycle de vie de l'information ........................................................................................ 46

Figure 18. Classification de barrière .............................................................................................. 46

Figure 19. Composants des Anneaux de sécurité ........................................................................... 52

Figure 20. Cycle du monitoring des Ressources informatiques, réseaux, trafic d'information...... 53

Figure 21. Cycle de monitoring des applications et des manipulations ......................................... 55

Figure 22. Cycle de monitoring des limites des utilisateurs .......................................................... 55

Figure 23. Cycle des métriques quantitatives ................................................................................. 57

Figure 24. Zones des analyses ........................................................................................................ 58

Figure 25. Cycle des métriques qualitatives ................................................................................... 58

Figure 26. Les phases de MARRAN .............................................................................................. 62

Figure 27. Chemin de raisonnement .............................................................................................. 65

Figure 28. Exemple raisonnement conceptuel pour les ERI .......................................................... 66

8

Liste des tableaux

Tableau 1. Budgets informatiques des hôpitaux ............................................................................ 15

Tableau 2. Le coût global du pire incident d'une organisation ....................................................... 18

Tableau 3. Le nombre médian de violations subies ....................................................................... 19

Tableau 4. Orientation de l'information ......................................................................................... 33

Tableau 5. Matrice d’identification type et raison ......................................................................... 39

Tableau 6. Analyses de probabilité ................................................................................................ 41

Tableau 7. Contrôle d'identification de l’émetteur et du récepteur ................................................ 47

9

Introduction Générale

Domaine et Objet de la recherche

Chaque jour les entreprises deviennent plus dépendantes des Nouvelles Technologies de

l’Information et de la Communication (NTIC), notamment l’Internet afin de réduire les coûts,

améliorer la qualité, fournir de meilleurs services aux clients et ainsi développer et maintenir un

avantage concurrentiel.

Cependant, cette dépendance expose l’entreprise aux agressions ou attaques numériques contre

ses ressources informationnelles. Ces actions sont de plus en plus complexes et dangereuses. La

visibilité des agressions numériques n’est clairement possible que lorsqu’elles sont terminées, de

plus une entreprise peut être victime d’une agression sans en avoir conscience. La complexité

s’accroît dans la mesure où les pirates sont de plus en plus inventifs. Les enjeux stratégiques des

agressions numériques pour une entreprise ne se limitent pas à des pertes financières. Ils peuvent

concerner également son image de marque ou son capital client ainsi que son efficacité et la

continuité de son activité.

Ainsi, l’entreprise devrait développer un ensemble de mesures techniques et managériales afin de

gérer et réduire le risque numérique. Notre recherche concerne un aspect particulier de la fonction

sécurité à travers le travail des équipes de réponse aux incidents (ERI) de sécurité. Nous

proposons un guide de travail pour planifier, organiser et contrôler l’intervention de ces équipes

afin de maintenir un niveau de sécurité acceptable.

Intérêt et objectifs de la Recherche

D’un point de vue managérial, ce travail soulève un problème important lié à la gestion de la

sécurité au sein de l’entreprise. En effet, l’insuffisance des solutions techniques de sécurité face à

la complexité et l’imprévisibilité croissantes des attaques numériques obligent les entreprises à

valoriser le rôle des ERI. L’analyse de l’état des pratiques des entreprises montre un manque de

méthodes appropriées afin de soutenir leur travail ainsi que de capitaliser leurs expériences et

connaissances.

Comme apport académique, ce travail intègre différents concepts dans un domaine

principalement dominé par les informaticiens et les ingénieurs réseaux en proposant un guide de

10

travail pour l’efficacité de l’activité des ERI et en mettant l’accent sur les aspects d’organisation

et de management liés à la sécurité des informations au sein de l’entreprise. De plus, le présent

travail prend la suite d’un travail de recherche élaboré au sein de l’équipe de Professeur Lesca

(CERAG, CNRS UMR 5820 UPMF) dans le domaine de la veille anticipative stratégique pour

réduire le risque des agressions numériques (Sadok, 2004).

Ainsi, les objectifs à travers ce travail peuvent être articulés autour des axes suivants :

1. Analyse des états pratiques des entreprises en matière de gestion de la sécurité

2. Identification et définition des activités nécessaires dans le travail des ERI

3. Elaboration d’un guide de travail pour assister le travail des ERI de sécurité.

Méthodologie

Ce travail est de nature exploratoire où le chercheur peut intégrer des connaissances théoriques à

travers des articulations de connaissances disponibles dans une étude bibliographique en

permettant la création de nouvelles connaissances actionnables pour des organisations pour

modéliser un guide de travail pour l’anticipation et la gestion du risque numérique.

Pour répondre aux objectifs de la recherche, un entretien a été réalisé avec à un experte dans le

domaine de la sécurité des réseaux afin de comprendre et de définir le rôle et les activités

accomplis par les ERI. De même, nous avons étudié et analysé les résultats empiriques des

rapports spécialisés dans la sécurité de l’information et publiés récemment par le comme

Computer Security Institute aux Etats Unis (CSI), Information Security Breaches Survey au

Royaume Uni et le Club de la Sécurité de l’Information Français (CLUSIF).

Figure 1. Démarche générale de la recherche

•Connaissances Théoriques

• Rapports Spécialisés

•Entretien avec un Expert

Conception du Guide de Travail

•Identification des activités du guide

• Identification des tâches liées à chaque activité

•Elaboration du guide

Articulation des connaissances

•Limites

•Futures Recherches

Proposition du Guide

11

Plan du Master

Cette recherche est divisée en cinq chapitres. Le premier chapitre présente les aspects

organisationnels et de management de la fonction la sécurité de l’information à travers l’étude

des rapports officiels publiés par des organismes internationaux spécialisés. Les quatre chapitres

décrivent les activités du guide de travail des ERI. Ainsi, le deuxième chapitre traite l’analyse du

risque. Le troisième chapitre sera consacré aux techniques de monitoring et de vérification de

l’efficacité des mesures de sécurité implémentées. Le quatrième chapitre fait la relation entre la

méthode MARRAN (Sadok, 2004) et le guide de travail proposé lors de l’activité d’amplification

des alarmes et de réponse aux incidents de sécurité. Le cinquième chapitre présentera les mesures

de réparation des dégâts occasionnés par les incidents de sécurité et de mise à jour du système de

protection.

12

Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques

Introduction

Les objectifs de ce chapitre sont, premièrement, mettre l’accent sur l’importance de la sécurité de

l’information pour l’entreprise à l’ère numérique, deuxièmement, présenter les résultats des

études réalisées dans ce domaine (Club de la Sécurité de l'Information Français CLUSIF, 2010 ;

Computer Security Institute CSI, 2009 ; Europe & PricewaterhouseCoopers, 2010 ; Department

for Business, Enterprise & Regulatory Reform (BERR), 2008) ;troisièmement, mettre l’accent sur

la nécessité de l’intervention humaine (à travers le travail de l’ERI1) dans le processus de réponse

et d’anticipation du risque numérique. Ainsi, nous montrons d’une part comment les entreprises

deviennent plus dépendantes des TI et la situation actuelle des risques numériques selon les

pertes financières, ainsi que l’importance qu’elles acquièrent dans les agendas de la haute

direction. D’autre part, nous décrivons l’état des pratiques des entreprises en matière de gestion

de la sécurité de l’information, notamment la politique de sécurité, l’analyse du risque et la

définition du rôle du RSSI2.

1.1 Ampleur du Risque Numérique

Comme définition du risque numérique, nous avons cette éventualité qui empêche les

organisations d’arriver au but, également le risque de la probabilité qu’une menace se matérialise,

une menace qui utilise des vulnérabilités qui existent d’une manière active, générant pertes et

dommages.

Au Royaume Uni, pendant l’année 2008, les grandes entreprises ont eu 96% d’incidents de

sécurité, nombre moyen d’incidents >400 (>1,300) et ses coûts du pire incident de l'année de

£1m à £2m ; également 13% ont détecté des étrangers non autorisés au sein de leur réseau, 9%

de faux (phishing) e-mails envoyés à leurs clients pour demander des données, 9% avaient fait

1 Equipe de Réponse aux Incidents de Sécurité

2Responsable de la Sécurité des Systèmes d’Information

13

passer pour des clients (par exemple après le vol d'identité) et 6% ont subi une violation de

confidentialité (Department for Business, Enterprise & Regulatory Reform (BERR), 2008).

Selon l’étude de Computer Crime and Security Survey faite par Computer Security Institute CSI

en décembre 2009, parmi 443 entreprises dans plusieurs secteurs industriels des Etats-Unis, 102

entreprises ont eu des pertes par $234.000. En 2009, il y a eu une réduction par rapport à 2008

qui a eu $289.000 ; la troisième part des organisations interrogées ont été représentées de façon

frauduleuse : l'expéditeur d'un message de phishing (Computer Security Institute CSI, 2009).

Dans cette enquête, les principaux types d’attaques ont été de 64,3% avec malware infection,

42,2% avec Ordinateur portable ou vol ou perte de matériel mobile, 34% représentés de façon

frauduleuse par l'expéditeur d'un message de phishing, 30% avec des abus d'accès Internet ou e-

mail, 29% avec service déni, 23% avec Bots / zombies au sein de l'organisation, 20% avec

fraude financière.

Les dernières entreprises ont eu en moyenne $450.000 de pertes par organisation ; après un

incident de sécurité, 22% des réponses d’envoi de notification aux personnes infectées et 17%

acquièrent de nouveaux services de sécurité.

Ce rapport montre que 25% des répondants estiment que plus de 60% de leurs pertes financières

sont dues à des actions malveillantes; La plupart des répondants estiment que leur investissement

dans la formation et les mesures de sécurité était adéquate mais la sensibilisation des utilisateurs à

la sécurité était inadéquate.

Les entreprises montraient une diminution de la sous-traitance des services de sécurité, 71% des

entreprises ne le faisaient pas en comparaison avec l’année 2008 où 59% ne le faisait pas. Les

répondants ne sont pas tout à fait contents des solutions techniques, mais les ont expérimentées,

aussi ils demandent une solution depuis le management.

67,8% a expérimenté l’usage du Retour Sur investissement (ROI), outre la Valeur Présent Net

(VPN) ou Taux de Rendement Interne (IRR), ceux-ci comme métrique pour la sécurité. En

général, les organisations considéraient les efforts de sécurité comme ayant un effet positif dans

l’organisation.

Alors, le risque numérique est à l'ordre du jour des entreprises pour les dommages financiers qu’il

cause et pour la croissante dépendance en IT. Aussi ces rapports montrent chaque fois davantage

que les entreprises ont des faiblesses au niveau de la sécurisation des systèmes d’information.

14

1.1.1 Dépendance de l’Entreprise par Rapport aux TI

Les TI sont indispensables aux entreprises pour avoir un avantage concurrentiel ou rester dans un

marché compétitif. Les organisations sont de plus en plus interconnectés à Internet, ainsi en

Angleterre durant l’année 2008, 97% des entreprises ont eu une connexion haut débit à Internet,

93% ont eu un site Web corporatif, 54% permettent au personnel d'accéder à leurs systèmes à

distance et 84% sont fortement dépendants de leurs systèmes de TI (Department for Business,

Enterprise & Regulatory Reform (BERR), 2008).

D'ailleurs, cette enquête montre qu’en 2008 les services financiers, les télécommunications et les

sociétés d'énergie sont les plus préoccupées par la corruption des documents alors que leur chiffre

d'affaires dépend en grande partie de documents électroniques.

Au cours de l’année 2010, en Angleterre, le taux d'adoption de nouvelles technologies s'est

accéléré les deux dernières années. En conséquence, la plupart des répondants utilisent

maintenant des réseaux sans fil, 85% utilisent le réseau Wireless (42% en 2008), accès à distance

et 47% (17% en 2008) utilise la téléphonie Voix sur IP (VoIP), 32% envisagent l'utilisation de

sites de réseaux sociaux comme important pour leurs affaires, et les logiciels en tant que service

ont déplacé l'utilisation d'Internet au-delà des sites Web et e-mail. L’enquête sur les résultats de

l'exercice montre que l'environnement des entreprises est en pleine mutation, 34% des

entreprises dépendent essentiellement de l'extérieur des services hébergés de logiciels accessibles

sur Internet (Europe & PricewaterhouseCoopers, 2010).

Quant à la France, la dépendance à l’informatique peut s’observer dans le schéma suivant

illustration du CLUSIF:

Figure 2. Dépendance des entreprises à l'informatique

15

Les TI sont considérées comme stratégiques pour la grande majorité des entreprises, tous secteurs

confondus et quelle que soit leur taille, 73% d'entre elles jugent lourde de conséquences une

indisponibilité de moins de 24 h de leurs outils informatiques (avec un maximum de 83% pour le

secteur du commerce) (Club de la Sécurité de l'Information Français CLUSIF, 2010).

Ce rapport montre un budget informatique moyen à €1,45 million, lorsqu'on les interroge sur leur

budget informatique, 51% des entreprises répondent (soit 2 fois plus qu’en 2008). Ainsi, 58% ont

un budget inférieur à 1 million d'euros, 20% compris entre 1 et 2 millions d'euros et 15% entre 2

et 5 millions d'euros. Enfin, 7% des budgets sont supérieurs à 5 millions d'euros pour un

maximum de 20 millions d'euros.

CLUSIF a étudié le budget informatique dans les hôpitaux français, Il doit être noté que, dans le

domaine hospitalier, une partie non négligeable des investissements informatiques est réalisée

directement dans les services qui sont représentés dans le tableau :

Tableau 1. Budgets informatiques des hôpitaux

Dans le cas des internautes, CLUSIF montre que les foyers ont augmentés de 5% les deux

dernières années, leurs budget informatique. La connexion à Internet est permanente (dès que

l’ordinateur est allumé) pour 80% des internautes, ce qui est stable, 58% déclarent établir des

connexions en déplacement hors de leur domicile (23% souvent et 35% plus rarement) par

exemple 3G/EDGE, iPhone, Blackberry ; souvent, ils sont en train de changer les connexions

familières par wifi.

Les usages de l’internaute sont : 96% stockent et manipulent des photos ou des vidéos, 90%

traitent des documents personnels (courriers, comptabilité, etc.), seuls 42% traitent des

documents professionnels (ce chiffre est en baisse par rapport aux 49% de l’enquête 2008).

L’enquête confirme bien que l’ordinateur familial est utilisé uniquement pour un usage privé par

70% des personnes, 23% faisant un usage mixte et 2% un usage strictement professionnel. Les

jeunes (15-24 ans) étant deux fois plus nombreux (46%) à déclarer panacher un usage privé et «

professionnel ».

16

Pour la connexion à distance du réseau des entreprises en comparant 2008 et 2010 :

Figure 3. Connexion à distance aux réseaux d’entreprises

Egalement 42% utilisent l’ordinateur familial pour stocker et manipuler des documents

professionnels ou de travail. Les TI sont présentes dans toutes les activités sociales, culturelles,

de travail, pour les organisations ou les internautes. Ces outils sont en train de changer la vie

sociale de l’humanité et ils créent une dépendance pour faciliter l’accès à l’information, aux

achats ou simplement l’interaction avec les autres.

1.1.2 Les enjeux du risque numérique

L’environnement des risques numériques est en constant évolution, les pirates informatiques

créent de nouvelles façon d’attaquer les systèmes d’information, les risques cohabitent

constamment dans le travail quotidien. Ils sont tout le temps latents, même lorsqu’ils ne sont pas

possibles ou qu’on ne peut pas les identifier donc l’unique manière d’éviter un risque est de

détruire l’activité qu’elle a générée (Sena & Tenzer, 2004).

L’évolution des menaces de sécurité est rapide, par exemple CSI a ajouté en 2007 dans ses

rapports quatre types d’attaques et le pourcentage des entreprises touchées selon le rapport 2009,

qui ont eu l’expérience des entreprises Bots / zombies au sein de l'organisation avec 23%, l’Être

représentée frauduleusement comme expéditeur de messages de Phishing avec 34%, Mot de

passe reniflant avec 17%, Exploit du serveur DNS avec 7%, abus de messagerie instant avec 8%.

Pour l’année 2008, il a ajouté le vol ou l'accès non autorisé à des informations personnelles

identifiables (PII sigle Anglais) ou de vol d'informations personnelles de santé (PHI sigle

Anglais) en raison du vol dispositif mobile ou pertes avec 6%, le vol ou l'accès non autorisé à la

propriété intellectuelle suite à un vol d’ appareil mobile ou de pertes avec 6%, le vol ou l'accès

non autorisé à PII ou causes PHI en raison de tous les autres 10%, le vol ou l'accès non autorisé à

la propriété intellectuelle en raison de toutes les autres causes avec 8%.

17

Dans l’année 2009, l’enquête a ajouté l’extorsion ou le chantage liés à la menace d'attaque ou de

diffusion des données de vol avec 3%, l'exploitation d'autres des partenariats public-face site Web

avec 6%, l’exploitation du profil de l'utilisateur du réseau social avec 7%, l'accès non autorisé ou

élévation de privilèges par un initié avec 15%, la pénétration du système par outsider avec 8%.

Ci-dessus s’explique le dynamisme des pirates pour profiter de chaque avance technologique et

faire le mal ; cette tendance semble constituer chaque année l’occurrence de nouvelles menaces,

qui génèrent des coûts financiers pour les entreprises. C’est pour cette raison que les entreprises

améliorent ses systèmes de sécurité d’information afin de les adapter à l’environnement en

mutation.

Les enjeux du risque numérique poussent les entreprises au développement de politiques et de

stratégies de sécurité, l’augmentation de la capacité d’anticipation et la réponse aux attaques à

travers des solutions plus sophistiquées : des techniques, une méthodologie et des processus de

travail.

1.1.3 Caractéristiques du risque numérique

Pour le cas de notre étude, nous allons identifier les caractéristiques principales des risques

numériques (Ghernaouti-Hélie, 2002) :

Ils pourraient causer des dégâts pouvant être importants

Son occurrence est plus ou moins probable

Son origine peut être accidentelle ou volontaire

La possibilité des dégâts par exemple financiers, les attaques affectent les pays : les répondants

ont subi aux Etats Unis, en moyenne, $234,000 dans les pertes dues à des incidents de sécurité

entre Juillet 2009 à Juin 2008. Il s'agit d'une baisse de 19 pour cent de la moyenne de l'an dernier

de $289,000;qui était une baisse de 16 pour cent à partir de 2007 la moyenne de $345.000

(Computer Security Institute CSI, 2009, p. 11) :

18

Figure 4. Pertes financières des incidents de sécurité par année

En Angleterre, le coût global du pire incident d'une organisation de l'année 2009, Le coût total

moyen vari entre £ 27,500 et £ 55.000. Une tendance similaire est observée parmi les répondants

des grandes entreprises, avec le coût total moyen du pire incident se maintenant entre £ 280 000

et £ 690 000 (Europe & PricewaterhouseCoopers, 2010) :

Grande organisation Petite organisation

L'interruption des activités £15,000 - £30,000

sur 2-4 jours

£200,000 - £380,000

sur 2-5 jours

Le temps passé à répondre aux incidents £600 - £1,500

2-5 jours-homme

£6,000 - £12,000

15-30 jours-homme

Trésorerie directe consacrée à répondre à

l'incident £4,000 £7,000 £25,000

Pertes financières directes (par exemple la

perte d'actifs, amendes, etc.) £3,000 £5,000 £25,000

Perte indirecte financière (par exemple le vol

de la propriété intellectuelle) £5,000 £10,000 £15,000

Atteinte à la réputation £100 £1,000 £15,000

Coût total du pire incident en moyenne £27,500 £55,000 £280,000

comparative 2008 £10,000 £20,000 £90,000

Tableau 2. Le coût global du pire incident d'une organisation

Dans le cas, son occurrence pour l’année 2010 : 92% des grands entreprises >250 employés et

des petit entreprises <50 employés 83%. Ils ont eu des incidents de sécurité la dernière année ;

46% des répondants avaient de grandes attaques personnelles pertes ou fuites de données

confidentielles, 45% des violations de la confidentialité ont été très graves ou extrêmement

graves (contre seulement 15% d'autres types d'infractions), Le nombre moyen des violations

subies par les organisations concernées dans l’année 2009 en Angleterre, statistiques équivalentes

comparées à 2008, elles sont indiquées entre parenthèses (Europe & PricewaterhouseCoopers,

2010):

19

Grande organisation Petite organisation

la défaillance de systèmes ou de corruption des

données

4

(3)

2

(1)

Infection par des virus ou autres logiciels

malveillants

2

(3)

1

(2)

Vol ou fraude impliquant des ordinateurs 4

(2)

8

(1)

D'autres incidents causés par le personnel 20

(9)

7

(6)

Attaques par un étranger non autorisé (y compris

les tentatives de piratage)

28

(11)

13

(6)

Tout incident de sécurité 45

(15)

14

(6) Tableau 3. Le nombre médian de violations subies

Figure 5. Pourcentage des incidents

Selon ces données, plus de 80% des organisations par année ont au moins un incident de sécurité

et les pourcentages hauts sont graves, c’est-à-dire que les risques numériques sont d’une

probabilité forte et des organisations ont besoin de plusieurs outils pour combattre, réduire et

anticiper.

Pour sa caractéristique d’origine peut-être accidentelle ou volontaire, aux Etats Unis le

pourcentage de pertes dues à des incidents selon CSI dans son rapport 2009, malveillants et non

malveillants, deux types différents de menaces sont posés par l'employé malveillant qui tire parti

d’ informations à l'intérieur pour mener une attaque ciblée avec un effet très grand et ceux qui

sont posés par le bien intentionné utilisateur moyen qui divulgue des données à un ingénieur

social simplement parce qu'ils ne savent pas mieux :

Tout incident de sécurité

Un incident de sécurité accidentelle

Un incident de sécurité malveillant

Un incident grave

ISBS 2010 Grande organisation

ISBS 2010 Petite organisation

ISBS 2008 Global

20

Figure 6. Malveillants et Non-malveillants

Ceux-ci créent un risque accidentel ou involontaire qui pourrait générer des dégâts avec une

haute probabilité. Il est intéressant de noter que 43.2% des répondants ont déclaré qu'au moins

une partie de leurs pertes étaient imputables à des initiés malveillants ; mais les initiés clairement

non-malveillants sont les plus grands problèmes.

1.2 Gestion et organisation de la sécurité de l’information

L’anticipation du risque numérique a besoin d’une très bonne gestion de la fonction sécurité de

l’information au sein de l’entreprise. Dans notre proposition de guide, il y a trois phases de

gestion de l’information qui sont l’identification des flux organisationnels, l’analyse du risque,

l’initialisation du monitoring et la vérification de l’efficacité, ceux-ci nous les considérons

comme les principales techniques de gestion d’informations sans oublier d’autres phases qui

gèrent aussi l’information, ce sont des phases d’ Amplification des alertes et de réponse aux

incidents, mitigation et mise à jour du système de protection.

Les organisations devraient mettre en place un processus de gouvernance de la sécurité de

l'information, notamment pour protéger l'organisation de l'information des actifs (Humphreys,

2008) ; c’est la raison pour laquelle, dans l'enquête de l’année 2010, l’ISBS en Angleterre

montre que l’information de sécurité pour la haute direction des grandes entreprises a 28% de très

haute priorité, 41 % de hautes priorités et seulement 6% de faibles priorités, 1% sans priorité.

Pour le cas des petites entreprises. 41% considèrent l’information de sécurité de très haute

priorité, 36% de haute priorité et seulement 7% de faible priorité et 1% sans priorité.

Pas de pertes

(56.8%)

1-20% des pertes (24.1%)

21-40% des pertes (9.3%)

61-80% des pertes

(4.3%)

81-100% of Losses (0.7%)

Pas de pertes (34.2%)

1-20% des pertes

(26.6%)

21-40% des pertes (8.9%)

61-80% des pertes (8.9%)

81-100% of Losses

(16.1%)

21

Ils ont besoin pour assurer une gouvernance correcte de l'organisation de déployer un processus

de gestion des risques et un système efficace de contrôles internes, en place pour soutenir ce

processus de gestion des risques. L'histoire de l'information de la sécurité est une série de défauts

(parfois profondément viciés) et de succès. La communauté déplore que les attaquants possèdent

un avantage tactique ; on ne peut nier que les pare-feu partout et une couverture de logiciels anti-

virus ont réduit un certain nombre d'attaques dévastatrices, une fois largement hors de propos

(Humphreys, 2008)

Le guide proposé est un outil de gestion qui permet la gestion de l’information de toute

l’organisation, la gestion de l’information de sécurité et l’anticipation aux attaques numériques,

comme il est écrit plus loin dans le document. Nous expliquons chaque phase de la gestion de

l’information.

1.2.1 La politique de sécurité

La politique de sécurité détermine d’une façon claire, précise les règles, les limites et les

autorisations assignées aux utilisateurs du système d’information ; la détection et la réponse sont

très difficiles à cause de l’ambiguïté des informations, pour réduire le risque à un niveau

acceptable par l’utilisation des solutions de sécurité adaptées à leurs besoins et en fonction des

caractéristiques de leurs services offerts pour assurer la confidentialité, l’intégrité et la

disponibilité des informations. La politique de sécurité tient compte de la taille de l’entreprise, de

sa nature et de ses besoins d’activité, du degré d’ouverture du réseau de l’entreprise et de

l’organisation de ses services (Sadok, Impact des lois de la sécurité financière sur la gestion du

système d'information). Elle comprend des documents et des guides décrivant de manière

formelle les principes ou les règles auxquelles se conforment les personnes qui ont le droit

d’accès au système d’information de l’entreprise (Sadok, Veille anticipative stratégique pour

réduire le risque des agressions numériques, 2004).

Aux Etats Unis, selon le rapport ISBS 2010, 90% des grandes organisations ont une politique de

sécurité de l'information documentée officiellement et les petites organisations, 67%, en France

selon le CLUSIF 63% formalisent sa Politique de Sécurité de l'Information (PSI).

Les objectifs de la politique de sécurité sont constitués d’une suite de règles et de principes

répondant aux besoins de sécurité de l’entreprise et sont explicités dans un document écrit.

22

La mise en place suppose l’utilisation de méthodes et de techniques pour réaliser une détection et

une analyse du risque afin de choisir par conséquent des solutions. Des pratiques appropriées en

matière de sécurité visent tout à la fois à définir les besoins de l’entreprise, à élaborer des

stratégies de sécurité afin de protéger les biens les plus critiques et à définir le référentiel des

contrôles de sécurité. Cela fait partie intégrante de la stratégie globale de l’entreprise dans la

mesure où la stratégie de l'entreprise existe.

Par exemple, en Angleterre, la politique de sécurité de l’information des entreprises s’appuie sur

des normes de sécurité, pour le cas de l’implémentation en 2010. ’ISO/CEI 27001 est une norme

internationale de Système de Management de la sécurité de l’Information ; en pourcentage

d’implémentation, les grandes entreprises 26% complètement, 42% partialement et 13% Plan au

cours des 12 prochains mois ; les petites entreprises 20% complètement, 31% partiellement et

13% dans le plan au cours des 12 prochains mois.

En France CLUSIF spécifique : différentes normes pour les années 2010 et 2008 dans le suivi de

l’illustration:

Figure 7. Appui de la PSI entreprise sur une « norme » de sécurité

Elle est également décrite selon un certain nombre de procédures à caractère opérationnel et

technique et explicitant d’une manière concise les étapes à suivre pour atteindre un objectif de

sécurité donné. Efficace et appropriée, elle nécessite l’étude préalable du risque afin d’optimiser

les investissements en matière de solutions et de mesures de sécurité.

Le rapport de CSI aux Etat Unis, selon un pourcentage du budget de sécurité consacré à

l'utilisateur final : formation à la sûreté de sensibilisation et de l'investissement, a considéré

54,9% comme trop peu, 44,4% adéquate et 0,4% comme trop.

23

L’Angleterre entre 2% et 5% du budget des entreprises, le pourcentage du budget informatique a

été consacré à la sécurité de l'information pour l’année 2010.

Figure 8. Budget informatique pour la sécurité de l'information

En France, pour l’année 2010, le pourcentage représente le budget sécurité par rapport au budget

informatique total, qui est aussi de 26% la dépense est de plus de 3% à 6% du budget

d’informatique à la sécurité.

Figure 9. Part du budget informatique consacrée à la SSI

C’est dans ce cadre que la composition d'une ERI apparaît comme étant une solution

complémentaire et adoptée de plus en plus par les entreprises. Elle comprend trois bases : la

prévention, la détection et la réponse doivent évoluer au fur et à mesure de la croissance de

l’entreprise (son implantation géographique) ou de ses choix stratégiques (son développement à

l’international) ou technologiques (extension de son réseau local, interconnexion de sites distants

par VPN).

1.2.2 L’analyse du risque

Dans la gestion et l’organisation de la sécurité de l’information, l’analyse du risque indiqué dans

notre recherche a des éléments communs avec la norme BS ISO / IEC 27001:2005(Technologies

Grands Organisations-2010

Petit Organisations

2%

2%

17%

13%

41%

29%

24%

22%

13%

26%

3%

8%

Plus que 25% Entre 11% et 25% Entre 6% et 10%

Entre 2% et 5% 1% ou moins Aucun

24

de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information –

Exigences) lors de l’étape 2 :

Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité Identifier

les personnes responsables,

Identifier les vulnérabilités, Identifier les menaces,

Identifier les impacts,

Evaluer la vraisemblance, Estimer les niveaux de risque; mais comme notre guide est là pour

anticiper des attaques plus ses conséquences possibles, c’est-à-dire pas seulement comme ISO

/ IEC 27001:2005 , qui pour ce contrôle, supprime, partage ou accepte des risques sans

anticiper comment les attaques pourraient profiter de ces risques à travers la méthode

MARRAN.

Ceci est très important car selon le rapport du CLUSIF 2010 seulement 38% des entreprises

réalisent des analyses de risques avec une méthode formelle, 20% le font sur une partie du

Système d’Information et 3% sur des activités qui ne dépendent pas uniquement du Système

d’Information. L’illustration suivante montre les méthodes que les entreprises en France utilisent

pour l’analyse du risque :

Figure 10. Méthode d'analyse des risques utilisée

Le guide proposé comprend la mise en place d’un ensemble de mesures de protection avec ses

éléments : le contrôles et le chiffrement des informations, le temps de destruction, le temps de

diminution de niveau, l’identification de la source d'information et l'identification du récepteur

d’information.

1.2.3 Le responsable Sécurité des Systèmes d’Information

Le responsable Sécurité des Systèmes d’Information (RSSI) n’a pas une fonction clairement

identifié et définie au sein de la structure organisationnelle. Dans le rapport CLUSIF 2010, 51%

des entreprises interrogées répondent à cette observation.

25

Figure 11. Attribution de la fonction RSSI

Figure 12. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI

Cette fonction est de plus en plus clairement identifiée et attribuée au sein des entreprises, ce qui

marque un net progrès par rapport aux années précédentes comme l’indique CLUSIF dans son

rapport 2010 : l’évolution du nombre de Responsables de la SSI (RSSI) (49%, + 12% vs 2008) ;

avec toutefois une baisse quant à son rattachement à la Direction Générale (34%, - 11% vs 2008),

certainement liée au fait que les RSSI « récents » proviennent souvent de la Direction des

Systèmes d’Information (DSI). L’utilisation des « normes » est également en hausse. Celui-ci a

répondu pour 29% (21% en 2008) des entreprises interrogées, mais plus de 40% dans les plus de

1 000 salariés. Toutes tailles et secteurs confondus, les personnes sondées sont à 72% des DSI

(Directeur des Systèmes d’Information), des Directeurs ou Responsables informatiques ou des

RSSI (Club de la Sécurité de l'Information Français CLUSIF, 2010)

Aux Etats-Unis, selon le rapport CSI 2009 sur l'enquête, classe les répondants également par titre

d'emploi : 31,5 % sont des hauts-chef de la direction des cadres (8,8 %) directeur de l'information

(6,6 %), chef de la sécurité (3,2 %) et chef de la sécurité de l'information (12,9 %). Ces chiffres

sont conformes à ceux de ces dernières années. Un répondant seul lui-même identifié comme

chef de la protection, qui est également conforme au fil du temps. Il est clair qu’au moins 39%

des répondants (OSC, RSSI, et les agents de sécurité combinés) ont le temps plein de

responsabilités de sécurité. En outre, comme indiqué précédemment, la piscine enquête est tirée

de la communauté CSI, et ils sont donc censés être plus avisés de sécurité » que serait un bassin

26

d'enquête choisi au hasard de professionnels des technologies de l'information (Computer

Security Institute CSI, 2009).

CLUSIF 2010 dans la question le cadre de ses missions, quel pourcentage de son temps le RSSI

consacre-t-il ? Quelques aspects du travail des RSSI :

Figure 13. Répartition des missions du RSSI

L’importance d’avoir un responsable des systèmes d’information est de plus en nécessaire avec

l’utilisation croissante des technologies de l’information ainsi que les risques associés à cette

utilisation.

1.3 Intérêt et pertinence de la recherche

Dans cette section, nous expliquons comment la recherche, dans le champ des systèmes

d’information, prend plus d'importance puisque, chaque fois, les nouvelles technologies de

l’information et la communication NTIC, jouent un rôle plus important dans le travail des

entreprises quelles que soient leur taille ou leur secteur, les entreprises doivent utiliser ces

technologies pour améliorer leurs processus productifs, la diminution de coût, la relation avec des

clients et fournisseurs, tout cela pour défendre ou augmenter leurs position dans le marche.

Mais les criminels sont chaque fois plus inventifs ou innovateurs pour menacer et attaquer des

entreprises ; des erreurs humaines peuvent, également, causer des pertes financières, des

dégradations d’image. Des résultats opérationnels ne sont atteints que difficilement car ils ne sont

pas quantifiables ou calculables.

Prenant en compte que les NTIC et, principalement internet, sont les systèmes de communication

que les entreprises ne peuvent jamais mettre à l’écart, si elles veulent être dans le marché

compétitif, mais, entrer dans leurs utilisations, entraîne des risques, c’est pourquoi les entreprises

doivent avoir des outils pour sécuriser et protéger leurs secrets industriels, l’information de leurs

clients, les transactions bancaires ou simplement leurs pages web .

27

L’intérêt de cette recherche est de proposer un guide de travail pour les Equipes de Réponse aux

Incidents de sécurité ERI, afin d’anticiper les attaques et de gérer les risques, c’est-à-dire que la

recherche travaille sur le domaine de la sécurité de l’information.

Alors, réduire l’incertitude à travers un guide qui permet aux ERI de sécuriser des informations

des attaques de l’extérieur ou de l’intérieur, qu’ils sont causés par des erreurs humaines.

Généralement, ce modèle donne un outil qui analyse tout le processus de sécurisation des

informations d’une façon pratique.

Cette recherche se tient sur la Méthode d’Analyse et de Réduction du Risque des Agressions

Numériques MARRAN (Sadok, Veille anticipative stratégique pour réduire le risque des

agressions numériques, 2004), celle-ci qui, grâce à la construction collective de connaissances,

qui se base sur Internet pour réduire le risque numérique. Cette méthode constitue une

transposition et une adaptation de la méthode L.E.SCAnning® dans un domaine nouveau, à

savoir la sécurité informationnelle à l’égard des agressions numériques.

Avec tous ces éléments, le guide propose un design de processus et d’activités pour implémenter

dans les organisations et sécuriser des informations qui doivent gérer.

1.3.1 Rôles et activités des ERI

Les ERI font le travail d’anticipation et de réduction du risque numérique, principalement

comme une activité d’interprétation collective pour anticiper, avec, pour but, d’élaborer des

réponses techniques et managériales appropriées d’informations, des signaux faibles et /ou

signes, qui ont été obtenus dans un contexte d’incertitude, en tenant compte d’une variable très

importante comme est le temps (Sadok, Veille anticipative stratégique pour réduire le risque des

agressions numériques, 2004, p. 46).

Mettre en œuvre des ERI est de plus en plus important, dans la mesure où l’évolution de la

cybercriminalité ne semble pas s’arrêter. Malheureusement, chaque fois, l’innovation de ces

actes est plus complexe et dangereuse. Egalement, parce que, dans quelques cas, les entreprises

ne savent qu’elles sont attaquées ou qu’elles courent des risques.

En effet, les solutions contre la cybercriminalité ne sont pas seulement techniques mais aussi

intégrées dans la gestion et la stratégie de sécurité de l’organisation.

28

La détection des signaux faibles ou précoces n’a pas de signification individuellement, si ce

n’est, à travers un processus collectif. Pour les comprendre, il faut tenir compte de toute

l’organisation qu’elle soit interne ou externe, et de toutes les autres équipes. Aussi, les ERI

offrent trois types de services : les réactifs qui sont là pour diffuser l’information sur toutes les

activités de sécurité, les proactifs qui anticipent toute activité contre le système d’information de

l’organisation et les services de gestion qui sont gérés par un département mais intègrent toute

l’organisation pour améliorer les pratiques de sécurité.

Le travail des ERI consiste à analyser les signaux et/ou signes faibles qui sont collectés, pour

anticiper les attaques et réduire les risques numériques de l’organisation ; cette activité est

intégrée dans la stratégie de sécurité. Les activités plus importantes que les ERI, selon Sadok

(2004), sont les suivantes :

1. La notification (mémorisation temporaire): chaque incident doit être identifié à temps et

communiqué aux personnes ou aux départements concernés.

2. L’analyse qui détermine les causes et les conséquences de l’incident de sécurité ainsi que

les éventuels liens avec les précédents incidents.

3. La réaction afin de stopper ou limiter l’impact de l’incident en tenant compte des

spécificités et des contraintes de l’activité de l’entreprise. Cette réaction doit être rapide,

efficace et réalisée collectivement.

4. La documentation et la traçabilité (la mémorisation): chaque incident de sécurité doit être

documenté selon un format spécifique et publié sur des sites Web de façon à être

accessible à tout moment.

5. L’investigation qui vise la détection précoce de problèmes de sécurité ou la détection

précoce des intrusions ou des tentatives d’intrusions.

Pour la réponse à une attaque ou une agression, les ERI ont sept étapes :

1. Préparation 2. Identification 3. Notification

4. Analyses de l’agression 5. Réparation 6. Recouvrement

7. Apprentissage

Les ERI n’ont pas une structure unique, elles s’adaptent selon les problèmes de sécurité, la

situation géographique, la structure organisationnelle. Comme une structure basique, les ERI

peuvent être composées de la façon suivante :

29

Le manager de l’équipe, qui peut être le coordinateur ou le chef technique, coordonne,

supervise et oriente les activités de l’équipe.

Le staff technique fournit un support à la manipulation d’un incident grâce à son

expertise dans le domaine de la sécurité (le staff peut être interne ou externe).

Les assistants au bureau ou le staff en garde sont les premiers à reporter des

informations relatives à une agression.

Les experts en sécurité informatique, spécialistes en plate-forme ou en réseau, peuvent

fournir des conseils ou des orientations lors du traitement de l’incident.

Les autres professionnels peuvent appartenir à plusieurs départements comme le

département informatique, ressources humaines, relations publiques ou des

responsables en management qui assistent l’ERI.

Le personnel administratif de support.

1.3.2 Intérêt managérial

Du point de vue managérial, cette recherche est très importante pour donner de nouveaux outils

qui permettent aux entreprises l’identification des flux informationnels, l’analyse du risque, le

monitoring, l’amplification des alertes et la réponse aux incidents, la mitigation et la mise à jour

du système de protection. Cela permet aux entreprises et aux organisations à travers le guide

proposé d’anticiper des attaques et de gérer des informations.

Le guide proposé est une solution managériale depuis les sciences de gestion contre un problème

qui a été considéré comme technique, de plus, il a intégré la gestion de l’information de sécurité,

l’information des entreprises.

Notre contribution principale est de fournir un outil de gestion pour les entreprises à modifier leur

position réactive, proactive et anticipative contre les risques numériques, avec l'intégration de la

méthodologie MARRAN et la gestion intégrale des informations et des risques.

1.3.3 Intérêt académique

Comme apport académique, cette recherche intègre différents concepts en un domaine nouveau

qui, auparavant, avait été seulement la technique des informaticiens pour la sécurité des

30

informations et, maintenant, est un sujet de gestion habituelle car nous verrons ci-dessous que les

solutions techniques ne sont pas suffisantes pour sécuriser les informations et, aussi, que

beaucoup d’autres problèmes de sécurité sont dus à des erreurs humaines qui, sans doute, sont du

champ de la gestion.

Il y a l’existence de différentes connaissances actionnables pour analyser le risque numérique et

la gestion des informations, mais peu pour anticiper, ce guide a proposé l’ articulation de la

méthode MARRAN qui travaille le lien avec la veille stratégique pour anticiper à travers la

détection de signal et/ou signaux faibles Elle se base sur certains aspects de la méthode

LESCAnning® orientée davantage vers l’anticipation et qui a été conçue, réalisée et validée en

prenant en compte la nature des informations anticipatives et en utilisant l’intelligence collective

pour l’interprétation de ces informations.

Cette recherche utilise des rapports spécialisés sur la sécurité informatique d’études en trois pays

en France le Club de la Sécurité de l'Information Français CLUSIF, rapport 2010, aux Etats- Unis

le Computer Security Institute CSI, rapport 2009 et en Angleterre le Department for Business,

Enterprise & Regulatory Reform (BERR), rapport 2008 et Europe & PricewaterhouseCoopers,

rapport 2010.

Egalement cette recherche prend en compte la variable du temps, donc le temps limite des

réponses aux attaques, si cette donnée n’est pas bien gérée elle peut incrémenter des pertes,

dommages et performances des systèmes d’information.

31

Conclusion

Dans ce chapitre, nous avons montré à travers des chiffres de rapports d’organisations

spécialisées sur la sécurité informatique, comment le risque numérique affecte des organisations

et a généré des pertes financières, également comme chaque fois les entreprises ont plus de

dépendance des IT pour avoir une participation dans le marché.

D’une les organisations ont besoin d’outils pour anticiper et gérer des informations de sécurité et

d’autre part de mettre en place d’adopter des mesures de protection pour leurs systèmes

d’information.

Nous avons expliqué l’intérêt et la pertinence de la recherche pour des entreprises et l’académie,

et, comme notre question de recherche a commencé par répondre à la conception de la création

d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité qui s’appuie sur la

méthode MARRAN et la veille stratégique.

32

Chapitre 2 : L’analyse du risque

Introduction

Ce chapitre présente la première activité du guide de travail à savoir l’analyse du risque. Celle-ci

est d’une importance considérable dans le travail d’une ERI et nécessite une classification et une

organisation des informations au sein de l’entreprise en fonction de leur importance

opérationnelle et stratégique. L’analyse du risque suppose également l’identification des

principales menaces et vulnérabilités, les probabilités d’occurrence des attaques numériques et les

coûts des mesures de sécurité.

2.1 Identification des flux informationnels

Les organisations doivent classifier des informations et identifier les flux d’informations avant

que celles-ci soient sécurisées dans tous les départements et les dépendances du système

informatique. Il convient de noter que les flux informationnels que gère l’entreprise sont

différents des flux que gère le système informatique.

Ce dernier doit représenter un support pour que l'information puisse circuler librement dans

l'organisation selon les nécessités. Le système informatique ne peut pas devenir une contrainte

dans le processus de l’entreprise.

C’est pourquoi quand les organisations qui tiennent organisés leurs informations ont plus facile à

gérer l’information dans le système informatique et donc à les sécuriser.

La classification ci-dessous présente les pré-requis afin de pouvoir sécuriser l’information.

Comme l’explique Lesca & Lesca (1995), les organisations doivent identifier trois types

d’informations :

Information de fonctionnement : Indispensable au fonctionnement, c’est l’information liée

à l’activité opérationnelle de l’entreprise et elle est liée à des tâches répétitives.

Information d’influence : sa finalité est d’influer sur le comportement des acteurs internes

et externes.

33

Information d’anticipation : qui permet de voir venir à l’avance certains changements de

son environnement, dans le but d’en tirer un avantage ou bien d’éviter un risque.

Egalement, identifier des flux d’information de l’entreprise :

Pour finir la classification des informations organisationnelles se trouvent dans le tableau ci-

dessous :

Tableau 4. Orientation de l'information

Les neuf cases de ce tableau nous permettent de situer l’information dont nous parlons à un

moment donné. Cette grille est un peu la carte qui va nous permettre de nous orienter dans le

monde de l’information de l’entreprise (Lesca & Lesca, Gestion de l'information, 1995).

Quand l’entreprise a ses informations organisées, on peut l’entrer dans la classification selon le

système de sécurité que le guide a proposé, on identifie plus facilement le flux d’informations sur

sa chaîne de valeur.

2.1.1 Classification de l’information

Après l’identification des flux de l’information, nous procédons à la classification des

informations pour les sécuriser en fonction de leur importance, priorité et urgence.

Informations de

l’intérieur vers

l’intérieur

Informations

de l’intérieur

vers l’extérieur

Informations

de l’extérieur

vers l’intérieur

Figure 14. Trois flux d’information de l’entreprise

34

Importance : soutenir la prise de décision stratégique et les opérations au sein de l’entreprise, par

exemple, codes d'accès pour les voûtes d'une banque (système de clé de rotation); ou des

transactions bancaires internationales, autre caractéristique c’est qu’ils n’ ont pas de traitement

constant.

Les tâches mise en place sont d’identifier des informations en relation avec l'activité

opérationnelle et stratégique de l'entreprise, d’importance vitale pour l’entreprise, selon la

classification des types et flux d’informations, dont un catalogue d’informations permet la

classification.

Priorité : certaines informations sont prioritaires pour l’activité opérationnelle de l’entreprise, ce

ne sont pas les plus importantes mais les problèmes pourraient affecter les activités normales des

processus tels que la paie ou le retard d'une ordonnance.

Les tâches d’implémentation doivent identifier la fréquence de traitement/utilisation des

informations, par exemple, chaque journée, dans une entreprise de déménagement, doit donner

une équipe de déménagement, la fiche du travail, les lieux, les adresses ; chaque année, le

comptable fait le bilan général de l’entreprise.

Urgence : certains changements de l’environnement, interne ou externe, de l’entreprise

impliquent des modifications de l’importance ou de la priorité des informations. Par exemple, un

déversement de pétrole dans le sud de la Floride aux Etats- Unis, une chute brutale de la bourse

ou des questions de la haute direction pour une décision.

La mise en place des mesures de sécurité a besoin d’un système d’identification claire des

utilisateurs et un endroit de stockage de l’information, pour rendre l'information disponible, pour

répondre d'une façon efficace à des problèmes de gestion imprévisibles.

2.1.2 Identification des conditions d’exploitation, de traitement et de production

des informations dans la chaîne de valeur de l’entreprise

Les flux d’informations sont inclus dans une chaîne de valeur, qui s’étend depuis les fournisseurs

jusqu’aux consommateurs finaux. Lorsque l’entreprise a identifié les flux d’informations, elle

doit protéger la transmission et la réception des informations. Par exemple, les courriers et les

35

paiements électroniques, les téléchargements de fichiers ou les clés USB, disques dur et

ordinateurs portables doivent être protégés.

Pour procéder à l’identification de ces flux, on doit suivre quatre étapes :

D’abord, on fait l’Identification des points d’entrée et de sortie : les entrées et sorties

d’information dans le système à travers la saisie, le téléchargement, l’e-mail, le disque dur, les

clés USB, les accès de l'extérieur. Pour l’exécution de tout type de réseaux physiques et virtuels,

il faut avoir identifié au préalable d’où entre et sort l'information, le nombre de serveurs, les

directions IP, l’utilisateur, l’ordinateur, les comptes de courriel électronique, l’habilitation des

ports USB, etc.

Les applications en exécution : quels sont les différents logiciels et applications

informatiques utilisés pour le traitement de l’information ? Ex. Word de programmation, plates-

formes virtuelles (Blackboard) ou spécialisées. Installer dans les ordinateurs des réseaux de

logiciels accrédités pour le traitement des informations.

Canaux de communication des informations : Comment l’organisation gère ses informations en

interne et externe ?

A travers par exemple l'utilisation des réseaux Internet, VPN ou Intranet. De cette façon les

banques permettent de faire des transactions bancaires par les téléphones mobiles. Pour mettre en

place les réseaux, la haute direction doit déterminer quels sont les canaux de communication pour

chaque transfert ou réception d'information à l’intérieur comme à l’extérieur de l'organisation,

selon la classe d’information ou le niveau de barrière comme nous l’expliquerons dans la suite de

notre guide.

Différentes procédures de gestion du système informatique : Procédures formelles utilisées pour

spécifier et coordonner le travail au sein de l'organisation grâce à la standardisation dans la

chaîne de valeur, des informations à donner et à recevoir de la part des différents partenaires, qui

ont été identifiés dans le flux et le type d’informations ; c’est-à-dire ils sont des processus du

système informatique pour l’accomplissement des procédures dans la chaîne de valeur, par

exemple l’assignation de mot de passe pour l’entrée d’un fournisseur dans le réseau, la réparation

ou l’actualisation des logiciels dans les ordinateurs.

36

2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à

l’accès et ou au stockage

Dans le guide proposé, nous réalisons la distinction de niveaux d'importance de l’information que

nous appelons de « Barrière », car celui-ci permet d’identifier quelles informations sont des

limites pour l’accès, la manipulation de l’information (Policía Nacional de Colombia , 2008),

également sa classification ; le mauvais usage de l'information peut causer la perte de vies

humaines, des dommages à l'image organisationnel ou mettre en danger la survivance de

l'entreprise. Ils ont six niveaux de barrière de l’information:

Ultrasecret: Celui-ci peut occasionner des pertes de vies humaine, des catastrophes naturelles, la

disparition de l'organisation. Il n'est pas possible que toutes les organisations aient des

informations de ce type ; informations qui sont déjà transformées ou finies. Par exemple, des

recherches sur l’énergie nucléaire, une nouvelle molécule chimique, la recette de coca-cola.

Secret: Informations qui sont déjà transformées ou dans un processus de production, mais, quand

elles finissent, étant en relation avec l’innovation ou le changement dans le marché. Par exemple

l'innovation dans les processeurs des ordinateurs.

Réservé : Informations en processus qui se traitent dans le niveau secret, mais elles se donnent en

fraction jamais de façon complète, ceux-ci sont en train de rechercher pour devenir ultrasecrets

ou secrets déjà transformés.

Restreint : Informations qui ne sont pas connues de tous les employés, comme l’histoire du

travail des employés, processus de contrôle interne en cours, une investigation disciplinaire.

Confidentiel : Label pour des informations d'intérêts destinés seulement aux employés des

entreprises, par exemple données à caractère personnel de certains fournisseurs ou de clients-clés

de l'organisation, ou que la juridiction ne devrait pas connaître.

Public : L'information que tout le monde peut consulter dans la page web, bilan financier,

structure organisationnelle, etc.

Cette classification se fait pour établir selon chaque niveau de barrière, les canaux de

communication, l’endroit du stockage et la gestion des informations selon leur cycle de vie, c’est-

à-dire, chaque information est comme un être vivant qui naît, grandit, se reproduit et meurt ; toute

information doit avoir un cycle de vie clair. Donc, l’information augmente ou diminue le niveau

37

de la barrière en fonction des exigences de l'environnement interne ou externe, alors ces niveaux

sont dynamiques et non statiques.

De plus, il est nécessaire d’identifier les différentes personnes intervenant dans les flux

informationnels liés à l’échange, à l’accès et au stockage qui ont inclus des personnes qui

manipulent l’information où ils ont quelques responsabilités pour la confidentialité, l’intégrité, la

disponibilité. Les intervenants sont de deux sortes :

Responsabilités des utilisateurs : Chaque employé doit avoir dans ses fonctions des informations

qu’il peut trahir car il a accès à la confidentialité et sa responsabilité pour quelque problème est

engagée, une responsabilité claire pour protéger, emporter, faire le stockage, modifier, actualiser

ou faire les tâches que lui assigne la hiérarchie.

Les attributions des utilisateurs : Pour les employés qui doivent avoir des limites dans les

responsabilités de traitement des informations comme le temps, l’endroit l'accès, les réseaux, les

ordinateurs et les logiciels, selon sa classification. Des limites pour l’utilisation, les transferts, la

modification. Le temps d’utilisation où les responsabilités sont restreintes ainsi que

l’information, par exemple, un employé a la responsabilité ou l’autorisation pour modifier

l’information, mais ses attributions sont pour changer dans les ordinateurs de l’entreprise,

seulement en heures de matinée, sans pouvoir transférer vers une adresse physiquement ou

virtuellement.

2.2 Identification des vulnérabilités et menaces

Dans cette étape, l’ERI identifie les menaces et les vulnérabilités liés aux flux informationnels,

par exemple, une menace de raison intentionnelle de type interne, externe ou interne-externe de

vol d’information.

Mais, d’abord, nous avons besoin de connaitre l’architecture des réseaux avec tous ses

composants comme nombre d’utilisateurs, la technologie qui s’utilise pour le chiffre, la

transmission de données, les logiciels, le hardware, etc. celui-ci est comme la carte de navigation

pour un militaire.

Avant d’identifier les vulnérabilités, on doit connaitre les menaces, se placer sur les prémisses

des activités industrielles de l’entreprise, c’est-à-dire une banque est plus menacée dans ses

38

transferts par internet qu’une entreprise de pêcheurs, mais les pécheurs sont plus vulnérables dans

le même cas.

L’entreprise et les spécialistes informatiques doivent identifier selon les caractéristiques de la

technologie mise en place, les menaces et les vulnérabilités, pour assurer la continuité et

l’efficacité du travail au sein de l’entreprise.

2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à

L’échange des flux informationnels

La vulnérabilité est de considérer la capacité ou la propension aux dégâts ou aux dommages que

le système informatique subirait, surtout dans certaines zones . Notre classification de niveau de

vulnérabilité est : insignifiant « Il n'y a pas de conditions », faible « Il y a des conditions qui

rendent de très loin la possibilité », moyenne « Il existe des conditions qui rendent peu probable

une attaque dans le court terme, mais pas suffisamment pour empêcher à long terme », forte

« L'achèvement de l'attaque est imminente. Il y a des conditions internes et externes qui

favorisent le développement de l'attaque » (Gestión de Riesgo en la Seguridad Informática).

Pour identifier des vulnérabilités, le guide distingue des trois composants pour analyser les

ressources informatiques et les réseaux, les processus de gestion et les utilisateurs.

Les ressources informatiques et réseaux : ceux-ci sont liés à l’architecture des réseaux et à tout le

système physique de hardware, ordinateurs, modems, logiciels et à l’échange d’informations à

travers ’Internet ou les réseaux internes ou naturels (inondation).

Le travail d’identification des vulnérabilités se fait avec des spécialistes en informatique, selon

les procédures de gestion qui sont déterminantes pour l’utilisation du système informatique.

Notre propos est d’analyser l’ensemble des ressources informatiques et les réseaux avec les

procédures de gestion, parce que ce sont ces derniers qui déterminent comment se communique

l’information dans le système informatique, et, comment sont identifiés les endroits plus

vulnérables à travers le flux d’informations.

Par exemple, une entreprise de bourse qui doit télécharger sur Internet (les ressources

informatiques et réseau) chaque journée, différents rapports internationaux (processus de

gestion), un virus peut être téléchargé (la menace), mais certains virus n'affectent pas le système.

39

Les utilisateurs : Pour ces derniers, on doit analyser les vulnérabilités en deux aspects : les

compétences pour la manipulation du système, la motivation et la loyauté.

Les vulnérabilités des utilisateurs, dans notre exemple : l’utilisateur peut télécharger le virus

pour le libre-arbitre (sabotage), le manque de connaissances de leurs travaux (incompétence) ; ou

le paiement pour faire du dommage (faute de loyauté.)

2.2.2 Identification des menaces qui peuvent affecter les ressources critiques

Les menaces sont internes (ex. employés) et externes (ex. criminels, l'espionnage industriel),

intentionnelles (le vol de données, différences personnelles, l'ignorance délibérée des règles) ou

accidentelles (la connaissance insuffisante du système, le stress, le manque réel de connaissances

des règles). Des conséquences maléfiques pour l’opération du système, les réseaux de données et

hardware (Magklaras & Furnell, 2002). Une matrice qu’on peut utiliser pour identifier le type et

la raison des menaces dont nous avons parlé :

Type d'événement

internes Externes

Raisons Intentionnelles

Accidentelles

Tableau 5. Matrice d’identification type et raison

D’abord identifier les menaces du système d’informatique intégralement selon les critères ci-

dessus, ainsi que proposé, afin de reconnaitre des menaces de type (BASC, 2007):

Contre les ressources physiques et la sécurité industrielle : Il existe des endroits physiques où

résident l'infrastructure comme des voûtes ou bureaux, aussi des éléments de stockage comme

des disques durs portables, c’est-à-dire quelques éléments physiques en relation avec le système

informatique, y compris les bâtiments, également un fort composant d’ergonomie

« compréhension des interactions entre les humains et d'autres éléments d'un système, trouver que

les êtres humains et le travail technique sont en parfaite harmonie ».

Menace de choc électrique : les niveaux élevés de tension.

Menace d'incendie : Les matières inflammables.

Niveaux insuffisants de l'électricité.

Dangers des rayonnements : Vagues de bruit, de laser et les ultrasons.

Risques mécaniques : Instabilité les pièces électriques.

40

Tremblements de terre, tsunamis, inondations

L'hygiène, l'assainissement, et l'ergonomie

Ce sont quelques risques physiques plus communs, mais, selon l’endroit géoFigure, il existe

d’autres différences.

Contre l’information : Les menaces de modification, le vol, l'altération, la transformation

abusive, la publication, accès non autorisé au système, la transformation, etc. sont des freins à

l’utilisation positive de l’outil informatique.

Spéciales : D'autres risques qui affectent la sécurité informatique, qu’on appelle spéciales, car

ils augmentent les points de vulnérabilité des systèmes, et, comme caractéristique, ils n’ont pas de

relation directe avec l’entreprise ou l’entreprise dépend d’autres facteurs. Politique, juridique, la

concentration du traitement des demandes est de plus en plus complexe : la dépendance des

personnes clés, la disparition et l'entrée de nouveaux contrôles, les grèves, le terrorisme et

l'instabilité sociale, le stockage ou d’autres activités de sécurité en outsourcing. Donc l’entreprise

assume les risques que connaît la personne qui fournit le service.

Après la révision intégrale, l’organisation fait le Catalogue des ressources critiques,

L’organisation a des informations très importantes et des ressources qui donnent un support aux

activités principales ou aux clés pour la productivité, l’expansion dans le marché et la crédibilité ;

si il y a des défauts de fonctionnement, cela peut paralyser l'activité de l'organisation.

La page web d’une entreprise de jeux sur Internet, une inondation ou un choc électrique,

devraient inclure toutes les ressources système, car les critiques sont importantes.

Nous ferons la liste de toutes les ressources critiques de l'organisation ; il faut identifier

l’emplacement, également le type d'information qui passe par cet endroit, ses fournisseurs et ses

clients, ses utilisateurs, ses responsables.

Les menaces de fait : elles sont les menaces de l’organisation évoquée ci-dessus qui a un certain

niveau de persévérance de façon directe ou indirecte. Dans un moment du temps, ils sont

menaces, donc il doit être pris en compte pour la protection. Par exemple : la tentative des pirates

pour tenter de violer les systèmes de sécurité du Pentagone. Cela classifie le niveau de menace

en : insignifiant, faible, moyen, fort.

41

2.2.3 Estimation de la probabilité de l’occurrence des menaces

Pour notre recherche de classification du niveau des menaces identifiées, qu’on peut appeler aussi

niveaux de probabilité, ils sont : insignifiants, faibles, moyens, forts. Voici cette classification :

Des données historiques collectées par l’entreprise : Pour ses propres enquêtes externes de

chaque incident de sécurité, ce sont des informations qu’a obtenu l'organisation par rapport à ses

activités à travers son histoire. Il donne un niveau de probabilité.

Les appréciations de certains experts dans le domaine de la sécurité informatique : comme

l’organisation par elle-même ne peut pas interpréter toutes les données collectées, elle fait appel à

un cabinet de conseil ou à d’autres experts pour pouvoir établir son niveau de probabilité. Il

donne un niveau de probabilité.

Situation contextuelle : c’est l’analyse par rapport à des nouvelles d’environnement. Par

exemple : le mouvement d'un virus informatique dans le monde entier. Il donne un niveau de

probabilité.

Aussi, on prend en compte les menaces de fait, mais cette menace a déjà un niveau de probabilité,

si elle n’est pas une menace de fait, elle est évaluée comme insignifiante.

A chaque niveau de probabilité on assignée une valeur numérique :

Insignifiant = 1, faible = 2, moyenne = 3, forte = 4

Le tableau suivant montre comment faire l’analyse, il doit exister une tableau par chaque type de

menace :

Description

menace

Données

historiques

Appréciations

des experts Menaces de fait

Situation

contextuelle Résultat

Tableau 6. Analyses de probabilité

Le résultat est la somme de toutes les variables, pour établir un niveau de probabilité, Il est classé

comme suit:

Occurrence faible (1 – 6), Occurrence moyenne (7 – 11), Occurrence haute (12 – 16).

42

2.2.4 Estimation de la perte potentielle relative à chaque ressource en cas de

réalisation de la menace

Quand nous connaissons les ressources critiques menaces, avec le type de menace, nous

établissons des coûts financiers, de production, d'image et de crédibilité. Nous évaluons le conflit

du travail, la législation, la motivation et le comportement des travailleurs.

Avec le responsable (département, bureau, area) de la ressource menace, s’établit le type de

pertes en image ou d’opérations par exemple, nous estimons combien chaque perte potentielle

s’évalue en termes financiers.

Il faut établir dans chaque entreprise des critères et des procédures, ce qui est une activité

complexe : la modification du site web est plus dommageable pour « Amazon » que pour une

entreprise de vente de chaussures dans les magasins.

Cette activité se fait pour comprendre les pertes en image, production et autres, avec ses relations

en termes financiers. Dans un cas précis, l’assurance, savoir le coût de protection économique.

2.2.5 Estimation du coût des actions d’audit et de surveillance des systèmes afin de

réduire le risque

Toutes les activités pour réduire le risque, génèrent des coûts financiers, en relation avec le

temps, les analyses, l’opération, l’utilisation des employés, la surveillance….

L'audit et la surveillance sont prévus pour vérifier toute la santé du système d'information, mais il

doit être moins cher que l'information qu’il aide à protéger. Les coûts d'audit et de surveillance

doivent s’établir selon l'importance de l'information, le volume d'information, la technologie

utilisée dans les processus. Les activités de protection doivent avoir un budget assigné, selon les

nécessités et une planification. L’entreprise doit connaitre tous les coûts en relation avec les

activités de sécurité, en termes financiers, parce qu’il n’est pas possible que les coûts des

protections soient plus hauts que les coûts par attaques. Dans le schéma suivant, nous montrons

des phases de notre proposition du guide :

43

Chaque phase a différentes tâches, alors, budget du département IT, le budget alloué à la sécurité.

De la même façon, chaque entreprise, selon les informations de contrôle, doit investir dans des

mesures de sécurité et des processus internes.

2.3 Définition des mesures de protection

Le contrôle des menaces et des vulnérabilités trouvées, la classification de l’information, son

niveau de barrière, l’organisation a besoin de la protection de l’information. Dans notre

proposition de guide, nous identifions trois types de menaces contre les ressources physiques ou

l’infrastructure, contre l’information et les spéciales, qui peuvent être accidentelles ou

intentionnelles, internes ou externes. Les trois premières mesures de protection sont pour

l’information, car ce sont des contrôles quotidiens et l’incidence est constante. La quatrième est

sur les mesures pour des ressources physiques, d’infrastructure et de sécurité industrielle, la

cinquième pour des spéciales.

Il est précisé que les mesures de protection, les solutions de compromis ou de techniques qui

peuvent perturber la performance du système informatique, devraient être réglées avec les

spécialistes dans le domaine, tels que les réseaux, ordinateurs, logiciels, etc.

1

Identification des flux informationnels

2

Analyse du risque

3

Initialisation du monitoring et

vérification de l’efficacité

4

Amplification des alertes, réponse

incidents et calcul de vraisemblance

5

Mitigation

6

Mise à jour du système de protection

Figure 15. Phases du guide proposé

44

2.3.1 Contrôles d’information et chiffrement d'information

Pour contrôler la sécurité informationnelle en termes de disponibilité, de confidentialité,

d’intégrité, de non-répudiation de l’information (Ghernaouti-Hélie, Internet et sécurité, 2002)

selon leurs menaces et les risques comme l'importance ou la classification, pour prévenir et

réduire des risques à l’occasion d'une attaque, après la classification, la barrière, l’analyse de

menaces, l’identification des vulnérabilités, nous allons mettre en place plusieurs solutions de

sécurité techniques et de gestion, ci-dessous, nous montrerons quelques mesure de Sécurité dans

la troisième génération des réseaux locaux (Xenakis & Merakos, 2004), qui prennent en compte

le Système universel de télécommunication mobile (Universal Mobile Telecommunication

System, UMTS).

L'architecture de sécurité et les exigences des réseaux nécessitent l'examen de plusieurs aspects et

leurs enjeux, tels que l'accès sans fil, la mobilité de l'utilisateur final ou le type d'informations à

protéger. La transmission radio est par nature plus sensible à l'écoute et la fraude que la

transmission par fil. Nous prenons les mesures suivantes pour éviter l’insécurité :

La sécurité d'accès au réseau.

La confidentialité de l'identité de l'utilisateur : elle permet l'identification d'un utilisateur sur le

lien d'accès radio au moyen d'une Identité Temporaire d'Abonné Mobile (Temporaire Mobile

Subscriber Identity, TMSI). Cela implique que la confidentialité de l'identité de l'utilisateur est

protégée contre les oreilles indiscrètes presque toujours passives.

Accord d'authentification et de clés : La méthode d'authentification est composée d'un défi de

protocole d'intervention, d'authentification et un mécanisme d'accord de clé réalisent une

authentification mutuelle entre l'utilisateur mobile et le serveur de réseau montrant la

connaissance d'une clé secrète. La clé , ainsi découle de chiffrement et les clés de l'intégrité.

La confidentialité des données : Une fois que l'utilisateur et le réseau ont authentifié les uns et les

autres, ils peuvent commencer à sécuriser les communications. Comme décrit ci-dessus, une clé

de chiffrement est partagée entre le cœur du réseau et le terminal après un événement

d’authentification réussie. Comme aussi les chiffrements de l’information dans les logiciels

spéciaux.

Protection de l'intégrité des messages de signalisation : la protection de l'intégrité de soutien sur

les canaux de signalisation. Cela permet à l'entité qui reçoit d’être en mesure de vérifier que les

45

données de signalisation n'ont pas été modifiés d'une manière non autorisée depuis qu'il a été

envoyé.

Domaine de sécurité de réseau.

Protocole d’Internet (IP) : il y a plusieurs solutions sur ce sujet, pour celui-ci, avec des

spécialistes en informatique, la façon plus adéquate à l’organisation, par exemple un canal direct

entre les IP.

Fonctions traditionnelles de sécurité réseau : Firewalls, anti-virus, réseau privé virtuel (VPN)

Utilisateurs et fonctions de l'application domaine de la sécurité

Sécurité du domaine de l'utilisateur : garantit un accès sécurisé à la station mobile. Il est basé sur

un dispositif physique appelé Carte à circuit intégré, qui peut être facilement inséré et retiré de

l'équipement terminal, contenant les applications de sécurité telles que la carte qui représente et

identifie un utilisateur et son association à un milieu familial. Il est responsable de l'exécution

d'abonnés et d'authentification réseau, ainsi que la concordance des clés.

Sécurité du domaine d'application : D'autre part, le domaine de la sécurité traite la demande avec

messagerie sécurisée entre la station mobile et le réseau de service ou le prestataire de services

sur le réseau avec le niveau de sécurité choisi par l'opérateur réseau ou le fournisseur

d'applications.

Visibilité de la sécurité et de configuration : les mesures de sécurité prévues par le prestataire de

services sur le réseau devraient être transparents pour l'utilisateur final, la visibilité des opérations

de sécurité ainsi que les dispositifs de sécurité pris en charge doivent être fournis. Il peut s'agir :

indication du niveau de la sécurité, l'indication de cryptage du réseau d'accès, du vaste réseau de

cryptage indication.

L'ensemble du réseau de confidentialité des données utilisateur : L'échelle de la confidentialité du

réseau est une option qui offre un mode de sauvegarde de la transmission de données

d'utilisateurs à travers l'ensemble du réseau. Il protège les données contre l'écoute clandestine sur

chaque lien dans le réseau, et pas seulement sur les liens radio vulnérables.

46

2.3.2 Temps de destruction et de diminution de niveau

L’information est comme un être vivant qui a un cycle de vie des informations, depuis la

réception jusqu’aux limites de pérennité.

Figure 16. Cycle de vie de l'information

Chaque cycle a des caractéristiques qui doivent être présents, par exemple entre à l’entreprise une

demande de prix pour quelque produit par un client habituel, hier (naissance), le département de

marketing calcule le prix (croissance), il le retourne au client (reproduction), mais le client n’est

pas intéressé (mort). Pendant la période de vie, la classification de barrière change aussi, le

niveau monte ou descend, il change l’endroit de stockage et la base de donnée pour stockage,

chaque changement de niveau et des protocoles d’accès, donc les organisations sont dynamiques

et en changement constant.

Figure 17. Classification de barrière

Quand une nouvelle information est déposée dans l'organisation, elle doit être analysée et

projetée selon son cycle de vie, stockée selon son niveau de barrière etc. Comme les processus

organisationnels sont dynamiques, il peut arriver de changer l'emplacement ou la classification

•la transformation, la modification, l'extension,

l'ampliation

•supports de transmission, les bénéficiaires, la modification

•Quoi, Qui, comme, quand, où, pourquoi,

raison

•pourquoi, comment, quand, où, dans l'ordre de qui, qui, pourquoi

Mort Naissance

CroissanceReproduction

Ultrasecret Secret Réservé Restreint Confidentiel Public

47

sans temps déterminé. Quand nous connaissons toutes ces données, il y a un contrôle des sites,

des modifications, des transferts et des manipulations de l'information à travers le système.

2.3.3 Identification de l’émetteur et du récepteur d'information

C'est établir qui donne d'information et à qui l'organisation donne d'information, car

l'information qui est reçue peut avoir un virus, un logiciel espion ou rechercher une escroquerie.

Le récepteur, donc l'organisation peut donner une information qui peut être utilisée contre elle-

même (Policía Nacional de Colombia , 2008). Dans le tableau suivant, nous proposons quelques

caractéristiques de l'émetteur et du récepteur qui doivent être identifiées pour être considérées

comme fiables:

Emetteur Récepteur

Identification

Profil Profil

L'analyse de la crédibilité

Classification de l’information

Canal

Type de source

Classification de l’information

Droits de réception

Le contrôle de la manipulation

Vérification des responsabilités et attributions

d’utilisateur (qui reçoit l’information)

Eléments de restriction de manipulation

Vérification des responsabilités et attributions

d’utilisateur (qui reçoit notre information).

Canal

Eléments de restriction de manipulation

Concept

Sûr

Insécurité

Sûr

Insécurité

Bulletin de nouvelles

Procédure de contrôle et sécurité

Notification à l'employé de sécurité

Stockage

Pas envoyer les informations

Demander des instructions à l'employé de

sécurité

Stockage Tableau 7. Contrôle d'identification de l’émetteur et du récepteur

Pour faire le contrôle des émetteurs et des récepteurs, notre proposition commence avec

l’identification qui fait ce processus à travers un profil, ses composants sont : nom, poste de

travail, emplacement dans le réseau et géographie, s’il est interne ou externe de l’entreprise.

Dans le cas d’analyse de la crédibilité il y a en commun entre émetteur et récepteur la

classification de l’information dont les composants sont : l’identification de la barrière

(ultrasecret, secret, etc.), type d’information (important, prioritaire, urgence). Seulement Pour

l’émetteur, seulement, la source est primaire ou secondaire (la source secondaire est moins

fiable), le canal de transmission (e-mail, télécharge, clé USB, disque dur portable, etc.). Le

48

récepteur, dans l’analyse de crédibilité, vérifiera des droits d’utilisateur selon la classification de

l’information, c’est-à-dire on ne peut pas effectuer un envoi d’information ultrasecrète à une

personne sans autorisation.

Le contrôle de la manipulation c’est l’activité d’un utilisateur du self-control de ses permis de

manipulation de l’information. Cette activité a ses composants de vérification des responsabilités

et des attributions d’utilisateur qui reçoit l’information vérifiée grâce à ses permis de

manipulation de responsabilité et ses attributions.

Eléments de restriction de manipulation Il existe des contrôles spéciaux comme la signature

électronique ou autres, alors l’utilisateur doit analyser qui a envoyé l’information, de plus, s’il a

des éléments de sécurité pour la manipuler. Dans le contrôle de manipulation, le récepteur a

d’autres outils comme un canal qui a les mêmes caractéristiques décrites précédemment.

L’émission du concept est un élément très important parce que l’utilisateur responsable de

l’information, l’émetteur ou le récepteur, a son avis, et selon qu’il estime que l'information est

Sûre ou insécurisée ; ici se termine le filtre qui définit si les informations entrant ou sortant sont

nocives, et qui permet d’en tirer les conséquences.

Cette analyse classifie l’émetteur et récepteur en fidélité, moyennement fidélité, suspect,

dangereux. La politique de sécurité se doit d’établir quel type d’information peut être reçue,

chaque classification, en plus le rapport et le bulletin de nouvelles.

Par exemple, dans le cas où nous devons envoyer une information à un récepteur qui peut être

suspect, les informations que nous envoyons ne génèrent pas de danger dans ses mains.

Etant un élément constant, le Bulletin de nouvelles établit la présence et le suivi de problèmes par

rapport à un émetteur donné. Le bulletin de l’émetteur a une Procédure de contrôle et de sécurité

qui établit un processus clair permettant de réagir à une source d’insécurité, par exemple éteindre

l’ordinateur.

La Notification à l'employé de sécurité que l’utilisateur qui a des problèmes ou des nouvelles

pendant le processus d’identification de l’émetteur ou du récepteur, doit alors donner

connaissance immédiatement de l'apparition de la nouveauté.

Un élément commun de l’émetteur et du récepteur est le Stockage des nouvelles, donc tous les

émetteurs et récepteurs de l’information doivent être dans une base de données pour être

consultés à n’importe quel moment.

49

2.3.4 Sécurité physique

Selon les menaces trouvées dans les analyses, avec des experts en sécurité du travail, nous

mettons en place les contrôles adéquats, en tenant compte des règlements en vigueur dans chaque

région. Cette mesure de sécurité ne peut pas être négligée, parce que si nous ne sommes pas prêts

à une catastrophe naturelle, par exemple, les pertes peuvent avoir des dimensions

impressionnantes. Face à une catastrophe dans des endroits physiques, au niveau des

infrastructures ou des utilisateurs, quand l’entreprise est exposée à la suspension prolongée du

traitement, le mauvais fonctionnement de la protection génère une situation de chaos, à tous les

niveaux de l'organisation.

2.3.5 Mesures de sécurité spéciales

Les mesures de protection spéciales, comme nous l’avons signalé précédemment, sont

caractéristiques car elles n’ont généralement pas de relation directe avec l’entreprise ou

l’entreprise dépend d’autres facteurs. C’est-à-dire que l’entreprise a d’autres facteurs externes qui

ne lui permettent pas l’absolu contrôle sur la politique de ses risques et de ses menaces.

Alors, nous devons, avec un groupe interdisciplinaire, des avocats, des psychologues, des

politologues, des sociologues, etc. par exemple : un cas extrême dans une entreprise de pétrole,

d'où un nouveau gouvernement, qui exproprie certaines entreprises. Il est obligatoire de prendre

toutes les informations, y compris les secrets commerciaux.

50

Conclusion

Dans le deuxième chapitre, nous avons montré l’importance d’organiser l’information et le flux

informationnel de l’entreprise avant de le sécuriser. Cette organisation d’information doit avoir

des contrôles d’accès, une manipulation, un stockage, des activités dans l’opération de

l’entreprise. La chaîne de valeur distribue une information qui produit, reçoit et transmet. Notre

guide inclut comment gérer ces flux d’informations. La liaison entre menaces, vulnérabilités,

ressources critiques oblige à mettre en place plusieurs mesures de protection pour l’information

physique, la sécurité industrielle et spéciale. Les analyses de la probabilité d’occurrence et la

complexité des organisations rendent très difficiles l’estimation des coûts d’audit et des pertes

potentielles dues à la réalisation d’une menace.

51

Chapitre 3 : Techniques de monitoring et vérification de l’efficacité des mesures de

protection

Introduction

Ce chapitre décrit la deuxième activité nécessaire au travail d’une ERI à savoir la surveillance ou

le monitoring du système de sécurité afin de vérifier l’efficacité des mesures de protection mises

en place. Cette activité intègre plusieurs tâches de base comme l’identification des points de

contrôle et la fixation des métriques de surveillance.

3.1 Identification des points de contrôle

Il existe des logiciels qui permettent de vérifier systématiquement les performances et la

disponibilité des éléments critiques de l'équipement informatique installé dans le centre de

données, grâce à l'identification et l'isolement des problèmes. Ceux-ci aident à mettre en œuvre

des processus de gestion, d’anticipation et de gestion du risque numérique, dont le monitoring est

un élément qui trouve le signal ou/et les signaux faibles pour le travail des ERI.

L’identification et l’enregistrement des événements tels que l'indisponibilité du matériel ou des

ressources et les violations des protocoles et le processus de gestion de fonctionnement défini.

Les avantages consistent à faciliter la planification de la capacité de leurs opérations et continuer

l'opération. Détection précoce des événements. Action de contrôle des employés de sécurité. Pour

réaliser le monitoring, nous avons les éléments suivants :

Type de monitoring

Sélectif : c’est un monitoring qui choisit des Composants du système informatique de façon

aléatoire, selon le critère des employés de sécurité au moyen d'une vérification des points qu'ils

jugent importants, selon le contexte.

Pour les transactions : c’est le monitoring pour chaque interaction du système interne avec

l’extérieur, par exemple une transaction banquière ou l’autorisation d’entrer dans le système

pour un employé à l’information ultrasecrète.

52

Par objectif : monitoring d’un point spécifique de l’architecture, par exemple : nous avons le

soupçon qu’un utilisateur vole d’information. Leur différence avec monitoring pour transactions

est que l'opération peut être maintenue pour une période supérieure à une transaction.

Constant : ce monitoring se réalise de façon permanente sans interruption des Composants du

système, par exemple à la page web ou aux incidents de sécurité précédente.

Caractéristiques du monitoring

Centralisée : elle est exercée par les employés de la sécurité à partir du serveur réseau ou d’un

point spécifique d’accès qui a tout le contrôle du réseau.

Décentralisée : elle est exercée par différents employés autorisés, et c’est possible de le faire

depuis quelques endroits de l’architecture ou cela est délégué à d'autres employés.

Publique : connaissance de la situation de l’utilisateur ou des utilisateurs qui ont surveillé. Par

exemple pour un audit.

Privée : ignorance de la situation de l’utilisateur ou des utilisateurs qui ont surveillé. Par exemple

la surveillance d’un utilisateur suspect.

Dans le Figure suivant, nous montrons un ensemble d’anneaux de sécurité, qui montrent la

composition du monitoring :

Figure 18. Composants des Anneaux de sécurité

Chaque anneau de sécurité signifie un niveau de barrière avec ses informations respectives et son

niveau de sécurité assigné :

Anneau 1 : ultrasecret

Anneau 6

Anneau 5

Anneau 4

Anneau 3

Anneau 2

Anneau1

Urgence

Prioritaire

Important

Mesures

de

protection

Mesures

de

protection

Vulnérabilités Menaces

53

Anneau 2 : secret

Anneau 3 : réservé

Anneau 4 : restreint

Anneau 5 : confidentiel

Anneau 6 : public

Toutes les données dans l’analyse du risque plus ses composants identification de flux

organisationnels, menaces et vulnérabilités et mesures de protection. Aussi, l’historique des

incidents de sécurité dans chaque anneau. L'information est organisée dans les anneaux de

sécurité, puisque, comme l’entreprise est dynamique, l’information change de façon constante

entre les anneaux, et donc aussi ses protocoles de stockage, ses utilisateurs, ses mesures de

sécurité, ses menaces et ses vulnérabilités.

3.1.1 Identification des ressources informatiques et des réseaux de communication

Cette section a des points de contrôle ou censeurs de l’activité pour la sécurité du système

ressources informatiques virtuelles et physiques, les réseaux internes et externes, le trafic

d’informations organisé selon des processus de gestion. Après avoir défini le type et la fonction

de monitoring que nous utilisons pour les mesures de protection, nous avons mis les points de

contrôle où se situe l’activité de monitoring, indiquée ci-dessous :

Figure 19. Cycle du monitoring des Ressources informatiques, réseaux, trafic d'information

D’abord, il faut connaître les Protocoles des anneaux de sécurité pour établir les Types et

caractéristiques de monitoring. Ensuite, il faut procéder à la vérification des mesures de

protection : elles sont le monitoring aux mesures de protection qui ont déjà établi le processus de

gestion sur la chaîne de valeur, les avant- incidents de sécurité, l’architecture appliquée à chaque

information selon des vulnérabilités et des menaces.

Dans cette activité, il faut désigner une métrique du monitoring. La surveillance se fait en termes

de:

Protocoles des anneaux de

sécurité

Types et caractéristiques de monitoring

vérification des mesures de protection

Bulletin des nouvelles

54

Temps : il se réfère au temps d'interaction avec le système, la périodicité, en plus de la date

d'enregistrement.

Flux : le mouvement d’informations d’un endroit à un autre en octet, d’entrées, sorties et

transférantes.

Nombre d'accès au système : il est le contrôle pour l'utilisateur en termes numériques de l’entrée

au système.

Il s’agit de proposer des bottlenecks (embouteillage), qui agissent comme des filtres de

l'information, plus de la minutie monitoring. Mais il analyse ce fait si profond qu’il compromet la

performance du système. Par exemple, les protocoles de surveillance, le temps, le nombre de flux

et les recettes d'un secteur de l’entreprise où l’on a des doutes de vols d’information.

Indépendamment pour chaque élément de temps, flux, nombre d’accès et bottlenecks, ceux-ci

s’attribuent des types et des caractéristiques différents pour chacun.

Pour terminer, le responsable du monitoring à ce point de contrôle, fait le bulletin des nouvelles,

il rapporte des constatations qu'il n'y avait pas de nouvelles. Pour obtenir des logs des points de

contrôle, des senseurs peuvent être installés qui enregistrent les données du monitoring, selon les

métriques établies. Ces senseurs se situent dans l’architecture du réseau en fonction des points de

contrôle.

3.1.1 Temps d'utilisation des applications et temps de manipulation des

informations

Les incidents de sécurité internes à cause de problèmes avec des employés, ou les attaques

externes par erreurs internes sont très importants dans la sécurité d’information. Alors, en ce qui

concerne le monitoring d’utilisateur, l’utilisateur manipule de l’information et l’utilise et, dans

certains cas, par rapport préjudiciel aux objectifs organisationnels. Celui-ci est en rapport avec les

responsabilités et l’attribution d’utilisateur, en lien avec les niveaux de barrière d’information,

mesures de protection et d’autres éléments.

Le guide propose de protéger le système informatique, mais il travaille en fonction de la

protection de l'information qui circule. Alors ce point de contrôle doit avoir un monitoring qui est

vital, car c'est ici que l'information se transforme, et utilise les ressources de l'organisation pour

laquelle cette information est bénéfique.

55

Figure 20. Cycle de monitoring des applications et des manipulations

Sur le dernier Figure, nous montrons comment accomplir l’activité de monitoring liée à un point

de contrôle. D’abord, connaître les protocoles des anneaux de sécurité selon ses composants,

reflétés dans la Figure. Ensuite, choisir quel type (sélectif, par objectif, constant, pour les

transactions) et quelles caractéristiques (de vérification, d’action ) de monitoring mettre en place.

Selon les données précédentes, la vérification des responsabilités et des attributions d’utilisateur

peuvent être déterminées. Nous faisons la comparaison entre les protocoles qui ont des anneaux

de sécurité, des responsabilités et des attributions d’utilisateur, pour établir que son rapport soit

exact en fonction de la mise en place par l'organisation. Dans cette activité de comparaison

s’assigne la métrique du monitoring. Enfin, le responsable du monitoring à ce point de contrôle,

fait le bulletin des nouvelles, il rapporte les constatations et les observations normales ou

aberrantes.

3.1.3 Contrôle de limites des utilisateurs

Ce point de contrôle des limites des utilisateurs, c’est-à-dire du monitoring interne de l’entreprise

pour ses employés qui ont accès au système, parce que plusieurs incidents de sécurité sont causés

de façon interne intentionnellement ou accidentellement. Le monitoring se fait de la suivante

façon :

Figure 21. Cycle de monitoring des limites des utilisateurs

Comme nous l’avons déjà expliqué, le schéma commence par les Protocoles des anneaux de

sécurité, et Types et caractéristiques du monitoring. Pour faire le monitoring, nous prendrons des

antécédents de travail de l’utilisateur, donc on va tester l’activité assignée à un employé, vérifier

Protocoles des anneaux de sécurité

Types et caractéristiques du monitoring

Responsabilités et attributions

d’utilisateurComparaison

Bulletin des nouvelles

Protocoles des anneaux de

sécurité

Types et caractéristiques du monitoring

Antécédents de travail de

l’utilisateur

Responsabilités et attributions

d’utilisateur

Circonstances des attributions

Bulletin des nouvelles

56

son CV et les données que l’entreprise a en sa possession pour le monitoring. Après, les

Responsabilités et les attributions d’utilisateur. Les Circonstances des attributions, dans cette

activité, s’assigne la métrique du monitoring, qui testent les critères suivants :

Manière : C’est la façon de réaliser son travail : quels logiciels il utilise, la manipulation de

l’information, s’il a besoin de mot de passe pour accéder à l’information, clés USB,

téléchargement de fichiers, interaction avec d’autres utilisateurs internes et externes, etc.

Temps : date et heure d’entrée et sortie du système, combien chaque fois, par combien de temps,

il utilise des logiciels et lesquels ?

Endroit : les ordinateurs qu’il utilise pour ses activités, le type de connexions, le flux

d’informations.

Interface d’utilisateur : Partie visible par l'utilisateur d'un logiciel, en d'autres termes le contrôle

sur l'interaction entre la machine et l'utilisateur qui la regarde et l’écoute.

Bulletin des nouvelles : Nous ajoutons le récit de toutes ses activités pendant le monitoring. Cette

mesure est préventive si dans le futur nous avons un problème ou un incident de sécurité.

3.2 Définition des métriques

Nous imaginons, dans la bourse des valeurs, que tout le monde regarde les écrans et que les

actions montent et descendent. Pour chaque agent de bourse, ces mouvements signifient des

choses différentes, pour prendre des décisions plus tard.

Pour le monitoring, l’employé qui fait le monitoring, doit avoir un outil de gestion pour analyser

l’information qu’il regarde, c’est-à-dire, comme dans notre exemple, donner de la signification au

monitoring dans le point de contrôle, pour prendre des décisions. Ce résultat est obtenu à travers

un ensemble de métriques qui établissent la signification des données que le monitoring produit

et, plus tard, le métrique comprend s’il existe une transgression au système, ou reflète en incident

de sécurité.

3.2.1 Typologie des métriques

Dans notre cas d’étude, il existe deux types de métriques quantitatives et qualitatives. Les

quantitatives où le monitoring désigné pour vérifier des nombres, par exemple nombres d’accès,

57

flux d’information, temps d’utilisation, et autres. Les qualitatives pour d’autres vérifications

comme comparaisons, endroits, et autres. L’ensemble de métriques quantitatives ont ces

composants :

Figure 22. Cycle des métriques quantitatives

Les Limites du système sont des points maximaux et minimaux dans le composant à surveiller par

exemple le système pourrait seulement avoir 20 d’accès maximal et 5 d’accès minimal par

journée, ceux-ci sont la normalité du système.

L’Historique du système : c’est le nombre moyen des maxima et minima d’hier, la semaine, le

mois et le trimestre dernier. Dans le cas de notre exemple, des accès moyens, des dates pour

connaître la performance du système.

Les Possibles altérations sont ces contingences de la journée qui ont fait que le monitoring

connaît des changements possibles selon les dernières moyennes ; comme des réparations, des

nouveaux logiciels, la grève, etc.

Etablir les limites de la métrique les maxima et minima du système qui travaille normalement

selon le calcul. Nous établissons des points de tolérance minimale et maximale, ils se

transgressent mais pour peu de quantité et peu de temps.

L’Analyse d’information se fait selon le Figure suivant où la métrique doit se déplacer

généralement dans la zone verte de normalité :

Limites du système

Historique du système

Possibles altérations

Etablir limites de la métrique

Analyses d’information

Bulletin des nouvelles

58

Figure 23. Zones des analyses

Par exemple, la performance du système permanente dans la zone verte entre 30 et 70 % pendant

cinq heures, c’est normal. Mais à un moment quelconque cela augmente à 78%. Si ça continue à

augmenter pendant longtemps, peut-être qu’il y a une alarme. Aussi nous changeons les

pourcentages et le temps, par la mesure selon de besoin. Le Bulletin des nouvelles est comme

dans les derniers cas de rapport d’activité sans nouvelles ou avec des signaux et/ou signal faible

pour des ERI. Dans ce bulletin on doit reporter les transgressions de la normalité à la zone de

tolérance, pour être analysées.

La métrique qualitative a les composants suivants :

Figure 24. Cycle des métriques qualitatives

La Motivation : ils sont les raisons du monitoring, par exemple doutes avec un employé,

vérification du processus parce que nous connaissons la profondeur des analyses.

L’Historique : Il s'agit de vérifier des incidents de sécurité, la surveillance précédente et le

contexte d’actualité de l’information.

La Liste de contrôle : Selon la motivation, nous ferons la comparaison point par point de

l’historique et de l’activité dans le moment du monitoring.

Bulletin de nouvelles : analyse des derniers bulletins, il enregistre toute l’activité et indique s il y

a des nouvelles ou pas.

0%

50%

100%

0h 1h 2h 4h 5h

Minimum Alarme Min Tolérance Min Normalité

Tolérance Max Alarme Max Maximum

Motivation HistoriqueListe de contrôle

Bulletin de nouvelles

59

3.2.2 Test d’opérabilité et du fonctionnement du système qui gère la métrique

Chaque nouvelle métrique implique des ressources du système qui pourrait réduire sa

performance et créer des problèmes d’implémentation. Pour tester l’opérabilité et le

fonctionnement, ceux-ci se font en termes d’ Efficience et d’Efficacité, chaque trois mois,

identifiant :

Problèmes d’implémentation

Détection et fautes d’alarmes

Consulter des opinions d’utilisateurs

L’affectation aux processus de gestion et au système informatique

L’adaptation du personnel de sécurité

Après ce test, il faut donner des solutions selon les besoin. Les métriques ont un cycle de vie

maximum d’une année, parce qu’il faut l’adapter aux changements de l’entreprise, de la

technologie, au processus de gestion et de l’environnement.

3.2.3 Coût du système d’alarme

Quand le système de sécurité est affecté par un incident de sécurité, c’est-à-dire une métrique a

été violée, celui-ci a généré le changement et l’altération au processus normal de l’entreprise. Le

système qui déclenche met en place des Actions Immédiates qui ont un coût de performance du

système informatique et un processus de gestion, pour que, dans le cas d’une attaque, nous ayons

une contre-attaque directe, tandis que l'ERI analyse les incidents de sécurité et se projette sur une

attaque possible, cette mesure est de retarder les effets de l'attaque.

Les actions immédiates doivent avoir une relation avec les mesures de sécurité et les

vulnérabilités et menaces, par exemple dans le cas d’une attaque avec le virus informatique, une

action immédiate est de réduire le flux d’informations ou la suspension d’échanges

d’informations dans le secteur ou d’arrêter l’ordinateur.

Dans ce cas, le virus est entré dans le système, mais son action se retarde pendant que l’ERI fait

son travail. Les bulletins de nouvelles permanents dans le système se déclenchent, car, sur la

base, ils prennent des décisions, d’abord ils informent de la violation d’une métrique, après ils

permettent que le système déclenche l’alarme. Quand, en raison des bulletins de nouvelles, le

60

système d’alarme réagit et se prend des actions immédiates ; nous regroupons tous les bulletins

des nouvelles en un seul, comme l’information de type de signaux et/ou signal faible pour l’ERI.

3.3 Détermination des moyens de protection

Les moyens pour vérifier l’efficacité qui permet d’adapter le système, première amélioration des

réponses aux incidents de sécurité, selon la performance du système et l’efficacité des mesures de

protection. La seconde étape, l’activation des alarmes qui montrent la performance du

monitoring, la bonne implémentation de métriques et la réaction aux attaques.

3.3.1 Vérification de l’efficacité des mesures de protection

La surveillance ou monitoring de tous les éléments du système, se fait sur la base des métriques.

Ainsi, pour vérifier l’efficacité des mesures de protection, nous appliquons par rapport à

l’ensemble des attaques ou incidents de sécurité, vulnérabilités détectées à travers l’analyse des

alarmes, des actions inhabituelles du système, des mesures de protection adaptées, à travers un

monitoring. Ce autocontrôle, se fait de manière trimestrielle, semestrielle et annuelle, pour

adapter les processus de gestion et les mesures de protection selon des changements

d’environnement.

3.3.2 Activation de l’alarme

Quand il y a de la transgression d'une métrique quantitative ou qualitative, dans ce moment où le

système est vulnérable pour une attaque, le système se déclenche, active l’alarme qui donne

l’avertissement d'une action inhabituelle selon des métriques de sécurité établies ; accompagne

des actions immédiates. Ensuite, l’activation de l’alarme met toute l’information en relation,

bulletin de nouvelles, les anneaux de sécurité avec incidents, l’ERI a besoin de cette information

pour collecter le plus d’informations possibles sur l’endroit affecté, le responsable affecté, le

point d’entrée ou de sortie, l’historique des accès.

61

Conclusion

Les points de contrôle doivent se faire à travers un monitoring aux anneaux de sécurité où il a

toute l’information de l’analyses du risque, vulnérabilités et menaces, et des mesures de

protection, et dont la classification est mesurée selon le niveau de barrière d’information, cette

information au groupe selon les limites imposées pour la manipulation, le stockage et les

utilisateurs.

Pour faire du monitoring effectif, nous mettons en place un ensemble de métriques, d’abord pour

les ressources informatiques, réseaux et trafics d’information, après pour tous les utilisateurs

internes et externes, une métrique pour les temps d’utilisation des applications et les temps de

manipulation.

Nous proposons aussi un contrôle interne pour les utilisateurs internes qui sont des employés ou

utilisateurs de quelque façon. Ils travaillent pour atteindre les objectifs de l'organisation, par

exemple : les fournisseurs, la cabine de conseils, etc. Le système a ses systèmes de déclenche qui

lorsqu'il est activé actionne immédiatement l’alarme pour commencer l’activité d’ERI. Pour

finir, l’efficacité du système doit se tester. Les moyens sont la vérification de l’efficacité, celle-

ci, après avoir implémenté les mesures de protection et le monitoring. Trois mois après se fait le

vérification. Les métriques et monitorings produisent l’activation des alarmes qui fournissent des

données pour l’activité des ERI.

62

Chapitre 4 : Amplification des alarmes et réponse aux incidents de sécurité

Introduction

Ce chapitre explique l’activité d’amplification des alarmes et de réponse aux incidents de

sécurité. Les ERI font le travail d’anticipation et de réduction du risque numérique, en élaborant

des réponses techniques et managériales appropriées. Pour l’amplification des alarmes et la

réponse, nous allons utiliser la Méthode d’Analyse et de Réduction du Risque des Agressions

Numériques (MARRAN), que nous expliquons comme suit (Sadok, Veille anticipative stratégique

pour réduire le risque des agressions numériques, 2004, p. 46).

Figure 25. Les phases de MARRAN

4.1 Processus d’amplification

Le système d’information appelé «Veille Anticipative Stratégique et Intelligence Collective

(VAS-IC)» (Lesca E. ) est orienté vers l’anticipation et/ou l’identification des ruptures et des

discontinuités. Donc la conception, la phase de construction collective de sens, la phase de

mémorisation et l’animation, comme étant une fonction de support pour la mise en place et la

continuité du dispositif de veille anticipative stratégique et d’intelligence collective, sont utilisés

et enrichissent les ERI dans le champ des agressions numériques.

Aussi, la phase de construction collective, étant une typologie des liens dans un contexte

d’incertitude, requiert un raisonnement nom déterministe, pour les différentes variables. Les

63

objectifs de l’organisation ou ses intérêts, intègrent la probabilité et l’approximation dans la

création de relations entre les informations avec une pression constante du temps. D'ailleurs,

Sadok (2004) propose l’utilisation des cartes causales, un ensemble d’opérations pour manipuler

dans le cadre de création collective de sens, qui sont le remplacement : il consiste à remplacer

ou substituer ou éclater un nœud par un réseau de nœuds et de liens afin de clarifier et d’analyser

les sous-implications du nœud et ce par équivalence, par approximation, par réduction, ou par

restriction ; et la Réécriture : elle consiste à remplacer des éléments de raisonnement

représentant une vue particulière par un sous-réseau de nœuds et de liens représentant une autre

vue plus pertinente pour plus de signification de la vision globale.

La phase de mémorisation dont le but est de créer un stockage intelligent et dynamique des

informations qui regroupe toutes les données obtenues, pour faire les liens ; cette phase a un triple

plan : l’exploitation de l’outil qui offre les TIC pour structurer la base de données et de

connaissance ; les mécanismes de gestion des mémoires pour réaliser des enrichissements et des

requêtes de la base des données et de la base des connaissances ; heuristiques qui permettent la

convergence de raisonnement sur l’utilisation de bases de connaissances, et construction de vues

alternatives. Aussi, inclure la recherche approchée sur la base de différents rapports entre les

éléments en mémoire pour de nouveaux raisonnements collectifs et créatifs sur les liens.

4.1.1 Détection signaux faibles

La détection des signaux faibles ou précoces n’a pas de signification individuellement, si ce n’est,

à travers un processus collectif. Pour les comprendre, il faut tenir compte de toute l’organisation

qu’elle soit interne ou externe, et de toutes les autres équipes. Aussi, les ERI offrent trois types

de services : les réactifs qui sont là pour diffuser l’information sur toutes les activités de sécurité,

les proactifs qui anticipent toute activité contre le système d’information de l’organisation et les

services de gestion qui sont gérés par un département mais intègrent toute l’organisation pour

améliorer les pratiques de sécurité.

Les ERI prendront des signaux faibles à travers des bulletins de nouvelles proposés dans la guide

de travail. Cet-à-dire le système de détection de signaux et/ou signal faible sont du monitoring et

métriques.

64

4.1.2 Amplification et création des liens

Le modèle proposé par Sadok (2004) est décrit suivant trois phases :

Phase 1. Création des liens initiaux. Ses objectifs sont amplifiés dès le signal et/ou signe faible. ll

s’agit d’établir une typologie des liens de raisonnement pour organiser, dans une forme

significative, les informations disponibles. Une contribution des acteurs du processus de création

collective de valeur, et, pouvoir ainsi, tracer et appréhender l’évolution des variables critiques,

pour l’analyse, dans un contexte incertain et turbulent.

Phase 2. La création des liens d’inférence par raisonnement itératif. Dès que les liens existent, se

créent de nouveaux liens, la connaissance tacite des auteurs du processus d’interaction

collective qui, également, peuvent extraire des informations documentaires d’archives structurées

et les actualisent pendant le processus.

Phase 3. Mettre fin au processus et prendre des décisions. Les objectifs sont : la vérification du

processus itératif, la bonne compréhension des mécanismes qui ont été générés, les signaux et/ou

signes faibles, une estimation globale d’autres risques.

Le modèle conceptuel peut être basé sur l’utilisation d’internet, avec tous les avantages déjà

mentionnés. « Les bases de données et de connaissances fournissent un support pour un

processus de création collective de sens dynamique. Ces bases sont assistées par des mécanismes

intelligents d’extraction, permettant la recherche approchée, la recherche des heuristiques et la

transformation automatique des liens stockés » (Sadok, Veille anticipative stratégique pour

réduire le risque des agressions numériques, 2004).

Représentation du modèle conceptuel :

Il est représente pour une Figure orienté, dont composition est d’un ensemble de nœuds et de

relations liant ces nœuds entre eux. Il y a utilisation des cartes causales, également ne se limitant

pas aux seuls liens de causalité.

Les components Figures étant représentes pour : N nœuds qui représente un concept, une action à

entreprendre, ou information de type signal faible et/ou signe faible. Un E arc qui représente une

relation de dépendance entre les actions ou bien relation causale entre les concepts. Une fonction

i qui associe à chaque label une valeur probable, et une fonction g qui indique une relation

d’influence entre les labels.

65

se considéra ∆ un ensemble de relations incluant les trois relations causales classiques, des

relations variables en fonction du temps, et des relations transactionnelles de type output/input.

Se définie ∆ comme :

∆ : {+, –, 0, ≤t, OI}

Où,

(+): signifie qu'un nœud i a un effet positif sur un nœud j;

(–):signifie qu'un nœud i a un effet négatif sur un nœud j;

(0): signifie qu'un nœud i n’a pas d’effet sur un nœud j;

(≤t): signifie qu'un nœud i devrait précéder dans le temps un nœud j; et

(OI): (relations de type output/input) signifie que l’output du nœud i est l’input du nœud j.

Celui-ci connexions à travers de nœuds produit la construction d’un chemin de raisonnement

pour un point de vue partiel ou intégral d’un acteur dans le processus de création collective de

sens par rapport à une situation donnée.

Figure 26. Chemin de raisonnement

4.1.3 Représentation Figure du modèle conceptuel

Ce modèle permet de représenter des schémas cognitifs pour résoudre des problèmes complexes

en situation d’information incomplète. Les nœuds représentent des actions, des hypothèses, des

informations, ou des objectifs. Dans le domaine de la sécurité informatique les actions ne se

limitent pas aux intrusions, les accès nom autorises et vols d’information, ou exécution des

opérations nom autorises ; Sinon les hypothèses incluent des contre-mesures au niveau du

système d’information, lui protéger et limiter les dégâts occasionnes. La ressource X est face à

une agression spécifique, le système X est protégé d’une manière appropriée, ou l’agression X est

66

identifiée. Les nœuds qui représentent les informations de type signal faible, les arcs indiquent le

type d’influence entre deux nœuds. Il y a cinq types de relation d’influence entre les nœuds :

La relation positive (+) la collecte d’une information peut indiquer le risque et activer la

réalisation d’outre action.

La relation négative (-) qui indique que nœud 1 entrave, endommage, empêche, ou inhibe le

nœud 2.

La relation neutre (0) il n’y a pas d’influence entre les nœuds.

La relation transactionnelle (output/input) entre deux nœuds, où l’output d’une est l’input d’outre.

La relation variable en fonction du temps (≤t) la relation du contenu des deux nœuds en fonction

du temps.

Ces relations permettent d’élaborer des réponses aux cyber-attaques, évaluer leurs effets, et

permettre la création du scenario et ses conséquences.

Figure 27. Exemple raisonnement conceptuel pour les ERI

Les opérations sur les nœuds et sur les liens ont deux types d’opérations. L’opération de

remplacement est liée directement au contenu d’un nœud pour remplacer, substituer de façon

approximative ou éclater, un nœud par un réseau de nœuds pour mettre en évidence les sous

implications des nœuds ; le remplacement se basant sur l’équivalence, l’approximation, la

réduction, ou la restriction. Quand nous réalisons le remplacement d’un nœud, il doit être

accompagné pour la redéfinition des relations, des arcs et des nœuds ; comme ajuter informations

complémentaires.

67

L’opération de réécriture est liée directement à un sous réseau de nœuds et consiste o remplacer

des éléments de raisonnement de un point de vue particulier par outre d’un sous réseau de nœuds

qui peut être intégré au reste du graphe. Cette opération améliore la signification globale. La

réécriture d’un sous graphe permet de fournir plus d’alternatives pour las différents actions pour

atteindre un objectif.

Les processus de remplacement et réécriture sont importantes pour manipuler la construction du

scénario d’attaque, du processus de médiation et de prise de décision.

4.2 Rôle de la médiation

La médiation est une activité très importante pour soutenir le processus de création collective de

sens et la construction du scénario d’attaque.

La technologie Internet a une fonction dans le processus de prise de décision, l’aide au travail

collectif et support significatif à un groupe de créativité, et améliorer la qualité de l’intelligence

collective, comme la performance d’une équipe de travail. Celui-ci qui devrait se traduire un

support efficace au processus de création collective de sens et particulièrement à la médiation.

La conception des heuristiques pour assister l’activité du médiateur en un environnement

incertain et turbulent, les problèmes liés aux décisions stratégiques sont souvent des problèmes

difficiles à structurer. L’heuristique peut être assisté l’activité du médiateur avec la réduction de

la complexité du raisonnement, trancher lors du raisonnement contradictoire par l’ajout

d’hypothèses, réduire délibérément les champs de recherche de chemins de raisonnement par des

techniques de seuillage, mener des raisonnements utilisant des multi chemins, mener un

raisonnement contextuel dans le but de restreindre les concepts qui apparaissent potentiellement

dans un raisonnement à un seul graphe par rapport à un contexte donné.

Pour l’évaluation de la performance de la méthode, c’est nécessaire la construction d’indicateurs

de mesure des progrès permis pas l’application de la méthode proposée, qui ont la prétention de

l’objectivité, mais généralement suscité critiques des spécialistes. Alors il s’agit d’évaluer

perceptions, se proposent deux familiers d’utilité perçue et facilité perçue, ceux sont instrumentés

par des indicateurs plus ponctuels.

Egalement, pour le travail se prend en compte critères classiques utilisés en systèmes

d’information, principalement:

68

La qualité du système d’information

La qualité de l’information

L’utilité qui s’interroge

La satisfaction des utilisateurs

Impact individuel et organisationnel

Le critère de l’utilité perçue permet de mesurer les résultats ou les progrès réalisés par

l’entreprise dans l’activité de traitement des signaux faibles afin de supporter les décisions

stratégiques. La facilité perçue d’utilisation de la méthode, son organisation ainsi que l’efficacité

de la technologie utilisée pour la supporter.

4.2.1 Médiation et création collective de sens

La fonction de médiation est une tâche très importante dans le processus de prise de décision

collective, puisque cette fonction permet d’arriver à accorder les différents points de vue, et à

faciliter la résolution de conflits ; avec cette heuristique, il est possible de construire une vision

globale, collective et intelligible. La réconciliation de points de vue est possible pour trouver les

zones de consensus, les zones de désaccords partiels et les zones de désaccords complets. Dans

cette création collective de sens, le médiateur doit accomplir les objectifs suivants : valider les

concepts qui sont représentés par les nœuds, consolider, actualiser et manipuler les liens qui sont

représentés par les arcs, construire tous les chemins pertinents pour la prise de décision,

concevoir des heuristiques pour réduire la complexité du raisonnement, y contrôler le processus

de raffinement pour une vision collective.

Pour intégré touts les points de vue subjectif, les concepts sont nœuds dans le même graphe, dans

touts les points de vue peut être facilement transformés en une unique matrice. Où N est le

nombre de concepts. Dans cette matrice M, chaque élément peut être représenté :

mij = l1, l2,……..lv

Où v est le nombre des vues, et k est un label placé par le iième membre dans l’arc reliant le

nœud i à j.

La matrice M permet zones de consensus pour les perceptions de la même relation d’influence

qui se caractérisent par des multi labels de même forme :

69

mij = l,l,…….,l

Egalement elle permit zones de désaccords partiels qui sont les perceptions similaires des

relations d’influence entre les nœuds. Les zones de désaccords qui se caractérisent par des labels

perçus en conflit par les membres.

Les multi labels particuliers sont désignes par des points de vue unilatéraux qui expriment une

estimation unilatérale de l’effet entre deux nœuds, désignes par i et j :

mij = 0,…..0,l,0,……0 et l ≠ 0

La conciliation sur les points de vue dans le travail des ERI qui focalisa trios principal objectif :

1. La réalisation d’une définition commune et/ou partagée de tous les concepts, les actions et

les informations pertinents pour l’évaluation et l’analyse de la situation.

2. L’élimination des désaccords partiels en utilisant la négociation ou encore l’investigation

en s’appuyant sur les TIC.

3. La réduction du nombre des vues unilatérales et les zones de désaccords partiels visant à

diminuer les différences.

L’internet comme support offre quatre outils qui peuvent être utiles pour les processus

d’intelligence collective : l’accès à l’information interne et externe distante, le mécanisme de

structuration d’information, la recherche d’information à travers des moteurs de recherche, et un

mécanisme de contrôle d’accès et d’identification.

4.2.2 Rôles du médiateur

Le médiateur fait la négociation avec chaque participant, il construit et analyse une nouvelle

matrice qui représente tous les nœuds et toutes les relations pour arriver arrangement mutuel

satisfaisant et identifier les conflits potentiels.

Egalement, dans ce processus de création collective de sens pour réduire le risque des agressions

numériques, ceci ensemble d’actionnes aide les membres afin de construire des vues individuelles

de la situation, concilier les vues individuelles divergentes, aider pour construire la représentation

collective et pour interpréter celle-ci, affiner les vues collectives.

Le médiateur doit met à la disposition des membres de l’ERI tous les outils, manipulation des

relations entre nœuds, compétences et connaissons, aussi la technologie comme internet. Ces

70

activités de médiation dépendent de la nature d’activité de l’entre prise, de ses objectif, des

opportunités et des menaces ; qui devrait inclure : la validation des concepts qui sont représentés

par les nœuds, la consolidation actualisée des liens qui sont représentés par les arcs, las

construction de tous les chemins de raisonnement qui supportent la représentation collective

après convergence des opinions des membres de l’ERI, la contrôle de processus d’affinement afin

d’aboutir à une vision collective, et la construction des heuristiques qui ont émergé au cours du

travail de l’ERI.

4.2.3 Heuristiques pour assister l’activité du médiateur

L’efficacité du rôle du médiateur nécessite l’usage de méthodes (heuristiques) et d’outils

appropriés ainsi qu’une compétence et une expertise spécifiques. La compétence du médiateur

devrait présenter plusieurs facettes jugées indispensables par les experts interviewés : facette

technique, mais aussi pédagogique, relationnelle, de gestion. Ceci pose le problème de la

formation appropriée à donner au médiateur pour qu’il remplisse son rôle convenablement afin de

réduire le temps de réponse face aux agressions numériques et par conséquent limiter les pertes

occasionnées par celles-ci.

De plus, le caractère variable et « inventif » des agressions numériques impose une mise à jour ou

une réadaptation des programmes de formation et des connaissances susceptibles d’être

enseignées à de futurs médiateurs novices. Une telle formation reste totalement à imaginer ou

concevoir. Le médiateur peut contribuer à l’accomplissent de toutes ces activités. Les problèmes

de médiations peut être résolus à travers d’une base de données documentaires et de

connaissances formalisées mentionnées. Le modèle formel offrir la représentation des nœuds et

des liens, la manipulation des relations, et l’intégration des vues subjectives, comme aussi

l’internet est un instrument pour assister les activités de médiation.

Dans ce cadre, nous annonçons des heuristiques qui émergeront au cours des expérimentations

que nous présenterons au cinquième chapitre :

Réduire la complexité du raisonnement par la dissimulation des nœuds, des liens ou sous

graphes qui n’ont pas des effets significatifs sur le raisonnement conduit.

Aider l’ERI à trancher lors du raisonnement contradictoire par l’ajout d’hypothèses qui

peut impliquer la recherche des informations complémentaires.

71

Réduire délibérément les champs de recherche de chemins de raisonnement par des

techniques de seuillage par exemple en tenant compte des probabilités en labels.

Mener des raisonnements utilisant des multi chemins (dans le cas de recherche de

scénarios d’attaques, par exemple) en associant des relations sémantiques entre des labels

aboutissant (ou émanant de) à un même concept (une action, par exemple).

Mener un raisonnement contextuel dans le but de restreindre les concepts qui apparaissent

potentiellement dans un raisonnement à un seul graphe par rapport à un contexte donné.

Par exemple, l’exécution d’une procédure peut dépendre dans sa faisabilité, sa forme ou

sa modalité du système d’exploitation (Windows, LINUX ou INUX) qui l’exécute.

Tout ceci dans le but de réduire autant que possible la complexité du problème et limiter le

nombre de scénarios d’attaque, pour pouvoir déboucher sur une action effective de limitations

des dégâts et prendre les mesures nécessaires de réparation.

4.3 Scenarios d’attaque

Ceci est de nature à permettre, en réponse à des agressions, d’apprendre des actions réussies ou

échouées et de réduire la probabilité de l’occurrence d’agressions similaires.

Dans ce cadre, les ERI offrent trois types de services :

des services réactifs qui impliquent la diffusion d’informations décrivant des alertes,

des mises en garde, des vulnérabilités du système d’information afin de fournir des

orientations et des recommandations possibles pour améliorer le niveau de sécurité des

services proactifs qui fournissent de l’information pour anticiper les agressions, les

problèmes ou certains évènements. La performance de ces services est en relation directe

avec la réduction du nombre d’attaques dans le futur.

des services de gestion de la qualité qui ne sont pas spécifiques à un seul département

mais qui concernent l’amélioration des pratiques actuelles et futures de sécurité dans toute

l’entreprise.

Tout ceci dans le but de réduire autant que possible la complexité du problème et limiter le

nombre de scénarios d’attaque, pour pouvoir déboucher sur une action effective de limitations

des dégâts et prendre les mesures nécessaires de réparation.

72

Quand l’ERI amplifie des signaux faibles, il peut ignorer le signal ou confirmer car existe une

forte probabilité d’une attaque. Après tout le processus de construction des scenarios, l’ERI prend

la décision d’ignorer le signal détecté, car ses membres ne trouvent pas une forte probabilité

d’une attaque immédiatement ou cette alarme est faute. Mais dans le cas d’une imminente attaque

ou une forte probabilité d’attaque l’ERI doit commencer le processus de prise de décision selon le

scenario construit, pour réduire le risque de l’incident de sécurité.

Dans le domaine de la sécurité, les décisions sont à prendre pour vérifier si un signal faible relève

effectivement une agression ; choisir le meilleur chemin d’influence entre une hypothèse et une

action ou un objectif ; construire le scénario d’attaque réalisé par le hacker ; sélectionner parmi

les réponses possibles celle qui répond au mieux, compte tenu des contraintes, de la nature

d’activité de l’entreprise ainsi que de ses objectifs stratégiques.

Conclusion

Dans ce chapitre, nous avons utilisé MARRAN pour soutenir l’activité d’amplification des

alarmes et la réponse aux incidents de sécurité. Cette méthode a été déjà testée sur des cas réels

pour la construction des scenarios d’attaques. En effet, les ERI ont besoin de méthodes et d’outils

appropriés pour assister l’activité d’interprétation des signaux faibles détectés afin de fournir des

réponses rapides et au bon moment au risque des attaques numériques.

73

Chapitre 5 : Réparation et mise à jour du système de protection

Introduction

Ce chapitre décrit la dernière activité du guide de travail d’une ERI à savoir la réparation des

dégâts occasionnés par les attaques numériques et la mise à jour du système de protection afin de

maintenir un niveau de sécurité acceptable. Cette activité nécessite la construction d’une base de

donnés afin de stocker les incidents de sécurité ainsi que les scénarios d’attaques. Ceci est de

nature à permettre un apprentissage collectif au sein de l’entreprise et par conséquent améliorer

sa réactivité et le temps de réponse.

5.1 Réparation des dégâts occasionnés par les incidents de sécurité

Quand le travail des ERI d’anticipation et de réponse des alarmes, ils créent un scenario

d’attaque, mais l’attaque se fait, celui-ci produit des dégâts qui doivent être réparés. La définition

des actions immédiates à accomplir pour répondre à l'agression, comme pour la limitation de

dégâts en attaques futures. Ces dégâts sont directs et indirects, matériels et immatériels.

5.1.1 Dégâts directs et indirects

Les dégâts directs sont produits à la cible de l’attaque, par exemple un virus informatique a par

but d’affecter l’information opérationnelle de l’entreprise pour affecter ses processus. Les dégâts

indirects sont produits par d’autres composants du système qui ne sont pas la cible d’attaque.

Pour réparer ces dégâts, il est important de créer un bulletin des nouvelles avec :

Une liste des dégâts

Coûts financiers en pertes de productivité

Aussi, designer le plan de réparation ou mitigation immédiatement qui compris leurs coûts et le

temps de réponse.

5.1.2 Dégâts matériels et immatériels

Les dégâts matériels sont ceux qui affectent le système physique, virtuelle ou processus de

gestion, par exemple le vol d’un ordinateur ou la nouvelle installation de quelques logiciels.

74

Les dégâts immatériels sont ceux qui affectent l’environnement interne ou externe de l’entreprise,

par exemple la perte de crédibilité ou conflits du travail.

Pour réparer ces dégâts, il est nécessaire de classifier les dégâts directs, indirects, matériels et

immatériels.

5.2 Anticipation des protections nécessaires pour réduire le risque d’être attaqué

de nouveau dans le futur

Cette étape devrait améliorer la capacité d’anticipation des membres de l’ERI par apprentissage

collectif et par conséquent réduire le risque des agressions numériques.

L’ERI propose des mesures correctives nécessaires à la sécurité du système d’information de

l’entreprise contre des agressions similaires susceptibles de se reproduire. La sélection des

mesures de protection par les preneurs de décision doit tenir compte des critères suivants :

L’urgence de la situation; Le coût de ces mesures (implémentation, maintenance); La

réglementation en vigueur; Le degré de cohérence de ces mesures avec les procédures déjà mises

en place (le coût de changement doit être contrôlé).

5.2.1 Solutions techniques

Nouvelles solutions techniques de protection comme changement dans le système physique, des

réseaux, l’achat de nouveaux logiciels.

Egalement, il s’agit de réadapter le système actuel selon les caractéristiques d’attaque, mais aussi

en train de penser, que ce peut changer tout l’analyses de risque, mesures de protection et comme

monitoring et métriques.

5.2.2 Solutions managériales

Nouvelles procédures et règles de gestion qui permettront d’améliorer le niveau de sécurité

contre des nouvelles attaques. Ces nouveaux processus ou modification des processus actuels

modifient la façon de manipuler l’information et intègre comment réduire les vulnérabilités et les

menaces sans affecter des processus normaux.

75

5.2.3 Solutions humaines

C’est une nouvelle définition des responsabilités et des attributions, formation pour améliorer le

niveau de compétence des employés qui ont une interaction avec les flux informationnels au sein

de l’entreprise.

Aussi, comme augmenter des contrôles avec les utilisateurs internes et externes, la modification

des fonctionnes de sécurité et assignation de responsabilités de sécurité dans la structure

organisationnelle.

Ce peut mettre en compte l’embauche de nouvelles personnel spécialise ou la création de

nouvelles niveaux ou change dans l’hiérarchie.

5.3 Constitution d’une base de données et de connaissances

5.3.1 Mémorisation des événements

Dans la base de donnés, on stocke toutes les alarmes détectées, l’information qui a déclenché

ainsi que ses caractéristiques.

Ceci permit dans le future de réduire le risque, améliorer les analyses des vulnérabilités et

menaces, et d’anticiper l’occurrence d’attaques similaires.

5.3.2 Base des connaissances pour le stockage des scenarios d’attaques

Les ERI doivent connaitre le travail anticipative d’avant, en relation des scenarios des attaques,

celui-ci la base des connaissances doit avoir relation avec les actionnes immédiates.

La base permit à l’ERI analyser ses réponses à des outres alarmes, trouver relations, comme de

signal ou/et signaux faibles.

Egalement, ce stockage des scenarios d’attaque doit avoir la relation avec les fausses alarmes et

les attaques réelles, dont but comparer la différence entre le scenario d’anticipation et la façon

d’attaque.

76

5.4 Changements opérés au niveau de l’organisation et le traitement des flux

informationnels

C'est l'information pour complémenter les bases de donnés pour anticiper des attaques futures,

réduction de l'incertitude, également anticiper des dégâts et pertes.

Selon des informations collectées pendant l'attaque, comme aussi ses analyses, l'information sera

enviée à chaque élément du système pour faire un feedback pour actualiser des processus. Toutes

les activités-ci sont incluse dans la base des donnés.

5.4.1 Les processus d’exploitation et de manipulation de l’information

Celui-ci est directement en relation avec la chaîne de valeur de l’entreprise, c’est-à-dire la

manipulation de l’information, les limites des utilisateurs et logiciels.

L’entreprise dans sa politique de sécurité modifie, si c’est nécessaire, le cycle de vie, les

classifications, les responsabilités et les attributions des utilisateurs.

5.4.2 L’analyse du risque

Selon le résultat de l’activité d’anticipation et de réponse, l’analyse du risque se modifie dans ses

éléments, si c’est nécessaire, pour réduire de cette façon le risque.

Aussi, il permet l’actualisation des processus de détection des menaces et vulnérabilités, comme

adapter l’organisation aux nouveaux changements de l’environnement.

5.4.3 Le processus de monitoring

De quel manière un incident de sécurité existe, le monitoring augmente, change de caractéristique

et types, pour surveiller pendant un peu du temps l’endroit affecte.

Egalement, les métriques peuvent changer pour incrémenter la surveillance sur le site ou

surveiller d’autres endroits plus vulnérables qu’auparavant.

77

5.4.4 Le processus d’amplification

Dans le processus de construction collective de sens, l’interaction des liens pour l’amplification

est fondamentale. Alors, le processus d’amplification met en place l’utilisation des base des

donnés pour créer des liens entre les précédents et les nouveaux incidents de sécurité. Ceci est de

nature de permettre une amplification plus rapide et efficace des signaux faibles.

5.5.5 Communication aux employés et aux partenaires

Dans le cas d’un incident de sécurité, les différents partenaires, fournisseurs, clients ainsi que les

utilisateurs du système devraient être informés des changements et des nouvelles mesures de

sécurité adoptés par l’organisation.

Conclusion

La réparation est une activité très importante pour réduire les dégâts et les pertes financières ainsi

que pour anticiper l’occurrence d’attaques similaires. Cette activité est associée à une mise à jour

du système de protection pour intégrer les changements opérés au niveau de l’analyse du risque,

la manipulation et l’exploitation des informations. La construction d’une base de données et de

connaissances est indispensable pour assister cette activité du guide de travail et par conséquent

améliorer la capacité d’anticipation et le temps de réponse aux incidents de sécurité.

78

Conclusion générale

La présente recherche s’inscrit dans le domaine de la sécurité des systèmes d’information,

orientés vers l’anticipation et la gestion du risque numérique. Notre intérêt a porté sur le travail

de l’ERI qui exige des outils et des méthodes de travail appropriés répondant à la nécessité de

réduire le temps de réponse à une agression numérique et ce, dans le but, de minimiser les dégâts

matériels et immatériels occasionnés par celle-ci.

Ainsi, nous avons proposé un guide de travail pour une ERI composé de quatre principales

activités à savoir l’analyse du risque, la surveillance et la vérification de l’efficacité du système

de protection, l’amplification des alarmes et la réponse aux incidents de sécurité et la réparation

des dégâts et la mise à jour du système de protection. Chaque activité est décrite suivant un

ensemble de tâches élémentaires et nécessaires à son accomplissement.

Le guide de travail proposé constitue un outil dynamique de gestion et d’organisation de la

sécurité de l’information au sein de l’entreprise en tenant compte de ses spécificités techniques et

managériales, la nature de son activité, et l’évolution de son environnement interne et externe.

Cependant, la nature exploratoire de la recherche limite sa portée. Une seule interview avec un

expert a été menée pour comprendre et décrire les principales activités accomplies par une ERI.

De plus, et faute de temps, ce guide n’a pas fait l’objet d’une validation empirique. Nous avons

également trouvé des difficultés à recenser les publications académiques pertinentes, compte tenu

du fait que peu d’auteurs ont traité notre sujet. En effet, le recensement a été difficile à réaliser à

cause de la dispersion des articles dans des revues mal connues ou inconnues de nous relevant

parfois de domaines étrangers à notre champ disciplinaire de base.

Il serait opportun de tester le guide sur des cas réels d’entreprises afin de fournir plus de détails

sur les tâches décrivant chacune des activités du guide. De même, il serait intéressant de

compléter l’élaboration du guide en consultant un nombre plus important d’experts en sécurité

des réseaux.

79

Bibliographie

Abello Llanos, R. (2009). la investigación en ciencias sociales: sugerencias prácticas sobre el

proceso. Investigación y Desarrollo , 208-229.

BASC. (2007). Business Alliance for Secure Commerce . Recuperado el 2 de Juillet de 2010, de

BASC-Costa Rica: http://www.basc-costarica.com/documentos/riesgosinformatica.pdf

Caron-Fasan, M.-L., & Laurens, V. (2007). Vers une gestion des informations liées au attaques

informatiques: la veille sécuritaire anticipative. En N. Lesca, Management, systèmes

d'information et connaissances tacites. Grenoble: Hermes Science Publications.

Ciordas, C., Hansson, A., Goossens, K., & Basten, T. (2008). A monitoring-aware network-on-

chip desing flow. Journal of Systems Architecture , 397-410.

Club de la Sécurité de l'Information Français CLUSIF. (2010). Menaces informatiques et

practiques de sécurité en France. Paris: CLUSIF.

Computer Security Institute CSI. (2009). CSI Computer Crime and Security Survey. New York:

Sara Peters, Senior Editor, Computer Security Institute.

Department for Business, Enterprise & Regulatory Reform (BERR). (2008). INFORMATION

SECURITY BREACHES SURVEY 2008 | technical report. United Kingdom: Department for

Business, Enterprise & Regulatory Reform.

Europe, I., & PricewaterhouseCoopers. (2010). Information Security Breaches Survey 2010

technical report. United Kingdom: PricewaterhouseCoopers LLP.

Franco, O. H., Castillo, L. F., Corchado, J. M., & Lopez, C. A. (2007). Multiagent system for

software monitoring and users activities in a network equipment. Scientia et Technica , 387-391.

Frankland, J. (2008). IT security metrics: implementation and standars compliance. Network

Security .

Gabrijelcic, D., Blazic, B. J., & Tasic, J. (2005). Future active IP networks security architecture.

Computer Communications , 688-701.

80

Ganame, A. K., Bourgeois, J., Bidou, R., & Spies, F. (2008). A global security architecture for

intrusion detection on computer networks. Computers & Security , 30-47.

Gestión de Riesgo en la Seguridad Informática. (s.f.). Recuperado el 19 de Juillet de 2010, de

"Gestión de Riesgo en la Seguridad Informática" de Markus Erb:

http://protejete.files.wordpress.com/2009/07/ficha_probabilidad_amenaza.pdf

Ghernaouti-Hélie, S. (2002). Internet et sécurité. Paris: Presses Universitaires de France.

Ghernaouti-Hélie, S. (2009). La cybercriminalité. Laussane : Presses politechniques et

universitaires romandes.

Hatchuel, A. (2008). Quel horizon pour les sciences de gestion ? Vers une théorie de l'action

collective. En A. David, A. Hatchuel, & R. Laufer, Les nouvelles fondations des sciences de

gestion (pág. 216). Paris: Vuibert.

Humphreys, E. (2008). Information security management standards:Compliance, governance and

risk management. Information Security Technical Report , 247-255.

Kovacich, G. (1997). Information systems security metrics management. Computers & Security ,

610-618.

Lesca, E. (s.f.). Equipe du professeur LESCA. Recuperado el Mai de 2010, de Veille Anticipative

Stratégique - Intelligence Collective [VAS-IC®]: http://www.veille-strategique.org/

Lesca, H., & Lesca, E. (1995). Gestion de l'information. Paris: Litec.

Lesca, H., & Schuler, M. (2002). Veille Stratégique: Comment ne pas être noyé sous les

informations? Inteligencia competitiva , 40-54.

Magklaras, G., & Furnell, S. (2002). Insider threat prediction tool : Evaluating the probability of

IT misuse. Computers & Security , 62-73.

Policía Nacional de Colombia . (2008). Curso de Inteligencia. Bogotá D.C., Colombia.

Policía Nacional de Colombia. (2008). Guía de gestión documental de la Policía Nacional.

Bogotá D. C.: Imprenta Nacional de Colombia.

81

Policía Nacional De Colombia. (2004). Resolución No.01113 “Por la cual se adopta el Manual

de Procedimientos del Servicio Policial para la Policía Nacional”. Bogotá D.C.: Imprenta

Nacional de Colombia.

Sadok, M. (s.f.). Impact des lois de la sécurité financière sur la gestion du système d'information.

Tunis.

Sadok, M. (2004). Veille anticipative stratégique pour réduire le risque des agressions

numériques. Thèse de Doctorat en Sciences de Gestion . Grenoble, France: Ecole Doctorale de

Science de Gestion.

Sadok, M., & Lesca, H. (2007). Veille anticipative et Sécurité des ressources informationnelles

de l’entreprise à l’ère numérique. Grenoble.

Schwartau, W. (s.f.). Network security it's about time: an offer for a metric.

Sena, L., & Tenzer, S. (Août de 2004). Universidad de la República - Uruguay. Recuperado el

Juin de 2010, de Facultad de Ciencias Económicas y de Administración:

http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Xenakis, C., & Merakos, L. (2004). Security in third Generation Mobile Networks . Computer

Communications , 638-650.

82

Annexe

Voir le disque compact.