Présentation

Article

1 - IDENTIFICATION DES CYBERMENACES

  • 1.1 - Vulnérabilité permanente
  • 1.2 - Catégories de vulnérabilités
  • 1.3 - Catégories de menaces
  • 1.4 - Cyber-risque et risque majeur
  • 1.5 - Cyber-risque et continuité d’activité

2 - DÉTECTION DES CYBER-RISQUES

3 - ANALYSE DES CYBER-RISQUES

4 - ACTEURS AUTOUR DE LA CYBER SÉCURITÉ

  • 4.1 - Différents types de hackers et d’acteurs malveillants
  • 4.2 - Rôle des agences et autorités
  • 4.3 - Experts internes aux organisations

5 - DIFFÉRENTS TYPES DE MOYENS DE MAÎTRISE

6 - CONCLUSION

7 - GLOSSAIRE

| Réf : SE2505 v1

Détection des cyber-risques
Maîtrise des risques cyber - Identification, détection, analyse

Auteur(s) : Nicolas DUFOUR, Matthieu BARRIER

Date de publication : 10 juin 2021

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Cet article traite de la manière dont les entreprises gèrent le risque cyber. En abordant à la fois les parties prenantes internes et externes de l’organisation face à ce risque, il fournit différents exemples et éléments de retours d’expérience confirmant la nécessité d’une gestion globale des risques. Il détaille les types de menaces et de vulnérabilités auxquelles sont exposées les organisations, exemples illustratifs à l’appui, et aborde de manière précise les éléments de maîtrise des risques possibles (programme d’assurance, programme d’audit, contrôles, mesures de sécurité).

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Cyber risk management. Identification, detection, analysis

This article discusses how companies manage cyber risk. By addressing both the internal and external stakeholders of the organization with regard to this risk, the article provides various examples and feedback elements confirming the need for a comprehensive risk management. The article complements previous dossiers on this topic by detailing the types of threats and vulnerabilities to which organisations are exposed, with illustrative examples. It differs, however, in that it deals specifically with the possible elements of risk control (insurance programme, audit programme, controls, security measures).

Auteur(s)

  • Nicolas DUFOUR : Docteur en sciences de gestion, professeur des universités associé, CNAM LIRSA, Risk manager secteur assurance, ANTONY France

  • Matthieu BARRIER : Expert en cyber sécurité, MB CONSEIL, PARIS France

INTRODUCTION

Comment les cyber-risques saturent l’actualité ?

Da notion de cyber-risques peut se définir comme l’ensemble des menaces exploitant l’espace informatique et Internet afin de profiter des vulnérabilités des organisations pour s’introduire dans leurs systèmes et ainsi récupérer leurs actifs financiers ou immatériels (données sensibles et personnelles, par exemple). Le risque cyber a souvent des conséquences médiatiques pour les entreprises victimes, du fait qu’il se traduit par des impacts financiers, réputationnels, réglementaires, voire de discontinuité d’activité. De nombreux cas d’entreprises l’illustrent (Yahoo, Uber, Sony PlayStation Network, EasyJet, British Airways, MMA). Aucune entreprise, ni aucun secteur, ne peut se considérer comme à l’abri de ces risques souvent considérés comme externes et subis. Le propos de cet article est d’envisager les acteurs abordant ce sujet, mais aussi les impacts de ce risque ainsi que les mesures de gestion des risques associées.

Le cyber-risque peut se définir comme l’ensemble des risques liés aux menaces d’intrusion externes ou de vulnérabilités et malveillances internes utilisant les canaux de transmission de données Internet et les périphériques et technologies associés (espace partagé de stockage de données, messageries d’entreprises, spot wifi). L’objectif de ces intrusions est le plus souvent le vol d’informations, de données critiques pour la continuité d’activité de l’entreprise, mais aussi sensibles pour les clients et salariés de ces dernières (données bancaires, données personnelles, données de santé), permettant l’extorsion de sommes d’argent.

Toutes les entreprises sont, depuis le début des années 2010, susceptibles de faire face à une cyberattaque, mais lorsque cette dernière se produit : comment réagir ensuite ? Répondre à cette question suppose de bien appréhender les enjeux réputationnels, de continuité d’activité, mais aussi financier et de pertes d’exploitation associés à ce risque. Afin d’aborder ce risque, nous détaillerons successivement dans cet article l’identification des cybermenaces, la détection et l’analyse de ce risque, puis nous aborderons les acteurs et les différents types de moyens de maîtrise.

Les articles [SE 2 500] et [SE 2 501] traitent de la nécessité de mettre en œuvre une approche complète de sécurité informatique, abordant notamment une synthèse du risque informatique ou l’exposition au risque de virus informatique et une synthèse des méthodes d’analyse [H 5 440] et [H 5 842]. D’autres articles se centrent sur l’importance de la protection des données dans le domaine informatique [H 5 455]. Le présent article se concentre plus particulièrement sur le risque cyber, ses menaces et les éléments de maîtrise des risques associés.

Son objectif est de faire comprendre l’écosystème (acteurs internes et externes à l’organisation abordant le risque cyber), les enjeux de gestion globale du risque à prendre en compte et la diversité des moyens à mettre en œuvre en prévention, détection et traitement du risque. Nous visons également à apporter des pistes de réflexion au regard des impacts et retours d’expérience illustrés dans l’article.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

audit   |   cyber risk   |   risk management devices

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-se2505


Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

2. Détection des cyber-risques

Cette section aborde successivement les différents enjeux associés à la détection des cyber-risques.

2.1 Données potentiellement concernées

Détecter des risques d’intrusion suppose de s’intéresser aux types de données susceptibles d’être la cible d’attaques.

Les données ainsi que les métadonnées constituent la ressource la plus recherchée par les hackers ou des personnes malveillantes. En effet, source directe ou indirecte de richesse, les données sont enregistrées, stockées et exploitées par des entreprises ou des organismes, ou même des réseaux sociaux.

  1. Mots de passe : ils sont le « sésame » permettant d’accéder aux comptes et services des clients ou des particuliers. Ils peuvent parfois même permettre de prendre le contrôle de certains sites (comptes administrateurs ou à hauts privilèges). Ils se revendent sur le Darknet. En 2014, un groupe de cyberpirates russes est à l’origine de la plus vaste attaque d’entreprises américaines et étrangères de par le monde, comme révélé le 5 août par The New York Times, qui s’appuie sur les éléments des chercheurs de la société de sécurité informatique Hold Security. Selon cette société, 4,5 milliards de combinaisons e-mail et mots de passe ont été collectées, dont 1,2 milliard de combinaisons uniques (les mêmes combinaisons étant souvent répétées d’un site à un autre). Cela ouvrira l’accès aux cyberpirates à près de 500 millions de comptes e-mail. Il s’agit d’un des vols de mots de passe les plus importants dans le domaine de la cybersécurité.

  2. Données personnelles : souvent négligées, les données personnelles comme la carte national d’identité, le passeport, le numéro de sécurité sociale (aussi appelé NIR), le permis de conduire (ANTS) constituent une source de richesse inestimable, surtout dans les cas d’usurpation d’identité, de souscription de crédit en ligne ou une souscription de compte bancaire en ligne.

    Exemple

    un groupe de cybercriminels appelé ShinyHunters dit avoir piraté les données personnelles des utilisateurs de dix sites Internet ou applications et les avoir mises en vente sur le Darknet. En tout, les hackers affirment avoir commercialisé des informations concernant...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Détection des cyber-risques
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - BARR (A.), RAIMBAULT (C.A.) -   Risques émergents, un pilotage stratégique,  -  Economica (2010).

  • (2) - DARSA (J.-D.), DUFOUR (N.) -   Le coût du risque, un en enjeu majeur pour l’entreprise,  -  Dd. Gereso (2014).

  • (3) - DIARD (C.), DUFOUR (N.) -   Cybersurveillance des salariés : quels risques pour l’entreprise ? Face au risque  -  (en coll. C.DIARD), https://www.faceaurisque.com/2019/01/14/ cybersurveillance-des-salaries-quels-risques-pour-lentreprise/ (2019).

  • (4) - MIGNOT (V.) -   Usurpation d’identité : Tracfin ciblée par des fraudeurs.  -  Moneyvox, https://www.moneyvox.fr/actu/52958/ usurpation-identite-tracfin-ciblee-par-des-fraudeurs (2015).

  • (5) - FOUCAULT-DUMAS (C.) -   GitHub résiste à la plus grave attaque DDoS de tous les temps.  -  ICT journal, https://www.ictjournal.ch/etudes/2018-03-02/github-resiste-a-la-plus-grave-attaque-ddos-de-tous-les-temps (2018).

  • ...

NORMES

  • Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences - ISO/IEC 27001:2013 - 2013

  • Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information - ISO/IEC 27002:2013 - 2013

1 Réglementation

Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

Règlement n° 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information.

Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du Code de la défense.

HAUT DE PAGE

2 Sites Internet

Hack this site http://www.hackthissite.org

Newbie Contest http://www.newbiecontest.org

ANSSI https://www.ssi.gouv.fr/

Guides des bonnes pratiques de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS