REVUE
revue256bd
revue256bd
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
techniQue<br />
LA CyBErSéCurITé EFFICACE, unE AFFAIrE DE CuLTurE<br />
cas. Dans ce même rapport, on apprend<br />
que pour le secteur public 85 % des<br />
compromissions portent sur 3 modèles<br />
d’attaques et que le dénominateur<br />
commun de ces modèles est l’humain :<br />
– logiciels criminels (50 % des<br />
compromissions) : Il s'agit d'une<br />
catégorie large, couvrant toute utilisation<br />
d'un logiciel malveillant pour<br />
compromettre des systèmes. Cette action<br />
est habituellement opportuniste et<br />
motivée par l'appât du gain ou la volonté<br />
de nuire aux institutions. L’activation de<br />
l’attaque par ces logiciels criminels est<br />
toujours le fait des utilisateurs, la plupart<br />
du temps sans qu’ils en aient l’intention,<br />
par exemple en ouvrant une pièce jointe<br />
compromise ou en cliquant sur un lien<br />
malicieux…<br />
– erreurs diverses (23 % des<br />
compromissions) : on peut citer l'envoi<br />
d'informations sensibles à des<br />
destinataires incorrects, la publication de<br />
données non publiques sur des serveurs<br />
Web publics et la destruction non<br />
sécurisée de données personnelles et/ou<br />
médicales.<br />
– menace interne (12 %) par délit d’initié<br />
et abus de privilèges : Il s'agit<br />
principalement d'une utilisation abusive<br />
de données ou de fonctionnalités par les<br />
employés de l’administration mais le plus<br />
souvent par des personnes extérieures<br />
(du fait d'une collusion) et par des<br />
partenaires (parce que des privilèges leur<br />
ont été accordés).<br />
– attaques des applications Web :<br />
L'utilisation d'identifiants volés ou<br />
l'exploitation de vulnérabilités dans des<br />
applications Web — comme les systèmes<br />
de gestion de contenu (CmS) ou les<br />
plateformes de commerce électronique.<br />
– vol ou perte physique : La perte ou le<br />
vol d'ordinateurs portables, de clés uSB,<br />
de documents imprimés et d'autres actifs<br />
d'information, principalement dans les<br />
bureaux et les véhicules. Dans ce cas<br />
également la responsabilité des<br />
utilisateurs est évidente.<br />
développer une culture de la sécurité<br />
Il ne faut donc pas limiter son regard aux<br />
seuls environnements techniques mais<br />
s’intéresser aussi à la composante<br />
humaine des systèmes d’information.<br />
L’oCDE (l’organisation de coopération et<br />
de développement économique) l’avait<br />
identifié dès 2002. Dans les "Lignes<br />
directrices régissant la sécurité des<br />
systèmes et réseaux d’information »,<br />
sous-titrée « Vers une culture de la<br />
sécurité », la préface indiquait : « Du fait<br />
de leur connectivité croissante, les<br />
systèmes et réseaux d’information sont<br />
désormais exposés à un nombre<br />
croissant et à un éventail plus large de<br />
menaces et vulnérabilités, ce qui pose de<br />
nouveaux problèmes de sécurité. Les<br />
présentes lignes directrices s’adressent<br />
4 e trimestre 2016 Revue de la Gendarmerie Nationale<br />
149