La Cybersécurité industrielle - economie.gouv.fr...La sensibilisation à la cybersécurité en entreprise commence par une conduite du changement. Il s'agit dans un premier temps

Concours réservé pour l’accès au corps des ingénieurs de l’industrie et des mines - 2018 Page 1

La Cybersécurité industrielle

Nous vivons dans une société de plus en plus vulnérable. Cette fragilité ne vient pas seulement de la concentration des activités, de l’urbanisation ou de l’emploi de technologies de plus en plus complexes et dangereuses comme le nucléaire ou les biotechnologies. Elle est aussi le fruit paradoxal d’une amélioration des performances des systèmes techniques et d’une accoutumance à une sécurité objectivement de plus en plus grande. De plus en plus connectées, les installations industrielles sont davantage exposées au piratage. Les entreprises sont nombreuses à connaître des attaques de leur système informatique de production. De l’informatique de production à l’atelier, de nombreux scénarios de cyberattaque se font jour. Chercheurs, start-up et fabricants d’automates s’adaptent aux exigences de l’internet industriel. L’Union européenne renforce ses outils législatifs en la matière. La France s’est engagée au travers d’une stratégie nationale pour la sécurité numérique, après avoir créé en 2009 l’agence nationale de sécurité des systèmes d’information. Il vous est proposé d’élaborer à destination du préfet de région une note de synthèse des documents ci-joints, de trois pages environ, en vous efforçant notamment de :

caractériser la problématique de la cybersécurité en particulier dans les entreprises et l’industrie ;

préciser le rôle de l’Union Européenne et de l’Etat en la matière ;

présenter et qualifier les solutions proposées dans le dossier.

Dans la correction des copies, il sera tenu compte :

du respect d’une rédaction sur trois pages environ ;

de l’esprit de synthèse du candidat ;

de la rigueur du plan ;

de la qualité de l’expression écrite : clarté du style, richesse et précision du vocabulaire ;

du respect des règles de français : grammaire, orthographe, ponctuation.


Documents joints

Document 1 :

« Cybersécurité – Des usines encore trop vulnérables » par Hassan MEDDAH L’usine nouvelle (janvier 2018)

Pages 3 à 5

Document 2 : «Technologie – La CYBER au chevet des usines » par Hassan MEDDAH L’usine nouvelle (janvier 2018)

Pages 6 à 7

Document 3 : «SENTRYO, pionnier de l’internet industriel sécurisé » par Hassan MEDDAH L’usine nouvelle (janvier 2018)

Page 7

Document 4 : « Baromètre –Les sites industriels toujours plus menacés » par Hassan MEDDAH L’usine nouvelle (janvier 2018)

Pages 8 à 9

Document 5 : « Les entreprises françaises à la traîne, mais plus pour longtemps » par Cédric CAILLEAUX Les Echos.fr (29 juin 2017)

Pages 10 à 12

Document 6 : « Cybersécurité : ces 3 priorités que les entreprises devront traiter d’ici 2020 » par Christophe FOUCAULT Challenges.fr (29 juin 2017)

Pages 13 à 14

Document 7 : « Le règlement général sur la protection des données, communément appelé GDPR, sera applicable en mai 2018. Entreprises, préparez-vous ! » par Dominique POURCHET Les Echos.fr (7 mars 2017)

Pages 15 à 16

Document 8 : « Stratégie nationale pour la sécurité du numérique » Dossier de presse Secrétariat général de la défense et de la sécurité nationale (16 octobre 2015)

Pages 17 à 22

Document 9 : « Stratégie nationale pour la sécurité du numérique » 2 extraits : « Introduction » et « 4

è objectif : Environnement des entreprises du

numérique, politique industrielle, export et internationalisation » Premier ministre (16 octobre 2015)

Pages 23 à 30

Document 10 : « Deux nouvelles lois de l’UE régissent la sécurité de l’information… » par Thierry KARSENTI Economie matin (24 décembre 2015)

Pages 31 à 33


Document 1




Document 2


Document 3


Document 4



LES ECHOS.FR

Cybersécurité : les entreprises françaises à la traîne, mais plus pour longtemps CEDRIC CAILLEAUX / Responsable du Centre d'Excellence Sécurité chez Axians Le 29/06 à 09:00

Intelligence Artificielle, chatbots, objets connectés… Les innovations se multiplient dans les nouvelles technologies. Alors que les pays anglo-saxons se sont souvent montrés plus avancés en matière de cybersécurité, les entreprises françaises ont pris un certain retard dans le domaine.

Ainsi, onze incidents de cybersécurité seraient comptabilisés chaque jour en milieu professionnel en France, d'après le cabinet de conseil PwC (1), pour des pertes financières estimées à 1,5 million d'euros pour chaque société en moyenne. Pourtant, le travail d'"évangélisation" autour de la cybersécurité commence à porter ses fruits.

Des menaces de plus en plus médiatisées

Les menaces informatiques sont l'objet d'un traitement médiatique intense ces dernières années et cette donnée est bénéfique aux entreprises. Lors des récents piratages massifs (Saint-Gobain, SNCF, Time Warner, Yahoo!, Google Data Breach, MIT...), largement relayés dans les médias, il n'est plus rare de voir des conseils adressés aux entreprises pour se prémunir de telles attaques. Il n'est plus question, pour les professionnels, de se contenter d'un simple antivirus pour protéger l'ensemble des terminaux - et les données - de l'organisation.

Celles-ci se montrent plus méfiantes et sont désormais plus enclines à se protéger, envisageant désormais la sécurité comme une donnée indissociable de toute nouvelle approche technologique. Alors qu'il y a quelques années encore les PME ne craignaient pas ces attaques - imaginant qu'elles concernaient uniquement les grands groupes - une prise de conscience a eu lieu. La sécurité informatique est aujourd'hui un axe majeur de stratégie pour toutes les entreprises, quelle que soit leur taille. Dernier élément qui atteste de l'importance accordée à la cybersécurité : l'augmentation exponentielle du nombre d'écoles dédiées à ce secteur. La France n'en possédait aucune il y a encore peu, elles se multiplient désormais dans l'Hexagone et les cursus spécialisés dans la sécurité informatique sont également légion.

Dans ce contexte, l'arrivée de nouvelles technologies - objets connectés, intelligence artificielle, chatbots, etc. - est abordée de façon plus sécurisée. Et l'Internet of Things (IoT ou Internet des objets) n'est pas une tendance, mais bel et bien une réelle vague de fond qui va concerner une grande majorité d'entreprises. L'institut Gartner a revu à la hausse ses prévisions, avec 8 milliards d'objets connectés en circulation en 2017, dont 3 milliards pour les entreprises (2). Les entreprises françaises, désormais conscientes des risques liés à la sécurité de leurs données, se préparent dès à présent à se protéger de ces nouvelles menaces potentielles.

Document 5

https://www.lesechos.fr/idees-debats/cercle/auteurs/index.php?id=76599


L'intemporel besoin de sensibilisation

Cependant, le risque d'attaques informatiques ne vient pas que des données ou des objets connectés : 35 % des incidents de sécurité sont causés par des collaborateurs internes (3). Un travail de sensibilisation auprès des employés français doit être impérativement mis en place, et ce sur le long terme. Il y a 4 aspects indispensables à prendre en compte pour la sensibilisation :

L'implication

La sensibilisation à la cybersécurité en entreprise commence par une conduite du changement. Il s'agit dans un premier temps de s'appuyer sur la participation des principaux acteurs de l'entreprise, en créant des groupes de référents et en travaillant avec eux. C'est la technique dite du "nénuphar" : en "évangélisant" certains éléments réceptifs à la cybersécurité et à sa sensibilisation, cela leur permettra ensuite de former eux-mêmes les autres collaborateurs. Un gain de temps et d'investissements financiers non négligeable.

La communication

La communication est un pilier de la sensibilisation : il est absolument nécessaire de mettre en place, au sein de l'entreprise, un plan de communication complet intégrant médias et blogs internes, outils traditionnels et digitaux, etc. Mais cette communication ne peut être ponctuelle : ce n'est pas en plaçant une affiche de prévention, une fois tous les six mois dans la salle de repos que les collaborateurs vont être sensibilisés à la sécurité. Il y a quelques années, la culture de la sécurité avait été déployée au niveau humain : casque sur les chantiers, formations incendies, premiers secours, etc. Maintenant que cette culture est entrée dans les habitudes des employés, il faut enseigner la culture du risque informatique.

Un plan de formation

Si l'information est un pilier de la sensibilisation, il est indispensable d'établir un plan de formation adapté. Pour cela, il faut récolter en amont les aspects sur lesquels les employés sont négligents d'un point de vue sécurité et mettre en place une campagne de phishing ciblant les éléments qui peuvent être sensibles à l'hameçonnage : stagiaires, prestataires, responsables en vacances, etc. En envoyant des messages ciblés, cela permet de savoir qui est tombé dans le piège et d'établir, ensuite, des formations adaptées pour éviter que le phénomène ne se reproduise à l'avenir.

La métrologie

La métrologie est l'ensemble des techniques permettant d'effectuer des mesures, de les interpréter et de garantir leur exactitude. La cybersécurité - à l'image des autres aspects stratégiques de l'entreprise - doit être mesurée et monitorée en permanence. Pour cela, il faut mettre en place un certain nombre de règles de sécurité au sein de l'entreprise. Cela permettra, de plus, d'améliorer de façon continue la protection des données de l'entreprise. Pour cela, on peut imaginer différents types d'exercices concrets, comme des serious games basés sur la sécurité de données, des webinaires ou encore des questionnaires, qu'il faudra renouveler régulièrement afin de mesurer les effets et la pertinence de la sensibilisation mise en œuvre.


Mettre en place une sécurité organisationnelle et une sécurité opérationnelle

Deux aspects de la sécurité doivent être distingués au sein de l'entreprise : l'organisationnel, qui consiste en sa gouvernance et en sa conformité d'une part, l'opérationnel (quels outils pour remonter les menaces, la sensibilisation, la culture du risque, la veille technologique mise en place, etc.) d'autre part.

De l'aspect organisationnel, il faut souligner la volonté des institutions européennes et le déploiement du Règlement général sur la protection des données (en anglais : General Data Protection Regulation, GDPR), qui va permettre d'encadrer la cybersécurité au niveau européen dès 2018. L'obligation de créer un poste de responsable de la protection des données au sein de certaines entreprises (Data Protection Officer, DPO en anglais), qui figure également dans ce règlement, est également une initiative positive. Aux entreprises de se mettre désormais en conformité avec ces nouvelles règles de sécurité qui arrivent à point nommé.

Pour la partie opérationnelle, les outils de mesure et de protection sont nombreux, mais les menaces toujours plus importantes. La sensibilisation et la culture du risque doivent ainsi être accompagnées d'une veille technologique indispensable pour assurer la protection de l'entreprise sur la durée. La cybersécurité est un domaine qui évolue en permanence et à une vitesse considérable : sans veille, sensibilisation et culture du risque ne servent plus à rien. En parallèle, chaque entreprise devrait également réaliser des audits et de l'analyse des risques pour adapter sa stratégie de sécurité à son propre secteur et à ses problématiques.

Grâce à une prise de conscience généralisée, la sensibilisation, la culture du risque et la veille technologique font désormais partie du quotidien des entreprises françaises. Celles-ci rattrapent progressivement leur retard en matière de cybersécurité, qui devient désormais un axe de développement stratégique à part entière.

(1) http://www.pwc.fr/fr/espace-presse/communiques-de-presse/2016/octobre/cybersecurite-france-gsiss.html (2) http://www.gartner.com/newsroom/id/3598917 (3) http://www.atelier.net/trends/articles/cybersecurite-entreprise-abord-comprendre-qu-proteger_442198

En savoir plus sur https://www.lesechos.fr/idees-debats/cercle/cercle-171476-cybersecurite-les-entreprises-francaises-a-la-traine-mais-plus-pour-longtemps-2098481.php#xxbVGyWLjkAWTJZQ.99

http://www.atelier.net/trends/articles/cybersecurite-entreprise-abord-comprendre-qu-proteger_442198

https://www.lesechos.fr/idees-debats/cercle/cercle-171476-cybersecurite-les-entreprises-francaises-a-la-traine-mais-plus-pour-longtemps-2098481.php#xxbVGyWLjkAWTJZQ.99

https://www.lesechos.fr/idees-debats/cercle/cercle-171476-cybersecurite-les-entreprises-francaises-a-la-traine-mais-plus-pour-longtemps-2098481.php#xxbVGyWLjkAWTJZQ.99


Challenges.fr

Les entreprises font face à de nombreux challenges où la prise en compte des sujets de cybersécurité devient plus que jamais cruciale. (C) AFP Par Challenges.fr le 29.06.2017 à 11h06

Cybersécurité: ces 3 priorités que les entreprises devront traiter d’ici 2020

TRIBUNE RGPD, ransomwares, externalisation des données: entre la législation en pleine évolution, l’explosion des attaques informatiques et l’optimisation des coûts, les entreprises font face à de nombreux challenges où la prise en compte des sujets de cybersécurité devient plus que jamais cruciale. Par Christophe Foucault, consultant cybersécurité chez IT RGPD : en marche vers mai 2018

La directive européenne sur la protection des données à caractère personnel est devenue le RGPD,

un règlement européen qui devra être appliqué de manière systématique par toutes les entreprises

et institutions, quelles que soient leur taille ou leur nationalité.

Aucune entreprise n'est épargnée puisque toutes manipulent des données sur leurs salariés ou

leurs clients, et toutes devront notamment faire face à la nécessité d'anonymiser ou pseudonymiser

ces données privées. En effet, puisqu'il est difficile, voire impossible, de garantir qu'aucune donnée

ne pourra jamais fuiter, des mesures doivent permettre de protéger les individus en masquant leur

identification.

Pour réorganiser les processus de traitement de ces données sensibles, les entreprises passeront

par une première phase d'audit de l'existant suivie d'une phase d'actions qui devra aboutir, avant

mai 2018, à la mise en conformité de l'ensemble des traitements afin d'éviter aux entreprises de

très lourdes sanctions, jusqu'à 4% du chiffre d'affaires annuel ou 20 millions d'euros, la somme la

plus élevée étant retenue.

En France, la CNIL propose sur son site un guide en 6 étapes pour aider les entreprises à séquencer

et organiser ce projet de mise en conformité, il conviendra pour certaines d'entre elles de se faire

accompagner pour mener à bien l'ensemble des tâches à réaliser.

Externalisation des données doit rimer avec sécurité

Afin d'optimiser les coûts d'exploitation des machines, de nombreuses entreprises ont choisi de

virtualiser des éléments importants de leur système d'information, d'abord en interne, puis en

s'orientant vers l'externalisation. Ainsi, beaucoup de solutions ou services IT des entreprises sont

désormais gérés et hébergés par des acteurs tiers externes dans le cadre d'infogérances.

Document 6


De telles solutions, qu'elles soient ou non dans le cloud, permettent de déléguer à l'infogérant la

scalabilité réactive nécessaire et la disponibilité 24/7 des services offerts, mais elle impose

également de prendre en compte la gestion du risque et de la sécurité des données externalisées. Il

est alors indispensable de définir clairement les responsabilités du client et de son fournisseur et de

traiter dans le contrat de la réversibilité, des engagements de service ou encore des accords de non-

divulgation.

L'université Carnegie-Mellon élabore depuis une quinzaine d'années le référentiel eSCM qui

propose deux modèles symétriques et cohérents pour traiter de ces problématiques de plus en plus

prégnantes. Des pratiques complémentaires, à respecter par le client d'une part et par l'infogérant

d'autre part, sont proposées qui permettent de garantir l'optimisation de l'externalisation tout en

gérant les nouveaux risques.

Ce référentiel pourra utilement être exploité dans le cadre des nouvelles obligations réglementaires

liées au RGPD lorsque des données à caractère personnel sont confiées au sous-traitant.

Ransomwares : la menace s’amplifie

Malgré une couverture médiatique importante et beaucoup de moyens techniques mis en place par

les entreprises, les infections par virus restent en tête des incidents de sécurité selon la dernière

étude du CLUSIF, notamment celles basées sur des ransomwares, l'actualité récente en témoigne.

Se protéger de ces attaques nécessite de traiter le problème sur plusieurs axes: défense en

profondeur, cloisonnement, durcissement, réduction de la surface d'attaque, politique de moindre

privilège, détection d'intrusion … mais la principale réflexion à mener reste la sensibilisation des

utilisateurs, très souvent à l'origine des incidents de sécurité.

Deux évidences s'imposent qu'il n'est jamais inutile de rappeler. Une faille doit exister pour

permettre au malware de pénétrer le système d'information et une vulnérabilité doit être présente

pour que le malware introduit puisse compromettre le système infecté.

La prise en compte de ces 2 facteurs passe forcément par la responsabilisation des utilisateurs. Il est

essentiel de leur rappeler de ne pas connecter de clé USB externe ou cliquer sur les liens ou pièces

jointes dans les mails suspects pour ne pas créer la brèche par où s'introduira le virus, mais aussi de

ne pas annuler ou reporter les mises à jour correctives proposées pour réduire au maximum les

vulnérabilités exploitables.

Des messages simples que les directions informatiques doivent marteler jusqu'à créer une véritable

culture sécurité dans l'entreprise, indispensable complément aux mesures et solutions de

protection techniques.

Face à ces problématiques sécuritaires qui se multiplient, les entreprises doivent faire de la

cybersécurité une priorité. Revoir les processus, responsabiliser les salariés, effectuer une veille

sécuritaire: ces bonnes pratiques doivent être appliquées au quotidien pour garantir la sécurité des

informations traitées.


Les echos.fr

LE CERCLE/POINT DE VUE - Le règlement général sur la protection des données, communément appelé GDPR, sera applicable en mai 2018. Entreprises, préparez-vous !

A nos lecteurs : ce texte est un éclairage rédigé par un contributeur externe, Dominique Pourchet associé chez Magellan Consulting Le règlement général sur la protection des données (general data protection regulation, GDPR) entrera en vigueur le 25 en mai 2018. De facto imposé aux pays de l’Union européenne, il concerne l’ensemble des données attenantes à un individu. Ce texte supranational incite les organisations et les entreprises à être davantage vigilantes concernant l’exploitation des données personnelles. Qui est concerné ? Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel. Elle a vocation à, d’une part, renforcer la législation en matière de protection des données et, d’autre part, harmoniser la législation au sein de l’Union européenne. Il s’agit également, à l’heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données. Quand le texte entrera-t-il en vigueur ? Cette obligation de conformité sera effective en mai 2018. Cela ne laisse donc plus que quelques mois aux entreprises pour évaluer leurs systèmes de traitement des données actuels et pour mettre en place une réponse à cette nouvelle norme. Si le GDPR peut être perçu comme une contrainte, il est plus pertinent de le prendre comme une incitation à se doter de moyens et de systèmes adéquats pour protéger les données à caractère personnel face aux menaces actuelles. Les pénalités mises en place par cette nouvelle réglementation sont destinées à responsabiliser les entreprises et à les inciter à prendre des mesures suffisantes pour assurer la sécurité de ces données. Lire aussi : GDPR : que dit le nouveau règlement européen sur les données personnelles ? Au regard du calendrier et notamment de l’échéance de mai 2018, la fenêtre d’action pour les entreprises n’est pas si large que cela : l’ensemble des chantiers à mettre en œuvre va nécessiter la mobilisation de différents acteurs au sein de l’entreprise : direction juridique et des ressources humaines, directions métiers, sécurité des systèmes d’information, etc. qui vont devoir collaborer sur un certain nombre de chantiers transverses : analyse des impacts des nouvelles exigences sur l’organisation, sur la politique de sécurité des systèmes d’information, sur les systèmes de pilotage et de contrôle à mettre en œuvre. Quelles sont les nouveautés ? Le texte a trois objectifs : consolider les droits des personnes physiques, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises qui traitent les données à caractère personnel. En effet, parmi les nouveautés mises en place dans cette législation, on compte notamment le droit à l’oubli, ainsi que le droit à la portabilité des données et à l’opposition de toute opération marketing. Vis-à-vis des mineurs de moins de 16 ans, les entreprises sont désormais tenues de libeller les informations concernant le traitement des données en termes intelligibles pour les moins de 16 ans. Le consentement d’un parent ou tuteur légal est désormais obligatoire. Par ailleurs, l’accountability est le principe fondamental du règlement européen. Il consiste en une responsabilisation plus forte des entreprises qui doivent être en mesure de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.

Document 7

https://www.lesechos.fr/idees-debats/cercle/cercle-147684-la-gdpr-au-dela-des-obligations-une-opportunite-pour-les-entreprises-1196000.php


Le texte concerne-t-il uniquement les entreprises européennes ? Si cette mesure s’adresse aux entreprises européennes, elle touche également toutes celles vendant des produits ou des services sur le marché européen. En effet, ce texte instaure un comité européen de protection des données qui surveille et garantit la bonne application du règlement au niveau européen. Qu'est-ce que le GDPR implique ? Le GDPR instaure également la nomination obligatoire d’un délégué à la protection des données pour les entreprises du secteur public, pour les entreprises dont l’activité principale conduit à assurer un suivi systématique et à grande échelle des personnes (profilage), ou dont l’activité principale est attenante à des traitements à grande échelle de données sensibles (politiques, religieuses, ethniques, biométriques, sanitaires, judiciaires, etc.) ou relative à des condamnations pénales et certaines infractions. Les entreprises doivent par ailleurs évaluer le degré de risque pour les droits et libertés des personnes physiques avant chaque lancement de produit et notifier à la Cnim dans les 72 heures qui suivent la découverte d’une violation de données à caractère personnel (incident de sécurité). Elles doivent également notifier la violation de données à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent. Quelles sont les sanctions possibles ? Le GDPR prévoit deux niveaux de sanctions en cas de non-respect de la réglementation. En fonction des articles du règlement en infraction, des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20.000.000 euros ou, dans le cas d'une entreprise, de 2 à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Un large chantier. Ce projet a pour but de créer des réflexes concernant la protection des données personnelles. Ces nouvelles mesures exigent davantage de vigilance de la part des entreprises, ainsi que des sous-traitants, qu’elles responsabilisent. Ce règlement amorce donc un large chantier à mener, notamment dans la révision des contrats, pour se prémunir en cas d’infogérance. Des travaux d’autant plus complexes que ces sociétés comptent souvent de nombreux interlocuteurs et impactent divers services. Aujourd’hui, il appartient aux entreprises d’entamer dès maintenant les travaux nécessaires à l’adaptation du projet GDPR : évaluer l’outillage de sécurité des systèmes d’information et les dispositifs de sécurité existants, puis identifier les écarts et les faiblesses pour mettre en place une feuille de route de mise en conformité. Ce diagnostic prend du temps et les actions qui pourront rendre les entreprises conformes à cette nouvelle réglementation seront chronophages. Toutes les entreprises sont susceptibles de subir des attaques et des malveillances informatiques : il leur appartient de tout faire pour s’en prémunir. Le projet GDPR veille à ce que les sociétés prennent conscience des enjeux fondamentaux qui se dessinent aujourd’hui. Dominique Pourchet est associé en charge de l’activité cybersécurité, gouvernance et protection de l’information pour Magellan Consulting


Dossier de presse

Stratégie nationale pour la sécurité du numérique

Paris, le 16 octobre 2015

La France se dote d’une stratégie nationale pour la sécurité du numérique

Le 16 octobre 2015, Monsieur Manuel Valls, Premier ministre, rend publique la Stratégie nationale

pour la sécurité du numérique, destinée à accompagner la transition numérique de la société

française en présence de Madame Axelle Lemaire, Secrétaire d’État chargée du numérique, de

Monsieur Louis Gautier, Secrétaire général de la défense et de la sécurité nationale, et de Monsieur

Guillaume Poupard, Directeur général de l’Agence nationale de la sécurité des systèmes

d’information.

Cette stratégie nationale pour la sécurité du numérique a fait l’objet de travaux interministériels

coordonnés par l’ANSSI ; ses objectifs ont été consolidés par la Secrétaire d’État chargée du

numérique et le Secrétaire général de la défense et de la sécurité nationale.

Cette nouvelle stratégie, qui a pour ambition de répondre aux nouveaux enjeux nés des évolutions

des usages numériques et des menaces qui y sont liées, compte cinq objectifs : garantir la

souveraineté nationale par des mesures propres à renforcer la sécurité des infrastructures critiques

; apporter une réponse forte contre les actes de cybermalveillance affectant les systèmes

d’information de l’État, des entreprises et des particuliers ; sensibiliser et former à la cybersécurité ;

faire de la sécurité numérique un vecteur de compétitivité et renforcer la voix de la France à

l’international par le soutien à une autonomie stratégique européenne cyber et l’appui aux pays

émergents désireux de contribuer à la stabilité du cyberespace.

Elle sera progressivement mise en oeuvre dans les mois à venir par l’ensemble des acteurs

concernés. Cette Stratégie est un engagement de l’État au bénéfice de la sécurité des systèmes

d’information pour aller ensemble, par une réponse collective et coordonnée vers la confiance

numérique propice à la stabilité de l’État, au développement économique et à la protection des

citoyens.

À propos du SGDSN

Service du Premier ministre travaillant en liaison étroite avec le président de la République, le

secrétariat général de la défense et de la sécurité nationale (SGDSN) assiste le chef du

gouvernement dans l’exercice de ses responsabilités en matière de défense et de sécurité

nationale.

Contact : [email protected]

À propos de l’ANSSI

En vertu du décret no 2009-834 du 7 juillet 2009 modifié par le décret no 2011-170 du 11 février

2011, l’ANSSI assure la mission d’autorité nationale en matière de défense et de sécurité des

systèmes d’information. Elle est rattachée au Secrétaire général de la défense et de la sécurité

nationale, sous l’autorité du Premier ministre.

Contact : [email protected] – 01.71.75.84.04

Document 8

mailto:[email protected]


Pourquoi une Stratégie nationale pour la sécurité du numérique ?

La numérisation de la société française s’accélère : la part du numérique dans les services, les

objets, et les métiers ne cesse de croître. Enjeu national, cette transition numérique est porteuse

d’innovation et de croissance, mais aussi de risques pour l’État, les acteurs économiques et les

citoyens. La confiance et la sécurité dans le numérique appellent une réponse collective et

coordonnée pour faire face à des pratiques criminelles, délictuelles ou déloyales — cybercriminalité,

espionnage, propagande, sabotage ou exploitation excessive de données personnelles.

Annoncée par la stratégie numérique du Gouvernement, la « République numérique en actes »

présentée le 18 juin 2015 et avant le prochain débat au Parlement sur le projet de loi numérique

porté par le secrétariat d’État chargé du numérique, le Premier ministre a validé une stratégie,

élaborée avec l’ensemble des ministères, destinée à accompagner la transition numérique de la

société française, à accompagner les entreprises du numérique et à défendre nos intérêts

fondamentaux.

Cette Stratégie nationale pour la sécurité du numérique succède à la stratégie de défense et de

sécurité des systèmes d’information adoptée en 2010. Elle vient rappeler que la sécurité de

l’écosystème numérique est une responsabilité partagée : responsabilité de l’État dans la protection

des citoyens et des infrastructures critiques, dans l’organisation de la défense et de la sécurité des

systèmes d’information ; responsabilité des acteurs économiques dans la sécurité des produits et

services qu’ils proposent ; responsabilité des citoyens dans l’exercice de leur vie numérique.

Quels objectifs à la Stratégie nationale pour la sécurité du numérique ?

1

« La France se donnera les moyens de défendre ses intérêts fondamentaux dans le cyberespace.

Elle consolidera la sécurité numérique de ses infrastructures critiques et oeuvrera pour celle de ses

opérateurs essentiels à l’économie. »

Garantir la souveraineté et assurer la sécurité des infrastructures critiques en cas d’attaque

informatique majeure : des capacités d’anticipation et une réglementation renforcées.

En construisant une pensée stratégique autonome soutenue par une expertise technique de

premier plan, la France se donne les moyens de défendre ses intérêts fondamentaux :

par le développement des capacités scientifiques, techniques et industrielles nécessaires

La France dispose de capacités techniques de premier plan. Pour les conserver et anticiper les

besoins à venir, un groupe d’experts pour la confiance numérique interviendra dans l’identification

de nouvelles technologies de sécurité et dans la définition d’offres de formation supérieure ad hoc

en matière de cybersécurité.


par le renforcement de la sécurité des infrastructures vitales

Les travaux engagés dans le cadre de la mise en oeuvre des dispositions visant à renforcer la

sécurité des systèmes d’information des opérateurs d’importance vitale prévues dans la loi n° 2013-

1168 du 18 décembre 2013 seront complétés par les possibilités portées par le projet de directive

européenne « Network Information Security » (NIS), en phase finale de négociation.

2

« La France développera un usage du cyberespace conforme à ses valeurs et y protègera la vie

numérique de ses citoyens. Elle accroîtra sa lutte contre la cybercriminalité et l’assistance aux

victimes d’actes de cybermalveillance. »

Protéger tous les citoyens et lutter contre la cybercriminalité : de nouveaux dispositifs en faveur de

la protection des données personnelles.

Le cyberespace doit être un espace de confiance. Des mesures de protection et de réaction seront

adoptées pour protéger la vie numérique des Français :

Lancement d’une feuille de route « identité numérique »

Cette feuille de route a pour objectif de renforcer la confiance des utilisateurs dans leur vie

numérique tout en limitant le risque d’une exploitation non désirée de leurs données. Elle sera

élaborée avant la fin de l’année 2015 sous l’égide du ministère de l’intérieur et des secrétariats

d’État chargés du numérique et de la réforme de l’État, appuyés par les services du Premier

ministre.

Création du Dispositif national d’assistance aux victimes d’actes de de cybermalveillance

Ce dispositif national mis en place dès 2016 fournira une assistance aux victimes d’acte de

cybermalveillance. Les travaux préliminaires ont été menés par le ministère de l’Intérieur et

l’Agence nationale de la sécurité des systèmes d’information, avec l’appui des ministères de la

Justice, de l’Économie, de l’Industrie et du numérique, des Finances et des comptes publics, du

secrétariat d’État chargé du Numérique

3

« La France sensibilisera, dès l’école, à la sécurité numérique et aux comportements responsables

dans le cyberespace. Les formations initiales supérieures et continues intégreront un volet

consacré à la sécurité numérique adapté à la filière considérée. »

Sensibiliser, former, informer.

La prise de conscience individuelle et collective des risques liés à la numérisation de la société reste

insuffisante.

Plusieurs initiatives seront lancées pour encourager l’application des bonnes pratiques

informatiques dont :un appel à la réalisation de contenus de sensibilisation à destination des écoles

et du grand public


Cet appel sera mené sous la conduite du ministère de l’Éducation nationale, de l’Enseignement

supérieur et de la Recherche et du secrétariat d’État au Numérique, avec l’appui du service

d’information du Gouvernement et de l’Agence nationale de la sécurité des systèmes d’information.

4

« La France développera un écosystème favorable à la recherche et à l’innovation et fera de la

sécurité numérique un facteur de compétitivité. Elle accompagnera le développement de

l’économie et la promotion internationale de ses produits et services numériques. Elle s’assurera

de la disponibilité, pour ses citoyens, ses entreprises et ses administrations, de produits et services

numériques présentant des niveaux de confiance et de sécurité adaptés aux usages et aux cyber-

menaces. »

Faire de la sécurité numérique un facteur de compétitivité : soutien à l’innovation et labellisation.

L’enjeu est d’aider les entreprises françaises à fournir des produits et services numériques parmi les

mieux sécurisés au monde afin de leur donner un avantage concurrentiel. Par le soutien à

l’investissement, à l’innovation, à l’export et par le biais de la commande publique, l’État concourt à

créer un environnement favorable aux entreprises françaises qui proposent une offre de produits et

de services sécurisés. Parmi les mesures engagées :

Développement d’une offre nationale et européenne

La démarche initiée par le Plan « Cybersécurité » de la Nouvelle France industrielle devenu la

solution

« Confiance numérique » sera accentuée.

Renforcement capacitaire du secteur privé dans le traitement des incidents informatiques.

La labellisation de prestataires compétents et de confiance devrait permettre de répondre à la

croissance des attaques informatiques subies par les entreprises.

5

« La France sera, avec les États membres volontaires, le moteur d’une Autonomie stratégique

numérique européenne. Elle jouera un rôle actif dans la promotion d’un cyberespace sûr, stable et

ouvert. »

Contribuer à l’avènement d’une Autonomie stratégique numérique européenne et au renforcement

des capacités de pays alliés : la France au premier rang de l’espace cyber.

La régulation des rapports entre États dans le cyberespace est devenue un sujet majeur du droit

international où la France agit en force de proposition.

Autonomie stratégique numérique européenne

La France promouvra une feuille de route pour l’autonomie stratégique numérique avec les États

membres de l’Union volontaires.

Soutien aux pays désireux de contribuer à la stabilité du cyberespace.

La France soutiendra, à leur demande, la mise en place de capacités de cybersécurité dans les pays

volontaires.


La Stratégie en trois idées fortes

1. La sécurité numérique, une responsabilité partagée.

Porteur de nouveaux usages, de nouveaux produits et de nouveaux services, le numérique est

facteur d’innovation et engendre de nombreuses mutations, qu’elles soient sociales (métiers,

usages), économiques ou politiques (nouveaux enjeux internationaux du cyberespace).

Se priver du numérique ou ne pas pouvoir y accéder peut aujourd’hui mener à une forme

d’exclusion économique et sociale. De même, un État qui ne disposerait pas de l’autonomie

nécessaire dans le secteur du numérique verrait sa souveraineté menacée.

Pour que le numérique demeure un espace de liberté, d’échanges et de croissance, il est nécessaire

que la confiance et la sécurité y soient établies et défendues. Seul un effort collectif et coordonné

de la part de l’État, des administrations, des entreprises et des citoyens peut permettre d’atteindre

cet objectif. La défense et la sécurité du numérique relèvent de la communauté nationale et pas

seulement de l’action de l’État.

En lançant cette stratégie nationale pour la sécurité du numérique, l’État s’engage sur des actions

concrètes à même d’élargir le périmètre de l’action publique et des acteurs impliqués.

2. Une atteinte significative aux données personnelles des Français peut devenir un enjeu de

sécurité nationale.

Les développements récents et simultanés de nouveaux usages et de nouvelles techniques de

stockage et de traitement des données favorisent l’émergence de risques de déséquilibre

économique et d’atteinte à la sécurité individuelle des personnes ainsi qu’à celle des nations.

La captation massive et illicite de certains types de données personnelles et leur traitement peut en

effet entraîner des atteintes à la vie privée, voire à la sécurité individuelle ou collective, ou une

exploitation commerciale abusive.

Il y a, d’une part, le risque que les données soient exploitées par des oligopoles non soumis à un

régime juridique suffisamment protecteur de la vie privée et traitées comme de simples

marchandises, éventuellement revendues à des tiers. Il y a, d’autre part, le risque que ces données

tombent aux mains de groupes cybercriminels, liés ou non à des États, qui les utilisent pour des

actions d’espionnage, de propagande et de déstabilisation.

3. La sécurité numérique des produits et services des entreprises françaises doit devenir un

avantage concurrentiel

Agir dès à présent pour améliorer la sécurité et la confiance de l’offre nationale de solutions

numériques, c’est renforcer leur compétitivité. La valeur de cette démarche est confirmée dans le

domaine des moyens de paiement, où plusieurs entreprises nationales disposent d’une position

concurrentielle au niveau mondial qui doit beaucoup à l’excellence qu’elles ont su développer et

démontrer en matière de sécurité.


Les produits et services numériques ou intégrant du numérique, conçus, développés et produits en

France, doivent être parmi les plus sûrs au monde. Pour atteindre cet objectif, les administrations

compétentes devront orienter leurs efforts de communication vers la communauté scientifique,

publique et privée, et les lieux d’innovation — pôles de compétitivité, instituts de recherche

technologiques, incubateurs, « fab labs ».

La croissance des marchés du numérique à l’échelle mondiale, et des exigences de sécurité qu’ils

porteront constituent une opportunité de différenciation pour les produits et services français

ayant un niveau de sécurité numérique adapté aux usages.


Document 9









Deux nouvelles lois de l'Union Européenne régissant la sécurité de l'information et la protection

des données devraient être mises en application d'ici fin 2017. Elles auront un impact majeur sur

la manière dont les entreprises des États membres de l'UE implémenteront des solutions et des

politiques de sécurité, et signaleront des fuites de données.

par Thierry Karsenti - 24/12/2015

La directive de « cyber-sécurité » SRI (Sécurité des Réseaux et de l'Information) et le RGPD

(Règlement Général sur la Protection des Données) auront un certain impact sur les entreprises de

toute taille au sein de l'UE. Ces législations s'attacheront à normaliser les règles de sécurité de

l'information et de protection des données entre les États membres, dans le but d'accroître la

protection et réduire le nombre de fuites de données dont elles sont victimes.

Présentation de la réglementation

La directive de « cyber-sécurité » NIS (Sécurité des Réseaux et de l'Information) oblige un large

éventail d'entreprises du secteur privé à se conformer à de nouvelles exigences de sécurité et de

signalement d'incidents. Elle stipule également que les « opérateurs d'infrastructures critiques, »

c'est-à-dire les entreprises de services publics, les transports et les entreprises de services

financiers, doivent déployer des mesures appropriées pour gérer les risques de sécurité et signaler

les incidents graves à une autorité nationale ou à l'équipe d'intervention informatique d'urgence.

Le RGPD (Règlement Général sur la Protection des Données), unifie les règlementations de

protection des données existantes dans les pays de l'Union Européenne sous une législation unique,

en introduisant des directives sur la manière dont les entreprises devront gérer des informations

personnellement identifiables. Il sera applicable à toutes les entreprises ayant des activités en

Europe, que les données personnellement identifiables qu'elles gèrent soient stockées dans le

périmètre de l'Union Européenne, ou non. Il élargit également la définition des « données

personnelles » pour inclure les adresses de courrier électronique, les adresses IP et les contenus

postés sur des sites de réseaux sociaux.

Signification pour les entreprises

L’élément clé ici est que ces directives et réglementations deviendront exécutoires. Les entreprises

qui ne respecteront pas la directive NIS ou le RGPD risqueront d'être lourdement sanctionnées pour

toute infraction. Les amendes proposées sont de 2% du chiffre d'affaires annuel mondial, jusqu'à

100 millions d'euros.

Tandis que la nouvelle législation permettra de renforcer la responsabilité des entreprises, elle leur

donnera également la possibilité d'examiner leurs pratiques actuelles en matière de données et de

cyber-sécurité. Elle permettra également aux DSI et aux DSSI de préparer des analyses de

rentabilisation pour investissement dans les technologies de sécurité et de protection des données

et la formation, et dégager un avantage concurrentiel en renforçant leur posture de sécurité.

Document 10


Certaines des propositions du RGPD reflètent la directive NIS en termes de systèmes et de données,

et de pénalités pour les non-conformités. Mais le RGPD comporte beaucoup plus de détails en

termes de réglementation du traitement des informations personnellement identifiables des

citoyens européens. Les articles du RGPD qui auront le plus d'impact sur les entreprises se

répartissent en sept catégories clés. Regardons chaque catégorie tour à tour, leurs principales

implications, et les mesures requises pour les entreprises.

Application du RGPD

Toute entreprise proposant des biens ou des services dans un État membre de l'UE sera soumise à

la législation, retirant toute ambiguïté quant à savoir si la législation de protection des données

s'applique à un pays ou une région donnée. Toute entreprise exerçant une activité au sein de l'UE,

et traitant des données personnelles des sujets de l'UE, devrait prendre des mesures pour faire en

sorte qu'elle respecte les réglementations, au risque de subir des pénalités importantes.

Qu'est-ce que les données personnellement identifiables ?

La définition des données personnelles sera élargie en vertu du RGPD, comme suit : « toute donnée

concernant une personne physique identifiée ou identifiable (personne concernée) ; une personne

identifiable est une personne qui peut être identifiée, directement ou indirectement, par référence

à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un

identifiant en ligne, ou à une ou plusieurs caractéristiques spécifiques d'identité physique,

physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne. »

Pour minimiser les risques d'exposition, les entreprises doivent veiller à ce que soient collectées et

traitées les seules données nécessaires à des fins légitimes. Il est également sage de traiter toutes

les données sur les individus comme étant personnelles, et les protéger de manière appropriée.

Elles doivent être stockées uniquement pour la durée nécessaire, et détruites ou supprimées de

manière définitive lorsqu'elles ne sont plus nécessaires, conformément à une politique de rétention

de données appropriée.

Sécurité et signalement d'incidents

En termes de sécurité, les réglementations actuelles suggèrent que les entreprises implémentent

des mesures techniques de protection et des procédures administratives « appropriées », mais sans

préciser ce qu'elles devraient être. Cependant, il est probable qu'elles devraient inclure des mesures

reconnues telles que le chiffrement des données et les pare-feu, tandis qu'en matière de procédure,

les entreprises devraient informer les régulateurs de données et les individus touchés dans les 72

heures, si les fuites font courir un risque aux données identifiables. Avec l'augmentation des risques

de cyber-attaques et de fuites de données ciblant les entreprises, il est probable que les amendes

initiales au titre de la nouvelle règlementation seront élevées. Cela signifie que les entreprises

traitant de grandes quantités de données personnellement identifiables devraient développer des

processus de protection des données, d'enquête et de remédiation.


Amendes et mise en application

Les régimes de protection des données actuels à travers l'UE comportent des différences notables

quant aux sanctions et la mise en application entre les différents États membres. Le RGPD

permettra d'éliminer les différences et d'introduire de lourdes sanctions à grande portée. Les

amendes maximales proposées sont punitives : jusqu'à 100 millions d'euros ou 5% du chiffre

d'affaires annuel mondial de l'entreprise. Des sanctions de cette ampleur signifient que la

protection des données et l'atténuation des risques de fuites ne peuvent être laissées au hasard :

les entreprises doivent assurer qu'elles possèdent des solutions, des procédures et des politiques de

sécurité appropriées, au risque d'encourir de graves sanctions pour non-conformité.

Confidentialité dès la conception

La confidentialité dès la conception signifie que les entreprises doivent implémenter et appliquer

des processus techniques et organisationnels pour assurer que seule la quantité minimale

nécessaire de données personnelles soit traitée pour chaque activité spécifique, et que les données

personnelles ne soient pas divulguées plus que nécessaire. Les entreprises doivent anticiper cela en

intégrant la confidentialité et la protection des données dans leurs systèmes et leurs processus dès

le départ, en chiffrant les données personnelles pour les protéger lorsqu'elles sont stockées, et en

minimisant leur communication lors de leur utilisation.

Traitement et chaîne d'approvisionnement

La nouvelle législation signifie que la chaîne d'approvisionnement, des fournisseurs aux clients, peut

être tenue conjointement responsable de la protection des données. Les entreprises ne seront pas

en mesure de reporter ou d'éluder leurs responsabilités légales en matière de protection des

données. Cela signifie que les entreprises traitant de grandes quantités de données

personnellement identifiables doivent appliquer des mesures de protection des données, et auditer

leurs partenaires afin d'assurer qu'ils traitent également les données personnelles en toute sécurité.

Gouvernance et directeurs de la protection des données

Le RGPD doit encore clarifier si les entreprises doivent nommer un directeur de la protection des

données (DPD) pour gérer la conformité et les processus internes de protection des données. Dans

tous les cas, les entreprises doivent se préparer à devoir gérer des tâches supplémentaires de

protection des données, de gestion et de rapports, qui devront être effectuées en interne. Compte

tenu de l'importance de ces tâches pour minimiser la responsabilité des entreprises, la personne qui

les aura en charge devra occuper un poste de direction et devrait être prête à y consacrer beaucoup

de temps.

Les nouvelles lois de l'Union Européenne régissant la sécurité de l'information et la protection des

données auront un impact majeur sur la manière dont de nombreuses entreprises dans les États

membres de l'UE implémenteront des politiques et des solutions de sécurité, et signaleront des

incidents de fuites de données. Cependant, les entreprises devraient voir la nouvelle législation

comme une occasion de revoir leurs pratiques actuelles en matière de cyber-sécurité. Pas

seulement pour se conformer à la réglementation, mais également pour dégager un avantage

concurrentiel en renforçant leur niveau de sécurité.