cyberespace et continuité d’activité paris, le 28 mars 2013

Cyberespace et continuité d’activité

Paris, le 28 mars 2013

Vers des cyber PCA (plans de continuité d’activité)

• Le cyberespace est aujourd'hui omniprésent, et régit/régule toutes nos organisations et activités, collectives ou individuelles.

• Particulièrement vrai de l’entreprise, qui ne le voit le plus souvent que comme un outil

• Comme tout outil, il peut faillir, par accident ou par volonté• Il peut faillir localement (soit une fonction de l’entreprise,

soit seulement l’entreprise par rapport à ses concurrents), ou de façon systémique– On peut ici renvoyer aux travaux des risques manageurs

• Milite pour le développement de cyber PCA

Plan

• Caractéristiques du cyberespace• Le cyberespace, lieu de la guerre économique• Démarche cyberstratégique de l’entreprise• Essais de plan de continuité de la cyberactivité

(cyberPCA)

Définition

• Le cyberespace, désormais omniprésent dans la vie des organisations (et des entreprises)

• le cyberespace est l’espace constitué des systèmes informatiques de toute sorte connectés en réseaux et permettant la communication technique et sociale d’informations par des utilisateurs individuels ou collectifs

Caractéristiques du cyberespace

1. Intangibilité relative2. Publicité, discrétion, opacité3. Mutabilité et artificialité4. Universalité 5. Pervasivité6. Mobiquité7. Flou et fluidité8. Dualités, duplicités9. Complexité10. Résilience

Les trois couches du cyberespace.

• Le cyber peut être articulé en trois couches différentes :– Couche matérielle– Couche logicielle– Couche sémantique (ou informationnelle)

Couche physique• Pour l’entreprise, une partie de ces moyens sont privatifs (et

lui appartiennent) quand beaucoup d’autres dépendent d’autres acteurs, à qui elle loue l’utilisation de services.

• Toutefois, elle peut utiliser certains services gratuitement (par exemple quand ses collaborateurs utilisent leurs moyens personnels pour travailler à la maison).

• La multiplicité des matériels et des services associés constitue d’emblée une source de fragilité de l’entreprise, si elle n’y prend pas garde, ce qui est le plus souvent le cas.

Couche logicielle• L’entreprise a une marge d’action sur les logiciels : en effet, selon le

prestataire où elle se les procure, elle choisit un niveau de risque et de confiance mais elle n’est jamais sûre que les logiciels ne cachent pas des portes dérobées qui seront utilisées par des agents hostiles [1].

• De même, elle fera appel à un fournisseur d’accès (à l’Internet ou à des réseaux privatifs) pour organiser ses flux de données, soit au sein de son organisation, soit entre elle et ses partenaires, par exemple par l’Internet.

• Là encore, la sûreté n’est pas qu’affaire de prix mais aussi de confiance et de procédure.

• A tout le moins, l’entreprise doit prendre conscience que ces deux sous-fonctions logiques sont sources de risque.

[1] En fait, tous les logiciels comportent des « portes dérobées », que celles-ci soient intentionnelles (placées là par le créateur du logiciel) ou non (erreur d’écriture, inévitable pour des programmes qui comptent des millions de lignes de code).

Couche sémantique

• considérer la nature extrêmement diverse de l’information dans l’entreprise :

• à bien y regarder, tout est information, qu’il s’agisse – des processus internes : recherche et développement,

processus d’organisation, plans financiers, états comptables, bases de données des ressources humaines, …

– ou externes : position marketing, communication financière, relations avec la presse, site Internet de vente en ligne, image de marque, goodwill….

• C’est à l’évidence une source de fragilité.

Plan


(cyberPCA)

Actions conflictuelles

• Que peut faire cet agresseur du cyberspace contre l’entreprise ?

• trois grandes intentions malveillantes : l’espionnage, le sabotage et la subversion

Espionnage

• informations sensibles de l’entreprise, qu’il s’agisse de son fonctionnement interne (finances, organisation, technologie, organisation)

• de sa posture externe (données financières, campagnes marketing, axes de développement stratégique)

• Logiciels espions, mais aussi utilisation des imprudences

• Cœur de l’entreprise, mais aussi ses extensions : mobiles, portables, smartphones, USB, BYOD, …

Sabotage

• Plus ou moins discret (cf. attaque Shamoon contre Aramco)

• Souvent deuxième couche, mais avec des corrélations troisième couche.– Ex, Anonymous attaque Visa, l’action perd 10 %

dans les quinze minutes….

Subversion• Troisième couche• Soutenir une cause militante, ou saper la réputation,

via viralité des réseaux sociaux, cf. Apple et ses sous-traitants en Chine

• Cf. Aussi les différentes réactions des industriels face au gaz de schiste (US, CAN, FR)

• Il ne s’agit pas seulement d’e-réputation, domaine dans lequel se sont spécialisés un certain nombre de communicants et marketeurs ;

• mais bien de l’utilisation du cyberespace dans la guerre informationnelle que se livrent les entreprises

Des failles dont les dirigeants n’ont pas conscience

• La plupart des entreprises qui se sont faites espionnées électroniquement sont incapables de dire « depuis quand » le dispositif est en place

• En moyenne, deux ans• Pendant deux ans, l’entreprise a agi entravée…

Désintérêt des dirigeants

• Informatique = technique• On se reporte sur directeur informatique• Mais ce n’est pas parce qu’il y a un directeur

financier que le dirigeant ne regarde pas les comptes…

• Raisons– Non responsabilité pas de sanction par marché ou par

autorité)– Croyance que phénomènes résultent de biais techniques

et donc marginaux

Du secret à la stratégie

• Peu de communication : quand ça arrive, doit rester secret

• D’ailleurs, après, véritable parano, souvent excessive.

• Mais le secret n’incite pas à modifier par imitation l’architecture de protection.

• Au-delà des palliatifs, nécessité d’une véritable cyberstratégie d’etp.

Plan


(cyberPCA)

Information cœur stratégique de l‘entreprise

• Facteurs de production classiques : capital, travail, management

• Nouveau FdP : l’information• A la fois acquise et créée• A la fois stock et flux• Pas seulement les courriels échangés, mais

« méta-information »

Méta-information de l’entreprise

• Travaux de recherche et développement (future VA de l’etp)

• Mise en œuvre des processus de production • Plan stratégique de l’entreprise • La structure et l’organisation sont ainsi

indicatives des efforts et des priorités de l’entreprise

Mais aussi :

• Démarche marketing (quel prix ? quelle marge ? quelle cible ? quel concurrent ? quel benchmarks ?)

• Données financières (cash-flow, flux de trésorerie, dettes, structure actionnariale).

• Lors de négo : état des positions, ses propres intentions, ses marges réelles de négo..

• Alors….

Cyberstratégie del ‘entreprise

• Stratégie de l’information• Élever la fonction sécurité• Interagir avec les alliés

Stratégie de l’information

• cartographier son information sensible, • définir des priorités – (ce qui incombe des choix : là où l’on veut être

fort, là où on accepte d’être faible. – Un objectif stratégique qui énonce « faire ceci tout

en faisant cela » n’énonce pas de priorité !).• Sachant ce qu’elle veut protéger, elle pourra

définir des procédures adéquates. • On ne peut pas « tout » protéger

Options

• Utiliser « Internet » ou choisir un réseau privé• Ordinateur lambda, ou ordinateur vierge

qu’on emmène à l’autre bout du monde pour les négociations

• Quelles procédure de CR de négo?• Veille informationnelle, war room, et autres

techniques IE

Elever la fonction « sécurité »

• L’information est au cœur de sa stratégie, et le dirigeant doit la comprendre comme un tout.

• Une stratégie informationnelle n’est pas simplement une stratégie de communication, c’est une stratégie globale.

• l’action de l’entreprise doit être encadrée par une méta-fonction de sécurité.

directeur « sécurité générale » (DSG)

• Doit être membre du COEX CODIR• Trois subordonnés :– Le responsable de la sécurité, en charge des

fonctions classiques de sûreté passive – Le directeur de la sécurité informatique : Il est plus

tourné vers l’intérieur de l’entreprise, et plus défensif.

– Le directeur de l’intelligence stratégique, en charge de la guerre informationnelle

deux lignes d’action stratégique

• Une première ligne sera principalement défensive, et visera à prévenir les atteintes à l’information d’entreprise

• Une seconde ligne sera principalement offensive, puisqu’il faudra façonner l’environnement (veille informationnelle, influence, guerre informationnelle)

Interagir avec le régulateur et les alliés de l’entreprise

• A la guerre, on n’est pas seul • la guerre économique, qui est revitalisée par

le cyberespace, a des connexions nombreuses avec les rivalités géopolitiques

• Etat : ex : ANSSI, Délégué IE (coordination ET discrétion)

• réseau d’entreprises partenaires : à l’heure des réseaux, il est logique de déployer les siens pour s’adapter à la réticulation générale

Plan


(cyberPCA)

Méthode PCA

• Étude du contexte (cartographie)• Événements redoutés• Risques (double critère de l’occurrence et de

l’impact)• Mesures de sécurité possibles• Plan d’action• Tests

Couche physique

• Distinguer les outils à usage interne (fonctionnement de l’organisation) de ceux à usage externe (relation client, relation au public)

• Serveurs : un, plusieurs, redondance ?• Câbles : fournisseurs, ou réseaux interne ? Généralisé ou

certaines fonctions ?• Connexions entre sites ?• Terminaux : unités centrales ? Homogénéité et suivi du

parc ?• Périphériques : imprimantes, scanners, graveurs,

modems…

Couche physique

• Stations blanches ?• Téléphonie (ordiphones ?) : fixe ou mobile• Dispositifs de surveillance (caméras, …) de

protection (badge, tourniquets) de fonctionnement industriel (SCADA)

• Informatique en nuage ?• AVPA (BYOD) ?

Couche logique

• Cartographie des logiciels : – bureautique, – de service (RH, paye, …), – industriels (SCADA), – de surveillance, – de protection (antivirus)

• Compatibilité, versions, ….• Sur toute l’entreprise ou certains sites ?

National vs international ou local

Couche logique

• Propriétaire ou locataire ? • Marque ou open source ?• Degré de confiance : nationalité, coût,

normes, expertise, sécurité vs fiabilité• Solutions intégrées ou juxtaposition ?• Dépendance aux SSI• Quel fournisseur de nuage ?

Couche sémantique interne

• Existe-t-il une cartographie des infos sensibles ?– R&D– Plan stratégique– RH– Finances– Négociations contractuelles

• Niveaux de classification/protection internes à l’entreprise ? Réseaux adaptés ?

• Dispositifs particuliers de protection?• Duplications papier ?• Systèmes d’alerte/contact en cas de panne

Couche sémantique externe

• Quelle protection du site grand public ?• Dispositif de vente en ligne ? Suivi du

catalogue ?• Dispositif de veille informationnelle

(intelligence économique) ? • Dispo d’e-réputation ?• War room de crise

informationnelle/communicationnelle ?

Conclusion

• Il s’est agit ici d’évoquer quelques pistes visant à établir des cyber PCA

• Outre la méthode traditionnelle des PCA, cela nécessite

• De distinguer les trois couches du cyber• De distinguer organisation interne et rapports

externes

Questions ?

cyberespace et continuité d’activité paris, le 28 mars 2013

Documents