Conseils, services, ingénierie en informatique. Mise en place de solutions technologiques, et support, pour les entreprises.

Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

Cours: les acteurs de la cyber sécurité

Vers qui se tourner pour sécuriser ses infrastructures?

  

ANSSI, au sein du SGDSN, secrétariat général de la défense et de la sécurité nationale, placée sous l’autorité du premier ministre.

-anticiper les menaces, détecter les attaques potentielles

Elle n’effectue aucune action offensive en réponse à des incidents, elle n’est pas une agence de renseignements.

Centre opérationnel 24h/24h afin de détecter les attaques au sein des services ministériels.

Caractérise les vulnérabilités.

L’ANSSII coordonne l’action inter ministerielle avec :

-La CALID, Centre d’analyse en lutte informatique défensive

-La DGA-MI, Direction générale de l’armement, Maitrise de l’information. (expertise technique cyber défense)

-La DGSI, experts en cybercriminalité : direction générale de la sécurité intérieure.

-OCLCTIC, Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (direction centrale de la police judiciaire)

Renseignements :

-BEFTI, Brigade d’enquete sur les fraudes aux technologies de l’information

-CORG, centre d’opérations et de renseignement de la gendarmerie

-CNIL, mise en conformité, maitrise des données personnelles

-OIV, opérateurs d’importance vitale.

-experts judiciaires

-associations, clusif, club iso 27001, OWASP

-sociétés de services et de conseil (logiciels, matériels, pare feux, antivirus)

Le livre blanc pour la défense et la sécurité nationale

​PRÉSENTATION

​​

Afin de structurer une vision commune de la défense et plus particulièrement de la cybersécurité en France, le président de la République a souhaité qu’en 2013 soit rédigé un deuxième livre blanc pour la Défense et la Sécurité Nationale.

Ce livre blanc apporte un classement des menaces les plus importantes sur l’État et montre que la menace informatique est classée seconde derrière la menace terroriste.

En substance, le document évoque une « menace cyber diverse et croissante » qui peut avoir pour conséquence le sabotage, l’espionnage et la subversion. Cette menace concerne l’ensemble des acteurs français, aussi bien économiques qu’administratifs.

Notons que le premier livre blanc de la Défense et de la Sécurité Nationale de 2008 mettait déjà en évidence la menace que représentent les attaques informatiques et a ainsi permis la création de l’ANSSI.

Objectifs

​1. Protéger les opérateurs d’importance vitale (OIV) qui sont des acteurs privés indispensables au bon fonctionnement de la Nation.

​2. La deuxième priorité concerne la formation et la sensibilisation : elle indique par exemple qu’il est important que l’ANSSI communique de façon claire sur les mesures d’hygiène à mettre en place pour se protéger un minimum des menaces qui pèsent sur les systèmes informatiques.

​3. Enfin, le troisième axe prévoit la promotion des produits de sécurité nationaux pour maintenir une industrie capable de produire des équipements de sécurité de façon autonome. Il s’agit d’un axe stratégique permettant de valoriser des offres françaises et de développer une confiance

pour les produits de sécurité.

SYNTHÈSE

Pour résumer, le livre blanc montre que l'État a conscience des évolutions technologiques et cherche à assurer sa protection dans le domaine numérique.​

Pour cela il prévoit un effort budgétaire nécessaire pour créer des protections cryptographiques et des systèmes de détection d'intrusion purement français, afin de conserver l'indépendance de la France sur ce terrain et investir dans la formation pour anticiper la demande croissante de compétences

​DE PLUS AFIN DE RENFORCER LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DE L'ÉTAT, IL PRÉVOIT :

​- Plus d'obligations de sécurité pour les OIV.

- Une coordination renforcée entre l'État, ses différentes émanations, les OIV et les autres industries stratégiques.

- La nécessité d'avoir une "capacité informatique offensive".

- La sensibilisation nécessaire du plus grand monde.

LA STRATÉGIE ​NATIONALE POUR ​LA SÉCURITÉ DU ​NUMÉRIQUE

​PRÉSENTATION

​En 2015, le Premier ministre a officialisé la première stratégie pour la sécurité du numérique.

L’ambition de la France est de faire partie des quelques nations qui comptent dans tous les domaines stratégiques et notamment la cybersécurité.

La stratégie nationale pour la sécurité du numérique n’est pas une stratégie pour la cyberdéfense mais bien pour la sécurité du numérique, terme plus englobant et traduisant mieux les enjeux

et défis qui se posent. Les cinq axes de la stratégie que nous allons découvrir se veulent complémentaires.

​LES 5 AXES ​DE LA STRATÉGIE NATIONALE

​01. Les questions de sécurité numérique ​auprès des OIV.

​02. Le rôle des entreprises non OIV.

​03. La formation à la cybersécurité.

​04. Le rôle des industries.

​05. La stratégie du numérique dans un contexte international.

​Comme nous allons le découvrir, la stratégie nationale pour la sécurité du numérique s’adresse à toutes les entreprises et aux particuliers.

​Cette stratégie rayonne également à l’international en faisant la promotion d’un cyberespace sûr.

Le premier axe de la stratégie nationale pour la sécurité du numérique consiste à réaffirmer que les questions de sécurité numérique auprès des OIV sont liées à celles de la souveraineté nationale.​

En effet, aujourd’hui, de nombreuses infrastructures vitales (centrales nucléaires, barrages, circulation routière, ...) sont gérées par informatique, ce qui peut générer de gros dommages potentiels en cas de cyber-attaque.

Une Nation qui veut conserver sa souveraineté doit faire de la cybersécurité une priorité nationale confirmée.

​AXE 1 ​LES QUESTIONS DE SÉCURITÉ NUMÉRIQUE AUPRÈS DES OIV*.

​opérateur d'importance vitale

​SECTEUR ​Étatique

​01. Activités civiles de l'État

​02. Activités militaires de l'État

​03. Activités judiciaires de l'État

​04. Espace et recherchent

​05. Santé

​06. Gestion de l'eau

​07. Alimentation

​08. Énergie

​09. Communications électroniques,

​Audiovisuel et Information

10. Transports

11. Finances

12. Industrie

AXE 2 Le rôle des entreprises non OIV.

​​Le deuxième point n’en est pas moins important, il explique que les entreprises non OIV ont également un rôle important à jouer puisque des attaques informatiques massives contre les industries et PME/PMI peuvent devenir des questions de sécurité nationale.

Aujourd’hui les entreprises non-OIV composent la grande majorité du tissu industriel français.

En effet, bien qu’une cyberattaque isolée mettant en difficulté une PME n’ait pas d’incidence en termes de sécurité nationale, la généralisation de telles attaques peut entrer dans le domaine de la sécurité nationale.

Ces entreprises sont souvent moins sensibilisées aux problématiques de sécurité informatique et donc potentiellement plus vulnérables à un risque de contamination.

Il faut pouvoir apporter une réponse à cette menace dans les domaines de la prévention et de la sensibilisation mais surtout, il est nécessaire d’agir en aidant les victimes d’actes de cybermalveillance.

Actuellement, le statut de ces victimes n’est pas reconnu clairement, ce qui rend plus difficile la recherche de réponses judiciaires efficaces et le passage par des organismes traditionnels de

compensation des risques (assurances).

​AXE 3 ​LA FORMATION À LA CYBERSÉCURITÉ

 

  

​​ ​Le troisième axe promeut la formation à la cybersécurité.

Au cours des 5 dernières années, le nombre de formations spécifiques à la cyber-sécurité a ainsi explosé alors qu’il y a 10 ans celles-ci étaient marginales.

Il existe aujourd’hui de nombreuses formations de qualité mais on observe une inadéquation entre l’offre et la demande.

​Cet axe encourage à développer la formation initiale, la formation professionnelle et à sensibiliser et véhiculer les bons messages auprès des jeunes, dès la fin du primaire, en leur expliquant les

notions basiques de la sécurité.

Cette initiation à la sécurité doit être réalisée au même moment que la sensibilisation au numérique :

une fois encore, sécurité et numérique doivent aller de pair.

Pour participer à cet effort de formation, l’ANSSI a mis en place plusieurs actions :

​Le label SecNumedu, CyberEdu et le module SecNumacadémie que vous suivez en ce moment.​

​AXE 4 ​LE RÔLE DES INDUSTRIES

​Le quatrième axe de la stratégie propose d’inclure les industries dans le développement de la cybersécurité nationale. En effet, la France a besoin d’une industrie forte, nationale et structurée par le processus de qualification. Ce processus est ouvert aux acteurs étrangers via une évaluation des produits et des services.

“La France développera un écosystème favorable à la recherche et à l’innovation et fera de la sécurité du numérique un facteur de compétitivité.”

​Ce travail est compliqué et prend du temps mais il est indispensable afin de savoir ​qui est compétent et de confiance.

​Elle accompagnera le développement de l'économie et la promotion internationale ​de ses produits et services numériques.

​Pour résumer cette mesure, les industries doivent produire des produits de sécurité« made in France » et doivent se protéger pour elles-mêmes et pour le pays, afin de ne pas être les « maillons faibles » de la chaîne.

​Elle s’assurera de la disponibilité pour ses citoyens, ses entreprises et ses administrations, de produits et services numériques présentant des niveaux d’ergonomie, de confiance et de sécurité adaptés aux usages et aux cybermenaces.

​Source: ssi.gouv.fr https://www.ssi.gouv.fr/entreprise/precautions-elementaires/

​AXE 5 ​LA STRATÉGIE ​DU NUMÉRIQUE ​DANS UN CONTEXTE ​INTERNATIONAL

​Enfin, le dernier axe explique que la stratégie du numérique doit s’envisager dans un contexte international.

En effet, la France a un rôle majeur à jouer pour porter ses valeurs dans le domaine de la cybersécurité, que ce soit pour venir en aide aux états les moins avancés, faire du capacity-building, ou aller vers les pays alliés pour les aider à monter en puissance.

​Au-delà des objectifs philanthropiques, il s’agit aussi, comme pour tous les domaines stratégiques, de protéger ses alliés pour se protéger soi-même.

Les différents services de l’État impliqués ont tout pour aider les industriels à aller vers l’export, afin qu’ils deviennent des leaders mondiaux dans le domaine cyber. ​

“La France sera, avec les États membres volontaires, le moteur d’une autonomie stratégique numérique européenne. ​Elle jouera un rôle actif dans la promotion d’un cyberespace sûr, stable et ouvert."

Tous ces éléments mettent en exergue l’impératif de trouver un compromis entre efficacité et confiance.

​L'ANSSI

Nous l'avons vu en introduction, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) créée en 2009 ​est l'autorité nationale en matière de sécurité des systèmes d'information. MISSIONS EN FRANCE​

L’AGENCE NATIONALE DE LA SÉCURITÉ ​DES SYSTÈMES D'INFORMATION

Coordonne​

Délivre

Anime

Prévoit

Défend

Conçoit​

Sensibilise

À ce titre, elle prévoit des mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d'information ​vitaux de la Nation et elle coordonne l'action gouvernementale en matière de défense des systèmes d'informations.

Elle anime et coordonne les travaux interministériels en matière de sécurité du numérique, élabore les mesures de protection ​des systèmes d'information et veille à l'application de celles-ci notamment par le biais d'inspections.

lle conçoit, fait réaliser et met en oeuvre les moyens interministériels sécurisés de communications électroniques ​nécessaires au président de la République et au Gouvernement.

​Elle délivre des agréments aux produits et aux prestataires de services destinés à protéger les systèmes d'information ​des entreprises.

MISSIONS EN FRANCE

Depuis 2015, l'ANSSI déploie un dispositif ​territorial chargé de relayer et de coordonner

​l'action de l'ANSSI dans les territoires ainsi ​que de contribuer au partage d'expérience

​entre les acteurs locaux de la cybersécurité.

​Ce dispositif est formé par des référents territoriaux en régions spécialistes de la sécurité

​du numérique.

​Ceux-ci accompagnent la mise en œuvre des ​politiques de cybersécurité avec les structures et

​les autorités régionales existantes pour prévenir ​les incidents et sensibiliser les acteurs locaux

​du public et du privé aux bonnes pratiques informatiques.

https://www.ssi.gouv.fr/

​PARTICIPE AUX NÉGOCIATIONS ​INTERNATIONALES ASSURE LA LIAISON ​AVEC SES HOMOLOGUES ​ÉTRANGERS (VEILLE) MISSIONS À L'INTERNATIONAL

​Même si l'ANSSI assure la plupart de ses missions en France, elle participe également aux négociations internationales ​et assure la liaison avec ses homologues étrangers.

​ANTICIPATION ​DE LA MENACE

​Enfin, le centre opérationnel collecte

​et assure la synthèse des informations

​nécessaires à la compréhension

​des attaques.

L'ANSSI se charge de l'anticipation de la menace pour ​la sécurité du numérique.

​Pour cela, six laboratoires de recherche ​lui permettent de rester à la pointe ​de l'état de l'art en matière ​de cybersécurité.

​Lorsque les menaces sont détectées, l'ANSSI identifie les failles utilisées par les codes malveillants, ce qui permet d'avoir une vision plus générale sur l'analyse de la menace.

​​​​Pour les cas les plus extrêmes qui le nécessitent, un dispositif de crise peut être activé pour répondre de manière efficace à un événement d'ampleur.

L'ANSSI dispose pour cela d'un centre ​opérationnel qui fonctionne 7 jours sur ​7 et 24 heures sur 24 et qui lui permet ​d'effectuer une veille permanente et une ​supervision de l'activité sur les différents ​réseaux couverts, afin de détecter des ​attaques potentielles auprès des services ​ministériels.

MAINTENIR UN CADRE RÉGLEMENTAIRE

​En parallèle, elle se charge de mettre en place et de maintenir un cadre réglementaire adapté aux

​technologies et à l'état de la menace.

​Dans un premier temps, l'ANSSI gère le dispositif réglementaire, issu de la Loi de Programmation

​Militaire, qui encadre la sécurité numérique des Opérateurs d'Importance Vitale.

​Elle édite également le Référentiel Général de Sécurité (RGS) qui fixe les règles que doivent respecter certaines fonctions ​de sécurité et qui cadre par exemple les aspects sécuritaires des échanges entre les services de l'administration et les ​particuliers, comme la déclaration d'impôts en ligne.

Un cadre de protection ​des infrastructures critiques existant

​Depuis 1998 plus de 200 Opérateurs d'Importance Vitale ​(OIV) ont été identifiés en France par secteur d'activité ​d'importance vitale par le Secrétariat Général de la Défense et ​de la Sécurité Nationale (SGDSN)

L'ANSSI se charge également ​d'accompagner les services de l'État et les ​Opérateurs d'Importance Vitale (OIV), ​c'est-à-dire les organisations privées ​ou publiques identifiées par l'État comme ​ayant des activités indispensables à la vie ​de la Nation, dans le but de protéger leur ​système d'information à importance vitale ​(SIIV).

​12 SECTEURS CRITIQUES ​PUBLIC-PRIVÉ

Pour assurer leur sécurisation, elle recommande l'utilisation de produits ​qualifiés ainsi que de prestataires de services ​de confiance.

​Elle réalise des audits de certains systèmes ​d'information afin de contrôler la robustesse

​des mesures mises en place et apporte ses recommandations.

​La protection des infrastructures ​d'information critiques en France

​ALIMENTAIRE

​TÉLÉCOMS

​PUBLICS

​ÉNERGIE

​SANTÉ

​ESPACE ET

​RECHERCHE

​DÉFENSE

​TRANSPORT

​EAU

INDUSTRIES​

JUSTICE​

FINANCE​

​L'ANSSI qualifie des produits et des prestataires de services pour démultiplier ses actions

auprès du secteur économique

PASSI

Prestataires d'Audit de la Sécurité des Systèmes d'Information (PASSI) : prestataire reconnu

​comme réalisant des audits de sécurité dans le but de vérifier la conformité à des exigences.

PRIS

Prestataire de Réponse aux Incidents de Sécurité (PRIS) : Prestataire menant les investigations

​nécessaires pour qualifier les incidents et proposant des mesures pour stopper les attaques en cours

​et protéger le système d'information contre de nouvelles menaces.

PDIS

Prestataire de Détection des Incidents de Sécurité (PDIS) : prestataire utilisant des outils

​de détection d'incident dans le but d'alerter en cas d'événement suspicieux.

CESTI

Centres d'Évaluation de la Sécurité des Technologies de l'Information (CESTI) :

​prestataire réalisant des évaluations de produits.

SecNumCloud

SecNumCloud : ​prestataires de services d'informatique en nuage dans le but de sécuriser

​les services dits « cloud ».

​Pour obtenir ce label de l'ANSSI, les entreprises doivent respecter des critères de qualité

​sur des sujets très sélectifs.

INFORMER ET FORMER

​L'ANSSI propose aussi d'informer et de sensibiliser le public sur les bonnes pratiques à mettre en place pour protéger ​les systèmes d'information.

​Elle offre également des formations à destination des agents de l'État aussi bien sur le panorama des menaces que sur ​des sujets plus précis de sécurité comme la cryptographie ou les méthodes d'analyse de risques.

​L'objectif est d'augmenter la culture de la sécurité du numérique de chacun des agents.

​Pour résumer, l'ANSSI se charge d'évaluer et de faire évaluer la sécurité de nouveaux dispositifs ou de projets à l'étude.

Elle se charge également de mettre en place des labels (label Cloud, SecNum.edu, CSPN),

des qualifications (PASSI, PRIS, PDIS), des référentiels (RGS)...

METTRE EN PLACE​

DES ​LABELS

Label Cloud

​SecNumedu

​CSPN

DES ​QUALIFICATIONS

PASSI

​PRIS

​PDIS

DES RÉFÉRENTIELS​

RGS​

​DES OUTILS DE SÉCURISATION ET DE RESPECT ​GÉNÉRAL DE LA SÉCURITÉ

Guide de bonnes pratiques - 12 règles essentielles​

​pour sécuriser vos équipements numériques

​Guide d'hygiène informatique

​Plateforme cybermalveillance.gouv.fr

https://www.ssi.gouv.fr/agence/organisation/les-sous-directions/centre-operationnel-de-la-securite-des-systemes-dinformation-cossi/le-centre-de-cyberdefense/

https://www.ssi.gouv.fr/entreprise/precautions-elementaires/

https://www.ssi.gouv.fr/agence/organisation/les-sous-directions/centre-operationnel-de-la-securite-des-systemes-dinformation-cossi/

 

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit

 

Commentaires?

Voilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus

 

ou contactez-nous?