Sécurité numérique et risques : enjeux et chances pour les entreprises - Tome I : rapport
Consulter nos sélections de rapports publics
En savoir plusDate de remise :
Temps de lecture > 30 minutes
Disponible en ligne :
Pour lire les formats PDF et ePub vous avez besoin d’un lecteur adapté.
Présentation
La commission des affaires économiques du Sénat a demandé à l'OPECST de conduire une étude sur l'ampleur des risques encourus par les entreprises du fait du numérique. L'OPECST devait étudier les aspects de la sécurité numérique qui seraient de nature à favoriser ou, au contraire, à entraver l'activité économique des entreprises. Après avoir mené une série d'auditions (disponibles dans un Tome II) et analysé les atouts et les fragilités des messages numériques et de leurs canaux de diffusion, les auteurs proposent d'abord une trentaine de recommandations d'ordre général (culture du numérique, souveraineté, coopération entre les acteurs, droit européen de la donnée) puis un vade-mecum de sécurité numérique à l'usage des entreprises.
Sommaire
PRÉAMBULE
INTRODUCTION - L'ACTUALITÉ DE LA SÉCURITÉ DU NUMÉRIQUE
CHAPITRE PREMIER - LE CONTEXTE INTERNATIONAL DE LA SÉCURITÉ NUMÉRIQUE DES ENTREPRISES
I. LA GOUVERNANCE TECHNIQUE DU NUMÉRIQUE À L'ÉCHELLE MONDIALE
A. LA GOUVERNANCE MONDIALE DE L'INTERNET
B. LA GOUVERNANCE MONDIALE DE LA SÉCURITÉ
II. LA GESTION MONDIALE DES INCIDENTS DE SÉCURITÉ NUMÉRIQUE
A. LES SERVICES DE VEILLE
B. LES INQUIÉTUDES GRANDISSANTES DES ÉTATS FACE AU NUMÉRIQUE
C. LES RAPPORTS DE FORCE ENTRE LES GÉANTS DE L'INTERNET, LES ÉTATS, LES ENTREPRISES ET LES CITOYENS
III. LE PROJET D'ACCORD DE LIBRE ÉCHANGE ENTRE LES ÉTATS-UNIS D'AMÉRIQUE ET L'UNION EUROPÉENNE
IV. VERS UNE EUROPE DU NUMÉRIQUE COHÉRENTE ?
V. SOUVERAINETÉ ET NUMÉRIQUE
A. UNE COLONISATION NUMÉRIQUE ?
B. LES LEÇONS TIRÉES PAR LES ÉTATS-UNIS D'AMÉRIQUE DES EXCÈS DE LA NSA
CHAPITRE II - LE CADRE NATIONAL DE LA MISE EN ŒUVRE DE LA SÉCURITÉ NUMÉRIQUE
I. NUMÉRIQUE ET LIBERTÉS
A. LE RAPPORT DU CONSEIL D'ÉTAT SUR LE NUMÉRIQUE ET LES DROITS FONDAMENTAUX
B. LIBERTÉ DE L'USAGE DU NUMÉRIQUE ET LIBERTÉS DE SES USAGERS
II. LA MISE EN ŒUVRE OPÉRATIONNELLE DE LA SÉCURITÉ NUMÉRIQUE
A. LA DIRECTION GÉNÉRALE DE L'ARMEMENT (DGA)
B. LE LABORATOIRE DE HAUTE SÉCURITÉ DU LABORATOIRE LORRAIN DE RECHERCHE EN INFORMATIQUE ET SES APPLICATIONS (LORIA)
C. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI)
D. LA GENDARMERIE NATIONALE
E. LES INDUSTRIELS
III. ORGANISATION DE LA SÉCURITÉ NUMÉRIQUE
A. LES INVESTIGATIONS DES OBSERVATOIRES PUBLICS ET PRIVÉS
B. L'INVESTIGATION POLICIÈRE
C. L'ASSURANCE CONTRE LE RISQUE CYBER
IV. LES OPÉRATEURS D'IMPORTANCE VITALE (OIV)
A. LA PROBLÉMATIQUE GÉNÉRALE
B. L'EXEMPLE DU SECTEUR DES TÉLÉCOMMUNICATIONS
C. L'EXEMPLE DU SECTEUR DE L'ÉNERGIE
CHAPITRE III - LA COMPLEXITÉ DU NUMÉRIQUE REND SA SÉCURITÉ POUR LES ENTREPRISES DIFFICILE À CONCEVOIR
I. VERS UNE REPRÉSENTATION DU NUMÉRIQUE DE NATURE À FACILITER SA CONNAISSANCE
A. L'ÉCHANGE ET LES COMMUNICATIONS HUMAINES
1. Le processus « vertical » ou interne de production des messages en vue de l'échange
2. Le processus « horizontal » ou externe de transport du message
3. Le niveau virtuel ou global de l'échange interindividuel et sociétal
B. L'ÉCHANGE ET LES COMMUNICATIONS NUMÉRIQUES
1. Le message comme objet de l'échange numérique
2. Le processus « vertical » ou interne de production de message numérique
3. Le processus « horizontal » ou externe de transport de message numérique
II. LES INFRASTRUCTURES DU NUMÉRIQUE
A. INFRASTRUCTURES DE SERVICES MUTUALISÉS POUR LES ÉCHANGES NUMÉRIQUES
1. Infrastructure de noms de domaine (DNS)
2. Infrastructure de routage et de messagerie
3. Infrastructure de navigation : les moteurs de recherche
B. INFRASTRUCTURES GLOBALES POUR LES SERVICES : LE NUAGE NUMÉRIQUE
1. Les quelques étapes clés
2. L'informatique en nuage comme changement de paradigme
3. Les modèles de services offerts par le nuage numérique
4. Les modèles de déploiements
5. Enjeux de sécurité du nuage numérique
CHAPITRE IV - FORCES ET FAIBLESSES DU SYSTÈME D'INFORMATION DE L'ENTREPRISE
I. LES TROIS NIVEAUX DE L'ENTREPRISE
A. LE RÔLE DU SYSTÈME DE DÉCISION
a) La connaissance de l'écosystème
b) La stratégie de l'entreprise (1) Identité de l'entreprise (2) Régulation et marché (3) Gestion des savoirs et savoir-faire (4) Règles d'usage et chartes
c) Les tableaux de bords
B. LE SYSTÈME D'INFORMATION ET DE COMMUNICATION
1. Le système d'information
2. Le système de communication
C. LE SYSTÈME DE PRODUCTION DE L'ENTREPRISE
1. Le concept d'industrie 4.0
2. Le Manufacturing Execution System (MES)
3. Le Supervisory Control And Data Acquisition (SCADA)
4. Les capteurs et actionneurs
II. ANALYSE CRITIQUE DU SYSTÈME D'INFORMATION DE L'ENTREPRISE
A. MODÉLISATION D'UN SYSTÈME D'INFORMATION EN VUE DE SON ÉLABORATION
B. LE SYSTÈME DE COMMUNICATION
1. Le Réseau Local d'Entreprise (RLE) (1) Le câblage (2) Le réseau IP
2. Le réseau local « radio » de l'entreprise ou Wi-Fi
3. L'interconnexion du système d'information de l'entreprise avec son système d'information industriel
4. Objets connectés dans l'entreprise
C. LES SERVICES
1. La relation client / serveur numérique
2. Les services réseaux
3. Les services applicatifs collaboratifs
4. Les services applicatifs liés aux métiers de l'entreprise
CHAPITRE V - LA SÉCURISATION DU SYSTÈME D'INFORMATION D'UNE ENTREPRISE
I. PRINCIPES DE SÉCURITÉ D'UN SYSTÈME D'INFORMATION
A. D'UNE VISION STRATÉGIQUE À UNE VISION OPÉRATIONNELLE
B. LES TROIS PROPRIÉTÉS FONDAMENTALES DE L'ÉTAT DE SÉCURITÉ
C. LES FONCTIONS DE SÉCURITÉ
D. ORGANISATION DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS
E. L'IMPÉRATIF D'AMÉLIORATION CONTINUE
II. MISE EN ŒUVRE DE LA PRÉVENTION DANS LE SYSTÈME D'INFORMATION D'UNE ENTREPRISE
A. POLITIQUES DE SÉCURITÉ DE L'ÉTAT ET DES ENTREPRISES
B. MISE EN PLACE D'UNE ARCHITECTURE POUR LA SÉCURISATION DU SYSTÈME D'INFORMATION
1. La ligne de défense périmétrique traditionnelle
2. Le pare-feu comme pièce maîtresse
3. Les zones d'accès selon la sensibilité des ressources
4. Les antivirus
C. CARACTÈRE DE L'AUTHENTIFICATION FORTE
1. Le mécanisme d'authentification
2. L'identification
3. La gestion des identités
4. Le protocole d'authentification
5. Les principaux protocoles d'authentification
D. HABILITATIONS
1. La définition des habilitations
2. L'accès aux répertoires
E. ARCHITECTURES ET PROTOCOLES POUR DES TUNNELS D'INTERCONNEXION SÉCURISÉS
1. Les architectures pour des tunnels d'interconnexion sécurisés
2. SSL : le maintien de la connexion sécurisée sur TCP/IP
CHAPITRE VI - LES FAILLES ET LES ATTAQUES NUMÉRIQUES COMPROMETTANT LA SÉCURITÉ DES ENTREPRISES
I. UN MILIEU HOSTILE
A. LES VULNÉRABILITÉS
1. Les vulnérabilités et menaces
2. La veille comme processus d'analyse des vulnérabilités
3. La vulnérabilité dite « zero-day », à corriger en zéro jour
B. ANALYSE GLOBALE DES RISQUES DANS LES ÉCHANGES NUMÉRIQUES
1. L'identification des éléments pour l'analyse des risques
2. L'évaluation des risques
3. L'analyse des vulnérabilités
4. L'analyse de nouvelles vulnérabilités pour une informatique en nuage (cloud computing)
5. Les vulnérabilités des protocoles d'authentification
II. LES ATTAQUES CONTRE LE SYSTÈME D'INFORMATION
A. LA CLASSIFICATION DES ATTAQUES
1. Les modes opératoires de base
2. Les modes opératoires combinés
3. Les attaques sur la confidentialité et l'intégrité
B. LES ATTAQUES COMPLEXES ET CIBLÉES
1. Les attaques complexes
2. Les attaquants chevronnés
3. Les caractéristiques d'une cyberattitude
4. La cybercriminalité
III. LA FONCTION DE SURVEILLANCE DE LA SÉCURITÉ
A. RECOURS À LA CARTOGRAPHIE DES RISQUES
B. ACTIVITÉS DE SÉCURITÉ POUR LA DÉTECTION, L'ÉVALUATION ET LA REMÉDIATION DES INCIDENTS
1. La sécurité opérationnelle
2. L'audit de sécurité
3. L'investigation liée aux incidents
B. RÉACTION AUX ATTAQUES
1. L'analyse des flux
2. Le contrôle comme point fondamental, vers un contrôle multi-échelle
CHAPITRE VII - LA CULTURE DU NUMÉRIQUE ET L'ÉDUCATION À SA SÉCURITÉ
I. TEMPS ET CONTRETEMPS DE LA SÉCURITÉ NUMÉRIQUE
A. HYPERCONNEXION ET HYPORÉFLEXION
B. DES PRIORITÉS QUI RALENTISSENT
II. LES ACTEURS DE LA SÉCURITÉ NUMÉRIQUE
A. LES CONSEILS DE SÉCURITÉ DISPENSÉS AUX INDUSTRIELS PAR L'ANSSI
1. L'infogérance
2. Une forme particulière d'infogérance : l'informatique en nuage
B. LES INITIATIVES DES INDUSTRIELS EN MATIÈRE DE SÉCURITÉ NUMÉRIQUE
III. FAIRE DE L'ÉCONOMIE AVEC DU DROIT ?
CONCLUSION
RECOMMANDATIONS
RECOMMANDATIONS D'ORDRE GÉNÉRAL
I. DÉVELOPPER UNE CULTURE DU NUMÉRIQUE : FORMER ET INFORMER MASSIVEMENT TOUTES LES CLASSES D'ÂGE À L'INFORMATIQUE, DANS TOUS LES MILIEUX SOCIAUX
II. ASSURER LES CONDITIONS D'UNE AUTONOMIE NUMÉRIQUE POUR PRÉSERVER LA SOUVERAINETÉ
III. SE DONNER LES MOYENS DE LA SÉCURITÉ NUMÉRIQUE PAR UNE MEILLEURE COOPÉRATION ENTRE LES ACTEURS
IV. À PARTIR DE DISPOSITIONS ET DE PRATIQUES NATIONALES VERTUEUSES, CONSTRUIRE UN DROIT EUROPÉEN
V. ASSEMBLÉES PARLEMENTAIRES, COLLECTIVITÉS TERRITORIALES ET ADMINISTRATIONS
VADE-MECUM DE RECOMMANDATIONS DE SÉCURITÉ NUMÉRIQUE À L'USAGE DES ENTREPRISES
1. Les préalables à la sécurité numérique de l'entreprise
2. La construction de la sécurité numérique de l'entreprise
3. L'appréciation critique continue de la structure numérique mise en place
4. Le parc informatique de l'entreprise
5. Les trois séries de distinctions à opérer
6. Les principes propres à l'utilisation de chaque réseau ou matériel numérique
7. Les réflexes de sécurité numérique à acquérir
8. L'évaluation de la sécurité numérique de l'entreprise
9. La construction d'une résilience de l'entreprise après une attaque numérique
ANNEXES
EXTRAITS DES RÉUNIONS DE L'OPECST DU 17 DÉCEMBRE 2014 ET DU 28 JANVIER 2015 : ADOPTION DU RAPPORT
SCHÉMA DE LA SÉCURITÉ NUMÉRIQUE : INSTANCES PUBLIQUES OU PRIVÉES EN CHARGE DE LA SÉCURITÉ NUMÉRIQUE POUVANT CONCERNER LA FRANCE
EXEMPLE DE BULLETIN DE L'ANSSI (26 JANVIER 2015)
LA SÉCURITÉ NUMÉRIQUE PAR LE JEU : SCÉNARIO D'UN SERIOUS GAME - OCTOBRE 2013 RAPPORT DU CIGREF - RÉSEAU DE GRANDES ENTREPRISES
BIBLIOGRAPHIE
GLOSSAIRE
LEXIQUE DES SIGLES
Fiche technique
Type de document : Rapport parlementaire
Pagination : 370 pages
Édité par : Sénat : Assemblée nationale
Collection :
Les Rapports de l'OPECST