Mémo CERTitude

Sécurité numérique, Cybersécurité, Réglementation, Méthode, Technologie, Vulnérabilités, LPM, NIS, RGS, Juridique, Cybermalveillance, CERT, MOOC, RGPD, Autorité nationale, Attaquant, Veille, Cyber-attaque, Destabilisation, Sabotage, Espionnage, Cybercriminalité, Homologation, Cyber-résilience, Cyberdéfense, APT, ...

Sécurité numérique
Terminologie Définition Menaces Concepts Organisations Standards et réglementations Liens utiles

Terminologie

• Le terme "sécurité numérique" tend à remplacer progressivement les appellations "cybersécurité" et "sécurité des systèmes informatisés" en réponse au besoin de sécurité des systèmes numériques qui règlent notre quotidien dans un contexte fort de transformation numérique.
• Les termes associés : cybersécurité, cyberdéfense, cyber-résilience, cyberprotection, cybercriminalité, sécurité des systèmes informatiques, sécurité des systèmes d’information.

Définition

• Une définition régulièrement employée est : « ensemble des moyens techniques et non-techniques, permettant à un système numérique de résister à des événements (intentionnels ou non) susceptibles de compromettre la disponibilité, l’intégrité, la confidentialité et la traçabilité (critères D, I, C, T) des données, traitées, stockées ou transmises et des services connexes que ces systèmes offrent ou rendent accessibles. »
• Une définition des termes liés à la cyberdéfense est disponible sur le site de Legifrance.

Menaces

Les 4 grandes familles de menaces provoquant des incidents de sécurité sont :

• Espionnage : atteinte à la confidentialité des données
• Sabotage : atteinte possible à l'intégrité, la disponibilité et la traçabilité des systèmes et des données
• Déstabilisation : atteinte possible à la confidentialité, disponibilité, intégrité des systèmes et des données
• Cybercriminalité : atteinte possible à la confidentialité, disponibilité, intégrité et traçabilité des systèmes et des données

Les rançongiciels, dans la catégorie « cybercriminalité », véritables fléaux en croissance depuis deux ans, touchent de nombreuses entités et provoquent des dégâts importants, voire irréversibles.

Concepts

"3 * 3" : trois concepts simples pour appréhender la sécurité numérique, de l'attaque aux actions à engager.

• La cyber-attaque :
• Attaquant : améliorer sa connaissance des attaquants, de leurs motivations et de leurs modes opératoires.
• Cible : ne pas exposer les cibles inutilement, en fournissant trop d’informations sur leur fonctionnement, leurs technologies, ou les personnes assurant leur fonctionnement.
• Vulnérabilité : travailler sur les vulnérabilités pour les réduire au maximum, limitera également le risque d’attaque.
• Les actions :
• Anticiper : connaître la menace, les solutions pour se protéger, se défendre et les réglementations applicables.
• Protéger : éviter un incident de sécurité en appliquant des mesures technologiques, méthodologiques/organisationnelles et juridiques. Appliquer le principe de défense en profondeur.
• Réagir : se préparer à traiter un incident de sécurité est vital afin d’en limiter les conséquences. Détecter au plus tôt pour réagir au plus vite !
• Les composantes :
• Juridique : définir les limites de responsabilité. Préciser dans les contrats vos attentes en matière de sécurité numérique. S’assurer de la conformité aux réglementations.
• Méthodologique : définir une stratégie sécurité numérique, former ses équipes et adopter une démarche d’homologation de ses systèmes importants.
• Technologique : consulter et appliquer les bonnes pratiques adaptées à son contexte.

Organisations

• La France, comme d’autres pays, dispose d’une agence assurant le rôle d’autorité nationale en matière de sécurité et de défense des systèmes numériques. L'ANSSI propose de nombreuses recommandations.
• Suite à la stratégie nationale de sécurité numérique, le dispositif national cybermalveillance.gouv.fr a été mis en place pour apporter de nombreux conseils à destination de tous les publics et aider les victimes d’actes de cybercriminalité.
• Le ministère de l'intérieur est en charge de la lutte contre la cybercriminalité.
• La CNIL pour les questions relatives aux données à caractère personnel et questions relatives au RGPD.
• Au niveau européen, l'ENISA coordonne les actions en matière de sécurité numérique avec les États membres.

Standards et réglementations

• De nombreux standards et référentiels, comme l'ISO 27000, traitent de la sécurité numérique et de ses différentes composantes.
  S’ils constituent une aide précieuse, à condition de les adapter à votre contexte, peu sont d’application réglementaire.
• La France et l’Europe disposent d’une édifice réglementaire solide en matière de sécurité numérique (RGS, LPM, NIS, eIDAS, RGPD, etc.) visant à renforcer la sécurité numérique des systèmes et des données importants pour la Nation, sa défense, sa sécurité et son économie.
• Les référentiels d'exigences pour les prestataires constituent un ensemble important de standards nationaux.
• La DGA a publié en 2023 le Référentiel de Maturité Cyber (RMC) à destination des fournisseurs de la BITD. Ce référentiel peut être utilisé plus largement pour tous secteurs d'activité.

Liens utiles

• Conseils, fiches pratiques, infographies et Kit de sensibilisation pour les entreprises, collectivités locales, associations et particuliers
• Quelles règles de cybersécurité appliquer ? pour les créateurs et dirigeants d’entreprises
• Guide stratégique pour visualiser, comprendre, décider pour dirigeants d’entreprises
• Conseils pour la protection de ses données pour les entreprises, collectivités locales, associations et particuliers
• Prévention des risques majeurs le site du gouvernement sur la prévention des risques, dont le risque numérique
• Flash ingérence de la DGSI
• Memo CERTitude pour engager une démarche de sécurité numérique efficace et pérenne
• Memo CERTitude des acronymes fréquents en sécurité numérique.

Mise à jour mai 2024

Les Mémos CERTitude NUMERIQUE abordent en quelques mots des thèmes de la sécurité numérique.
Ils ne remplacent en aucune manière les textes réglementaires, guides et référentiels publiés par les autorités nationales et européennes.
N’hésitez pas à faire part de vos commentaires en nous contactant.