Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Institutional Repository - Research Portal Dépôt Institutionnel - Portail de la

Institutional Repository - Research Portal Dépôt Institutionnel - Portail de la Recherche THESIS / THÈSE Author(s) - Auteur(s) : Supervisor - Co-Supervisor / Promoteur - Co-Promoteur : Publication date - Date de publication : Permanent link - Permalien : Rights / License - Licence de droit d’auteur : Bibliothèque Universitaire Moretus Plantin researchportal.unamur.be University of Namur MASTER EN SCIENCES DE GESTION Gestion du risque cyber au sein des entreprises Claeys, Manu Award date: 2019 Awarding institution: Universite de Namur Link to publication General rights Copyright and moral rights for the publications made accessible in the public portal are retained by the authors and/or other copyright owners and it is a condition of accessing publications that users recognise and abide by the legal requirements associated with these rights. • Users may download and print one copy of any publication from the public portal for the purpose of private study or research. • You may not further distribute the material or use it for any profit-making activity or commercial gain • You may freely distribute the URL identifying the publication in the public portal ? Take down policy If you believe that this document breaches copyright please contact us providing details, and we will remove access to the work immediately and investigate your claim. Download date: 23. Jun. 2020 Université de Namur, ASBL Faculté des Sciences économiques, sociales et de gestion – Département des Sciences de gestion Rempart de la Vierge 8, B-5000 Namur, Belgique, Tel. +32 [0]81 72 48 41/49 58, Fax +32 [0]81 72 48 40 Gestion des risques cyber au sein des entreprises Manu Claeys Directeur: Prof. E. Dauvin Mémoire présenté en vue de l’obtention du titre de Master 60 en Sciences de gestion à finalité spécialisée ANNEE ACADEMIQUE 2018-2019 1 Table des matières 1 Avant-propos .................................................................................................................................. 3 2 Introduction .................................................................................................................................... 4 2.1 Délimitation de ce mémoire et question de recherche ............................................................ 6 2.2 Problématique ......................................................................................................................... 7 2.3 Plan du mémoire ..................................................................................................................... 7 3 Ampleur de la menace cyber .......................................................................................................... 8 3.1 Historique des attaques et évolution du contexte .................................................................... 8 3.2 Etat des lieux des risques informatiques et indices de cybersécurité .................................... 11 3.2.1 Risques informatiques .................................................................................................. 11 3.2.2 Indices de cybersécurité ................................................................................................ 12 3.3 Coût et fréquence des attaques cyber et pertes encourues actuelles ...................................... 13 4 Management des risques cyber ..................................................................................................... 18 4.1 Volet prévention et culture d’entreprise ................................................................................ 18 4.1.1 Introduction .................................................................................................................. 18 4.1.2 Les pratiques à adopter ................................................................................................. 21 4.2 Volet gestion des risques ...................................................................................................... 29 4.2.1 Introduction .................................................................................................................. 29 4.2.2 Approche de gestion des risques par l’OCDE ............................................................... 31 4.2.3 Approche de gestion des risques par le « Centre de Cybersécurité Belge » .................. 36 4.3 Veille technologique et réglementaire .................................................................................. 37 4.4 Solutions logicielles.............................................................................................................. 38 5 Gestions des crises ....................................................................................................................... 40 5.1 Introduction .......................................................................................................................... 40 5.2 Le cycle de la gestion de crises ............................................................................................. 42 5.3 Plans et outils ....................................................................................................................... 46 5.3.1 Plan de continuité des activités (PCA) .......................................................................... 47 5.3.2 Cellule de crise ............................................................................................................. 49 5.3.3 Plan de communication ................................................................................................. 51 5.4 Conclusion de la section ....................................................................................................... 54 6 Externaliser la gestion des risques à une partie tierce ................................................................... 54 7 Modèle de cybersécurité ............................................................................................................... 56 8 Limites de ce mémoire ................................................................................................................. 57 9 Conclusion ................................................................................................................................... 58 2 10 Bibliographie ............................................................................................................................ 59 10.1 Bibliographie de la littérature ............................................................................................... 59 10.2 Bibliographie des figures ...................................................................................................... 65 11 Annexe ..................................................................................................................................... 67 11.1 Figure ................................................................................................................................... 67 11.2 Revue du mémoire par un professionnel de la cybersécurité ................................................ 73 3 1 Avant-propos Je tiens à exprimer toute ma gratitude envers mon promoteur de mémoire, Monsieur Emmanuel Dauvin, qui m’a épaulé durant ce travail, grâce à ses remarques, critiques, et suggestions. J’adresse un sincère remerciement à Monsieur Frédéric Gelissen, professionnel de la cybersécurité, qui a consacré du temps à lire mon travail et m’a proposé quelques pistes de réflexion et d’amélioration, avec l’œil critique du professionnel. Je remercie également toutes les personnes qui ont pris le temps de lire mon mémoire, et de me donner leur avis, pour certains avec un œil externe aux études de gestion ainsi qu’au thème abordé. 4 2 Introduction De l’apparition du téléphone en 1886, à celle de l’ordinateur ne comportant plus de pièces mécaniques en 1943, 57 années se sont écoulées. Le début du 20ème siècle jusqu’à la fin des années 70 n’a pas connu de bouleversement majeur dans le domaine des technologies de communication. Les 50 dernières années, en revanche, ont connu une accélération du progrès technologique et numérique, avec l’apparition du téléphone portable en 1973, de l’iPhone à partir de 2007, de la tablette moderne en 2010… Ces changements introduisent de profonds bouleversements dans la manière que nous avons d’échanger, de communiquer, de faire parvenir des données en un rien de temps à l’autre bout de la planète. Ces bouleversements profonds ne tiennent pas tant dans l’invention de nouveaux outils numériques, que dans l’utilisation et l’usage quotidien que nous faisons de ces outils. Il est chose courante, désormais, de vérifier, grâce au numérique, la qualité d’un service avant de l’utiliser, de commander un produit sans contact réel avec un vendeur, et même de consulter des livres sous leur forme virtuelle. Les entreprises, quant à elles, sont également de plus en plus présentes sur le volet numérique (Agence du numérique, 2018), utilisant le cloud computing (service offert sous forme de serveurs à distance), les progiciels (outils généraux permettant un multi-usage), les processus métiers (ERP, CRM), etc. Nous assistons donc à une accélération du « tout informatique » et un changement brusque dans nos manières d’échanger de l’information. Nous sommes à l’aube d’une révolution numérique, comparable à la révolution industrielle qui a bouleversé le paysage de la production et a repoussé les frontières du possible en matière technologique, et, dans ce cadre, il est prévisible que cette tendance s’accélérera et que pas un domaine ne sera épargné par la révolution numérique, allant de la maison connectée aux accessoires individuels, passant par la voiture, frigo, lunettes, puces connectés1. Tant les outils numériques, destinés aux particuliers, que les machines professionnelles seront interreliées, envoyant et recevant de nombreuses données en temps réel. « Une étude (AON et Ponemon Institute, publiée en avril 2017) révèle d’ores et déjà le changement de paradigme qui s’opère actuellement », annonce le dossier sur la couverture du cyber risque (Scor, 2017 : 3). En effet, cette étude (Ponemon Institute, 2017) montre que la valorisation que les entreprises font de leur information (appelés actifs intangibles en comptabilité) est supérieure 1 Ce que reflète le concept d’ « internet of Things » (IOT) 5 à celle de leur équipement de manière générale (actifs tangibles, appelés PP&E, soit « Property, Plant and Equipment »). Dans ce contexte, et au rythme de l’évolution de la situation actuelle, il est également possible que demain, pourquoi pas, le niveau général de cybersécurité d’une entreprise devienne une nouvelle variable de compétitivité ! Dans ce cadre, la numérisation de l’économie, apportant son lot de bénéfices grâce à l’immédiateté de l’échange d’information et l’automatisation, offre un gain de temps non négligeable à la détection d’une panne, l’anticipation de problèmes, …. Cette révolution numérique s’accompagne également d’une exposition permanente à un risque d’un genre relativement nouveau : le cyber risque. Celui-ci se définit par « tout ce qui touche à l'atteinte, la violation ou la perte de données, ainsi qu’à des intrusions de réseau ou à la détérioration d'actifs aussi bien matériels qu’immatériels » (Institut des actuaires, 2017 : 4). Toujours selon cette même source (Institut des actuaires, 2017), le risque cyber se distingue par 5 caractéristiques : • Le caractère invisible, ainsi qu’un temps de latence entre l’inoculation du virus et sa détection2 • La distance géographique entre le lieu d’attaque et le lieu du sinistre • Le caractère contagieux d’une attaque • La dimension technologique • La difficulté à évaluer les coûts des dégâts matériels et immatériels (Institut des actuaires, 2017) Il est à parier que la multi-connectivité de nos appareils courants et professionnels ira de pair avec l’exposition aux risques, et les pertes potentielles liées à des accidents ou attaques informatiques seront inestimables. D’après l’Apref (Association des professionnels de la réassurance en France), le risque cybernétique peut même, dans certains cas, se transformer en risque systémique, en raison de son caractère multiplicatif (APREF, 2016)3, étant donné le développement de la multi connectivité dans le monde et des outils intelligents, communicant de manière automatique. Particulièrement critique, dans ce cadre, seront les opérateurs d’importance vitale (OIV) qui seraient déjà victimes de plusieurs millions d’attaques chaque jour (APREF, 2016). 2 En effet, il faut en moyenne trois mois aux entreprises avant de détecter qu’une brèche dans la sécurité a été commise (ICC et al., 2016) 3 Nous pouvons penser par exemple au logiciel malveillant Wannacry (le logiciel Wannacry a infecté de nombreuses machines à travers le monde en 2017, exposant le caractère pandémique des virus) 6 Toute organisation se doit de faire face aux risques. En effet, « ce risque appelle un besoin fondamental de protection pour les acteurs de la vie sociale et économique, dont le fonctionnement, uploads/Management/ gestion-des-risques-cyber-au-sein-des-entreprises.pdf