Sécurité numérique et risques : enjeux et chances pour les entreprises - Tome I : rapport

Auteur(s) moral(aux) : Office parlementaire d'évaluation des choix scientifiques et technologiques - Assemblée nationale - Sénat

Consulter nos sélections de rapports publics

En savoir plus

Date de remise :

Temps de lecture > 30 minutes

Présentation

La commission des affaires économiques du Sénat a demandé à l'OPECST de conduire une étude sur l'ampleur des risques encourus par les entreprises du fait du numérique. L'OPECST devait étudier les aspects de la sécurité numérique qui seraient de nature à favoriser ou, au contraire, à entraver l'activité économique des entreprises. Après avoir mené une série d'auditions (disponibles dans un Tome II) et analysé les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, les auteurs proposent d'abord une trentaine de recommandations d'ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l'usage des entreprises.

Revenir à la navigation

Sommaire

PRÉAMBULE

INTRODUCTION - L'ACTUALITÉ DE LA SÉCURITÉ DU NUMÉRIQUE

CHAPITRE PREMIER - LE CONTEXTE INTERNATIONAL DE LA SÉCURITÉ NUMÉRIQUE DES ENTREPRISES

I. LA GOUVERNANCE TECHNIQUE DU NUMÉRIQUE À L'ÉCHELLE MONDIALE
A. LA GOUVERNANCE MONDIALE DE L'INTERNET
B. LA GOUVERNANCE MONDIALE DE LA SÉCURITÉ

II. LA GESTION MONDIALE DES INCIDENTS DE SÉCURITÉ NUMÉRIQUE
A. LES SERVICES DE VEILLE
B. LES INQUIÉTUDES GRANDISSANTES DES ÉTATS FACE AU NUMÉRIQUE
C. LES RAPPORTS DE FORCE ENTRE LES GÉANTS DE L'INTERNET, LES ÉTATS, LES ENTREPRISES ET LES CITOYENS

III. LE PROJET D'ACCORD DE LIBRE ÉCHANGE ENTRE LES ÉTATS-UNIS D'AMÉRIQUE ET L'UNION EUROPÉENNE

IV. VERS UNE EUROPE DU NUMÉRIQUE COHÉRENTE ?

V. SOUVERAINETÉ ET NUMÉRIQUE
A. UNE COLONISATION NUMÉRIQUE ?
B. LES LEÇONS TIRÉES PAR LES ÉTATS-UNIS D'AMÉRIQUE DES EXCÈS DE LA NSA

CHAPITRE II - LE CADRE NATIONAL DE LA MISE EN ŒUVRE DE LA SÉCURITÉ NUMÉRIQUE

I. NUMÉRIQUE ET LIBERTÉS
A. LE RAPPORT DU CONSEIL D'ÉTAT SUR LE NUMÉRIQUE ET LES DROITS FONDAMENTAUX
B. LIBERTÉ DE L'USAGE DU NUMÉRIQUE ET LIBERTÉS DE SES USAGERS

II. LA MISE EN ŒUVRE OPÉRATIONNELLE DE LA SÉCURITÉ NUMÉRIQUE
A. LA DIRECTION GÉNÉRALE DE L'ARMEMENT (DGA)
B. LE LABORATOIRE DE HAUTE SÉCURITÉ DU LABORATOIRE LORRAIN DE RECHERCHE EN INFORMATIQUE ET SES APPLICATIONS (LORIA)
C. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI)
D. LA GENDARMERIE NATIONALE
E. LES INDUSTRIELS

III. ORGANISATION DE LA SÉCURITÉ NUMÉRIQUE
A. LES INVESTIGATIONS DES OBSERVATOIRES PUBLICS ET PRIVÉS
B. L'INVESTIGATION POLICIÈRE
C. L'ASSURANCE CONTRE LE RISQUE CYBER

IV. LES OPÉRATEURS D'IMPORTANCE VITALE (OIV)
A. LA PROBLÉMATIQUE GÉNÉRALE
B. L'EXEMPLE DU SECTEUR DES TÉLÉCOMMUNICATIONS
C. L'EXEMPLE DU SECTEUR DE L'ÉNERGIE

CHAPITRE III - LA COMPLEXITÉ DU NUMÉRIQUE REND SA SÉCURITÉ POUR LES ENTREPRISES DIFFICILE À CONCEVOIR

I. VERS UNE REPRÉSENTATION DU NUMÉRIQUE DE NATURE À FACILITER SA CONNAISSANCE
A. L'ÉCHANGE ET LES COMMUNICATIONS HUMAINES
1. Le processus « vertical » ou interne de production des messages en vue de l'échange
2. Le processus « horizontal » ou externe de transport du message
3. Le niveau virtuel ou global de l'échange interindividuel et sociétal

B. L'ÉCHANGE ET LES COMMUNICATIONS NUMÉRIQUES
1. Le message comme objet de l'échange numérique
2. Le processus « vertical » ou interne de production de message numérique

3. Le processus « horizontal » ou externe de transport de message numérique

II. LES INFRASTRUCTURES DU NUMÉRIQUE
A. INFRASTRUCTURES DE SERVICES MUTUALISÉS POUR LES ÉCHANGES NUMÉRIQUES
1. Infrastructure de noms de domaine (DNS)
2. Infrastructure de routage et de messagerie
3. Infrastructure de navigation : les moteurs de recherche

B. INFRASTRUCTURES GLOBALES POUR LES SERVICES : LE NUAGE NUMÉRIQUE
1. Les quelques étapes clés
2. L'informatique en nuage comme changement de paradigme
3. Les modèles de services offerts par le nuage numérique
4. Les modèles de déploiements
5. Enjeux de sécurité du nuage numérique
 

CHAPITRE IV - FORCES ET FAIBLESSES DU SYSTÈME D'INFORMATION DE L'ENTREPRISE

I. LES TROIS NIVEAUX DE L'ENTREPRISE
A. LE RÔLE DU SYSTÈME DE DÉCISION
a) La connaissance de l'écosystème
b) La stratégie de l'entreprise (1) Identité de l'entreprise (2) Régulation et marché (3) Gestion des savoirs et savoir-faire (4) Règles d'usage et chartes
c) Les tableaux de bords
B. LE SYSTÈME D'INFORMATION ET DE COMMUNICATION
1. Le système d'information
2. Le système de communication

C. LE SYSTÈME DE PRODUCTION DE L'ENTREPRISE
1. Le concept d'industrie 4.0
2. Le Manufacturing Execution System (MES)
3. Le Supervisory Control And Data Acquisition (SCADA)
4. Les capteurs et actionneurs

II. ANALYSE CRITIQUE DU SYSTÈME D'INFORMATION DE L'ENTREPRISE
A. MODÉLISATION D'UN SYSTÈME D'INFORMATION EN VUE DE SON ÉLABORATION
B. LE SYSTÈME DE COMMUNICATION
1. Le Réseau Local d'Entreprise (RLE) (1) Le câblage (2) Le réseau IP
2. Le réseau local « radio » de l'entreprise ou Wi-Fi

3. L'interconnexion du système d'information de l'entreprise avec son système d'information industriel
4. Objets connectés dans l'entreprise

C. LES SERVICES
1. La relation client / serveur numérique
2. Les services réseaux
3. Les services applicatifs collaboratifs
4. Les services applicatifs liés aux métiers de l'entreprise

CHAPITRE V - LA SÉCURISATION DU SYSTÈME D'INFORMATION D'UNE ENTREPRISE

I. PRINCIPES DE SÉCURITÉ D'UN SYSTÈME D'INFORMATION
A. D'UNE VISION STRATÉGIQUE À UNE VISION OPÉRATIONNELLE
B. LES TROIS PROPRIÉTÉS FONDAMENTALES DE L'ÉTAT DE SÉCURITÉ
C. LES FONCTIONS DE SÉCURITÉ
D. ORGANISATION DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS
E. L'IMPÉRATIF D'AMÉLIORATION CONTINUE

II. MISE EN ŒUVRE DE LA PRÉVENTION DANS LE SYSTÈME D'INFORMATION D'UNE ENTREPRISE
A. POLITIQUES DE SÉCURITÉ DE L'ÉTAT ET DES ENTREPRISES
B. MISE EN PLACE D'UNE ARCHITECTURE POUR LA SÉCURISATION DU SYSTÈME D'INFORMATION
1. La ligne de défense périmétrique traditionnelle
2. Le pare-feu comme pièce maîtresse
3. Les zones d'accès selon la sensibilité des ressources
4. Les antivirus

C. CARACTÈRE DE L'AUTHENTIFICATION FORTE
1. Le mécanisme d'authentification
2. L'identification

3. La gestion des identités
4. Le protocole d'authentification
5. Les principaux protocoles d'authentification

D. HABILITATIONS
1. La définition des habilitations
2. L'accès aux répertoires

E. ARCHITECTURES ET PROTOCOLES POUR DES TUNNELS D'INTERCONNEXION SÉCURISÉS
1. Les architectures pour des tunnels d'interconnexion sécurisés
2. SSL : le maintien de la connexion sécurisée sur TCP/IP

CHAPITRE VI - LES FAILLES ET LES ATTAQUES NUMÉRIQUES COMPROMETTANT LA SÉCURITÉ DES ENTREPRISES

I. UN MILIEU HOSTILE
A. LES VULNÉRABILITÉS
1. Les vulnérabilités et menaces
2. La veille comme processus d'analyse des vulnérabilités
3. La vulnérabilité dite « zero-day », à corriger en zéro jour

B. ANALYSE GLOBALE DES RISQUES DANS LES ÉCHANGES NUMÉRIQUES
1. L'identification des éléments pour l'analyse des risques
2. L'évaluation des risques
3. L'analyse des vulnérabilités
4. L'analyse de nouvelles vulnérabilités pour une informatique en nuage (cloud computing)
5. Les vulnérabilités des protocoles d'authentification

II. LES ATTAQUES CONTRE LE SYSTÈME D'INFORMATION
A. LA CLASSIFICATION DES ATTAQUES
1. Les modes opératoires de base
2. Les modes opératoires combinés
3. Les attaques sur la confidentialité et l'intégrité

B. LES ATTAQUES COMPLEXES ET CIBLÉES
1. Les attaques complexes
2. Les attaquants chevronnés
3. Les caractéristiques d'une cyberattitude
4. La cybercriminalité

III. LA FONCTION DE SURVEILLANCE DE LA SÉCURITÉ
A. RECOURS À LA CARTOGRAPHIE DES RISQUES
B. ACTIVITÉS DE SÉCURITÉ POUR LA DÉTECTION, L'ÉVALUATION ET LA REMÉDIATION DES INCIDENTS
1. La sécurité opérationnelle
2. L'audit de sécurité
3. L'investigation liée aux incidents

B. RÉACTION AUX ATTAQUES
1. L'analyse des flux
2. Le contrôle comme point fondamental, vers un contrôle multi-échelle

CHAPITRE VII - LA CULTURE DU NUMÉRIQUE ET L'ÉDUCATION À SA SÉCURITÉ

I. TEMPS ET CONTRETEMPS DE LA SÉCURITÉ NUMÉRIQUE
A. HYPERCONNEXION ET HYPORÉFLEXION
B. DES PRIORITÉS QUI RALENTISSENT

II. LES ACTEURS DE LA SÉCURITÉ NUMÉRIQUE
A. LES CONSEILS DE SÉCURITÉ DISPENSÉS AUX INDUSTRIELS PAR L'ANSSI
1. L'infogérance
2. Une forme particulière d'infogérance : l'informatique en nuage

B. LES INITIATIVES DES INDUSTRIELS EN MATIÈRE DE SÉCURITÉ NUMÉRIQUE

III. FAIRE DE L'ÉCONOMIE AVEC DU DROIT ?
 
CONCLUSION

RECOMMANDATIONS
 
RECOMMANDATIONS D'ORDRE GÉNÉRAL
I. DÉVELOPPER UNE CULTURE DU NUMÉRIQUE : FORMER ET INFORMER MASSIVEMENT TOUTES LES CLASSES D'ÂGE À L'INFORMATIQUE, DANS TOUS LES MILIEUX SOCIAUX
II. ASSURER LES CONDITIONS D'UNE AUTONOMIE NUMÉRIQUE POUR PRÉSERVER LA SOUVERAINETÉ
III. SE DONNER LES MOYENS DE LA SÉCURITÉ NUMÉRIQUE PAR UNE MEILLEURE COOPÉRATION ENTRE LES ACTEURS
IV. À PARTIR DE DISPOSITIONS ET DE PRATIQUES NATIONALES VERTUEUSES, CONSTRUIRE UN DROIT EUROPÉEN
V. ASSEMBLÉES PARLEMENTAIRES, COLLECTIVITÉS TERRITORIALES ET ADMINISTRATIONS

VADE-MECUM DE RECOMMANDATIONS DE SÉCURITÉ NUMÉRIQUE À L'USAGE DES ENTREPRISES
1. Les préalables à la sécurité numérique de l'entreprise 
2. La construction de la sécurité numérique de l'entreprise
3. L'appréciation critique continue de la structure numérique mise en place
4. Le parc informatique de l'entreprise
5. Les trois séries de distinctions à opérer
6. Les principes propres à l'utilisation de chaque réseau ou matériel numérique
7. Les réflexes de sécurité numérique à acquérir
8. L'évaluation de la sécurité numérique de l'entreprise
9. La construction d'une résilience de l'entreprise après une attaque numérique

ANNEXES
 
EXTRAITS DES RÉUNIONS DE L'OPECST DU 17 DÉCEMBRE 2014 ET DU 28 JANVIER 2015 : ADOPTION DU RAPPORT

SCHÉMA DE LA SÉCURITÉ NUMÉRIQUE : INSTANCES PUBLIQUES OU PRIVÉES EN CHARGE DE LA SÉCURITÉ NUMÉRIQUE POUVANT CONCERNER LA FRANCE

 EXEMPLE DE BULLETIN DE L'ANSSI (26 JANVIER 2015)
 
LA SÉCURITÉ NUMÉRIQUE PAR LE JEU : SCÉNARIO D'UN SERIOUS GAME - OCTOBRE 2013 RAPPORT DU CIGREF - RÉSEAU DE GRANDES ENTREPRISES
 
 BIBLIOGRAPHIE
 
 GLOSSAIRE
 
 LEXIQUE DES SIGLES

Revenir à la navigation

Fiche technique

Type de document : Rapport parlementaire

Pagination : 370 pages

Édité par : Sénat : Assemblée nationale

Collection : Les Rapports de l'OPECST

Revenir à la navigation