La cybersécurité et les décideurs
Sécurité des données et confiance numérique
Marie de Fréminville
iSTE
Préface1
Hervé Guillou
Avant-propos3
Introduction. Performance financière et performance cyber7
Chapitre 1. Un monde de plus en plus vulnérable13
1.1. Le contexte13
1.1.1. Les ruptures technologiques et la globalisation13
1.1.2. La donnée au coeur de la productivité industrielle15
1.1.3. Le cyberespace, un espace sans frontières15
1.1.4. Les moyens informatiques16
1.2. La cybercriminalité16
1.2.1. Le concept de cybercriminalité16
1.2.2. Cinq types de menaces18
1.2.2.1. Le cyberespionnage19
1.2.2.2. Les attaques indirectes20
1.2.2.3. Le sabotage20
1.2.2.4. Le cryptojacking ou minage de cryptomonnaie20
1.2.2.5. Fraudes en ligne et cybercriminalité21
1.2.3. Cinq types d'attaquants21
1.2.3.1. À la recherche d'argent facile21
1.2.3.2. Les cyberactivistes/hacktivistes21
1.2.3.3. Les concurrents (ou les États) dans un but d'espionnage ou de sabotage22
1.2.3.4. Les employés : la menace la plus fréquente23
1.2.3.5. Les États24
1.3. Le marché de la cybersécurité26
1.3.1. La taille du marché et son évolution26
1.3.2. Le marché par secteur d'activité27
1.3.3. Les types d'achats et d'investissements28
1.3.4. La répartition géographique28
1.4. Les incidents cyber28
1.4.1. Les faits28
1.4.1.1. Les informations sur les cybercriminalité29
1.4.1.2. L'origine des menaces30
1.4.1.3. Leur mise en oeuvre31
1.4.1.4. Les cibles33
1.4.1.5. Les cordonniers les plus mal chaussés34
1.4.2. Témoignages versus omerta35
1.4.3. Les tendances36
1.4.3.1. Les méthodes cybercriminelles36
1.4.3.2. Les attaquants36
1.4.3.3. Les objets connectés36
1.4.3.4. La cyberguerre37
1.4.4. Des exemples37
1.4.4.1. Les fuites d'informations37
1.4.4.2. Quelques exemples d'attaques célèbres38
1.5. Exemples de secteurs d'activité particulièrement exposés41
1.5.1. Le cinéma41
1.5.2. La banque42
1.5.3. La santé45
1.5.4. Le tourisme et l'hôtellerie d'affaires46
1.5.5. Les opérateurs d'importance vitale (OIV)46
1.5.5.1. Loi de programmation militaire46
1.5.5.2. Les enjeux pour les dirigeants et les administrateurs47
1.6. Les responsabilités des dirigeants et administrateurs48
Chapitre 2. Gouvernance d'entreprise et responsabilité numérique49
2.1. Gouvernance d'entreprise et parties prenantes49
2.2. Les actionnaires50
2.2.1. La valorisation de l'entreprise50
2.2.2. Les agences de notation cyber52
2.2.3. Les délits d'initiés52
2.2.4. Les actionnaires activistes53
2.2.5. Les autorités boursières54
2.2.6. Le rapport annuel55
2.3. Le conseil d'administration56
2.3.1. Les faits56
2.3.2. Les quatre missions du conseil d'administration57
2.3.3. Les responsabilités civiles et pénales58
2.3.4. Le conseil d'administration et la cybersécurité60
2.3.4.1. La prise en main du destin numérique de l'entreprise61
2.3.4.2. Réinventer le conseil d'administration ?61
2.3.5. Le conseil d'administration et la protection des données62
2.3.6. Les commissaires aux comptes64
2.3.7. La responsabilité numérique du conseil d'administration64
2.4. Les clients et les fournisseurs65
2.5. La direction opérationnelle67
2.5.1. Les impacts de la transformation numérique67
2.5.2. La stratégie numérique68
2.5.2.1. Plusieurs réponses possibles et complémentaires69
2.5.3. Les conséquences d'une mauvaise performance numérique71
2.5.4. La cybersécurité72
2.5.5. Les opérations de fusion-acquisition74
2.5.6. Gouvernance et protection des données, cybersécurité75
2.5.6.1. Les données internes75
2.5.6.2. Les données clients75
2.5.6.3. Open Data et protection des données personnelles76
2.5.6.4. Les données publiques - L'espionnite aiguë ?76
Chapitre 3. La cartographie des risques79
3.1. Les cyberrisques79
3.2. Le contexte81
3.3. Les vulnérabilités82
3.3.1. La fraude au président83
3.3.2. La fraude au fournisseur83
3.3.3. Autres impacts économiques84
3.4. Les risques juridiques86
3.4.1. Les recours collectifs ou class actions86
3.4.2. Les sanctions de la CNIL et de l'ICO87
3.5. Les objectifs de la cartographie des risques88
3.6. Les différentes méthodes d'analyse des risques89
3.7. L'évaluation des risques (identifier)91
3.7.1. Les principaux acteurs91
3.7.2. Les étapes92
3.8. Protéger93
3.9. Détecter93
3.10. Réagir94
3.11. Restaurer95
3.12. La cartographie décentralisée95
3.12.1. La menace interne95
3.12.2. Les risques industriels96
3.12.3. Les fournisseurs, sous-traitants et prestataires de services98
3.12.4. Les objets connectés99
3.12.4.1. Les jouets connectés101
3.12.4.2. Les assistants vocaux101
3.12.4.3. Les mesures de sécurité pour objets connectés102
3.13. L'assurance103
3.14. Les risques de non-conformité et l'éthique105
Chapitre 4. Les règlementations107
4.1. Le contexte107
4.1.1. Les plaintes déposées à la CNIL108
4.1.2. Vectaury109
4.1.3. Optical Center110
4.1.4. Dailymotion110
4.2. Les différentes règlementation internationales (protection des données)111
4.2.1. Les États-Unis111
4.2.2. La Chine112
4.2.3. L'Asie113
4.2.4. L'Europe113
4.3. Les règlementations relatives à la cybersécurité, la directive NIS113
4.4. Les règlementations sectorielles114
4.4.1. L'industrie bancaire114
4.4.2. La santé115
4.5. Le Règlement général sur la protection des données (RGPD)116
4.5.1. Les fondements118
4.5.2. Définition d'une donnée personnelle118
4.5.3. Les données dites « sensibles »119
4.5.4. Les principes du RGPD119
4.5.4.1. La transparence119
4.5.4.2. La minimisation120
4.5.4.3. La sécurisation des données120
4.5.4.4. L'accountability120
4.5.5. Les cinq actions pour être en conformité au RGPD120
4.5.6. Le registre des traitements121
4.5.7. Les cinq actions à mener121
4.5.7.1. Nomination d'un DPO121
4.5.7.2. Plan de mise en conformité122
4.5.7.3. Produire/actualiser le traitement des données personnelles122
4.5.7.4. Actualiser les sites web/les documents123
4.5.7.5. Écrire aux sous-traitants et partenaires impactés123
4.5.8. Les cookies124
4.6. Les conséquences pour l'entreprise et le conseil d'administration124
Chapitre 5. Les bonnes pratiques du conseil d'administration127
5.1. Les compétences numériques127
5.2. La connaissance de la situation129
5.2.1. Les principales questions129
5.2.1.1. It starts with the CEO ! - Tone from the top129
5.2.1.2. Éviter la méthode consistant à cocher les listes de points de contrôle130
5.2.1.3. Attribuer des responsabilités de supervision claires au niveau du conseil130
5.2.1.4. Exiger des évaluations, tests et rapports131
5.2.1.5. Rester vigilant en permanence131
5.2.1.6. Être informé et comprendre les incidents132
5.2.1.7. Anticiper132
5.2.2. L'assurance133
5.3. La gouvernance interne134
5.3.1. Le RSSI134
5.3.2. Le RSSI et l'entreprise135
5.3.3. Clarifier les responsabilités139
5.3.4. Rationaliser le portefeuille de fournisseurs140
5.3.5. Les politiques de sécurité et les procédures141
5.3.5.1. La stratégie Cloud142
5.3.5.2. La stratégie bring your own device (BYOD)143
5.3.6. L'humain144
5.4 La protection des données145
5.4.1. Les e-mails146
5.4.2. Les outils147
5.4.3. La double authentification : mieux, mais pas fiable à 100 %149
5.5. Choisir ses prestataires149
5.6. Le budget149
5.7. La cyberculture150
5.8. Le tableau de bord pour les dirigeants et administrateurs152
Chapitre 6. La résilience et la gestion de crise153
6.1. Comment assurer la résilience ?153
6.2. Définition d'un CERT155
6.3. Définition d'un SOC155
6.4. Le rôle de l'AESRI156
6.5. Le plan de continuité d'activité156
6.6. La gestion de crise157
6.6.1. La préparation157
6.6.2. Sortir de l'état de sidération158
6.6.3. Assurer la continuité d'exploitation159
6.6.4. Récit de l'attaque de TV5 Monde160
6.6.5. La gestion des premières heures165
6.6.5.1. Les mesures d'urgence165
6.6.5.2. Le paiement de la rançon167
6.6.5.3. La gestion du moyen terme168
6.6.5.4. La gestion du long terme168
6.7. La simulation de crise168
Conclusion. Le comité numérique171
Annexe 1. Tableau de bord sur la cybersécurité173
Annexe 2. Assurer, en pratique et au quotidien, sa cybersécurité177
Annexe 3. Les outils pour identifier, protéger, détecter, former, réagir, restaurer179
Glossaire183
Bibliographie187
Index191