La cybersécurité, quesaco?
Le dictionnaire Larousse donne pour ” cyber ” la définition suivante:
Préfixe servant à former de très nombreux mots relatifs à l’utilisation du réseau Internet.
La cybersécurité serait donc la sécurité du réseau Internet. Elle a pour objectif la protection des actifs d’information (les assets en anglais) ainsi que la confiance des utilisateurs et plus généralement de toutes les parties prenantes. La cybersécurité n’est ainsi qu’un sous-ensemble de la sécurité des systèmes d’information, se focalisant sur un type de risques et de menaces particuliers. On ne saurait les dissocier.
De façon désormais classique, la sécurité informatique se définit par ses 3 attributs que sont la disponibilité, l’intégrité et la confidentialité, auxquels on rajoute généralement l’auditabilité.
- Disponibilité: l’information obtenue avec un temps de réponse satisfaisant au moment opportun.
- Intégrité: l’information se doit d’être exempte d’erreur ou de falsification liée à des actes malveillants.
- Confidentialité: les informations ne sont accessibles qu’aux seules personnes autorisées.
- Preuve (auditabilité) : les accès et tentatives d’accès aux informations sont tracés (traces conservées et exploitables).
La normalisation dans le domaine de la sécurité informatique est particulièrement riche et incontournable pour les professionnels des systèmes d’information. De nombreux articles ont été écrits à ce sujet dans la Lettre d’ADELI.
En matière de sécurité, la bonne pratique générale consiste à réduire les risques. Chacun y va de ses conseils en matière de gestion de mot de passe ou de détection des phishings. On peut suivre avec profit le MOOC de l’ANSSI. Sauvegardes régulières et antivirus à jour sont un minimum pour le particulier. Pour les entreprises, formation et sensibilisation du personnel sont indispensables, le risque majeur étant le risque humain.
Évaluer les risques
Pour réduire les risques, il faut commencer par les évaluer. Les méthodes usuelles d’évaluation des risques sont applicables aux risques de cybersécurité. Il en existe plusieurs, telles qu’Ebios ou Mehari, qui reposent toutes sur des schémas similaires.
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a ainsi développé avec le club Ebios la méthode EBIOS Risk Manager qui “permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser”.
Première question: quels sont les actifs à protéger ? Pour une entreprise tout comme pour un particulier, il s’agit d’identifier les données indispensables au fonctionnement du système d’information, mais aussi les logiciels et les équipements dont les défauts et défaillances pourraient compromettre le bon fonctionnement.
Quels processus utilisent ces actifs? et à quelles menaces sont-ils exposés ? La menace est un événement redouté, la principale difficulté étant d’imaginer et de se représenter de la façon la plus exhaustive possible l’ensemble des menaces potentielles.
Quelle est la probabilité d’occurrence ou vraisemblance de l’événement redouté ?
Quel est l’impact potentiel ou gravité de chaque menace identifiée ?
Gravité et vraisemblance doivent être évaluées, ce qui permet d’en évaluer la criticité. Le résultat est généralement présenté sous forme d’une matrice de risque.

Exemple de matrice de risque (source Ebios Risk Manager)
Traiter les risques
On s’intéressera en priorité aux risques les plus critiques, ceux qui associent une probabilité élevée et un impact critique. Les risques à faible probabilité et impact faible sont jugés acceptables.
Pour réduire un risque on peut en réduire les effets, par la mise en place de solutions de secours, et en prévenir les causes.
Quelques exemples (non exhaustifs de mesures de sécurité)
Mesures préventives
- Veille permanente sur les menaces
- Sensibilisation du personnel
- bonnes pratiques de gestion des mots de passe
- antivirus à jour
- …
- Définition des rôles et responsabilités
- Audits de sécurité
- Sélection et audits des prestataires
- Contrôles d’accès physiques
- Mise en place et surveillance du pare-feu
- Sauvegardes régulières
- Mises à jour des logiciels et systèmes d’exploitation
- Chiffrement de données
- Respect de la législation (dont RGPD et autres réglementation applicable)
Solutions de secours
- Mise en place d’un plan de continuité d’activité
Vous trouverez ci-après quelques tweets à propos de cybersécurité.