This material is available only on bibliotequer
12 Nov 2019 
Viktoria 
Au cours de mon apprentissage, j’ai pu constater que sur ce plan, les contrôleurs interne étaient les principaux acteurs, ou les invités d’autres directions afin de mettre en place des politiques de sécurité et dans les négociations de certains contrats. Ce mémoire a donc pour objectif de mettre en avant le rôle du contrôleur interne dans la mise en place de diverses solutions de protection face aux risques cyber.
Le risque cyber étant devenu la première crainte des dirigeants (ex aequo avec l’interruption d’activité), il est indispensable de s’interroger sur les leviers actionnables.
Les entreprises ont-elles suffisamment de ressources pour faire face aux risques cyber imminent ?
Quel rôle joue le contrôle interne autour des différentes démarches de sécurisation ?
Quelles compétences devront être développées pour pouvoir être autonome quant à la gestion du risque cyber face à l’Etat ?
Dans un premier temps, et pour mieux comprendre ce qu’est le risque cyber et quels peuvent en être les conséquences, nous dresserons un palmarès des différentes attaques cyber munis d’exemple permettant de mieux visualiser leurs impacts.
Ensuite, nous nous intéresserons à la réponse émise par les Etats (France, Union Européenne) depuis maintenant quelques décennies. Dans une deuxième partie, nous nous intéresserons plus en détail sur les dispositifs qui ont été déployés au sein de Malakoff Médéric Humanis et le rôle des contrôleurs interne dans chacun d’eux.
Nous verrons ainsi quels sont les solutions utilisées, leurs impacts (positifs, négatifs) ainsi que les solutions non utilisées et pourquoi. I/ La cyber sécurité et sa législation “L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale.
Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques […].” article 1 de la loi N°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. On constate que la sécurité des fichiers et du citoyen face aux risques informatiques existe depuis bien longtemps maintenant.
Evidemment
• Emergence du risque et croissance de l’impact Le risque cyber est devenu numéro 1 du fait de la multitude des attaques existante et celles non encore décelé ou créée. Il est vrai que beaucoup de technique de piratage nous sont encore inconnues ou mal connue.
Soyons franc, nous sommes mal renseignés concernant ces différents risques, il arrive encore que des personnes clique sur le lien dans un e-mail, croient à des messages d’urgences demandant de confirmer des coordonnées bancaires.
Pour pouvoir se protéger, il faut savoir où et la menace et comment elle se matérialise, ainsi voici en préambule une revue des principales attaques perpétrés ces dernières années et ayant causés des dégâts importants. Nous développerons dans cette partie les 5 plus importantes.
a. Le Phishing ou spear-phishing En tête des attaques cyber en France (73%). Le phishing se définit comme étant “une technique visant à obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité”. (Wikipédia).
Les cyber escrocs vont utiliser les émotions des gens, dans la plupart des cas la peur ou le stress, pour pouvoir soutirer des informations personnels (accès à des comptes personnels, code de carte bancaire).
Pour cela ils vont envoyer e-mail contenant un message plus ou moins alarmant sur la situation d’un compte, une facture à payer en urgence ou autre, cela peut aussi être une simple “validation de données”. Un lien vers une copie du site concerné (site bancaire, téléphonique…) servira de porte d’accès vers le site qu’elle pensera légitime et la personne saisira ses données.
Les escrocs vont pouvoir récupérer ces informations et les utiliser à leur guise. Cette attaque existe depuis des années et cause toujours autant de dégâts, pour cause, une mauvaise information. La population n’est pas sensibilisée et “jouer” avec les émotions empêche la personne de réfléchir de façon raisonnable. En effet, utiliser l’urgence et un temps imparti effraie.
Voici un exemple, s’agissant d’un espace de stockage de données sa suppression pourrait affecter grandement la personne.
On joue effectivement sur la peur et sur le temps puisqu’un délai de 48h est accordé. Une étude a été réalisée par des experts de Proof Point, est une société de sécurité basée à Sunnyvale, en Californie, qui fournit des logiciels en tant que service et des produits pour la sécurité de la messagerie entrante, la prévention de la perte de données sortantes, les médias sociaux , les appareils mobiles , le risque numérique , le cryptage de messagerie , la découverte électronique (\”eDiscovery\”) et archivage de courrier électronique : plus de la moitié des entreprises figurant au classement Fortune 100 sont des utilisateurs de ses solutions, elle témoigne que les seniors retraités et les jeunes entre 18 et 21 étaient les moins au fait de ce qu’était le phishing.
Alors que les seniors de plus de 54 ans en savaient davantage. Effectivement cette étude surprend, on aurait pu penser que les milléniales seraient plus informés des techniques de cyber attaques. Cela peut s’expliquer par un manque de prévention pour ces tranches d’âges alors que les personnes de 45 à 60, supposés travailleurs, ont été avertis et ont été formés sur ces attaques.
L’étude révèle néanmoins que 52% des répondants âgés de plus de 52 ans savent de quoi on leur parle lorsqu’on évoque le phishing. Il aurait été intéressant de voir comment cette connaissance est répartie sur le plan socio-professionnel.
De même pour les 18-21 ans, ainsi des plans d’actions pourraient être entrepris pour pallier ces carences en connaissance cybernétique qui pourrait éviter à plus de personne de devenir victime. Nous verrons plus loin comment déceler une tentative de phishing.
b. Arnaque au Président Convaincre le collaborateur d’une entreprise d’effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, sous prétexte d’une dette à régler, de provisions de contrat ou autre.
L’arnaqueur va se faire passer une un membre de conseil d’administration ou plus couramment le PDG. Il va contacter une personne se trouvant dans le service comptable et la convaincre d’effectuer un virement sur un compte spécifique (généralement à l‘étranger) pour une supposé affaire secrète.
La plus grande discrétion est de rigueur. Ainsi, impossibilité de partager cette information avec les collaborateurs. Le timing est important, on préfèrera en fin de journée ou même le vendredi soir, le cerveau “fatigué” serait, on suppose, plus facilement manipulable.
Ce type de fraude s’est répandu en 2010, effectivement, entre 2010 et 2015 on compte 23000 plaintes déposées par des entreprises. (Sachant également que certaines ne le déclarent pas par craintes de coût d’image). Néanmoins malgré sa supposée apparition en 2010, l’arnaque au président est apparue entre 2005 et 2006 avec un certain Gilbert Chikli. Ainsi en l’espace d’un an, cet escroc ainsi que ses collaborateurs (une équipe d’une quinzaine de personne) ont mené environ cinquante escroqueries pour un butin de 7,9 Millions d’euros.
Depuis 2010 nous voyons de plus en plus ce type d’attaque, tout de même, les cibles changent.
Si autrefois on prenait pour cible les grandes entreprises, c’est aujourd’hui les petites et moyennes entreprises qui sont la cible. On pensera qu’elles sont plus simples à manipuler par manque d’information et de formation, or il se peut qu‘elles soient tout autant ciblée que les grandes mais qu’effectivement les formations dispensées en grandes entreprises et les campagnes de sensibilisation ont portées leurs fruits et ont permis de contrer les escrocs.
Prenons le cas de Pathé comme exemple, en 2018 le groupe de cinéma s’est vu se faire escroquer 19 millions d’euros, et non pas en un seul virement mais en plusieurs. En effet les escrocs se faisant passer pour des membres de la direction groupe ont acquis la confiance de deux dirigeants néerlandais et les ont convaincus d’effectuer des virements pour financer un projet à Dubaï. Alerté par une demande de fonds au groupe France, l’arnaque a été dévoilé mais il était déjà trop tard. https://www.bfmtv.com/economie/une-arnaque-au-president-coute-plus-de-19-millions-d-euros-a-pathe-1563585.html Bien qu’on parle généralement de fraude au président, il est aussi important de citer la fraude aux fournisseurs qui est en tête des fraudes en 2018 d’après Euler Hermes.
Cela consiste à se faire passer pour un fournisseur et demander de modifier un relevé d’identité bancaire. c. Malware et attaque DDOS. (Dénis de service distribué) Virus, Cheval de Troie, spywares, ransomware… les malwares sont une grande famille de codes et logiciel intrusifs visant à infecter un ou des ordinateurs à des fins diverses. Oracle les définis par leurs intentions malveillante, agissant contre les exigences de l’utilisateur de l’ordinateur.
Les objectifs sont très hétérogènes : détournements de fonds, vol de données, sabotages, raison politique. Effectivement un malware peut chiffrer des données, surveiller des activité grâce au shadow IT. Les shadow IT sont définis comme “l’ensemble des applications acquises sans sue le département informatique ne soit impliqué et pour lesquelles la gestion de services informatiques ne gère pas l’utilisation.”
Ce type de menace pourrait causer de grave dégât sur les plans économiques politiques et militaires. En effet, nous assistons de plus en plus à l’armement des pays en termes d’outils cyber. Par exemple le Japon a déployé des malwares en cas d’attaques militaire cyber. Le pays du soleil levant n’est pas le seul et beaucoup de pays mettent en place des programmes de défenses mais aussi de surveillance.
En imaginant à la possibilité qu’un groupe crée un malware permettant de voler des données et s’introduisent dans la base d’Airbus, du ministère des armées, du réseau de grandes institutions ou même d’industries. Ils pourraient s’en servir à des fins de vols mais aussi de renseignement sur les défenses du pays, les commandes en cours ainsi que les plans des transporteurs.
L’impact commercial pourrait être énorme mais la menace militaire le serait d’autant plus.
d. Ransomware 52%, c’est le pourcentage des entreprises françaises ayant subi une attaque de ce type. Le ransomware est “un logiciel informatique malveillant, prenant en otage les données”.
Cette prise en otage se traduit par le chiffrement de données de différents types (fichiers texte, vidéos, photos…). Pour mieux définir et expliquer ce qu’est ce logiciel et comment il se caractérise, nous prendrons comme exemple le ransomware WannaCry.
Le ransomware est l’attaque la plus utilisée car la plus rentable. Les sociétés ont peur, ce qui pousse à payer plutôt qu’à renoncer ou le déclarer aux autorités. Et les pirates s’orientent plus vers les entreprises et administrations car elles disposent de plus de fonds et de données sensibles.
Néanmoins, les attaques les plus virulentes sont médiatisées et il n’est pas possible de passer à côté de WannaCry, ce ransomware qui, en mai 2017 a touché des millions d’ordinateurs, des entreprises ainsi que des administrations notamment le National Health Service au Royaume-Unis.
Pour retrouver ses données la seule condition est le paiement de 300$ en monnaie Bitcoin. Une première échéance est renseignée (3 jours) mais ce n’est pas infini, si l’attaqué refuse de payer, ses données seront perdues. Ainsi les pirates ont pu récolter 140 000 dollars en l’espace d’une semaine.
L’origine de ce virus provient d’une faille de sécurité dans le système d’exploitation de Windows, cette faille appelé EternalBlue était détenue par la NSA et l’exploitait pour infiltrer des systèmes à des fins de surveillance. Ayant été volé par un groupe nommé “Shadow brokers”, il aura fallu 96 jours pour que la NSA déclare à Microsoft l’existence de cette faille et le vol de cette information.
Un patch a été mis en place néanmoins les entreprises et administrations n’ont pas été réactive, vulnérable sans le patch, elles ont dû en subir les conséquences. On retiendra le temps que cela aura pris à une administration ayant pour objectif la protection d’une population et de ses systèmes, à déclarer une faille dans un système utilisé par des millions voire milliard d’ordinateurs mais aussi la faible réactivité des entreprises et administrations à installer une solution qui aurait pu leur éviter ce désagrément et cette paralysie.
D’autant plus que l’attaque a été mondiale et que des usines ont dû fermées (Renault), que cela a coûté aux alentours de 220 Millions de chiffres d’affaires. Le National Health Care, de l’autre côté de la Manche se voit contraint d’annuler des milliers des rendez-vous ce qui lui fait perdre 92 Millions de livre sterling.
La perte de données pour une entreprise serait catastrophique puisque c’est une ressource indispensable. Il peut s’agir de données financières, de plans stratégiques, de plans d’investissements, de données confidentielles. Les pertes en termes de temps et d’argent seraient considérables puisqu’il faudrait tout créer à nouveaux, mais aussi restaurer le système d’information qui, fatalement, aura été endommagé.
A ne pas oublier, l’impact en termes d’image n’est pas à négliger, la médiatisation d’une attaque de vol de données ou d’extorsion de fonds peut gravement nuire à une entreprise car elle serait vu comme vulnérable et non performante dans la gestion et la protection de ses données.
Ces raisons amènent donc très souvent les entreprises à céder et donc payer. Aussi, pour prouver la possibilité de récupérer les données, il est permis d’en décrypter quelques. Bien qu’il arrive souvent que, une fois la rançon payée, les données soient endommagée/inutilisables par conséquent perdues. Que le système d’information soit endommagé et qu’il faille le reconstruire.
Il faudra également prendre en compte les coûts pour mieux se protéger. e. Ingénierie sociale Parmi les menaces cybernétiques développée en amont, beaucoup font usage de l’ingénierie sociale. “l’ingénierie sociale, c’est la modification planifiée du comportement humain” .
En effet, ce type d’attaque consiste à entrer en relation avec une personne afin de la convaincre d\’effectuer une action pour une raison X (phishing) ou la menacer de supprimer des fichiers en ayant chiffrés les données du SI (ransomware). Il s’agira toujours de manipuler une personne en usant de ses sentiments : peur, stress, angoisse.
La déstabilisation amène à avoir un comportement moins rationnel, et à entreprendre des actions qui vont à l’encontre des intérêts de la personne ou la société. Néanmoins ces sentiments ne sont pas les seuls à être sollicité, il peut aussi s’agir de flatterie ou en contact avec une personne plaisante, auquel cas la personne se sent assez à l’aise pour divulguer des informations internes voire sensible.
On peut notamment le voir grâce au test DEFCON réalisé en 2018 avec 135 participants représentants 19 entreprises du Fortune 500. Malgré les entrainements, les avertissements et les formations l’ingénierie sociale reste une menace à prendre au sérieux dans les entreprises.
L’attaque par déni de service distribuée consiste “à inonder de façon concertée et à partir de plusieurs machine source, une machine cible” (https://hal-ens-lyon.archives-ouvertes.fr/ensl-00175963/document). L’objectif étant de paralyser le système à cause d’un flux trop important, saturé le SI n’est plus opérationnel. Il arrive que ce type d’évènement arrive de façon légitime comme l’ouverture de place pour un évènement sportif ou artistique attendu.
Le flux de personne est conséquent au point de rendre la plateforme indisponible. Dans une société de commerce, la paralysie de la plateforme aurait d’importante conséquences monétaires, les master DDOS utilisent donc cette technique pour faire chanter ces entreprises. Dans une entreprise comme Malakoff Médéric Humanis, la plateforme internet est régulièrement utilisée par les assurés et retraités, ainsi une indisponibilité de ce service entrainerait un mécontentement et par extension une atteinte à l’image de l’entreprise.
Outre le côté monétaire et relation client, il y a ici un vrai enjeu en termes de sécurité SI et robustesse du système. Il est primordial d’avoir un système mais aussi une équipe préparée à bloquer ce genre d’attaque, gérer les défaillances efficacement et rapidement et en cas d’indisponibilité du service le déclenchement d’un PCA rapide. • Législations/Droits 1/ Dispositifs étatiques et solutions créées L’évolution de l’informatique se faisant, la cybermenace est arrivée et l’Etat a décelé ce risque et a introduit une règlementation en 2014.
Au fil du temps d’autre règlementations, directives et organismes se sont créés, Nous ferons donc un bref historique A. Directive et lois a. La directive NIS La directive NIS ou Network and Information Security est un projet Européen visant à rassembler les 28 face à une menace particulière qu’est l’atteinte au système d’information.
Adopté le 6 juillet par le Parlement européen et le conseil de l’Union européenne elle a été transposé dans la loi française le 27 février 2018. Cette directive n’est pas vraiment une révolution en matière de législation du risque cyber en France, néanmoins le périmètre de l’ANSSI (agence nationale de sécurité des SI), qui est l’autorité nationale en charge de l’application et de la transposition, s’est élargie. Pour mieux comprendre cette évolution nous ferons un bref historique des législations et acteurs présents avant la directive NIS.
1. Secteurs d’activité d’importance vitale En 2006, le secrétariat général de la Défense et de la Sécurité nationale a mis en place un programme de protection visant les secteurs d’activités considérées comme d’importance vitale et difficilement substituables.
Le terme de service d’importance vitale aura été accordé à 249 entreprises réparties dans 12 secteurs d’activités. Choisis par l’Etat en fonction d’un critère précis : “Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenus de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste.
Ces établissements, installations ou ouvrages sont désignés par l’autorité administrative.” (L 1331-2 du code de la défense) Autrement dit : “si ces infrastructures venaient à stopper leurs activités, cela impacterait profondément le potentiel économique et de guerre du territoire”.
N’ayant pas trouvé de définition claire du potentiel économique, nous allons définir le potentiel de guerre et analyser différentes définitions pour en construire une globale de ce qu’est le potentiel économique d’un pays : Le potentiel de guerre correspond à “l’ensemble des facteurs géographiques, démographiques, économiques, politiques, moraux, permettant d’armer, au sens le plus large du terme, un pays, un empire, une coalition de puissances, en vue de soutenir une guerre”. (André Siegfried, les points vitaux du monde et le potentiel de guerre, 1950 Concernant le potentiel économique voici trois définitions pour nous aider à mieux comprendre ce que cela peut être en plus de cette définition.
Le potentiel économique est “une mesure qui va évaluer les conséquences économiques d’investissements, de croissance de la demande économique pour les cinq prochaines années par rapport à leur trajectoire habituelle” d’après Eric LASCELLES.
On va donc entendre par là les investissements réaliser dans l’économie du pays, l’évolutio du PIB, de la valeur ajoutés, du taux de chômage, du développement des marchés). On peut également lire que ce potentiel peut être “l’abondance en dotation des ressources naturelles (pétroles, bois, manganèse, uranium…)” . Le pays est-il doté en ressources naturelles, si oui lesquelles et en quelle quantité permettrait de savoir s’il a ou non un avantage et un poids sur le marché des ressources.
Concernant le capital humain, le potentiel économique est défini comme les compétences nécessaires pour générer plus tard des revenus (Aqoci, fiche du développement international 2017). Très important pour les pays n’ayant pas de ressources naturelles comme la Corée du Sud qui elle investit massivement dans la technologie pour équilibrer la balance. Si l’on croise ces définitions, le potentiel économique correspond donc à la prévision attendue de production future à court et/ou moyen terme (3 ou 5 ans), d’évolution du tissu économique et du bien-être de la population grâce aux indices de populations actives, taux de chômage, taux d’insertion et d’emploi, d’accès à des ressources naturelles, de pouvoir d’achats. Il va donc également prendre en comptes des facteurs comme la géographie du pays, sa démographie, son niveau de développement économique et humain, le régime politique en place.
Conçu et dirigé par le secrétariat de la défense et de la sécurité nationale, il définit secteurs d’activités considérés comme “difficilement substituables ou remplaçable ou pouvant présenter un danger grave pour la population” . Ces activités sont réparties selon leur dominante, on y trouve des activités publiques (juridique, militaires, civiles), humaines (alimentation, gestion de l’eau, santé), économique (énergie, finances, transports) ou technologique (communications électroniques et audiovisuel, industrie, espace et recherche).
La mise en place de cette règlementation permet de réaliser des analyses et des simulations d’attaques du système d’information en collaboration avec les entreprises. Ainsi, des plans d’actions et solutions peuvent être développées. Pour cela, la SGDSN nomme des ministres coordonnateurs.
Le ministère coordonnateur a la charge d’un plusieurs secteurs d’activités, ses différentes missions consistent à :
• Définit une stratégie nationale : document dans lequel on trouve une analyse des risques (niveau nationales), des tests d’attaques et leur conséquences (attaques réussi) ; ces attaques sont hiérarchisées, les objectifs et mesures en termes de prévention, protection.
• Choisis les entreprises qualifiées d’opérateur d’importance vitale (OIV). Un opérateur d’importance vitale est une entreprise ou une administration, elles sont qualifiées de vitales car elles utilisent des canaux nationaux et elles participent significativement à l’économie et la défense nationale du pays.
• Les plans de sécurités des OIV.
• Transmet les PSO à la CIDS ou à la CZDS suivant le cas de figure (à l’exception du ministre de la défense) ; la commission interministérielle de défense et de sécurité à un rôle consultatifs sur les missions et travaux menés par les ministères coordonnateurs.
• Prend les décisions de désignation des Points d’importance vitaux. Ces PIV sont des actifs détenus par l’entreprise et qui lui sont indispensables (installation, industrie…) mais aussi qui participent aux missions confiés par l’Etat.
Chaque PIV fait l’objet d’un plan particulier de protection (PPP) rédigé par les opérateurs. Les premières Directives nationales de sécurités sont entrées en vigueur le 1er juillet 2016, cela s’est fait par vague. On constate que de 12 secteurs initialement recensés, nous passons à 16.