Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Edition 2020 LA CYBERSECURITE A L’USAGE DES DIRIGEANTS LIVRE BLANC AVANT-PROPOS

Edition 2020 LA CYBERSECURITE A L’USAGE DES DIRIGEANTS LIVRE BLANC AVANT-PROPOS Le CLUSIF et l’OSSIR, les deux plus anciennes associations de sécurité informatique françaises, parlent en général à des passionnés de cybersécurité. Dans ce guide, nous souhaitons sortir de notre zone de confort et nous adresser à vous, dirigeants d’entreprise et cadres exécutifs. Nous voulons vous convaincre que la sécurité informatique n’est ni un sujet réservé aux seuls initiés ni un puits financier sans fond. Notre objectif est de démystifier au maximum le jargon technique pour éclairer les enjeux de l’entreprise et les risques associés. Dans son rapport 2019 sur les risques globaux, le World Economic Forum positionne le risque cybersécurité dans le top 4, devant la perte de la biodiversité, une crise fiscale ou encore une pandémie. Qu’on le veuille ou non, la cybersécurité est devenue un enjeu sociétal, la presse se faisant quotidiennement l’écho de catastrophes numériques survenues dans le monde. Les comités exécutifs et conseils de surveillance n’échappent pas à cette question. En tant que dirigeant, votre responsabilité n’est pas de devenir expert, mais d’avoir un avis éclairé pour garantir la pérennité de votre entreprise. Nous espérons que ce guide vous aidera dans cette mission. Jean-Philippe GAULIER Pierre RAUFAST Président de l’OSSIR Administrateur du CLUSIF ---- 2 ---- TABLE DES MATIÈRES Avant-propos................................................................................................. 2 Les contributeurs. ......................................................................................... 5 INTRODUCTION. ............................................................................................... 6 Pourquoi lire ce guide ?. ............................................................................. 7 La sécurité informatique. ............................................................................ 8 Le cyberrisque. .............................................................................................. 9 MON ENTREPRISE............................................................................................ 11 1. Courrier électronique : La face cachée............................................. 12 2. BYOD*/ATAWAD* : Jamais sans mon portable. .............................. 16 3. Accès distant : Accéder au SI depuis son voilier............................. 20 4. L’annuaire d’entreprise : Un service pour les gouverner tous. ..... 24 5. Cycle de vie : Pourquoi remplacer ses minitels ?........................... 28 6. PRA*/PCA* : Survivre à un Armageddon. .......................................... 32 ---- 3 ---- L’ENTREPRISE INTERCONNECTEE. ............................................................. 36 7. DNS* : L’annuaire mondial que vous utilisez sans même le savoir. ................................................................................... 37 8. WWW : La ruée vers le web. ................................................................. 41 9. Cloud : La tête dans le nuage, les pieds sur terre. .......................... 45 10. Partenaires : Les liaisons dangereuses. ............................................ 49 GOUVERNANCE ET CONFIANCE NUMERIQUE...................................... 53 11. Juridique : Dura lex, sed lex................................................................ 54 12. Propriété intellectuelle : Protéger l’immatériel dans un monde immatériel....................................................................... 58 13. Certification : Providence, paratonnerre ou parapluie ?............. 62 14. Attractivité : Embauche-moi si tu peux. ........................................... 66 15. Souveraineté numérique : L’espionnage économique vous remercie. ..................................................................... 70 Notez votre connaissance de la cybersécurité. ................................ 74 GLOSSAIRE. ......................................................................................................... 76 CONTACTS. ......................................................................................................... 84 ---- 4 ---- LES CONTRIBUTEURS Nous tenons à remercier chaleureusement toutes les personnes qui ont pu contribuer à la création de ce livre blanc. C’est le résultat d’un mélange de cultures, de travail, d’échange et de soutien. Par ordre alphabétique • William BOURGEOIS • Grégory FABRE, Cyberzen • Cédric GASPARD • Jean-Philippe GAULIER, Cyberzen • Nicolas HANTEVILLE • Mojdeh HOJDAT-PANAH-DAURELLE, Pôle emploi • Jean-Philippe ISCKIA, digital.security • Vladimir KOLLA, PatrOwl • Christophe LABOURDETTE, CNRS/ENS-Paris-Saclay • Christophe LAYEN, Cultures et Mutation • Julien LITTLER • Luc MENSAH • Pierre RAUFAST, Michelin • Quoc Hiep TRAN, Orange Merci à nos nombreux relecteurs et relectrices : Stéphane ADAMIAK, Grégory ADROT, Luména DULUC, Hervé MAFILLE, Lionel MOURER, Stéphanie PHILIPPE, Hervé SCHAUER, Eric VAUTIER, Franck VEYSSET. Les illustrations de ce document ont été réalisées par Carlo BRUZZESI. (instagram : @carloartwork) ---- 5 ---- INTRODUCTION // INTRODUCTION // POURQUOI LIRE CE GUIDE ? L’informatique s’est enracinée dans l’entreprise1. Plus personne ne s’imagine passer des commandes à la main, faire sa comptabilité sur papier ni envoyer un télégramme. Tout passe par un ordinateur, un smartphone et Internet. Cette transition inévitable engendre des gains de rapidité, de flexibilité et d’ouverture à l’international. Cela a transformé nos vies et notre société. Sans informatique, nous nous retrouvons démunis, sans pouvoir faire fonctionner l’entreprise ou l’administration. La mécanique s’enraye sans réel moyen de repartir. Mais quand ça marche, l’ensemble semble fonctionner par magie. De ce constat, nous avons souhaité aborder des thèmes qui nous semblent essentiels pour comprendre les fondements de votre système d’information*, les enjeux qui y sont liés et les risques auxquels vous devez faire face. Si les risques sont communs, les réponses, elles, sont propres à chacun, car elles dépendent de votre stratégie, de votre engagement, de votre appétence aux risques, de votre fonctionnement et de votre budget. Nous avons divisé ce guide en trois grandes parties : Mon entreprise ; L’entreprise interconnectée ; Gouvernance et confiance numérique. Il est bien sûr impossible en quelques pages de traiter un sujet aussi important et complexe de manière exhaustive, mais nous espérons que cette lecture vous apportera un premier éclairage suffisant. 1. Dans ce guide, le terme « entreprise » regroupe différents types d’organisations : aussi bien une administration, une association qu’une entreprise privée. ---- 7 ---- // INTRODUCTION // LA SÉCURITÉ INFORMATIQUE On imagine souvent la sécurité informatique, ou la « cybersécurité », selon son appellation marketing, comme un domaine extrêmement complexe où seuls les spécialistes ont le droit de cité. Heureusement, il est possible de résumer cette complexité en quelques concepts facilement manipulables par tout un chacun ; c’est l’ambition de ce guide. Chaque thème est présenté simplement par sa définition, les enjeux pour l’entreprise et les risques afférents. De plus, voici les critères de sécurité de haut niveau que vous pourrez questionner à chaque chapitre : • disponibilité : l’accès aux ressources* du système d’information doit être permanent et sans faille durant les plages d’utilisation prévues ; • intégrité : garantie que le système et l’information traitée ne peuvent être modifiés que par une action volontaire et légitime ; • confidentialité : propriété d’une information qui n’est ni disponible ni divulguée aux personnes, entités ou processus non autorisés. Ces critères vous aideront à lister les risques auxquels vous êtes exposés ainsi que la stratégie à appliquer dans ce domaine. ---- 8 ---- // INTRODUCTION // LE CYBERRISQUE Pour comprendre les risques auxquels nous sommes exposés, il faut avant tout comprendre ce qui est concerné : les collaborateurs, les données à protéger ou les infrastructures sous-jacentes tout au long de leur transfert, leur traitement ou leur stockage. Pourquoi mon entreprise est-elle une cible ? On dénombre cinq causes possibles : • La cybercriminalité : les nouvelles “mafias” en ligne dont le but est de gagner de l’argent au travers d’arnaques, de chantages ou de vols. Ce sont de vrais professionnels, qui attaquent tous azimuts. • La malveillance par négligence : résulte de la désinvolture des collaborateurs ou partenaires quant aux politiques de sécurité internes et mettent l’entreprise en situation de risque. • L’atteinte à l’image : ciblée, elle contribue à la campagne de déstabilisation d’une personne ou d’une entité dont les effets sont amplifiés par l’importance actuelle des réseaux sociaux. • L’espionnage : ciblé. Sous couvert d’intelligence économique, certains concurrents ou États utilisent les vulnérabilités informatiques pour espionner les secrets d’une entreprise. • Le sabotage : ciblé, il est réalisé à des fins de déstabilisation (économique ou politique) ou pour des raisons idéologiques (activisme). Quelles sont les conséquences pour mon entreprise ? Elles sont de natures diverses. Les plus fréquentes sont financières ; de réputation ou d’image ; de productivité ; juridiques, pouvant entraîner des ---- 9 ---- // INTRODUCTION // conséquences légales ou financières ; humaines (vitales ou handicapantes) dans le cas, par exemple, d’un sabotage. Comment traiter ces cyberrisques ? Il y a aujourd’hui quatre grandes familles de solutions pour traiter les risques : • l’évitement, en supprimant l’activité ou la condition qui mène au risque ; • le transfert ou partage avec un tiers (ex. : assureur) ; • le renforcement des mesures techniques ou organisationnelles pour diminuer l’impact ou la potentialité ; • l’acceptation du risque accompagné d’une provision financière. Une cartographie des risques et des plans de mitigation est essentielle. Tous les acteurs, métiers et techniques doivent contribuer à la définition de ces documents et à leur mise à jour. ---- 10 ---- MON ENTREPRISE // MON ENTREPRISE // 1 COURRIER ÉLECTRONIQUE : LA FACE CACHÉE ---- 12 ---- // MON ENTREPRISE // Définition La plus simple comparaison que l’on puisse faire avec le courrier électronique est son équivalent postal : la carte postale. Le courrier électronique est l’un des premiers services disponibles sur Internet ; c’est également l’un des plus employés aujourd’hui dans le monde de l’entreprise. Il permet à plusieurs utilisateurs de s’échanger des messages de manière asynchrone. Ce système ne garantit généralement en rien la disponibilité, la confidentialité ou l’intégrité des messages échangés. Il ne garantit pas non plus le fait que le destinataire reçoive bien le message qui lui a été envoyé. Pour résumer, la seule garantie de l’utilisateur réside dans la certitude de l’envoi du message. Par ailleurs, en matière d’obligations légales, un message numérique a la même valeur légale qu’un écrit. Il est reconnu comme preuve de conclusion d’un contrat et il est soumis au secret des correspondances. Le passage des échanges commerciaux au numérique a également placé l’adresse de courrier électronique comme uploads/Finance/ livre-blanc-format-web.pdf