• Home

  • Documents

  • Les cybermenaces, quels risques pour les entreprises · Les cybermenaces, quels risques pour les...
6
Les cybermenaces, quels risques pour les entreprises ? page 1/6 Les cybermenaces, quels risques pour les entreprises ? Compte-rendu de l'évènement Chaire Castex / Forum ATENA le 21 mai au Medef national _____________________________________________________ Le 21 mai après-midi, la chaire Castex de Cyberstratégie a organisé le premier volet d'une série de trois évène- ments qui répondent à la question "Pourquoi les en- treprises ont-elles besoin d'une cyberstratégie ?". L'atelier sécurité de Forum ATENA s'est occupé des as- pects logistiques, dans la tradition de ses grands évène- ments. Le thème de ce premier volet a porté sur "les cy- bermenaces, quels risques pour les entreprises ?". Cet évènement s'est tenu dans le grand amphithéâtre du Medef national, 55 avenue Bosquet Paris 7eme, mis à no- tre disposition par le Medef national, lieu très pertinent car l'évènement ciblait principalement les entreprises, pe- tites et grandes. Les associations organisatrices Jean-Louis Schilansky, président du Medef Paris nous souhaite la bienvenue dans ce grand amphithéâtre du Medef national et exprime sa satisfaction et ses re- merciement pour l'organisation de cet évènement dont le thème est devenu incontournable pour les dirigeants des entreprises françaises. Il reste encore beaucoup à faire pour que la cybersécurité soit mieux appréhendée, et cet évènement y contribue. Martine Marandel, présidente du cercle d'Intelli- gence Economique du Medef Ile-de-France, évoque le travail d'évangélisation à la sécurité de l'information en- trepris chaque mois et depuis deux ans dans le cadre des "Lundi de l'IE". Le Medef IdF organise le 25 novembre, son colloque annuel sur le thème : "Comment trouver des partenaires pour assurer sa croissance ?". Frédérick Douzet, titulaire de la Chaire Castex de cy- berstratégie et directrice adjointe de l'Institut Français de Géopolitique présente la Chaire, créée par l'IHEDN et la fondation EADS. Elle annonce ses futures manifestations. Le deuxième volet de cette série d'évènements sur la cy- berstratégie est prévu pour le mois d'octobre 2013, et se- ra une suite de celui-ci sur les cyber-risques en entre- prise. Le deuxième volet de cette trilogie portera sur la stratégie à mettre en place dans les entreprises pour di- minuer les risques induits par le cyberespace. Philippe Recouppé, président de l'association Forum ATENA évoque l'importance de garder confiance dans le monde du numérique, malgré les menaces qui nous en- tourent. Ces menaces sont également autant d'opportuni- tés pour développer le marché de la cybersécurité. Il dé- crit l'approche très ouverte des différents ateliers qui composent l'association Forum ATENA : Atelier sécurité, mais aussi intelligence économique, innovation, identité numérique, juridique, hébergement... Philippe Recouppé conclut en insistant sur le fait que l'association a besoin de toutes vos compétences, et que vous pouvez y adhé- rer pour la renforcer. Le général 2S, Jean-Louis Desvignes, président de l'ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l'Information) décrit les évènements récents organisés par l'ARCSI. Parmi ceux-ci, le colloque de Metz sur la sécurité au cœur de l'IE, l'exposition sur la crypto- logie hébergée actuellement par le musée des transmis- sions à Rennes, qui montre le patrimoine historique très riche de l'association. Cette exposition sur la cryptologie et la science du secret va devenir itinérante. Il précise quelques grands noms qui ont rejoint l'ARCSI. Il cite le professeur et cryptologue Jean-Jacques Quisquater et David Kahn historien US de la cryptologie. Comme nou- velle personnalité qui vient de rejoindre les rangs de l'ARCSI, il cite Frédérick Douzet, organisatrice de cet évè- nement. Puis, une conférence plénière et deux tables rondes ont réuni des experts, chercheurs et représentants des en- treprises, pour traiter les questions : Cyber espionnage, fuite d'information, vol et destruction de données, mani- pulation, e-reputation, quelles sont les menaces ? Com- ment opèrent les attaquants ? Comment évaluer leur coût pour l'entreprise, pour l'économie nationale ? Ce risque est-il assurable ? Quelles sont les entreprises à risques ? Quels sont les points de vulnérabilité des entreprises ? Quel intérêt présente une stratégie globale de cybersécu- rité ?

Les cybermenaces, quels risques pour les entreprises · Les cybermenaces, quels risques pour les entreprises ? page 1/6 Les cybermenaces, quels risques pour les entreprises ? Compte-rendu

Embed Size (px)

Citation preview

Page 1: Les cybermenaces, quels risques pour les entreprises · Les cybermenaces, quels risques pour les entreprises ? page 1/6 Les cybermenaces, quels risques pour les entreprises ? Compte-rendu

Les cybermenaces, quels risques

pour les entreprises ?

page 1/6

Les cybermenaces, quels risques pour les entreprises ?

Compte-rendu de l'évènement Chaire Castex / Forum ATENA

le 21 mai au Medef national

_____________________________________________________ Le 21 mai après-midi, la chaire Castex de Cyberstratégie a organisé le premier volet d'une série de trois évène-ments qui répondent à la question "Pourquoi les en-treprises ont-elles besoin d'une cyberstratégie ?". L'atelier sécurité de Forum ATENA s'est occupé des as-pects logistiques, dans la tradition de ses grands évène-ments. Le thème de ce premier volet a porté sur "les cy-bermenaces, quels risques pour les entreprises ?". Cet évènement s'est tenu dans le grand amphithéâtre du Medef national, 55 avenue Bosquet Paris 7eme, mis à no-tre disposition par le Medef national, lieu très pertinent car l'évènement ciblait principalement les entreprises, pe-tites et grandes.

Les associations organisatrices Jean-Louis Schilansky, président du Medef Paris nous souhaite la bienvenue dans ce grand amphithéâtre du Medef national et exprime sa satisfaction et ses re-merciement pour l'organisation de cet évènement dont le thème est devenu incontournable pour les dirigeants des entreprises françaises. Il reste encore beaucoup à faire pour que la cybersécurité soit mieux appréhendée, et cet évènement y contribue. Martine Marandel, présidente du cercle d'Intelli-gence Economique du Medef Ile-de-France, évoque le travail d'évangélisation à la sécurité de l'information en-trepris chaque mois et depuis deux ans dans le cadre des "Lundi de l'IE". Le Medef IdF organise le 25 novembre, son colloque annuel sur le thème : "Comment trouver des partenaires pour assurer sa croissance ?". Frédérick Douzet, titulaire de la Chaire Castex de cy-berstratégie et directrice adjointe de l'Institut Français de Géopolitique présente la Chaire, créée par l'IHEDN et la fondation EADS. Elle annonce ses futures manifestations. Le deuxième volet de cette série d'évènements sur la cy-berstratégie est prévu pour le mois d'octobre 2013, et se-ra une suite de celui-ci sur les cyber-risques en entre-prise. Le deuxième volet de cette trilogie portera sur la stratégie à mettre en place dans les entreprises pour di-minuer les risques induits par le cyberespace. Philippe Recouppé, président de l'association Forum ATENA évoque l'importance de garder confiance dans le monde du numérique, malgré les menaces qui nous en-

tourent. Ces menaces sont également autant d'opportuni-tés pour développer le marché de la cybersécurité. Il dé-crit l'approche très ouverte des différents ateliers qui composent l'association Forum ATENA : Atelier sécurité, mais aussi intelligence économique, innovation, identité numérique, juridique, hébergement... Philippe Recouppé conclut en insistant sur le fait que l'association a besoin de toutes vos compétences, et que vous pouvez y adhé-rer pour la renforcer. Le général 2S, Jean-Louis Desvignes, président de l'ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l'Information) décrit les évènements récents organisés par l'ARCSI. Parmi ceux-ci, le colloque de Metz sur la sécurité au cœur de l'IE, l'exposition sur la crypto-logie hébergée actuellement par le musée des transmis-sions à Rennes, qui montre le patrimoine historique très riche de l'association. Cette exposition sur la cryptologie et la science du secret va devenir itinérante. Il précise quelques grands noms qui ont rejoint l'ARCSI. Il cite le professeur et cryptologue Jean-Jacques Quisquater et David Kahn historien US de la cryptologie. Comme nou-velle personnalité qui vient de rejoindre les rangs de l'ARCSI, il cite Frédérick Douzet, organisatrice de cet évè-nement. Puis, une conférence plénière et deux tables rondes ont réuni des experts, chercheurs et représentants des en-treprises, pour traiter les questions : Cyber espionnage, fuite d'information, vol et destruction de données, mani-pulation, e-reputation, quelles sont les menaces ? Com-ment opèrent les attaquants ? Comment évaluer leur coût pour l'entreprise, pour l'économie nationale ? Ce risque est-il assurable ? Quelles sont les entreprises à risques ? Quels sont les points de vulnérabilité des entreprises ? Quel intérêt présente une stratégie globale de cybersécu-rité ?

Page 2: Les cybermenaces, quels risques pour les entreprises · Les cybermenaces, quels risques pour les entreprises ? page 1/6 Les cybermenaces, quels risques pour les entreprises ? Compte-rendu

Les cybermenaces, quels risques

pour les entreprises ?

page 2/6

La conférence plénière Frédérick Douzet donne la parole à David Naccache, cryptologue, professeur à Paris II, membre du laboratoire de recherche en informatique de l'Ecole Normale Supérieure de la rue d'Ulm, et membre de l'ARCSI. La conférence plénière commence, avec pour objectif de répondre à la question "Pourquoi les entreprises ont-elles besoin d'une cyberstratégie ?". David Naccache fait part de son expérience et de ses interventions dans des entreprises, en France et à l'étranger, comme le Qatar et Singapour, qui ont subit récemment de violentes attaques sur leurs réseaux, ciblant leur information. La guerre électronique qui consiste à écouter l'adversaire, le localiser, brouiller ses communications, est devenue presque une banalité. Mais avec la cyberguerre, nous entrons dans une ère nouvelle. Les attaquants prennent le contrôle des systèmes d'in-formation et des infrastructures industrielles de l'adver-saire, pour en perturber le fonctionnement. Perturber à distance les transports urbains en agissant sur les feux tricolores n'est pas aujourd'hui du seul do-maine de la science fiction. Les systèmes industriels sont fragiles. David Naccache fait une analogie avec ce bateau de pêche au homard, au Canada, dont un hublot a été brisé par un coup de chaise ; l'eau s'est engouffrée dans les cales, a endommagé des fils électriques et coupé la radio, et finalement le bateau a coulé. Il cite une attaque sur un site Web avec la saisie d'un URL d'une taille suffi-samment grande. Cet URL a écrasé la pile, les data et une partie du code exécutable du serveur Web qui ne contrôlait pas la taille des URL saisis. Cette attaque a causé l'exécution d'un code malveillant contenu à la fin de l'URL. David Naccache parle des rootkits qui se ren-dent invisibles au système d'exploitation. Même en fai-sant "Ctrl Alt Sup", on ne peut déceler leur présence. On ne croit trop souvent aux attaques informatiques qu'une fois qu'on a constaté leur existence. Elles sont comme le cygne noir. On a longtemps pensé, en Europe, qu'un cygne était forcément blanc. On a cessé de faire, de cette pensée une vérité dès qu'a été découvert, en Australie, un cygne de couleur noire. Qui sont les attaquants du cyberespace ? On peut différencier quatre types d'attaquants : 1. Les hackers académiques qui essaient d'attaquer en

restant dans les limites fixées par la loi du pays où se trouve l'organisation ciblée.

2. Le criminel moyen, type mafiosi, qui veut obtenir le gain de ses larcins, le plus facilement et le plus rapi-

dement possible. Celui-là abandonne ses attaques quand il rencontre trop d'obstacles. Il cherche alors une proie plus facile.

3. Les agences gouvernementales, qui ont le temps, le budget et la compétence pour attaquer.

4. Le hacker en société, type groupe des Anonymous, qui attaque une cible précise jusqu'à ce qu'il soit parvenu à un résultat. Lui ne renonce jamais et veut tirer une parcelle de gloire de ses attaques pour que sa compétence soit reconnue dans son milieu social.

Mode fourmi et mode sauterelle, comment forme-t-il un hacker dans l'enseignement supérieur ?

1. En mode fourmi. Par petits groupes, les élèves déve-loppent des outils d'attaque, qui leur permettent de parfaire leurs connaissances techniques. Cela peut prendre deux ans, parfois plus.

2. En mode sauterelle. Ils cherchent à profiter de l'inat-tendu, par exemple d'une faille qu'ils constatent dans un logiciel. Ils utilisent aussi le "data mining". Par exemple ils essaient de localiser un suspect par les traces laissées par son GPS, et par celles des GPS de ceux qu'il approche. On leur apprend à reconstituer le contenu effacé d'une mémoire de téléphone mo-bile.

Même deux PC séparés, chacun dans une cage de Fara-day, chacun entouré d'une gaine de résine, puis enfer-més chacun dans une boîte, et posés côte à côte de part et d'autre d'une frontière d'où les communications sont difficiles (exemple Israël / Syrie) peuvent communiquer en exploitant, chacun, la chaleur que l'autre dégage. Cette chaleur est fonction de l'utilisation des ressources. La dérivée de la température (sa montée ou sa des-cente), et son intégrale (variation dans le temps) donnent des informations des plus intéressantes. L'information, par le biais de la chaleur dégagée, se transmet ainsi d'une machine à l'autre. C'est ce genre de manipulation qu'on enseigne aux apprentis hackers pour les former aux attaques par canaux cachés.

La parole est donnée à la salle, puis, autour de Frédérick Douzet, s'installe la première table ronde, qu'elle préside, pour traiter le thème : "Panorama et coûts des cyberme-naces".

Page 3: Les cybermenaces, quels risques pour les entreprises · Les cybermenaces, quels risques pour les entreprises ? page 1/6 Les cybermenaces, quels risques pour les entreprises ? Compte-rendu

Les cybermenaces, quels risques

pour les entreprises ?

page 3/6

Table ronde 1 : Panorama et coûts des cybermenaces

Jean-Marc Grémy vice-président du Clusif, Laurent Ber-nat, analyste des politiques publiques à l’OCDE en ma-tière de cybersécurité et protection de la vie privée, Her-vé Guillou, EADS, stratège et créateur de l'entité Cassi-dian CyberSecurity et Alexandra Gavarone, directrice du développement France de Beazley, société d'assurances, prennent place.

Jean-Marc Grémy, Cabestan Consultants et vice-président du Clusif donne un rapide aperçu de ce qu'est le Clusif (Club de la Sécurité de l'Information Français). La dernière étude du Clusif en matière de tendance et phénomènes nouveaux sur le terrain de la cybercriminali-té (Panorama de la Cybercriminalité 2012) a souligné que plus de cent millions de fichiers malveillants ont été répertoriés dans le cyberespace, à une cadence de 90 000 nouveaux fichiers infectés par jour. Plus de six mil-lions de PC prennent place dans un botnet chaque mois, et envoient 95% de SPAM et attaques en DDoS (attaques en déni de services distribué). 400 000 logiciels malveil-lants ciblent les mobiles dont 350 000 le système An-droid. McAfee répertorie 10 000 nouveaux sites malveil-lants par jour.

La menace évolue. Depuis 2006, les attaques se sont professionnalisées. En 2007, le cyberespionnage a été décelé. 2008 a marqué l'aube des guerres numériques. 2009 fut l'année du Web 2.0. 2010 celle des APT (mena-ces persistantes avancées). Les rapports d’institutions françaises comme Observatoire de la Sécurité des Cartes de Paiement ou Observatoire National de la Délinquance et des Réponses Pénales pointent du doigt l’intérêt gran-dissant des cybercriminels pour la fraude à l’économie réelle, en particulier les cartes bancaires. La France n’est pas indemne, l’étude fait état d’actes criminels à l’égard d’intérêts français, elle met aussi en avant les succès des forces de l’ordre dans leurs actions à leur encontre. Il est intéressant de noter la diversité de l’origine des menaces. Le spectre couvre le pirate/hacker isolé aux officines d’état. Bien sûr, les motivations sont toutes aussi variées.

A partir de 2011, les hacktivistes ont sévi sur les réseaux (des anonymous, aux cyber-indignés en passant par les états). Les systèmes industriels ne restent pas isolés du monde de la cybercriminalité, les attaques sur les SCADA (attaques sur les infrastructures industrielles sensibles) nous menacent, comme, par exemple, celles sur les sys-tèmes de distribution d'eau au Brésil.

Aujourd'hui nous constatons que les enjeux dépassent largement le cadre du périmètre de l’entreprise. Celle-ci est prise en otage directement par le fait d’actes malveil-lants ou indirectement par l’atteinte ses partenaires, voire à son pays. C’est dans ce contexte, que nous verrons demain de nouveaux actes cybercriminels à destination des infrastructures critiques des entreprises et des na-tions, des atteintes aux systèmes embarqués ainsi qu’aux équipements de loisir. Se profile t’il l’aube d’une cyber-guerre ?

Hervé Guillou, EADS, apporte une réponse au coût de la cybersécurité et de la cybercriminalité : On ne les connait pas ! Les experts ne peuvent fournir aujourd'hui de chiffres fiables. Il existe toutefois quelques guidelines qui apportent un début de réponse. Les chiffres avancés pour la cybersécurité se situent entre 50 à 290 millions de dollars par an.

Si personne ne peut apporter de chiffres fiables, c'est qu'on ne dispose d'aucunes statistiques précises, et donc les sociétés d'assurances sur le marché de la cybercrimi-nalité ne peuvent établir des chiffres assez précis pour élaborer des polices d'assurance rentables.

Le monde entretient encore dans ce domaine l'obscuran-tisme et l'ignorance, qui ne permettent pas de mesurer le risque. Constater que son information a subit une attaque est encore considéré comme une maladie honteuse, ce qui n'encourage pas la révélation des agressions. Les cy-bercriminels ont la vie belle, analogue à celle des pirates qui attaquaient les galions espagnols, qui transportaient les richesses issues du nouveau monde.

Il est bien évidemment beaucoup moins coûteux pour un pays de lancer une cyberattaque qu'un missile balistique. Avec les adresses IP qui sont passés, de 500 millions en 2006, à 12,6 milliards en 2012 et atteindront le chiffre de 25 milliards en 2015, les défenseurs sont de plus en plus vulnérables et le risque augmente donc considérable-ment.

Illustrons les conséquences de quelques cyberattaques : Sony s'est fait dérober 120 millions de comptes utilisa-teurs de ses clients, avec les renseignements contenus dans leur cartes de paiement. Cette attaque a entrainé la perte de confiance de ses clients qui se retournent contre cette société qui n'a pas été capable d'assurer la sécurité de leurs données à caractère personnel. Aramco a vu le contenu de 30 000 des PC de ses employés détruits, en-travant la gestion de l'industrie pétrolière de l'Arabie Saoudite pendant plusieurs jours. Une banque de Mas-

Page 4: Les cybermenaces, quels risques pour les entreprises · Les cybermenaces, quels risques pour les entreprises ? page 1/6 Les cybermenaces, quels risques pour les entreprises ? Compte-rendu

Les cybermenaces, quels risques

pour les entreprises ?

page 4/6

cate a perdu, très récemment, en quelques heures 45 millions de dollars suite à une attaque sur ses cartes pré-payées, que les pirates avaient volées et fait sauter la li-mite supérieure de paiement. Cette attaque a entrainé, outre cette perte d'argent, un préjudice grave sur la ré-putation de cette banque. L'aspect matériel des pertes subites n'est, bien entendu, pas le seul aspect à considé-rer.

On a longtemps cru que le ris-que était limité à la message-rie, mais on s'est aperçu qu'il s'étend aujourd'hui au do-maine de la gestion des infras-tructures industrielles, des process temps réel et de l'adressage IP. Le chiffrage du coût des risques pesant sur la gestion des infrastructures in-dustrielles dépasse les compé-tences du directeur de l'IT. Ces risques portent non seu-lement sur l'informatique mais aussi sur le bon fonctionne-ment du système industriel et sur les produits que l'en-treprise vend. Certains chiffres affirment que 70% des in-dustries françaises ont été confrontées à une attaque en 2012, les 30% restant l'ont été aussi mais ne le savent pas, ou pas encore. En effet, le temps moyen entre une attaque et la découverte de celle-ci est en moyenne de 416 jours.

Aujourd'hui, seules 34% des entreprises mondiales adressent la gestion des risques cyber et seulement 5% d'entre elles ont confié la tâche de cette analyse à un "Risk officer", expert du domaine. En fait, il convient de sortir le risque cyber du cadre du seul risque informati-que, car le risque porte aussi sur des éléments non in-formatiques comme la confiance ressentie par les clients, l'e-réputation, la gouvernance et la possibilité, pour une entreprise de mener à bien sa stratégie.

Laurent Bernat, OCDE, souligne les efforts de son or-ganisation pour dresser un panorama des cybermenaces et de leurs coûts. L'OCDE est une organisation intergou-vernementale basée à Paris. Son credo est d'aider les états à développer des politiques meilleures pour des vies meilleures. Elle s'intéresse essentiellement à la dimension économique et sociale.

Depuis 1980, l'OCDE s'intéresse à la confiance dans l’environnement numérique et, depuis 1992, à la sécurité des systèmes d'information. Mais comme l'a dit Hervé Guillou, elle n'a, elle aussi, pas d’idée précise aujourd'hui des coûts engendrés par les cybermenaces, car aucune donnée quantitative n'est d'assez bonne qualité pour être utilisée de façon fiable. Une coopération avec la commu-nauté des CSIRT (Computer Security Incident Response Team) a cependant été lancée en 2013 pour améliorer la comparabilité de leurs statistiques. Sur le plan qualitatif,

une comparaison des stratégies nationales de cybersécu-rité dans dix pays permet de conclure que les Etats re-connaissent une augmentation significative du risque. L'ensemble de la société est concerné. C'est désormais une priorité de politique publique tant au plan économi-que qu’en matière de souveraineté.

Quels messages peut-on pas-ser aux entreprises ? La me-nace qui augmente doit influer sur la façon dont les entrepri-ses perçoivent les risques. L’ouverture par défaut du monde du numérique est le terreau de l’innovation. Elle constitue aussi un facteur de démultiplication des risques. Pour y faire face, il est urgent que les entreprises abordent la cybersécurité dans leur straté-gie de gestion des risques. C’est le sens de la révision en cours des Lignes directrices de l’OCDE sur la sécurité des sys-

tèmes d’information et des réseaux de 2002.

Alexandra Gavarone, Beazley compagnie d'assu-rance qui a fait notamment sa notoriété aux USA en apportant aux entreprises des solutions d'assurance en cas de perte de données, indique que dans 26% des cas, le piratage de données provient de la perte de matériel (portables, clés USB).

Tous les types d'établissement ont une sensibilité à la protection des données et notamment les établissements de santé qui sont l'un des premiers acheteurs de ce genre de solution d'assurance aux USA.

Aux Etats-Unis, les organisations sont tenues de déclarer à leurs clients toute perte de données les concernant. En Europe et également en France, une directive de 2011 impose cette même obligation aux sociétés du secteur des télécommunications. Cette directive devrait être étendue à l'ensemble des secteurs.

A ce jour les sociétés du CAC 40 réfléchissent à ce type de solution pour protéger leurs données. Certaines ont déjà fait le pas. Cela vient graduellement dans les PME.

Dans la solution de Beazley, un Data Breach Response Manager est mis à disposition et gère le risque pour le compte de l'organisation cliente. Cet acteur est appelé à connaître une influence grandissante.

La partie assurancielle peut couvrir la perte d'exploitation, les conséquences des cyber-extorsions, les démarches de déclaration des pertes aux autorités, les frais de notifica-tions et les conséquences pécuniaires qu'une organisation pourrait être amenée à payer.

Page 5: Les cybermenaces, quels risques pour les entreprises · Les cybermenaces, quels risques pour les entreprises ? page 1/6 Les cybermenaces, quels risques pour les entreprises ? Compte-rendu

Les cybermenaces, quels risques

pour les entreprises ?

page 5/6

La société ARAMCO a subit par exemple une interruption de 23 jours d'exploitation, suite une attaque Iranienne qui, par un ver, avait détruit les informations contenues dans 30 000 de ses PC. Ceci peut être chiffrable, mais la perte d'image peut difficilement être monétisée. Dans le cas de la banque de Mascate, où plusieurs dizaines de millions de dollars ont été retirés par carte prépayée, dont les cyberpirates avaient fait sauter la limite de re-trait, c'est aussi une attaque chiffrable.

La parole est alors donnée largement à la salle, et les questions fusent.

La pause et la loterie Dans la grande tradition des évènements de l'atelier sécurité de Forum ATENA, une loterie gratuite a été organisée après la pause, avec des livres à gagner pour celles et ceux qui avaient déposé une carte de visite ou équivalent dans l'urne. Les auteurs des livres offerts comme lots, présents dans la salle, ont dédicacés leurs livres en direct, aux heureux gagnants, avec photo de la remise des lots. Les participants ont été par-ticulièrement gâtés car six livres, quatre offerts par Fo-rum ATENA, deux offerts par Frédérick Douzet ont été distribués et dédicacés.

Table ronde 2 : Risques et vulnérabili-tés qui pèsent sur les entreprises

Autour de Frédérick Douzet, Christian Daviot, chargé de mission stratégie à l'ANSSI, Sébastien Héon, directeur des relations institutionnelles chez Cassidian CyberSecuri-ty et Olivier Kempf, maître de conférences à Sciences Po

Paris, traitent des risques et des vulnérabilités qui pèsent sur les entreprises. Christian Daviot, ANSSI, précise tout d'abord que souvent l'attaquant fait preuve d'une bien meilleure connaissance du réseau attaqué que son gestionnaire. Pour sensibiliser les organisations à la sécurité de l'infor-mation, nous n'avons pas dix ans devant nous. Si on tarde, la désindustrialisation de la France va se produire à grande vitesse. La question majeure est la compétitivité de nos entreprises. L'ANSSI travaille sur l'évangélisation des chefs d'entre-prise pour les persuader qu'il faut agir, maintenant. Sébastien Héon, Cassidian CyberSecurity, rappelle qu'il se passe en moyenne 416 jours entre une attaque et sa découverte. D'autre part 100% des entreprises qui se sont fait dérober ou corrompre des informations avaient leur antivirus à jour, et 94% d'entre elles apprennent par l'extérieur qu'elles ont été attaquées. Alors que faire ? Il faut faire preuve de bon sens. Il faut savoir détecter les attaques et minimiser leurs impacts. Il faut ensuite soigner sa communication. Il faut innover pour inventer les outils de sécurité de demain. Olivier Kempf, Science Po, parle de la difficulté d'at-tribution d'une attaque qui peut être masquée par ses auteurs. Il avance que ce ne sont pas 416 jours qui s'écoulent, en moyenne, entre une attaque et sa décou-verte mais plutôt plus de 2 ans. L'entreprise est ouverte et les attaquants sont cachés. Le cyberespace est un espace très technique, et ne limite pas qu'à ses aspects physiques (fibres optiques, câbles, satellites). Les données qu'il transporte ont une sémanti-que qui peut aussi être sujette des attaques. Le cyberes-pace est devenu le champ de bataille privilégié de la guerre économique On peut distinguer trois types d'attaques : 1. L'espionnage pour voler des informations sensibles 2. Le sabotage pour détruire ces informations 3. La subversion pour manipuler le sens de cette infor-

mation. On pense souvent que, qui dit "cyber" dit "informatique" donc "technique" et que c'est ainsi du ressort du seul RSSI, mais non ! Pour le dirigeant le cyber, c'est sa res-ponsabilité civile qui est engagée, voire la vie de son or-ganisation. Nortel, par exemple, a été en situation très préoccupante après s'être fait piller toute son information stratégique pendant des années. La valeur de la marque, la valeur de l'information sont autant d'éléments à pren-dre en compte, et l'entreprise se définit par son périmètre informationnel plus que par ses frontières physiques. Le Big Data met une quantité énorme d'informations à la portée des entreprises. Apple, Nespresso, pour ne citer que ces deux entreprises, l'ont compris et exploitent les données fournies par les clients pour mieux leurs offrir

Page 6: Les cybermenaces, quels risques pour les entreprises · Les cybermenaces, quels risques pour les entreprises ? page 1/6 Les cybermenaces, quels risques pour les entreprises ? Compte-rendu

Les cybermenaces, quels risques

pour les entreprises ?

page 6/6

des services personnalisés. D'autres entreprises qui ne l'exploitent pas sont en grande difficulté Cartographier l'information, faire des choix sur les forces et les faiblesses qu'elle représente, pour décider où pla-cer les investissements en sécurité, car on ne peut tout protéger, n'est pas du ressort du RSSI mais incombe au dirigeant. La parole est donnée aux participants. Des questions très pertinentes sont posées et des réponses très instructives sont proposées.

Le coin des sponsors

La parole est donnée aux quatre sponsors qui nous ont permis d'offrir un cocktail à la suite de l'évènement : Alma CG, qui présente en particulier le projet R&T Insec, Orange, l'Institut Français de Géopolitique de l'université Paris 8 et Checkphone. Quelques mots aussi sur le projet

Futuribles, et les conversations continuent autour d'un cocktail.

En conclusion Je termine par l'appréciation de la présidente du cercle d'intelligence économique du Medef Ile-de-France qui il-lustre bien ce que fut ce grand évènement : "J’ai trouvé que le Forum était très équilibré, une partie de très haut niveau très technique avec Monsieur Naccache et une partie pratique pour les utilisateurs avec une analyse des risques futurs. Les intervenants étaient tous de qualités et Madame Frédérick Douzet a mené les tables rondes avec grand professionnalisme".

Un compte rendu de l'évènement, les slides utilisés et les photos seront bientôt sur le Web.

Gérard Peliks Président de l'atelier sécurité de Forum ATENA

[email protected]

Retrouvez le reportage photo sur cet évènement en http://www.forumatena.org/?q=node/447

Les associations organisatrices Les sponsors de l'évènement


QUELS SAVOIRS ENSEIGNER DANS LES LYCEES

QUELS SAVOIRS ENSEIGNER DANS LES LYCEES

Documents
Snapchat, quels enjeux pour les marques ?

Snapchat, quels enjeux pour les marques ?

Marketing
Forum du Rhin supérieur sur les Cybermenaces · © 2010 Daniel GUINIER 3 Forum du Rhin supérieur sur les Cybermenaces Salle des conférences de l'ENA àStrasbourg le 25 nov. 2010

Forum du Rhin supérieur sur les Cybermenaces · © 2010 Daniel GUINIER 3 Forum du Rhin supérieur sur les Cybermenaces Salle des conférences de l'ENA àStrasbourg le 25 nov. 2010

Documents
Quels sont les usages de l’imparfait?

Quels sont les usages de l’imparfait?

Documents
Les nanomatériaux: Quels enjeux pour les travailleurs?

Les nanomatériaux: Quels enjeux pour les travailleurs?

Documents
Quels déterminants pour les politiques comptables dans les

Quels déterminants pour les politiques comptables dans les

Documents
Les directeurs de sécurité des entreprises et les cybermenaces Décembre 2012

Les directeurs de sécurité des entreprises et les cybermenaces Décembre 2012

Documents
LES SUISSES ROMANDS ET LES RÉSEAUX SOCIAUX: QUELS

LES SUISSES ROMANDS ET LES RÉSEAUX SOCIAUX: QUELS

Documents
Quels sont les principaux symboles... (final)

Quels sont les principaux symboles... (final)

Documents
La Communication Quels outils de communication utiliser suivants les situations? Quels sont les avantages et les inconvénients des outils ?

La Communication Quels outils de communication utiliser suivants les situations? Quels sont les avantages et les inconvénients des outils ?

Documents
7ème Forum du Rhin supérieur sur les Cybermenaces

7ème Forum du Rhin supérieur sur les Cybermenaces

Documents
Revue rapide : Quels sont les facteurs

Revue rapide : Quels sont les facteurs

Documents
Quels sont les rayonnements ionisants et leurs effets sur … · 2018. 11. 16. · Quels sont pour vous les rayonnements dangereux pour l'Homme ? Quels sont pour vous les effets sur

Quels sont les rayonnements ionisants et leurs effets sur … · 2018. 11. 16. · Quels sont pour vous les rayonnements dangereux pour l'Homme ? Quels sont pour vous les effets sur

Documents
Compte rendu du forum « Les nanotechnologies et l’eau ...€¦ · « Les nanotechnologies et l’eau : quels enjeux, quels objectifs, quels moyens ? » Jeudi 5 février 2015 Laboratoire

Compte rendu du forum « Les nanotechnologies et l’eau ...€¦ · « Les nanotechnologies et l’eau : quels enjeux, quels objectifs, quels moyens ? » Jeudi 5 février 2015 Laboratoire

Documents
Détecter et neutraliser efficacement les cybermenaces !

Détecter et neutraliser efficacement les cybermenaces !

Technology
CYBERMENACES 2020

CYBERMENACES 2020

Documents
LES GALERIES D’ART FACE AUX CYBERMENACES : QUELS SONT LES ENJEUX ET ET … · 2019-12-16 · Risques politiques et violence (ex : guerre, terrorisme, agitation civile) 13% 8 (14%)

LES GALERIES D’ART FACE AUX CYBERMENACES : QUELS SONT LES ENJEUX ET ET … · 2019-12-16 · Risques politiques et violence (ex : guerre, terrorisme, agitation civile) 13% 8 (14%)

Documents
3. Quels sont les trois continents riches ? quels sont les deux continents …data.over-blog-kiwi.com/0/74/28/93/20140205/ob_551f74... · 2014-02-05 · Quels sont les trois continents

3. Quels sont les trois continents riches ? quels sont les deux continents …data.over-blog-kiwi.com/0/74/28/93/20140205/ob_551f74... · 2014-02-05 · Quels sont les trois continents

Documents
Quels sont les problèmes du Quebec? Quels sont les choix ou résolutions possibles pour le Canada?

Quels sont les problèmes du Quebec? Quels sont les choix ou résolutions possibles pour le Canada?

Documents
Quels enjeux financiers pour les collectivités

Quels enjeux financiers pour les collectivités

Documents
Réponse aux cyberincidents€¦ · efficacement et de manière répétitive pour planifier proactivement, ... • Met à profit les capacités des renseignements sur les cybermenaces

Réponse aux cyberincidents€¦ · efficacement et de manière répétitive pour planifier proactivement, ... • Met à profit les capacités des renseignements sur les cybermenaces

Documents
Quels sont les projets d’aujourd’hui ?

Quels sont les projets d’aujourd’hui ?

Documents
Terrorisme informatique : Quels sont les risques ?

Terrorisme informatique : Quels sont les risques ?

Documents
ETUDE DE CAS: LE PROJET « ALMY AL AFIA » « DE LEAU POUR LA PAIX » QUELS SONT LES ENJEUX? QUELS SONT LES ACTEURS? QUELS SONT LES MOYENS? QUELS SONT LES

ETUDE DE CAS: LE PROJET « ALMY AL AFIA » « DE LEAU POUR LA PAIX » QUELS SONT LES ENJEUX? QUELS SONT LES ACTEURS? QUELS SONT LES MOYENS? QUELS SONT LES

Documents
« École de l’Espoir » : quels projets pour quels effets · « École de l’Espoir » : quels projets pour quels effets ? ... Dans les faits, les projets déposés et ... (CEB)

« École de l’Espoir » : quels projets pour quels effets · « École de l’Espoir » : quels projets pour quels effets ? ... Dans les faits, les projets déposés et ... (CEB)

Documents
Quels enjeux pour les contenus numériques?trends.cmf-fmc.ca/wp-content/uploads/38-quels-enjeux-contenus... · QUELS ENJEUX POUR LES CONTENUS NUMÉRIQUES? UN FORUM FRANCE-CANADA

Quels enjeux pour les contenus numériques?trends.cmf-fmc.ca/wp-content/uploads/38-quels-enjeux-contenus... · QUELS ENJEUX POUR LES CONTENUS NUMÉRIQUES? UN FORUM FRANCE-CANADA

Documents
Faire du conseil fourrager avec les éleveurs équins, quels freins, quels leviers ?

Faire du conseil fourrager avec les éleveurs équins, quels freins, quels leviers ?

Engineering
Quels sont les caractéristiques contemporaines et les

Quels sont les caractéristiques contemporaines et les

Documents
« Les associations de solidarité : quels emplois pour quels besoins ? »

« Les associations de solidarité : quels emplois pour quels besoins ? »

Documents
4H4.2. Quels sont les impacts de la Révolution …lewebpedagogique.com/bardakci/files/2011/12/4H4.2.-Quels-sont-les... · Quels sont les impacts de la Révoluon américaine ? 1

4H4.2. Quels sont les impacts de la Révolution …lewebpedagogique.com/bardakci/files/2011/12/4H4.2.-Quels-sont-les... · Quels sont les impacts de la Révoluon américaine ? 1

Documents