L’espionnage industriel vise des entreprises sensibles, dans les secteurs de l’énergie ou des technologies, sur fond de tensions géopolitiques et d’instabilité économique. Certaines des informations secrètes de ces organisations sont particulièrement ciblées.
Espionnage industriel : la plus grande cybermenace
Définition de l’espionnage industriel
L’espionnage industriel, ou espionnage économique, désigne un ensemble d’activités d’espionnage menées à des fins économiques ou commerciales. Il implique une intrusion dans les organisations, de la part d’individus isolés, d’entreprises ou de gouvernements. Le but : collecter des données confidentielles afin obtenir différents avantages, concurrentiels par exemple. Ces derniers peuvent employer différentes méthodes de cyber-espionnage, comme le phishing ou l’ingénierie sociale, selon la cible choisie.
Enfin, les conséquences financières de l’espionnage industriel pour les entreprises sont conséquentes et peuvent même mettre en péril leur activité. Elles perturbent également la stabilité économique d’une nation.
Les organisations dans le monde entier sont ainsi prévenues et doivent se prémunir contre les cyberattaques et les infiltrations d’agents. La protection du potentiel scientifique et technique d’une nation est plus que jamais essentielle.
Des secteurs des technologies de pointe fortement touchés
Les secteurs les plus pointus sont majoritairement victimes d’espionnage industriel. C’est le cas des entreprises de l’intelligence artificielle, d’informatique quantique ou encore de biotechnologie. Les attaques d’espionnage industriel concernent les organisations de la défense et de l’énergie mais aussi fortement leur supply chain. Mais quelles sont les informations ciblées ?
Les types d’informations ciblées par l’espionnage industriel
Les informations techniques et technologiques
Les informations relatives à la conception technique de produits ou de développement de technologie représentent un avantage concurrentiel. Ainsi, dans le secteur de l’informatique, des algorithmes de machine learning ou de schémas de conception de puces électroniques suscitent la convoitise. Dans le secteur de l’énergie, les procédés de production d’énergie renouvelable ou des techniques de production de batterie avancée constituent une mine d’or pour des espions.
Du côté des secteurs de la défense et de l’aéronautique, l’espionnage industriel peut cibler des plans de systèmes d’armement avancé ou des systèmes de navigation et de communication pour engins spatiaux. Dans ces cas de figures, plus qu’une simple perte financière, l’espionnage industriel perturbe la sécurité de la défense nationale.
Exemple d’espionnage d’informations technologiques
Les stratégies d’entreprise détaillent l’ensemble des axes d’innovation, de développement et de financement des organisations. Ainsi, dans le secteur de la Finance, des détails sur les plans de fusion et d’acquisition ou des modèles propriétaires d’analyse d’investissements sont hautement sensibles. Leur perte peut nuire à la compétitivité des entreprises.
Dans le secteur pharmaceutique, des données sur des essais cliniques ou des procédés de fabrication font également face à des risques d’espionnage.
Exemple d’espionnage d’informations stratégiques
En 2023, au sein de l’entreprise NVIDIA, un développeur logiciel est suspecté d’avoir dévoilé des informations secrètes relatives au code source d’un logiciel d’aide au stationnement, récupérées chez son ancien employeur, Valeo. Ce dernier assure que ces données auraient profité au développement de NVIDIA.
Les informations sur le personnel et les talents
En effet, l’espionnage industriel passe également par la détection de personnes clés, pouvant apporter des informations sensibles. Certains débauchages dans des organisations sont stratégiques et ont pour but de nuire au bon fonctionnement de l’entreprise, en tentant de récupérer ses savoirs.
À l’heure où la concurrence économique est de plus en plus forte, la fuite de compétences joue sur la pérennité d’une entreprise.
Comment protéger ses informations de l’espionnage industriel ?
Les informations hautement sensibles, qui ne doivent pas être largement communiquées, portent généralement une mention de protection « diffusion restreinte ». Elles sont même parfois classifiées au titre du secret de la défense nationale.
Néanmoins, en complément de mesures juridiques et techniques, les collaborateurs ont la responsabilité d’adopter des bonnes pratiques de cybersécurité. Cela afin de limiter les risques de fuite d’informations.
Veiller à la confidentialité des échanges
Les échanges en ligne entre collaborateurs, même anodins, peuvent constituer des données clés pour des espions.
Pour échanger des informations sensibles en réunion, les collaborateurs veillent à bien fermer la porte de la salle. Cependant, à distance, les collaborateurs utilisent la visioconférence, même pour des réunions sensibles. Il devient alors plus difficile de s’assurer que toutes les portes soient bien fermées et qu’aucune personne extérieure à l’entreprise ne puisse écouter les échanges.
Seule une visioconférence chiffrée de bout en bout, de client à client, conforme au RGPD, garantit la totale confidentialité des échanges.
Au sein des organisations, la mention « Diffusion Restreinte » (ou DR) vise à protéger des informations et des supports sensibles. Voici ses normes.
Définition de la Diffusion Restreinte (DR)
En France
En France, la Diffusion Restreinte est une mention de protection d’informations sensibles qui ne sont pas classifiés au titre de la protection du secret de la défense nationale (IGI 1300). Sans autorisation, leur accès, diffusion ou détournement peut porter atteinte à la sécurité publique, au potentiel scientifique et technique de la nation ou encore nuire à l’équilibre politique et économique de l’Etat.
Lorsqu’un individu aperçoit la mention diffusion restreinte sur un document, il a donc pour devoir de respecter une totale discrétion quant à son contenu, sous peine de poursuites.
En Europe
En Europe, des mentions de protections existent et sont équivalentes à la DR. C’est le cas de l’EU restricted au sein de l’Union Européenne et du NATO restricted pour l’OTAN. Ces dernières visent à protéger des informations sensibles liées à des intérêts politiques, militaires ou encore économiques.
Accès aux informations
Présenter un besoin légitime
Pour accéder aux informations « Diffusion Restreinte », les personnes doivent justifier de leur besoin de les connaître. Ce besoin légitime peut être lié à l’exercice de leur mission professionnelle ou à la réalisation d’une tâche précise. Par exemple, dans le cadre de la conception des composants d’un système de radar, un ingénieur en électronique pourrait consulter les informations techniques du projet, identifiées comme « Diffusion Restreinte ». Ce besoin devra néanmoins être clairement justifié et documenté.
Former les salariés
Les individus pouvant accéder aux informations DR doivent être aptes à les manipuler sans risque. Stockage, transmission et utilisation des informations font partie des sujets à aborder en formation afin d’éviter toute fuite de données sensibles. C’est pourquoi, la tenue de sensibilisations régulières permet de maintenir la vigilance des équipes au plus haut niveau.
Stockage des informations Diffusion Restreinte
Assurer la sécurité physique
Bien entendu, les documents confidentiels doivent être stockés dans des lieux verrouillés et dont l’accès est contrôlé. Des systèmes de badges ou de codes d’accès sont généralement utilisés. À cela s’ajoute la mise en place d’une gestion stricte de l’accueil des visiteurs dans les entreprises. Par exemple, avec la tenue d’un registre. Enfin, l’utilisation de déchiqueteuses est toujours d’actualité pour détruire des documents sensibles qui n’ont plus d’utilité.
Veiller à la sécurité numérique
De nombreuses informations « diffusion restreinte » sont stockées en ligne. Il peut s’agir de rapports financiers ou de communications officielles internes. Leur stockage doit se faire de façon hautement sécurisée. Des technologies de chiffrement des données ou des systèmes d’authentification multi-facteurs peuvent être mis en place.
Pour les informations DR stockées dans le cloud, faire appel à un hébergeur qualifié SecNumCloud est recommandé. En effet, iIl garantit le respect d’un certain nombre de critères sécurité, autant d’un point de vue techniques qu’organisationnels.
Par ailleurs, les organisations doivent assurer la sauvegarde de toutes ces informations DR stockées. La planification d’une stratégie de sauvegarde et de récupération est essentielle.
Quand plusieurs personnes habilitées se transmettent des informations « Diffusion Restreinte », cela doit se faire dans le respect de mesures de sécurité strictes.
Sécuriser le partage de fichiers
Pour échanger des documents DR, l’utilisation d’une solution chiffrée de bout en bout est indispensable. À la seule condition de s’assurer qu’il s’agisse d’une véritable technologie de chiffrement de bout en bout, qui chiffre les flux de données de client à client. En d’autres termes, celle-ci doit chiffrer les flux de communication à toutes les étapes, de l’émetteur au destinataire en passant par le serveur, et ce quel que soit le nombre de participants à la visioconférence.
Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, avec un réel chiffrement de bout en bout des flux de communications audio, vidéo et data.
Dans une même équipe, certains collaborateurs peuvent avoir accès à des informations « Diffusion Restreinte » et d’autres non. Lors d’une réunion en ligne, l’un d’eux peut avoir besoin de transmettre une information sensible à un autre collègue habilité de façon discrète. La fonction « Sécurité augmentée » de Tixeo permet à deux interlocuteurs ou plus d’échanger de façon secrète, sans quitter une réunion en cours. Pour se faire, un simple code, défini par les participants, est à renseigner dans la solution, afin de basculer temporairement dans un véritable tunnel de communication secret.
Tixeo partenaire de Cluster Défense sécurité pour protéger les informations sensibles
Le cabinet Cluster Défense Sécurité propose des accompagnements et formations sur mesure pour protéger les informations sensibles, les informations de niveau « Diffusion Restreinte » (ou DR) et le secret de la défense nationale (IGI 1300) des organisations.
La protection des informations et supports « DR » implique une action globale. Cela concerne autant le domaine de la protection physique, que la protection logique ou organisationnelle.
Tixeo et Cluster Défense Sécurité apportent chacun une expertise dédiée et parfaitement complémentaire.
La certification de sécurité pour les produits et solutions numériques est un gage de fiabilité. En quoi consiste cette certification et comment garantit-elle un haut niveau de cybersécurité ?
Définition d’une certification de sécurité
La certification de sécurité pour les solutions et logiciels informatiques consiste à évaluer un produit selon des normes de cybersécurité spécifiques. Ce processus est aujourd’hui crucial pour garantir la protection des données et des systèmes face à une recrudescence des cybermenaces. La certification de sécurité participe également à l’accompagnement des entreprises à la recherche de solutions numériques sécurisées pour leurs usages stratégiques et sensibles. Elle permet enfin d’harmoniser les niveaux de sécurité des solutions et de participer à la création d’un système numérique de confiance.
Types de certifications de sécurité :
Certifications de Produit : Elles se concentrent sur les aspects de sécurité d’un produit spécifique. Ces certifications évaluent si le produit répond aux normes de sécurité requises et peut résister à des attaques cybernétiques potentielles.
Certifications de Système : Elles évaluent la sécurité d’un système entier, incluant les produits, les processus et les personnes impliquées. Ce type de certification est plus large et prend en compte les aspects systémiques de la cybersécurité.
Il existe différentes certifications de sécurité à l’international et en Europe. Voici un aperçu :
Les certifications de cybersécurité internationales
Common Criteria (CC)
Common Criteria est le standard international de certification de cybersécurité des technologies de l’information. Aussi appelée « Common Criteria for Information Technology Security Evaluation », cette norme internationale (ISO/IEC 15408) permet d’évaluer la sécurité de produits IT par des laboratoires agréés et indépendants, selon des critères techniques et organisationnels exigeants. Les certificats sont reconnus sur le plan international par les signataires de l’Accord de Reconnaissance des Critères Communs (CCRA) dont fait partie l’ANSSI en France.
FIPS 140-3
Développée par le National Institute of Standards and Technology (NIST) aux États-Unis, la norme FIPS 140-3 concerne particulièrement la vérification de la sécurité des modules de chiffrement. Essentielle pour les produits utilisés dans des environnements gouvernementaux et sensibles, la norme analyse notamment :
les fonctionnalités et les capacités du module de chiffrement
les interactions avec d’autres systèmes
La gestion des accès et des opérations autorisées
la sécurité des composants logiciels
la maintenance et les mises à jour sécurisées
les mesures contre diverses formes d’attaques potentielles.
Cette norme propose quatre niveaux qualitatifs de sécurité (basiques à très élevés), adaptés à différentes applications et environnements IT.
Les certifications de cybersécurité européennes
Le projet European Cybersecurity Certification
Le premier schéma européen de certification EUCCse base sur le schéma international Common Criteria pour la certification des produits TIC, leurs matériels et logiciels (pare-feux, dispositifs de chiffrement et de signature électronique, routeurs, smartphones, cartes bancaires…). En octobre 2023, un premier projet d’acte d’exécution de l’EUCC a été publié par la Commission Européenne et ouvert aux avis. Le 31 janvier2024, le schéma est adopté à l’échelle de l’UE et harmonise les règles et les procédures de certifications en Europe.
EUCS (European Certification Scheme for Cloud Services)à l’étude
Dans la même optique que l’EUCC, la certification EUCS vise particulièrement à approuver la sécurité de produits et services hébergés dans le cloud. La proposition de texte est désormais à l’étude du Groupe européen de certification de cybersécurité (ECCG) et permettra de renforcer la sécurité du cloud computing en Europe.
Dans le cadre de la directive NIS 2 et du Cyber Resilience Act, ces projets de certifications européennes visent à harmoniser les niveaux de sécurité des solutions IT.
En France : le visa de sécurité de l’ANSSI
La certification de sécurité délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) fait référence en France et aussi en Europe. Elle évalue la robustesse d’une version spécifique d’un produit à un instant donné, en fonction de l’état de l’art des cyberattaques. Pour la délivrer, les laboratoires et experts agréés vont analyser plusieurs critères de sécurité, comme :
La conformité aux standards et réglementations nationales et internationales de sécurité des systèmes d’information en vigueur (comme celui du Common Criteria)
Les mesures de sécurité techniques et organisationnelles
La résistance aux Attaques, y compris les tentatives d’intrusion, de piratage et d’exploitation de vulnérabilités.
La gestion des accès et l’authentification afin de contrôler l’accès aux données et aux ressources.
Le chiffrement et la protection des données
La résilience et la gestion des incidents
Les maintenances et mises à jour de sécurité, afin de répondre aux nouvelles menaces et vulnérabilités
Par ailleurs, l’ANSSI propose également une qualification de sécurité aux produits et services numériques destinés aux secteurs critiques et stratégiques (OIV et OSE). Celle-ci va ainsi répondre à des exigences réglementaires spécifiques, comme la Loi de programmation militaire notamment. La qualification de sécurité l’ANSSI atteste ainsi de l’adéquation entre les solutions et les besoins sensibles identifiés des entreprises. L’éditeur doit ainsi prouver qu’il pourra respecter ses engagements sur le long terme.
À quels produits s’adressent les certifications de sécurité ?
De nombreux produits et solutions informatiques peuvent prétendre à une certification de sécurité. Et ce, dès lors qu’ils exposent des données et/ou sont utilisés par des organisations sensibles. Voici quelques types de produits concernés par les certifications de sécurité :
Matériel Informatique : serveurs, routeurs, pare-feu, et autres équipements réseau…
Logiciels : systèmes d’exploitation, applications et les bases de données…
Solutions Cloud : Services de cloud computing, stockage et applications basées sur le cloud…
Produits de chiffrement : Modules de chiffrement, outils de gestion des clés…
Solutions de Sécurité Mobile : Applications et infrastructures de sécurité pour appareils mobiles…
Systèmes de Contrôle Industriel (ICS) et Internet des Objets (IoT) : dispositifs connectés dans divers secteurs industriels…
Tixeo, certifié et qualifié par l’ANSSI depuis plus de 6 ans
La technologie de visioconférence sécurisée Tixeo est certifiée et qualifiée par l’ANSSI depuis plus de 6 ans. Grâce à son chiffrement de bout en bout et sa version on-premise, il offre aux entreprises dans des secteurs critiques une totale confidentialité pour leurs échanges. Indispensable pour renforcer leur capacité de résilience opérationnelle numérique. À travers sa certification et sa qualification, l’Etat français recommande son utilisation pour des usages sensibles. D’autres labels européens confirment la sécurité de sa solution.
La captation d’informations relatives à l’activité scientifique et technologique d’une nation met à mal sa stabilité et sa compétitivité. Évoqué lors du dernier sommet des Five Eyes, la protection du potentiel scientifique et technique des nations nécessite des mesures de cybersécurité maximales.
Depuis 2011, la France a mis en place la Protection du Potentiel Scientifique et Technique (PPST). Ce dispositif réglementaire de sécurité, de niveau interministériel, piloté par le Secrétariat général de la Défense et de la Sécurité nationale (SGDSN), concerne 6 ministères :
Ministère de l’agriculture
Ministère de la défense
Ministère du développement durable
Ministère de l’économie et des finances
Ministère de la santé
et Ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation
Le PPST complète d’autres systèmes de sécurité. Comme par exemple, celui pour la protection des Organismes d’importance vitale (OIV) ou du secret de la défense nationale.
Quels sont les risques en cas d’exposition de ces informations sensibles ?
En cas de captation, ces informations relatives au potentiel technique et scientifique de la nation peuvent être détournées. Et ce, à des fins de déstabilisation ou criminelles. Il existe ainsi 4 catégories de risques :
les sciences de la terre, de l’univers et de l’espace,
les sciences et technologies de l’information et de la communication
les sciences de l’ingénieur…
Ainsi, des laboratoires de recherche, des entreprises et des universités ont besoin d’être protégés des risques d’interception de données.
Protéger le potentiel scientifique et technique du cyberespionnage
L’accès aux ZRR peut être physique mais aussi virtuel. C’est pourquoi, la sécurité des systèmes d’informations constitue un enjeu majeur pour protéger le potentiel scientifique et technique du cyberespionnage.
Sécuriser les systèmes d’informations à régime restrictif (SIRR)
Un système d’information à régime restrictif (SIRR) fait transiter des informations à régime restrictif (IRR), c’est-à-dire sensibles et dont leur divulgation présenterait un ou plusieurs des risques précédemment cités. Leur accès constitue donc un accès virtuel à une zone RR. À noter que les SIRR sont soumis à l’instruction interministérielle n°901 sur la protection dusecret et de la défense nationale.
Dans le guide de la protection numérique du potentiel scientifique et technique de la nation publié par l’ANSSI figure une liste de mesures de sécurité à mettre en œuvre par les organisations disposant d’un SIRR. Parmi elles, le déploiement d’une politique de sécurité des systèmes d’informations (PSSI). Celle-ci liste l’ensemble des bonnes pratiques et procédures en matière de sécurité informatique à respecter par les collaborateurs et autres parties prenantes.
En effet, le SIRR englobe tous types de supports et équipements électroniques : ordinateurs portables, clés USB ou serveurs… et suppose donc en parallèle une sensibilisation à la cybersécurité des utilisateurs.
chiffrement des disques durs des postes de travail
contrôle d’accès
Veiller à la sécurité des postes de travail
Les postes de travail contiennent un certain nombre d’informations sensibles qui doivent être protégées. L’ANSSI rappelle l’importance de supprimer l’entièreté des données présentes sur un poste de travail, avant une réattribution de matériel. De la même façon, il est essentiel de supprimer les droits d’accès aux systèmes d’informations, dès la fin de période d’emploi d’un utilisateur.
Utiliser une technologie de chiffrement de bout en bout des communications
Les outils de communication déployés dans les entreprises, notamment dans des établissements en zone RR, doivent répondre à un niveau de sécurité maximale. D’abord, la solution utilisée doit être Secure by design et respecter ainsi un certain nombre de critères de sécurité, de sa conception jusqu’à son déploiement dans l’organisation. Ainsi, son impact sur la sécurité du réseau de l’entreprise sera nettement diminué voire nul. D’autre part, les communications échangées sur des messageries en ligne ou en visioconférence sont la cible d’espionnage informatique et industriel. Seule une technologie de chiffrement de bout en bout des flux de communications audio, vidéo et data peuvent éviter la récupération de ses données.
Faire preuve de la plus grande réactivité en cas d’attaque
En cas de crise cyber, une solution de communication sécurisée et d’urgence est également indispensable pour assurer la continuité d’activité de l’établissement. Elle doit permettre aux collaborateurs de poursuivre leurs échanges grâce à un canal de communication « out of band », c’est-à-dire différent de celui utilisé habituellement.
Le logiciel de visioconférence sécurisée Tixeo, certifié et qualifié par l’ANSSI, répond à ce besoin. Grâce à sa technologie de chiffrement de bout en bout souveraine et son déploiement hautement sécurisé en version on-premise, il permet d’accompagner les établissements dans leur gestion de crise et leur cyber-résilience.
Les 16 et 17 octobre 2023 a eu lieu pour la première fois un sommet des Five Eyes sur la thématique de la protection du potentiel scientifique et technique de la nation.
Lors de ce sommet, les 5 pays de la coalition (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) ont alerté sur les menaces qui pèsent sur l’innovation et la recherche. Plus particulièrement, le gouvernement chinois a été ciblé comme principal danger pour l’innovation et les intérêts des nations. « Le gouvernement chinois est engagé dans le vol de propriété intellectuelle et l’acquisition d’expertise la plus soutenue et sophistiquée, qui n’a aucun précédent dans l’histoire de l’humanité », a déclaré Mike Burgess, directeur général des services de renseignement australiens. Les opérations d’espionnage industriel, d’origine chinoise, connaissent en effet une hausse sans précédent. « Les secteurs de l’intelligence artificielle, de l’informatique quantique et de la biologie de synthèse sont particulièrement ciblés en ce moment. ». Une recrudescence du cyberespionnage d’origine étatique qui n’épargne pas non plus les pays européens.
Le document Cinq principes pour sécuriser la recherche et l’innovation, publié à l’issue du sommet, présente plusieurs préconisations pour maximiser la protection du potentiel scientifique et technique. Parmi elles : la connaissance et gestion des risques cyber, la protection de l’environnement de travail, la sensibilisation des collaborateurs ou encore la sécurisation des partenariats, fournisseurs et prestataires de services.
Pour démontrer leur fiabilité, les solutions informatiques peuvent obtenir une certification de sécurité. Celle-ci constitue un atout fort pour les produits IT sur le marché, dans un contexte où la cybersécurité est désormais un enjeu crucial pour les organisations. Mais, d’un pays à l’autre, comment s’assurer de la crédibilité d’une certification de sécurité ?
Qu’est-ce qu’une certification de sécurité ?
La certification de sécurité pour les solutions et logiciels informatiques consiste à évaluer le produit selon des normes de cybersécurité spécifiques. Celles-ci peuvent être relatives à un secteur et aux réglementations en vigueur au sein de la nation. Ainsi, selon le pays émetteur de la certification, celle-ci ne répondra pas aux mêmes exigences en matière de cybersécurité. C’est pourquoi, il est important d’analyser les critères qui permettent d’établir un niveau de crédibilité de la certification cyber.
Critères pour déterminer le niveau de crédibilité
La puissance cyber de la nation
La puissance cyber ou « cyber power » participe au rayonnement d’une nation sur le plan international. Il s’agit de sa capacité à utiliser les technologies numériques et le cyberespace pour atteindre ses objectifs nationaux et internationaux, grâce à des stratégies gouvernementales, des opérations défensives ou encore la mobilisation de ressources. Différents indices mondiaux permettent de déterminer ce niveau de puissance cyber.
L’indice NCPI du Harvard Belfer center
Le National Cyber Power Index (NCPI) du Belfer Center est un index de puissance cyber des nations. L’indice utilise des modèles de données qualitatifs et quantitatifs pour évaluer les capacités et l’atteinte des objectifs des Etats. Il se réfère à 29 indicateurs, répartis dans deux catégories :
Les indicateurs d’intention
Les indicateurs d’intention (intent indicator) reflètent les priorités et les motivations d’un État en matière de cybersécurité. En d’autres termes, il démontre la façon dont le pays envisage d’utiliser ses capacités cybers, en fonction de ses objectifs stratégiques et politiques. Ceux-ci sont divers : défense, espionnage, contrôle de l’information, influence dans la définition des normes du cyberespace ou opérations offensives.
Les indicateurs de capacité
Les indicateurs de capacité (capability intent) évaluent les capacités techniques et les ressources d’un pays sur le plan cyber, indépendamment de la manière dont il a choisi de les utiliser. Cela inclut notamment : l’expertise technique, l’infrastructure, les outils et technologies disponibles, et les ressources humaines qualifiées en cybersécurité.
Les résultats du rapport NCPI 2022
Dans le rapport NCPI 2022, les auteurs ont évalué la puissance cyber de 30 pays dans le monde. Ainsi, dans le top 10, on trouve les Etats-Unis, la Chine, la Russie, le Royaume-Uni et la France en 9ème position. L’Allemagne et les Pays-Bas se situent plus bas dans le classement.
La France obtient un score de capacité d’environ 40 pour l’objectif d’« influence dans la définition des normes du cyberespace » et se situe ainsi en 4ème position. En score d’intention, la France se classe dans le top 4 des nations les plus impliquées dans l’objectif de défense.
L’évaluation de l’Internal institute for strategics studies (IISS)
L’IISS a également développé une méthodologie pour déterminer les capacités cybers d’une nation et la façon dont celles-ci contribuent à sa puissance. L’institut classe ces capacités en 7 catégories distinctes :
Stratégie et doctrine
Gouvernance, commandement et contrôle
Capacité essentielle de cyberespionnage
Habilitation et dépendance à l’égard du cyberespace
Cybersécurité et résilience
Leadership mondial dans les affaires du cyberespace
Capacité de cybersécurité offensive
Dans son « Cyber Capabilities and National Power » publié en 2021, l’IISS analyse la position de la France dans ces domaines. On peut y lire que « La France est à bien des égards le premier pays de l’UE en matière de cybersécurité et de planification de la résilience. »
La transparence de la France sur la cybersécurité
D’autre part, la France ferait preuve d’une plus grande transparence sur la question de la cybersécurité. En effet, le rapport stipule que le pays « maintient une séparation claire entre les opérations cybernétiques défensives et offensives. ». Ainsi, l’ANSSI (Agence Nationale de la Sécurité des systèmes d’informations) se consacre exclusivement aux opérations défensives et ne fait pas partie de la communauté du renseignement, contrairement à la National Security Agency (NSA) aux États-Unis ou du Government Communications Headquarters (GCHQ) au Royaume-Uni. « Cette distinction est importante pour certains en France, sur la base de l’hypothèse que les objectifs et le domaine de compétence d’une agence de renseignement, notamment sa disposition envers le secret, peuvent interférer avec certains des objectifs et des pratiques nécessaires à la cybersécurité du secteur civil, y compris le besoin d’une plus grande transparence concernant les violations de cybersécurité. »
La cyber power d’une nation est donc un des critères essentiels à prendre compte pour évaluer la crédibilité d’une certification de sécurité émise par un pays. En effet, lorsqu’un pays est hautement classé, cela démontre son haut niveau d’exigence et de capacité en matière de cybersécurité. L’autre critère décisif est celui du schéma de certification national.
Le schéma de certification national
L’unique standard international pour l’évaluation de la sécurité des produits et systèmes informatiques est le Common Criteria (CC). Celui-ci analyse des critères techniques, mais aussi organisationnels et relatifs aux process de l’entreprise afin d’attribuer un niveau de sécurité plus ou moins élevé (7 niveaux).
Ces critères sont très exigeants et supposent la mise en place de moyens importants par les organisations. Ainsi, seules des grandes entreprises ou des grands groupes ont les moyens de prétendre à une certification du CC. Or, cette difficulté d’attribution est en opposition avec la volonté de développer un système numérique de confiance, regroupant des organisations de toutes tailles, multi-nationales comme PME.
Pour faciliter cette démarche de certification, la France et l’Allemagne, forts de leur expérience de pays certificateurs, ont créé des schémas de certification nationaux, orientés sur l’évaluation technique des produits :
Ces schémas ont permis d’élargir la certification à un plus grand nombre de solutions informatiques, et de renforcer leur visibilité, tout en garantissant leur haut niveau de sécurité. En effet, la crédibilité de ces schémas de certification nationaux repose avant tout sur celle du pays émetteur.
L’expérience de la nation dans la délivrance de certification
Nombre de certifications CC délivrées en 2022 par pays (Common Criteria Statistics Reports 2022)
L’expérience de la nation dans la délivrance de certifications compte pour beaucoup dans la crédibilité de son schéma de certification. Et pour cause, le nombre de produits certifiés démontre une expertise et un engagement particulier pour la cybersécurité.
En 2022, selon le Common criteria Statistics report, la France, via l’ANSSI, est le leader mondial en nombre de certifications Common Criteria délivrées, avec 74 produits certifiés. Sur les 5 dernières années, la France est le deuxième pays ayant délivré le plus de certifications, juste derrière les Etats-Unis.
En résumé, la crédibilité d’une certification de sécurité repose sur trois critères principaux :
La puissancecyber de la nation émettrice de la certification
L’engagement du pays pour développer un système numérique de confiance, à travers son schéma de certification national
L’expérience de la nation dans la certification
La France, l’une des puissances cyber les plus crédibles
La France apparaît comme l’une des puissances cyber les plus crédibles et expérimentées. D’abord, en raison des différents indices de « cyber power » et grâce à son expérience dans l’évaluation de produits informatiques.
Ainsi, les solutions certifiées par l’ANSSI bénéficient de garanties de sécurité importantes et d’une confiance accrue.
Tixeo, seule solution de visioconférence sécurisée certifiée et qualifiée par l’ANSSI
Grâce à sa technologie de chiffrement de bout en bout souveraine et son offre de visioconférence sécurisée on-premise, Tixeo est certifiée et qualifiée par l’ANSSI depuis 2017.
Avec trois certificats de sécurité de l’ANSSI reçus en 6 ans, l’entreprise marque une continuité dans son engagement pour la sécurité. Un haut niveau d’exigence cyber qui va au-delà de l’aspect purement « marketing » de la certification.
La cybersécurité est aujourd’hui un enjeu crucial pour la pérennité économique. En comprenant les aspects essentiels de ce domaine et leur importance, les entreprises peuvent mieux protéger leurs données et leurs SI.
Qu’est-ce que la Cybersécurité ?
La cybersécurité est un ensemble de pratiques, de processus et de technologies conçus pour protéger les systèmes, les réseaux et les données contre les cyber menaces. Ces menaces peuvent inclure des tentatives d’accès non autorisés, des attaques par déni de service, des attaques de phishing ou d’autres formes de piratage informatique.
On compte plusieurs sous-domaines. Parmi eux, la sécurité des réseaux (protégée par des pare-feu), la sécurité informatique, et le chiffrement, qui concerne la transmission de données chiffrées contre l’espionnage.
Pourquoi est-elle si importante ?
De nombreuses entreprises dépendent largement de leurs systèmes informatiques pour mener à bien leurs opérations. Un incident de cybersécurité peut donc entraîner de graves pertes financières.
Par ailleurs, les entreprises gèrent souvent des données sensibles, telles que les informations personnelles de leurs clients et de leurs collaborateurs ou des informations commerciales confidentielles. Une violation de la sécurité de ces données pourrait avoir des conséquences juridiques et réputationnelles graves.
Enfin, les cyber menaces évoluent constamment et sont de plus en plus sophistiquées. Les entreprises doivent donc mettre à jour leurs pratiques de cybersécurité pour s’en protéger.
Voici un aperçu des dernières tendances en matière de cybersécurité, des menaces émergentes et des mesures de protection.
Les tendances en Cybersécurité
De nouvelles tendances et technologies en matière de cybersécurité émergent chaque année. Nous allons explorer trois tendances clés : l’intelligence artificielle et le machine learning, l’authentification multifacteur et la cybersécurité dans le cloud.
L’Intelligence Artificielle et le Machine Learning
L’intelligence artificielle (IA) et le machine learning sont de plus en plus utilisés. Ces technologies permettent d’analyser rapidement de grandes quantités de données pour détecter des anomalies et des comportements suspects. Elles peuvent également prévenir les attaques en identifiant les vulnérabilités avant qu’elles ne soient exploitées par des pirates.
Cependant, il faut noter que ces technologies ne sont pas infaillibles. Elles nécessitent une formation et une mise à jour constantes pour rester efficaces face à l’évolution des menaces de cybersécurité.
L’authentification multifacteur
L’authentification multifacteur (MFA) est une autre tendance importante. Elle exige des utilisateurs qu’ils fournissent deux ou plusieurs formes de preuves d’identité avant de pouvoir accéder à un système ou à des données sensibles. Cela inclut trois paramètres : quelque chose que l’utilisateur connaît (comme un mot de passe), quelque chose qu’il possède (comme une carte d’identité) et quelque chose qu’il est (comme une empreinte digitale).
Le MFA peut aider à prévenir les attaques de phishing et autres formes de piratage en rendant beaucoup plus difficile pour un attaquant d’avoir accès à un compte ou à un système.
La Cybersecurité dans le cloud
Alors que de plus en plus d’entreprises migrent leurs données et leurs opérations vers le cloud, la cybersécurité dans le cloud devient une priorité absolue. Les services de cybersécurité basés sur le cloud peuvent offrir une protection en temps réel contre un large éventail de menaces, y compris les ransomwares, les attaques DDoS et les piratages informatiques.
Cependant, ces services présentent également leurs propres risques. Les entreprises doivent s’assurer que leurs fournisseurs de services cloud respectent les normes de sécurité les plus strictes. Leurs politiques et procédures doivent être en place pour gérer les incidents de sécurité. La localisation de l’hébergeur cloud est un autre aspect essentiel à prendre en compte. En effet, les entreprises doivent vérifier qu’il n’est pas soumis à des lois extraterritoriales souples en matière de protection des données.
Ces tendances en cybersécurité offrent de nouvelles opportunités pour améliorer la protection des données et des systèmes. Cependant, elles nécessitent une adaptation constante face à l’évolution des menaces.
Les menaces les plus répandues
Dans le domaine de la cybersecurité, les menaces évoluent constamment. Parmi celles les plus répandues et dangereuses figurent les attaques par ransomware, les attaques de phishing et les attaques man-in-the-middle.
Les attaques par ransomware
Les attaques par ransomware consistent à introduire un logiciel malveillant dans un système informatique afin de bloquer l’accès aux données de l’utilisateur. L’attaquant exige ensuite une rançon en échange du débloquage. Ces attaques peuvent causer des pertes financières considérables et interrompre les opérations commerciales. Elles ont gagné en popularité pour leur capacité à générer des profits immédiats pour les cybercriminels.
Il est important de noter que le paiement de la rançon ne garantit jamais le rétablissement des données. La meilleure défense contre les attaques par ransomware est la prévention. Cela comprend des mesures telles que la mise en place de sauvegardes régulières, l’installation d’un pare-feu robuste et la formation des employés à la sécurité informatique.
Les attaques de phishing
Les attaques de phishing visent à obtenir des informations sensibles. Parmi elles, des identifiants de connexion, des numéros de carte de crédit ou des informations personnelles, en se faisant passer pour une entité de confiance. Généralement menées par email, elles passent aussi par des sites web, des messages textes ou des appels téléphoniques (vishing).
Les attaques de phishing reposent ainsi sur la manipulation psychologique pour tromper les utilisateurs. Elles les poussent à partager des informations sensibles. La meilleure défense contre ces attaques est la sensibilisation et la formation à la cybersécurité. Les utilisateurs doivent être formés à la détection de tentatives de phishing. Pour plus d’informations sur le phishing, consultez notre article sur le phishing.
Les attaques Man-in-the-Middle
Les attaques man-in-the-middle (MitM) ont pour but d’intercepter les communications entre deux parties afin de voler des données, injecter des informations malveillantes ou espionner. Ces attaques sont particulièrement dangereuses car elles peuvent passer inaperçues sans des mesures de sécurité appropriées.
La prévention des attaques MitM implique l’utilisation de protocoles de communication sécurisés. Elle nécessite également le déploiement de réseaux privés virtuels (VPN) ainsi que l’utilisation du chiffrement de bout en bout. Le but étant sécuriser au mieux les flux de communication audio, vidéo et data.
En restant informées sur les dernières menaces émergentes, les entreprises peuvent mieux se préparer et se défendre contre les attaques. Elles garantissent ainsi la sécurité de leurs données confidentielles. Pour plus d’informations sur la sécurité informatique, consultez notre guide complet sur la sécurité informatique.
Comment se protéger contre les cybermenaces
Dans le contexte actuel où les cybermenaces sont en constante évolution, il est essentiel de prendre des mesures proactives. Cela comprend la formation à la cybersecurité, l’adoption de bonnes pratiques pour la protection des données, et la gestion des mots de passe.
La formation à la cybersécurité
La formation à la cybersecurité doit concerner tous les membres de l’organisation. Chacun nécessite de prendre conscience des risques cyber potentiels, telles que les attaques de phishing.
L’utilisation appropriée des outils de sécurité, comme les pare-feu et antivirus, ainsi que l’importance des mises à jour régulières du système sont des sujets à aborder lors des formations. Dans le cadre de la collaboration à distance, les risques sont encore plus élevés. Comme l’explique Julien, Admin Système et sécurité chez Tixeo, « l’employeur a un contrôle limité sur l’environnement et les usages du télétravailleur, notamment concernant sa connexion Internet domestique. Pourtant, le réseau Wi-Fi constitue une première cybermenace en télétravail. En cas d’accès non protégé, cela peut exposer les données de l’appareil connecté. »
Il est nécessaire de fournir aux employés une charte informatique comprenant les bonnes pratiques en matière de cybersécurité ainsi que quelques pratiques spécifiques à leurs métiers. En effet, proposer des formations par profils de métiers est recommandée car les risques cyber sont différents d’un collaborateur à l’autre. Ainsi, un développeur informatique se déplace peu et n’utilise donc pas d’appareils mobiles professionnels, à l’inverse d’un commercial.
Les bonnes pratiques de protection des données
La protection des données est au cœur de la cybersecurité. Cela comprend l’adoption de pratiques telles que l’utilisation de connexions Internet sécurisées et la limitation de l’accès aux données.
Le chiffrementde bout en bout est une technologie essentielle pour garantir la confidentialité des données. Cette technologie, indispensable dans les logiciels de visioconférence, protège les flux de communications de l’espionnage.
De plus, des protocoles de sauvegarde et de récupération des données aident à minimiser les dommages en cas d’incident.
La gestion des mots de passe
La gestion efficace des mots de passe est une autre composante essentielle de la cybersecurité. Cela comprend l’utilisation de mots de passe forts et uniques pour tous les comptes.
Il est également recommandé d’utiliser un gestionnaire de mots de passe pour stocker ces derniers de manière sécurisée. Cela permet de maintenir la sécurité tout en évitant la difficulté de se souvenir de nombreux mots de passe complexes. Bien que solides, les mots de passe ne sont cependant plus suffisants pour assurer la sécurité d’un compte. Comme vu précédemment, ils doivent aujourd’hui faire partie d’un système d’authentification multifacteur plus large.
En résumé, la protection contre les cyber menaces nécessite de la formation, de bonnes pratiques de protection des données et de gestion efficace des mots de passe. En se tenant au courant des dernières tendances et menaces en matière de cybersecurité, les organisations peuvent prendre des mesures proactives pour renforcer leur sécurité informatique et protéger leurs données sensibles.
Les innovations de la sécurité informatique
Les avancées technologiques actuelles et futures promettent de renforcer les mesures de cybersecurité. Des innovations telles que l’intelligence artificielle (IA), le machine learning et le chiffrement avancé sont de plus en plus utilisés. Ils permettent de détecter et de prévenir les attaques. Ces innovations participent à protéger les données et les systèmes d’informations.
L’IA et le machine learning peuvent analyser les données de sécurité à grande échelle. Ils identifient les tendances et les modèles qui peuvent indiquer une menace potentielle. La blockchain offre un niveau de sécurité accrue pour les transactions et les données. Elle rend les registres presque impossibles à modifier ou à falsifier.
Le chiffrement avancé, avec l’utilisation de l’informatique quantique, pourrait également jouer un rôle majeur dans la protection des données sensibles.
Les défis à venir
Malgré ces innovations, le domaine de la cybersecurité fait face à de nombreux défis.
Les techniques de phishing et de piratage informatique se perfectionnent et ont des répercussions financières conséquentes. Cela nécessite une vigilance et une adaptation constantes.
En parallèle, l’augmentation massive des données générées et stockées dans le cloud nécessitent une grande vigilance. La gestion de la confidentialité des données, en particulier avec le développement de l’Internet des objets (IoT), demeure un problème crucial.
Le manque de professionnels qualifiés en cybersecurité est également un défi de taille. Il est nécessaire de former davantage de personnes dans ce domaine pour répondre à la demande en matière de sécurité informatique.
Enfin, les organisations doivent se conformer à un éventail de réglementations en matière de cybersecurité et de protection des données. C’est le cas pour les entreprises européennes avec la dernière Directive NIS 2.
En dépit de ces défis, le futur de la cybersecurité semble prometteur. Grâce notamment à l’émergence de nouvelles technologies et l’accent mis sur la formation. Les organisations qui adoptent une approche proactive de la cybersecurité seront mieux préparées pour se protéger contre les cybermenaces émergentes.
