Você está na página 1de 156

Union

internationale

des

tlcommunications

Guide de la cyberscurit pour les pays en dveloppement

Union

internationale

des

tlcommunications

Guide de la cyberscurit pour les pays en dveloppement

UIT 2006 Tous droits rservs. Aucune partie du prsent rapport ne peut tre reproduite sous quelque forme que ce soit, sans l'autorisation crite pralable de l'UIT. Les dnominations et classifications employes dans le prsent rapport n'impliquent l'expression d'aucune opinion de la part de l'Union internationale des tlcommunications concernant le statut juridique ou autre de tel ou tel territoire, ni l'acceptation ou l'approbation d'une quelconque frontire. Le terme pays utilis dans le prsent rapport dsigne un pays ou un territoire. Dni de responsabilit Les rfrences faites des pays, socits, produits, initiatives ou directives spcifiques nimpliquent pas que lUIT approuve ou recommande ces pays, socits, produits, initiatives et directives, de prfrence dautres, de nature similaire, mais dont il nest pas fait mention. Les opinions exprimes dans cette publication sont celles de lauteur et nengagent pas lUIT.

PRFACE

Les technologies de linformation et de la communication (TIC) permettent de fournir des services de base dans les domaines, entre autres, de la tlsant, de la tlducation, du commerce lectronique et de la cybergouvernance aux populations des pays en dveloppement dans lesquels de nombreux citoyens nont toujours pas accs des infrastructures physiques telles que les hpitaux, les coles ou les services publics de ladministration. Les transactions lectroniques entre mdecins et patients, laccs aux services publics administratifs en ligne et lutilisation de linternet pour vendre des biens et des services des clients situs dans des zones loignes sont dsormais possibles grce aux progrs raliss dans le domaine des technologies de linformation et des tlcommunications. Les applications offertes par les technologies de linformation et de la communication sont en passe de combler certaines difficults daccs aux services de base et de donner les moyens aux pays en dveloppement de devenir des participants part entire de la socit de linformation. Toutefois, on ne pourra profiter de tous les avantages offerts par la socit de linformation quau prix dun travail collectif de toutes les parties prenantes pour rsoudre des problmes tels que la prvention de la destruction des informations et donnes, la protection des donnes, lauthentification des transactions lectroniques et la lutte contre la menace globale que reprsente le cybercrime. Le vol didentit, lenvoi de messages non dsirs, les techniques de phishing, les logiciels malveillants tels que les chevaux de Troie, les vers ou les virus, se rpandent par del les frontires nationales, affectant les ordinateurs des utilisateurs travers le monde. Pour tirer profit des avantages offerts par la cyberscurit, les secteurs public et priv de tous les pays doivent avoir une comprhension commune des dfis relever. Il est essentiel que la communaut internationale poursuive ses efforts pour rduire la fracture de la connaissance entre les pays et lintrieur de ceux-ci dans cet important domaine. Ce guide de rfrence a t conu dans le but de fournir aux pays en dveloppement une meilleure comprhension des principaux problmes rencontrs actuellement en matire de cyberscurit, mais aussi pour promouvoir lchange des meilleures pratiques, prsenter des solutions mises en place dans dautres pays et fournir des rfrences dans ce vaste domaine. Jespre que ce guide rpondra aux besoins des utilisateurs, des responsables politiques, des rgulateurs et des fournisseurs de services, en particulier dans les pays en dveloppement, lheure o des solutions sont chafaudes pour profiter de tous les avantages quoffrent les tlcommunications et les technologies de linformation et de la communication au profit du dveloppement social et conomique.

Hamadoun I. Tour Directeur Bureau de dveloppement des tlcommunications

Prface

iii

AVANT-PROPOS
La Confrence mondiale de dveloppement des tlcommunications a charg le BDT, travers le Programme cyberstratgies et cyberservices/applications, de concevoir des outils visant faciliter lchange dinformations sur les meilleures pratiques, les technologies et les questions de politique gnrale. Cest dans ce cadre, et afin de rpondre lune des priorits de ce Programme qui consiste renforcer la scurit et la confiance dans lutilisation des rseaux publics pour les cyberservices/applications, que le guide de la cyberscurit pour les pays en dveloppement a t prpar. Ce guide a t labor dans le but de fournir un outil aux pays en dveloppement pour leur permettre de mieux comprendre certains enjeux lis la scurit des technologies de linformation, ainsi que des exemples de solutions mises en place par dautres pays pour faire face ces problmes. Il cite galement des rfrences permettant dobtenir de plus amples renseignements sur le sujet de la cyberscurit. Ce guide ne constitue pas un document ou un rapport exhaustif sur le sujet, mais vise souligner les principaux problmes que rencontrent actuellement les pays qui veulent bnficier des avantages offerts par la socit de linformation. Son contenu tient compte des besoins des pays en dveloppement et des pays les moins avancs dans lutilisation des technologies de linformation et de la communication pour offrir des services de bases dans diffrents secteurs, et de limportance de dvelopper la capacit locale et une conscience accrue de toutes les parties prenantes. Lors de llaboration du contenu et afin dviter toute duplication dans le traitement des thmes, les travaux dj raliss par le Commission dtudes 17 de lUIT-T et les autres travaux et publications relatifs ce domaine ont t dment pris en compte. Ce guide a t labor par Mme Solange GHERNAOUTI-HELIE, Professeur lUniversit de Lausanne, qui a travaill en tant quexpert UIT en collaboration troite avec et sous la supervision de M. Alexander NTOKO, Chef de lUnit des e-stratgies du BDT.

iv

Avant-propos

RSUM

Enjeux de socit, enjeux conomiques, enjeux politiques, enjeux humains, quelle soit dnomme scurit de linformatique et des tlcoms ou cyberscurit, la scurit informationnelle touche la scurit du patrimoine numrique et culturel des individus, des organisations et des nations. Enjeux complexes dont la satisfaction passe par une volont politique de dfinir et de raliser une stratgie de dveloppement des infrastructures et services du numrique (e-services) qui intgre une stratgie pluridisciplinaire de la cyberscurit cohrente, efficace et contrlable. Obtenir un niveau de scurit informatique suffisant pour prvenir les risques technologique et informationnel est primordial pour le bon fonctionnement des Etats et des organisations. En effet, ladoption des technologies du numrique, la dpendance des organisations et des Etats ces mmes technologies et linterdpendance des infrastructures critiques, introduisent un degr de vulnrabilit non ngligeable dans le fonctionnement normal des Institutions. Ceci peut mettre en pril leur prennit ainsi que la souverainet des Etats. Lobjet de la cyberscurit est de contribuer prserver les forces et les moyens organisationnels, humains, financiers, technologiques et informationnels, dont se sont dotes les Institutions, pour raliser leurs objectifs. La finalit de la scurit informatique est de garantir quaucun prjudice ne puisse mettre en pril leur prennit. Cela consiste diminuer la probabilit de voir des menaces se concrtiser, en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour un fonctionnement normal des cots et des dlais acceptables en cas de sinistre. La dmarche de cyberscurit est un projet de socit dans la mesure o chacun est concern par sa ralisation. Sa validit sera renforce si une cyberthique, un comportement cohrent vis--vis des technologies de linformation est dveloppe et si une vritable politique de scurit stipule ses exigences de scurit envers les utilisateurs (acteurs, partenaires, prestataires) des nouvelles technologies. Pour mettre en place une dmarche de cyberscurit, il est important de pouvoir identifier correctement les valeurs et les biens protger afin de circonscrire le primtre de scurit mettre en place pour les protger efficacement. Ceci implique une approche globale, pluridisciplinaire et systmique de la scurit. La cyberscurit nest pas compatible avec un monde libertaire, fluide et non contrl. Il faut tablir des grands principes d'thique, de responsabilit, de transparence au travers dun cadre lgal appropri et mettre en vigueur des rgles du jeu ralistes. Celles-ci doivent tre applicables non seulement localement mais aussi par l'ensemble de la communaut internationale et compatibles avec les directives internationales existantes. Afin de ne pas contribuer favoriser le dveloppement de la criminalit, les infrastructures de tlcommunication mises en place doivent intgrer des mesures de scurit adaptes tant sur le plan technique que juridique. Les cyberattaques prennent diverses formes prise de contrle clandestine d'un systme, dni de service, destruction ou vol de donnes sensibles, hacking (piratage de rseau de tlcommunication), cracking (craquage de protections logicielles des programmes), phreaking (sabotage, prise de contrle de centraux tlphoniques), etc. et ont toutes des consquences ngatives pour les organisations ou individus qui en sont victimes. Considres comme un systme, les tlcommunications (infrastructures et services) rpondent une problmatique de scurit peu diffrente de celle des ressources informatiques, dont la rsolution rpond aux mmes impratifs techniques, organisationnels et humains. Protger les informations lors de leur transfert est ncessaire mais ne suffit pas car ces dernires sont tout aussi vulnrables, sinon plus, lorsquelles sont traites et mmorises. Ainsi, la cyberscurit doit sapprhender dune manire globale. Des solutions scuritaires dordre uniquement technologique ne peuvent pas suppler un
Rsum v

manque de gestion cohrente et rigoureuse des besoins, mesures, procdures et outils de la scurit. La prolifration dsordonne doutils de scurit ne peut quentraver lusage, qualourdir lexploitation ou encore dgrader les performances des ressources informatiques. La matrise de la scurit informatique est une question de gestion dont les outils et les services de scurit constituent une partie lie ladministration oprationnelle des systmes. Ainsi par exemple, chiffrer des donnes pour les rendre incomprhensibles lors de leur transmission ne sert rien, si par la suite, elles sont stockes de manire non scurise. De mme, la mise en place dun firewall est de peu dutilit si des connexions peuvent stablir sans passer par ce systme. Le dveloppement des activits bases sur le traitement de linformation permettant une rduction de la fracture digitale passe par la mise disposition: dinfrastructures informationnelles fiables et scurises (accessibilit, disponibilit, sret de fonctionnement et continuit des services garanties); de politiques dassurance; dun cadre lgal adapt; des instances de justice et de police comptentes dans le domaine des nouvelles technologies et capables de cooprer au niveau international avec leurs homologues; doutils de gestion du risque informationnel et de gestion de la scurit; doutils de mise en uvre de la scurit qui permettent de dvelopper la confiance dans les applications et services offerts (transactions commerciales et financires, e-sant, e-gouvernement, e-vote, etc.) et dans les procdures qui permettent le respect des droits de lHomme notamment pour ce qui concerne les donnes caractre personnel.

La matrise du patrimoine numrique informationnel, la distribution de biens intangibles, la valorisation des contenus ou la rduction de la fracture numrique, sont autant de problmes dordre conomique et social, dont la rsolution ne pourra tre rduite la seule dimension technologique de la scurit informatique. Ainsi, en apportant une rponse adquate aux dimensions humaine, juridique, conomique et technologique des besoins de scurit des infrastructures numriques et des utilisateurs, la confiance pourrait sinstaurer et gnrer un dveloppement conomique profitable tous les acteurs de la socit.

vi

Rsum

PARCOURS DE LECTURE
En guise dintroduction la cyberscurit, laccent est mis sur ce qui a chang avec les technologies du numrique, la dmatrialisation des informations et lusage extensif des rseaux de tlcommunication. Les enjeux pour lvolution des socits sont prsents pour introduire la notion dimpratif de scurit informatique et tlcom (cyberscurit). La section une de ce manuel sintresse principalement aux besoins et lments de solution de la cyberscurit. Ainsi, le contexte de la scurit des infrastructures de communication est analys la lumire du constat de la vulnrabilit et de ltat dinscurit associ aux technologies de linformation et des communications. En tirant partie des enseignements issus des meilleures pratiques, de la ralit quotidienne de la scurit du monde de l'internet et de lexprience acquise par la communaut internationale, les besoins en termes de cyberscurit pour les pays en dveloppement sont identifis. La cyberscurit est analyse selon ses dimensions managriales, politique, conomique, sociale juridique et technologique. Sont identifies des recommandations gnriques respecter lors de la mise disposition dinfrastructures de tlcommunication afin de matriser les risques, quils soient dorigine criminelle ou non, et pour contribuer dvelopper la confiance envers les e-services, moteurs du dveloppement conomique. La section deux adresse la problmatique de la matrise de la cybercriminalit. Elle traite des lments qui favorisent lexpression de la criminalit afin de mettre en vidence les limites des solutions actuelles de scurit et de lutte contre la cybercriminalit ainsi que la complexit et de lenvergure du problme rsoudre. Les diffrents dlits et crimes ralisables via linternet sont prsents, notamment sous langle de la criminalit conomique. Une analyse des comportements criminels, comme le profil des cybercriminels, ainsi que les caractristiques gnrales des cyberattaques et des programmes malveillants illustrent cette partie. Des lignes directrices sont identifies pour se prparer la menace dorigine cybercriminelle. La section trois, aprs avoir rappel les fondamentaux du monde des tlcommunications, propose une approche fonctionnelle ainsi quune mise en perspective critique des outils de la scurit des infrastructures. Une approche globale de la cyberscurit qui intgre les diffrents aspects du droit des nouvelles technologies ainsi que quelques perspectives de dveloppent pour la mise en place de solutions de scurit des infrastructures de communication sont donnes en section quatre. Un glossaire des termes de la scurit ainsi que diverses rfrences et documents concluent ce guide de la cyberscurit.

Parcours de lecture

vii

REMERCIEMENTS

Le Bureau de dveloppement des tlcommunications de lUIT souhaite remercier Madame le Professeur Solange GhernaoutiHlie ainsi que tous les membres de son quipe pour leur soutien, notamment MM. Mohamed Ali Sfaxi et Igli Tashi, Mmes Sarra Ben Lagha et Hend Madhour, ainsi que M. Arnaud Dufour (consultant en stratgie internet). Par ailleurs, ce manuel a bnfici des informations et tudes fournies par divers organismes et tout particulirement par le Clusif (Club de la scurit informatique franais) et le Cert (Computer Emergency and Response Team), que nous tenons remercier. Enfin, llaboration de ce manuel naurait pas t possible sans lexcellente coopration des membres de lUnit e-stratgies, en particulier M. Alexander Ntoko. Nous souhaitons galement remercier Mme Rene Zbinden Mocellin (Division de la production des publications de lUIT) et son quipe pour la production de ce guide.

viii

Remerciements

Guide de la cyberscurit pour les pays en dveloppement

TABLE DES MATIRES


Page PRFACE ............................................................................................................................. iii AVANT-PROPOS ................................................................................................................ iv RSUM............................................................................................................................... v PARCOURS DE LECTURE............................................................................................... vii REMERCIEMENTS............................................................................................................ viii SECTION I Contexte de la cyberscurit, enjeux et lments de solution .................. 1 Chapitre I.1 Cyberespace et socit de linformation.................................................... 3
I.1.1 Numrisation ........................................................................................................ Information numrique............................................................................... Technologies numriques ........................................................................... Infrastructures et contenu ...........................................................................

3 3 3 4 4
4 5

I.1.1.1 I.1.1.2 I.1.1.3 I.1.2

Rvolution informationnelle .................................................................................. Innovation et dveloppement ............................................................................ Accompagner la rvolution informationnelle....................................................

I.1.2.1 I.1.2.2

Chapitre I.2 Cyberscurit ............................................................................................... 6


I.2.1 I.2.2 I.2.3 I.2.4 Contexte de la scurit des infrastructures de communication .................................. Enjeux de la cyberscurit ..................................................................................... Constat de linscurit numrique ..........................................................................

6 7 9

Enseignements tirer ............................................................................................ 10 Diriger la scurit ...................................................................................... 10 Identifier et grer les risques ....................................................................... 10 Dfinir une politique de scurit ................................................................. 11 Dployer des solutions ............................................................................... 13

I.2.4.1 I.2.4.2 I.2.4.3 I.2.4.4 I.2.5

Point de vue managrial ........................................................................................ 13 Gestion dynamique .................................................................................... 13 Externalisation et dpendance ..................................................................... 14 Dmarche de prvention et de raction ........................................................ 14
Table des matires ix

I.2.5.1 I.2.5.2 I.2.5.3

Guide de la cyberscurit pour les pays en dveloppement

Page
I.2.6 Point de vue politique ........................................................................................... 15 Responsabilit de lEtat .............................................................................. 15 Souverainet des Etats................................................................................ 15 I.2.6.1 I.2.6.2 I.2.7 I.2.8 I.2.9

Point de vue conomique....................................................................................... 16 Point de vue social ................................................................................................ 16 Point de vue juridique ........................................................................................... 17 Facteur critique de succs ........................................................................... 17 Renforcer la lgislation et les moyens de lappliquer .................................... 17 Lutte contre la cybercriminalit et droit lintimit numrique: un compromis difficile .................................................................................... 18 Rglementation internationale en matire de cybercriminalit ....................... 19 Disponibilit.............................................................................................. 21 Intgrit .................................................................................................... 21 Confidentialit ........................................................................................... 22 Identification et authentification ................................................................. 22 Non rpudiation ......................................................................................... 23 Scurit physique....................................................................................... 23 Solutions de scurit .................................................................................. 23

I.2.9.1 I.2.9.2 I.2.9.3 I.2.9.4

I.2.10 Fondamentaux de la cyberscurit.......................................................................... 21 I.2.10.1 I.2.10.2 I.2.10.3 I.2.10.4 I.2.10.5 I.2.10.6 I.2.10.7

SECTION II Matrise de la cybercriminalit ................................................................. 25 Chapitre II.1 Cybercriminalit ........................................................................................ 27


II.1.1 Notions de crime informatique et de cybercrime ..................................................... 27 II.1.2 Facteurs qui favorisent lexpression de la criminalit via l'internet ........................... 28 II.1.2.1 II.1.2.2 II.1.2.3 II.1.2.4 II.1.2.5 II.1.2.6 Monde virtuel et dmatrialisation .............................................................. 28 Mise en rseau des ressources ..................................................................... 28 Disponibilit doutils et existence de failles ................................................. 29 Vulnrabilit et dfaillance ......................................................................... 29 Difficult identifier lauteur dun dlit ...................................................... 30 Aterritorialit et paradis numriques ........................................................... 31

II.1.3 Criminalit classique et cybercriminalit ................................................................ 32 II.1.4 Cybercriminalit, criminalit conomique et blanchiment ........................................ 32 II.1.5 Banalisation de la cybercriminalit et extension de la criminalit ............................. 33 II.1.6 Cybercriminalit et terrorisme ............................................................................... 33 II.1.7 Cyberdlinquants .................................................................................................. 34
x Table des matires

Guide de la cyberscurit pour les pays en dveloppement

Page
II.1.8 Programmes indsirables ou malveillants ............................................................... 36 II.1.8.1 II.1.8.2 II.1.8.3 II.1.9.1 II.1.9.2 II.1.9.3 II.1.9.4 II.1.9.5 II.1.10 II.1.11 Spam ........................................................................................................ 36 Programmes malveillants ........................................................................... 36 Tendances ................................................................................................. 39 Escroquerie, espionnage et activits de renseignement, trafics divers, chantage .................................................................................................... 39 Atteintes aux personnes .............................................................................. 40 Contrefaon............................................................................................... 40 Manipulation de l'information ..................................................................... 40 Rle des institutions publiques.................................................................... 41 Incidents de scurit et chiffre noir de la cybercriminalit ............................. 41 Se prparer la menace dorigine cybercriminelle: un devoir de protection .................................................................................................. 43

II.1.9 Principaux dlits favoriss via l'internet .................................................................. 39

Chapitre II.2 Cyberattaques ............................................................................................ 44


II.2.1 Caractristiques des cyberattaques ......................................................................... 44 II.2.2 Appropriation de mots de passe des utilisateurs pour pntrer des systmes .............. 44 II.2.3 Attaque par dni de service.................................................................................... 44 II.2.4 Attaque par modification de page web.................................................................... 45 II.2.5 Attaques bases sur le leurre et le dtournement du mode opratoire des protocoles ............................................................................................................ 45 II.2.6 Attaques contre les infrastructures critiques ............................................................ 46 II.2.7 Mode de droulement dune cyberattaque ............................................................... 46

SECTION III Approche technologique........................................................................... 49 Chapitre III.1 Infrastructures de tlcommunication ................................................... 51


III.1.1 Caractristiques .................................................................................................... 51 III.1.2 Principes fondamentaux ........................................................................................ 51 III.1.3 Elments constitutifs des rseaux ........................................................................... 52 III.1.3.1 III.1.3.2 III.1.3.3 Supports dinterconnexion .......................................................................... 52 Elments de connectique ............................................................................ 53 Machines spcialises et serveurs dinformation .......................................... 53

III.1.4 Infrastructure de tlcommunication et autoroute de linformation ........................... 54 III.1.5 L'internet ............................................................................................................. 54 III.1.5.1 III.1.5.2 III.1.5.3 Caractristiques gnrales .......................................................................... 54 Adresse IP et nom de domaine .................................................................... 56 Protocole IPv4 ........................................................................................... 59
Table des matires xi

Guide de la cyberscurit pour les pays en dveloppement

Page Chapitre III.2 Outils de la scurit .................................................................................. 60


III.2.1 Chiffrement des donnes. ...................................................................................... 60 III.2.1.1 III.2.1.2 III.2.1.3 III.2.1.4 III.2.1.5 III.2.1.6 III.2.1.7 III.2.1.8 III.2.1.9 Chiffrement symtrique.............................................................................. 60 Chiffrement asymtrique ou cl publique .................................................. 61 Cls de chiffrement .................................................................................... 61 Infrastructure de gestion de cls .................................................................. 62 Certificat numrique .................................................................................. 62 Tiers de confiance ...................................................................................... 63 Inconvnients et limites des infrastructures de gestion de cls ....................... 64 Signature et authentification ....................................................................... 64 Intgrit des donnes.................................................................................. 65

III.2.1.10 Non-rpudiation ........................................................................................ 65 III.2.1.11 Limites des solutions de scurit bases sur le chiffrement ........................... 65 III.2.2 Protocole IP scuris ............................................................................................. 66 III.2.2.1 III.2.2.2 III.2.2.3 Protocole IPv6 ........................................................................................... 66 Protocole IPSec ......................................................................................... 67 Rseaux privs virtuels............................................................................... 67

III.2.3 Scurit des applications ....................................................................................... 67 III.2.4 Protocoles de scurit SSL (Secure Sockets Layer) et S-HTTP (Secure HTTP) ......... 68 III.2.5 Scurit de la messagerie lectronique et des serveurs de noms ................................ 68 III.2.6 Dtection dintrusion ............................................................................................ 70 III.2.7 Cloisonnement des environnements ....................................................................... 70 III.2.8 Contrle daccs ................................................................................................... 72 III.2.8.1 III.2.8.2 III.2.9.1 III.2.9.2 Principes gnraux ..................................................................................... 72 Apports et limites de la biomtrie................................................................ 73 Protection .................................................................................................. 74 Gestion ..................................................................................................... 75

III.2.9 Protection et gestion des infrastructures de communication...................................... 74

SECTION IV Approche globale ...................................................................................... 77 Chapitre IV.1 Diffrents aspects du droit des nouvelles technologies.......................... 79
IV.1.1 Protection des donnes caractre personnel et commerce lectronique ................... 79 IV.1.1.1 IV.1.1.2 IV.1.1.3 IV.1.1.4
xii

Cybercommerce: Ce qui est illgal off-line lest aussi on-line ................ 79 Devoir de protection .................................................................................. 79 Respect des droits fondamentaux ................................................................ 80 Rentabilit de la lgislation ........................................................................ 81

Table des matires

Guide de la cyberscurit pour les pays en dveloppement

Page
IV.1.2 Cybercommerce et ralisation de contrats dans le cyberespace ................................. 81 IV.1.2.1 IV.1.2.2 IV.1.2.3 IV.1.2.4 IV.1.2.5 IV.1.3.1 IV.1.3.2 IV.1.3.3 IV.1.3.4 IV.1.3.5 IV.1.3.6 Question du droit applicable ....................................................................... 81 Conclusion lectronique dun contrat .......................................................... 82 Signature lectronique................................................................................ 83 Droit de rvocation .................................................................................... 85 Gestion des litiges ...................................................................................... 85 Protection de la proprit intellectuelle par des lois ...................................... 86 Droit dauteur et droits voisins .................................................................... 86 Droit des marques ...................................................................................... 87 Droit des brevets ........................................................................................ 87 Protection intellectuelle dun site web ......................................................... 88 Complmentarit des approches .................................................................. 88

IV.1.3 Cyberespace et proprit intellectuelle ................................................................... 86

IV.1.4 Divers aspects juridiques lis au spam .................................................................... 88 IV.1.4.1 Contexte et nuisances ................................................................................. 88 IV.1.4.2 IV.1.4.3 IV.1.4.4 IV.1.4.5 IV.1.5.1 IV.1.5.2 IV.1.5.3 IV.1.5.4 IV.1.5.5 IV.1.5.6 IV.1.5.7 IV.1.5.8 Rponses juridiques au phnomne du spam ................................................ 89 Rgulation du spam ................................................................................... 92 Rponses techniques au phnomne du spam ............................................... 92 Complmentarit technico-juridique ........................................................... 93 Statut juridique de linternet marchand ........................................................ 93 Cybercontrat.............................................................................................. 93 Document et signature lectronique ............................................................ 94 Moyens de paiement lectronique ............................................................... 94 Protection des noms de domaine ................................................................. 94 Proprit intellectuelle ............................................................................... 94 Protection de lintimit numrique .............................................................. 94 Autres questions dordre juridique .............................................................. 95

IV.1.5 Rcapitulatif des principaux problmes juridiques lis au cyberespace ..................... 93

Chapitre IV.2 Perspectives ............................................................................................... 95


IV.2.1 Eduquer former sensibiliser lensemble des acteurs la cyberscurit ................. 95 IV.2.2 Pour une nouvelle approche de la scurit .............................................................. 95 IV.2.3 Proprits dune politique de scurit ..................................................................... 96 IV.2.4 Identifier les ressources sensibles afin de les protger .............................................. 96 IV.2.5 Objectifs, mission et principes fondamentaux de la cyberscurit ............................. 96 IV.2.6 Facteurs de russite ............................................................................................... 97 IV.2.6.1 IV.2.6.2 Lignes directrices en matire de stratgie..................................................... 97 Lignes directrices lusage des internautes .................................................. 98
Table des matires xiii

Guide de la cyberscurit pour les pays en dveloppement

IV.2.6.3 IV.2.6.4

Page Lignes directrices pour scuriser un systme de messagerie .......................... 98


Lignes directrices pour protger un environnement internet-intranet .............. 99

SECTION V Annexes........................................................................................................ 101 Annexe A Glossaire des principaux termes de scurit ................................................. 103 Annexe B Chapitres de la norme ISO/IEC 17799:2005, qui constitue un document de rfrence en matire de gestion de la scurit ................................... 117 Annexe C Mandat et activits de lUIT-D concernant la cyberscurit Mandate and activities of ITU-D in cybersecurity ................................................................... 123 Annexe D Principales questions en matire de scurit qui font lobjet de travaux au sein de lUIT-T durant la priode 2005-2008........................................ 127 Annexe E Rfrences bibliographiques........................................................................... 131 Annexe F Les lignes directrices rgissant la scurit des systmes et rseaux dinformation vers une culture de la scurit OCDE........................................... 133 Prface ............................................................................................................................ 133
F.1 F.2 F.3 Vers une culture de la scurit ............................................................................... 133 Buts ..................................................................................................................... 134 Principes .............................................................................................................. 134

xiv

Table des matires

SECTION I
CONTEXTE DE LA CYBERSCURIT ENJEUX ET LMENTS DE SOLUTION

Guide de la cyberscurit pour les pays en dveloppement

Chapitre I.1 Cyberespace et socit de linformation


I.1.1 Numrisation

Les technologies informatiques transforment notre faon de concevoir et de raliser lensemble des activits humaines. Elles induisent des modifications structurelles importantes car tous les objets sont devenus manipulables lectroniquement au travers de linformation les modlisant.
I.1.1.1 Information numrique

La technique de numrisation cre une image digitale ou double virtuel ou encore double numrique des entits existantes. Quelle que soit sa nature (voix, donnes, image), toute information est numrisable et possde une reprsentation homogne, cest--dire uniforme. Linformation nest plus associe physiquement son contenant, cest--dire son support de reprsentation et de stockage. Sa valeur ajoute provient directement de linformation elle-mme (contenu ou content); en effet, les cots de diffusion et de mmorisation de linformation sont peu levs par rapport ceux de sa conception (Figure I.1). De plus, les donnes peuvent tre localises et traites simultanment plusieurs endroits. Ainsi, tant dupliquables linfini et de faon parfaite, la notion de donnes originales perd son sens, ce qui peut poser des problmes relatifs la notion de protection des droits dauteur.
Figure I.1 Dmatrialisation et information numrique

Volatilit, modification, destruction, copie, vol, etc.

Vulnrablits

INFORMATION IMMATERIELLE
reprsentation Contenu signification

01001 11010 00010 01011 11110

Vulnrablits

Contenant

SUPPORT PHYSIQUE

Mmoire vive, Disque dur, CD-ROM, Onde hertzienne, etc.

I.1.1.2

Technologies numriques

Les technologies numriques en uniformisant la production, le traitement et le transfert des donnes permettent une continuit numrique de toute la chane dinformation. Cette convergence numrique, associe aux techniques de compression des donnes, favorise les synergies entre linformatique, les tlcommunications et le monde de laudiovisuel, comme le rvle le phnomne internet. On remarque alors que la vritable rvolution technologique sest produite grce la numrisation de linformation, dont les consquences dpassent largement le cadre des tlcommunications.
Cyberespace et socit de l'information 3

Guide de la cyberscurit pour les pays en dveloppement

Toutes les disciplines, tous les domaines dactivits, tous les mtiers se trouvent affects par cette nouvelle dimension de traitement de linformation. La dtermination de la valeur aussi bien que les modes de production, depuis la conception des produits jusqu leur distribution, se sont ces dernires annes progressivement modifis. Cela a conduit une rorganisation des chanes de valeur entre les diffrents acteurs conomiques.
I.1.1.3 Infrastructures et contenu

La conqute du contrle de la chane numrique de linformation, cest--dire de linfrastructure et du contenu, constitue dsormais lenjeu dominant du XXIIe sicle. Ce nouveau march, ouvert tous, se caractrise par une mobilisation sans prcdent de tous les acteurs de lconomie mondiale (oprateurs de tlcommunication, cblo-oprateurs, fabricants de matriels et logiciels, chanes de tlvision, etc.). La concurrence effrne et la redistribution des zones daction et des rles, afin doffrir des services intgrs couvrant la plante, constituent le nouvel enjeu conomique des organisations actuelles. Lorsque Gutenberg imprima son premier livre, il nimaginait pas les retombes industrielles de son invention, lesquelles furent celles des premiers pas vers lautomatisme industriel. Il en est de mme, lorsque vers la fin des annes 60, universitaires et militaires amricains mirent en uvre, pour des motivations fort diffrentes et apparemment contradictoires, un rseau de communication qui donna naissance au rseau internet. Tout comme au XVe sicle, les consquences de leur cration leur chapprent. Aujourdhui, le cyberespace internet marque le passage de des socits lre informationnelle.

I.1.2

Rvolution informationnelle

La rvolution informationnelle bouleverse le traitement et la conservation de linformation. Elle modifie le mode de fonctionnement des organisations et de la socit toute entire. Bien quelle ne soit pas la seule innovation technique de ces dernires annes, elle est particulirement importante dans la mesure o elle touche la manipulation de linformation et donc de la connaissance. Son impact se porte sur les mcanismes de gnration et de transmission du savoir, ce qui permet de penser la rvolution informationnelle source dinnovation future dont les pays en dveloppement ne devraient pas tre exclus. Lvolution des technologies de linformation et des tlcommunications conduit une vritable rvolution dans le mode de pense des changes tant conomiques que sociaux ou culturels. Ceci tablit galement un nouveau modle informatique centr sur le rseau; modle dans lequel il est ncessaire de matriser la scurit de la circulation des informations, afin dautoriser le dveloppement de nouvelles applications qui rendront les organisations encore plus efficaces. Aucune forme de vie conomique ne peut exister sans changes et interactions entre ses diverses composantes, aucun change dinformation ne peut senvisager sans lassurance dun certain niveau de scurit et aucun service ne peut tre considr sans qualit de service. Remarquons toutefois, que la russite dune communication dpend de la capacit des interlocuteurs dominer les contraintes techniques et grer les rites associs tout change dinformations.
I.1.2.1 Innovation et dveloppement

Seules les capacits dinnovation et dadaptation rapide, sous-tendues par un systme dinformation performant et scuris, permettent aux organisations et aux Etats de rester prennes et de se positionner comme acteur du nouvel environnement concurrentiel.

Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

De nouveaux territoires dactivits se sont ouverts par la diversification des tlcommunications et les possibilits offertes par linformatique tendue qui doivent aussi profiter aux pays en dveloppement. Les volutions technologiques et conomiques possibles partir de dploiement dinfrastructures informatiques fiables sont porteuses de promesses pour les peuples. En contrepartie, elles introduisent une dimension de complexit technologique et de gestion sans prcdent. Ceci peut conduire un risque technologique majeur quil faut savoir matriser, faute de quoi toute ide dvolution naurait aucun sens. Un risque technologique: dfaillance des systmes de traitement de linformation et des communications lie un dysfonctionnement accidentel ou provoqu. Au risque technologique est corrl le risque informationnel qui exprime une atteinte la capacit dexploiter les informations de lorganisation. Il est important de relever que si laccs linformatique est large et en croissance, une frange non ngligeable de la population se trouve exclue de la rvolution informationnelle. Cet tat de fait trouve ses justifications diffrents niveaux aussi bien culturels que financiers, et peut dans certains cas tre li des difficults de base comme lillettrisme. Dmocratiser les technologies de linformation par des actions de formation et lducation ont, dans ce domaine plus que dans tout autre, un rle jouer dans la lutte contre linfo-exclusion. Cela ncessite galement de repenser les interfaces de communication afin de desservir aux mieux les populations et respecter les diversits culturelles contextuelles. Loutil informatique doit sadapter aux environnements humains dans les lesquels il doit sintgrer et nom imposer un nouvel ordre communicationnel.
I.1.2.2 Accompagner la rvolution informationnelle

Les technologies de linformation et de communication sont, comme toute technique, conues et mises en uvre dans un espace temporel et gographique dtermin, rvlant normalement un certain quilibre de la socit. Il est de la responsabilit des hommes daccompagner la rvolution informationnelle en la dotant doutils, de procdures, de lgislation et dune thique scuritaire satisfaisant sa ralisation, et correspondant aux attentes et aux besoins de la socit. On ne peut que constater quil existe une multitude de rglementations incompltes relatives lutilisation des diffrents mdias de communication, aux liberts dmission et de rception de messages issues de lUIT (Union internationale des tlcommunications), de lUnesco, de lONU, de lOCDE, du Conseil de lEurope, etc. Un dcalage important sest cr entre la situation actuelle concernant le dveloppement et lusage des technologies de linformation et des communications, et ltat des rglements. Un cadre juridique appropri doit donc tre mis en place pour tenir compte notamment de laterritorialit des rseaux comme internet, des problmes de responsabilit, de respect de la vie prive et de la proprit. Lvolution technologique doit tre associe une volution dordre social, politique et juridique. Ces quelques regards jets sur lre informationnelle relvent limportance des enjeux de sa matrise, du rle prpondrant des tlcommunications dans sa ralisation et dun besoin de scurit qui ne doit pas tre un frein au dveloppement. Le passage lre informationnelle rvle limportance des technologies de linformation et de leur matrise. En considrant les dimensions nouvelles quelles introduisent sur les plans techniques et socio-conomiques, la ncessit dassurer la scurit des systmes et infrastructures informatiques et de tlcommunications, est devenue fondamentale. Elle souligne le caractre stratgique et critique de la gestion et de la mise en uvre de la cyberscurit, tant pour les Etats, les organisations que pour lindividu. Dans la mesure o les Etats ont effectu des efforts financiers, matriels et humains importants pour raliser leur infrastructure informatique et de tlcommunication, il est primordial quils se dotent des moyens permettant de les scuriser, de les grer et de les contrler.

Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

Chapitre I.2 Cyberscurit


I.2.1 Contexte de la scurit des infrastructures de communication

On assiste de nos jours une prise en considration croissante des besoins de matrise des risques informatiques oprationnels du fait de lusage extensif des nouvelles technologies, de lexistence dune infrastructure informationnelle globale et de lmergence de nouveaux risques. La transformation des socits en socit de linformation autorise par lintgration des nouvelles technologies dans toutes les activits et infrastructures accrot la dpendance des individus, des organisations et des Etats aux systmes dinformation et aux rseaux. Cela constitue un risque majeur qui doit tre adress comme un risque scuritaire. Les pays en dveloppement sont confronts la problmatique de la ncessit de faire partie de la socit de linformation en prenant en considration le risque de leur dpendance vis--vis des technologies et des fournisseurs de ces technologies et en pensant que la fracture digitale existante ne doit pas se doubler dune fracture scuritaire encore moins dune dpendance plus forte des entits qui contrleraient leurs besoins et moyens de scurit des technologies de linformation1. Les infrastructures de tlcommunication et les services et activits quelles permettent de dvelopper et de gnrer doivent tre penss, conues, mise en place et gres en termes de scurit. La scurit est la pierre angulaire de toute activit et doit tre vue comme un service permettant de crer dautres services et de gnrer de la valeur (e-gouvernement, e-sant, e-ducation, etc.). Au-del des technologies2. Or jusqu prsent, les outils de communication basiques mis disposition, nintgrent pas des moyens suffisants et ncessaires la ralisation ou la garantie dun niveau minimal de scurit. Les systmes informatiques mis en rseau sont des ressources accessibles distance et deviennent des cibles potentielles dattaques informatiques. Cela accrot les risques dintrusion des systmes et offre un terrain favorable la ralisation, la propagation des attaques et des dlits. Au-del des systmes attaqus ce sont les informations quils manipulent qui sont convoites (Figure I.2). Les attaques portent atteintes la capacit traiter, sauvegarder, communiquer le capital informationnel, aux valeurs immatrielles et aux symboles, aux processus de production ou de dcision de ceux qui les possdent. Les systmes informatiques introduisent un risque oprationnel dans le fonctionnement des institutions qui les possdent. Ainsi, les rseaux de tlcommunication et louverture des systmes posent des problmes de scurit informatique complexes et multiformes, relativement difficiles matriser et qui peuvent avoir des consquences et impacts critiques pour le fonctionnement des organisations et des Etats. De la capacit matriser la scurit des informations, des processus, des systmes, des infrastructures dpend les facteurs critiques de succs des conomies. Linterconnexion extensive des systmes, linterdpendance des infrastructures, laugmentation de la dpendance aux technologies du numrique, des menaces et des risques, ncessite de doter les individus, les organisations, et les Etats de mesures, procdures et outils qui autorise une meilleure gestion des risques technologique et informationnel. Les enjeux de la matrise des risques technologiques sont ceux du XXIe sicle et sont apprhender de manire globale au niveau internationale en intgrant dans la dmarche scuritaire des pays en dveloppement.

1 S. Ghernaouti-Hlie: From digital divide to digital unsecurity: challenges to developp and deploy an unified e-security framework in a multidimensional context. International cooperation and the Information Society, chapitre de l'annuaire Suisse de politique de dveloppement. Iud publications. Genve, Novembre 2003. 2 A. Ntoko: Mandate and activities in cybersecurity ITU-D. WSIS Thematic meeting on cybersecurity. ITU Genve 28 juin 1er juillet 2005. 6 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

Figure I.2 Attaques des systmes et atteintes la scurit des ressources

Attaques des systmes et atteintes aux informations et services

Interception Ecoute

Modification Interruption Fabrication Deni de service

DISPONIBILITE AUTHENTICITE INTEGRITE CONFIDENTIALITE

Ce nest pas suffisant de mettre disposition des points daccs aux rseaux de tlcommunication, il est impratif de dployer des infrastructures et des services informatiques fiables, maintenables, robustes et scuriss, en respect des droits fondamentaux des personnes et des Etats. La protection des systmes et des valeurs informations doit tre complmentaire et en harmonie avec la protection des individus et de leur intimit numrique (privacy) Entrer dans la socit de linformation sans risque excessif et en tirant partie des expriences issues des pays dvelopps, sans pour autant que la cyberscurit constitue un facteur supplmentaire dexclusion, sont de nouveaux dfis des pays en dveloppement.

I.2.2

Enjeux de la cyberscurit

Enjeux de socit, enjeux conomiques, enjeux politiques, enjeux humains, quelle soit dnomme scurit de linformatique et des tlcoms ou cyberscurit, la scurit informationnelle touche la scurit du patrimoine numrique et culturel des individus, des organisations et des nations (Figure I.3). Enjeux complexes dont la satisfaction passe par une volont politique de dfinir et de raliser une stratgie de dveloppement des infrastructures et services du numrique (e-services) qui intgre une stratgie de cyberscurit cohrente, efficace et contrlable. Celle-ci se doit sinscrire dans une approche pluridisciplinaire et des solutions dordre ducative, juridique, et managrial et technique doivent tre mise en place. Ainsi, en apportant une rponse adquate aux dimensions humaine, juridique, conomique et technologique des besoins de scurit des infrastructures numriques, la confiance pourrait sinstaurer et gnrer un dveloppement conomique profitable tous les acteurs de la socit. La matrise du patrimoine numrique informationnel, la distribution de biens intangibles, la valorisation des contenus ou la rduction de la fracture numrique par exemple, sont autant de problmes dordre conomique et social, dont la rsolution ne pourra tre rduite la seule dimension technologique de la scurit informatique.

Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

Figure I.3 Diffrents niveaux de la cyberscurit: individus, organisations, Etats


Atteinte la dignit de lindividu Apologie de crimes contre lhumanit Incitation la haine raciale Atteinte aux mineurs Atteinte au secret professionnel Dnonciations calomnieuses Embargo conomique Atteinte au respect de la vie prive Vol didentit
AC CI DE NT

Attaque smantique Manipulation dinformation Destruction dinformation Guerre de linformation

INDIVIDU

ETAT ORGANISATION

UR RE ER

Diffusion de contenus illicites Fraude financire Perte dintgrit

Saturation

MALVEILLANCE Cyberterrorisme

Chantage

Atteinte la disponibilit

Rupture de confidentialit Dtournement de fonds, de biens

Sabotage

Escroquerie Etc.

Le dveloppement des activits bases sur le traitement de linformation permettant une rduction de la fracture digitale passe par la mise disposition: dinfrastructures informationnelles fiables et scurises (accessibilit, disponibilit, sret de fonctionnement et continuit des services garanties); de politiques dassurance; dun cadre lgal adapt; des instances de justice et de police comptentes dans le domaine des nouvelles technologies et capables de cooprer au niveau international avec leurs homologues; doutils de gestion du risque informationnel et de gestion de la scurit; doutils de mise en uvre de la scurit qui permettent de dvelopper la confiance dans les applications et services offerts (transactions commerciales et financires, e-sant, e-gouvernement, e-vote, etc.) et dans les procdures qui permettent le respect des droits de lHomme notamment pour ce qui concerne les donnes caractre personnel. Lobjet de la cyberscurit est de contribuer prserver les forces et les moyens organisationnels, humains, financiers, technologiques et informationnels, dont se sont dotes les Institutions, pour raliser ses objectifs. La finalit de la scurit informatique est de garantir quaucun prjudice ne puisse mettre en pril la prennit de lorganisation. Cela consiste diminuer la probabilit de voir des menaces se concrtiser, en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour un fonctionnement normal des cots et des dlais acceptables en cas de sinistre. La dmarche de cyberscurit est un projet de socit dans la mesure o chacun est concern par sa ralisation. Sa validit sera renforce si une cyberthique dutilisation et de comportement vis--vis des technologies de linformation est dveloppe et si une vritable politique de scurit stipule ses exigences de scurit envers les utilisateurs, acteurs, partenaires et prestataires de la scurit des nouvelles technologies.
8 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

I.2.3

Constat de linscurit numrique

La ralit de l'inscurit des technologies de traitement de l'information et des communications trouve ses origines dans les caractristiques des technologies de linformation et du monde virtuel. La dmatrialisation des acteurs, les accs distance, un relatif anonymat, les problmes de conception, de mise en uvre, de gestion, de contrle de linformatique et des tlcoms, associs aux pannes, dysfonctionnements, erreurs, incomptences, incohrences ou encore aux catastrophes naturelles, confrent de facto un certain niveau dinscurit aux infrastructures informatiques (Figure I.4).
Figure I.4 Infrastructure de l'internet et multiplicit de l'origine des problmes

Infrastructure Internet

Malveillance Accidents, catastrophes naturelles


Usurpation didentit, leurre etc. Modification, vol, destruction, dtrioration infection, etc. Ecoutes actives Ecoutes passives ACCIDENT Modification du routage Effondrement, dni de service, etc. Incomptence, erreur, accident, malveillance

Infrastructure logicielle, applicative et de service Infrastructure matrielle Infrastructure rseau Infrastructure dexploitation Infrastructure environnementale

Dans ce contexte, les possibilits dexploitation de ces vulnrabilits et de malveillance sont nombreuses3. La ralit de ces dernires: usurpation d'identit, leurre de systmes, accs indus, exploitation frauduleuse des ressources, infection, dtrioration, destruction, modification, divulgation, dni de service, vol, chantage, etc. met en vidence les limites des approches scuritaires actuelles, tout en rvlant paradoxalement, une certaine robustesse des infrastructures. Quelles que soient les motivations des acteurs de la criminalit informatique celle-ci engendre toujours des consquences conomiques non ngligeables et constitue dans sa dimension de cybercriminalit, un flau grandissant, transfrontalier et complexe. Bien que des solutions de scurit existent, elles ne sont pas absolues et ne rpondent le plus souvent qu un problme particulier dans une situation donne. Elles dplacent le problme de scurit ou reportent la responsabilit de la scurit et de plus, elles ncessitent dtre scurises et gres de manire scurise.

Erreurs, incomptence, etc.

3 La cybercriminalit ainsi que les cyberattaques et cyberdlits sont dvelopps en section II. Cyberespace et socit de l'information 9

Guide de la cyberscurit pour les pays en dveloppement

Force est de constater quelles ne rpondent que peu ou prou la dynamicit du contexte dans lequel elles doivent sintgrer. Les technologies ne sont pas stables, les cibles sont mouvantes, le savoir-faire des malveillants voluent ainsi que les menaces et les risques. Ceci fait que la prennit des approches scuritaires, comme le retour sur investissements de celles-ci, ne sont jamais garantis. Il est constat, que la dmarche scuritaire est souvent limite la mise en place des mesures, de rduction des risques pour les valeurs informationnelles des organisations par le plus souvent, une approche technologique seule. Or, lapproche scuritaire doit sapprhender dans toutes ses dimensions et doit galement rponde aux besoins de scurit des individus, notamment pour ce qui concerne la protection de leur vie prive et du respect de leurs droits fondamentaux. La cyberscurit doit tre disponible pour tous et doit prendre en considration le besoin de protection des donnes caractre personnel. Des solutions de scurit existent. Souvent dordre technologique, elles rpondent avant tout un problme particulier dans une situation donne. Mais comme toute technologie, elles sont faillibles ou contournables. Elles dplacent le plus souvent le problme de scurit et reportent la responsabilit sur une autre entit du systme quelles sont censes protger. De plus, elles ncessitent dtre scurises et gres de manire scurise. Elles ne sont jamais ni absolues, ni dfinitives, en raison du caractre volutifs du contexte de la scurit du fait de la dynamicit de lenvironnement (volution des besoins, des risques, des technologies, des savoirs-faire des dlinquants, etc.). Cela pose le problme de la prennit des solutions mises en place. De plus, la diversit et le nombre de solutions peuvent crer un problme de cohrence globale de l'approche scuritaire. En consquence, la technologie ne suffit pas, elle doit tre intgre dans une dmarche de gestion. La diversit et la pluralit des acteurs (ingnieurs, dveloppeurs, auditeurs, intgrateurs, juristes, investigateurs, clients, fournisseurs, utilisateurs, etc.), la diversit d'intrt de visions d'environnements, de langages, rendent difficile la cohrence globale des mesures de scurit. Or seule une apprhension globale et systmique des risques et des mesures de scurit, une prise de responsabilit de lensemble des acteurs et intervenants contribuent offrir le niveau de scurit attendu pour raliser en confiance, des activits via les technologies de linformation et des communications ainsi que la confiance dans l'conomie numrique.

I.2.4
I.2.4.1

Enseignements tirer
Diriger la scurit

Depuis le dbut des annes 2000, la prise en compte par les organisations des problmes lis la scurit informatique sest gnralise du moins dans les grandes structures. La scurit est de moins en moins une juxtaposition de technologies htrognes de scurit. Elle doit tre vue et gre comme un processus continu. Le gouvernement ou gouvernance de la scurit doit permettre de garantir que les mesures de scurit sont optimales dans le temps et dans lespace. Cette notion rpond aux interrogations simples suivantes:
I.2.4.2

Qui fait quoi, comment et quand? Quels sont les acteurs qui laborent les rgles, qui les dfinissent et les valident, qui les mettent en uvre et qui les contrlent?
Identifier et grer les risques

La prise en compte de lanalyse des risques lis linformatique, aux tlcommunications et au cyberespace, dans un processus de gestion de risques (risk management), guide la dmarche de scurit des infrastructures numriques. Le risque scuritaire li au technologies de linformation (risque informatique, informationnel ou technologique, quelque soit le nom retenu) doit tre identifi, au mme titre que tous les autres risques (risque stratgique, social, environnemental, etc.) auxquels doivent faire face les institutions.
10 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

Le risque informatique est un risque oprationnel qui doit tre matris. La gestion des risques constitue le point de dpart de lanalyse des besoins de scurit qui permet la dfinition de la stratgie et de la politique de scurit. Plusieurs questions se posent retenons entre autres, les suivantes: Qui est responsable de lanalyse des risques, de la gestion des risques? Comment effectuer une telle analyse? Quels sont les outils et mthodologies disponibles? Quels sont leurs niveaux de fiabilit? Quelle importance accorder aux rsultats? Combien cela cote? Faut-il externaliser cette fonction? Etc. Un risque est un danger ventuel plus ou moins prvisible. Il se mesure la probabilit quil se produise et aux impacts et dommages conscutifs sa ralisation. Un risque exprime la probabilit quune valeur soit perdue en fonction dune vulnrabilit lie une menace, un danger. Un compromis entre le cot du risque et celui de sa rduction permet de dterminer le niveau de protection et les mesures de scurit mettre en uvre (Figure I.5). En tout tat de cause, il faut identifier les valeurs protger et pourquoi en fonctions des contraintes effectives et des moyens organisationnels, financiers, humains, techniques disponibles. Les mesures doivent tre efficaces, et sinscrire dans une logique doptimalit / rentabilit. Pour une organisation, la matrise des risques informatiques passe par la conception dune stratgie, la dfinition dune politique de scurit et de sa ralisation tactique et oprationnelle.
Figure I.5 Diffrents compromis pour la matrise des risques: un choix politique

Risques

Infrastructure Informatique & Tlcommunication

Cot du Risque Versus Cot de matrise du risque

Besoin de protection Versus Besoin de production

Matrise des risques

Rduire les risques un niveau acceptable Minimiser les pertes Permettre un usage efficace des technologies

Politique de scurit

I.2.4.3

Dfinir une politique de scurit

La politique de scurit permet de traduire la comprhension des risques encourus et de leurs impacts, en des mesures de scurit implmenter. Elle facilite ladoption dune attitude prventive et ractive faces aux problmes de scurit et permet de rduire les risques et leurs impacts.
Cyberespace et socit de l'information 11

Guide de la cyberscurit pour les pays en dveloppement

Sachant que le risque zro nexiste pas et quil difficile de prvoir toutes les nouvelles menaces, il faut rduire les vulnrabilits des environnements et ressources protger car il est certain quune grande partie des problmes de scurit y trouvent leur origine. Une politique de scurit spcifie entre autres, les moyens, lorganisation, les procdures, les plans de dfense et de raction qui permettent une vritable matrise des risques oprationnel, technologique et informationnel. La norme ISO 17799 propose un code de pratique pour la gestion de la scurit. Elle peut tre vue comme un rfrentiel permettant de dfinir une politique de scurit, comme une liste de points de risques analyser (check list), comme une aide laudit de la scurit en vue ou non dune procdure de certification ou encore, comme point de communication sur la scurit. Diverses interprtations et ralisations de cette norme sont possibles. Son intrt rside dans le fait que la norme aborde les aspects organisationnel, humain, juridique et technologique de la scurit en rapport aux diffrentes tapes de conception, de mise en uvre et de maintien de la scurit. La version 2005 de cette norme (ISO/IEC 17799:2005)4 met laccent sur lvaluation et lanalyse des risques, la gestion des valeurs et des biens ainsi que la gestion des incidents. On y remarque toute limportance accorde la dimension managriale de la scurit.
Figure I.6 Grer la scurit passe par la dfinition d'une politique de scurit

Elem ent s dune polit ique de secur it e


Organisation de la scurit Attribuer des responsabilits des personnes comptentes possdant lautorit et les moyens ncessaires Identifier les cibles scuritaires de chaque domaine et composant du systme dinformation Dfinir les menaces Identification des vulnrabilits

Que protger? De qui? De quoi doit-on se protger? Pourquoi?

Quels sont les risques rellement encourus? Ces risques sont-ils supportables?

Quel est le niveau actuel de scurit de lentreprise? Quel est le niveau que lon dsire atteindre?

Dfinir les mesures de scurit

Dfinir les comportements de scurit

Quelles sont les contraintes effectives? Quelles sont les moyens disponibles? Comment les mettre en uvre?

Lefficacit dune politique de scurit ne se mesure pas au budget investi mais dpend de la politique de gestion du risque et de la qualit de lanalyse des risques (Figure I.6). Les risques varient notamment selon le secteur dactivit dune organisation, de sa taille, de son image, de la sensibilit des systmes, de leur environnement et des menaces associes et de son degr de dpendance au systme dinformation.

4 Les chapitres de la norme sont donns en annexe de ce document. 12 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

La qualit de la scurit informatique dpend, avant tout, de lidentification et de lvaluation de la valeur du patrimoine informationnel, de la mise en uvre oprationnelle de mesures de scurit adaptes partir dune dfinition correcte dune politique de scurit et dune gestion efficace.
I.2.4.4 Dployer des solutions

Divers types de mesures sont dployer pour contribuer scuriser des infrastructures informatiques et tlcoms. Il sagit: dduquer, former, sensibiliser lensemble des acteurs la cyberscurit; de mettre en place des structures qui permettent de fonctionner comme centre dalerte et de gestion de crise au niveau national, de fdrer les moyens mettre en uvre pour les raliser, les partager pour un ensemble de pays, pour une rgion; dimposer des surveillances, des contrles (par analogie aux contrles mis en place sur les rseaux routiers); de dvelopper les comptences dune cellule de cyberpolice pouvant contribuer une coopration internationale dans le domaine de la poursuite et de linvestigation du crime informatique; de dvelopper des solutions technologiques pour ce qui concerne la gestion des identits, le contrle daccs, lusage de plate-formes matrielle et logicielle scurises, les infrastructures de secours, les protocoles cryptographiques, la gestion oprationnelle.

I.2.5
I.2.5.1

Point de vue managrial


Gestion dynamique5

La prise en compte de la scurit selon un processus de gestion dynamique et continu permet de faire face au caractre dynamique du risque et lvolution des besoins par une adaptation et optimisation continue des solutions. De la qualit de la gestion de la scurit dpend le niveau de scurit offert. La politique de cyberscurit est dtermine au niveau de ltat major de la structure concerne. Il existe autant de stratgies de scurit, de politiques de scurit, de mesures, de procdures ou de solutions de scurit que dorganisations et de besoins scuritaires satisfaire un moment donn. Pour ne prendre quun exemple de dynamicit du contexte dans lequel sinscrit la gestion de la scurit retenons le processus de dcouverte et de correction des failles de scurit. Celui se fait avec une publication priodique des correctifs (patches ou rustines de scurit). Les lettres dinformations (newsletters) plus ou moins personnalises permet de se tenir informer de la dcouverte des failles et de la manire dy remdier. Sil veut maintenir un certain de niveau de scurit, le responsable scurit ou ladministrateur systme, doit au fur et mesure de leur publication installer les patches de scurit. Si la connaissance des failles et vulnrabilits des systmes est indispensable au responsable de la scurit, elle facilite galement le travail des malveillants qui peuvent les exploiter avant quelles ne soient corriges. Il est donc impratif de donner les moyens de la ralisation dune gestion dynamique qui contribue la mise jour des solutions de scurit et au maintien de la scurit dans le temps. Si un tel systme de publication des correctifs permet encore ladministrateur de contrler le processus de mise jour (acceptation ou non de linstallation des correctifs), un mode automatis permet de dlguer implicitement lditeur linstallation rgulire et systmatique des correctifs. Cela pose la question du libre arbitre. Quelles sont les consquences juridiques dun refus de mise jour, lors de la survenue de problmes dcoulant de lexploitation dune faille non corrige? Etant donn que de nombreuses attaques exploitent ces dficiences, la question du libre arbitre et de la responsabilit de ladministrateur de systme est pleinement pose.

5 Les points 5.1 et 5.2 sont adapts de larticle Scurit informatique, le pige de la dpendance A. Dufour, S. Ghernaouti-Hlie, Revue Information et Systme, 2006. Cyberespace et socit de l'information 13

Guide de la cyberscurit pour les pays en dveloppement

La dimension dynamique de la scurit constitue un dfi critique tant pour les fournisseurs de solutions ou diteurs que pour les administrateurs de systmes ou responsable scurit qui ont rarement le temps dintgrer lensemble des correctifs proposs. La capacit des responsables informatiques ou de la scurit et des administrateurs systme accder toutes les ressources informatiques, implique en plus de lintgrit sans faille des procdures strictes de surveillance et de contrle de leurs actions ( la mesure des risques quils font potentiellement courir aux systmes quils grent), leur intgrit morale.
I.2.5.2 Externalisation et dpendance

En proposant des filtres anti-virus ou anti-spam, ces fournisseurs de service grent une partie de la scurit de leurs clients. Si on gnralise cette dmarche, une volution de la rpartition des rles et des responsabilits en matire de scurit est initie. La scurit est de plus en plus reporte sur le fournisseur de services ou les intermdiaires techniques. Cette volution ne rsout pas la problmatique scuritaire, elle ne fait que la transfrer vers le prestataire de service qui devra non seulement garantir la disponibilit et la performance du service, mais aussi la gestion du maintien de son niveau de scurit. En proposant certains logiciels anti-virus, lditeur propose galement un service de mise jour automatique. Cette adjonction dune dimension de service plaide en faveur de la location des logiciels dans la mesure o ceux-ci doivent tre maintenus dans la dure par lditeur. Elle contribue galement un courant plus global dexternalisation des applications dont le modle conomique est trouver. La question de lexternalisation, de la dlgation de tout ou partie de la scurit ne relve pas de la technologie. Elle est de nature stratgique et juridique et pose celle plus fondamentale de la dpendance vis--vis de fournisseurs. La stratgie dexternalisation de la scurit peut concerner la dfinition de la politique et sa mise en uvre, la gestion des accs, de pare-feu (firewall), la tlmaintenance des systmes et rseaux, la tierce maintenance applicative, la gestion des sauvegardes, etc. Le choix dun prestataire doit toujours saccompagner dune dmarche de contrle qualit et peut tenir compte, par exemple, de lexprience du prestataire, des comptences internes, des technologies utilises, du dlai de raction, du service support, des clauses contractuelles (engagement de rsultat, etc.), ou du partage des responsabilits lgales.
I.2.5.3 Dmarche de prvention et de raction6

La dmarche de prvention scuritaire est par dfinition pro-active. Elle touche aux dimensions humaine, juridique, organisationnelle, conomique (ratio cot de mise en uvre/niveau de scurit/services offerts) et technologique. Jusqu prsent, seule la dimension technologique a t prise majoritairement en considration dans la scurisation des environnements informatiques. Cette manire dapprhender la scurit informatique, sous un angle essentiellement technologique, qui nglige la dimension humaine, pose un vritable problme dans la matrise du risque technologique dorigine criminel. En effet, la criminalit est avant tout, une question de personne et non de technologie. Une rponse dordre uniquement technologique est donc inapproprie la matrise d'un risque dorigine humaine. L'apprhension de la criminalit informatique sinscrit, le plus souvent dans une dmarche de raction et de poursuite. Celle-ci seffectue posteriori, cest--dire aprs la survenue dun sinistre qui traduit ainsi la dfaillance des mesures de protection. Il est ncessaire de prvenir et de dissuader les cyberabus, en dveloppant des mcanismes de justice et dinvestigation, il est tout aussi primordial didentifier dans les politiques de scurit, les mesures qui permettront de ragir aux attaques et den

6 Le point 5.3 est adapt du livre Scurit informatique et rseaux de S. Ghernaouti-Hlie, Dunod 2006. 14 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

poursuivre leurs auteurs. Pour cela, il est impratif de concevoir et de raliser des plans de secours et de continuit qui intgrent les contraintes lies linvestigation et la poursuite de la criminalit informatique des logiques de travail et des objectifs diffrents, dans des chelles de temps distinctes.

I.2.6
I.2.6.1

Point de vue politique


Responsabilit de lEtat

Ltat possde des responsabilits importantes pour la ralisation dune sret numrique. Ceci est particulirement vrai pour la dfinition dun cadre lgal appropri, cest--dire unifi et applicable. De plus, il doit non seulement favoriser et encourager la recherche et le dveloppement en matire de scurit mais aussi promouvoir une culture de la scurit et imposer le respect dun minimum de normes de scurit (la scurit devrait tre intgre en natif dans les produits et services), tout en renforant la lutte contre la criminalit. Se pose alors la question du modle financier sous-jacent ces actions et la ralisation du partenariat entre le secteur priv et public, pour des plans d'action aux niveaux national et international. Au niveau stratgique, il faut assurer la prvention, le renseignement, le partage dinformation, la gestion des alertes. De plus, il est ncessaire de faire connatre les meilleures pratiques de gestion du risque et de la scurit. Il est galement important dassurer la coordination et lharmonisation des systmes lgaux. Lassistance pour promouvoir la sret et la scurit, la dfinition des cooprations ventuelles (formelle/informelle, multilatrale/bilatrale, active/passive, au niveau national et supra-national, entre autre, sont aussi dfinir. Il galement essentiel d'duquer, d'informer et former aux technologies de traitement de linformation et des communications et non uniquement la scurit et aux mesures de dissuasion. La sensibilisation aux problmatiques de scurit ne doit pas se limiter la promotion dune certaine culture de la scurit et dune cyberthique. En amont de la culture scuritaire, il doit y avoir une culture de l'informatique. Il faut donner les moyens aux diffrents acteurs dapprendre grer les risques technologique, oprationnel et informationnel qui les menacent en fonction de lusage fait des nouvelles technologies. Dans ce contexte, l'Etat doit aussi favoriser le signalement des agressions lies au cybercrime et instaurer la confiance entre les diffrents acteurs du monde conomiques et les services de justice et de police. Services de justice et police mais aussi ceux de la protection civile, les pompiers, larme ou la Gendarmerie trouvent leur place tant au niveau tactique quoprationnel dans la lutte contre la criminalit informatique afin de protger, poursuivre et rparer. Des centres de surveillance, de dtection et dinformation aux risques informatique et criminel doivent tre oprationnels afin dassurer la prvention ncessaire la matrise de ces risques. Il est de la responsabilit des Etats de dfinir une vritable politique de dveloppement de la socit de linformation en fonction de ses valeurs propres et de mettre disposition les moyens ncessaires pour cette ralisation. Cela concerne galement les moyens de protection et de lutte contre la cybercriminalit. Une matrise globale, centralise et coordonne de la criminalit informatique ncessite une rponse politique, conomique, juridique et technologique homogne et adoptable par les diffrents acteurs de la chane numrique, co-partenaires de la scurit.
I.2.6.2 Souverainet des Etats

Le dfi de la simplicit et de lefficacit de la scurit soppose la complexit des besoins et des environnements, tend favoriser les dmarches dexternalisation des services et de la scurit des systmes et des informations de socits spcialises. Cette externalisation induit une dpendance
Cyberespace et socit de l'information 15

Guide de la cyberscurit pour les pays en dveloppement

forte, quand elle nest pas totale. Cela constitue un risque scuritaire majeur. Les Etats doivent tre attentifs ne pas tre dpendant pour leur gestion stratgique, tactique et oprationnelle de leur scurit, dentits externes quils ne peuvent contrler. Les Etats doivent contribuer imposer: de pouvoir disposer de la scurit en mode natif (scurit par dfaut) et de manire conviviale, comprhensible, transparente, contrlable et vrifiable; dviter que les individus et Institutions se mettent en situations dangereuses (viter les configurations permissives, les comportement risques, la dpendance excessive, etc.); le respect des normes de scurit; une rduction des vulnrabilits dans les technologies et dans les solutions de scurit.

I.2.7

Point de vue conomique

La scurit ne permet pas directement de gagner de largent mais vite den perdre. Sil peut paratre relativement ais destimer ce que cote la scurit (budgets associs, cot des produits de scurit, des formations, etc.), il est plus dlicat dvaluer la rentabilit de la scurit. De manire subjective, on peut penser que les mesures de scurit possdent intrinsquement une efficacit passive et vitent certaines pertes. Toutefois, dterminer le cot de la scurit en regard des cots engendrs par les consquences rsultants de la perte de valeurs suite des accidents, erreurs ou de la malveillance est difficile raliser. Le cot de la scurit est fonction des exigences des organisations et dpend des valeurs protger, du cot des prjudices conscutifs un dfaut de scurit. Aussi, il nexiste pas de rponse prdfinie aux questions suivantes: Comment valuer lexposition de lorganisation aux risques, notamment aux risques sriels dus linterconnexion des infrastructures inter-organisations? Comment estimer correctement les cots indirects de linscurit, rsultant par exemple dune perte dimage ou de lespionnage? Que peut rapporter la scurit pour lorganisation qui la met en uvre? Quelle est la valeur conomique de la scurit? Quel est le retour sur investissement de la scurit?

La valeur conomique de la scurit est apprhender dans toute sa dimension socitale et tient compte des impacts des nouvelles technologies pour les individus, les organisations et les nations. Elle ne peut se rduire des cots dinstallation et de maintenance.

I.2.8

Point de vue social

Il est important de sensibiliser lensemble des acteurs du monde de linternet aux enjeux de la matrise de la scurit et aux mesures lmentaires qui si elles sont clairement nonces, dfinies et mise en uvre intelligemment, renforceront le niveau de scurit. Des actions dinformation et dducation civique une socit de linformation responsable, sur les enjeux, les risques et les mesures prventives et dissuasives de scurit sont ncessaires pour duquer lensemble des cybercitoyens adopter une dmarche scurit. Laccent sera mis sur le devoir de scurit, sur la responsabilit individuelle et sur les mesures dissuasives, ainsi que les consquences pnales potentielles rsultant du non-respect des obligations scuritaires. De manire plus gnrale, il est galement ncessaire d'duquer et de former aux technologies de traitement de linformation et des communications et non uniquement la scurit et aux mesures de dissuasion. La sensibilisation aux problmatiques de scurit ne doit pas se limiter la
16 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

promotion dune certaine culture de la scurit. En amont de la culture scuritaire, il doit y avoir une culture de l'informatique ce qui correspond la notion de permis de conduire informatique, que prne le CIGREF (Club Informatique des Grandes Entreprises Franaise)7. Faisons de linternet un patrimoine ouvert chacun de sorte que les cybercitoyens puissent potentiellement bnficier des infrastructures et services mis leur disposition, sans pour autant prendre des risques scuritaires excessifs. Une thique scuritaire doit donc tre dveloppe, comprise et respecte par tous les acteurs du cyberespace.

I.2.9
I.2.9.1

Point de vue juridique


Facteur critique de succs

Certaines lgislations nationales ou conventions internationales contraignent les organisations se doter de mesures de scurit leur assurant la conformit juridique. Ainsi les dirigeants dune organisation et par le biais de la dlgation de pouvoir, les responsables de scurit ont une obligation de moyens de la scurit (mais non une obligation de rsultat). La responsabilit dune personne morale mise en dfaut de scurit lors dune infraction tablie peut tre pnale, civile ou administrative. Cette responsabilit est tablie sans prjudice de la responsabilit pnale des personnes physiques ayant commis linfraction. Une lgislation adapte en matire de traitement des donnes permet de renforcer la confiance des partenaires conomiques envers les infrastructures dun pays. Cela participera au dveloppement conomique de celui-ci. Ainsi, en contribuant raliser un contexte propice lchange de donnes bas sur le respect des lgislations, ces dernires favorisent ladoption par le grand public de services bass sur linformatique et les tlcommunications. La lgislation et la scurit, sont alors considrer comme des leviers de lconomie nationale. Associes aux notions de confiance et de qualit, la cberscurit constituent les pierres angulaires qui permettent de dvelopper une vritable conomie de services.
I.2.9.2 Renforcer la lgislation et les moyens de lappliquer

A l'heure actuelle, la cybercriminalit est mal matrise comme continu de le dmontrer les chiffres des sondages annuels du CSI8 (Computer Security Institute) ou les statistiques du CERT9 (Computer Emergency and Response Team). Ainsi, il est constat que les mesures de scurit mises en place par les institutions tendent protger un environnement donn dans un contexte particulier, mais ne peuvent aucunement empcher la conduite d'activits criminelles via l'internet. Les raisons de cette situation sont notamment lies: aux caractristiques du cybercrime (capacit tre automatis, savoir-faire embarqu dans le logiciel, ralisation distance); la possibilit offerte au cybercriminel d'usurper facilement et sans risque excessif, l'identit d'utilisateurs lgitimes, ruinant par l mme la capacit de la justice identifier les auteurs rels d'une infraction; la dtermination des comptences pour raliser une enqute; la pnurie de ressources humaines et matrielles au sein des services chargs de la rpression des crimes et dlits informatiques; au caractre transnational de la cybercriminalit qui ncessite des recours frquents la coopration et l'entraide judiciaire internationale. Cette dernire implique des contraintes de temps non compatibles avec la rapidit d'excution des agressions et les besoins de reprise immdiate des systmes informatiques concerns par les cyberattaques;
7 CIGREF: www.cigref.fr. 8 CSI: www.gocsi.com 9 CERT: www.cert.org Cyberespace et socit de l'information 17

Guide de la cyberscurit pour les pays en dveloppement

la difficult de qualifier les faits au regard de certaines lgislations pnales; la nature mal dfinie et la volatilit de la plupart des preuves informatiques.

Pour toutes ces causes, le systme judiciaire dans le contexte de l'internet, n'est pas efficace. De plus, de mme quil existe des paradis fiscaux, il existe des paradis lgaux. Ce n'est pas ncessairement par absence de lois, que le crime informatique est peu ou mal rprim. Un certain nombre de crimes et de dlits informatiques sont dj qualifis par le biais des lgislations pnales existantes. Ce qui est illgal off-line est illgal on-line De nouvelles lgislations, nes de la ncessit de dfinir un cadre juridique appropri lusage des nouvelles technologies, compltent ou doivent complter la plus part des lgislations existantes qui sont, rappelons-le, galement valides dans le cyberespace. Renforcer la lgislation n'est pas forcment suffisant, si les moyens de l'appliquer manquent. Une loi est de peu dutilit, si la justice n'est pas en mesure de collecter et de traiter les preuves, didentifier et de sanctionner les auteurs de comportements criminels. Elle nest pas efficace si les malveillants ont le sentiment d'agir en toute impunit.
I.2.9.3 Lutte contre la cybercriminalit et droit lintimit numrique: un compromis difficile

Les moyens de lutte contre le flau grandissant et transfrontalier quest la cybercriminalit passe par la mise disposition dun cadre lgal harmonis au niveau international et applicable et des moyens dune vritable coopration internationale des instances de justice et police. LEtat possde des responsabilits importantes pour la ralisation dune sret numrique. Ceci est particulirement vrai pour la dfinition dun cadre lgal appropri, cest--dire unifi et applicable, pour la promotion dune culture de la scurit qui respecte lintimit numrique des individus (privacy), tout en renforant la lutte contre la criminalit. La lutte contre la cybercriminalit doit avoir comme objectif principal la protection des individus, des organisations et des Etats, en tenant compte des grands principes dmocratiques. Les outils de lutte contre la criminalit informatique peuvent potentiellement mettre mal les droits de lhomme et aller lencontre de la confidentialit des donnes caractre personnel. En effet, la scuriser passe par la surveillance, le contrle et le filtrage des donnes. Il est impratif que des gardes fous soient mis en place pour viter des abus de pouvoir, de situation dominante et toute sorte de drives totalitaires afin de garantir le respects des droits fondamentaux, notamment celui du respect de lintimit numrique et de la confidentialit des donnes personnelles. Outre la directive europenne de 1995, remarquons que diverses lgislations nationales existent depuis dj longtemps concernant la protection des donnes personnelles: Allemagne: loi du 21 janvier 1977 Argentine: loi sur la protection des donnes personnelles 1996 Autriche: loi du 18 octobre 1978 Australie: loi sur la vie prive 1978 Belgique: loi du 8 dcembre 1992 Canada: loi sur la protection des renseignements personnels 1982 Danemark: loi du 8 juin 1978 Espagne: loi du 29 octobre 1992 Etats-Unis: loi sur la protection des liberts individuelles 1974; loi sur les bases de donnes et la vie prive 1988 Finlande: loi du 30 avril 1987 France: loi informatique et libert du 6 janvier 1978 modifie en 2004 Grce: loi du 26 mars 1997 Hongrie: loi sur la protection des donnes personnelles et la communication des donnes publiques 1992
18 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

loi du 13 juillet 1988 loi relative lenregistrement des donnes personnelles 1981 loi sur la protection de la vie prive 1981, 1985, 1996; Loi sur la protection des donnes dans ladministration 1986 Italie: loi du 31 dcembre 1996 Japon: loi sur la protection des donnes informatises caractre personnel 1988 Luxembourg: loi du 31 mars 1979 Norvge: loi sur les registres des donnes personnelles 1978 Nouvelle-Zlande: loi sur linformation officielle 1982 Pays-Bas: loi du 28 dcembre 1988 Pologne: loi relative la protection des donnes personnelles 1997 Portugal: loi du 29 avril 1991 Rpublique tchque: loi sur la protection des donnes personnelles des systmes informatiss 1995 Royaume-Uni: loi du 12 juillet 1988 Russie: loi fdrale sur linformation, linformatisation et la protection des informations Slovnie: loi sur la protection des donnes 1990 Sude: 11 mai 1973 Suisse: loi fdrale sur la protection des donnes 1992 Taiwan: loi sur la protection des donnes 1995
I.2.9.4 Rglementation internationale en matire de cybercriminalit

Irlande: Islande: Isral:

La premire rglementation internationale, contribuant apprhender la dimension internationale de la cyber criminalit est la Convention sur la cybercriminalit10 Budapest 23 novembre 2001, adopte sous lgide du Conseil de lEurope et entre en vigueur en juillet 2004 (ds sa ratification par au moins 5 Etats (dont 3 au moins tre doivent du Conseil de lEurope). Cette convention aborde les points suivants: Disposition de droit pnal matriel concernant: les infractions contre la confidentialit, lintgrit et la disponibilit des donnes et systmes informatiques; les infractions informatiques; les infractions lies aux atteintes la proprit intellectuelle et aux droits connexes; Disposition de droit procdural concernant: la conservation rapide des donnes informatiques, de donnes relatives au trafic et sa divulgation rapide lautorit comptente; la conservation et la protection de lintgrit des donnes pendant une dure aussi longue que ncessaire pour permettre aux autorits comptentes dobtenir leur divulgation; linjonction de produire; la perquisition et la saisie des donnes stockes; la collecte en temps rel des donnes; la protection adquate des droits de lhomme et des liberts; Chaque Etat doit adopter des mesures lgislatives et autres qui se rvlent ncessaires pour riger en infraction pnale, dans le respect de son droit interne: laccs intentionnel et sans droit tout ou partie dun systme; linterception intentionnelle et sans droit de donnes lors de transmissions non publiques, destination, en provenance ou lintrieur dun systme;
10 www.conventions.coe.int/Treaty/FR/Treaties/Html/185.htm Cyberespace et socit de l'information 19

Guide de la cyberscurit pour les pays en dveloppement

le fait intentionnel et sans droit dendommager, deffacer, de dtriorer, daltrer ou de supprimer des donnes; lentrave grave intentionnelle et sans droit au fonctionnement dun systme; la production, la vente, lobtention pour lutilisation, limportation, la diffusion ou dautres formes de mise disposition dun dispositif conu ou adapt pour raliser une des infractions mentionnes; lintroduction, laltration, leffacement ou la suppression intentionnelle et sans droit de donnes, engendrant des donnes non authentiques, dans lintention quelles soient prises en compte ou utilises des fins lgales, comme si elles taient authentiques; le fait intentionnel et sans droit de causer un prjudice patrimonial autrui par lintroduction, laltration, leffacement ou la suppression de donnes, toute forme datteinte au fonctionnement dun systme, dans lintention frauduleuse ou dlictueuse, dobtenir sans droit un bnfice conomique pour soi-mme ou pour autrui; la complicit en vue est rige en infraction pnale ainsi que la tentative intentionnelle de

Les Etats doivent tablir leurs comptences lgard de toute infraction pnale lorsque cette dernire est commise: sur son territoire; bord dun navire battant pavillon de cet Etat; par un de ses ressortissants, si linfraction est punissable pnalement l ou elle a t commise ou si linfraction ne relve pas de la comptence territoriale daucun Etat;

Rgles concernant la coopration internationale en matire: dextradition; dentraide aux fins dinvestigation; de procdures concernant les infractions pnales lies des systmes et donnes informatiques; de recueil de preuves sous forme lectronique dune infraction pnale;

Cration dun rseau dentraide 24h/24, 7j/7; point de contact national; assistance immdiate pour les infractions;

Une volont rglementaire existe bien au niveau international de pouvoir matriser la cybercriminalit. Ce nest pas toujours par absence de Lois, ou de principes directeurs comme ceux noncs par lOCDE (Organisation de coopration et de dveloppement conomiques) Lignes directrices de lOCDE rgissant la scurit des systmes et des rseaux vers une culture de la scurit 200211 (Figure I.7) mais ce sont la difficult et la complexit du chantier mettre en uvre et les moyens ncessaires pour atteindre les objectifs de lutte contre non seulement la cybercrimnalit mais aussi le crime organis, qui font que l'internet est exploit des fins malveillantes.

11 www.oecd.org/dataoecd/16/22/15582260.pdf. Les directives sont rappeles en annexe de ce document. 20 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

Figure I.7 Lignes directrices de l'OCDE en matire de scurit informatique (juillet 2002)

Sensibilisation

Les parties prenantes doivent tre sensibilises au besoin dassurer la scurit des systmes et des rseaux dinformation et aux actions quelles peuvent entreprendre pour renforcer la scurit Les parties prenantes sont responsables de la scurit des systmes et des rseaux dinformation Les parties prenantes doivent agir avec promptitude et dans un esprit de coopration pour prvenir, dtecter et rpondre aux incidents de scurit Les parties prenantes doivent respecter les intrts lgitimes des autres parties prenantes La scurit des systmes et des rseaux dinformation doit tre compatible avec les valeurs fondamentales dune socit dmocratique Les parties prenantes doivent procder des valuations des risques Les parties prenantes doivent intgrer la scurit en tant quun lment essentiel des systmes et rseaux dinformation

Responsabilit Raction Ethique Dmocratie Evaluation des risques Conception et mise en oeuvre de la scurit

Gestion de la scurit Les parties prenantes doivent adopter une approche globale de la
gestion de la scurit

Rvaluation

Les parties prenantes doivent examiner et rvaluer les scurit des systmes et rseaux dinformation et introduire les modifications appropries dans leur politique, pratiques, mesures et procdures d scurit

I.2.10

Fondamentaux de la cyberscurit

Les solutions de scurit doivent contribuer satisfaire les critres de base de la scurit que sont la disponibilit, lintgrit et la confidentialit (critres DIC). A ces trois premiers critres sajoutent ceux qui permettent de prouver lidentit des entits (notion dauthentification) et que des actions ou vnements ont bien eu lieu (notions de non rpudiation, dimputabilit voire de traabilit) (Figure I.8).
I.2.10.1 Disponibilit

La disponibilit des services, systmes et donnes est obtenue, dune part, par un dimensionnement appropri et une certaine redondance des lments constitutifs des infrastructures et, dautre part, par une gestion oprationnelle des ressources et des services. La disponibilit est mesure sur la priode de temps pendant laquelle le service offert est oprationnel. Le volume potentiel de travail susceptible dtre pris en charge durant la priode de disponibilit dun service, dtermine la capacit dune ressource (serveur ou rseau par exemple). La disponibilit dune ressource est, en outre, indissociable de son accessibilit.
I.2.10.2 Intgrit

Le respect de lintgrit des donnes, traitements ou services permet dassurer quils ne sont pas modifis, altrs ou dtruits tant de faon intentionnelle quaccidentelle. Cela contribue assurer leur exactitude, leur fiabilit et leur prennit. Il convient de se prmunir contre laltration des donnes en ayant la certitude quelles nont pas t modifies lors de leur stockage ou de leur transfert.
Cyberespace et socit de l'information 21

Guide de la cyberscurit pour les pays en dveloppement

Lintgrit des donnes ne sera garantie que si elles sont protges des coutes actives qui peuvent modifier les donnes interceptes. Cette protection pourra tre ralise par la mise en uvre de mcanismes de scurit tels que: un contrle daccs rigoureux; un chiffrement des donnes; des moyens de protection contre les virus, les vers ou les chevaux de Troie.

Figure I.8 Fondamentaux de la cyberscurit

Capacit dun systme :

Objectifs de scurit
Disponibilit Prennit Continuit Confiance Suret de fonctionnement Fiabilit

Moyens de scurit
Dimensionnement Redondance Procdures dexploitation et de sauvegarde Conception Performances Ergonomie Qualit de service Maintenance oprationnelle Contrle daccs Authentification Contrle derreur Contrle de cohrence Chiffrement Certification Enregistrement, traabilit Signature lectronique Mcanismes de preuve

Pouvoir tre utilis

Excuter des actions

Durabilit Continuit Exactitude Confidentialit (maintien du secret) Intgrit (aucune modification) Non-rpudiation Authenticit (aucun doute) Aucune contestation

Permettre laccs aux entits autorises (aucun accs illicite)

Prouver des actions

I.2.10.3

Confidentialit

La confidentialit est le maintien du secret des informations, des flux, des transactions, services ou actions ralises dans le cyberespace. Il sagit de la protection des ressources contre une divulgation non autorise. La confidentialit peut tre ralise par la mise en uvre de mcanismes de contrle daccs ou de chiffrement. Le chiffrement des donnes (ou cryptographie), contribue assurer la confidentialit des informations lors de leur transmission ou de leur stockage en les transformant de faon ce quelles deviennent inintelligibles aux personnes ne possdant pas les moyens de les dchiffrer.
I.2.10.4 Identification et authentification

Lauthentification doit permettre de ne pas avoir de doute sur lidentit dune ressource. Cela suppose que toutes les entits (ressources matrielles, logicielles ou personnes) soient correctement identifies et que certaines caractristiques puissent servir de preuve leur identification. Tous les mcanismes de contrle daccs logique aux ressources informatiques ncessitent notamment de grer lidentification et lauthentification des entits.
22 Cyberespace et socit de l'information

Guide de la cyberscurit pour les pays en dveloppement

Les processus didentification et dauthentification sont mis en uvre pour contribuer raliser: la confidentialit et lintgrit des donnes (seuls les ayant droits identifis et authentifis peuvent accder aux ressources (contrle daccs et les modifier sils sont habilits le faire); la non rpudiation et limputabilit (les entits identifies et authentifies ont ralises telle action), la preuve de lorigine dun message, dune transaction (une entit identifie et authentifie effectue une mission), la preuve de la destination (une entit identifie et authentifie est destinatrice dun message).
I.2.10.5 Non rpudiation

Dans certaines circonstances, il est ncessaire de prouver la ralisation de certains vnements (action, transaction). A la non-rpudiation sont associs les notions de responsabilit dimputabilit, de traabilit et ventuellement dauditabilit. Ltablissement de la responsabilit ncessite lexistence de mcanismes d'authentification des individus et dimputabilit de leurs actions. Le fait de pouvoir enregistrer des informations afin de pouvoir tracer la ralisation dactions est important lorsquil sagit de reconstituer un historique des vnements, notamment lors dinvestigations en milieu informatique pour retrouver ventuellement ladresse dun systme partir de laquelle des donnes ont t envoyes par exemple. Les informations ncessaires une analyse ultrieure (journalisation des informations) permettant laudit dun systme doivent tre sauvegardes. Cela constitue la capacit des systmes tre audits (notion dauditabilit).
I.2.10.6 Scurit physique

Les environnements qui abritent les postes de travail, les serveurs, les zones dexploitation informatique et de logistique (air conditionn, tableaux de contrle de lalimentation lectrique, etc.) doivent tre physiquement protgs contre des accs indus et des catastrophes naturelles (feu, inondation, etc.). La scurit physique reprsente le contrle le plus fondamental et le plus courant des systmes informatiques.
I.2.10.7 Solutions de scurit

A la vue des problmes scuritaires qui constituent la ralit quotidienne de la plus part des infrastructures, constatant que les solutions de scurit ne manquent pas, et que le march de la scurit se porte plutt bien, nous sommes en droit de nous poser les questions suivantes: les solutions de scurit sont-elles adaptes aux besoins? sont-elles implantes et gres correctement? peuvent-elles sappliquer, sadapter un environnement en perptuelle mutation? peuvent-elles pallier le pouvoir excessif accord aux administrateurs systmes? comment peuvent-elles faire face aux problmes scuritaires dont lorigine est rechercher dans la ngligence, lincomptence, les dfaillances lors de la conception, de la mise en uvre ou de la gestion des technologies et des solutions de scurit? etc.

Cyberespace et socit de l'information

23

SECTION II
MATRISE DE LA CYBERCRIMINALIT

Guide de la cyberscurit pour les pays en dveloppement

Chapitre II.1 Cybercriminalit


II.1.1 Notions de crime informatique et de cybercrime

Les vulnrabilits et la matrise insuffisante des technologies du numrique leur confrent un certain niveau dinscurit. Cet tat dinscurit est largement exploit par les acteurs du monde criminel. De plus, chaque technologie est porteuse de potentialits criminelles et offre des opportunits pour raliser des infractions. L'internet nchappe pas cette rgle et le monde criminel a investi le cyberespace. LOCDE a dfini en 1983 linfraction informatique comme tant tout comportement illgal, immoral ou non autoris qui implique la transmission et/ou le traitement automatique de donnes. Un crime informatique (computer-related crime) est un dlit pour lequel un systme informatique est lobjet du dlit et/ou le moyen de le raliser, cest un crime li aux technologies du numrique qui fait partie de la criminalit en col blanc. Le cybercrime (cybercrime) est une forme du crime informatique qui fait appel aux technologies de l'internet pour sa ralisation. Cela concerne tous les dlits raliss dans le cyberespace. Le monde virtuel confre au crime la capacit tre automatis, autorisant une ralisation grande chelle (cyberpidmie), permettant dtre commis distance via les rseaux (ubiquit du criminel, dans le temps et dans lespace) et avec ventuellement des effets retardement (Figure II.1).
Figure II.1 Caractristiques du crime informatique

Moyen de lattaque

Systme informatique

Cible objet de lattaque

Criminalit en col blanc


Dlit commis distance via des rseaux, cach derrire un cran Ubiquit du criminel dans lespace et dans le temps Savoir-faire criminel embarqu dans le logiciel Commission automatise des dlits, grande chelle

Les technologies de linternet facilitent toute sorte dinfractions (vol, sabotage dinformations, atteintes au copyright, au droit dauteur, la violation du secret professionnel, de lintimit numrique, de la proprit intellectuelle, dissmination de contenus illgaux, attaques concurrentielles, espionnage industriel, atteinte aux droits des marques, diffusion de fausses informations, dnis de service, fraudes diverses, etc.).
Cybercriminalit 27

Guide de la cyberscurit pour les pays en dveloppement

Les vnements qui ont contribu l'volution de la perception de la menace cybercriminelle sont outre le bug de lan 2000 qui a fait prendre conscience de la fragilit des logiciels et de la dpendance vis--vis de linformatique, sont les attaques de dni de service contre des sites tels que Yahoo (10 fvrier 2000) et le fameux virus I love you (du 4 mai 2000). Depuis, associ la mdiatisation dinfections virales (virus Code red juillet 2001 ou Nimda septembre 2001) ou de dnis de services (attaque des principaux serveurs DNS 21 octobre 2002) pour ne citer que quelques exemples, le grand public prend plus ou moins conscience de la ralit des menaces seffectuant travers le monde de linternet. Lactualit reste riche en nouvelles de rvlation de problmes lis linformatique.

II.1.2
II.1.2.1

Facteurs qui favorisent lexpression de la criminalit via l'internet


Monde virtuel et dmatrialisation

La dmatrialisation des transactions, les facilits de communication associes aux solutions de chiffrement, de stganographie et danonymat, autorisent des liaisons entre criminels de diffrents pays sans contact physique, de manire flexible et scurise en toute impunit. Ainsi, ils peuvent sorganiser en quipes, planifier des actions illicites et les raliser soit de manire classique, soit par le biais des nouvelles technologies. La couverture internationale du rseau internet permet aux criminels dagir au niveau mondial, grande chelle et trs rapidement. Outre, ces facilits inhrentes au monde numrique et aux tlcommunications, les problmes de conception, de mise en uvre, de gestion, et de contrle de linformatique, associs aux pannes, aux dysfonctionnements, aux erreurs, aux incomptences, ou encore aux catastrophes naturelles, comme linterdpendance des infrastructures, confrent de facto un certain niveau dinscurit aux infrastructures numriques. Les possibilits dexploitation des vulnrabilits des fins malveillantes sont nombreuses. La ralit de ces dernires: usurpation d'identit, leurre, accs indus, exploitation frauduleuse de ressources, infection, dtrioration, destruction, modification, divulgation, vol de donnes, chantage, extorsion, racket, dni de service, etc. met en vidence une matrise insuffisante du risque informatique dorigine criminelle par les organisations et les limites des approches scuritaires actuelles. Le cyberespace, o les actions se ralisent caches derrire un cran et distance travers un rseau, favorise les comportements criminels. Cela facilite pour certains, le passage lillgalit sans parfois de prise de conscience relle de la dimension criminelle des actes perptrs. De plus, les criminels peuvent sorganiser en quipes, planifier des actions illicites et les raliser soit de manire classique, soit par le biais des nouvelles technologies. La couverture internationale du rseau internet permet aux criminels dagir au niveau mondial, grande chelle et trs rapidement.
II.1.2.2 Mise en rseau des ressources

La gnralisation de la mise en rseau des ressources informatiques et informationnelles, font quelles deviennent des cibles attrayantes pour la ralisation de crimes conomiques via les nouvelles technologies. Les diffrentes formes dattaques informatiques existantes ont pour dnominateur commun quelles font courir relativement peu de risques leur auteur et possdent des consquences ngatives et dommages potentiels bien suprieurs aux ressources ncessaires pour les raliser. Lusurpation didentit lectronique, les possibilits danonymat ou la prise de contrle dordinateurs par exemple, facilitent la ralisation dactions illgales sans prise de risque excessive.
28 Cybercriminalit

Guide de la cyberscurit pour les pays en dveloppement

II.1.2.3

Disponibilit doutils et existence de failles

La disponibilit doutils dexploitation des failles et vulnrabilit des systmes, de bibliothques dattaques et de logiciels qui capitalisent le savoir-faire criminel dans un programme, facilite la ralisation des attaques informatiques. Cette disponibilit associe la dmatrialisation des actions, favorise le comportement malveillant des informaticiens qui possdent la fibre criminelle et des criminels qui possdent des aptitudes en informatique. Le cyberespace facilite pour certains, le passage lillgalit sans parfois de prise de conscience relle de la dimension criminelle des actes perptrs.
II.1.2.4 Vulnrabilit et dfaillance

La criminalit tire partie des vulnrabilits et dfaillances organisationnelles et techniques de linternet, de labsence dun cadre juridique harmonis entre les Etats et dun manque de coordination efficace des polices. Il peut sagir de criminalit classique (commission de vieux dlits avec de nouvelles technologies: blanchiment dargent, chantage, extorsion, etc.) ou gnrer de nouveaux types de dlits partir des technologies du numrique: intrusion dans des systmes, vol de temps processeur, vol de code source, de bases de donnes, etc. Dans tous les cas, ils seffectuent dans des conditions exceptionnelles doptimalit (risques minimaux, couverture importante, profitabilit maximale). La Figure II.2 rappelle les sources de vulnrabilits dune infrastructure internet.
Figure II.2 Principales caractristiques du monde de l'internet exploites des fins criminelles

Du point de vue des technologies internet technologie publique, ouverte historique dvolution nintgre pas en natif des mcanismes de scurit conception des technologies best effort disponibilit doutils de gestion de rseau, danalyse de trafic, daudit, de chiffrement disponibilit doutils dattaque

Du point de vue des systmes permissivit des configurations attractivit des systmes (cible) gestion inadapte approche parcellaire de la scurit

Caractristiques du systme juridique juridiction multiple paradis digital

Internet

Caractristiques du numrique immatriel virtuel dmatrialisation

Du point de vue du rseau Du point de vue des utilisateurs connectivit tendue multiplicit, distribution des lments constitutifs absence de contrle global dimensionnement insuffisant diffrentes catgories nombre important et croissant formation et comptences variables caractre imprvisible comportement inadapt thique insuffisante mauvaise utilisation des solutions de scurit gestion de la scurit dfaillante

Cybercriminalit

29

Guide de la cyberscurit pour les pays en dveloppement

II.1.2.5

Difficult identifier lauteur dun dlit

Le crime informatique est un crime sophistiqu, ralis le plus souvent au niveau international avec parfois un effet retardement. Les traces laisses dans les systmes sont immatrielles et difficiles collecter et sauvegarder. Il sagit dinformations numriques mmorises sur toute sorte de supports: mmoire, priphriques de stockage, disque dur, disquettes, cl USB, divers composants lectroniques, etc. Il se pose alors la question de leurs saisies lors dune perquisition informatique. Les questions suivantes entre autres, montrent quel point la notion de preuve numrique est difficile tablir: comment identifier les donnes pertinentes? comment les localiser? comment les sauvegarder? comment constituer une preuve recevable auprs dun tribunal? comment rcuprer des fichiers effacs? comment prouver lorigine dun message? comment remonter jusqu lidentit dune personne sur la base uniquement dune trace numrique du fait quil est difficile dtablir une correspondance certaine entre une information numrique et son auteur (dmatrialisation) et de lusurpation didentit frquente? quelle est la valeur dune trace numrique en tant que preuve contribuant tablir la vrit auprs dun tribunal (notion de preuve numrique) sachant que les supports de mmorisation sur lesquelles des traces ont t recueillies sont faillibles (les notions de date et dheure sont variables dun systme informatique lautre et aisment modifiables). etc.

Les traces informatiques sont dautant plus difficiles obtenir lorsquelles sont laisses dans des systmes ressortissants de diffrents pays. Leur obtention relve de lefficacit de lentraide judiciaire internationale et de la rapidit dintervention. Leur exploitation efficace pour identifier des individus dpend de la dure de traitement de la requte dobtention qui peut mettre un certain temps et qui rend alors toute identification impossible. La Figure II.3 identifie diffrents types de problmes induits par la malveillance comme la destruction physique ou le vol de matriel qui empche laccs aux systmes et donnes, comme linfection des ressources, la compromission des processus de dcision ou de communication par des attaques de dni de service (ou suite de lespionnage ou lintrusion dans des systmes), lappropriation illgale ou la manipulation dinformations (endoctrination, guerre de linformation). Elle met galement en vidence les principales caractristiques du cybercrime qui rendent difficiles lidentification des malveillants. Par ailleurs, dans la plupart des Etats, il existe un dcalage significatif entre les aptitudes des criminels effectuer des crimes de haute technologie et les moyens mis disposition des forces de justice et police pour les poursuivre. Le niveau dadoption des nouvelles technologies par les instances de justice et de police aux niveaux national et international reste faible et trs disparate dun pays lautre. Ce sont gnralement les moyens courants dinvestigation des crimes conventionnels auxquels ont recours les forces de justice et police pour poursuivre les cybercriminels qui permettent de les identifier et de les arrter.

30

Cybercriminalit

Guide de la cyberscurit pour les pays en dveloppement

Figure II.3 Difficult identifier un malveillant


Com pr om ission Appr opriat ion de linf orm at ion Endoct rinat ion Guer re de linfor m at ion Destruction Infection physique Virus Vol Etc. Sniffing Hacking Cracking DoS Oprations Des processus Surveillance psychologiques de dcision, Espionage et de des propagande communication

Aucun acces

Crime sophistiqu ralis au niveau international Effet retardement Trace immatrielle difficile collecter Anonymisation Usurpation didentit Dmatrialisation Relais dattaques Multiples intermdiaires Etc.

Coopration internationale? Identification des malveillants?

II.1.2.6

Aterritorialit et paradis numriques

Le monde criminel tire partie de laterritorialit de linternet, de linexistence dans certains Etats de lois rprimant le crime informatique et des juridictions multiples dont relve l'internet De manire analogue aux paradis fiscaux des paradis numriques permettent aux criminels dhberger des serveurs, diffuser des contenus illicites ou raliser des actions illicites en toute impunit. Le fait de pouvoir localiser des serveurs dans des Etats faibles constituent des refuges des oprations transnationales. Le manque de rgulation internationale et de contrle, linefficacit de la coopration internationale en matire dinvestigation et de poursuites judiciaires font que linternet offre une couche disolation protectrice aux criminels. A lheure actuelle, aucune rponse correcte tant sur le plan juridique que technique est apporte pour matriser les diffrents dlits favoriss par linternet tels que: lindustrie parallle et trs organise de la copie la chane de logiciels, de films, de musique, etc., qui a pris dans le cyberespace une dimension sans prcdent; les atteintes au copyright, droits dauteur, la violation du secret professionnel, de lintimit numrique ou de la proprit intellectuelle; les atteintes la proprit, lappropriation illgale de la proprit dautrui, lendommagement, la destruction de la proprit dautrui ou limmixtion dans la proprit dautrui (notion de violation de domicile virtuel); la dissmination de contenus illgaux; attaques concurrentielles, espionnage industriel, atteinte aux droits des marques, diffusion de fausses informations, dnis de service commandits par des concurrents.
Cybercriminalit 31

Guide de la cyberscurit pour les pays en dveloppement

II.1.3

Criminalit classique et cybercriminalit

La cybercriminalit constitue le prolongement naturel de lexpression de la criminalit classique. De nos jours, les activits criminelles seffectuent travers le cyberespace, par dautres moyens que ceux habituellement mis en uvre, et de manire complmentaire la criminalit classique. Non seulement l'internet offre des conditions exceptionnelles pour de nouvelles entreprises et activits illicites, mais il autorise galement la ralisation de fraudes ou dlits habituels via loutil informatique. L'internet offre des opportunits pour favoriser la recherche et la production de revenus, De ce fait, il accorde de nouvelles capacits au monde criminel. Une exploitation efficace des nouvelles technologies, permet aux criminels de raliser des dlits tout en assurant la maximisation des bnfices et en exposant un niveau de risque acceptable pour les criminels.

II.1.4

Cybercriminalit, criminalit conomique et blanchiment

Le crime conomique via l'internet nest pas uniquement rserv la criminalit organise, les outils informatiques et tlcoms le mettent la porte dindividus isols, qui peuvent se constituer ou non, en groupes plus ou moins importants. Les criminels peuvent sorganiser autour de lchange dinformations grce aux technologies de linformation. Des rseaux de personnes ou de comptences autorisent la constitution dorganisations criminelles dmatrialises. Le haut degr de comptence conomique et le professionnalisme ncessaire la ralisation du crime conomique, font que celui-ci peut tre facilit par les technologies de linformation. L'internet contribue lacquisition des informations, une meilleure connaissance des marchs, lois, techniques, etc., ncessaires la ralisation de dlits conomiques. Il sert galement lidentification des opportunits criminelles. Le crime conomique est influenc par les nouvelles technologies qui deviennent un facteur de production des organisations criminelles et place linformation au cur de leurs stratgies et processus de dcision. Les nouvelles technologies facilitent toute sorte de vol, modifications, sabotage dinformation ou de fraudes. Les phnomnes de chantage, dextorsion, de racket, de demandes de ranons existent dornavant sur l'internet. En effet, les ressources informatiques deviennent les otages potentiels des cybercriminels. Les matreschanteurs se sont appropri le cyberespace et tout le monde peut tre la cible de tentatives de chantage, de dsinformation ou de cyberpropagande. Par ailleurs, lexplosion du phnomne dusurpation didentit depuis 2003, dmontre que les criminels ont bien compris lavantage quils pouvaient tirer, non seulement des capacits danonymisation offertes par l'internet mais aussi, de lappropriation des fausses identits afin de ne pas tre poursuivis ou tenus responsables dactions criminelles ou terroristes. Lusurpation didentit, aisment ralisable sur l'internet, favorise la ralisation dactivits illicites. Comme tous les criminels qui profitent des infrastructures technologiques mises en place, les blanchisseurs de fonds recourent de plus en plus l'internet afin de pouvoir utiliser lgalement des capitaux gnrs par les activits criminelles telles que le trafic de drogue, la vente illgale darmes, la corruption, le proxntisme, la pdophilie, la fraude fiscale, etc. Bien quil soit largement sous-dclar, et le plus souvent mconnu, le blanchiment dargent via l'internet prend de lampleur. L'internet offre un potentiel exceptionnel tant par la dmatrialisation (anonymat, monde virtuel, rapidit de transfert) que par la non-territorialit (phnomne transnational, conflits de comptences et de juridictions), caractristiques largement exploites par les acteurs traditionnels du blanchiment. L'internet permet en toute impunit, la rinsertion de l'argent sale dans les circuits conomiques par le biais de transferts de flux, dinvestissement et de capitalisation.
32 Cybercriminalit

Guide de la cyberscurit pour les pays en dveloppement

Les placements boursiers en ligne, les casinos en ligne, le e-commerce ventes de produits et services fictifs contre paiement rel, gnrant des bnfices justifis, de telles activits sont incontrlables et les poursuites en justice impossibles, le e-banking, les transactions du foncier et de limmobilier via le net, la cration de socits virtuelles cran, les porte-monnaie lectroniques sont utiliss pour effectuer le crime des crimes quest le blanchiment. En ayant recours certains services dmatrialiss, linternaute, peut favoriser inconsciemment le dveloppement du blanchiment dargent. Les entreprises peuvent galement tre fortuitement impliques dans ce processus, et en subir des consquences judiciaires et commerciales qui peuvent tre importantes. Cela constitue alors un risque majeur pour les entreprises. Actuellement, il existe peu de moyens efficaces pour matriser ce phnomne du blanchiment via les nouvelles technologies.

II.1.5

Banalisation de la cybercriminalit et extension de la criminalit

La cybercriminalit se ralise le plus souvent au travers de dlits ordinaires, presque invisibles mais trs prsents et efficaces, du fait de la mise en rseau des ressources et des personnes. Les entreprises mais surtout leurs ressources informatiques et informationnelles deviennent des cibles privilgies pour les organisations criminelles la recherche de profits. Il sagit alors dune menace stratgique dans la mesure o largent se trouve dans les systmes informatiques, dans les grandes entreprises, dans des fonds de pension, etc., et non seulement dans les banques. Louverture de l'internet via des serveurs web, des portails, o la messagerie lectronique expose lentreprise au risque dorigine criminel et permet le positionnement dacteurs criminels son contact. L'internet est un outil de communication mais il est aussi un environnement chaotique, complexe, dynamique et hostile qui peut constituer un outil de dstabilisation et de ralisation de dlits. L'internet peut tre alors considr comme tant une zone criminalise. Or, du fait de la ncessit pour les institutions dtre prsentes sur l'internet, nous sommes en droit de nous demander si ces dernires ne contribuent pas dans une certaine mesure lextension de la criminalit sur l'internet. La scurit intrieure d'un pays est aujourd'hui confronte des formes d'expression de menaces criminelles lies l'existence des technologies de l'information. Les technologies de l'internet sont au cur de la guerre de l'information (infoguerre infowar) dont les enjeux sont avant tout d'ordre conomique et les impacts importants pour le bon droulement des activits. L'internet permet non seulement la manipulation de l'information mais est aussi un outil privilgi pour rpondre des rumeurs ou toute forme d'intoxication ou de campagne de dstabilisation. De mme, sont facilites les activits despionnage et de renseignement, puisquil est devenu ais d'intercepter des informations transfres sur l'internet.

II.1.6

Cybercriminalit et terrorisme

La cybercriminalit peut avoir une dimension terroriste dans la mesure ou les systmes attaqus sont impliqus dans des infrastructures critiques. En effet, les infrastructures essentielles au bon fonctionnement des activits dun pays (nergie, eau, transports, logistique alimentaire, tlcommunications, banque et finance, services mdicaux, fonctions gouvernementales, etc.), voient leur vulnrabilit augmente par un recours accru aux technologies de l'internet. Il faut souligner limportance des systmes de production et de distribution dlectricit car ils conditionnent le fonctionnement de la plupart des infrastructures. La prise de contrle d'infrastructures critiques semble tre un des objectifs du cyberterrorisme, la preuve en est la recrudescence de scans (tests de systmes informatiques pour dcouvrir leurs vulnrabilits afin de pouvoir les pntrer ultrieurement) dirigs sur des ordinateurs d'organisations grant ces infrastructures. A ce jour, la dfinition du cyberterrorisme n'est pas claire. Le plus simple serait sans doute de considrer le cyberterrorisme comme du terrorisme appliqu au cyberespace. Or, dans son sens courant, le terrorisme fait rfrence l'emploi systmatique de la violence pour atteindre un but politique.
Cybercriminalit 33

Guide de la cyberscurit pour les pays en dveloppement

Nous sommes en droit de nous demander si l'arrt ventuel de l'internet ou d'une partie de l'internet, suite des actes de malveillance, serait susceptible de provoquer la terreur au sein de la communaut des internautes, de certains acteurs conomiques particuliers, de la population. Ne s'agirait-il pas, le plus souvent, de terrorisme conomique visant porter prjudice aux organisations qui ralisent des activits au travers de l'internet? Il faut tre prudent quant l'usage du terme cyberterrorisme qui s'est rpandu depuis le 11 septembre 2001. En effet, souvenons-nous que les premiers dnis de services distribus (DDOS) largement mdiatiss furent le fait d'un adolescent de 15 ans (Mafia Boy) le 10 fvrier 2000. Identifi et apprhend plusieurs mois plus tard, bien qu'il n'ait pas rendu publique sa motivation, tout laisse penser qu'elle n'tait pas politique. Est-ce que cette mme attaque perptre aprs le 11 septembre 2001, n'aurait pas t aussi qualifie de cyberterrorisme? En l'absence d'lments concrets, sans revendication ni auteur prsum dune attaque, il est difficile de qualifier une attaque de cyberterroriste. Le terme de cyberterrorisme recouvre une ralit assez floue dans le rpertoire des nouvelles menaces et il est difficile priori de supposer la motivation et les objectifs d'un agresseur ou d'un groupe d'agresseurs inconnus. En effet il est parfois malais de distinguer en fonction de la cible uniquement, les motivations d'un dlinquant, d'un terroriste, d'un mercenaire, d'un militant, d'un escroc ou encore d'un immature. Le type d'agression informatique ne suffit pas dfinir avec certitude la motivation ou les objectifs d'un malveillant. Ceci constitue une des difficults de la lutte contre le crime informatique car il est ncessaire de disposer d'informations complmentaires pour caractriser l'intention criminelle. Que cela soit au travers des processus de dstabilisation conomique, par la mise en pril d'infrastructures critiques, par la propagation d'idologies ou par de la manipulation d'information, le cyberterrorisme constitue une nouvelle forme de menace qui est considrer de manire trs srieuse. Au-del des systmes informatiques et du monde virtuel que symbolise l'internet, la vie peut tre menace en portant indirectement prjudice l'intgrit des personnes.

II.1.7

Cyberdlinquants

Parvenir distinguer la motivation du cyberdlinquant, ainsi que son niveau de technicit, permet, dvaluer la gravit dune attaque et ainsi de mieux la contrer. Scuriser un systme dinformation ncessite de connatre contre qui lon doit se protger. De nos jours, on observe deux grands types de cyberdlinquants savoir, dune part, les professionnels dont les activits sont directement rmunratrices et, dautre part, les amateurs, gnralement anims par un fort besoin de reconnaissance sociale (Figure II.4). Les professionnels sont gnralement: des concurrents directs de lorganisation vise; des fonctionnaires au service de leur Etat; des mercenaires (pouvant agir aussi bien pour le compte dinstitutions prives que publiques); des truands de toutes sortes. Parmi les amateurs, se reconnaissent: les techniciens, successeurs des premiers passionns, ces hackers des premiers ges dont la motivation essentielle tait le dsir de matriser toujours mieux les technologies; les curieux; les immatures: souvent appels script-kiddies ou kiddiots. Ils sont frquemment sur le devant de la scne aprs avoir t attraps. Le fait quils soient pris par les forces de lordre ne signifie pas ncessairement quils sont les seuls cyberdlinquants;
34 Cybercriminalit

Guide de la cyberscurit pour les pays en dveloppement

les psychopathes; les militants, mus par idologie ou religion, qui sont dailleurs souvent cheval entre amateurisme et professionnalisme).

Figure II.4 Deux grandes familles de cyberdlinquants

Motivation: Sociale Technique Economique Idologique Politique Religieuse Personnelle, etc.

Gains Revenus
Amateurs Professionnels Concurrents, Employes, Fonctionnaires, Mercenaires, Gangsters, Delinquants, Terroristes Mystiques Curieux Rebelles Employs insatisfaits Militants

Les motivations fondamentales de ces personnes sont relatives des composantes dordre social, technique, politique, financire ou tatique. La motivation sociale trouve ses racines dans le besoin de reconnaissance par ses pairs de lindividu, li gnralement une structure de bande. Il veut prouver sa valeur au groupe en se rfrant aux critres culturels internes. Il sagit, dun phnomne analogue celui des taggers, et qui est reli une vision trs primaire des rapports sociaux. On le retrouve frquemment chez les immatures pour lesquels le hacking apporte un sentiment de supriorit et de contrle dinstitutions quils estiment subir dans leur quotidien. La motivation technique reste rare. Elle a pour objet premier la recherche des limites de la technologie, afin den mettre en lumire les limites et les faiblesses et den mieux comprendre les atouts. La motivation politique consiste crer un vnement propre alerter les mdias, pour les focaliser sur un problme grave en esprant provoquer une prise de conscience collective qui amnera sa rsolution. Il est noter alors que la frontire avec le terrorisme peut tre tnue, au moins dun point de vue conceptuel. On doit galement souligner que bon nombre de personnes dissimulent leur motivation sociale derrire un objectif politique. La motivation financire peut savrer trs forte et sous-tend beaucoup dactions illicites. Lappt du gain, permet des criminels en col blanc de sexprimer via le rseau internet (voleurs, escrocs, concurrents dloyaux, etc.). Enfin, on peut distinguer une motivation gouvernementale. Quil sagisse de guerre de linformation ou despionnage, elle concerne des services administratifs agissant pour le compte de puissances tatiques.
Cybercriminalit 35

Guide de la cyberscurit pour les pays en dveloppement

Les dlinquants ont su sadapter aux nouvelles technologies pour faire fructifier leurs activits traditionnelles. On peut lgitimement sinquiter en voyant quel point ils peuvent tre cratifs lorsquil sagit dinventer de nouveaux usages pour ces technologies.

II.1.8
II.1.8.1

Programmes indsirables ou malveillants


Spam

Le spam est un envoi massif de messages lectroniques non sollicits dont la finalit est lorigine commerciale et publicitaire afin dinciter les internautes commander un produit ou un service. Le spam en dpit du dploiement de moyens techniques et des sommes investies par les fournisseurs de service pour le bloquer, malgr galement lannonce faite par les autorits de vouloir combattre ce flau et les condamnations de spammeurs prolifiques, le spam continue tre une vritable nuisance. En septembre 2003 le spam reprsentait 54% du trafic total des messages lectroniques changs. En 2005 aux Etats-Unis, selon IDC, le nombre de spams envoys a dpass les 12 milliards de messages, soit 38.7% du trafic total. Pouss lextrme, le phnomne de spam peut ressembler une attaque par bombardement, inondation de messages (email bombing) entranant une surcharge inconsidre des serveurs de messagerie, des botes lettres des utilisateurs et des dsagrments. Cela peut se raliser par linscription de lutilisateur son insu des listes de diffusion dinformation (list linkink). Ce dernier doit alors se dsabonner de ces listes ou, si cela lui semble trop fastidieux, changer dadresse lectronique. Cette alternative, quoiquefficace est galement drangeante dans la mesure o il est ncessaire de prvenir tous les interlocuteurs de cette modification dadresse. Le nombre de messages non sollicits, inappropris, ou parfois contenu propre choquer en quantit massive peut porter atteinte au respect de la sphre prive de linternaute (notion de junk email). Mais il est constat que, de plus en plus, le spam est utilis pour propager des programmes malveillants, ce qui lui confre un degr de nuisance sans prcdent.
II.1.8.2 Programmes malveillants

Les principaux observateurs de la scurit informatique que cela soit le CERT12, le FBI, ou encore le Clusif, constatent dans leurs rapports annuels concernant la criminalit informatique, une augmentation des programmes malveillants ou indsirables sexcutent linsu de lutilisateur. Il sagit des logiciels suivants: Les tlchargeurs et implanteurs (downloaders) qui permettent le tlchargement de donnes (accs distance et chargement de programmes ou rcupration de donnes); Les keyloggers qui sont des enregistreurs de frappe, renifleurs de clavier qui capturent les informations saisies au clavier par lutilisateur. Il existe galement des priphriques matriels, (keyloggers matriels) indtectables par les logiciels qui enregistrent les donnes; Les bot-robots qui sont des programmes permettant la prise de contrle distance de systmes afin de former un rseau dattaques cach. De 25-50 nouveaux robots sont dcouverts chaque jour. Ils servent de relais de spamming, de phishing ou pour distribuer des adwares. En octobre 2005, la police hollandaise arrte trois hommes souponns de diriger un rseau de 100 000 ordinateurs robots qui se proposaient de mener des attaques de dni de service et sintressaient aux comptes PayPal et Ebay de leurs victimes;13 Les logiciels publicitaires (adware advertising software) qui permettent entre autres la personnalisation des dmarches commerciales;
12 CERT: Computer Emergency Response Team; www.cert.org Statistiques 1998 2005 www.cert.org/stats/cert_stats.html 13 Source: Clusif Panorama de la cybercriminalit rapport 2005: www.clusif.asso.fr/fr/production/ouvrages/pdf/PanoCrim2k5-fr.pdf 36 Cybercriminalit

Guide de la cyberscurit pour les pays en dveloppement

Les logiciels espions (spyware spying software) qui, comme leur nom lindique, enregistrent des donnes linsu de lutilisateur. Selon lditeur de logiciels Webroot INC. plus de 100 000 diffrents spywares sont prsents sur le net et plus de 300 000 sites internet hbergent de tels logiciels. Un PC connect sur l'internet possde en moyenne 28 spywares installs linsu de son utilisateur. Plus de 80% des ordinateurs dune entreprise contiennent au moins un spyware. Ces programmes sont lorigine de 70% des attaques.

A ces logiciels, il faut ajouter les virus et ses drivs (vers, cheval de Troie, bombe logique). Les virus sont des programmes malveillants introduits dans un systme linsu des utilisateurs, qui possdent la capacit de se dupliquer soit l'identique, soit en se modifiant (virus polymorphe), de porter atteinte aux environnements dans lequel ils sexcutent et de contaminer les autres avec lesquels ils sont en relation. Diffrents types de virus sont distingus en fonction de leur signature, de leur comportement, de leur type de reproduction, dinfection, de dysfonctionnements induits, etc. Lobjet dun virus informatique, de manire analogue au virus biologique, est de se reproduire et de se propager dun ordinateur un autre, en sattachant toutes sortes de programmes, le plus souvent des messages lectroniques. Gnralement via une intervention humaine. Lexcution dun virus peut porter atteinte lintgrit des ressources informatiques contamines. Certains peuvent tre juste drangeants, dautres carrment destructeurs, conduire des pertes de disponibilit et de confidentialit. Le terme de virus dsigne de manire gnrique tout programme informatique capable de nuisance (infection, destruction, dtournement de ressources, etc.), capable de se reproduire et de se propager. Environ 50 000 nouveaux virus ont circul, en 200514. Le virus HTML_NETSKY.P par exemple, rpertori par le World Virus Tracking Center, a infect prs de 855 244 machines dans le monde depuis avril 2004. Le cot pour les entreprises infectes par des virus, pour lanne 2004 selon Computer Security Institute est de lordre de 42 millions USD. Selon F-secure.com il y aurait 4000 virus par jour en circulation. Les vers, chevaux de Troie, bombes logiques sont des codes malveillants de la famille gnrique des virus. Les vers sont des programmes qui se diffusent travers le rseau, le plus souvent indpendamment dune intervention humaine et ont souvent comme finalit de consommer de manire excessive des ressources (mmoire, bande passante) portant atteinte ainsi au critre de disponibilit ou favorisant la prise de contrle distance des systmes infects. Les programmes malveillants qualifis de chevaux de Troie (Troyan horse) sont introduits subrepticement, souvent sous couvert de programmes anodins ou daide, dans des systmes pour en prendre le contrle afin de raliser le vol de temps processeur, laltration, la modification, la destruction des donnes et programmes, des dysfonctionnements, des coutes illicites, mais aussi pour raliser dautres malveillances et servir de relais des attaques ultrieures. Les bombes logicielles (logical bomb) sont des virus qui sactivent lors de la ralisation dvnements particuliers (date anniversaire par exemple) pour porter atteinte au systme dans lequel il se trouve. En revanche, un bogue (bug) dont le terme est dorigine anglaise illustre une erreur de programmation. Par extension dfaut de conception ou de ralisation se manifestant par des anomalies de fonctionnement. En principe, les virus se propagent et sexcutent si lutilisateur les active en excutant les programmes dans lesquels ils rsident. La majorit des virus se sont jusqu prsent propag via les fichiers attachs aux messages lectroniques (email attachement) et activ lorsque lutilisateur double clique dessus et les ouvre.

14 Source: IPA/ISEC Computer virus incident report. Cybercriminalit 37

Guide de la cyberscurit pour les pays en dveloppement

Un grand nombre de programmes malveillants existent sous couvert doutils daide la navigation, la connexion, la personnalisation des services, etc., mais en ralit ils sont pour la plupart des outils de capture dinformations (vol dinformations, capture de mots de passe, de trafic), dappropriation de ressources ou dattaques. Ils permettent de diffuser et de piloter des outils dattaques en dni de service distribu (DDoS). Plusieurs milliers sont actuellement en circulation avec comme finalit le profit financier. Les attaques qualifies de dni de service (DOS Denial of Service) ou de dni de service distribu (DDoS Distributed Denial of Service) sont celles qui portent atteinte la disponibilit des ressources. Elles sont gnralement ralises en sollicitant de manire excessive les services normalement offerts par un serveur, mettant le systme dans limpossibilit de rendre le service pour lequel il est conu (do le nom de dni de service). Du fait du caractre normal de la demande de service, une attaque par dni de service est trs difficile contrer (ce qui met mal linfrastructure est le nombre considrable de requtes sollicites). Elle est dautant plus difficile contrer quelle est ralise partir de plusieurs points ou de systmes (notion dattaque par dni de service distribu). Les vecteurs dintroduction de logiciels malveillants peuvent tre des logiciels gratuits ou en dmonstration, les sites pornographiques ou de jeux, mais aussi le courrier lectronique, le spam et les forums de discussions. Quel que soit leur mode dintroduction, mme sils sont installs aprs un consentement initial ou accord implicite de lutilisateur, ce qui peut tre le cas des adware mais jamais des spyware, leur usage est dtourn. Le plus souvent, ils sexcutent en labsence de consentement des utilisateurs. Ces logiciels collectent et transfrent des donnes linsu de lutilisateur (observation des habitudes de navigation pour des publicits cibles) et peuvent servir dintermdiaires des activits illgales (relais de spam et de phishing par exemple) des fins denrichissement de lentit qui en est lorigine. La dtection dsinstallation de tels logiciels est parfois difficile. De manire gnrale, linternaute ne possde pas les comptences ou les outils ncessaires pour matriser ce risque. Le phishing consiste utiliser la messagerie lectronique pour leurrer et inciter les internautes livrer des informations sensibles exploites ensuite des fins malveillantes (escroquerie et/ou dtournement dinformation). En septembre 2005 plus de 5259 sites de phishing taient actifs, ciblant prs de 110 marques selon le Journal du net 26.01.200515. Le terme phishing est employ pour dsigner une technique qui consiste leurrer les internautes (souvent par le biais dun message lectronique) afin de les inciter livrer des informations sensibles ou personnelles, (gnralement en leur demandant de se connecter sur un site web qui ressemble au site web de linstitution quils connaissent et remplir des formulaires qui sont alors disposition des malveillants). Les informations communiques par linternaute, notamment son identit virtuelle, seront ensuite utilises pour raliser des malveillances escroquerie, fraudes, etc., au nom des internautes leurrs. Par analogie la pche la ligne (fishing) qui se ralise via un hameon et un leurre, la pche lectronique aux donnes sensibles passe par un appt qui amne lutilisateur donner de son plein gr linformation convoite par les malveillants. Bien que la plupart du temps les tentatives de phishing se ralisent par la rception dun message qui semble authentique et qui est cens tre mis par une institution relle avec laquelle linternaute est en contact (poste, banque, commerant, site de ventes aux enchres par exemple), il peut tre ralis par tlphone ou directement par une personne ou encore via le tlphone portable ou une application de messagerie instantane (Instant Messaging, IM).

15 www.journaldu net.com 38 Cybercriminalit

Guide de la cyberscurit pour les pays en dveloppement

II.1.8.3

Tendances

De nos jours, les virus nont plus pour objectif principal la destruction massive et gratuite de donnes. Ils deviennent pragmatiques et sont orients vers la recherche de gains. Leur finalit est bien plus intelligente qu leur origine et leur capital embarqu leur permet de raliser des fraudes. Les virus deviennent des vecteurs de ralisation de la criminalit financire au service le plus souvent, de la criminalit organise et constituent des moyens denrichissement considrable pour leur auteur. Pour ce qui concerne par exemple laugmentation du spam et des nuisances associes, le CLUSIF16 a relev quAOL aurait filtr 500 milliards de messages de spam en 2003 et que le spammer le plus prolifique du monde, rvl en dcembre 2003 par lassociation anti-spam Spamhaus17, aurait envoy 70 millions de messages lectroniques en un seul jour! Toujours selon le CLUSIF, aux Etats-Unis, en mai 2003 le Buffalo spammer a t condamn payer une amende de 16,4 millions USD au fournisseur de service internet Earthlink, pour avoir envoy 825 millions de messages non sollicits. Selon Ferris Research le spam aurait cot au monde des affaires en 2003, 2.5 milliards USD aux Europens et 8.9 milliards USD aux Amricains. Ajout aux 500 millions USD investis par les fournisseurs de service pour bloquer le spam, cet usage abusif de la messagerie lectronique devient un vritable problme que lon ne peut plus ignorer. Outre les pertes directes conscutives une fraude, il faut considrer les cots engendrs par une interruption de service, entranant une non continuit des oprations, une perte de volume de ventes, les dommages collatraux, la perte dimage, de rputation, etc., ainsi que les cots relatifs la restauration des systmes dans leur tat oprationnel. Ceci reprsente des sommes non ngligeables pour les organisations cibles par des attaques informatiques. Ainsi, il est remarqu que le nombre dattaques ne cesse de croitre, que les virus informatiques constituent de vritables pandmies. Les phnomnes dusurpation didentit prennent de lampleur et deviennent de plus en plus sophistiqus, comme dailleurs les fraudes, escroquerie et diverses formes de chantage qui sont des ralits quotidiennes du cyberespace. Cela affecte tout le monde et touche tous les secteurs dactivit indpendamment des barrires gographiques ou temporelles. Touts, les systmes, toutes les plateformes matrielles et logicielles, tous les systmes dexploitation, sont touchs sans exclure les systmes permettant la mobilit des utilisateurs (ordinateurs et tlphone portables).

II.1.9
II.1.9.1

Principaux dlits favoriss via l'internet


Escroquerie, espionnage et activits de renseignement, trafics divers, chantage

Tous les crimes et dlits communs (racket, traitent des tres humains, escroquerie, vol, etc.) que les organisations criminelles commettent, sont susceptibles de bnficier de l'utilisation des nouvelles technologies de linformation et notamment de l'internet. De manire gnrale, le service de mise en relation offert par le rseau internet favorise lensemble des trafics possibles que cela soit relatif au trafic darmes ou celui dtres humains, aux escroqueries (atteintes contre des biens, atteintes des systmes et infrastructures informatiques, vol de donnes, atteintes au droit dauteur, etc.). L'internet permet aux escrocs de svir selon diverses modalits. Il y a tous ceux qui usurpent une identit afin de bnficier de prestations sans avoir les rmunrer. Leur outil de travail est souvent le logiciel de carding qui permet de crer de numros de carte bancaire parfaitement valides bien que ne correspondant aucun compte rel. Il suffit ensuite d'acheter en ligne et de se faire livrer une adresse

16 CLUSIF Club de la Scurit des Systme dInformation Franais www.clusif.asso.fr 17 Association Spamhaus: www.spamhaus.org Cybercriminalit 39

Guide de la cyberscurit pour les pays en dveloppement

de complaisance que l'on utilisera une seule fois. Le cot sera support par le systme bancaire ou le commerant. Lutilisateur final est aussi concern lorsque son numro de carte de crdit a t livr par un pickpocket, ou un commerant indlicat, un rseau spcialis. Une autre famille d'escrocs est constitue par tous ceux qui proposent des prestations inexistantes (vente de diplmes, de passeports diplomatiques d'Etats imaginaires, vente aux enchres de produits inexistants, etc.). De mme, sont facilites les activits despionnage et de renseignement puisquil est devenu ais d'intercepter illgalement, des informations transfres sur l'internet. Remarquons que l'utilisation systmatique de moyens de communication et de scurit informationnelle comme le chiffrement, par des terroristes professionnels, peuvent aussi amliorer leur propre scurit en limitant la quantit d'information susceptible d'tre rcupre par la police. L'internet est un puissant medium qui favorise la diffusion de mthodes permettant la ralisation de crimes et de dlits, ce qui facilite pour certains le passage lillgalit.
II.1.9.2 Atteintes aux personnes

L'internet permet des communauts virtuelles clandestines, de se constituer autour de pratiques rigoureusement punies par la loi. Il peut sagir de pornographie, de pdophilie, ou de snuff movies (films montrant des scnes de violence et de torture ralises sur des victimes, pouvant conduire la mise mort des personnes maltraites). Ce type dactivit est en gnral li la traite dtres humains qui le plus souvent sont des femmes ou des enfants. Les changes de films ou de photos sont beaucoup moins faciles intercepter par la police. De plus, le fait que des serveurs soient localiss dans des pays o les forces de police sont inexistantes ou dpasses ainsi que lusage du chiffrement ou de serveurs IRC (Internet Relay Chat) privs et actifs pendant des dures trs limites, des changes P2P (peer to peer) accroissent la libert daction des criminels. Ces activits illicites tombent sous le coup du droit commun. On peut alors sinterroger si leur commission quasi industrialise et grande chelle, que l'internet ainsi que la mobilit des personnes et biens autorisent, ne les transforment pas en de vritables crimes contre une partie de lhumanit? Atteintes aux personnes. Pour ce qui concerne les atteintes la personnalit, retenons par exemple: Atteinte la vie prive, la reprsentation de la personne, au secret professionnel, aux droits de la personne rsultant des fichiers ou traitements informatiques. Pour ce qui concerne les atteintes aux mineurs retenons la diffusion de messages pornographiques susceptibles dtre vus par des mineurs.
II.1.9.3 Contrefaon

La facilit avec laquelle l'information numrique peut tre reproduite, a contribu l'apparition d'un march de la copie illicite. Cela reprsente un manque gagner de plusieurs dizaines de milliards USD, pour les diffrents diteurs dans les domaines des logiciels, de la musique ou encore du film vido par exemple. Par ailleurs, on constate une augmentation trs importante du nombre de travaux scolaires ou universitaires raliss par simple copie de documents existants sur le web. Les infractions au code de la proprit intellectuelle peuvent tre nombreuses: contrefaon dune uvre de lesprit (y compris logiciel), de dessin, dun modle, dune marque, etc.
II.1.9.4 Manipulation de l'information

La manipulation peut prendre diverses formes, comme par exemple la diffusion de documents internes dune entreprise de manire provoquer sa dstabilisation, envois de courriers lectroniques appelant les destinataires raliser des dons montaires sur des sites contrefaits, etc. Linternet est un outil privilgi pour rpandre des rumeurs ou toute forme dintoxication. Il favorise galement les infractions de presse, la provocation aux crimes et dlits, lapologie de crimes contre lhumanit, apologie et provocation au terrorisme, provocation la haine raciale, ngationnisme, diffamation, injure, etc.
40 Cybercriminalit

Guide de la cyberscurit pour les pays en dveloppement

La Figure II.5 donne quelques exemples de dlits facilits par l'internet.


Figure II.5 Exemples de dlits facilits par l'internet
Crimes et dlits contre les personnes Atteintes la personnalit Atteinte la vie prive Atteinte la reprsentation de la personne Dnonciations calomnieuses Atteinte au secret professionnel Atteinte aux droits de la personne rsultant des fichiers ou des traitements informatiques Atteintes aux mineurs, etc. Crimes et dlits contre les biens Escroquerie Atteintes aux systmes informatiques Infraction de Presse

Provocation aux crimes et dlits Apologie des crimes contre lhumanit Apologie et provocation au terrorisme Provocation la haine raciale Ngationisme Diffamation Injures

Infraction au code de la proprit intellectuelle Contrefaon dune uvre de lesprit (y compris logiciel) Contrefaon dun dessin ou dun modle Contrefaon de marques Participation la tenue dune maison de jeux de hasard (cybercasino)

II.1.9.5

Rle des institutions publiques

Les institutions publiques ont plus que jamais le besoin de jouer leur rle traditionnel de poursuite et de rpression des fraudes et des dlits. Elles devraient aussi tre actives en matire de sensibilisation et dinformation de la population. Il serait notamment utile de pouvoir disposer dlments de rfrence relatifs la protection des personnes et des biens lors de lusage de linternet. De plus, il serait dangereux de laisser les forces de police prendre un retard dans le domaine technologique. En effet, un ventuel effort de rattrapage aprs quelques annes aurait non seulement un cot financier direct, sous forme dinvestissements dans de nouvelles infrastructures, mais aussi et surtout un cot social par laccroissement de lemprise des structures mafieuses ou assimiles sur la socit, avec tous les risques de dstabilisation que cela comporte. Toutefois, laccroissement excessif de la prsence policire sur le rseau nest pas forcment la meilleure des choses et peut entrer en conflit avec les besoins de confidentialit des changes et de respect de la sphre prive des individus.

II.1.10

Incidents de scurit et chiffre noir de la cybercriminalit

Il convient de remarquer que peu de statistiques relatives la cybercriminalit sont disponibles. Il sagit dun nouveau champ dexpression de la criminalit o peu daffaires sont reportes la police. De plus, ces infractions se perptuent au niveau mondial; or les lgislations pnales sont nationales, il est alors parfois difficile de mettre en commun des statistiques traitant de dlits dont la qualification peut varier dun pays un autre. Ainsi par exemple lorsquun systme informatique est utilis afin de raliser une transaction financire frauduleuse aprs usurpation des paramtres de connexion dun utilisateur: est-ce un crime informatique ou un crime financier?
Cybercriminalit 41

Guide de la cyberscurit pour les pays en dveloppement

Nanmoins, la mise en place par exemple, aux Etats Unis de Computer Investigation and Infrastructure Threat Assessment (CITA) squads dcentraliss et coordonns par le National Infrastructures Protection Center (NIPC) relve indirectement lampleur de la cybercriminalit. Le nombre dincidents de scurit rapports au CERT18 continue de progresser depuis le dbut des annes 2000 et le nombre dattaques dclares aux autorits judiciaires tend galement augmenter au cours des annes, ce qui contribue une meilleure connaissance et prise en compte de la criminalit informatique. Lanne 2003 a t marque par laugmentation significative du volume du spam, qui ne se limite plus linternet mais touche galement les SMS, et par larrestation et la condamnation de spammers. Des oprations de police denvergure que cela soit aux Etats Unis (opration E-Con en mai 2003, Cyber-Sweep en octobre 2003 quen Europe (Espagne, Italie, France, GB, etc.) montrent que les autorits ragissent et sadaptent ce nouveau contexte criminel. Larrestation et la condamnation de quelques auteurs de virus ou de spam dmontrent la volont de restreindre ces nouvelles formes de nuisance. Toutefois, le nombre de condamnations reste trs marginal au regard de limportance quantitative du spam et des virus circulants journellement19. Le chiffre noir de la cybercriminalit est difficile apprhender. Seulement 12% des cybercrimes seraient connus des instances de justice et police et du grand public20. Il existe une relle difficult obtenir un tat des lieux raliste de la criminalit informatique, ce qui constitue un vritable obstacle lanalyse du phnomne et contribue la mconnaissance de son ampleur. Le manque de statistiques officielles provient en partie du fait que les organisations:

ne souhaitent pas forcment communiquer sur les malveillances subies; ignorent quelles sont victimes dune malveillance, notamment pour toutes attaques passives (dtournement transparent de donnes, de flux, coutes clandestines, introduction non dtecte dans des systmes, etc.), ou en prennent conscience qu posteriori lorsque toute action de raction devient obsolte; ne savent pas grer une situation de crise; nont pas une confiance suffisante dans les instances de justice et police et dans leur comptence pour traiter ce type de problme; prfrent faire justice elles mmes.

Lexpertise des attaquants, la sophistication et lefficacit des attaques, les botes outils, les outils dattaques ainsi que le nombre dattaques ne cessent de crotre. Ce dynamisme induit une complexit croissante du phnomne matriser. Sans une volont politique forte et une responsabilit de tous les acteurs au niveau international et un partenariat efficace des secteurs privs et publics, toute mesure de scurit, quelle soit dordre technologique ou lgislative, ne constituera quune approche insuffisante et parcellaire de la scurit qui sera donc inefficace la matrise de la criminalit informatique.

18 CERT Coordination Center, Carnegie Mellon University (http://www.cert.org) 19 85 059 virus connus ont t recenss en dcembre 2003 par lInformation Technology Promotion Agency Information Security Center (IPA/ISEC Japon) Computer Virus Incident Reports. 2004. www.ipa.go.jp/security/english/virus/press/200401/virus200401-e.html 20 Vladimir Gobulev Computer crime typology January 09, 2004 Computer Crime Research Center www.crime- research.org/articles/Golubev1203/ 42 Cybercriminalit

Guide de la cyberscurit pour les pays en dveloppement

II.1.11

Se prparer la menace dorigine cybercriminelle: un devoir de protection

Il faut se prparer la menace dorigine cybercriminelle qui un jour ou lautre se concrtisera. Il sagit dorganiser la protection et la dfense des valeurs en prenant en considration la menace du risque criminel lors de la dfinition de la stratgie de scurit. Il est parfois difficile didentifier les acteurs de la cybercriminalit, leurs modalits daction et leur motivation, mais il est constat que les organisations criminelles agissent gnralement de manire opportuniste et sattaquent plus volontiers aux acteurs vulnrables. Ne pas devenir une cible prioritaire de la cybercriminalit pour une organisation, est possible dans la mesure ou lorganisation protgera efficacement, c'est--dire mieux que les autres, son infrastructure informatique et sortira de la logique ou la mise en place de la scurit se limite avoir le mme niveau dinscurit que ses concurrents. Le risque cybercriminel est alors transform en levier pour raliser une scurit de qualit. En revanche si lorganisation est considre, par les acteurs classiques de la criminalit, comme tant une source de richesse ou un symbole dtruire, elle sera lobjet dattaques cibles. La destruction par des actes terroristes est alors envisageable pour ce qui concerne le deuxime cas. Une stratgie de protection et de dfense appropries doit alors tre mise en place. Toutefois, les outils classiques de lassurance et de la gestion de risques sont de peu defficacit pour le risque dorigine criminel, car certains ne peuvent pas tre vits moins de ne pas tre connect l'internet. Le risque criminel possde une dimension globale et touche dans leur intgralit (actionnaires, dirigeants, personnel, outil de production, etc.) les institutions. Celles-ci doivent savoir prserver leur intgrit face au risque criminel, comme elles savent se protger des risques de corruption par exemple. Elles doivent tre rentables et compenser le manque gagner engendr par le risque cybercriminel et le cot des mesures mettre en place pour le matriser. Un modle conomique doit alors tre pens pour supporter de manire optimale le cot de la protection des infrastructures, de la scurit des systmes, rseaux, donnes et services, ralises au dtriment du dveloppement conomique, par ceux qui partagent la valeur que les organisations crent. La prise de conscience de la fragilit du monde numrique et de la non-matrise totale non seulement des technologies et infrastructures informatiques et tlcoms mais aussi des solutions de scurit commercialises, doit nous faire poser la question fondamentale de la dpendance vis--vis de technologies que nous ne matrisons pas. Jusquo dsirons-nous tre dpendants dun fournisseur, dun pays, dun administrateur? Le premier lment de la matrise du risque cybercriminel passe avant tout par: repenser la relation aux nouvelles technologies et aux fournisseurs; lexigence dune garantie de scurit; la responsabilit de lensemble des acteurs. Avant de mettre en place des mesures classiques de scurit par une dmarche de prvention protection dfense, protgeons les ressources sensibles ou critiques dune organisation en repensant tout dabord leur relation aux nouvelles technologies. Exigeons: des produits de qualit dont le niveau de scurit puisse tre contrlable et vrifiable; que la scurit ne soit plus ralise dans lobscurit, quelle soit transparente; que la scurit ne relve plus uniquement de la responsabilit des utilisateurs mais aussi des intermdiaires techniques responsabilit juridique des professionnels (concepteurs de programmes, fournisseurs daccs, etc.); quun minimum de scurit soit intgr en mode natif dans les solutions technologiques (notion de produits surs). Au-del des proccupations des organisations, face la synergie et la convergence du crime organis, du crime conomique et du cybercrime, une rponse complte, multilatrale et transnationale est apporter pour renforcer la confiance des acteurs conomiques envers les technologies de linformation et diminuer les opportunits criminelles.
Cybercriminalit 43

Guide de la cyberscurit pour les pays en dveloppement

Cette rponse doit satisfaire aux besoins de scurit nationale, des organisations et des individus. Elle doit contribuer limiter un niveau acceptable la cybercriminalit, tablir la confiance dans le monde numrique, minimiser le risque de corruption et de menace des pouvoirs publics.

Chapitre II.2 Cyberattaques


II.2.1 Caractristiques des cyberattaques

Plusieurs manires de dtourner les possibilits offertes par les technologies de linternet existent. Elles sont le plus souvent fondes sur lusurpation de paramtres de connexion, de mots de passe dayant droits, ainsi que sur le leurre et lexploitation de failles et de vulnrabilits des technologies.

II.2.2

Appropriation de mots de passe des utilisateurs pour pntrer des systmes

Les principaux moyens qui permettent dobtenir des paramtres de connexion dayants droits pour sintroduire dans des systmes sont les suivants: Obtention directe: le mot de passe est vident (prnom de la personne, du conjoint, de ses enfants, dates de naissance, etc.), le mot de passe est donn directement par lutilisateur au malveillant. Obtention par leurre de lutilisateur (notion de social engineering): le fraudeur se fait passer pour un administrateur et demander pour des raisons techniques, les mots de passe des utilisateurs qui dans la majorit des cas, les donnent. Obtention par coute du trafic: le fraudeur intercepte, coute les donnes transmises en clair par les protocoles de communication (coute passive (sniffing) surveillance du trafic rseau (monitoring)). Obtention par un logiciel: un cheval de Troie est introduit dans le poste de travail dun usager et enregistre son insu ses paramtres de connexion des systmes distants. Obtention par accs au fichier de sauvegarde des mots de passe. Obtention par dchiffrage (cracker) des mots de passe chiffrs. Obtention par observation des utilisateurs par activation des priphriques multimdia pour enregistrer leurs paramtres de connexion.

Une fois en possession des cls dentre dans les systmes (identification du couple lutilisateur, mot de passe), il est ais de les pntrer et deffectuer toutes sortes doprations de lecture ou dcriture. Lenjeu pour le hacker est alors de ne pas se faire dtecter et de ne pas laisser la trace de sa prsence dans les systmes visits.

II.2.3

Attaque par dni de service

Une attaque conduisant un dni ou refus de service peut tre ralise en sollicitant excessivement des ressources. Ne possdant pas la capacit de traiter un tel afflux de demandes, les systmes cibls, surchargs par un trop grand nombre de requtes, seffondrent et deviennent indisponibles. Elles peuvent tre perptres en tirant parti des failles de leur systme dexploitation et utiliser par exemple ses caractristiques internes, notamment celles de leur gestion de certaines zones tampon (buffer overflow attack) entranant des dysfonctionnements graves pouvant conduire larrt des systmes. Une attaque par inondation de messages (e-mail bombing) qui consiste submerger la bote lettres lectronique dun utilisateur peut entraner un dni de service.
44 Cyberattaques

Guide de la cyberscurit pour les pays en dveloppement

II.2.4

Attaque par modification de page web

Une attaque par modification de la page daccueil dun site web (defacement attack) est ralise en substituant une page dun site par une nouvelle, dont le contenu (pornographique, politique, etc.) est variable selon la motivation des attaquants. Une variante de ce type dattaque, consiste rediriger lutilisateur vers un faux site, ressemblant exactement celui auquel il sest initialement connect, afin de lui soustraire par exemple son numro de carte bancaire. Ce type dattaque est mis en uvre lors doprations de phishing. Les contenus de sites dinformation peuvent galement tre modifis des fins de dsinformation (pour influencer le cours dactions, dstabiliser, manipuler lopinion publique, etc.). Ces attaques smantiques (semantic attack) qui touchent au sens mme des informations, relvent de linfoguerre (infowar).

II.2.5

Attaques bases sur le leurre et le dtournement du mode opratoire des protocoles

Tous les protocoles de la famille TCP/IP (Transmission Control Protocol/Internet Protocol) peuvent tre dtourns et mis en uvre pour porter atteinte la scurit de systmes. Il en est de mme des protocoles et mcanismes qui contribuent lacheminement des donnes au travers du rseau. Ainsi, par exemple, lors de session de travail entre un client et un serveur, un vol de session TCP peut exister. En effet, le protocole TCP (Transmission Control Protocol) pour sexcuter, tablit une connexion logique entre les deux correspondants et supporte lchange de donnes applicatif entre ces derniers. Or, pour mettre en relation les applications distribues, TCP utilise des numros de port (port number) ou identifiants logiques des applications. Certains sont spcifiques et rservs des programmes particuliers et bien connus des utilisateurs; dautres sont affects dynamiquement lors de la connexion selon un algorithme dtermin. Une attaque par numro de port TCP consiste deviner ou prdire les prochains numros de ports affects lchange de donnes pour les utiliser la place de lutilisateur normal et se substituer lui. Ainsi, on peut passer des firewalls et tablir une connexion scurise entre deux entits (lentit pirate et lentit cible). Bien sr, lentit originelle qui a t substitue ne peut pas communiquer avec lentit distante; il suffit alors, de lui transmettre un message lui signifiant par exemple que le systme sollicit est inactif. Le User Datagram Protocol (UDP) est un protocole de niveau 4 (Transport) sexcutant en mode non connect. Il constitue une alternative lusage du protocole TCP pour le transfert rapide dun petit volume de donnes. Les communications UDP ne font lobjet daucun contrle. Le protocole UDP neffectue pas de contrle didentification, de contrle de flux et de contrle derreur, de ce fait nimporte qui peut utiliser une adresse IP dun interlocuteur autoris se connecter un systme et sen servir pour le pntrer. Des vols de sessions UDP peuvent galement avoir lieu sans que les serveurs dapplication ne sen rendent compte Par ailleurs, il est ais, quand on connat le mode opratoire des diffrents protocoles, qui est public, de dtourner leur usage, de gnrer de faux paquets pour surcharger le rseau par exemple et linonder pour entraner des dnis de service. Ainsi, on touche au critre de scurit relatif la disponibilit du rseau et des services. Les dlinquants informatiques savent trs bien tirer parti des protocoles et de leur limites pour: paralyser le rseau; rediriger des paquets IP vers une fausse destination (la leur par exemple); augmenter considrablement la charge des systmes en leur faisant traiter, en vain, un grand nombre de messages non significatifs; empcher un metteur denvoyer des donnes; contrler le flux dmission des paquets, ce qui a galement des consquences sur le trafic support par le rseau et porte atteinte ses performances (fiabilit, sret de fonctionnement).
Cyberattaques 45

Guide de la cyberscurit pour les pays en dveloppement

De manire gnrale, les attaques au niveau du routage se basent sur la mystification des routeurs, des passerelles et des destinataires, en leur fournissant de fausses informations dadressage qui permettent de dtourner les donnes. En utilisant par exemple certaines facilits optionnelles du protocole IP qui permettent de dfinir la route, cest--dire de spcifier les adresses des systmes intermdiaires par lesquels un paquet doit passer, et en falsifiant ces adresses, un fraudeur peut aisment rediriger des paquets vers une destination de son choix. Outre le fait que les attaquants savent tirer partie du mode opratoire des protocoles de communication, ils savent galement exploiter les caractristiques des systmes dexploitation et de leur mode de fonctionnement. Ainsi, des dpassements de capacits de certaines zones tampon des systmes (buffer overflow attack) entranent des dysfonctionnements graves pouvant conduire leur arrt. Les cibles de ce type dattaque sont, bien entendu, tous les systmes jouant un rle important dans la ralisation de services, que cela soit pour lacheminement des donnes comme les routeurs, ou la gestion des noms et des adresses comme les serveurs de noms par exemple. La plupart des attaques dont sont lobjet les sites web sont celles qui les rendent indisponibles et qui peuvent tre perptres par lexploitation des failles de leur systme dexploitation.

II.2.6

Attaques contre les infrastructures critiques

Les infrastructures critiques essentielles au bon fonctionnement dune socit (nergie, eau, transports, logistique alimentaire, tlcommunications, banque et finance, services mdicaux, fonctions gouvernementale, etc.), voient leur vulnrabilit augmente par un recours accru aux technologies de l'internet qui les rendent accessibles depuis le rseau des rseaux. De plus, il faut souligner limportance particulire de la vulnrabilit des systmes de production et de distribution dlectricit. Ils constituent une infrastructure vitale, donc critique, dans la mesure ou elle conditionne le fonctionnement de la plupart des autres infrastructures. La complexit et le caractre rparti des relations entres les diffrentes infrastructures critiques est la fois source de force et de vulnrabilit. Il est fondamental de scuriser les passerelles vers linternet des rseaux de gestion de ces infrastructures et de mettre en place au niveau rgional ou national, des organismes chargs de la protection des infrastructures critiques. Leur mission premire est de coordonner la conception et la mise jour des plans de protection de chacune des infrastructures. En effet, la cohrence et la compatibilit de ces plans et solutions de scurit est primordiale en cas de crise touchant simultanment plusieurs dentre elles.

II.2.7

Mode de droulement dune cyberattaque

La Figure II.6 prsente les diffrentes phases de droulement dune attaque21. La premire phase de collecte dinformations et de recherche de vulnrabilit dun systme cible a pour objet de rcolter le maximum dinformations sur le systme cibl afin de les exploiter. Cela consiste connatre les mcanismes et niveaux de scurit en vigueur concernant lidentification, lauthentification, le contrle daccs, la cryptographie, la surveillance et identifier les failles techniques, organisationnelles, humaines de lenvironnement. Lattaquant tirera partie le plus souvent de la navet ou de la crdulit des utilisateurs pour leur soutirer des informations facilitant la cration dune attaque (notion de social engineering).

21 Figure issue du livre Scurit informatique et tlcoms: cours et exercices corrigs; S. Ghernaouti-Hlie; Dunod 2006. 46 Cyberattaques

Guide de la cyberscurit pour les pays en dveloppement

Figure II.6 Phases caractristiques du droulement d'une attaque

Phase de social engineering Phase 1 Collecte dinformations Recherche de vulnrabilits Savoir-faire et exploitation des informations recueillies et des failles

Phase 4

Exfiltration

Intrusion
Phase 2

Failles technologiques, de conception, de configuration, etc.

Phase 3 Cration dune attaque Problmes scuritaires

Leurres

Usurpation de mots de passe

Pertes directes et indirectes

De plus, le fraudeur semploiera dtecter et exploiter les failles de scurit connues mais non encore rpares (non patches) et utiliser les outils disponibles (notions de bibliothques dattaques ou de boites outils dattaques) pour sintroduire dans les systmes. La phase dexfiltration a pour objectifs principaux de faire en sorte que lattaque ne soit pas dtecte et que lattaquant ne laisse pas de trace pouvant servir son identification. Pour contribuer cela, il semploiera rester anonyme, utiliser des alias (pseudonymes), usurper lidentit numrique dutilisateurs, ou encore brouiller les pistes en passant par plusieurs systmes intermdiaires ou relais.

Cyberattaques

47

SECTION III
APPROCHE TECHNOLOGIQUE

Guide de la cyberscurit pour les pays en dveloppement

Chapitre III.1 Infrastructures de tlcommunication


III.1.1 Caractristiques

La grande couverture gographique du rseau tlphonique a fait de lui un rseau prfrentiel desservant un grand nombre dutilisateurs. Son infrastructure permet de lutiliser aujourdhui, non seulement pour transporter des donnes vocales, mais galement des donnes informatiques. Ainsi, il est possible, condition de disposer des interfaces adaptes, de raccorder des ordinateurs via le rseau tlphonique. Par ailleurs des points daccs au rseau internet se sont dvelopps ces dernires annes, les cybercafs continuent merger et de plus en plus de pays disposent dune infrastructure de transport plus accessible et performante. Des rseaux cbls sont parfois dploys pour assurer la transmission de canaux de tlvision. Aux infrastructures fixes de tlcommunication, il faut associer celles qualifies de sans fil qui autorisent la mobilit des utilisateurs, technologies faisant appel aux infrastructures satellitaires et spatiales et celles recourant aux infrastructures hertziennes terrestres. Ainsi, ces dernires annes, la tlphonie mobile offre ses services dans beaucoup de pays en dveloppement. La norme GSM (Global System for Mobile communication) sest impose sur plusieurs continents pour la transmission de la voix et ventuellement de petits volumes de donnes. Cest la nouvelle gnration des rseaux mobiles, spcifie selon la norme UMTS (Universal Mobile Telecommunication System) qui, en offrant de meilleures performances de transmission, permet un usage plus extensif du tlphone portable multimdia. Toutefois, lvolution des rseaux GSM, intgrant le service GPRS (General Packet Radio Service), permet daugmenter les vitesses de transmission afin de mieux satisfaire les besoins des applications informatiques sur des rseaux mobiles. Par ailleurs, lirruption des technologies comme le GSM caractrise une mutation tant technologique que comportementale ou conomique. En effet, le monde des mobiles constitue un domaine en pleine expansion, sinscrivant dans un contexte de concurrence mondiale effrne. Il permet galement de pntrer le march des tlcommunications, jusque l rserv aux oprateurs, par un nouveau service, le radiotlphone, tout en construisant une infrastructure rutilisable pour tout transfert de donnes. Quelle que soit la technologie retenue pour dployer des tlservices, les infrastructures de tlcommunication pour les pays en dveloppement doivent permettre: un interfonctionnement numrique banalis (voix, donnes, image) dun ensemble dfini de services de base facilement ralisables, maintenables et de couverture gographique adapte (nationale et internationale). Ceci sinscrivant dans une approche de qualit totale (offre prenne, stable et granulaire dont le choix peut tre rversible moindre cot technique et conomique); et de scurit optimale; une harmonisation technique et commerciale; une protection contre une cartellisation potentielle, pour un dveloppement harmonieux des infrastructures et services, avec une garantie de rgulation active des abus des positions dominantes.

III.1.2

Principes fondamentaux

Un rseau de tlcommunication est constitu dun ensemble collaboratif de ressources informatiques et de transmission offrant des services de communication. Ces services permettent de raliser laccs distant et le partage des ressources informatiques interconnectes, la mise en relation des applications et des personnes, lexcution de programmes distance ainsi que le transfert dinformations. Disposer dune infrastructure de communication performante, reliant et autorisant la coopration de toutes sortes dquipements, dapplications informatiques et de personnes, quels que soient la distance couvrir, le lieu et la nature des flux dinformation transfrer, est devenu impratif pour laccomplissement des activits conomiques.
Infrastructures de tlcommunication 51

Guide de la cyberscurit pour les pays en dveloppement

Les rseaux se distinguent le plus souvent selon plusieurs critres parmi lesquels on peut noter la couverture gographique, la topologie22, la technologie mise en uvre et les applications supportes, le mode de fonctionnement, le type de support de transmission (filaire, non filaire), leur nature prive ou publique, etc. Historiquement, les premiers rseaux furent des rseaux grande distance23 (rseaux tlphoniques, tlex, Transpac, internet, etc.). Cest avec larrive des micro-ordinateurs (dbut des annes 80) que sont apparus les rseaux locaux24. Depuis quelques annes, ces distinctions tendent sattnuer dans la mesure o les rseaux sont relis entre eux. Un rseau local, par exemple, peut sinterconnecter dautres et devenir un rseau tendu. Par ailleurs, les rseaux ne sont plus ddis au support dun seul type dapplication, mais permettent de transfrer la fois de la voix, des donnes informatiques et des images vido (notion de rseau multimdia). Un rseau peut tre priv, propre une organisation qui sen rserve le droit exclusif dutilisation, ou public. Dans ce cas, les services de tlcommunication sont offerts des personnes ou institutions diffrentes, selon certaines modalits dabonnements. Les principales technologies de transmission utilises pour raliser des rseaux grande distance sont les technologies TCP/IP, le relais de trames (Frame Relay) ainsi que ATM (Asynchromous Transfer Mode). Pour ce qui concerne le march des rseaux locaux dentreprise, la technologie prpondrante est fonde sur Ethernet et ses dclinaisons haut dbit (Fast Ethernet, Ethernet commut). Dans le domaine des tlcommunications, le transport optique et la technologie de commutation ATM ont marqu une tape dans lvolution des infrastructures et des artres de transmission. Ils autorisent des transferts haut dbit et de qualit, une allocation dynamique de bande passante, un dbit variable et le multi-usage.

III.1.3
III.1.3.1

Elments constitutifs des rseaux


Supports dinterconnexion

Pour relier des ordinateurs entre eux et les mettre en rseau, des supports de transmission sont ncessaires. Selon leur nature, on distingue les supports matriels (paires de fils torsads, cbles coaxiaux, fibres optiques) des supports immatriels (faisceaux hertziens, ondes infra-rouges). Ces diffrents supports ont tous des caractristiques spcifiques dterminant leur fiabilit et leur capacit transmettre des quantits dinformation plus ou moins importantes, diffrentes vitesses. Le dbit autoris sur un support dinterconnexion est la quantit dinformations transfre durant un laps de temps donn. Il sexprime en kilo, mga, ou encore trabits par seconde (100 Mbit/s par exemple). Il est proportionnel la bande passante du support de transmission (bandwith) qui exprime la plage de frquences dun signal que le support peut laisser passer sans modification.

22 Lorganisation des liens dinterconnexion et la faon dont ils relient les lments dun rseau identifient sa topologie 23 Un rseau grande distance ou WAN (Wide Area Network) est un rseau reliant des ordinateurs rpartis sur un territoire gographique plus ou moins vaste (suprieur 100 km), voire mondial. 24 Un rseau est qualifi de local ou LAN (Local Area Network) lorsquil relie des ordinateurs dans un environnement gographique restreint quelques kilomtres (une dizaine). Un rseau mtropolitain ou MAN (Metropolitan Area Network) est un rseau dinterconnexion de rseaux locaux pouvant appartenir des entits diffrentes et dont la couverture gographique nexcde pas 100 km. Une nouvelle terminologie est en passe dmerger pour identifier les diffrents types de ressources mises en rseau ou encore pour distinguer un domaine dapplication particulier. Ainsi, par exemple on trouve dans la littrature spcialise les sigles suivants: HAN (Home Area Network), rseau interconnectant dans une maison des quipements tlcommandables (four, vido, dispositifs lumineux et de chauffage, etc.), CAN (Car Area Network), SAN (Storage Area Network), etc. 52 Infrastructures de tlcommunication

Guide de la cyberscurit pour les pays en dveloppement

III.1.3.2

lments de connectique

Le type de raccordement, ou lment de connectique mettre en place entre un support de transmission et un ordinateur pour associer ces deux lments, dpend du type de support et du mode de transmission utiliss. Ce botier de raccordement ou interface rseau, rsout les problmes de connectique et adapte le signal mis ou reu par lordinateur au signal transmissible sur un support. Par exemple, modem (MOdulateur/DEModulateur) interface un ordinateur, qui est une machine digitale traitant des signaux numriques, avec un support de transmission tel quune ligne tlphonique analogique qui transmet des signaux sous forme continue25. Tout lment lectronique est thoriquement connectable en rseau, sil dispose dune interface de raccordement matrielle et logicielle approprie.
III.1.3.3 Machines spcialises et serveurs dinformation

Outre les systmes des utilisateurs qui permettent daccder un rseau et les ordinateurs ddis la gestion et au traitement des applications (machines htes ou host et serveurs dinformations), des ordinateurs de traitement des communications constituent linfrastructure de transport dun rseau. Ils assurent une ou plusieurs fonctions propres la gestion et la ralisation des tlcommunications (optimisation et partage des ressources, acheminement des donnes, gestion des adresses, des noms, interconnexion, etc.). Ce sont, par exemple, des routeurs, multiplexeurs, concentrateurs, commutateurs ou des passerelles dinterconnexion. Pour communiquer, il faut transmettre linformation de manire fiable selon des modalits dchange satisfaisantes pour les correspondants. En effet, les systmes interconnects par les rseaux de tlcommunication sont a priori diffrents. Pour quils puissent dialoguer, ils doivent utiliser le mme rfrentiel de communication, cest--dire le mme langage et respecter des rgles dchange communes. Par analogie, deux individus de langue maternelle diffrente dsirant schanger des informations se mettront daccord sur la langue employer. Lun fera peut-tre leffort de parler la langue de lautre ou ils utiliseront une troisime langue connue des deux. Si cette conversation initiale sintgre une tierce personne, puis une quatrime et une cinquime, etc. parlant dautres langues, lchange de donnes risque de devenir difficile raliser sil faut traduire une langue dans une autre pour chaque paire dinterlocuteurs. Il est alors prfrable de parler une langue commune et adopte par lensemble des entits communicantes. De manire similaire, les ordinateurs mis en rseau doivent respecter des protocoles de communication identiques et suivre les mmes rgles de dialogue afin de pouvoir communiquer. Ces protocoles sont intgrs dans des logiciels de communication. Ils permettent entre autres de raliser lacheminement correct des donnes et linterfonctionnement des applications et des systmes distants. Des organismes reconnus par lensemble de la communaut industrielle dfinissent des normes internationales ou des standards de fait. LISO (International Organization for Standardization) et lUIT (Union internationale des tlcommunications) sont des organismes internationaux de normalisation qui proposent des normes internationales (normes de la srie X.400 par exemple). Une norme de fait est une norme non issue de ces organismes mais qui est largement adopte par le march. Elle devient alors une norme de rfrence, soit un standard de fait. Ainsi, tous les protocoles provenant de la communaut internet sont des standards de fait.

25 Linformation sortant dun ordinateur, pour transiter sur un tel support, doit tre module. Linformation vhicule sous forme analogique doit tre sa rception dmodule et prsente sous forme digitale lordinateur destinataire. Un mme dispositif, le modem, module et dmodule linformation qui est mise et reue par un ordinateur. Infrastructures de tlcommunication 53

Guide de la cyberscurit pour les pays en dveloppement

Les normes dfinissent, entre autres, la nature des services offrir par les protocoles de communication et spcifient la faon de les raliser. Cela permet la conception de solutions informatiques communicantes. Ainsi, grce lutilisation des mmes types de protocoles dans des machines diffrentes (ou htrognes), la communication entre elles est possible. Luniversalit du rseau internet repose sur lintgration des protocoles de la famille internet dans lensemble des machines relies.

III.1.4

Infrastructure de tlcommunication et autoroute de linformation

On appelle infrastructure de tlcommunication lensemble des moyens de transmission partir desquels des services de communication peuvent tre dvelopps. En effet, on dissocie les voies et les techniques dacheminement des solutions et services de tlcommunication offerts aux clients. Ainsi, par exemple, il est possible dexploiter une infrastructure existante sans en tre propritaire et offrir partir de cette facilit de transport des applications particulires. La disponibilit dquipements multimdias, dinfrastructures de communication performantes, ainsi que la convergence des mondes de laudiovisuel, de linformatique et des tlcommunications, contribuent raliser la notion de chane dinformation entirement numrise. Celle-ci reprsente la continuit numrique existante, tant au niveau de linfrastructure de transport quau niveau du contenu, entre toutes les sources dinformation et ses utilisateurs. Le concept dautoroute de linformation intgre la mise disposition du grand public, via des infrastructures de communication performantes, dun ensemble de services dintrt gnral ou de services marchands. Ils sont censs contribuer au bien-tre des individus et peuvent tre relatifs la sant, lducation, la culture, lamnagement du territoire, ladministration ou la presse, par exemple. De par la nature de certains services offerts via l'internet, ce mdia de communication peut tre considr comme une autoroute de linformation.

III.1.5
III.1.5.1

L'internet
Caractristques gnrales

L'internet sest dploy progressivement depuis les Etats-Unis, en reliant de proche en proche, des systmes informatiques ainsi que des rseaux dordinateurs. Ce dveloppement rticulaire se poursuit. Il dtermine la structure du rseau qui est un rseau composs de rseaux. Il ne peut exister de contrle global de lensemble des infrastructures mises ainsi bout bout, dans la mesure o elles sont indpendantes et appartiennent des organisations diffrentes. Du point de vue matriel, l'internet, comme nimporte quel rseau de tlcommunication ,est constitu de systmes informatiques, dlments de connectique, et de supports de transmission. Parmi les systmes informatiques, on distingue ceux qui permettent daccder au rseau et qui autorisent le dialogue avec lutilisateur final (micro-ordinateur, tlphone portable, pager, agenda lectronique, etc.), ceux qui supportent les applications (serveur web, serveur de bases de donnes, etc.) et ceux ddis aux traitements rseau (routeurs, passerelles dinterconnexion, etc.). Lchange de donnes entre ordinateurs seffectue sur les supports de transmission qui les relient physiquement. Lorsque le point daccs linfrastructure de l'internet seffectue partir dun systme autorisant la mobilit de lutilisateur, comme le tlphone portable par exemple, on parle dinternet mobile.

54

Infrastructures de tlcommunication

Guide de la cyberscurit pour les pays en dveloppement

Le transfert de donnes, leur acheminement ainsi que la communication entre processus informatiques rpartis et utilisateurs humains, sont raliss par des protocoles de communication de la famille TCP/IP26. Ces logiciels dchange, normaliss dans le monde de linternet, constituent une interface de communication qui permet linteroprabilit de systmes de nature diffrente. Pour communiquer dans lenvironnement internet, un ordinateur doit possder ces protocoles de communication ainsi quune adresse IP qui lidentifie de manire unique (Figure III.1).
Figure III.1 Accs internet via un fournisseur d'accs, une suite de protocoles TCP/IP et une adresse IP

Rseau daccs

Internet
Suite de protocoles TCP/IP @ IP

Fournisseur daccs internet

Suite de protocoles TCP/IP @ IP

L'internet dsigne lensemble de linfrastructure de communication mise disposition du public pour communiquer. Lorsquune organisation dsire utiliser de manire prive et restrictive cette infrastructure, elle cre un rseau priv virtuel (VPN Virtual Private Network). Pour des besoins internes, elle peut aussi mettre en uvre les technologies de l'internet et btir un rseau priv ou intranet. Lorsque lintranet est galement ouvert un certain nombre de partenaires (clients, fournisseurs, etc.), il est qualifi dextranet (Figure III.2). Le web (World Wide Web) est, avec la messagerie lectronique, lapplication la plus importante de linternet. A partir de la navigation web, une infinit de services a t dveloppe. La navigation web est possible grce, un logiciel client, le navigateur (browser) implant dans le poste de travail de lutilisateur et qui permet daccder distance des serveurs web. Celui-ci permet de rechercher, consulter, transmettre des informations ou encore excuter des programmes. La notion de surf ou de navigation sur le rseau provient du fait que les documents accessibles via lapplication web sont des hyperdocuments. Cela signifie quils ont t conus, structurs et formats de manire en permettre une lecture non squentielle, en fonction de balises et de liens dtermins leur conception. En activant un lien, on accde une autre partie de document ou un autre document, situ ou non, sur un ordinateur distant. Ainsi on se dplace de site en site en activant ces hyperliens.

26 TCP/IP: Transmission Control Protocol/Internet Protocol. Infrastructures de tlcommunication 55

Guide de la cyberscurit pour les pays en dveloppement

Figure III.2 Internet - Intranet - Extranet

Reseau de partenaires

Reseau dentreprise

Reseau public

Ex tranet

Intranet

I NTERNET Internet

Usage priv
TECHNOLOGIES INTERNET

Usage public

III.1.5.2

Adresse IP et nom de domaine

On accde au rseau internet par lintermdiaire de points daccs grs et contrls par des entreprises spcialises dnommes fournisseur daccs internet (ISP, pour Internet Service Provider). Chaque fournisseur daccs est lui-mme connect au rseau internet par des lignes de tlcommunication permanentes quil partage entre ses diffrents clients. Au-del de ce service de base, il offre gnralement un service de gestion de messagerie lectronique et peut aussi hberger des sites web de ses clients. Pour communiquer sur l'internet, il faut disposer dune adresse internet (adresse IP). Il sagit dune suite binaire de 32 bits, identifiant sans ambigut chaque machine qui communique sur internet27. Une adresse IP est exprime sous sa forme dcimale, constitue par quatre nombres dcimaux spars par des points. Par exemple, ladresse 128.10.2.30 correspond la valeur binaire 10000000.00001010.00000010.00011110. Comme il est impossible de mmoriser des suites de nombres, mme dcimaux, on utilise des noms (plus ou moins mnmotechniques) ou adresses logiques, pour identifier les ressources de lenvironnement internet. Ces adresses IP et ces noms correspondants sont stocks et grs dans des annuaires lectroniques dnomms serveurs de noms, dont limplantation est connue sous le sigle DNS (Domain Name Server). La mise en uvre de communications dans un environnement ouvert ncessite de pouvoir attribuer un identificateur unique dans un domaine de dnomination dtermin. Il sagit de pouvoir identifier les partenaires de la communication (adresses, systmes, processus dapplication, entits, objets de gestion, etc.) ainsi que les outils mis en uvre pour les raliser (protocoles). Pour assurer lunicit des noms au niveau international, il existe des procdures denregistrement, auprs dautorits comptentes, dont le rle est dattribuer un identificateur non ambigu et unique lobjet que lon dsire identifier.

27 Ladresse IP est unique; elle peut tre allou de manire permanente (adresse IP fixe) ou non (adresse IP temporaire). 56 Infrastructures de tlcommunication

Guide de la cyberscurit pour les pays en dveloppement

La norme ISO 9834 a spcifi des autorits denregistrement et les a organises selon une structure hirarchique arborescente. De la racine de larbre partent trois branches aboutissant des nuds distincts de premier niveau qui reprsente le domaine de dnomination de lUIT, de lISO, et dun comit joint ISO-UIT qui constituent les autorits internationales denregistrement. Le niveau immdiatement infrieur lISO autorise entre autres, lenregistrement: des diverses normes ISO (0 standard); des membres de lISO (member-body 2) sous lequel on trouvera lAFNOR (208), lANSI (310); des organisations (organization (3)) sous lequel dpendra par exemple le Dpartement de la Dfense amricaine (DOD) (6) (Figure III.3).

Figure III.3 Autorits et arbre d'enregistrement

Racine UIT (0) ISO (1)

ISO IUT (2) Pays organisation (3) Membres (2) France (250) DOD (6) internet (1)

recommandation (0) a (1) x z (26)

question (1)

standard (0)

ASN.1 (1)

Directory Services (5)

NATO (26)

directory (1)

management (2)

expermental (3)

private (4)

security (5)

mib-II (1)

system (1)

interface (2)

at (3)

ip (4)

icmp (5)

tcp (6)

udp (7)

sysDescr (1)

sysObjectID (2)

sysUpTime (3)

sysContact (4)

sysName (5)

sysLocation (6)

Les noms de domaine gnriques de l'internet sont enregistrs dans cette structure logique d'enregistrement. On ne s'intresse alors qu' la partie de l'arbre d'enregistrement dont le nud constitue la racine des noms de domaines les plus levs qualifis de top-level domains (TLD). Ces derniers identifient principalement des pays indiqus par deux lettres (fr, it, uk, ch, nl, de, etc.) et des domaines fonctionnels comme: .com .edu .org .gov .mil .net .int .biz .info .name organisations commerciales; institutions acadmiques dAmrique du Nord; organisations, institutionnelles ou non; gouvernement amricain; organisations militaires amricaines; oprateurs de rseaux; entits internationales; pour ce qui concerne le monde des affaires; pour tous les usages; pour les individus;
Infrastructures de tlcommunication 57

Guide de la cyberscurit pour les pays en dveloppement

.museum .aero .coop .pro

pour les tablissements dans lesquels sont rassembles et classes des collections d'objets, en vue de leur conservation et de leur prsentation au public; pour l'industrie air transport; pour les coopratives; pour les professions.

lintrieur de ces grands domaines de dsignation, se trouvent des sous-domaines, qui correspondent de grandes entreprises ou dimportantes institutions. LIANA (Internet Assigned Number Authority)28 bas lICANN (Internet Corporation For Assigned Names and Numbers)29 est responsable de lattribution des noms et adresses et doit sassurer de leur unicit. Cette responsabilit de gestion des noms peut-tre dlgue un sous-domaine qui est, d'un point de vue hirarchique, sous son autorit. Enregistrer un nom de domaine consiste insrer une entre dans un annuaire de dsignations. Cela revient crer un nouvel arc dans l'arbre d'enregistrement gr par une organisation habilite. Il en existe plusieurs au niveau international, notamment pour ce qui concerne les domaines.biz,.com,.info, .name,.net,.org. Pour la France, par exemple, lAFNIC30 est lautorit d'enregistrement accrdite (Accredited Registrar Directory) par l'ICANN (Internet Corporation for Assigned Names and Numbers). Cest une association amricaine sur territoire amricain, oprant selon la lgislation amricaine qui possde le pouvoir de lattribution et la gestion des adresses31. Elle contrle ainsi laccs linternet. Ceci pose un rel problme de dpendance des organisations et des Etats vis--vis dune supra-structure trangre qui se veut ouverte sur le reste du monde mais dont le poids des reprsentants non amricains est faible. Le critre de scurit relatif la disponibilit (des infrastructures, services, donnes) qui passe par laccessibilit au rseau internet ne peut tre ni contrl, ni matris par les organisations. Elles sont tributaires pour leur accs linternet, de lattribution des adresses IP et des noms de domaine, dentits qui leurs sont externes. Les annuaires d'enregistrement des noms de domaine peuvent tre vus comme des bases de donnes gres par des serveurs DNS. Une quinzaines de serveurs racine DNS (root servers) sont coordonns par l'ICANN, la grande majorit des serveurs racine se situe sur le territoire nord amricain. Ils grent les noms de domaine et les adresses IP de plus haut niveau (top-levels domains). Cela comprend l'ensemble des domaines prcdemment cits (.org,.com, etc.) et aussi les 244 noms de domaine des diffrents pays (.cn (Chine),.ga (Gabon),.lk (Sri Lanka),.pf (Polynsie franaise), etc.). Des serveurs DNS locaux dits de rsolution (resolvers) possdent une copie des informations contenues dans les serveurs racine. Souvent associs des points stratgiques d'accs au rseau ou lis des fournisseurs d'accs internet (Internet Service Providers ISP), ils permettent de rpondre aux requtes des utilisateurs relatives la traduction d'un nom de domaine en une adresse IP (Figure III.4)32.
28 IANA: www.iana.org/ 29 ICANN: www.icann.org/index.html 30 AFNIC: www.nic.fr 31 Selon lICANN: The Internet Corporation for Assigned Names and Numbers (ICANN) is an

internationally organized, non-profit corporation that has responsibility for Internet Protocol (IP) address space allocation, protocol identifier assignment, generic (gTLD) and country code (ccTLD) Top-Level Domain name system management, and root server system management functions. These services were originally performed under U.S. Government contract by the Internet Assigned Numbers Authority (IANA) and other entities. ICANN now performs the IANA function .
32 Figure issue du livre Scurit informatique et tlcoms: cours et exercices corrigs; S. Ghernaouti-Hlie; Dunod 2006. 58 Infrastructures de tlcommunication

Guide de la cyberscurit pour les pays en dveloppement

Figure III.4 Arborescence de serveurs DNS


Serveurs racine

Excution de la requte possible? OUI


Requte au DNS de niveau suprieur

Excution de la requte possible? NON


Requte au DNS de niveau suprieur

Arborescence de serveurs DNS

Excution de la requte possible? NON

Rsultat

Requte

Rsultat Rsultat

Client DNS

Il est primordial que les adresses, les processus, les systmes impliqus dans la gestion des noms et adresses, dans lacheminement des donns soient disponibles, intgres, fiables et scuriss. Il est de la responsabilit des entits en charge des infrastructures de transport de protger et de grer efficacement leurs environnements de communication.
III.1.5.3 Protocole IPv4

La version 4 du protocole internet (IPv4)33 qui existe depuis lorigine du rseau internet, est encore largement utilise. Ce protocole a pour rle dencapsuler (denvelopper) les donnes transmettre pour constituer des paquets IP qui seront achemins travers le rseau internet jusqu leur destination. Chaque paquet contient entre autres, ladresse IP source du systme metteur et ladresse IP du systme de destination. Lacheminement se ralise de proche en proche chaque systme intermdiaire (routeur) travers selon linterprtation des adresses des paquets et lalgorithme de routage des routeurs. Le protocole IPv4 nintgre aucune fonction, aucun mcanisme permettant doffrir un service de scurit. En effet, IPv4 ne permet pas deffectuer lauthentification de la source ou de la destination dun paquet, ni la confidentialit des donnes quil transporte, ni la confidentialit des adresses IP impliques lors dun transfert dinformations entre deux entits. De plus, le protocole seffectuant en mode sans connexion, ne garantit pas: la remise des donnes (perte possible de donnes); la livraison de donnes au bon destinataire; lordonnancement (squencement) correcte des donnes.

33 IPv4: RFC 0791 www.ietf.org/rfc/rfc0791.txt IPv4 et principaux protocoles de la suite TCP/IP: TCP: RFC 0793 www.ietf.org/rfc/rfc0793.txt UDP: RFC 0768 www.ietf.org/rfc/rfc0768.txt FTP: RFC 0959 www.ietf.org/rfc/rfc0959.txt HTTP version 1.1: RFC 2616 www.ietf.org/rfc/rfc2616.txt Telnet: RFC 0854 www.ietf.org/rfc/rfc0854.txt Infrastructures de tlcommunication 59

Guide de la cyberscurit pour les pays en dveloppement

Le protocole IP de niveau 3 de larchitecture OSI, offre un service non fiable de remise de paquets IP. Il fonctionne en mode dit de best effort, c'est--dire quil fait au mieux en fonction du contexte et la livraison de paquets nest pas garantie. En fait, aucune qualit de service ne lest et il ny a donc pas de reprise sur erreur. Ainsi un paquet peut tre perdu, modifi, dupliqu, fabriqu (forg) ou remis hors squence sans que lmetteur ou le destinataire en soit inform. Le fait quune liaison logique ne soit pas pralablement tablie entre un metteur et un destinataire, signifie que lmetteur envoie ses paquets sans en avertir le destinataire et quils peuvent se perdre, prendre des routes diffrentes, ou arriver dans le dsordre. La prise en compte de ce manque de qualit de service a conduit implanter dans les systmes dextrmit le protocole TCP (Transmission Control Protocol) qui offre un service de transport fiable en mode connect (niveau 4 de larchitecture OSI). Le protocole TCP noffre pas de service de scurit proprement parler.

Chapitre III.2 Outils de la scurit


Assurer la scurit des informations, des services, des systmes et des rseaux consiste raliser la disponibilit, lintgrit, la confidentialit des ressources ainsi que la non-rpudiation de certaines actions, ou lauthenticit dvnements ou de ressources. La scurit des informations na de sens que si elle sapplique sur des donnes et des processus dont on est sr de lexactitude (notion de qualit des donnes et des processus) afin quils soient prennes dans le temps (notion de prennit des donnes et de continuit des services). Les principales solutions de scurit se basent sur la mise en uvre de techniques de chiffrement, disolation denvironnements, sur la redondance des ressources, sur des procdures de surveillance, de contrle, de gestion des incidents, de maintenance, de contrle daccs ou de gestion de systmes. La scurit informatique et des tlcoms est obtenue par une succession de barrires (les mesures de protection) qui augmentent le niveau de difficult que de potentiels attaquants doivent franchir pour accder aux ressources. Elles ne solutionnent pas un problme de scurit, elles le dplacent et font porter la responsabilit de la scurit sur dautres entits. Les solutions de scurit ont besoin dtre protges et scurises afin quelles puissent offrir un certain niveau de scurit (rcursivit de la scurit).

III.2.1

Chiffrement des donnes.

La mise en uvre de techniques de chiffrement permet de raliser la confidentialit des donnes, de vrifier leur intgrit et dauthentifier des entits. Il existe deux grands types de systme de chiffrement de donnes: le chiffrement symtrique ( cl secrte) et le chiffrement asymtrique ( cl publique). Divers algorithmes de chiffrement existent. Quel que soit leur mode opratoire (symtrique ou asymtrique), ils reposent sur lusage de cls. Gnralement leur degr de robustesse est li la capacit grer les cls de chiffrement de manire scurise, la longueur de la cl (la longueur minimale de la cl est fonction du type dalgorithme), de la scurit de la plateforme matrielle et logicielle dans laquelle les algorithmes de chiffrement sont implants et sexcutent.
III.2.1.1 Chiffrement symtrique

Pour chiffrer ou dchiffrer un texte, il faut dtenir une cl et un algorithme de chiffrement. Sil sagit de la mme cl pour effectuer ces deux oprations, le systme de chiffrement est qualifi de symtrique. Lmetteur et le rcepteur doivent possder et utiliser la mme cl secrte pour rendre confidentielles des donnes et pour pouvoir les comprendre, ceci qui pose le problme de la gestion et de la diffusion des cls secrtes (Figure III.5).
60 Outils de la scurit

Guide de la cyberscurit pour les pays en dveloppement

Les principaux algorithmes de chiffrement symtriques sont: DES, RC2, RC4, RC5, IDEA et AES34.
Figure III.5 Le chiffrement symtrique
Cl secrte

Emetteur

Texte en clair (plaintext)

Algorithme de chiffrement symtrique DES, IDEA, AES, Blowfish, RC4, RC5, ..

Texte chiffr (ciphertext)

Rseau non fiable

Texte chiffr

Cl secrte

Destinataire
Algorithme de chiffrement symtrique

Texte en clair

III.2.1.2

Chiffrement asymtrique ou cl publique

Un systme de chiffrement asymtrique est bas sur lusage dun couple unique de deux cls, calcules lune par rapport lautre. Cette bi-cl est constitue dune cl publique et dune cl prive. Seule la cl dite publique peut tre connue de tous, tandis que la cl prive doit tre confidentielle et traite comme un secret. Lmetteur chiffre un message avec la cl publique du destinataire du message et le destinataire le dchiffre avec sa cl prive (Figure III.6). Les principaux algorithmes de chiffrement cl publique, dont le nom est celui de leurs inventeurs, utilisent le plus souvent des cls de longueur variant de 512 1024 bits, voire 2048 bits. Les principaux algorithmes de chiffrement sont les algorithmes: RSA35 (pour R. Rivest, A. Shamir, L. Adelman), Diffie-Hellman36, El Gamal37.
III.2.1.3 Cls de chiffrement

Une cl de chiffrement est le secret du secret. Les cls secrtes des systmes de chiffrement, doivent tre gres de manire confidentielle.

34 Rfrences: 35 RSA: Schneier B, Applied cryptography 1996. Deuxime edition 1996. 36 Diffie-Hellman: www.ietf.org/rfc/rfc2631.txt 37 El Gamal: Schneier B, Applied cryptography 1996. Deuxime edition 1996. Outils de la scurit 61

Guide de la cyberscurit pour les pays en dveloppement

La scurit du processus de chiffrement, repose en grande partie sur la confidentialit et la longueur des cls utilises, sur la robustesse des algorithmes et sur la scurit des plates-formes matrielles et logicielles qui les supportent.
Figure III.6 Le chiffrement asymtrique
Source
Texte en clair (plaintext)

Cl publique du destinataire

Bi-cl Cl publique: pour tous les interlocuteurs Cl prive: pour le propritaire

Algorithme de chiffrement asymtrique

RSA (Rivest, Shamir et Adleman) Diffie-Hellman, El Gamal,

Texte chiffr (ciphertext)

Rseau non fiable

Texte chiffr

Cl prive du destinataire

Algorithme de chiffrement asymtrique

Texte en clair

Destination

III.2.1.4

Infrastructure de gestion de cls

Une infrastructure de gestion de cls IGC, (PKI Public Key Infrastructure) permet de mettre en uvre des systmes de chiffrement asymtrique. Les principales fonctions supportes sont: la gnration dun couple unique de cls (cl prive cl publique), son attribution une entit et la sauvegarde des informations ncessaires sa gestion, archivage des cls, procdures de recouvrement en cas de perte par lutilisateur ou de demande de mise disposition par les autorits judiciaires; la gestion des certificats numriques, cration, signature, mission, validation, rvocation, renouvellement des certificats; la diffusion des cls publiques aux ressources qui la solliciteraient et qui seraient habilites lobtenir; la certification des cls publiques (signature des certificats numriques).
III.2.1.5 Certificat numrique

Un certificat numrique constitue, la carte didentit numrique dune entit (personne morale ou physique) ou dune ressource informatique qui il appartient. Il contient, entre autres, lidentification de son propritaire, la cl publique qui lui est attribue ainsi que lidentification de lorganisme qui la dlivr. La norme X.509 Directory authentification framework propose un cadre architectural pour la ralisation dun service dauthentification bas sur lusage de certificats numriques et spcifie la structure et le format dun certificat numrique. Cette structure normalise est la base de nombreuses solutions du march (Figure III.7).
62 Outils de la scurit

Guide de la cyberscurit pour les pays en dveloppement

Figure III.7 Principaux paramtres d'un certificat numrique selon la norme X.509v3

Version du certificat Numro de srie Algorithme utilis pour signer le certificat Nom de lorganisme qui a gnr le certificat
Le couple numro de srie / nom de lorganisme doit tre unique

Priode de validit Nom du propritaire du certificat Cl publique du propritaire Informations additionnelles concernant le propritaire ou les mcanismes de chiffrement Signature du certificat
Algorithme et paramtres utiliss pour la signature et signature proprement parl

Pour valider le certificat reu, le client doit obtenir la cl publique de lorganisme qui a cr le certificat relatif lalgorithme utilis pour signer le certificat et dchiffrer la signature contenue. A laide de ces informations, il calcule la valeur du condens (rsum ou hash) et compare la valeur trouve avec celle contenue dans le dernier champ du certificat, si les deux valeurs correspondent, le certificat est authentifi. Ensuite, il sassure que la priode de validit du certificat est correcte. Le contrle daccs bas sur les certificats numriques permet la connexion dun nombre important dutilisateurs un serveur donn. Le contrle est bas sur les informations contenues dans le certificat numrique du client. Le serveur fait alors confiance la vracit des certificats et la faon dont ils sont mis, ce qui constitue une brche dans la scurit des systmes, vu quil est possible de corrompre un serveur de certification ou mme de crer un certificat numrique falsifi. En outre, le contrle de validit dun certificat est difficile raliser. En effet, la rvocation des certificats reste une tche trs ardue puisque linformation doit tre transmise tous les partenaires et inscrite dans le CRL (Certificate Revocation List). Cette rvocation doit tre ralise ds quun changement dans le contenu dun certificat survient (lorsque par exemple les informations du certificat deviennent obsoltes, la cl prive de lutilisateur a t corrompue, lutilisateur ne fait plus partie de lentreprise, etc.). La consultation systmatique de cette base de donnes accentue la lourdeur du contrle daccs et rduit la disponibilit des serveurs mme pour les utilisateurs autoriss.
III.2.1.6 Tiers de confiance

Quelle que soit son appellation, tiers de confiance, autorit denregistrement ou autorit de certification, lorganisme qui met en place une infrastructure cl publique, a pour fonction principale de produire des certificats tablissant la valeur de la cl publique, attribue une entit (notion de certificats clients).

Outils de la scurit

63

Guide de la cyberscurit pour les pays en dveloppement

Un client, met une demande denregistrement (demande de certification) auprs dune Autorit de certification (inscription du client via un service web). Des preuves de lidentit du client peuvent tre demandes par le serveur denregistrement selon les procdures didentification et dauthentification mises en place par lautorit. Aprs validation des donnes, le serveur de certification gnre les cls de chiffrement et construit un certificat numrique au nom du client, signe avec sa cl prive le certificat (certification du certificat numrique) et envoie le certificat au client. Ce dernier utilisera la cl publique de lautorit pour sassurer que le certificat est bien produit par lautorit en question. Une Autorit de certification est un tiers de confiance qui dlivre des certificats numriques et qui permet de vrifier la vracit de certaines informations.
III.2.1.7 Inconvnients et limites des infrastructures de gestion de cls

La multiplicit des autorits de certification pose le problme de leur reconnaissance mutuelle, de leur interoprabilit, de la compatibilit des certificats et du champ de leur validit. Toutefois, il nest pas souhaitable de ne disposer que d'une seule autorit mondiale de certification, du fait du pouvoir tendu et excessif qui lui serait de facto confr, et du fait de limportance de linfrastructure mettre en place. Il existe un rel manque de confiance des utilisateurs dans les autorits de certification qui sont le plus souvent trangres (valeur des certificats? garantie de scurit? protection des donnes personnelles?, etc.). Les limites inhrentes aux infrastructures de gestion de cls rsident dans: la complexit, le cot du dploiement et de la gestion dune infrastructure; le haut niveau de scurit ncessaire la ralisation des services des infrastructures de gestion de cls; la validit, la dure de vie, la rsiliation des certificats. Parmi les points relatifs la mise en uvre de services offerts par une infrastructure de gestion de cls qui peuvent poser problme, retenons: Problme politique: la majorit des infrastructures PKI Autorits de certification, appartient des entits amricaines (USA). Cela soulve la question de la performance et la question de la confiance dans ces entits qui du fait des services offerts: cration, sauvegarde, distribution des cls prives et publiques, des donnes didentification, notarisation des vnements; du manque de garantie de lusage non abusif des donnes, de la neutralit dans les changes, de moyens de recourt en cas de litige avec lautorit de certification; Problme technologique: les systmes de chiffrement classiques peuvent tre casss, certains certificats numriques nont aucune valeur scuritaire et ne garantissent rien, des fraudes sont possibles, la scurit des infrastructures est assures par des moyens classiques de scurit qui peuvent tre contourns. De plus, lusage dune infrastructure de gestion de cls dplace le problme de la scurit des changes mais ne le rsout pas proprement parler. Problme organisationnel: interoprabilit des infrastructures, dploiement, gestion, maintenance, scurit, complexit, etc.
III.2.1.8 Signature et authentification

Un metteur chiffre avec sa cl prive un message. Toute entit connaissant la cl publique de cet metteur dchiffrera le message, ce qui validera le fait quil a bien t cr laide de la cl prive correspondante. Un document peut tre sign lectroniquement (notion de signature numrique) via un algorithme de chiffrement cl publique. Les actions suivantes sont alors ralises: cration dun message de dclaration didentit qui est la signature (ex. Je mappelle Alpha Tango Charlie) qui est chiffre avec la cl prive de lmetteur et associe au message transmettre; le message et sa signature sont chiffrs avec la cl publique du destinataire et transmis; le destinataire dchiffre le message avec sa cl prive et dtache la signature quil dchiffre avec la cl publique de lmetteur.
64 Outils de la scurit

Guide de la cyberscurit pour les pays en dveloppement

Attention, rien nempche de rutiliser la signature numrique dun message en lieu et place de lmetteur rel, on peut galement constituer une signature numrique la place dun partenaire aprs lui avoir vol sa cl prive.Pour augmenter le niveau de scurit de la signature numrique, celle-ci est construite partir du contenu du message ce qui permet de raliser lintgrit et lauthentification de lmetteur dun message.
III.2.1.9 Intgrit des donnes

Vrifier que les donnes nont pas t modifies lors de leur transfert est possible en y associant un rsum (condens) qui est mis en mme tant que les donnes. Celui-ci est le rsultat dune fonction de calcul applique aux donnes. Le destinataire recalcule avec la mme fonction la valeur du rsum partir de donnes reues. Si la valeur obtenue diffre, il en dduit que les donnes ont t modifies. Le rsum peut tre lui-mme chiffr avant que les donnes ne soient mises ou stockes. Lun comme lautre, les systmes de chiffrement cl symtrique ou asymtrique permettent de savoir si des donnes transmises ont t modifies, car leur dchiffrement devient alors impossible. Cela contribue raliser un contrle dintgrit, mais ne permet pas de sassurer que des donnes nont pas t compltement dtruites. Pour un contrle dintgrit plus performant, on applique au message original une fonction le transformant en une petite suite alatoire de bits qui constitue en quelque sorte son empreinte digitale (digest rsum condens). Une fonction dite fonction digest (ou one-way hash function), gnre un message digest, cest--dire son empreinte digitale, plus courte que le message original et incomprhensible. Celle-ci est ensuite chiffre avec la cl prive de lmetteur et associe au message transmettre. Sur rception du message et de son empreinte, le destinataire dchiffre cette dernire avec la cl publique de lmetteur puis, recalcule partir du message reu avec la mme fonction hash, lempreinte et la compare ensuite avec celle reue. Si le rsultat est identique, le destinataire a ainsi vrifi lidentit de lmetteur et est assur de lintgrit du message. En effet, si le message est altr, mme lgrement, son empreinte est alors considrablement modifie. Par une utilisation conjointe des techniques de chiffrement, de signature et dempreinte digitales, on peut estampiller les messages pour garantir lintgrit des donnes. Ces procdures sont consommatrices de temps processeur et ralentissent de faon non ngligeable les performances dun environnement dexcution.
III.2.1.10 Non-rpudiation

Le service de non-rpudiation consiste prvenir le refus, le dmenti quun message ait t mis ou reu ou quune action, transaction ait eu lieu. Cela permet de prouver par exemple quune entit est lie une action ou un vnement. La non-rpudiation est base sur une signature unique ou sur une identification qui prouve qui a cr le message. Pour assurer ce service, on peut faire appel un algorithme de chiffrement cl publique. On peut galement avoir recours un tiers de confiance pour lui faire jouer un rle de cybernotaire.
III.2.1.11 Limites des solutions de scurit bases sur le chiffrement

La confiance envers les solutions de chiffrement commercialises ne peut tre que toute relative, dans la mesure ou aucune garantie, aucun moyen de vrification ne sont offerts (existence de portes drobes (back door) dans les logiciels?, cls secrtes dupliques, divulgues? ect.). Par ailleurs, aucune preuve nest donne quand au fait que les algorithmes actuellement rputs fiables le seront encore dans un futur proche.
Outils de la scurit 65

Guide de la cyberscurit pour les pays en dveloppement

III.2.2

Protocole IP scuris

La prise en compte des besoins de scurit ont conduit la rvision de la version 4 du protocole internet. Cest galement afin de pouvoir, dune part, disposer dune plage dadresses plus importante et augmenter le nombre dadresses internet disponibles et dautre part, pour pouvoir faire une allocation dynamique de bande passante pour supporter des applications multimdias, que le protocole IP a fait lobjet dune refonte connue sous le nom dIPnG (Internet Protocol next Generation) ou IP version 6 (IPv6)38.
III.2.2.1 Protocole IPv6

En 199439 lIAB (Internet Activity Board)40.adressait les besoins de scurit du protocole IP. La version 6 du protocole IP (IPv6) inclut des facilits dauthentification et de confidentialit. Les principales volutions dIPv6 par rapport IPv4 portent sur les points suivants [RFC 2460]: le support dun adressage tendu et hirarchis; les adresses sont codes sur 128 bits (16 octets) et non plus sur 32 bits (4 octets); la reprsentation des adresses seffectue en nombres hexadcimaux41 spars par des deux points tous les 2 octets et non plus en notation dcimale pointe; (exemple: 0123:4567:89ab:cdef:0123:4567:89ab:cdef); la possibilit de pouvoir faire de lallocation dynamique de bande passante pour le support dapplications multimdias; la capacit crer des rseaux IP virtuels; le support de procdures dauthentification et de chiffrement, via des en-tte options; la simplification des en-ttes des paquets afin de faciliter et acclrer le routage.

Ladoption dIPv6 impose entre autres, la modification du schma dadressage, de gestion des adresses42, la mise en place dans tout lenvironnement internet de systmes supportant IPv6, des systmes fonctionnant avec les deux versions, la synchronisation grande chelle de la migration des versions, etc. Pour toutes ces raisons, la version 6 spcifie en 1995 nest actuellement toujours pas largement implante et aucune incitation gouvernementale ou recommandation internationale ne semble pouvoir imposer ladoption de la version 6 du protocole sur lensemble du rseau. Seules quelques infrastructures prives intgrent IPv6. La mise en uvre du nouveau protocole internet (IPv6) intgrant en natif des fonctions de scurit nest pas courante, aussi, pour rpondre aux besoins de scurit du rseau, une solution intermdiaire dnomme IPSec43, compatible avec IPv6 et IPv4, a t dveloppe et adopte par la communaut internet. LIETF (Internet Engineering Task Force)44 a tabli en 1995 plusieurs documents (RFC 1825 1829) spcifiant les manires de scuriser une infrastructure internet.

38 IPv6: RFC 1883 en 1995, remplace en dcembre 1998 par la RFC 2460 www.ietf.org/rfc/rfc2460.txt 39 RFC 1636: Report of IAB Workshop on Security in the Internet Architecture. February 8-10, 1994. 40 www.iab.org/ 41 Alphabet d'un systme de numration hexadcimal (base 16): 0 1 2 3 4 5 6 7 8 9 A B C D E F 42 RFC 1886 a identifie en 1995 les modifications a effectuer dans les DNS pour supporter IPv6. 43 RFC 2401 www.ietf.org/rfc/rfc2401.txt 44 IETF: www.ietf.org 66 Outils de la scurit

Guide de la cyberscurit pour les pays en dveloppement

III.2.2.2

Protocole IPSec

IPSec permet de rendre confidentiel le contenu des paquets vhiculs par le protocole. IPSec propose des services de confidentialit et dauthentification des donnes au niveau de leur transfert par le protocole IP, via limplantation de len-tte dextension dauthentification (Authentication Header [AH]) ou de len-tte de confidentialit authentification (Encapsulating Security Payload Header [ESP]). Chaque application, quelle que soit la nature du trafic quelle gnre, peut utiliser ces services de scurit sans tre modifie. IPSec fonctionne en mode point point (on scurise les donnes entre un metteur et un rcepteur via une association de scurit). Len-tte dauthentification (AH) offre des services dauthentification et dintgrit des paquets IP. Cela permet de garantir que les donnes nont pas pu tre modifies lors de leur transfert et que ladresse source est bien celle qui figure sur le paquet. Len-tte dEncapsulating Security Payload (ESP) permet la ralisation de mcanismes de chiffrement (chiffrement symtrique comme DES, Triple DES, RC5 ou IDEA) et propose des services dauthentification similaires ceux proposs par lAuthentication Header (AH). Les algorithmes de chiffrement utilisent des cls qui sont gnrer et diffuser. La gestion des cls de chiffrement est donc une tche importante raliser lors de la mise en uvre de solutions bases sur IPSec. Parmi les protocoles dchange de cls citons: Oakley Key Determination protocol45 est bas sur lalgorithme dchange de cls Diffie-Hellman [RFC 2412]; ISAKMP (Internet Security Association and Key Management Protocol) [RFC 2408]; IKE (Internet Key Exchange) [RFC 2409].
III.2.2.3 Rseaux privs virtuels

Limplantation du protocole IPSec au niveau des points daccs au rseau internet permet de crer entre ces points, un canal de communication dont les extrmits sont authentifies (Figure IIII.8). Ces extrmits se trouvent dans des systmes de lorganisation et donc physiquement protges. Selon loption retenue, les donnes vhicules sur cette connexion pourront tre chiffres. Ainsi on sait tablir un chemin scuris entre deux points dune infrastructure de rseau non fiable (notion de rseau priv virtuel). Notons que le terme rseau dans lexpression rseau priv virtuel est abusif puisque seule une connexion logique (virtuelle) est cre.

III.2.3

Scurit des applications

La plus part des applications possdent une version scurise qui permet le plus souvent de raliser lauthentification des correspondants et le chiffrement des donnes transmises. Une alternative limplantation de nouvelles versions scurises des protocoles dapplication, consiste implanter un mcanisme commun de scurit, offrant des services gnriques de scurit toutes les applications. Le logiciel SSL (Secure Sockets Layer) est couramment utilis lheure actuelle, notamment pour raliser des transactions commerciales sur l'internet. Lusage extensif de documents hypertextes comme le tlchargement de contenus actifs ou non posent de nombreux problmes de scurit concernant entre autre: leur origine, leur auteur, leu authenticit, leur caractre nuisible ou non, etc. Des lments de rponses cette nouvelle dimension de la scurit des systmes dinformation, commencent merger: techniques de signature de documents XML, de tatouage, de gestion des droits lectroniques, afin de confrer la scurit une certaines persistance. Un niveau donn de scurit doit pouvoir tre conserv, mme si lobjet concern par la scurit, sort des frontires physiques de lenvironnement dans lequel sa scurit est habituellement gre.

45 Oakley Key determination protocol: RFC 2412 www.ietf.org/rfc/rfc2412.txt Outils de la scurit 67

Guide de la cyberscurit pour les pays en dveloppement

Figure III.8 Constitution d'un rseau priv virtuel par un canal de communication IPsec

Tunnel IPsec Canal de communication protg


Routeur IPsec Rseau X

Internet

Routeur IPsec

Rseau y

Priv Public

Priv

III.2.4

Protocoles de scurit SSL (Secure Sockets Layer) et S-HTTP (Secure HTTP)

SSL (Secure Sockets Layer) est un logiciel assurant la scurit des changes applicatifs, qui est dailleurs support par la majorit des navigateurs web du march. Les deux entits communicantes dune connexion SSL sauthentifient en faisant appel une procdure de certification et un tiers de confiance. Elles ngocient ensuite le niveau de scurit appliquer au transfert. Les donnes transmises sont alors chiffres pour cette communication via SSL (Figure III.8). Limplantation de SSL a un fort impact du ct du serveur du fait de la ncessaire certification. Cela implique un dialogue avec une autorit de certification reconnue et demande galement que les relais applicatifs des firewalls supportent le mode de fonctionnement de SSL. La certification est parfois considre comme un frein au dploiement de cette solution. Lextension au protocole HTTP (Secure HTTP, S-HTTP) est une solution alternative dveloppe par lassociation CommerceNet. S-HTTP offre les mmes facilits de scurit que SSL, avec les mmes contraintes de certification, mais ne supporte que les flux de donnes du protocole HTTP. Cette solution est peu adopte.

III.2.5

Scurit de la messagerie lectronique et des serveurs de noms

Les risques de scurit encourus, relatifs lusage dun systme de messagerie, sont lis : la perte, linterception, laltration, la destruction de messages; linfection des systmes par le biais de messages contenant des virus, vers ou cheval de Troie; lharclement: inondation de messages, junk mail, messages non sollicits (spam) des personnes dont ladresse email est utilise sans leur accord pralable et avec lesquelles lexpditeur (le spammeur) na jamais eu de contact. Le spam par envoie massif de messages infects peut contribuer la propagation rapide de virus (spam + virus), des moteurs de messagerie sont embarqus dans le code des virus afin quils puissent sauto-diffuser;

68

Outils de la scurit

Guide de la cyberscurit pour les pays en dveloppement

lusurpation didentit des utilisateurs (un intrus se fait passer pour quelquun dautre, un lment du systme met, coute, intercepte des messages qui ne lui sont pas destins, etc.); des messages peuvent tre introduits, rejous, mlangs, supprims, retards; un refus de service par dfection dun lment de la chane du systme de messagerie; la divulgation dinformations confidentielles; la rpudiation (un acteur du systme nie avoir envoy ou reu un message).

Figure III.8 Architecture SSL (Secure Socket Layer)

Client
APPLICATION

Serveur
APPLICATION

Connexion SSL
SSL Flux applicatifs scuriss SSL

Internet
TCP IP LIAISON
2

TCP
4 4

IP
3 3

LIAISON
2

PHYSIQUE

PHYSIQUE

A ceux-ci on associe galement toutes les menaces lies aux rseaux et leurs modes de fonctionnement (attaques au niveau du routage, des serveurs de noms, etc.). Pour pallier ces limites scuritaires inhrentes au mode de fonctionnement de la messagerie, les nouvelles versions de ces logiciels intgrent des facilits de chiffrement pour assurer confidentialit, intgrit et authenticit des informations changes et des correspondants. Les impratifs de scurit des systmes de messagerie sexpriment en termes: de confidentialit et dintgrit (dun message ou dune squence de messages); de non-rpudiation (preuve de lmission, preuve de la rception, signature, certification des messages); dauthentification de lidentit de tous les acteurs du systme de messagerie (utilisateurs, lments intermdiaires, mmoire de messages, agents de transfert de messages, etc.).

Le risque le plus important est sans doute celui li lintroduction de virus, vers ou cheval de Troie via un message. Une parade mettre en place consiste installer un anti-virus sur chaque systme afin de dceler la prsence dun virus et si possible de le dsinfecter. Un anti-virus ne dtecte que les virus pour lesquels il a t conu et ne protge pas contre de nouvelles formes dinfection et leur ncessaires mise jour demandent un effort de gestion non ngligeable.
Outils de la scurit 69

Guide de la cyberscurit pour les pays en dveloppement

Une mesure complmentaire revient mettre en place un serveur de messagerie de dsincubation qui examine systmatiquement tous les messages et leurs pices jointes. Plusieurs anti-virus peuvent alors sexcuter simultanment et augmenter ainsi la probabilit de dtection dun message infect. Le protocole initial de messagerie SMTP (Simple Mail Transfer Protocol) de lenvironnement internet sest vu enrichi au cours du temps pour supporter, dune part, des contenus de message multimdia et dautre part, pour intgrer des mcanismes de scurit. Plusieurs sont disponibles actuellement. Parmi eux citons: Secure Multipurpose Internet Mail Extensions Secure MIME (S/MIME), Privacy Enhanced Mail (PEM) et Pretty Good Privacy (PGP). Toutes les applications du monde internet font appel directement ou non, aux services offerts par un serveur DNS (Domain Name Server) (gestion de la relation entre un nom logique et une adresse IP correspondante). Les DNS contribuent activement la ralisation de lacheminement correcte des informations. Ainsi, ils constituent des points sensibles de larchitecture de communication et sont donc des serveurs protger. La mise en place de mcanismes de scurit (contrle daccs, dauthentification, de trace, de duplication, de cohrence, chiffrement des requtes et de leurs rponses, etc.) permettront dviter que des personnes mal intentionnes ne modifient la valeur des informations qui y sont stockes pour un routage des informations vers des destinataires diffrents que ceux prvus initialement (dtournement), ne les submergent de requtes inutiles pouvant occasionner des dnis de service lindisponibilit des ressources, leffondrement du rseau, ne crent de faux serveurs de noms afin dobtenir des rponses errones conduisant des erreurs de transmission ou des intrusions.

III.2.6

Dtection dintrusion

Intrusions, incidents, anomalies doivent tre dtects et identifis au plus tt de leur survenue et faire lobjet dune gestion rigoureuse afin dassurer le fonctionnement normal des systmes et leur protection. Un incident est un vnement qui survient inopinment. Il est le plus souvent sans gravite en luimme mais il peut engendrer des consquences graves. Une anomalie est une exception, elle peut induire un fonctionnement anormal du systme dinformation pouvant conduire une violation de la politique de scurit en vigueur. Elle peut tre dorigine accidentelle (par exemple une erreur de configuration) ou volontaire (une attaque cible du systme dinformation). Une intrusion est caractristique dune attaque et peut tre considre comme un incident ou une anomalie. La dtection dintrusion est lensemble de pratiques et de mcanismes utiliss afin de dtecter des erreurs qui pourraient conduire des violations de la politique de scurit et de diagnostiquer les intrusions et les attaques (sont inclus la dtection danomalies et lusage abusif des ressources)46. Un systme de dtection dintrusions (IDS Intrusions Detection System) se compose de trois blocs fonctionnels essentiels: la collecte des informations, lanalyse des informations rcupres, la dtection des intrusions et les rponses donner la suite dune intrusion dcele.

III.2.7

Cloisonnement des environnements

La sparation et le masquage dun environnement priv vis--vis de linternet public repose sur linstallation dun ou plusieurs systmes pare-feu (firewalls).

46 Alessandri, D. et Al. Towards a taxonomy of intrusion detection systems and attacks www.domino.watson.ibm.com/library/cyberdig.nsf/papers/5FA980EB952E09D085256AC600535997/$File/rz3366.pdf 70 Outils de la scurit

Guide de la cyberscurit pour les pays en dveloppement

Un firewall est un systme qui permet de bloquer et de filtrer les flux qui lui parviennent, de les analyser et de les autoriser sils remplissent certaines conditions, de les rejeter dans le cas contraire. Le cloisonnement dun rseau permet de constituer des environnements IP disjoints, en rendant physiquement indpendants les accs des rseaux que lon dsire sparer. Cela permet dinterconnecter deux rseaux de niveaux de scurit diffrents (Figure III.9)47.
Figure III.9 Structure fonctionnelle d'un firewall

Mcanismes: dauthentification didentification de chiffrement Processus: de gestion de surveillance dalarme daudit actif de statistique

Rseau priv 1

Selon la nature de lanalyse et des traitements effectus par un firewall, diffrents types de firewalls existent. Ils se distinguent le plus souvent en fonction du niveau de filtrage des donnes auquel ils oprent: niveau 3 (IP), niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP, etc.) du modle OSI. Un firewall applicatif encore dnomm proxy (serveur proxy, firewall proxy) joue un rle de relais applicatif. Il tablit en lieu et place de lutilisateur le service invoqu par celui-ci. Lobjectif dun systme qualifi de proxy est de raliser un masquage dadresse par relais applicatif, et de rendre transparent lenvironnement interne de lorganisation. Il est cens constituer un point de passage oblig pour toutes les applications qui ncessitent un accs internet. Cela suppose quune application relais soit installe sur le poste de travail de lutilisateur et sur le firewall. Limplantation et la configuration dun firewall rsultent dun choix darchitecture de rseaux pour rpondre aux besoins de scurit et de contrle demandes de connexion aux systmes. Le firewall constitue un des outils de ralisation de la politique de scurit et nest quun des composants matriel ou logiciel de sa mise en uvre. En effet, un firewall ne suffit pas bien protger le rseau et les systmes dune organisation. Il doit tre galement accompagn doutils, de mesures et de procdures rpondant des objectifs de scurit pralablement dtermins par la politique de scurit. Lefficacit dun firewall dpend essentiellement de son positionnement par rapport aux systmes quil doit protger, de sa configuration et de sa gestion. Si les systmes firewall ou de dtection dintrusion, contribuent raliser certains services de scurit, ils ne suffisent pas eux seuls accomplir la protection des ressources informationnelles.
47 Figure issue du livre Scurit informatique et tlcoms: cours et exercices corrigs; S. Ghernaouti-Hlie; Dunod 2006. Outils de la scurit 71

Accs au rseau Internet

Accs au rseau priv

Fonction de: filtre relais masque

Internet

Guide de la cyberscurit pour les pays en dveloppement

III.2.8
III.2.8.1

Contrle daccs
Principes gnraux

Un mcanisme de contrle daccs logique aux ressources informatiques est bas sur lidentification des personnes, leur authentification et sur les permissions ou droits daccs qui leurs sont accords (Figure III.10).
Figure III.10 Les bases des lments du contrle d'accs logique

1
IDENTIFICATION
Dsignation

de

lentit

Gestion des identits


2
AUTHENTIFICATION

AUTORI SATI ON

Confirmation de lidentit
Autorisations pralablement tablies en fonction du profil de lutilisateur et de ses besoins

Acces accorde ou refuse

Gestion des preuves didentit

Cont r ole dacces Gestion des autorisations

Sur la base dune identification authentifie, le mcanisme de contrle daccs accorde, en fonction du profil de lutilisateur, laccs aux ressources sollicites. Cela suppose que lidentification de lusager (Gestion des identits Identity management), que les preuves de son identit (gestion des preuves de lidentit Identity proof management) et que ses droits daccs, soient correctement grs (gestion des autorisations Authorization management). Le profil de lusager (user profile) regroupe toutes les informations ncessaires aux dcisions dautorisation daccs. Il doit tre dfini avec soin et rsulte de la dfinition de la politique de gestion des accs. Lauthentification permet de lier la notion didentit une personne. Les autorisations daccs permettent de filtrer slectivement les demandes daccs aux ressources et aux services offerts via le rseau afin den accorder laccs quaux seules entits habilites. Le service dauthentification a pour objectif de vrifier la vracit de lidentit (notion de preuve de lidentit). Cela dpend gnralement dun ou de plusieurs des facteurs suivants:
72

dun secret quune entit dtient (ce quelle sait), mot de passe ou numro didentification personnel (PIN Personal Identification Number); de ce quelle possde (carte, jeton, etc.); de ce quelle est (empreinte digitale, vocale, rtinienne, etc.).

Outils de la scurit

Guide de la cyberscurit pour les pays en dveloppement

La vrification de lidentit dpend dun scnario o le demandeur daccs donne son identit et une preuve quil est cens tre le seul connatre ou possder (mot de passe, cl confidentielle, empreinte). Le service dauthentification procde une comparaison de ces informations avec des donnes pralablement enregistres dans un serveur dauthentification. Un serveur dauthentification doit tre hautement protg et scuris par des mcanismes adhoc de contrle daccs, de gestion scurise de systmes et par le chiffrement des donnes quil stocke. Un serveur dauthentification ne doit pas tre dfaillant ou vulnrable car de sa robustesse dpend le niveau de scurit globale de linfrastructure informatique et tlcoms.
III.2.8.2 Apports et limites de la biomtrie

Lindividualisation biomtrique est une mthode dindividualisation partir de donnes biomtriques, qui peut servir contrler lidentit dun individu afin de raliser un contrle daccs des locaux ou dans le cadre dun contrle judiciaire (police, etc.). Lapplication de la biomtrie au contrle daccs aux ressources informatiques permettrait de se soustraire de lusage de mot de passe en les substituant par une caractristique physique dont on pourrait aisment extraire une donne binaire. Afin dutiliser des caractristiques physique des personnes pour les identifier et valider leur identification, il est ncessaire dextraire et denregistrer au pralable les caractristiques biomtriques des individus (notion de gabarit). Ces enregistrements doivent tre raliss dune manire fiable et sauvegards de faon scurise (Figure III.11).
Figure III.11 Contrle d'accs biomtrique

Extraction dune donne biomtrique


Capteur biomtrique Empreinte digitale Empreinte vocale Visage Oreille Forme de la main Rtine Iris Sauvegarde du gabarit Signature biomtrique Element de rfrence

Demande daccs

Comparaison tenant compte de la variabilit des donnes biomtriques

La dure du processus dauthentification peut tre long car la phase de comparaison doit tenir compte des variations inhrentes la caractristique vivante de la donne teste. Un chantillon vocal par exemple nest jamais strictement le mme. La comparaison est base sur un traitement statistique et probabilistique de la donne biomtrique. Cette part de flou introduit dans le systme dauthentification ne permet davoir des rsultats dauthentification avec un degr dexactitude certain Le systme ne peut pas certifier 100% quil sagisse de la personne x. Le taux derreur de ces systmes reste encore lev, ce qui ne permet pas de garantir un haut niveau de scurit. Associ des mcanismes dauthentification classiques bas sur des mots de passe, (notion de double contrle), la biomtrie renforce le niveau de scurit de ces derniers.
Outils de la scurit 73

Guide de la cyberscurit pour les pays en dveloppement

De plus, lusage tendu du biomtrique soulve de nombreux problmes dthique et dergonomie mais aussi dordre conomique, juridique et technologique. Pour nen citer que quelques uns, retenons: la confidentialit de donnes biomtriques qui peuvent tre considres comme prives; la possibilit de ne pas avoir des donnes biomtriques uniques (cas des vrais jumeaux); les capteurs de donnes biomtriques sont souvent perus comme tant intrusifs, et sont rejets par la majorit des utilisateurs sils en ont la possibilit et le choix! Ils constituent galement une menace pour la libert individuelle dans la mesure ou il pourrait exister une prolifration de capteurs comme des camras vido par exemple, dissmins dans des environnements publics, qui agiraient linsu des citoyens; les cas dusurpation ou dusages abusifs, frauduleux de donnes biomtriques. Associs leur manque de prcision et aux cots dacquisition, de dploiement et de contrle qui demeurent levs, les solutions de contrle daccs bases sur lusage de donnes biomtriques ne sont pas communment adoptes. Rcapitulatif des limites de lusage de donnes biomtriques pour le contrle daccs: 1 les donnes biomtriques contribuant identifier un individu varient au cours du temps; 2 les donnes biomtriques doivent tre saisies pour constituer un chantillon de rfrence qui sera sauvegard dans une base de donnes. En devenant numriques ses donnes deviennent fragiles (et donc modifiables), elles devront tre protges de manire optimale. A chaque demande daccs, les donnes biomtriques de lutilisateur devront tre captes. Ceci pose un problme dacceptation de la mthode de saisie, le sentiment dintrusion est souvent mal tolr; 3 la technique de contrle daccs base sur lusage du biomtrique nest pas sre 100%, du fait de la variabilit de lchantillon humain dont le processus dauthentification doit tenir compte. Selon les systmes, la probabilit davoir des faux positifs ou des faux ngatifs peu tre importante. Cette probabilit dpend de la technique et de la qualit denregistrement des donnes biomtriques.

III.2.9
III.2.9.1

Protection et gestion des infrastructures de communication


Protection

La couche 1 ou physique peut, contribuer la scurit des transmissions en effectuant du brouillage de ligne, cest--dire, en envoyant de linformation non significative pour masquer un flux de donnes pertinentes dans un flux ininterrompu de donnes sans importance. Toutefois, sil fallait protger les transmissions contre des coutes passives ralises par capture des rayonnements lectromagntiques induits par le signal vhicul sur les supports de transmission, il faudrait isoler compltement ces derniers dans des cages de Faraday. On comprend quune telle mesure de protection ne sera ralise quen cas de ncessit. La scurit physique des supports de transmission, des botiers de raccordement et des quipements de connectique doit tre assure correctement. Linfrastructure de transmission est protger contre dventuels rayonnements qui pourraient compromettre la transmission des donnes et contre des attaques passives (coute des donnes) ou actives (modification, destruction, cration de donnes). Il est impratif de savoir protger les raccordements des utilisateurs. Pour cela, il faut les identifier qui sont les usagers?, les localiser o sont-ils? et connatre leurs besoins quels sont les flux applicatifs transports?. En rpondant la question gnrale consistant savoir qui fait quoi et o? on distingue les diffrents besoins scuritaires du rseau de transport. Scuriser le transfert de donnes, revient intgrer les processus de scurit au niveau de linfrastructure de communication qui doit donc tre mme de la supporter dans son intgralit. Cela ncessite le plus souvent la mise jour de lensemble des routeurs, pouvant parfois conduire des problmes dinteroprabilit de ceux-ci et de gestion du changement.
74 Outils de la scurit

Guide de la cyberscurit pour les pays en dveloppement

De plus, chiffrer les donnes au niveau rseau gnre des paquets de donnes de taille suprieure des paquets non chiffrs; leur transfert monopolise donc plus de bande passante et de ressources de communication. Associes au fait que le processus de chiffrement augmente le temps de traitement des paquets, les performances du rseau peuvent considrablement tre affectes par la mise en uvre de la scurit ce niveau. Lavantage principal du chiffrement au niveau de linfrastructure du rseau, rside dans lindpendance de lapplication et des mcanismes de chiffrement lis au transfert qui sont alors compltement transparents pour lutilisateur. En revanche, la scurit des transactions au niveau applicatif (chiffrement des donnes au plus prs de lapplication qui les manipule) modifie lapplication elle-mme et les donnes sont chiffres avant dtre livres au protocole de rseau qui en effectuera leur acheminement. Elles sont ensuite dchiffres par le serveur dapplication destinataire. Cest lors de la phase dtablissement du dialogue entre des entits applicatives (un client et un serveur par exemple) que lon ralise lauthentification et la ngociation dune cl de session. La complexit de cette phase peut varier et demande un dlai dtablissement lui aussi variable. Une fois ralis, le chiffrement est en gnral assez rapide. Il est indpendant de la plate-forme dexcution et de linfrastructure de communication. La protection au niveau de la sphre de travail de lutilisateur qui met en uvre une application distribue, ne dpend plus du transporteur de donnes, ni du rseau, mais bien de lenvironnement direct de lusager. La difficult de la protection des applications rside dans le fait quil faille protger tout lenvironnement applicatif, le poste de travail de lutilisateur (et non plus seulement lapplication elle-mme) et par extension son environnement physique (accs aux locaux, etc.). Protger les applications revient garantir le droit des individus par rapport aux postes de travail, aux applicatifs, la zone gographique dans laquelle elles sintgrent. Les fonctions de base du systme dexploitation du poste de travail de lutilisateur jouent un rle prpondrant dans cette protection (impossibilit de prendre la main lors dune session, dconnexion automatique aprs un certain temps, etc.). Cela passe galement par la protection des cartes rseaux, par le support de protocoles dapplication en mode scuris (transmission de fichiers protgs, messagerie scurise, etc.), par des oprations de mirroring et de duplexing (protection des informations en les dupliquant sur des disques, redondance des oprations dcriture et des quipements). Scuriser linfrastructure de transport ou scuriser lapplication revient traiter, des niveaux diffrents, un mme problme:
III.2.9.2

les processus et les utilisateurs doivent tre authentifis; lmetteur et le rcepteur utilisent un algorithme de chiffrement/dchiffrement identique; chaque entit communicante doit avoir connaissance de lalgorithme et des cls de chiffrement/dchiffrement; les cls de chiffrement/dchiffrement doivent tre gres; les donnes doivent tre formates pour tre transfres.
Gestion

Les activits de gestion de systmes et de rseaux lorsquelles sont menes correctement, permettent doffrir les niveaux de disponibilit et de performance ncessaires la ralisation de la scurit. De plus, elles intgrent les tches de surveillance du rseau, de dtection des anomalies ou incidents (comme les intrusions par exemple), qui contribuent grandement la scurit globale du rseau et du systme dinformation quil dessert. Une bonne gestion de rseaux contribue rendre les infrastructures, services et donnes disponibles et de cela de manire performante. Par la gestion de rseau, notamment par les fonctions de gestion des configurations, des performances et des incidents, les objectifs de scurit que sont la disponibilit et lintgrit, peuvent tre atteints.
Outils de la scurit 75

Guide de la cyberscurit pour les pays en dveloppement

De plus, la dimension de gestion de rseaux qui fait rfrence la gestion comptable permet de disposer de toutes les donnes ncessaires non seulement la facturation des usagers mais aussi la ralisation des fonctions de surveillance et daudit qui sont de premire importance en matire de scurit. Cela peut permettre une certaine vrification des actions des fins de preuve ou de nonrpudiation. La gestion de rseau contribue galement raliser lobjectif de confidentialit dans la mesure elle assure quil ny ait pas dcoutes clandestines ou des accs non autoriss aux donnes. La ralisation de la fonction de contrle daccs aux ressources qui fait partie de la gestion de rseau, est fondamentale la mise en uvre oprationnelle de la scurit. Cest de la qualit de gestion des routeurs, des facilits dadaptation de leur dcision de routage en fonction de ltat du rseau et des demandes dacheminement du trafic, que dpendent en grande partie les performances, la qualit de service, la disponibilit et la fiabilit dun rseau. La mise jour des tables de routage des grands rseaux est un vrai casse-tte oprationnel pour les administrateurs de rseaux, dans la mesure o les diffrentes modifications des valeurs des tables doivent tre synchronises pour viter les dysfonctionnements et les pertes de donnes en transit. Les protocoles de gestion de rseau permettent, entre autres, de mettre jour les tables de routage. Ladministration de rseau peut contribuer la scurisation des routeurs en y effectuant des accs scuriss lors de leur configuration, en gnrant des alarmes lors de tentative dintrusion, et en scurisant les centres de gestion et de supervision des routeurs. Il est donc crucial de savoir la protger en empchant tout un chacun de laltrer en prvenant ou dtectant, entre autres, les actions suivantes: modification des adresses contenues dans les tables de routage, dans les paquets IP, etc.; modification des routes, copies illicites des donnes transportes; surveillance des flux; dtournement, modification et destruction de paquets de donnes; dni de service, effondrement des routeurs, inondation du rseau, etc.

Il est important de pouvoir scuriser les processus dacheminement des donnes au travers des rseaux de tlcommunication. Les fournisseurs de service rseau doivent protger toutes les entits qui interviennent dans ce processus notamment les routeurs et les serveurs de noms afin que la qualit du service dacheminement satisfasse les critres de scurit de disponibilit (le service est oprationnel), de confidentialit (les donnes sont dlivres aux bons destinataires) et dintgrit (les donnes ne sont pas modifies lors de leur transfert). La livraison de donnes aux ayants droits nest pas garantie par un service rseau. En effet, le service de livraison correcte ne vrifie pas que les donnes dlivres la bonne adresse le sont aux entits habilites les recevoir. Cela ncessite un contrle supplmentaire de type contrle daccs. De plus, si les donnes sont vhicules en clair et si elles sont coutes, elles sont comprhensibles des tiers non autoriss. Sil sagit de donnes sensibles il est ncessaire de les chiffrer pour les rendre inintelligibles. La surveillance dun rseau informatique consiste observer le fonctionnement de ce dernier et ceci dune manire continue. La surveillance du rseau vise non seulement sassurer que la qualit de service du rseau soit acceptable mais aussi dceler les problmes, incidents, erreurs et les anomalies qui dgradent les performances du rseau et qui pourraient porter atteinte la scurit des ressources afin de rpondre au plus vite et de manire adapte aux disfonctionnements. La fonction de surveillance du rseau permet la traabilit des actions et des vnements afin de les journaliser pour les analyser (notion daudit). La surveillance du rseau, contribue galement sassurer de la disponibilit des ressources en vrifiant que le rseau fonctionne dune manire correcte. Ainsi, il sagit dune fonction cruciale de la gestion de rseau puisquelle contribue raliser la gestion des performances, des incidents, des configurations, des utilisateurs et de la scurit
76 Outils de la scurit

SECTION IV
APPROCHE GLOBALE

Guide de la cyberscurit pour les pays en dveloppement

Chapitre IV.1 Diffrents aspects du droit des nouvelles technologies


IV.1.1 Protection des donnes caractre personnel et commerce lectronique48

Ce paragraphe aborde la protection des donnes personnelles concernant notamment le cybercommerce et identifie, partir de la situation en France et en Suisse, les principales lgislations dont les administrateurs systmes et responsables scurit doivent avoir connaissance lors que leur organisations met en ligne des services de commerce lectronique. Ainsi, peuvent tre extrapols et adapts aux pays en dveloppement, les principes gnraux qui pourraient adopts pour conduire des affaires dans le cyberespace.
IV.1.1.1 Cybercommerce: ce qui est illgal off-line lest aussi on-line

Lorsque lon aborde la question du commerce lectronique (e-commerce), on peut envisager la problmatique sous les angles du commerce lectronique avec les consommateurs (business-toconsumer (B2C)), ou du commerce lectronique inter-entreprise (business-to-business (B2B)). On classera galement dans la mme catgorie les variantes associes par exemple la cyberadministration. Il sagit alors de commerce lectronique avec le citoyen et dautres institutions publiques ou prives. Cette distinction est importante au niveau juridique puisque le droit commercial diffrencie en gnral les transactions inter-entreprises de celles opres avec le consommateur. Dans tous les cas, la scurit, conjugue des dmarches appropries de marketing et de vente sur l'internet, respectant un cadre lgal appropri, constitue la pierre angulaire du cybercommerce. Raliser un contexte favorable lchange de donnes par le biais de linstauration de la confiance bas sur les outils de la scurit et le respect des lgislations, favorise ladoption par le grand public de services bass sur linformatique et les tlcommunications et permet galement de dvelopper une vritable conomie de services. De nouvelles lgislations, nes de la ncessit de dfinir un cadre juridique appropri lusage des nouvelles technologies, viennent complter la plus part des lgislations existantes qui sont galement valides dans le cyberespace. En tout tat de cause, ce qui est illgal off-line lest aussi on-line! Le cyber espace est un espace international et transfrontalier. De ce fait, la notion du for est trs difficile cerner pour pouvoir rgler les problmes juridiques du commerce lectronique. Ainsi, lors de transactions effectues par le biais du Net il est ncessaire de mentionner la limite de loffre et de donner une information exacte quant au for considrer en cas de litige.
IV.1.1.2 Devoir de protection

La protection des donnes personnelles est un aspect important du commerce lectronique. Le consommateur doit tre inform de la nature des informations collectes, utilises et communiqus par lannonceur ou le commerant en ligne. Le consommateur doit tre inform lavance quant lutilisation, la communication, laccs par les tiers des informations le concernant. Il doit tre galement inform des prcautions prises pour protger les informations le concernant. Une relle politique de protection des donnes prives (privacy policy) doit tre clairement exprime, disponible, visible, facilement accessible et comprhensible au moment o est entreprise transaction commerciale. La politique doit tre notamment disponible sur le site web du commerant. De plus, cela ncessite de la part de lentreprise fournisseur de service de mettre en uvre les moyens de scurit suffisants pour protger les donnes des clients collectes et traites. Lentreprise doit prendre soin de sassurer que les services tiers impliqus dans les changes commerciaux disposent des niveaux de scurit apte satisfaire les impratifs de scurit.

48 Ce point t labor en collaboration avec Igli Taschi, assistant diplm de lUniversit de Lausanne. Diffrents aspects du droit des nouvelles technologies 79

Guide de la cyberscurit pour les pays en dveloppement

IV.1.1.3

Respect des droits fondamentaux

La confidentialit des donnes caractre personnel et celui du respect de lintimit numrique relvent du respect des droits fondamentaux de lHomme. Exemple de la directive europenne Outre la directive europenne de 1995, remarquons que diverses lgislations nationales existent depuis le dbut des annes 70 concernant la protection des donnes personnelles et le contrle de lutilisation des fichiers publics contenant des informations nominatives afin de prvenir des risques de fichage inconsidr. Exemple de la France La Loi Informatique et libert publie en janvier 1978 est un exemple de ce type dinitiative juridique pour la France qui a t modifie par la nouvelle Loi informatique et libert publie en aot 2004 et immdiatement applicable. Celle-ci introduit des concepts juridiques adapts aux nouvelles formes de traitements issus de la socit de l'information et de l'conomie numrique. Elle transpose la directive communautaire 95/46/CE d'octobre 1995. Son objet est de renforcer les droits et protections reconnus aux personnes physiques et daugmenter le niveau d'obligations incombant aux responsables de traitements. Sont gnralement abords dans ces lois les questions relatives la dfinition dune information nominative ou caractre personnel; au droit daccs, dopposition et de rectification aux donnes; la finalit du traitement; la collecte dinformation;la conservation et la mise jour; la scurit des fichiers nominatifs; la commercialisation des fichiers: le contrle des flux transfrontaliers. Dautres lois viennent le plus souvent complter ces lgislations comme par exemple pour la France la loi sur la scurit quotidienne du 15.11. 2001 qui oblige effacer et rendre anonyme les donnes relatives une communication lectronique sauf celles concernant la facturation des communications. Les donnes dites indirectes (URL visits, les adresses IP des serveurs consults, les intituls des messages, etc.) doivent tre galement effacs. Exemple de la Suisse En Suisse la loi fdrale sur la protection des donnes date de 1992 (Allemagne: loi du 21 janvier 1977, Belgique: loi du 8 dcembre 1992, Canada: loi sur la protection des renseignements personnels 1982S, Etats-Unis: loi sur la protection des liberts individuelles 1974; loi sur les bases de donnes et la vie prive 1988) La protection des donnes en Suisse est en premier lieu assure par lart. 13 al. 2 de la nouvelle Constitution fdrale, entre en vigueur le 1er janvier 2000, en vertu duquel toute personne a le droit dtre protge contre lemploi abusif des donnes qui la concernent. Les textes les plus importants sur le plan fdral sont la loi fdrale sur la protection des donnes (LPD) du 19 juin 1992 et lordonnance dexcution du 14 juin 1993. Son application ne dpend pas d'un support particulier ou d'une technique spcifique de rcolte et de traitement des donnes. Elle s'applique aussi bien aux personnes prives qu' l'administration publique, aux personnes physiques et aux personnes morales, quel que soit le type de traitement vis. Larticle 3, lettre a) de la LPD prcise qu'il faut entendre par donnes personnelles toutes les informations qui se rapportent une personne identifie ou identifiable. Des rgles particulires sappliquent aux donnes sensibles et aux profils de la personnalit, notions galement dfinies par la loi. La notion de traitement est large puisqu'elle inclut toute opration relative des donnes personnelles quels que soient les moyens et procds utiliss notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de donnes. L'art. 2 al. 2 LPD rserve pourtant un certain nombre de situations particulires dans lesquelles la loi n'est pas applicable. Cest par exemple le cas pour des procdures judiciaires pendantes ou dans lhypothse de donnes personnelles qu'une personne physique traite pour un usage exclusivement personnel et qu'elle ne communique pas des tiers (litt. a). Dans un arrt du 5 avril 2000, le Tribunal fdral a considr que la messagerie lectronique tait couverte par le secret
80 Diffrents aspects du droit des nouvelles technologies

Guide de la cyberscurit pour les pays en dveloppement

des tlcommunications. L'art. 43 de la Loi fdrale sur les tlcommunications (LTC) contient galement une obligation de maintien du secret: Il est interdit toute personne qui a t ou qui est charge d'assurer un service de tlcommunication de donner des tiers des renseignements sur les communications des usagers; de mme, il lui est interdit de donner quiconque la possibilit de communiquer de tels renseignements des tiers. L'article 44 LTC, complt par les articles 6 11 de l'Ordonnance du Conseil fdral sur le service de surveillance de la correspondance postale et des tlcommunications du 1er dcembre 1997 (RS 780.11), met en place la procdure et dtaille les conditions auxquelles une surveillance peut intervenir. La rglementation suisse sur la protection des donnes personnelles sur l'internet est similaire bien des gards celle de la Directive communautaire en la matire.
IV.1.1.4 Rentabilit de la lgislation

La lgislation en matire de traitement des donnes caractre personnel et de protection de la vie prive dans le secteur des communications lectroniques, est un facteur qui pousse les institutions bien grer leur scurit informatique et rseau (donnes des utilisateurs, surveillance des communications et des employs, gestion des sauvegardes, traitement automatis de donnes caractre personnel, etc.). Les organisations se doivent de se doter de moyens suffisants de scurit et de contrle. La valeur conomique des investissements ncessaires assurer le seuil minimal de scurit (protection physique et juridique) est fonction des pertes matrielles et aussi des risques de rputation et dimage potentiellement encourus par lorganisation. La lgislation devient donc un facteur endogne de prise en compte de la scurit.
IV.1.2 Cybercommerce et ralisation de contrats dans le cyberespace49

Ce paragraphe aborde diffrents aspects de la notion de contrat associe aux transactions commerciales ralises dans le cyberespace et identifie les principaux textes de lois existants en Suisse et au niveau europen, qui les rgissent. A partir de lexemple juridique de la Suisse, et des principales directives europennes, divers principes de base peuvent tre identifis et adapts en fonction des pays et des lgislations nationales.
IV.1.2.1 Question du droit applicable

La premire problmatique juridique qui concerne le commerce lectronique est pose par la dfinition de la notion gographique de la ralisation du commerce lectronique. Les caractristiques de linternet (couverture internationale, technologies du numrique, mode de fonctionnement) abolissent la notion de frontires gographiques des tats et les flux informationnels ne sarrtent pas aux frontires des pays. Donnes et services sont accessibles et ralisables distance, indpendamment de la localisation des internautes et des serveurs. Trs souvent le commerant et le client interagissent depuis des pays diffrents. Ainsi la notion du droit applicable devient trs importante en cas de litige ventuel et constitue un point capital concernant la planification de loffre. Dans ce sens lors des transactions fait par le biais du Net il faut mentionner la limite de loffre et donner une information exacte quant au for50 considrer en cas de litige. Le droit applicable et le for peuvent tre convenus par les parties au contrat. Si une telle clause nexiste pas, il faut dterminer si le contrat tombe dans le champ dapplication dune convention internationale telle que celle des Principes Unidroit relatifs au contrat du commerce international (1994) autrement dit la Netiquette ou bien la Convention de la Haye du 15 juin 1955 par exemple.
49 Ce point t labor en collaboration avec Igli Taschi, assistant diplm de lUniversit de Lausanne. 50 For: En droit international, dsigne la loi du pays dans lequel le procs doit se drouler. On parle galement de lex fori. Rgle de procdure internationale Diffrents aspects du droit des nouvelles technologies 81

Guide de la cyberscurit pour les pays en dveloppement

Toutefois, les conventions internationales nont pas une force contraignante sauf dans le cas o elles sont expressment intgres dans le contrat. Si aucune de ces deux solutions nest envisageable, se sont les rgles de droit rgissant le contrat qui seront celles applicables. En droit suisse par exemple, il sagit de la loi fdrale sur le droit international priv de 1987 (LDIP), dont larticle 1 stipule: Art. 1
1

La prsente loi rgit, en matire internationale:

a. la comptence des autorits judiciaires ou administratives suisses; b. le droit applicable; c. les conditions de la reconnaissance et de lexcution des dcisions trangres; d. la faillite et le concordat; e. larbitrage.
2

Les traits internationaux sont rservs.

Le principe de base est le suivant: on applique le droit de lEtat avec lequel le contrat prsente les liens les plus troits (117/1 LDIP). Gnralement, il sagit du fournisseur des biens et services pour autant quil inclut cela dune manire explicite dans les conditions gnrales avec une exception, larticle 120/2 LDIP qui concerne les Contrats conclus avec des consommateurs et qui stipule que: Les contrats portant sur une prestation de consommation courante destine un usage personnel ou familial du consommateur et qui nest pas en rapport avec lactivit professionnelle ou commerciale du consommateur sont rgis par le droit de lEtat de la rsidence habituelle du consommateur: a. si le fournisseur a reu la commande dans cet Etat; b. si la conclusion du contrat a t prcde dans cet Etat dune offre ou dune publicit et que le consommateur y a accompli les actes ncessaires la conclusion du contrat, ou c. si le consommateur a t incit par son fournisseur se rendre dans un Etat tranger aux fins dy passer la commande.
2

Llection de droit est exclue.

Le contenu du site comme par exemple le langage utilis ou les devises proposes peuvent donner une indication sur le march vis par le commerant et ventuellement sur le droit applicable. Concernant le for, dans le cas ou il nest pas dtermin par un accord des parties, le dpt dune plainte au lieu de rsidence ou le sige du dfendeur est possible.
IV.1.2.2 Conclusion lectronique dun contrat

Les rgles applicables en la matire, sont en gnral les mmes que celles applicables pour les contrats dits classiques. Un contrat est conclu lorsque les deux parties ont chang une offre et une acceptation doffre. Directive Europenne La directive 97/7/CE du Parlement europen et du Conseil de lEurope du 20 mai 1997 traite de la problmatique de la vente distance et de celle du e-commerce, prcise que linformation pralable la conclusion dun contrat doit comprendre les lments suivants: identit du fournisseur et, dans le cas de contrat ncessitant un paiement anticip, son adresse; caractristiques essentielles du bien ou du service; prix du bien ou du service, toutes taxes comprises; frais de livraison, le cas chant; modalits de paiement, de livraison ou d'excution;
82 Diffrents aspects du droit des nouvelles technologies

Guide de la cyberscurit pour les pays en dveloppement

existence d'un droit de rtractation, sauf dans les cas viss l'article 6, paragraphe 3 de cette directive; cot de l'utilisation de la technique de communication distance, lorsqu'il est calcul sur une base autre que le tarif de base; dure de validit de l'offre ou du prix; dure minimale du contrat dans le cas de contrats portant sur la fourniture durable ou priodique d'un bien ou d'un service.

Le point le plus important concernant la conclusion de contrat concerne la dfinition de ce qui reprsente loffre et de ce qui reprsente lacceptation de loffre. La marchandise expose sur un site internet avec les indications de prix, les informations dordre publicitaire associes, ne constituent pas une offre, mais plutt un appel doffre au sens du Code des Obligations suisse, qui stipule dans son article 7: Art. 7 2 Lenvoi de tarifs, de prix courants, etc., ne constitue pas une offre de contracter. Lenvoi dun message lectronique ou dun formulaire de commande est galement considr comme un appel doffre. Cest lacceptation ou le clic jachte de la part de lacheteur qui permet de constituer loffre ferme et le contrat. La simple consultation dun site ne peut pas exprimer la volont de consommer comme lest dailleurs de pntrer dans un magasin. En revanche, la prsentation des marchandises sur un site web peut constituer une offre seulement dans le cas ou le stock de marchandise est indiqu de la part de loffreur et suite une commande il diminue, ou bien dans le cas ou la nature de la marchandise est telle que le marchand a toujours la capacit de honorer la commande. Le contrat est conclu quand le destinataire du service, donc le consommateur dsirant acheter la marchandise expose, a reu par voie lectronique de la part du prestataire, laccus de rception de lacceptation uniquement si ces deux documents sont envoys dans les meilleurs dlais. Concernant la notion de dlais il faut faire la distinction entre un contrat entre absents ou entre prsents. Contrat conclu entre absents, oui mais Le contrat conclu via l'internet est considr comme tant un contrat conclu entre absents, ce qui implique que loffre doit tre accepte dans des dlais raisonnables, comme le prcise larticle 5 du Code des Obligations suisse: Art. 5: b. Entre absents Lorsque loffre a t faite sans fixation de dlai une personne non prsente, lauteur de loffre reste li jusquau moment o il peut sattendre larrive dune rponse expdie temps et rgulirement.
2 3 1

Il a le droit dadmettre que loffre a t reue temps.

Si lacceptation expdie temps parvient tardivement lauteur de loffre, et que celui-ci entende ne pas tre li, il doit en informer immdiatement lacceptant. Toutefois, si lchange de donnes concernant le contrat seffectue via un forum de discussion, chat, messagerie instantane ou par de la tlphonie sur internet, cela sera considr comme tant un contrat conclu entre les prsents et lacceptation doit tre immdiate. Ainsi larticle 4/1 du Code des Obligations suisse fixe: Lorsque loffre a t faite une personne prsente, sans fixation dun dlai pour laccepter, lauteur de loffre est dli si lacceptation na pas lieu immdiatement.
IV.1.2.3 Signature lectronique

La mise en uvre dun systme de chiffrement asymtrique permet de vrifier lintgrit dun message afin de sassurer que le message nait pas t modifi lors de son transfert et dtre sre de son metteur, ainsi, lmetteur ne pourra pas nier avoir envoy ce message (notion de non-rpudiation). On utilise pour raliser ces services de scurit informatique, un certificat numrique qui permet de signer un document numrique. Par analogie la signature manuscrite, on ralise ainsi une signature numrique des donnes (notion de signature lectronique). Sont associs aux
Diffrents aspects du droit des nouvelles technologies 83

Guide de la cyberscurit pour les pays en dveloppement

notions de signature et de certificat numriques, celles de cls de chiffrement (cls prives, cls publiques) et dorganisme de certification (galement dnomm tiers de confiance ou autorit de certification). Pour que la signature lectronique puisse tre considre comme une transposition dans le monde numrique de la signature manuscrite dun document papier, la signature lectronique doit tre lie uniquement au signataire, permettre de lidentifier et doit tre cre par des moyens la possession exclusive du signataire. En droit suisse, la signature lectronique est reconnue par la loi comme ayant la mme porte que la signature manuscrite. Larticle 14/2bis du Code des Obligations dfinit la signature: Art. 14: c. Signature
1

La signature doit tre crite la main par celui qui soblige.

La signature lectronique qualifie, base sur un certificat qualifi manant dun fournisseur de services de certification reconnu au sens de la loi du 19 dcembre 2003 sur la signature lectronique est assimile la signature manuscrite. Les dispositions lgales ou conventionnelles contraires sont rserves.

2bis

Tandis que la signature lectronique est rgie par la Loi fdrale sur les services de certification dans le domaine de la signature lectronique (SCSE) du 19 dcembre 2003. Cest dans cette loi quest dfinie la signature lectronique ainsi que ses diffrentes formes et les divers acteurs de la mise en uvre du mcanisme de signature et de certificats numriques. Art. 2 Dfinitions Au sens de la prsente loi, on entend par: a. signature lectronique: donnes lectroniques jointes ou lies logiquement dautres donnes lectroniques et qui servent vrifier leur authenticit; b. signature lectronique avance: signature lectronique qui satisfait aux exigences suivantes: 1. tre lie uniquement au titulaire, 2. permettre didentifier le titulaire, 3. tre cre par des moyens que le titulaire peut garder sous son contrle exclusif, 4. tre lie aux donnes auxquelles elle se rapporte de telle sorte que toute modification ultrieure des donnes soit dtectable; c. signature lectronique qualifie: signature lectronique avance fonde sur un dispositif scuris de cration de signature au sens de lart. 6, al. 1 et 2, et sur un certificat qualifi valable au moment de sa cration; d. cl de signature: donnes uniques telles que des codes ou des cls cryptographiques prives que le titulaire utilise pour composer une signature lectronique; e. cl de vrification de signature: donnes telles que des codes ou des cls cryptographiques publiques utilises pour vrifier une signature lectronique; f. certificat qualifi: certificat numrique qui remplit les conditions de lart. 7; g. fournisseur de services de certification (fournisseur): organisme qui certifie des donnes dans un environnement lectronique et qui dlivre cette fin des certificats numriques; h. organisme de reconnaissance: organisme qui, selon les rgles de laccrditation, est habilit reconnatre et surveiller les fournisseurs Signature lectronique et directive europenne
84 Diffrents aspects du droit des nouvelles technologies

Guide de la cyberscurit pour les pays en dveloppement

La Directive CE 1999/93 du 13 dcembre 1999 relative un cadre communautaire pour la signature lectronique distingue trois types de signature lectronique selon le degr dintgration des mcanismes de chiffrement et les niveaux de scurit offerts. Plusieurs variantes existent pour raliser une signature lectronique. Premirement, il est juste possible de signer un message sans que la signature dpende du contenu du message (notion de signature lectronique proprement parl). Ainsi nimporte qui peut dtacher la signature dun message et la rutiliser en lieu et place du propritaire de la signature. Pour pallier cet inconvnient, il est possible, par la mise en uvre dune fonction cryptographique, de rendre la signature dpendante du contenu signer et de pouvoir valider sa rception, lauthenticit de lmetteur et lintgrit du message (notion de signature lectronique avance). Enfin la directive envisage la signature lectronique certaine qui doit tre base sur les dispositifs de scurit de lannexe II concernant les prestataires de service de certification dlivrant des certificats qualifis51.
IV.1.2.4 Droit de rvocation

La facilit avec laquelle il est possible deffectuer des achats sur l'internet peut favoriser des comportements de consommation relevant dune dcision irrflchie. Dans ce contexte, le droit de rvocation prend une grande importance. En suisse, larticle 9 du Code des Obligations rgit le droit de rvocation. Son principe est le suivant: le retrait de loffre sera valable, pour autant quil parvienne au destinataire de loffre avant celle-ci. Le mme mcanisme est utilis pour le retrait de lacceptation. Droit de rvocation et directive europenne Au niveau europen cest la directive 1997/7 du 20 mai 1997 qui rgit le droit de rvocation. Il est stipul que pour tout contrat distance, le consommateur dispose d'un dlai d'au moins sept jours ouvrables pour se rtracter sans pnalits et sans indication du motif. Au cas o le fournisseur n'a pas rempli les obligations vises l'article 5, notamment les modalits du droit de rtraction, le dlai est de trois mois.
IV.1.2.5 Gestion des litiges

Ds lors quun contrat est valablement conclu, la question de la preuve se pose lors de litige, quil sagisse de linternet ou non: il est ncessaire dapporter des preuves. Ainsi, il est toujours judicieux de garder des traces de la transaction comme par exemple une copie dun message lectronique ou encre une copie dcran. Exemple de la France En France larticle 109 du Code de consommation considre la preuve comme tant libre concernant le B2B. Le message lectronique est donc admis comme moyen de preuve, de la mme faon quun document papier. En revanche, pour tout ce qui se rapporte au commerce avec le consommateur, une preuve crite est exige partir dune certaine somme engage. Cela dans le but de protger le consommateur moyen qui na pas la capacit et les moyens juridiques de se dfendre dans le cas dun litige face une entreprise commerciale. Toutefois, lutilisation des messages lectroniques pourrait galement tre possible comme moyen de preuve linstar de la loi sur la signature lectronique. Cela signifie quun message lectronique sign lectroniquement sera considr comme une preuve valable si les dispositions dcrites ci-dessus concernant la signature lectronique sont respects.

51 www.foruminternet.org/documents/textes_europeens/lire.phtml?id=34 Diffrents aspects du droit des nouvelles technologies 85

Guide de la cyberscurit pour les pays en dveloppement

Conditions gnrales Trs souvent les contrats conclus distance comportent des conditions gnrales qui font aussi partie du contrat. Ces conditions gnrales doivent tre facilement accessibles, consultables en ligne et le client doit tre clairement inform quelles font partie du contrat, pour les valoir en cas de litige. On-line Dispute Resolution Lors de litige et compte tenu du caractre international du e-commerce, dautres moyens que les tribunaux classiques sont disposition des intresss pour rsoudre les diffrends. Le concept dODR (On-line Dispute Resolution) est issu de cette volont de trouver des solutions immdiates des conflits lis au non respect de contrats passs via l'internet. Ce type de rsolution des litiges se base sur la conciliation qui fait appel la ngociation, la mdiation et larbitrage52. Plus rapide, plus accessible financirement et convivial pour les utilisateurs. En revanche, du fait que cela se base sur des codes de conduite ou des recommandations qualifies de soft law (comme par exemple Uniform Domain-Name Dispute Resolution Policy de lICANN), leur force contraignante est limite.

IV.1.3
IV.1.3.1

Cyberespace et proprit intellectuelle53


Protection de la proprit intellectuelle par des lois

La proprit intellectuelle est protge par plusieurs lois dont essentiellement: loi sur les marques; loi sur le droit dauteur; loi sur les brevets; loi sur les dessins et modles; loi sur la protection des obtentions vgtales; loi sur les topographies de semi-conducteurs; loi sur les armoiries publiques et autres signes publics. De plus, la proprit intellectuelle est aussi concerne par la loi contre la concurrence dloyale.
IV.1.3.2 Droit dauteur et droits voisins

Il sagit dune loi qui protge les: auteurs duvres littraires et artistiques; artistes interprtes, producteurs de phonogrammes ou de vidogrammes ainsi que des organismes de diffusion. Une uvre est une cration de lesprit, littraire ou artistique, qui a un caractre individuel et ce indpendamment de sa valeur ou sa destination. Les crations de lesprit incluent: les uvres recourant la langue quelles soient littraires, scientifiques, ou autres; les uvres musicales et autres uvres acoustiques; les uvres des beaux-arts, en particulier, les sculptures et les uvres graphiques; les uvres contenu scientifique ou technique, tels que les dessins, les plans, les cartes ou les ouvrages sculpts ou models; les uvres darchitecture; les uvres des arts appliqus;
52 Ce mcanisme de rsolution de conflit a fait l'objet d'un rglement type de la Commission des Nations Unies pour le droit commercial international (CNUDCI). 53 Ce point a t labor en collaboration avec le professeur Sarra Ben Laggha, Ecole Polytechnique de Tunis, charg de cours lUniversit de Lausanne. 86 Diffrents aspects du droit des nouvelles technologies

Guide de la cyberscurit pour les pays en dveloppement

les uvres photographiques, cinmatographiques et les autres uvres visuelles ou audiovisuelles; les uvres chorgraphiques et les pantomimes; les programmes dordinateurs (logiciels); les projets, titres et parties duvres qui ont un caractre individuel.

Le droit dauteur accorde lauteur de luvre (la personne physique qui a cr luvre) ou son auteur prsum (la personne qui a fait apparatre luvre tant que lauteur nest pas dsign) des droits moraux et des droits patrimoniaux. Le dpt de luvre auprs dun office ou lenregistrement des droits nest pas ncessaire. Le dpt lgal est cependant pratiqu dans certaines lgislations. Par ailleurs, les ides ne peuvent tre protges que si elles sont fixes puisque seule la forme dune uvre est protgeable. Les droits moraux concernent essentiellement la reconnaissance de la qualit dauteur et le fait de dcider si, quand, de quelle manire et sous quel nom son uvre sera divulgue. Les droits patrimoniaux concernent lutilisation de luvre (confection et vente dexemplaires, prsentation, mise en circulation, diffusion, etc.). Le transfert de la proprit de luvre, quil sagisse de loriginal ou dune copie, nimplique pas celui de droits dauteurs. Ceux-ci sont par ailleurs cessibles et transmissibles par succession. Les droits voisins concernent les droits des artistes interprtes (personnes physiques qui excutent une uvre ou qui participent sur le plan artistique lexcution dune uvre), les droits de producteurs de phonogrammes ou de vidogrammes ainsi que les droits des organismes de diffusion.
IV.1.3.3 Droit des marques

La marque a pour fonction de distinguer les produits et/ou services du titulaire de ceux dautres entreprises. La marque a pour fonction didentifier un objet (et non pas un sujet de droit identifi plutt par un nom ou une raison de commerce). Pour tre susceptible de protection la marque ne doit pas correspondre aux: signes appartiennent au domaine public; formes qui constituent la nature mme du produit et celles qui sont rendues ncessaires par la fonction de lobjet vis; signes propres induire en erreur; signes contraires au droit en vigueur ou aux bonnes murs. Pour tre protge, une marque doit tre dpose. Une marque enregistre peut faire lobjet dune opposition si: elle est identique une marque dj enregistre pour des produits identiques; elle est identique ou similaire une marque dj enregistre pour des produits et/ou services identiques ou similaires lorsquil en rsulte un risque de confusion.
IV.1.3.4 Droit des brevets

Les brevets dinvention sont dlivrs pour les inventions nouvelles utilisables industriellement. Les brevets dinventions ne peuvent tre dlivrs ni pour ce qui dcoule dune manire vidente de ltat de la technique, ni pour les varits vgtales ou les races animales, ni pour les procds essentiellement biologiques dobtention danimaux ou de vgtaux; cependant les procds microbiologiques et les produits obtenus par ces procds sont brevetables. Le brevet est accord (sous certaines conditions) celui qui dpose la demande (inventeur, son ayant cause ou un tiers qui linvention appartient un autre titre). Si la mme invention a t faite par plusieurs personnes de faon indpendante, le brevet appartient celui qui peut invoquer un dpt antrieur ou un dpt jouissant dune priorit antrieure.
Diffrents aspects du droit des nouvelles technologies 87

Guide de la cyberscurit pour les pays en dveloppement

IV.1.3.5

Protection intellectuelle dun site web

Sur l'internet et particulirement pour les sites web, il faut recourir plusieurs droits pour protger la proprit intellectuelle dun site web54: Pour ce qui concerne le nom du domaine: Lenregistrement du nom de domaine ne confre en tant que tel aucun droit exclusif spcifique son titulaire. Pour protger un nom de domaine il faut se tourner du ct des bases lgales que sont: le droit des marques; le droit des raisons de commerce; le droit au nom; le droit de la concurrence; Pour ce qui concerne le contenu du site: La diffusion des uvres sur l'internet: le contenu cre spcialement pour le site, il est protg par le droit dauteur; la numrisation dune uvre existante et sa diffusion en ligne est une forme de reproduction qui ne peut se faire sans le consentement de lauteur de luvre initiale; les liens vers dautres sites: la simple utilisation dun lien hypertexte ne lse aucun droit exclusif puisquelle nentrane aucune reproduction; la question est plus dlicate pour les liens profonds (qui permettent darriver une page sans passer par la page principale dun site). Elle pose la question de savoir si la page en question est une uvre ou pas! En gnral ce genre de litige se rgle par le droit de la concurrence avec comme critre dterminant la manire dont les liens hypertextes sont utiliss, la loyaut de cet usage apparat alors comme une notion centrale.
IV.1.3.6 Complmentarit des approches

Pour assurer le respect des droits dauteurs, des mesures techniques se mettent en place. Les lgislations les soutiennent en interdisant de les contourner. Ainsi il a la protection lgale, la protection technique et la protection lgale de la protection technique.

IV.1.4
IV.1.4.1

Divers aspects juridiques lis au spam55


Contexte et nuisances

Au sens large, le spam56 dsigne lenvoi de messages lectroniques non sollicits. Il se caractrise ainsi: les messages non sollicits sont envoys de manire massive et rpte; le message poursuit un objectif commercial ou est ralis des fins malveillantes (phishing, prise de contrle de lordinateur, introduction de programme malveillant (virus, adware, spyware)); les adresses sont souvent obtenues linsu du propritaire (en violation des rgles relatives la protection des donnes caractre priv); le spam possde souvent un contenu illgal, trompeur ou prjudiciable.
54 Issu de Philippe Gilliron; Proprit intellectuelle et Internet livre CEDIDAC 53, Universit de Lausanne 2003. 55 Ce point t labor en collaboration avec Igli Tashi, assistant diplm de lUniversit de Lausanne. 56 Le terme SPAM est lorigine une marque dpose de la compagnie Hormel, et nest autre que lacronyme de Spiced Pork and Meat, une sorte de corned-beef qui accompagnait les soldats amricains durant la dernire guerre mondiale. Il semble que les Monty Python aient inspir lassociation de cet aliment avec la pratique denvoi de courriels non sollicits. Ceux-ci, dans un de leurs clbres sketches, se mettent chanter Spam Spam Spam Spam... pour vanter les mrites du produit, de faon trs rptitive et si fort que cela couvre les propos des autres protagonistes. 88 Diffrents aspects du droit des nouvelles technologies

Guide de la cyberscurit pour les pays en dveloppement

Lutilisation de spam dans certaines circonstances compte tenu de son caractre non sollicit peut tre considre comme une politique de vente ou de publicit agressive. De nos jours le phnomne du spam ne se limite pas seulement la messagerie lectronique via l'internet mais aussi aux tlphones portables travers les SMS ou aux nouveaux quipements multimdias comme les pockets PC. Le spam gnre des cots pour tous les usagers de linternet. Ces cots sont gnralement lis au temps de traitement des messages, lacquisition de diffrents outils pour se protger contre ce phnomne sans compter le cot social c'est--dire une perte de confiance de la part des utilisateurs, une baisse de productivit des organisations, etc. Selon une tude de la socit Clerswift publie par le Journal du Net le 13 septembre 2005, la rpartition du spam selon les catgories suivantes est:

Types de spam juin 2005


Sant Produits Finance Pornographie Phishing Pari Autres 43.86% 37.65% 9.06% 5.32% 1.41% 0.1% 2.32%

Le spam peut prendre la forme de diverses escroqueries dont une des plus communes est celle dite escroquerie nigrienne ou Nigerian letter57. Le phishing consiste envoyer un message semblant tre mis par une institution connue comme une banque par exemple, qui invite sous divers prtextes, linternaute se connecter sur un site contrefait dune institution vise et donner ses codes daccs et informations sensibles, qui seront utilises ultrieurement son insu. Outre les escroqueries et le phishing, le spam peut aussi tre envoy dans un but destructeur et de blocage de la messagerie du destinataire occasionnant ainsi indisponibilit et dni de service des ressources. Le bombardement de messages peut prendre diverses formes: envoi de messages de grandes tailles gnrant des problmes au niveau du traitement ou du stockage temporaire, envoi de grands nombres de messages ou envoie un nombre trs important de destinataires dans le but dinonder le serveur, ou encore, usurpation de ladresse de lmetteur.
IV.1.4.2 Rponses juridiques au phnomne du spam

Le spam relve de plusieurs domaines juridiques, notamment, la protection des donnes, la concurrence dloyale mais aussi le domaine pnal.

57 Lmetteur du spam se prsente comme lhritier dun riche notable, parfois dans un pays lointain, rcemment dcd. Le soi-disant hritier prtend avoir des difficults pour faire valoir ses droits et propose la victime dutiliser le compte en banque de cette dernire et lui propose en change une rmunration importante pour la gne occasionne. Cette dernire doit avancer les frais relatifs la transaction. Ce sont invariablement des tentatives descroquerie. Diffrents aspects du droit des nouvelles technologies 89

Guide de la cyberscurit pour les pays en dveloppement

Exemple suisse En Suisse, aucune norme juridique suisse ne rgle explicitement la question du spam. Dun point de vue de la protection des donnes, selon le Prpos Fdral la Protection des donnes et son document Aide-mmoire concernant les messages publicitaires indsirables diffuss par courrier lectronique (spams)58 prcise que les adresses lectroniques constituent des donnes personnelles permettant d'identifier une personne. Conformment l'art. 12, al. 3, de la loi fdrale suisse, sur la protection des donnes (LPD, RS 235.1), En rgle gnrale, il ny a pas atteinte la personnalit lorsque la personne concerne a rendu les donnes accessibles tout un chacun et ne sest pas oppose formellement au traitement.. Le traitement d'adresses lectroniques par un spammeur constitue un dtournement du but premier si on considre lart. 4, al. 3, LPD, commis l'insu art. 4, al. 2, LPD et sans le consentement art. 13, al. 1, LPD de la personne concerne. Il s'agit donc bien d'une atteinte la protection des donnes. Art. 4 Principes
1 2

Toute collecte de donnes personnelles ne peut tre entreprise que dune manire licite.

Leur traitement doit tre effectu conformment aux principes de la bonne foi et de la proportionnalit.

Les donnes personnelles ne doivent tre traites que dans le but qui est indiqu lors de leur collecte, qui est prvu par une loi ou qui ressort des circonstances. La loi sur la protection des donnes donne aux personnes concernes la possibilit d'agir en justice art. 15 LPD bas sur lart. 28 ss du CC. Directive europenne Au niveau europen la directive 95/46/CE du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel donne les standards minimaux ne matire de constitution de fichiers et de traitement de donnes. Lart. 10 de cette directive impose que le titulaire connaisse la finalit de la collecte et lidentit du contrleur. Exemple de la France En France. La loi informatiques et liberts a insr dans le Code pnal franais linfraction des atteintes au droit de la personne rsultant des fichiers ou des traitements informatiques. Cette loi datant de 1978 a t revue en 2004 en introduisant 14 nouveaux articles durcissant les peines concernant les donns caractre personnel. Exemple des Etats-Unis Les Etats-Unis tant le premier pays gnrateur du spam, sest dot dun texte de loi spcifique concernant le spam, permettant de poursuivre les spammers, le CAN SPAM Act du 1er janvier 2004. La collecte des adresses sur des sites web est interdite et sont prohibs les programmes qui gnrent des adresses en combinant alatoirement des lettres et des chiffres. Le spam pose aussi un problme du point de vue de la concurrence dloyale du fait que le spam soit utilis dans un but publicitaire. Spam, publicit et concurrence dloyale La publicit sur l'internet ne dispose pas d'un cadre lgal spcifique. Elle se rfre au droit de la publicit en gnral. En novembre 2001, la Commission suisse pour la loyaut avait rendu un avis relatif au spamming, le considrant comme une mthode de vente particulirement agressive. Lutilisation dune telle mthode vu sous langle de la publicit doit respecter quelques aspects importants que ce soit dans le cadre du commerce classique aussi bien que dans celui du e-commerce.
58 Site: www.edsb.ch/f/doku/merkblaetter/spam.htm 90 Diffrents aspects du droit des nouvelles technologies

Guide de la cyberscurit pour les pays en dveloppement

Cela concerne: la protection des jeunes internautes; le respect de la personne humaine; le respect d'une publicit loyale, vridique et honnte; le respect de lintimit juridique des internautes; le confort de la navigation. Le lgislateur suisse dans sa loi fdrale contre la concurrence dloyale stipule larticle 3, lettre b, c, d,: Agit de faon dloyale celui qui, notamment: b. Donne des indications inexactes ou fallacieuses sur lui-mme, son entreprise, sa raison de commerce, ses marchandises, ses uvres, ses prestations, ses prix, ses stocks, ses mthodes de vente ou ses affaires ou qui, par de telles allgations, avantage des tiers par rapport leurs concurrents; c. Porte ou utilise des titres ou des dnominations professionnelles inexacts, qui sont de nature faire croire des distinctions ou capacits particulires; d. Prend des mesures qui sont de nature faire natre une confusion avec les marchandises, les uvres, les prestations ou les affaires dautrui. Mais cest notamment dans sa lettre h quil touche le cur de la problmatique du spam en stipulant que: Agit de faon dloyale celui qui, notamment: h. Entrave la libert de dcision de la clientle en usant de mthodes de vente particulirement agressives Utilis dans un but commercial avec lintensit de lenvoi observ, lutilisation du spam peut tomber sur le coup de cet article. Spam et intention criminelle Lorsque les spammeurs agissent avec une intention criminelle, cette dernire peut tre place sur le plan du droit pnal. Mme si les messages peuvent revtir un caractre commercial, le contenu peut faire objet de poursuites. Spam et pornographie La majorit des messages de spams invitent visiter des sites pornographiques. Cette action est rprime par lart. 197 du CPS (Code pnal suisse), notamment le fait de rendre accessible ce genre de contenu des personnes qui nen veulent pas (art.197, al.2) et aux personnes qui ont moins de 16 ans (art.197, al.1). Spam, escroquerie, virus et vente de produits prohibs Lescroquerie est rprime par lart. 146 du Code pnal suisse. Il sagit du fait dobtenir de la victime et dans un dessein denrichissement un avantage pcuniaire. Ce raisonnement peut tout fait tre appliqu dans le cas de la lettre nigrienne. Le spam est parfois le meilleur moyen dintroduire des virus dans les machines destinataires. En droit suisse lintroduction de virus serait considre comme une dtrioration de donnes et rprim ainsi par lart.144bis du Code pnal, pour autant que ce virus ait provoqu des dgts (modification, effacement ou mise hors usage des donnes) chez linternaute touch. Le fait dutiliser les spam dans un but de vente des mdicaments est aussi une pratique prohibe par la loi suisse. La loi sur les mdicaments et les dispositifs mdicaux (LPTh) et son art. 32 prohibe la publicit pouvant inciter un usage excessif, abusif ou inappropri de mdicaments ou la publicit pour les mdicaments qui ne peuvent tre mis sur le march en Suisse et qui ne peuvent tre remis que sur ordonnance.
Diffrents aspects du droit des nouvelles technologies 91

Guide de la cyberscurit pour les pays en dveloppement

IV.1.4.3

Rgulation du Spam

Deux visions s'opposent pour la rgulation du spam: l'opt-in et l'opt-out. L'opt-in, galement appele permission marketing, est la plus respectueuse de l'internaute dans la mesure o elle consiste ne lui envoyer des publicits cibles que s'il y a explicitement consenti. Le choix de recevoir des messages publicitaires peut tre propos sous forme de case cocher, dcocher ou encore tre induit. Dans ce dernier cas, le visiteur doit tre clairement prvenu du caractre commercial et des consquences exactes de son inscription. La notion d'opt-out fait rfrence la dsinscription et consacre l'existence d'un droit d'opposition a posteriori de recevoir des courriers lectroniques. A cet effet, chaque message publicitaire envoy doit offrir la possibilit de se dsinscrire du fichier. Les fichiers opt-out peuvent aussi bien tre constitus de manire lgale (par exemple d'un achat d'un fichier opt-in) qu'issus d'une collecte sauvage. Le lgislateur suisse et amricain ont opts pour la solution de opt-out tandis que la dmarche communautaire europenne penche plutt vers la solution de opt-in se basant la directive 2002/58/CE concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques (directive vie prive et communications lectroniques. Etant donn que le spammeur agit souvent sous le couvert de l'anonymat ou depuis l'tranger, la poursuite en justice se rvle onreuse et complique et implique la plupart du temps le recours un avocat.
IV.1.4.4 Rponses techniques au phnomne du spam

Techniques bases sur la limitation des ressources En limitant les ressources comme le nombre de destinataires par message, le nombre de messages par source et par unit de temps pourrait limiter limpact du spam. Liste noire Le principe est de qualifier le courrier en fonction de la rputation du serveur qui la mis. La rputation dun serveur de courrier qui a mis du spam rcemment est entache, dans la mesure o lon suppose quil pourrait nouveau en mettre. Le serveur metteur est identifi par son adresse IP. Filtre base de mots cls Il sagit de filtrer les messages selon certains mots cls. Cette technique est insuffisante, car il est trs ais pour un spammeur davoir un contenu de messages qui contourne les filtres mots cls. Filtre empreinte Dans la mesure ou le spam consiste en lenvoi massif de messages tous identiques, un filtre empreinte calcule une signature du contenu dun courriel et le compare une base de donnes dempreinte de messages considrs comme du spam. Politique de lutte contre les logiciels malveillants De plus en plus de logiciels malveillants (virus, chevaux de Troie, bot,...) installent un serveur de messagerie sur la machine quils ont compromise. Cette fonctionnalit des outils malveillants est destine faciliter la propagation du spam. Lutter contre le spam, passe aussi par la chasse aux logiciels malveillants. Lutilisation des logiciels anti-spams au niveau des serveurs de messagerie contribuent limiter la propagation du spam en le bloquant, ne sont pas toujours efficaces. En effet, les messages qui ne sont pas des spams ne parviennent pas aux destinataires (notion de faux ngatifs) ou encore, les messages rellement de spam sont considrs comme normaux (notion de des faux positifs).
92 Diffrents aspects du droit des nouvelles technologies

Guide de la cyberscurit pour les pays en dveloppement

De plus, le comportement de linternaute peut avoir aussi un rle important dans la lutte anti-spam. Ainsi par exemple, ladoption dun comportement averti de la messagerie (sensibilisation au risque dusurpation didentit, contrle pralable de lusage qui sera fait de son adresse lectronique avant de le confier un formulaire en ligne, lutilisation de plusieurs adresses lectroniques, viter certains sites, ne pas ouvrir de message dont on ne connat pas lorigine, supprimer des messages de spam sans les lire, ne jamais rpondre, ne jamais cliquer sur les liens hypertextes que ces messages comportent) contribue limiter lampleur du spam.
IV.1.4.5 Complmentarit technico-juridique

Dans la mesure o le volet juridique a un impact limit sur la pratique du spam, une solution dordre technologique simpose. Seule la complmentarit des approches technico-juridiques permet de lutter contre le phnomne du spam. Un spammeur de moins, dcourag par une rgle de droit ou empch efficacement par une solution technique, prsente toujours des millions et des millions de spams non envoys.

IV.1.5
IV.1.5.1

Rcapitulatif des principaux problmes juridiques lis au cyber espace59


Statut juridique de l'internet marchand

Le statut juridique de linternet marchand concerne la dfinition des statuts des outils utiliss dans le cadre de lutilisation des technologies de linformation. Pour ce qui concerne la messagerie lectronique: des questions se posent concernant le contenu des messages, ladresse de messagerie, la problmatique de lidentification travers cette adresse: usurpation didentit, dun signe distinctif, dune raison sociale dune entreprise. Cela relve du droit civil des pays. Pour ce qui concerne un site web: la notion duvre, sa qualification audiovisuelle ou non, soulvent des problmes lis au droit dauteur. Un lien hypertexte renvoie au problme de son contenu, de la responsabilit, de la qualification protge ou non et soulve galement des problmes lis aux moteurs de recherche.
IV.1.5.2 Cybercontrat

Raliser des contrats dans le cyberespace ne pose pas uniquement un problme dordre juridique. En effet, cela ncessite entre autre, la mise en place de mcanismes techniques qui permettent de le raliser (outils et procds utiliss (globalit, incorporalit, dlocalisation)). Dun point de vue juridique, retenons: loffre; qualification ( distance ou pas), acceptation; la publicit et le dmarchage, le spam etc. lexcution de contrat; lacceptation de loffre on line et lexpression informatique de lacceptation; le droit de rtractation; la dtermination de la loi applicable ainsi que des juridictions comptentes le Rglement de CE 44/2001 du 22 dcembre 2000 concernant la comptence juridictionnelle, la reconnaissance des dcisions en matire civile et commerciale); la Directive CE 2000/31 sur le commerce lectronique;

Diverses directives europennes y sont relatives, savoir:

59 Ce point t labor en collaboration avec Igli Taschi, assistant diplm lEcole des HEC de lUniversit de Lausanne. Diffrents aspects du droit des nouvelles technologies 93

Guide de la cyberscurit pour les pays en dveloppement

La Directive 98/34/CE qui prvoit une procdure dinformation dans le secteur des normes et des rglementations techniques; La Directive 97/7/CE du Parlement europen et du Conseil, du 20 mai 1997, concernant la protection des consommateurs en matire de contrats distance

De plus, il faut tenir compte de la loi de CNUDCI sur le commerce lectronique 1996, des declarations on the global Electronic Commerce 1998, du Joint EU-US statement on Electronic commerce
IV.1.5.3 Document et signature lectronique

Le document lectronique sign lectroniquement soulve le problme de sa valeur. Lobjectif tant de pouvoir garantir la valeur juridique de la signature appose sur un document afin didentifier lauteur et de constater la volont dapposer la signature et donc dassumer la responsabilit du contenu du document. Rappelons la Directive CE 93/1999 du 13 dcembre 1999 relative une cadre communautaire pour les signatures lectroniques et en Italie, la loi du 15 mars 1997 n 59, aux USA, Electronic Signatures in Global et National Commerce Act du 30 juin 2000 ainsi quen Grande-Bretagne par exemple Electronic Communication Act du 25 mai 2000.
IV.1.5.4 Moyens de paiement lectronique

Les moyens de paiement lectronique, cartes de crdit, chques ou monnaie lectronique peuvent induire une utilisation abusive de la part de tiers qui arrivent intercepter linformation associe, lors par exemple de la communication entre fournisseurs et destinataires de service. La Directive CE 2000/46 sur la monnaie lectronique
IV.1.5.5 Protection des noms de domaine

Un nom de domaine constitue un nouveau bien incorporel qui peut possder une valeur commerciale considrable. La problmatique associe au nom de domaine relve des points suivants: Marques et noms de domaine Signes distinctifs et noms de domaine Nom commerciaux et noms de domaine

A part les lois nationales sur le marques, les noms, les brevets, retenons aux Etats-Unis la loi Anticybersquatting Consumer Protection Act (ACPA)
IV.1.5.6 Proprit intellectuelle

La proprit intellectuelle sur internet relve des problmatiques lies aux droits dauteur, aux maques et aux brevets. Retenons par exemple: le trait de lOMPI sur les droits de lauteur, le trait de lOMPI sur les interprtations, excutions et phonogrammes, au niveau europen le livre vert sur le droit dauteur et les droits connexes dans la socit de linformation de 1995 ainsi que la directive du parlement europen et du conseil sur lharmonisation de certains aspects du droit dauteur et du droit connexe dans la socit de linformation.
IV.1.5.7 Protection de lintimit numrique

Dans le contexte de la protection de lintimit numrique, le spamming est prohib (Cf. Directive EU 97/7 sur la protection des consommateurs dans les contrats conclus distance, Directive CE 97/66 sur la protection des personnes lgard des donnes personnelles dans le domaine des tlcommunications interdit le direct marketing du spam).
94 Diffrents aspects du droit des nouvelles technologies

Guide de la cyberscurit pour les pays en dveloppement

IV.1.5.8

Autres questions dordre juridique

Sans vouloir tre exhaustif, de nombreuses autres questions juridiques doivent tre prises en considration lors que lon sintresse la dfinition dun cadre lgal appropri lusage de linternet. Parmi elles retenons toutes celles qui touchent: la notion dantitrust (Cf. les directives amricaines Antitrust guidelines for collaboration among competitors davril 2000); la responsabilit des fournisseurs et intermdiaires techniques (quelles responsabilits pour le fournisseur concernant les activits de linternaute, les activits criminelles, la pedopornographie etc.); au secret des correspondances.

Chapitre IV.2 Perspectives


IV.2.1 Eduquer former sensibiliser lensemble des acteurs la cyberscurit

Il est important de sensibiliser lensemble des acteurs du monde de linternet aux enjeux de la matrise de la scurit et aux mesures lmentaires qui si elles sont clairement nonces, dfinies et mise en uvre intelligemment renforceront la confiance des utilisateurs envers les technologies de traitement de linformation et de la communication dont fait partie l'internet. Faisons de ce dernier, un patrimoine ouvert chacun et non au bnfice exclusif de la criminalit. La diffusion dune certaine culture et approche pluridisciplinaire de la scurit et de la matrise du risque informatique dorigine criminel est obligatoire. Possder une vision stratgique de ces problmatiques est devenue une ncessit pour les organisations comme pour les Etats. Par ailleurs, il galement ncessaire d'duquer, d'informer et former aux technologies de traitement de linformation et des communications et non uniquement la scurit et aux mesures de dissuasion. La sensibilisation aux problmatiques de scurit ne doit pas se limiter la promotion dune certaine culture de la scurit. En amont de la culture scuritaire, il doit y avoir une culture de l'informatique. Il faut aussi donner les moyens aux diffrents acteurs dapprendre grer les risques technologique, oprationnel et informationnel qui les menacent en fonction de lusage fait des nouvelles technologies. La dimension virtuelle de linternet, son ct ludique, peut occulter notamment pour un public jeune, ou non initi linformatique la capacit de nuisance de ces attaques. Elle est considrable et peut savrer dramatique tant pour les organisations (entreprise, administration, collectivit), que les individus qui en sont victimes. Toutefois, la matrise des risques technologiques ne se rsume pas la chasse aux hackers, ni la mise en place de barrire technologiques. Les dgts les plus graves ont parfois pour origine une simple ngligence, qui peut relever de lincomptence, des dfaillances lors de la conception ou de la mise en uvre des technologies, des pouvoirs excessifs accords aux administrateurs systmes, dune gestion dfectueuse, etc.

IV.2.2

Pour une nouvelle approche de la scurit

La prise de conscience de la fragilit du monde numrique et de la non matrise totale non seulement des technologies et infrastructures informatiques et tlcoms mais aussi des solutions de scurit commercialises, doit soulever un questionnement srieux quand la dpendance vis--vis dune technologie difficilement matrisable. La prise en otage des donnes par des solutions informatiques est une ralit quil ne faut pas occulter. Il est illusoire de penser que des solutions dordre technologiques ou juridiques viendront suppler les erreurs de conception et de gestion de linformatique et des tlcoms, que cela soit au niveau stratgique, tactique ou oprationnel. De plus, les mesures classiques de scurit ne pourront protger correctement les ressources sensibles ou critiques des personnes, des organisations et des Etats, uniquement si elles sont ralises de manire transparente, vrifiables et contrlable.
Perspectives 95

Guide de la cyberscurit pour les pays en dveloppement

Mettre en place une dmarche complte de scurit qui intgre des phases de prvention, de protection, de dfense et de raction, passe par ladoption de moyens humains, juridiques, technologiques, conomiques permettant de les raliser.

IV.2.3

Proprits dune politique de scurit

De manire gnrale, une bonne politique de scurit rsulte dune analyse des risques et est dfinie de manire complte et cohrente, afin de rpondre prcisment aux besoins de scurit dans un contexte donn. La dfinition de la politique doit tre: simple et comprhensible; adoptable par un personnel pralablement sensibilis, voire form; aisment ralisable; de maintenance facile; vrifiable et contrlable. Une politique de scurit ne doit pas tre statique. Elle doit tre priodiquement value, optimise et adapte la dynamique du contexte dans lequel elle sinscrit. Elle doit tre configurable et personnalisable selon des profils dutilisateurs, selon les flux, en fonction du contexte et de la localisation des acteurs en jeu. Une politique de scurit varie en fonction de lespace et du temps. Une politique de scurit peut tre structure en diffrentes politiques de contrle daccs, de protection, de gestion de crise, de suivi et doptimisation, dassurance.

IV.2.4

Identifier les ressources sensibles afin de les protger

La ralisation dun inventaire complet et prcis de toutes les ressources et acteurs de la chane scuritaire, contribue la connaissance des environnements ainsi qu leur protection. Lidentification des valeurs et la classification des ressources pour dterminer leur degr de sensibilit (ou degr de criticit) permet de diffrencier ce qui doit tre imprativement trescuris. Ce dernier indique leur importance en cas de perte, daltration ou de divulgation des donnes. Plus les consquences sont graves pour lorganisation, plus la ressource est sensible et possde de la valeur. Chaque ressource peut tre perue comme une cible de scurit pour laquelle, il faut identifier les risques et leurs scnarios possibles (erreur dutilisation, de paramtrage, accidents, malveillance, sabotage, attaque logique, etc.), les mcanismes de scurit inhrents et applicables (configuration, paramtres, etc.), ainsi que les contraintes techniques et organisationnelles afin de dterminer la faisabilit technique et organisationnelle de la politique de scurit pour chaque cible.

IV.2.5

Objectifs, mission et principes fondamentaux de la cyberscurit

Les objectifs de la cyberscurit sont: la confidentialit (aucun accs illicite): maintien du secret de linformation et accs aux seules entits autorises; lintgrit et lexactitude (aucune falsification, aucune erreur): maintien intgral et sans altration des donnes et programmes; la disponibilit (aucun retard): maintien de laccessibilit en continu sans interruption, ni dgradation; la prennit (aucune destruction): les donnes et logiciels existent et sont conservs le temps ncessaire; la non-rpudiation et limputabilit (aucune contestation): garantie de lorigine, de la source, de la destination, de la vracit dune action; le respect de lintimit numrique; lauthentification (aucun doute sur lidentification dune ressource).
96 Perspectives

Guide de la cyberscurit pour les pays en dveloppement

Les activits dune mission peuvent se dcliner selon les axes suivants: concevoir un plan de scurit en fonction d'une analyse pralable des risques; dfinir le primtre de vulnrabilit li lusage des nouvelles technologies; offrir de manire continue un niveau de protection adapt aux risques encourus; mettre en uvre et valider lorganisation, les mesures, les outils et les procdures de scurit; effectuer un suivi, auditer, contrler, faire voluer le systme d'information et sa scurit; optimiser la performance du systme dinformation en fonction du niveau de scurit requis; aligner les besoins avec les risques et les cots.

Les principes fondamentaux auxquels doit se rfrer toute action entreprise au nom de la ralisation de la cyberscurit sont les suivants: principe de vocabulaire. Ncessit de saccorder sur un langage commun de dfinition de la scurit; principe de cohrence. La cyberscurit rsulte de lintgration harmonieuse des outils, mcanismes et procdures lis la prvention, la dtection, la protection et la correction des sinistres relatifs des fautes, la malveillance ou des lments naturels; principe de volont directoriale. Il est de la responsabilit des dirigeants de librer les moyens ncessaires la mise en uvre et la gestion dun plan de cyberscurit; principe financier. Le cot de la scurit, des mesures de contrle, doit tre en rapport avec le risque; principe de simplicit, duniversalit et de discrtion. Les mesures de scurit doivent tre simples, souples, comprhensibles pour les internautes. Les solutions et mesures de scurit ne doivent pas tre provocantes afin de ne pas tenter un attaquant potentiel; principe de dynamicit et de continuum. La scurit doit tre dynamique pour intgrer la dimension temporelle de la vie des systmes et de lvolution des besoins et des risques. Les systmes doivent tre oprationnels de manire permanente; principe dvaluation, de contrle et dadaptation afin dassurer ladquation du niveau de scurit aux besoins rels.

IV.2.6
IV.2.6.1

Facteurs de russite
Lignes directrices en matire de stratgie

Les conditions de succs de la ralisation dune stratgie scuritaire sont: une volont stratgique une politique de scurit simple, prcise, comprhensible et applicable; la publication de la politique de scurit; une gestion centralise de la scurit et une certaine automatisation des processus de scurit; un niveau de confiance et dintgrit des personnes, des systmes, des outils impliqus; des procdures denregistrement, de surveillance et daudit; la volont dviter de mettre les ressources en situation dangereuse; un cadre lgal applicable au niveau national et international; le respect des contraintes lgales.
Perspectives 97

Guide de la cyberscurit pour les pays en dveloppement

IV.2.6.2

Lignes directrices lusage des internautes

Voici quelques lignes directrices lintention des internautes qui constituent des mesures simples, conomiques et relativement efficaces, que si elles sont adoptes par les utilisateurs, contribueront renforcer la scurit de leur ressources et e-activits60: Lordinateur lorsquil nest pas utilis doit tre teint; Linternaute ne doit pas ouvrir les mails dont il ne connat pas la provenance; Linternaute doit avoir un antivirus mis jour rgulirement afin dassurer une scurit minimale; Linternaute ne doit pas divulguer ses mots de passe et il doit les changer rgulirement; Linternaute ne doit pas divulguer de donnes personnelles le concernant lui ou les autres sur l'internet; Linternaute ne doit pas permettre une autre personne dutiliser son compte pour surfer sur l'internet; Linternaute doit utiliser les systmes de chiffrement lorsquil veut protger ses donnes; Linternaute ne doit pas aller sur des sites caractre choquant, tlcharger des programmes ou fichiers illgaux ou encore les faire circuler; Ce que linternaute ne fait pas dans la vie relle, il ne doit pas le faire sur le web sous peine dtre punissable (diffamation, escroquerie, etc.); Linternaute ne doit pas se sentir plus protg quil ne lest rellement; Linternaute doit garder prsent lesprit que derrire chaque activit sur linternet se cache un individu qui, limage de la vie courante, nest pas forcment honnte.
Lignes directrices pour scuriser un systme de messagerie

IV.2.6.3

Voici quelques lignes directives lmentaires qui contribuent protger un systme de messagerie. Du ct du serveur: implanter un logiciel anti-virus; filtrer les messages sur certains critres paramtrables (taille, fichiers attachs, etc.); configurer correctement le serveur; effectuer une gestion efficace pour en assurer la disponibilit; viter les comptes de maintenance par dfaut; assurer une protection physique du serveur. installer, grer et imposer lusage de logiciels anti-virus; dfinir des rgles dutilisation de la messagerie (ne pas ouvrir des fichiers excutables, etc.); sensibiliser suffisamment les utilisateurs aux risques encourus; faire sengager les utilisateurs sur un usage appropri des ressources informatiques; configurer correctement le poste de travail de lutilisateur et son application de messagerie; implanter des versions de messagerie scurises; utiliser des procdures de chiffrement pour les messages confidentiels et raliser lauthentification des sources.

Du ct de lutilisateur:

60 Issues du travail de mmoire de DEA en Droit, Criminalit et Scurit des nouvelles technologies. Sentiment de scurit sur Internet Anne-Sophie Perron, sous la direction de S. Ghernaouti-Hlie Lausanne 2005. 98 Perspectives

Guide de la cyberscurit pour les pays en dveloppement

IV.2.6.4

Lignes directrices pour protger un environnement internet-intranet

Voici quelques lignes directives lmentaires qui contribuent protger un environnement internetintranet, via un systme pare-feu (firewall): un firewall doit tre protg et scuris contre des accs non autoriss (notion de systme de confiance possdant un systme dexploitation scuris); tous les trafics (entrants et sortants) doivent passer par le firewall; seul le trafic dfini par la politique de scurit comme tant valide et autoris peut traverser le firewall; configurer le firewall de telle sorte que tout ce qui nest pas explicitement autoris est interdit; un firewall ne peut galement tre le serveur Web de lentreprise; si les donnes du rseau interne sont vraiment sensibles, il faut alors accder l'internet par des machines dtaches du rseau interne; un firewall ne peut pas protger lenvironnement scuriser contre des attaques ou des accs illicites qui ne passent pas par lui. Il nest daucune efficacit en ce qui concerne des dlits perptrs lintrieur de lentreprise; Un firewall nest pas un anti-virus. Il faut donc le protger de manire complmentaire contre des infections virales. Dans labsolu, un anti-virus devrait rsider sur tous les systmes offrant un service de connectivit (serveurs de messagerie, serveur de communication, etc.) et sur toutes les machines supportant des donnes (serveur darchivage, de bases de donnes, etc.), ainsi que sur les postes de travail des utilisateurs.

Perspectives

99

SECTION V
ANNEXES

Guide de la cyberscurit pour les pays en dveloppement

Annexe A Glossaire des principaux termes de scurit61


Accident (accident)
Elment fortuit, imprvisible portant atteinte une entit.

Administrateur de la scurit (security administrator)


Personne responsable de la dfinition ou de la ralisation de tout ou partie dune politique de scurit.

Algorithme cryptographique (cryptographic algorithm)


Algorithme utilis pour le chiffrement des donnes afin de les rendre confidentielles, il est bas sur une fonction mathmatique et une cl de chiffrement.

Algorithme de cryptographie asymtrique (asymmetric cryptographic algorithm)


Algorithme bas sur lusage dune bi-cl, lune servant au chiffrement des donnes, lautre au dchiffrement.

Analyse de risque (risk analysis), valuation des risques (risk assessment)


Processus didentification et dvaluation des risques (estimation de leur probabilit d'occurrence et de leurs impacts).

Analyse du trafic (traffic analysis)


Observation et tude des flux dinformation entre entits source et destination (prsence, absence, volume, direction, frquence, etc.).

Anonymat (anonymity)
Caractristique dune entit dont on ignore le nom, ou qui ne fait pas connatre son nom, proprit permettant une entit dutiliser des ressources sans tre identifie (incognito). Il devrait tre possible de respecter la volont de certains utilisateurs qui peuvent avoir une raison valable de ne pas rvler leur identit lorsquils font des dclarations sur l'internet afin de ne pas restreindre de manire excessive leur libert dexpression, favoriser l'expression libre d'informations et d'ides et d'assurer une protection contre les surveillances en ligne non autorise par des entits publiques ou prives. En revanche, les instances de justice et de police devraient avoir la possibilit dobtenir des informations sur les personnes responsables dactivits illicites, dans les limites fixes par le droit national, la Convention europenne des Droits de lHomme, et les autres traits internationaux comme la Convention sur la cybercriminalit.

Antivirus
Programme de dtection de virus.

Attaque (attack)
Offensive, agression, action contre des personnes ou des biens leur portant atteinte. Il existe diffrents types dattaques informatiques.

61 Issu et adapt du glossaire du livre Scurit informatique et rseaux, cours et exercices corrigs; S. Ghernaouti-Hlie, Dunod 2006. Annexe A 103

Guide de la cyberscurit pour les pays en dveloppement

Attaque active (active attack)


Attaque qui modifie les ressources cibles par lattaque (atteinte aux critres dintgrit, disponibilit, confidentialit).

Attaque passive (passive attack)


Attaque qui naltre pas sa cible (coute passive, atteinte la confidentialit).

Atteinte (breach)
Effet ou dgradation rsultant dune agression, dune attaque qui peut avoir des impacts tangibles (altration physique et matrielle, dysfonctionnement logique, dsorganisation des procdures...); des impacts logiques (non-disponibilit, perte dintgrit, perte de confidentialit de linformation); des impacts stratgiques (notamment sur le plan financier, frais supplmentaires dhbergement, de transport, de tlcommunications, dintervention dexperts, dachat/location de matriel et progiciels, de personnels, et de sous-traitance, pertes dexploitation (pertes de marge, de trsorerie, de clientle), de fonds ou de biens, etc.).

Audit de scurit (security audit)


Examen mthodique de toutes les composantes et acteurs de la scurit, politique, mesures, solutions, procdures et moyens mis en uvre par une organisation, pour scuriser son environnement, effectu des fins de contrle de conformit, dvaluation de ladquation des moyens (organisationnel, technique, humain, financier) investis au regard des risques encourus, doptimisation, de rationalit et de performance.

Auditabilit (auditability)
Proprit pour un environnement, de permettre lenregistrement des actions, dvnements qui occurrent afin de laisser une trace exploitable des fins danalyse et daudit.

Auditeur (auditor)
Personne ralisant un audit.

Authenticit (authenticity)
Caractre de ce qui est authentique. Capacit permettant d'attester, de certifier conforme ... . Souvent associ au fait quune information, ou quun vnement nait pas t altr, modifi, contrefait et quil ait t produit par l'entit qui revendique les avoir raliss.

Authentification (authentication)
Action dauthentifier. L'authentification sert confirmer (ou non) quune action, dclaration, information est authentique (originale, vraie). Processus mis en uvre notamment pour vrifier l'identit d'une entit et sassurer que lidentit fournie correspond lidentit de cette entit pralablement enregistre.

Autorisation (authorization)
Action dautoriser, de permettre, dhabiliter. Fait de recevoir la permission raliser certaines actions, daccorder des droits, dobtenir le droit daccs un service, des informations, un systme, etc.

Autorit (authority)
104 Annexe A

Guide de la cyberscurit pour les pays en dveloppement

Organe du pouvoir. Fait rfrence le plus souvent une entit responsable de l'mission des certificats numriques.

Autorit de certification (CA, Certification Authority)


Tierce partie de confiance pour la gnration, la signature et la publication des certificats de cls publiques.

Besoin de scurit (security need)


Pour un environnement protger, identification et expression des niveaux de disponibilit, d'intgrit et de confidentialit associs aux ressources et valeurs faisant lobjet de la protection.

Bien, valeur (asset)


Entit qui a un prix et qui reprsente pour celui qui la possde un capital, un patrimoine (notion de bien sensible). En matire de scurit il est important de dterminer les valeurs et de les classifier en fonction de leur importance, afin de mettre en place les mesures de protection ncessaires et suffisantes afin dviter de les perdre ou du moins de minimiser les impacts ngatifs conscutifs leur perte ventuelle.

Bogue (bug)
Terme dorigine anglaise qui illustre une erreur de programmation. Par extension dfaut de conception ou de ralisation se manifestant par des anomalies de fonctionnement (J. O. 19 fvrier 1984).

Bombe logique (logical bomb)


Programme malveillant qui sactive lors de la ralisation dvnements particuliers (date anniversaire par exemple) pour porter atteinte au systme dans lequel il se trouve.

Certificat (certificate), certificat de cl publique (public-key certificate)


Ensemble des donnes mises par une autorit de certification (tiers de confiance) qui permet de raliser des services de scurit (confidentialit, authentification, intgrit). Un certificat dit numrique fait rfrence la mise en uvre du chiffrement cl public. En effet, dans un certificat se trouve entre autres la valeur de la cl publique de son propritaire qui est atteste par le fait que le certificat est sign par lautorit de certification mettrice.

Charte dutilisation (user charte)


Document tabli par une organisation prcisant les droits, les devoirs et la responsabilit de ses employs au regard de lutilisation des ressources informatiques et tlcoms quelle met leur disposition, sign par les parties concernes.

Cheval de Troie (Troyan horse)


Programme malveillant introduit subrepticement dans des systmes pour en prendre le contrle (vol de temps processeur, altration, modification, destruction des donnes et programmes, dysfonctionnements, coutes illicites, etc.).
Annexe A 105

Guide de la cyberscurit pour les pays en dveloppement

Chiffrement, cryptage, encodage (encipherment, encryption)


Le chiffrement est une transformation cryptographique des donnes (cryptogramme) afin den assurer la confidentialit. Cela consiste rendre les donnes incomprhensibles tous ceux qui ne dtiendraient pas la cl de dchiffrement. Un texte en clair est chiffr laide dun algorithme et dune cl de chiffrement, afin dobtenir un texte chiffr, qui pourra tre dchiffr laide dune cl de dchiffrement correspondante (sauf dans le cas o le chiffrement est irrversible). Le dchiffrement (decipherment, decryption) est lopration inverse au chiffrement.

Cl (key)
Cl de chiffrement ou de dchiffrement, il sagit gnralement dune valeur mathmatique fournie un algorithme de chiffrement. Sauf sil sagit dune cl publique, une cl de chiffrement est grer comme un secret. Ainsi, il faut protger un secret (la cl) qui permet de protger un autre secret (linformation qui a t chiffre pour tre confidentielle).

Cl prive (private key)


Cl utilise dans les mcanismes de chiffrement asymtrique (ou chiffrement cl publique) qui appartient une entit et qui doit tre secrte.

Cl publique (public key)


De manire gnrale, en cryptographie asymtrique, la cl publique dune entit doit tre rendue publique aux interlocuteurs qui souhaitent lui envoyer des donnes chiffres afin quelle puisse les dchiffrer avec sa cl prive correspondante.

Clef de session (Session key)


Cl secrte gnre via un systme de chiffrement asymtrique, par les correspondants lors de ltablissement dune session de travail, dont la dure de vie est limite cette session, servant chiffrer des gros volumes dinformations avec un algorithme de chiffrement symtrique.

Code (cipher)
Algorithme de chiffrement qui permet de transformer un texte clair en un texte chiffr.

Condensat, rsum, digest (digest)


Rsultat sous forme de chane de caractres, de lapplication dune fonction de hachage sur une suite dinformation.

Confiance (trust)
Assurance de celui qui se fie quelquun, quelque chose (critre qualitatif, suggestif, trs relatif).

Confidentialit (confidentiality)
Maintien du secret des informations et des transactions. Caractre de ce qui est secret. Objectif de scurit raliser afin de prvenir la divulgation non autorise dinformations des tiers qui doit permettre leur protection contre des lectures, coutes, copies illicites dorigines intentionnelle ou accidentelle durant leur stockage, traitement et transfert (notion de confidentialit de donnes (data confidentiality)).
106 Annexe A

Guide de la cyberscurit pour les pays en dveloppement

Conformit (compliance)
Caractre de ce qui est conforme, qui est en concordance, qui ressemble ..., conformit certaines normes.

Contre-mesure (counter measure)


Fonction, mesure, procdure ou mcanisme ddi la scurit dun systme afin den rduire le niveau de vulnrabilit et de contrer une menace avant quelle ne se ralise en action malveillante.

Contrle d'accs (access control)


Mcanisme permettant de prvenir de l'utilisation non approprie ou non autorise d'une ressource (services, systmes, donnes, programmes).

Cookies
Fichiers envoys sur le poste de travail des internautes leur insu, lors de laccs certains sites web, qui rcoltent des informations les concernant pour en principe, la personnalisation des services web offerts.

Correctif de scurit (patch)


Rustine de scurit dun logiciel pour en supprimer une vulnrabilit qui a t identifie aprs son installation.

Cryptanalyse (cryptanalysis)
La cryptanalyse comprend lensemble des moyens qui permet danalyser une information pralablement chiffre, afin de la dchiffrer. Plus un systme de chiffrement est robuste, plus sa cryptanalyse est difficile.

Cryptogramme (cryptogram, cyphertext)


Donnes ayant subi une transformation cryptographique, donnes chiffres, texte ou message chiffr. Donnes obtenues par chiffrement.

Cryptographie (cryptography)
Application des mathmatiques permettant dcrire de linformation de manire la rendre inintelligible ceux ne possdant pas les capacits de la dchiffrer. Voir Chiffrement.

Cryptographie cl publique (public key cryptography)


Systme de chiffrement asymtrique qui utilise un couple de cls appel bi-cl, compose dune cl prive secrte et dune cl publique, publiable. Ces deux cls sont complmentaires et indissociables. La relation mathmatique qui les relie ne permet pas de retrouver la cl secrte partir de la cl publique.

Cryptopriode (cryptographic period)


Priode de temps pendant laquelle les cls d'un systme restent inchanges.

DDoS (Distributed Denial of Service)


Attaque par saturation (ou dni de service) lance simultanment partir de plusieurs systmes.
Annexe A 107

Guide de la cyberscurit pour les pays en dveloppement

Dni de service (DoS, Denial of Service)


Attaque par saturation dune entit afin quelle seffondre et ne puisse plus raliser les services attendus delle.

Disponibilit (availability)
Critre de scurit permettant que les ressources soient accessibles et utilisables selon les besoins (pas de refus d'accs autoris aux systmes, services, donnes, infrastructures, etc.).

Dissuasion (dissuasion)
Mesure destine persuader par intimidation, un malveillant renoncer effectuer une attaque ou en le persuadant que la valeur de l'enjeu qu'il convoite est infrieure celle des dommages que le systme menac pourrait lui infliger.

Efficacit (efficiency)
Caractre de ce qui produit leffet attendu, des rsultats utiles. Proprit des mesures de scurit qui assure leur pertinence et leur capacit rellement bien protger une ressource.

Empreinte numrique (digest) Voir Condensat Ethique (ethics)


Qui concerne les principes de la morale. Ensemble de rgles morales adoptes par une communaut.

Fiabilit (reliabiliy)
Aptitude dun systme fonctionner sans incident pendant un temps donn.

Flaming
Technique qui consiste, pour affecter la crdibilit dun groupe de discussions, y envoyer un grand nombre de messages peu pertinents.

Flooding
Type de moyen dintrusion dans des systmes et qui est bas sur le cassage de mots de passe des utilisateurs.

Floudeur (flooder)
Programme malveillant servant ralentir les communications entre un fournisseur d'accs et un internaute ou dconnecter ce dernier.

Fonction de hachage (hash function)


Dans le contexte du chiffrement, cette fonction est qualifie galement de fonction digest. Elle permet de gnrer, partir de donnes qui lui sont fournies en entre, leur rsum (sorte dempreinte numrique (digest)), plus court que le message original et incomprhensible. Ce rsum peut tre ensuite chiffr avec la cl prive de lmetteur et associe au message transmettre. Sur rception du message et de son empreinte, le destinataire dchiffre cette dernire avec la cl publique de lmetteur puis, recalcule partir du message reu avec la mme fonction hash, lempreinte et la compare ensuite avec celle reue. Si le rsultat est identique, le destinataire a ainsi vrifi lidentit de lmetteur et est assur de lintgrit du message. En effet, si le message est altr, mme lgrement, son empreinte est alors considrablement modifie.
108 Annexe A

Guide de la cyberscurit pour les pays en dveloppement

Fonction de hachage sens unique (one-way hash function)


Fonction permettant de calculer l'empreinte de donnes, mais pas d'engendrer des donnes qui ont une empreinte particulire. Cette fonction ne doit pas produire des collisions, c'est--dire quune mme empreinte puisse tre gnre partir de diffrents messages.

Gravit de l'impact (impact gravity)


Apprciation du niveau de gravit dun incident, pondr par sa frquence d'apparition. Il est important de pouvoir quantifier ce critre dimpact afin didentifier au mieux les impratifs de scurit et les degrs durgence de la prise en considration de ces impratifs (exemple de quantification: impact de gravit insignifiante: (0) sans gravit, (1) peu grave, (3) trs grave, (4) extrmement grave).

Hacker, hackeur (hacker)


Action consistant sintroduire de manire illicite dans un systme. Personne qui quelle que soit sa motivation, pntre sans autorisation et de manire illgale, dans un systme appartenant un tiers.

Hacking
Ensemble des oprations permettant une intrusion dans un systme informatique

Identification (identification)
Processus qui permet de reconnatre une entit pralablement identifie.

Identit (identity)
Information qui permet de dsigner et de distinguer, si possible de manire unique et non ambigu, une entit l'intrieur d'un domaine de nommage.

Impact (impact)
Exprime le niveau des consquences produites par une atteinte (impact financier, financial impact), cot de latteinte; impact logique (logical impact) atteinte aux critres de disponibilit, d'intgrit, de confidentialit, impact stratgique (strategical impact) prjudiciable la survie dune organisation; impact tangible (tangible impact) atteinte que lon peut directement constater, rel.

Imputabilit (imputability)
Proprit qui permet dimputer de faon certaine une opration un utilisateur un moment donn. Fait de pouvoir identifier un responsable en cas de violation du rglement.

Infrastructure de gestion cls (IGC ou PKI, Public Key Infrastructure)


Infrastructure de support la ralisation de la mise en uvre du chiffrement asymtrique ( cl publique) offrant entre autres des services de gestion et de distribution de cls de chiffrement et de certificats numriques.

Infrastructure de management des privilges (PMI, Privilege Management infrastructure)


Infrastructure capable de supporter la gestion des privilges, permissions ou habilitations.
Annexe A 109

Guide de la cyberscurit pour les pays en dveloppement

Ingnierie sociale (social engeneering)


Techniques, procdures et moyens utiliss par des malveillants profitant le plus souvent de la crdulit des utilisateurs, pour entre autres, soutirer leurs mots de passe et leurs paramtres de connexion, usurper leur identit numrique, afin de leurrer les systmes et les pntrer en se faisant passer pour les personnes habilites.

Innocuit (safety)
Qualit de ce qui nest pas nuisible.

Intgrit (integrity)
Etat dune chose qui est demeure intacte. Critre de scurit, qui sil est ralis, permet de sassurer quune ressource na pas t altre (modifie ou dtruite) d'une faon non autorise.

Intranet (Intranet)
Rseau interne, rseau priv une organisation, utilisant les technologies de l'internet et gnralement isol de l'internet par des systmes firewall.

IPSec (Internet Protocol Security)


Version du protocole IP qui offre des services de scurit. IPSec permet de crer un canal logique de communication (tunnel IP), au travers de linternet public, entre deux correspondants. Les extrmits du tunnel sont authentifies et les donnes qui y transitent peuvent tre chiffres (notion de canal chiffr ou de rseau virtuel).

IPv6 (Internet Protocole version 6)


Evolution de la version 4 du protocole IP, qui entre autres, intgre en mode natif des mcanismes permettant de raliser des services de scurit (authentification des entits source et destination, confidentialit des donnes transmises).

Logiciel espion (spyware)


Programme qui envoie un malveillant des informations sensibles depuis l'ordinateur compromis.

Logiciel malveillant (malware)


Terme gnrique dsignant un programme de type virus, ver, cheval de Troie, etc. ou toute autre forme de logiciel d'attaque qui agit de manire plus ou moins autonome.

Malveillance (maleovolence)
Actions caractre hostile pouvant porter atteinte aux ressources dune organisation qui peuvent tre commises directement ou indirectement par des personnes internes ou externes celle-ci (vol de matriels, de donnes, divulgation dinformations confidentielles, intrusions illicites, etc.).

Management des cls (key management)


Gestion des cls de chiffrement, gnration, distribution, archivage, destructions des cls en fonction de la politique de scurit.
110 Annexe A

Guide de la cyberscurit pour les pays en dveloppement

Management du risque, gestion des risques (risk management)


Processus continu d'valuation des risques encourus par une organisation afin de les matriser, de les rduire un niveau acceptable. Permet de dterminer la politique de scurit la plus adapte la protection des valeurs de lorganisation.

Mascarade (masquerade)
Type dattaque base sur le leurre des systmes.

Menace (threat)
Signe, indice qui laisse prvoir un danger. Action ou vnement susceptible de se produire, de se transformer en agression contre un environnement ou des ressources et de porter prjudice leur scurit.

Mesures de scurit (security measures)


Ensemble de moyens technologiques, organisationnels, juridiques, financiers, humains, procduraux et d'actions permettant datteindre les objectifs de scurit fixs par le politique de scurit. Les mesures sont gnralement classifies selon leur rle fonctionnel (ex.: mesure de prvention, de protection, de dissuasion, etc.).

Mot de passe (password)


Information confidentielle que doit produire un ayant droit afin de prouver son identit lors dune procdure dauthentification dans le cadre dune demande daccs une ressource.

Non-rpudiation (non-repudiation)
La capacit de prvenir le fait qu'un expditeur dmente plus tard avoir envoy un message ou effectu une action. Assure la disponibilit de preuves qui peuvent tre prsentes un tiers et utilises pour prouver que tel type d'vnement ou daction a eu lieu. Preuve qu'un message a t envoy par une personne prcise un moment prcis, sans avoir t modifi depuis son envoi. Cette preuve devrait pouvoir tre vrifie tout moment par un tiers. Sans la non-rpudiation, des metteurs et des rcepteurs d'informations pourraient nier les avoir reues ou envoyes.

No-opt
Service dans lequel les clients n'ont pas le choix sur la faon dont les informations les concernant sont utilises (possibilit datteinte la protection des donnes prives).

Notarisation (notarization)
Enregistrement de donnes des fins de preuve.

Panne (failure)
Dysfonctionnement, arrt de fonctionnement entranant lindisponibilit d'une ressource.

Pare-feu (firewall)
Matriel ou logiciel permettant de raliser lisolement, le masquage des ressources, le filtrage des donnes, le contrle des flux, contribuant la protection des environnements informatiques privs dune organisation connects linternet.
Annexe A 111

Guide de la cyberscurit pour les pays en dveloppement

Perte de service essentiel (lost of essential services)


Indisponibilit ou dysfonctionnement total ou partiel de ressources ncessaires au bon fonctionnement dun systme, dune organisation.

Pertes directes (direct losses)


Pertes identifiables directement conscutives un dfaut de scurit.

Pertes indirectes (indirect losses)


Pertes gnres indirectement par un dfaut de scurit.

Phreak
Utilisation illgale ou dtournement, aux dpens dun individu ou dun oprateur, des services de tlcommunication, par un phreaker (notion de phreaking).

Pirate, malveillant, attaquant (hacker)


Personne qui sintroduit illgalement dans des systmes afin de raliser des attaques passives ou actives.

Plan de gestion de crise (emergency plan)


Ensemble des moyens techniques et organisationnels prvus pour rpondre optimalement un incident grave affectant la bonne marche des oprations et prjudiciable lorganisation.

Plan de secours (backup plan)


Ensemble des moyens techniques et organisationnels prvus pour assurer la prennit des informations et la continuit des activits quels que soient les problmes rencontrs.

Politique de scurit (security policy)


Rfrentiel de scurit tabli par une organisation, refltant sa stratgie de scurit et spcifiant les moyens de la raliser.

Porte drobe (backdoor, trap door)


Fait le plus souvent rfrence un morceau de code intgr dans des logiciels permettant des entits non autorises, la prise de contrle des systmes, la copie dinformation, etc. linsu de leur propritaire.

Prvention (prevention)
Ensemble de mesures prises pour prvenir dun danger, dun risque, qui tend empcher la ralisation de menaces, rduire la frquence des incidents dans une optique de protection.

Profil d'utilisateur (user profile)


Liste des attributs concernant un utilisateur contribuant effectuer la gestion du rseau et des systmes auquel il se connecte (paramtres didentification, dauthentification, droits daccs, permissions et toutes autres informations utiles, des fins de contrle daccs, de facturation, etc.).
112 Annexe A

Guide de la cyberscurit pour les pays en dveloppement

Protection (protection)
Action, fait de protger. Se dit dune mesure de scurit qui contribue dtecter, neutraliser ou diminuer les effets dune agression.

Protection des donnes prives et de lintimit numrique (privacy protection)


Mesures de protection qui permettent d'assurer que les informations, les activits des internautes, ne soient pas rvles d'autres parties que celles voulues et ne soient pas utilises des fins contraires celles consenties par leur propritaire. Cela fait rfrence au droit des individus de contrler les informations les concernant qui peuvent tre collectes soit directement, soit indirectement par observation de leur comportement de navigation et sites visits.

Rpudiation (repudiation)
Fait de nier davoir particip des changes, totalement ou en partie.

Rseau priv virtuel (RPV ou VPN, Virtual Private Network)


La notion de rseau priv virtuel fait rfrence lusage du protocole IPSec afin de crer un canal de communication scuris usage priv, au travers dun rseau public non scuris. Souvent mis en uvre par une organisation, pour connecter ses diffrents sites via l'internet afin dassurer la confidentialit des donnes changes.

Rvocation (revocation)
Annonce qu'une cl prive a perdu son intgrit. Le certificat de la cl publique correspondante ne doit plus tre utilis.

Risque (risk)
Danger plus ou moins probable manant d'une menace et pouvant se traduire en terme de probabilit d'apparition et de niveau d'impact.

RSSI (Responsable de la Scurit du Systme d'Information)


Personne charge de la scurit se rapportant aux systmes d'information.

Sabotage
Action malveillante, vandalisme, dtrioration intentionne tendant empcher le fonctionnement normal dune organisation, dune infrastructure, dun service, dune ressource pouvant conduire un sinistre.

Scurit (security)
Situation dans laquelle quelquun, quelque chose nest expos aucun danger. Mcanisme destin prvenir un vnement dommageable, ou en limiter les effets. Ainsi par exemple, la scurit physique (physical security) est relative aux mesures permettant doffrir une protection physique, matrielle des environnements, tandis que la scurit logique (logical security) fait rfrence aux procdures et moyens logiciels de protection.

Sensibilit (sensitivity)
Caractristique d'une entit qui indique sa valeur ou son importance.
Annexe A 113

Guide de la cyberscurit pour les pays en dveloppement

S-http
Version scurise du protocole http permettant la scurit des changes entre un client et un serveur web.

Signature numrique (digital signature)


Par analogie la signature manuelle, la signature numrique obtenue par un algorithme de chiffrement asymtrique permet dauthentifier lmetteur dun message et den vrifier lintgrit.

Sniffer
Logiciel destin raliser des coutes passives des donnes transitant dans un rseau.

Sniffing
Action consistant raliser des coutes passives afin de rcuprer des paramtres de connexion qui seront par la suite utilises linsu de leurs propritaires lgitimes afin de commettre des intrusions non autorises.

Spammer
Personne qui ralise le spamming.

Spamming
Technique qui consiste envoyer des messages non dsirs sur une messagerie lectronique.

Spoofer
Personne qui pratique le spoofing.

Spoofing
Usurpation dadresses IP des fins dintrusion.

SSL (Secure Sockets Layer)


Logiciel assurant la scurit des changes sur l'internet, dvelopp par Netscape et support par la majorit des navigateurs web du march.

Stganographie (Steganography)
Technique permettant de dissimuler une information dans une autre afin de la transmettre ou de la stocker clandestinement. Le marquage de document, le tatouage (watermarking), est une application de la stganographie qui consiste marquer une image de faon indlbile.

Systme de dtection d'intrusion (IDS, Intrusion Detection System)


Systme permettant de dtecter des incidents qui pourraient conduire des violations de la politique de scurit et permettant de diagnostiquer des intrusions potentielles.

Test de pntration (penetration test)


Tests pratiqus pour analyser et tester le degr de protection des systmes et la robustesse des mcanismes de scurit.
114 Annexe A

Guide de la cyberscurit pour les pays en dveloppement

Virus (virus)
Programme malveillant introduit, linsu des utilisateurs, dans un systme. Il possde la capacit de se dupliquer (soit l'identique, soit en se modifiant (virus polymorphe)), de porter atteinte aux environnements dans lequel il sexcute, et de contaminer les autres utilisateurs avec lesquels il est en relation. Diffrents types de virus sont distingus en fonction de leur signature, de leur comportement, de leur type de reproduction, de linfection, des dysfonctionnements induits, etc. Les vers, chevaux de Troie, bombes logiques sont des codes malveillants de la famille gnrique des virus.

Vulnrabilit (vulnerability)
Dfaut de scurit qui pourrait se traduire soit intentionnellement soit accidentellement par une violation de la politique de scurit.

115

Guide de la cyberscurit pour les pays en dveloppement

Annexe B Chapitres de la norme ISO/IEC 17799:2005 qui constitue un document de rfrence en matire de gestion de la scurit
Introduction 0.1 Qu'est-ce que la scurit de l'information? 0.2 Pourquoi la scurit de l'information est-elle ncessaire? 0.3 Comment tablir les besoins de scurit 0.4 Evaluer les risques de scurit 0.5 Slectionner les contrles 0.6 Point de dpart en scurit de l'information 0.7 Facteurs de succs critiques X 0.8 Dvelopper vos propres directives 1 2 3 Porte Terminologie et dfinitions Structure de la prsente norme. 3.1 Clauses 3.2 Principales catgories de scurit Evaluation des risques et traitements 4.1 Evaluation des risques de scurit 4.2 Traitement des risques de scurit Politique de scurit 5.1 Politique de scurit de l'information 5.1.1 Document de politique de scurit de l'information 5.1.2 Examen de la politique de scurit de l'information Organisation de la scurit de l'information 6.1 Organisation interne 6.1.1 Engagement de la direction dans la scurit de l'information. 6.1.2 Coordination de la scurit de l'information 6.1.3 Attribution des responsabilits pour la scurit de l'information 6.1.4 Processus d'autorisations pour les quipements de traitement de l'information 6.1.5 Accords de confidentialit 6.1.6 Contact avec les autorits 6.1.7 Contact avec des groupements d'intrt spcifique 6.1.8 Examen indpendant de la scurit de l'information 6.2 Parties externes 6.2.1 Identification des risques lis aux parties externes 6.2.2 La scurit en ayant affaire avec des clients 6.2.3 La scurit dans les accords avec des tiers Gestion des biens et des valeurs 7.1 Responsabilits des valeurs 7.1.1 Inventaire des valeurs 7.1.2 Proprit des valeurs 7.1.3 Utilisation acceptable des valeurs 7.2 Classification de l'information 7.2.1 Directives de classification 7.2.2 Marquage (tiquetage) et manipulation de l'information
Annexe B 117

Guide de la cyberscurit pour les pays en dveloppement

Scurit des ressources humaines 8.1 Avant l'emploi 8.1.1 Rles et responsabilits 8.1.2 Annalyse 8.1.3 Modalits et conditions d'embauche 8.2 Durant l'emploi 8.2.1 Responsabilits de la direction 8.2.2 Prise de conscience, sensibilisation, ducation, et formation la scurit de l'information 8.2.3 Mesures disciplinaires 8.3 Arrt ou changement d'emploi 8.3.1 Responsabilits de l'arrt 8.3.2 Restitution des valeurs 8.3.3 Elimination des droits d'accs Scurit physique et environnementale 9.1 Zones de scurit 9.1.1 Primtre de scurit 9.1.2 Contrles d'accs physique 9.1.3 Scuriser les bureaux, les salles et les quipements 9.1.4 Protection contre les menaces externes et environnementales 9.1.5 Travailler dans des zones scurises 9.1.6 Secteurs d'accs public de livraison et de chargement 9.2 Scurit des quipements 9.2.1 Situation et protection des quipements 9.2.2 Support des utilits 9.2.3 Scurit du cblage 9.2.4 Maintenance des quipements 9.2.5 Scurit des quipements en dehors des frontires de lorganisation 9.2.6 Scurit des quipements abandonns ou rutiliss 9.2.7 Suppression des quipements

10 Gestion des communications et des oprations 10.1 Procdures oprationnelles et responsabilits 10.1.1 Modes opratoires documents 10.1.2 Gestion du changement 10.1.3 Sgrgation des fonctions 10.1.4 Sparation des facilits lies au dveloppement, aux tests et aux oprations 10.2 Gestion de la livraison de services offerts par des tiers 10.2.1 Livraison de services 10.2.2 Surveillance et contrle des services fournis par des tiers 10.2.3 Gestion des changements dans les services offerts par des tiers 10.3 Planification et acceptation de systmes 10.3.1 Gestion de la capacit 10.3.2 Tolrance des systmes 10.4 Protection contre les codes malicieux et mobiles 10.4.1 Contrles contre le code malicieux 10.4.2 Contrles contre les codes mobiles
118 Annexe B

Guide de la cyberscurit pour les pays en dveloppement

10.5 Back-up /secours 10.5.1 Back-up des informations 10.6 Gestion de la scurit des rseaux 10.6.1 Contrle du rseau 10.6.2 Scurit des services rseau 10.7 Manipulation de supports 10.7.1 Gestion des supports amovibles 10.7.2 Destruction des supports 10.7.3 Procdures de manipulation de donnes 10.7.4 Scurit de la documentation des systmes 10.8 Echange d'informations 10.8.1 Politiques et procdures d'change d'information 10.8.2 Accords d'change 10.8.3 Supports physiques en transit 10.8.4 Messagerie lectronique 10.8.5 Systmes d'information 10.9 Services de commerce lectronique 10.9.1 Commerce lectronique 10.9.2 Transactions en ligne 10.9.3 Information accessible au public 10.10 Surveillance 10.10.1 Audit des journaux (logs) 10.10.2 Surveillance de l'utilisation du systme 10.10.3 Protection des informations journalises 10.10.4 Journaux des administrateurs et oprateurs 10.10.5 Journalisation des erreurs et incidents 10.10.6 Synchronisation des horloges 11 Contrles d'accs 11.1 Impratifs de lorganisation (besoins du business) en matire de contrle d'accs 11.1.1 Politique de contrle d'accs 11.2 Gestion des accs des utilisateurs 11.2.1 Enregistrement des utilisateurs 11.2.2 Gestion des privilges 11.2.3 Gestion des mots de passe des utilisateurs 11.2.4 Examen des droits d'accs des utilisateurs 11.3 Responsabilits des utilisateurs 11.3.1 Utilisation des mots de pass 11.3.2 Equipements des utilisateurs sans surveillance 11.3.3 Politique concernant les bureaux et crans clairs 11.4 Contrle de l'accs au rseau 11.4.1 Politique sur l'utilisation des services de rseau 11.4.2 Authentification des utilisateurs pour les connexions externes 11.4.3 Identification des quipements dans les rseaux 11.4.4 Protection des ports de tldiagnostique et de tlconfiguration 11.4.5 Sgrgation dans les rseaux 11.4.6 Contrle de la connexion rseau 11.4.7 Contrle du routage rseaux
Annexe B 119

Guide de la cyberscurit pour les pays en dveloppement

11.5 Contrle d'accs aux systme d'exploitation 11.5.1 Procdures de connexion scurises 11.5.2 Identification et authentification des utilisateurs 11.5.3 Systme de gestion des mots de passe 11.5.4 Utilisation des utilitaires systme 11.5.5 Dlai de session (time-out) 11.5.6 Limitation du temps de connexion 11.6 Contrle d'accs aux applications et aux informations 11.6.1 Restriction de l'accs aux informations 11.6.2 Isolation des systmes sensibles 11.7 Mobilit en informatique et tltravail 11.7.1 Mobilit et communications 11.7.2 Tltravail 12 Acquisition, dveloppement et maintenance des systmes d'information 12.1 Besoins de scurit pour les systmes d'information 12.1.1 Analyse et spcification des besoins de scurit 12.2 Exactitude des traitements applicatifs 12.2.1 Validation des donnes saisies 12.2.2 Contrle du traitement interne 12.2.3 Intgrit des messages 12.2.4 Validation des rsultats 12.3 Controles du chiffrement 12.3.1 Politique de contrle de l'usage de la cryptographie 12.3.2 Gestion des cls 12.4 Scurit des fichiers systmes 12.4.1 Contrle des logiciels oprationnels 12.4.2 Protection des donnes de tests du systme 12.4.3 Contrle d'accs au code source des programmes 12.5 Scurit dans le dveloppement et le support des processus 12.5.1 Procdures de contrle du changement 12.5.2 Examen technique des applications aprs modification du systme d'exploitation 12.5.3 Restrictions des changements dans les suites logicielles 12.5.4 Fuite d'information 12.5.5 Dveloppement externalis des de logiciels 12.6 Gestion des vulnrabilits techniques 12.6.1 Contrle des vulnrabilits techniques 13 Gestion des incidents de scurit de l'information 13.1 Notification des vnements et des faiblesses de scurit de l'information 13.1.1 Notification des vnements de scurit de l'information 13.1.2 Notification des faiblesses de scurit 13.2 Gestion des incidents et des amliorations de la scurit de l'information 13.2.1 Responsabilits et procdures 13.2.2 Enseignement tirer des incidents de scurit 13.2.3 Collecte de preuves
120 Annexe B

Guide de la cyberscurit pour les pays en dveloppement

14 Gestion de la continuit des affaires 14.1 Aspects scuritaires de la gestion de la continuit des affaires 14.1.1 Inclure la scurit de l'information dans le processus de gestion de la continuit des affaires 14.1.2 Continuit des affaires et valuation des risques 14.1.3 Dvelopper et implementer des plans de continuit intgrant la scurit de l'information 14.1.4 Cadre de planification de la continuit des activits 14.1.5 Test, maintenance et r-valuation des plans de continuit 15 Conformit 15.1 Conformit aux exigences lgales 15.1.1 Identification de la lgislation applicable 15.1.2 Droits de la proprit intellectuelle 15.1.3 Protection des enregistrements de lorganisation 15.1.4 Protection des donnes et intimit numrique 15.1.5 Prvention du dtournement des facilits de traitement de l'information 15.1.6 Rglementation des contrles de cryptographie 15.2 Conformit avec les normes et politiques de scurit et conformit technique 15.2.1 Conformit avec les politiques et les de scurit 15.2.2 Contrle de la conformit technique 15.3 Considrations sur l'audit des systmes d'information 15.3.1 Contrle des audits des systmes d'information 15.3.2 Protection des outils d'audit des systmes d'information Bibliographie et Index

Annexe B

121

Guide de la cyberscurit pour les pays en dveloppement

Annexe C Mandat et activits de l'UIT-D dans le domaine de la cyberscurit


Pour tout complment d'information, veuillez consulter le site: http://www.itu.int/ITU-D/e-strategy/e-security La correspondance quasi parfaite entre les priorits du Programme sur la cyberscurit et le Plan d'action du SMSI (Genve) illustre la forte synergie entre ces deux documents. Conformment l'Agenda de Tunis de 2005, l'UIT a t dsigne coordonnateur et modrateur pour les initiatives lies la mise en oeuvre du Plan d'action de Genve en ce qui concerne l'tablissement de la confiance et de la scurit dans l'utilisation des TIC. A l'UIT-D, la cyberscurit pour les applications TIC est l'un des six domaines prioritaires du Programme 3 du Plan d'action d'Istanbul.

Plan d'action du SMSI Dcembre 2003


C5) Etablir la confiance et la scurit dans l'utilisation des TIC 12. La confiance et la scurit sont au nombre des principaux piliers de la socit de l'information. b) En coopration avec le secteur priv, les pouvoirs publics devraient prvenir et dtecter la cybercriminalit et l'utilisation abusive des TIC et y remdier ... e) Prendre des mesures appropries contre le spam aux niveaux national et international. f) Renforcer le cadre de scurit et de confiance en adoptant des initiatives complmentaires et synergiques dans les domaines de la scurisation de l'utilisation des TIC ... g) Echanger les meilleures pratiques dans le domaine de la scurit de l'information et de la scurit des rseaux d'information et encourager leur utilisation par toutes les parties concernes.

Programme 3 du Plan d'action d'Istanbul CMDT mars 2002


Renforcer la scurit et la confiance dans l'utilisation des rseaux publics pour les cyberservices/applications.

Fournir une assistance aux Etats Membres en vue de l'laboration de lois et d'une lgislation type concernant les cyberservices/applications, la prvention de la cybercriminalit, la scurit, les questions thiques et la confidentialit des donnes. Dterminer les besoins en matire de scurit et proposer des solutions pour le dveloppement des infrastructures IP sr, qui permettent d'assurer des cyberservices/applications dans diffrents types de rseau l'aide des technologies pertinentes. Concevoir des outils visant faciliter l'change des meilleures pratiques concernant la scurit, et les questions juridiques associes au domaine d'activit de ce programme. Il est ncessaire d'examiner ces questions de scurit, afin de mettre profit les possibilits qu'offrent les rseaux publics pour la fourniture de cyberservices/applications valeur ajoute financirement accessibles.

i) Encourager la poursuite de l'laboration d'applications sres et fiables pour faciliter les transactions en ligne.

Activits de l'UIT-D dans le domaine de la scurit et de la confiance

Dans le cadre du Programme 3 du Plan d'action d'Istanbul de la CMDT-02, l'UIT aide les pays en dveloppement mettre en oeuvre leurs projets, leur donne des avis pour l'laboration de leurs politiques et de leurs stratgies, ainsi que d'une lgislation approprie encourageant le dveloppement et l'utilisation de la cyberscurit et de la confiance pour la ralisation de transactions critiques dans des domaines comme la sant, l'ducation et le commerce et les communications entre administrations et fonctionnaires publics.

Annexe C

123

Guide de la cyberscurit pour les pays en dveloppement

Projets visant offrir des services garantissant scurit et confiance pour les applications TIC

Des projets utilisant des technologies volues garantissant scurit et confiance, bases sur une infrastructure cls publiques (PKI) (techniques de l'authentification biomtrique, des cartes intelligentes, des certificats numriques et des signatures numriques UIT-T X.509) ont t mis en oeuvre et sont oprationnels en Bulgarie, au Burkina Faso, en Cte d'Ivoire, au Cambodge, en Gorgie, au Prou, au Sngal, au Paraguay et en Turquie (secteur priv). Pour la priode 2004-2005, des activits sur les techniques de cyberscurit et les applications TIC sont actuellement en cours ou ont t menes bien en Afghanistan, en Barbade, au Bhoutan, en Bulgarie (Phase III), au Cameroun, en Jamaque, au Rwanda, en Turquie (tlsant et administration publique en ligne) et en Zambie (signatures lectroniques). Grce l'UIT, plusieurs pays en dveloppement ont, pour la premire fois, particip activement la mise en place et l'utilisation de services visant tablir la confiance et la scurit. Ainsi les TIC ont des retombes bnfiques non seulement dans le secteur du commerce mais aussi au niveau de la socit tout entire, qu'il s'agisse de l'administration publique ou de la sant. Des projets utilisant des technologies volues de scurit et de confiance, bases sur une infrastructure cls publiques (PKI) (techniques de l'authentification biomtrique, des cartes intelligentes, des certificats numriques et des signatures numriques UIT-T X.509), ont t mis en oeuvre ou sont en cours de mise en oeuvre en Barbade, au Bhoutan, en Bulgarie, au Burkina Faso, au Cambodge, au Cameroun, en Cte d'Ivoire, en Gorgie, en Jamaque, au Prou, au Sngal, au Paraguay, en Turquie et en Zambie. En Gorgie, l'UIT propose des solutions rentables pour scuriser la transmission et le traitement des documents numriss des administrations publiques et l'accs ces documents, ce qui permettra d'amliorer l'efficacit et la transparence des services publics. Les fonctionnaires de haut niveau du Ministre des transports et des communications de la Gorgie bnficieront en effet de systmes permettant d'automatiser les flux de travail, de signer et de diffuser numriquement les documents officiels, remplaant les mthodes "papier" lentes et assez coteuses. Il sera possible d'obtenir un accs autoris des documents sensibles grce des systmes de scurit et de confiance qui permettront d'tablir l'identit des fonctionnaires autoriss au sein du Ministre. Au Paraguay, l'UIT a fourni une assistance pour la mise en oeuvre d'une plate-forme fournissant un mcanisme internet de scurit et de confiance que les oprateurs et les fournisseurs de services pourront utiliser pour changer des informations sensibles (par exemple les dclarations de revenus) en format lectronique avec l'Autorit nationale de rglementation. Les outils TIC sont utiliss pour rationaliser le processus d'octroi de licences aux oprateurs de tlphonie publics et pour accrotre l'efficacit des oprations commerciales du rgulateur. Une assistance a t fournie pour dfinir le cadre d'une politique nationale sur l'utilisation des certificats numriques et le fonctionnement des autorits de certification. L'UIT a galement apport une assistance pour l'laboration des spcifications techniques et a fourni des avis de politique gnrale pour mettre en place en Jamaque et en Barbade une plate-forme pour la publication et la gestion des certificats numriques, offrant ainsi des services d'authentification robuste et assurant scurit et confiance pour les transactions en ligne de l'administration publique ou les transactions de commerce lectronique. Au Cameroun, le projet de l'UIT permet de scuriser la transmission sur l'internet de documents sensibles de l'administration publique et d'offrir des services administratifs en ligne aux citoyens vivant dans des zones urbaines ou isoles o il n'y a aucune infrastructure administrative physique. L'authentification robuste, la confidentialit des donnes, l'intgrit des donnes et la non-rpudiation de l'information, autant de systmes bass sur les techniques de cryptage et de signature lectronique permettent de rgler certains problmes de scurit, notamment l'usurpation d'identit.

124

Annexe C

Guide de la cyberscurit pour les pays en dveloppement

En Bulgarie, l'assistance fournie par l'UIT pour la mise en oeuvre d'une plate-forme de cyberscurit permet d'assurer des communications extrmement fiables entre le Ministre des transports et des communications, le Ministre des finances, le Conseil des ministres et la Commission charge de la rglementation des communications (CRC), en utilisant une infrastructure cls publiques (PKI) et des applications compatibles PKI. Cette plate-forme permet une interaction scurise, efficace et rentable entre les hauts fonctionnaires du gouvernement, en complment des runions "physiques" et amliore la productivit. Toutes les donnes changes entre les fonctionnaires sont scurises, signes numriquement grce l'utilisation des techniques de confidentialit des donnes, de nonrpudiation de l'information, d'intgrit des donnes et d'authentification robuste. L'objectif stratgique du projet est d'amliorer les services de soins de sant en Turquie en mettant en place un support d'information sur la sant scuris qui permet aux prestataires de soins de sant (soins de sant primaires et secondaires), aux professionnels de la sant et aux citoyens d'avoir accs facilement et de faon sre, des informations dans le domaine de la sant en utilisant les TIC les plus rcentes. Les lments essentiels de ce programme sont l'laboration de systmes d'information pour les soins de sant primaires en complment du rseau des mdecins de famille, la mise en place de dossiers mdicaux lectroniques et le dveloppement de systmes interoprables entre les fournisseurs de services de soins de sant, notamment les centres de soins de sant primaires, les hpitaux et les socits d'assurance publiques et prives.
Politiques et stratgies nationales et rgionales

Un atelier a t organis l'intention de 128 pays afin de partager les informations et les meilleures pratiques sur les technologies de scurit et de confiance et sur les politiques applicables au commerce lectronique. L'UIT a organis des ateliers et des sminaires sur les stratgies relatives aux techniques de cyberscurit dans un certain nombre de pays (par exemple, Azerbadjan, Cameroun, Chili (pour les pays du Mercusor), Mongolie, Pakistan, Paraguay, Roumanie, Seychelles, Rpublique arabe syrienne et Ouzbkistan). La scurit et la confiance ont t parmi les principaux thmes abords au Colloque rgional organis par l'UIT en novembre 2004 sur l'administration publique en ligne et le protocole internet l'intention des Etats de la rgion arabe. Ce colloque a abouti la Dclaration de Duba, laquelle souligne qu'il est ncessaire que l'UIT poursuive ses activits dans le domaine de la cyberscurit pour les cyberapplications et les cyberservices. Un manuel sur la cyberscurit est actuellement en cours d'laboration afin d'aider les pays en dveloppement et les pays les moins avancs renforcer leurs capacits locales et mieux connatre certains des problmes essentiels que pose la scurit pour la socit de l'information. Ce manuel donnera des explications sur certains des grands problmes comme le spam, les logiciels furtifs nfastes ou malware (virus, vers, chevaux de Troie), le caractre confidentiel des donnes, l'absence d'authentification, la ncessit de la confidentialit et de l'intgrit des donnes. D'autres sujets ont t abords lors de ce colloque, qui devait se terminer en novembre 2005, notamment l'laboration de lignes directrices et de meilleures pratiques sur une lgislation relative la cyberscurit et des exemples de mthodes utilises pour protger les infrastructures critiques ont t donns. En 2005, l'UIT-D a organis les manifestations suivantes: 1 2 3 UIT/Union europenne (ENISA) - Sminaire rgional sur la cyberscurit pour la CEE, les pays de la CEI et les Etats baltes. Sminaire sous-rgional sur la cyberscurit pour les rseaux d'information et de communication. Runion thmatique du SMSI sur la cyberscurit organise par l'UIT-D, l'UIT-T et le Secrtariat gnral.
Annexe C 125

Guide de la cyberscurit pour les pays en dveloppement

Assistance fournie pour l'laboration d'une lgislation approprie

L'utilisation des applications TIC suppose l'existence d'un environnement juridique et politique appropri pour rgler des questions comme le caractre confidentiel des donnes, la prvention du cybercrime, la scurit, les problmes d'thique, les signatures lectroniques, les autorits de certification et les contrats lectroniques pour susciter la confiance, protger les droits et encourager l'utilisation des applications TIC. L'UIT a fourni une assistance aux pays suivants pour l'laboration d'un modle de lgislation couvrant des domaines comme le commerce lectronique, la protection des donnes, les transactions en ligne, la certification, l'authentification et le cryptage numriques: les Etats Membres de l'ASETA (Bolivie, Colombie, Equateur, Prou et Venezuela), le Burkina Faso, le Cap-Vert, la Mauritanie, la Mongolie et la Tanzanie. Dans le cadre des efforts qu'elle dploie pour fournir aux pays en dveloppement des lignes directrices et des tudes de cas consacres l'laboration d'une lgislation sur la confidentialit des donnes, les applications TIC, la prvention du cybercrime, l'UIT a publi un rapport bas sur des recherches ainsi qu'une analyse contenant des exemples concrets illustrant comment certains pays ont labor une lgislation sur la prvention du cybercrime. Ce travail a t fait par Mme Michela Menting Yoell de l'Universit d'Essex (Angleterre) dans le cadre d'un stage de trois mois l'Unit E-strategies de l'UIT/BDT pour l'obtention de son diplme LLM en technologies de l'information, mdia et commerce lectronique. Une version PDF de ce rapport peut tre tlcharge l'adresse suivante: Recherche sur la lgislation relative au caractre confidentiel des donnes, la scurit et la prvention du cybercrime.

126

Annexe C

Guide de la cyberscurit pour les pays en dveloppement

Annexe D Principales questions en matire de scurit qui font lobjet de travaux au sein de lUIT-T durant la priode 2005-2008
Issu du site http://www.itu.int/ITU-T/studygroups/com17/questions.html

Questions attribues la Commission dtudes 17 de lUIT-T (priode dtudes 2005-2008) Commission dtudes 17: Scurit, langages et logiciels de tlcommunication Question 2/17 Services d'annuaire, systmes d'annuaire et certificats d'attributs et de cls publiques

2.1

Services d'annuaire a) Quelles dfinitions et quels profils de services nouveaux faut-il adopter pour tirer parti de techniques d'annuaire aussi rpandues que X.500 et LDAP, par exemple? b) Quelles modifications faut-il apporter aux Recommandations des sries E et F et/ou quelles nouvelles Recommandations faut-il laborer pour spcifier les amliorations apporter aux dfinitions et profils de services d'annuaire existants et pour en corriger les dfauts? a) Systmes d'annuaire Quelles amliorations faut-il apporter l'annuaire afin de l'adapter aux besoins des utilisateurs actuels et potentiels, par exemple obtention d'une meilleure homognit des informations d'annuaire dans les sites o elles sont recopies, opration de prise en charge des informations ajoutes aux attributs d'annuaire par les utilisateurs, amlioration de la qualit de fonctionnement lors de l'extraction d'un nombre lev de rponses ou solutions proposes pour rgler les cas de confusion lie la dtention sous des noms identiques d'informations diffrentes par plusieurs fournisseurs de services d'annuaire? Quelles autres amliorations faut-il apporter l'annuaire pour autoriser l'interfonctionnement avec des services mis en oeuvre l'aide de la spcification LDAP de l'IETF, y compris l'utilisation ventuelle de XML pour l'accs aux annuaires, ainsi que leur prise en charge? Quelles autres amliorations faut-il apporter l'annuaire et aux certificats d'attributs et de cls publiques pour permettre leur utilisation dans des environnements limits en ressources, par exemple, les rseaux hertziens et les rseaux multimdias? Quelles autres amliorations faut-il apporter l'annuaire pour en amliorer l'intgration dans des domaines tels que les services de rseau intelligent, de rseaux de tlcommunication et d'annuaire publics? Quelles modifications faut-il apporter aux Recommandations de la srie X.500 et/ou quelles sont les nouvelles Recommandations laborer pour mieux dfinir les amliorations de l'annuaire et pour trouver des solutions ses imperfections? L'tude consacre aux systmes d'annuaire sera ralise en coopration avec le JTC 1 de l'ISO/CEI dans le cadre du travail qu'il consacre l'extension de la norme ISO/CEI 9594, texte commun aux Recommandations X.500-X.530. Une liaison et une troite coopration seront en outre maintenues avec l'IETF, en particulier dans les domaines du LDAP.

2.2

b)

c)

d)

e)

2.3

Certificats d'attributs et de cls publiques a) Quelles autres amliorations faut-il apporter aux certificats d'attributs et de cls publiques pour permettre leur utilisation dans des environnements limits en ressources, par exemple, les rseaux hertziens et les rseaux multimdias? b) Quelles autres amliorations faut-il apporter aux certificats d'attributs et de cls publiques pour accrotre leur utilit dans des domaines tels que la biomtrie, l'authentification, la commande d'accs et le commerce lectronique?
Annexe D 127

Guide de la cyberscurit pour les pays en dveloppement

c) Quelles modifications faut-il apporter la Recommandation X.509 pour mieux dfinir les amliorations de la Recommandation X.509 et pour trouver des solutions ses imperfections? L'tude consacre aux certificats d'attributs et de cls publiques sera ralise en coopration avec le JTC 1 de l'ISO/CEI dans le cadre du travail qu'il consacre l'extension de la norme ISO/CEI 9594-8, texte commun la Recommandation X.509. Une liaison et une troite coopration seront en outre maintenues avec l'IETF, en particulier dans les domaines de la PKI.
Question 4/17 Projet relatif la scurit des systmes de communication (Suite de la Question G/17)

Le domaine de la scurit est vaste et couvre de nombreux sujets. La scurit peut tre applique la quasi-totalit des aspects des technologies des tlcommunications et de l'information. Pour spcifier les exigences de scurit, il est possible de choisir entre deux mthodes: La mthode ascendante, en vertu de laquelle les experts du domaine laborent des mesures de scurit visant renforcer et protger le domaine du rseau qui leur incombe, par exemple, biomtrie, cryptographie, etc. Cette mthode est la plus rpandue mais l'tude de la scurit, telle qu'elle est effectue dans les diffrentes organisations, est fragmente. La mthode descendante offre une vision stratgique et de haut niveau de la scurit. Dans cette mthode, il est indispensable d'avoir un aperu gnral de la situation. Cette mthode est aussi la plus complexe car il est plus difficile de trouver des experts qui possdent une connaissance dtaille de chaque partie du rseau et de leurs exigences de scurit, que des experts du sujet qui possdent, quant eux, une connaissance spcifique d'un ou deux domaines. Une autre solution consiste combiner les deux mthodes prcites, tant entendu qu'elle suppose une coordination indispensable. Cette faon de procder a souvent pos de nombreux problmes, en raison des diffrents intrts et programmes dont il faut tenir compte. La prsente Question vise fixer de grands principes mais aussi assurer la coordination et l'organisation de toute la gamme des activits dployer dans le domaine de la scurit des communications l'UIT-T. La mthode descendante sera utilise en collaboration avec d'autres Commissions d'tudes et d'autres organisations de normalisation. Ce projet vise mettre en place une mthode plus cible au niveau des projets et des stratgies. Questions a) Quels sont les rsultats attendus du projet relatif la scurit des systmes de communication? b) Quels sont les processus, sujets d'tude, mthodes de travail et dlai prvoir pour obtenir les rsultats attendus dans le cadre du projet? c) Quels recueils de textes et quels manuels sur la scurit devront tre labors et mis jour par l'UIT? d) Quels ateliers sur la scurit faudra-t-il organiser? e) Quelles mesures faut-il prendre pour nouer des relations efficaces avec d'autres organisations de normalisation en vue de progresser dans le domaine de la scurit? f) Quels sont les principales tapes et les critres dterminants du succs? g) Comment stimuler l'intrt des Membres du Secteur et des administrations et les encourager poursuivre les efforts engags dans le domaine de la scurit? h) Comment faire en sorte que les fonctions de scurit retiennent davantage l'attention du march? i) Comment bien faire comprendre aux gouvernements qu'il est indispensable et urgent de protger les intrts conomiques au niveau mondial, qui dpendent d'une infrastructure robuste et scurise des tlcommunications?
Annexe D

128

Guide de la cyberscurit pour les pays en dveloppement

Question 5/17 - Architecture et cadre gnral de la scurit

Compte tenu des dangers qui menacent la scurit du secteur de la communication et des progrs raliss dans le domaine des contre-mesures de protection, il convient d'explorer les nouveaux besoins en matire de scurit ainsi que leurs solutions. Il convient d'tudier la fois la scurit applicable aux nouveaux types de rseaux et la scurit applicable aux nouveaux services. 2 Questions a) Comment faut-il dfinir une solution complte et cohrente en matire de scurit de communication? b) Quelle architecture faut-il appliquer pour une solution complte et cohrente en matire de scurit de communication? c) Quel est le cadre d'application de l'architecture de scurit pour laborer une nouvelle solution de scurit? d) Sur quel cadre d'application de l'architecture de scurit faut-il s'appuyer pour valuer (et donc amliorer) une solution de scurit existante? e) Quelles sont les bases architecturales de la scurit? i) Quelle est l'architecture de scurit des technologies mergentes? ii) Quelle est l'architecture pour la scurit de bout en bout? iii) Quelle est l'architecture de scurit pour l'environnement mobile? iv) Quelles architectures de scurit technique sont ncessaires? Par exemple: a) Quelle est l'architecture de scurit pour les systmes ouverts? b) Quelle est l'architecture de scurit pour les rseaux IP? c) Quelle est l'architecture de scurit pour le rseau NGN? f) Comment convient-il de modifier les Recommandations sur les modles de scurit des couches suprieures et infrieures afin de les adapter l'volution de l'environnement et quelles nouvelles Recommandations peuvent tre ncessaires? g) Comment faut-il structurer les normes Recommandations existantes sur la scurit? architecturales en ce qui concerne les

h) Comment convient-il de modifier les Recommandations dfinissant le cadre de scurit pour les adapter aux technologies mergentes et quelles nouvelles Recommandations peuvent tre ncessaires? i) Comment interviennent les services de scurit pour proposer des solutions de scurit?

Question 6/17 Cyberscurit

De nombreux mcanismes de protection et de dtection ont t mis en oeuvre: pare-feux et systmes de dtection d'intrusion (IDS), mais la plupart d'entre eux privilgient uniquement les aspects techniques. S'il est vrai que ces solutions techniques sont importantes, il est ncessaire d'tudier plus avant la cyberscurit du point de vue de la normalisation sur le plan international. 2 Questions

Il convient d'tudier les domaines ci-aprs de la cyberscurit: processus de distribution, de partage et de divulgation de l'information sur la vulnrabilit; procdure normalise des oprations de traitement des incidents dans le cyberespace; stratgie de protection de l'infrastructure critique du rseau.
Annexe D 129

Guide de la cyberscurit pour les pays en dveloppement

Question 7/17 - Gestion de la scurit

Questions a) Comment faut-il dfinir et grer les dangers qui menacent les systmes de tlcommunication? b) Comment faut-il dterminer et grer les actifs en matire d'information des systmes de tlcommunication? c) Comment faut-il identifier les questions qui concernent en particulier la gestion des entreprises de tlcommunication? d) Comment faut-il construire correctement des systmes de gestion de la scurit de l'information (ISMS) pour les oprateurs de tlcommunication, conformment aux normes actuelles en matire d'ISMS? e) Comment faut-il traiter et grer les incidents de scurit dans les tlcommunications?

Question 8/17 Tlbiomtrie (Suite de la Question K/17)

2 a) b)

c) d) e)

f)

Questions Comment peut-on amliorer l'identification et l'authentification des utilisateurs par l'utilisation de mthodes scurises de tlbiomtrie? Comment la nouvelle partie de la Norme CEI 60027 Sous-ensemble physiologique sera-t-elle utilise l'UIT-T pour fournir les lments d'un modle appropri de classement des dispositifs scuriss de tlbiomtrie? Comment utiliser les systmes de rfrenciation des niveaux de scurit pour incorporer les solutions de tlbiomtrie dans un ordre hirarchique? Comment faut-il identifier les technologies d'authentifications biomtriques pour les tlcommunications? Comment faut-il identifier les spcifications des technologies d'authentifications biomtriques pour les tlcommunications partir de la technologie de cryptographie comme l'infrastructure PKI? Comment faut-il identifier le modle et la procdure des technologies d'authentifications biomtriques pour les tlcommunications partir de la technologie de cryptographie comme l'infrastructure PKI?

Question 9/17 - Services de communication scuriss (Suite de la Question L/17)

2 a) b) c) d) e) f) g) h)

Questions Comment faut-il identifier et dfinir les services de communication scuriss dans les services de communications mobiles ou les services du web? Comment faut-il identifier et prendre en charge les menaces qui psent sur les services de communication? Quelles sont les technologies de scurit qui permettent de prendre en charge les services de communication scuriss? Comment maintenir une interconnectivit scurise entre les systmes de communication? Quelles techniques de scurit sont ncessaires pour offrir des services de communication scuriss? Quelles techniques et quels protocoles de scurit sont ncessaires pour les nouveaux services scuriss du web? Quels protocoles d'application scuriss faut-il appliquer aux services de communication scuriss? Quelles sont les solutions de scurit globales applicables aux services de communication scuriss et leurs applications?

130

Annexe D

Guide de la cyberscurit pour les pays en dveloppement

Annexe E Rfrences bibliographiques


Texte de rfrence prsentant de manire pdagogique les normes de la scurit du monde des tlcommunications labores par lUIT-T:
Security in telecommunications and information technology: an overview of issues and the deployment of existing ITU-T Recommendations for secure telecommunication. ITU T; October 2004 Site web: http://www.itu.int/itudoc/itu-t/86435.html
Quelques ouvrages de rfrence

Anderson Ross, Security Engineering, A Guide To Building Dependable Distributed Systems, Wiley, 2001, ISBN 0-471-38922-6 Bishop Matt, Computer security: art and science, Addisson-Wesley, 2002, ISBN 0-201-44099-7 Black Uyless, Internet Security Protocols, Protecting IP Traffic, Pentice Hall, ISBN 0-13-014249-2 Denning Dorothy E., Information Warfare and Security, Addison-Wesley, 1999, ISBN 0-201-43303-6 Dufour Arnaud, Ghernaouti-Hlie Solange; Internet PUF, Que sais-je? N 3073 ISBN: 2-13053190-3 Ferguson Niels, Schneier Bruce, Practical Cryptography, Wiley, 2003, ISBN 0-471-22357-3 Ghernaouti-Hlie Solange; Internet & Scurit PUF Que sais-je? N 3609 ISBN: 2-13-051010-8 Ghernaouti-Hlie Solange; Scurit informatique et rseaux, cours et exercices corrigs Dunod 2006. Panko Raymond, Scurit des systmes dinformation et des rseaux, Pearson Education (version franaise), 2004 Poulin Guillaume, Soyer Julien, Trioullier Marc-ric, Scurit des architectures Web, ne pas prvoir c'est dj gmir, Dunod, 2004. Schneier Bruce, Beyond Fear, Thinking Sensibly About Security In An Uncertain World, Copernicus Books, 2003, ISBN 0-387-02620-7 Schneier Bruce, Secrets et mensonges, la scurit numrique dans un monde en rseau, Vuibert, (version franaise) 2001, ISBN 2-711786-846 Schneier Bruce, Cryptographie Applique, Algorithmes, protocoles et codes source en C, 2me dition, Vuibert, 2001, ISBN 2-7117-8676-5 version franaise de Schneier Bruce, Applied Cryptography, Protocols, Algorithms and Source Code in C, Second Edition, Wiley, 1996, ISBN 0-471-11709-9 Singh Simon, Histoire des codes secrets, JC Latts, 1999, ISBN 2-7096-2048-0 Stallings William, Cryptography And Network Security, principles and practice, Prentice Hall, 1999, ISBN 0-13-869017-0 Stallings William, Network And Internetwork Security, principles and practice, Prentice Hall, 1995, ISBN 0-13-180050-7 Stallings William, Network Security Essentials, applications and standards, Prentice Hall, 2000, ISBN 0-13-016093-8
Sites de rfrences Sites en franais:

Site du Premier Ministre (F): http://www.premier-ministre.gouv.fr Voir particulirement la rubrique Technologie de l'information dans la thmatique: communication. Site http://www.internet.gouv.fr: site consacr au dveloppement de la socit de l'information
Annexe E 131

Guide de la cyberscurit pour les pays en dveloppement

Portail de l'administration franaise: http://www.service-public.gouv.fr. A partir de ce site, on peut retrouver tous les services en ligne, et particulirement sous la rubrique se documenter Site du service public relatif au droit: http://www.legifrance.gouv.fr Site de la direction de la documentation franaise: http://www.ladocfrancaise.gouv.fr Site http://www.foruminternet.org/: Espace d'information et de dbat sur le droit de et sur l'internet et des rseaux Site de la Commission nationale de l'informatique et des liberts (F): http://www.cnil.fr Site de l'Office central de lutte contre la criminalit lie aux technologies de l'information et de la communication (F): http://www.interieur.gouv.fr/rubriques/c/c3_police_nationale/c3312_oclctic Observatoire de la scurit des systmes d'information et des rseaux: http://www.ossir.org Site du Clusif: www.clusif.asso.fr. Panorama de la cybercriminalit: https://www.clusif.asso.fr/fr/production/ouvrages/
Autres sites

Site du CERT: www.cert.org Site du NIST: http://www.nist.gov; site du National Institute of Standards and Technology (NIST) aux Etats-Unis Site de la NSA: http://www.nsa.gov; site de la National Security Agency aux Etats-Unis Site du CSE: http://www.cse.dnd.ca; le Centre de la Scurit des Tlcommunications au Canada Site du CESG: http://www.cesg.gov.uk; de la National Technical Authority for Information Assurance en Grande-Bretagne Site du BSI: http://www.bsi.bund.de. Le BSI est lOffice Fdral de la Scurit de l'Information en Allemagne. Ce site est en anglais et allemand Site du DSD: http://www.dsd.gov.au; site du Defence Signals Directorate prsente en Australie et Nouvelle Zlande. Ce site est ddi la veille numrique et la scurit de l'information The National White Collar Crime Center: IFCC Internet fraud complaint Center: http://www1.ifccfbi.gov/index.asp; Internet Fraud Crime Report 2004 http://www1.ifccfbi.gov/strategy/2004_IC3Report.pdf
News Letters

cryptogram de Bruce Schneier [schneier@COUNTERPANE.COM] CRYPTO-GRAM-LIST@LISTSERV.MODWEST.COM Info lettre du Forum des droits sur l'internet infolettre@listes.foruminternet.org US-CERT Security Bulletins [security-bulletins@us-cert.gov] security-bulletins@us-cert.gov La lettre d'information de cyber police http://cyberpolice.over-blog.com/ cyberpolice.over-blog.com [newsletter@over-blog.com]

132

Annexe E

Guide de la cyberscurit pour les pays en dveloppement

Annexe F Les lignes directrices rgissant la scurit des systmes et rseaux dinformation vers une culture de la scurit OCDE
Prface
Le degr dutilisation des systmes et rseaux dinformation et lenvironnement des technologies de linformation dans son ensemble ont volu de faon spectaculaire depuis 1992, date laquelle lOCDE a rendu publiques ses Lignes directrices rgissant la scurit des systmes dinformation. Ces volutions constantes offrent des avantages significatifs mais requirent galement que les gouvernements, les entreprises, les autres organisations et les utilisateurs individuels qui dveloppent, possdent, fournissent, grent, maintiennent et utilisent les systmes et rseaux dinformation (parties prenantes), portent une bien plus grande attention la scurit. Des ordinateurs personnels toujours plus puissants, des technologies convergentes et la trs large utilisation de linternet ont remplac ce qui tait autrefois des systmes autonomes aux capacits limites, dans des rseaux essentiellement ferms. Aujourdhui, les parties prenantes sont de plus en plus interconnectes et les connexions franchissent les frontires nationales. De surcrot, linternet est le support dinfrastructures vitales telles que lnergie, les transports et les activits financires et joue un rle majeur dans la faon dont les entreprises conduisent leurs activits, dont les gouvernements assurent des services aux citoyens et aux entreprises et dont les citoyens communiquent et changent des informations. La nature et le type des technologies constituant linfrastructure des communications et de linformation ont galement sensiblement volu. Le nombre et la nature des dispositifs daccs cette infrastructure se sont multiplis et diversifis pour englober les terminaux daccs fixes, sans fil et mobiles et une proportion croissante des accs seffectue par lintermdiaire de connexions permanentes. Par voie de consquence, la nature, le volume et le caractre sensible de linformation change ont augment de faon significative. Du fait de leur connectivit croissante, les systmes et rseaux dinformation sont dsormais exposs un nombre croissant et un ventail plus large de menaces et vulnrabilits, ce qui pose de nouveaux problmes de scurit. Les prsentes lignes directrices sadressent donc lensemble des parties renantes la nouvelle socit de linformation, et suggrent le besoin dune prise de conscience et dune comprhension des questions de scurit accrues, ainsi que la ncessit de dvelopper une culture de la scurit.

F.1

Vers une culture de la scurit

Ces lignes directrices rpondent un environnement en constante volution en appelant au dveloppement dune culture de la scurit ce qui signifie porter une attention trs grande la scurit lors du dveloppement des systmes dinformation et des rseaux et adopter de nouveaux modes de pense et de comportement lors de lutilisation des systmes et rseaux dinformation et dans le cadre des changes qui y prennent place. Les lignes directrices marquent une rupture nette avec un temps o la scurit nintervenait que trop souvent de faon incidente dans la conception et lutilisation des rseaux et systmes dinformation. Les parties prenantes sont de plus en plus tributaires des systmes dinformation, des rseaux et des services qui leur sont lis, lesquels doivent tous tre fiables et scuriss. Seule une approche prenant dment en compte les intrts de toutes les parties prenantes et la nature des systmes, rseaux et services connexes peut permettre dassurer une scurit efficace. Chaque partie prenante a un rle important jouer pour assurer la scurit. Les parties prenantes, en fonction de leurs rles respectifs, doivent tre sensibilises aux risques lis la scurit ainsi quaux parades appropries, doivent assumer leurs responsabilits et prendre des mesures de nature amliorer la scurit des systmes et rseaux dinformation.

Annexe F

133

Guide de la cyberscurit pour les pays en dveloppement

Linstauration dune culture de la scurit ncessitera la fois une impulsion et une large participation et devrait se traduire par une priorit renforce donne la planification et la gestion de la scurit, ainsi que par une comprhension de lexigence de scurit par lensemble des participants. Les questions de scurit doivent tre un sujet de proccupation et de responsabilit tous les niveaux du gouvernement et des entreprises et pour lensemble des parties prenantes. Les prsentes lignes directrices offrent un fondement aux efforts en vue dinstaurer une culture de la scurit dans lensemble de la socit. Les parties prenantes seront ainsi mme dagir pour que la scurit devienne partie intgrante de la conception et de lutilisation de tous les systmes et rseaux dinformation. Les lignes directrices proposent que toutes les parties prenantes adoptent et encouragent une culture de la scurit qui guide la rflexion, la dcision et laction concernant le fonctionnement des systmes et rseaux dinformation.

F.2

Buts
Promouvoir parmi lensemble des parties prenantes une culture de la scurit en tant que moyen de protection des systmes et rseaux dinformation. Renforcer la sensibilisation aux risques pour les systmes et rseaux dinformation, aux politiques, pratiques, mesures et procdures disponibles pour faire face ces risques, ainsi qu la ncessit de les adopter et de les mettre en uvre. Promouvoir parmi lensemble des parties prenantes une plus grande confiance dans les systmes et rseaux dinformation et dans la manire dont ceux-ci sont mis disposition et utiliss. Crer un cadre gnral de rfrence qui aide les parties prenantes comprendre la nature des problmes lis la scurit, et respecter les valeurs thiques dans llaboration et la mise en uvre de politiques, pratiques, mesures et procdures cohrentes pour la scurit des systmes et rseaux dinformation. Promouvoir parmi lensemble des parties prenantes, la coopration et le partage dinformations appropris pour llaboration et la mise en uvre des politiques, pratiques, mesures et procdures pour la scurit. Promouvoir la prise en considration de la scurit en tant quobjectif important parmi toutes les parties prenantes associes llaboration et la mise en uvre de normes.

Lobjet des lignes directrices est de:

F.3

Principes

Les neuf principes exposs ci-aprs se compltent et doivent tre considrs comme un tout. Ils sadressent aux parties prenantes tous les niveaux, y compris politique et oprationnel. Aux termes des lignes directrices, les responsabilits des parties prenantes varient selon le rle qui est le leur. Toutes les parties prenantes, peuvent tre aides par des actions de sensibilisation, dducation, de partage dinformations et de formation de nature faciliter une meilleure comprhension des questions de scurit et ladoption de meilleures pratiques en ce domaine. Les efforts visant renforcer la scurit des systmes et rseaux dinformation doivent respecter les valeurs dune socit dmocratique, en particulier le besoin dune circulation libre et ouverte de linformation ainsi que les principes de base de respect de la vie prive des individus62.

62 Outre les prsentes lignes directrices sur la scurit, lOCDE a labor une srie de recommandations complmentaires concernant des lignes directrices relatives dautres aspects importants de la socit mondiale de linformation. Celles-ci visent la vie prive (Lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de caractre personnel, OCDE, 1980) et la cryptographie (Lignes directrices rgissant la politique de cryptographie, OCDE, 1997). Les prsentes lignes directrices sur la scurit doivent tre lues en parallle avec ces autres lignes directrices. 134 Annexe F

Guide de la cyberscurit pour les pays en dveloppement

1) Sensibilisation Les parties prenantes doivent tre sensibilises au besoin dassurer la scurit des systmes et rseaux dinformation et aux actions quelles peuvent entreprendre pour renforcer la scurit. La sensibilisation aux risques et aux parades disponibles est la premire ligne de dfense pour assurer la scurit des systmes et rseaux dinformation. Les systmes et rseaux dinformation peuvent tre exposs des risques tant internes quexternes. Les parties prenantes doivent comprendre que les dfaillances de scurit peuvent gravement porter atteinte aux systmes et rseaux sous leur contrle mais aussi, du fait de linterconnectivit et de linterdpendance, ceux dautrui. Les parties prenantes doivent rflchir la configuration de leur systme, aux mises jour disponibles pour ce dernier, la place quil occupe dans les rseaux, aux bonnes pratiques quelles peuvent mettre en uvre pour renforcer la scurit, ainsi quaux besoins des autres parties prenantes. 2) Responsabilit Les parties prenantes sont responsables de la scurit des systmes et rseaux dinformation. Les parties prenantes sont tributaires de systmes et rseaux dinformation locaux et mondiaux interconnects. Elles doivent comprendre leur responsabilit dans la scurit de ces systmes et rseaux et en tre, en fonction du rle qui est le leur, individuellement comptables. Elles doivent rgulirement examiner et valuer leurs propres politiques, pratiques, mesures et procdures pour sassurer quelles sont adaptes leur environnement. Celles qui dveloppent, conoivent et fournissent des produits et services doivent prendre en compte la scurit des systmes et rseaux et diffuser des informations appropries, notamment des mises jour en temps opportun de manire ce que les utilisateurs puissent mieux comprendre les fonctions de scurit des produits et services et leurs responsabilits en la matire. 3) Raction Les parties prenantes doivent agir avec promptitude et dans un esprit de coopration pour prvenir, dtecter et rpondre aux incidents de scurit. Du fait de linterconnectivit des systmes et rseaux dinformation et de la propension des dommages se rpandre rapidement et massivement, les parties prenantes doivent ragir avec promptitude et dans un esprit de coopration aux incidents de scurit. Elles doivent changer leurs informations sur les menaces et vulnrabilits de manire approprie et mettre en place des procdures pour une coopration rapide et efficace afin de prvenir et dtecter les incidents de scurit et y rpondre. Lorsque cela est autoris, cela peut impliquer des changes dinformations et une coopration transfrontires. 4) Ethique Les parties prenantes doivent respecter les intrts lgitimes des autres parties prenantes. Les systmes et rseaux dinformation sont omniprsents dans nos socits et les parties prenantes doivent tre conscientes du tort quelles peuvent causer autrui par leur action ou leur inaction. Une conduite thique est donc indispensable et les parties prenantes doivent sefforcer dlaborer et dadopter des pratiques exemplaires et de promouvoir des comportements qui tiennent compte des impratifs de scurit et respectent les intrts lgitimes des autres parties prenantes. 5) Dmocratie La scurit des systmes et rseaux dinformation doit tre compatible avec les valeurs fondamentales dune socit dmocratique. La scurit doit tre assure dans le respect des valeurs reconnues par les socits dmocratiques, et notamment la libert dchanger des penses et des ides, la libre circulation de linformation, la confidentialit de linformation et des communications, la protection adquate des informations de caractre personnel, louverture et la transparence.
Annexe F 135

Guide de la cyberscurit pour les pays en dveloppement

6) Evaluation des risques Les parties prenantes doivent procder des valuations des risques. Lvaluation des risques permet de dceler les menaces et vulnrabilits et doit tre suffisamment large pour couvrir lensemble des principaux facteurs internes et externes, tels la technologie, les facteurs physiques et humains, les politiques et services de tierces parties ayant des implications sur la scurit. Lvaluation des risques permettra de dterminer le niveau acceptable de risque et facilitera la slection de mesures de contrles appropries pour grer le risque de prjudices possibles pour les systmes et rseaux dinformation compte tenu de la nature et de limportance de linformation protger. Lvaluation des risques doit tenir compte des prjudices aux intrts dautrui ou causs par autrui rendus possibles par linterconnexion croissante des systmes dinformation. 7) Conception et mise en uvre de la scurit Les parties prenantes doivent intgrer la scurit en tant quun lment essentiel des systmes et rseaux dinformation. Les systmes, rseaux et politiques doivent tre conus, mis en uvre et coordonns de faon approprie afin doptimiser la scurit. Un axe majeur, mais non exclusif, de cet effort doit tre la conception et ladoption de mesures de protection et solutions appropries afin de prvenir ou limiter les prjudices possibles lis aux vulnrabilits et menaces identifies. Les mesures de protection et solutions doivent tre la fois techniques et non techniques et tre proportionnes la valeur de linformation dans les systmes et rseaux dinformation de lorganisation. La scurit doit tre un lment fondamental de lensemble des produits, services, systmes et rseaux et faire partie intgrante de la conception et de larchitecture des systmes. Pour lutilisateur final, la conception et la mise en uvre de la scurit consistent essentiellement slectionner et configurer des produits et services pour leurs systmes. 8) Gestion de la scurit Les parties prenantes doivent adopter une approche globale de la gestion de la scurit. La gestion de la scurit doit tre fonde sur lvaluation des risques et tre dynamique et globale afin de couvrir tous les niveaux dactivits des parties prenantes et tous les aspects de leurs oprations. Elle doit inclure galement, par anticipation, des rponses aux menaces mergentes et couvrir la prvention, la dtection et la rsolution des incidents, la reprise des systmes, la maintenance permanente, le contrle et laudit. Les politiques de scurit des systmes et rseaux dinformation, les pratiques, mesures et procdures en matire de scurit doivent tre coordonnes et intgres pour crer un systme cohrent de scurit. Les exigences de la gestion de la scurit sont fonction du niveau de participation, du rle de la partie prenante, des risques en jeu et des caractristiques du systme. 9) Rvaluation Les parties prenantes doivent examiner et rvaluer la scurit des systmes et rseaux dinformation et introduire les modifications appropries dans leurs politiques, pratiques, mesures et procdures de scurit. Des vulnrabilits et menaces nouvelles ou volutives sont constamment dcouvertes. Toutes les parties prenantes doivent continuellement revoir, rvaluer et modifier tous les aspects de la scurit pour faire face ces risques volutifs.

136

Annexe F

Guide de la cyberscurit pour les pays en dveloppement

Recommandation du Conseil concernant les lignes directrices regissant la securit des systmes et rseaux dinformation vers une culture de la securit

LE CONSEIL,
Vu la Convention relative lOrganisation de Coopration et de Dveloppement Economiques, en date du 14 dcembre 1960, et notamment ses articles 1 b), 1 c), 3 a) et 5 b); Vu la Recommandation du Conseil concernant les Lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de caractre personnel, en date du 23 septembre 1980 [C(80)58(Final)]; Vu la Dclaration sur les flux transfrontires de donnes adopte par les gouvernements des pays Membres de lOCDE le 11 avril 1985 [C(85)139,Annexe]; Vu la Recommandation du Conseil relative aux Lignes directrices rgissant la politique de cryptographie, en date du 27 mars 1997 [C(97)62/FINAL]; Vu la Dclaration ministrielle relative la protection de la vie prive sur les rseaux mondiaux, en date des 7-9 dcembre 1998 [C(98)177/FINAL, Annexe]; Vu la Dclaration ministrielle sur lauthentification pour le commerce lectronique, en date des 7-9 dcembre 1998 [C(98)177/FINAL, Annexe]; Reconnaissant que les systmes et rseaux dinformation sont de plus en plus utiliss et acquirent une valeur croissante pour les gouvernements, les entreprises, les autres organisations, et les utilisateurs individuels; Reconnaissant que le rle toujours plus important que jouent les systmes et rseaux dinformation dans la stabilit et lefficience des conomies nationales et des changes internationaux, ainsi que dans la vie sociale, culturelle et politique, et laccentuation de la dpendance leur gard imposent des efforts particuliers pour protger et promouvoir la confiance qui les entoure; Reconnaissant que les systmes et rseaux dinformation et leur expansion lchelle mondiale se sont accompagns de risques nouveaux et en nombre croissant; Reconnaissant que les donnes et informations conserves ou transmises sur des systmes et rseaux dinformation sont exposes des menaces du fait de divers moyens daccs sans autorisation, dutilisation, dappropriation abusive, daltration, de transmission de code malveillant, de dni de service ou de destruction, et exigent des mesures de protection appropries; Reconnaissant quil importe de sensibiliser davantage aux risques pesant sur les systmes et rseaux dinformation ainsi quaux politiques, pratiques, mesures et procdures disponibles pour faire face ces risques, et dencourager des comportements appropris en ce quils constituent une tape essentielle dans le dveloppement dune culture de la scurit; Reconnaissant quil convient de revoir les politiques, pratiques, mesures et procdures actuelles pour aider faire en sorte quelles rpondent de faon adquate aux dfis en constante volution que posent les menaces auxquelles sont exposs les systmes et rseaux dinformation; Reconnaissant quil est de lintrt commun de promouvoir la scurit des systmes et rseaux dinformation par une culture de la scurit qui encourage une coordination et une coopration internationales appropries en vue de rpondre aux dfis poss par les prjudices que des dfaillances de la scurit sont susceptibles de causer aux conomies nationales, aux changes internationaux, ainsi qu la participation la vie sociale, culturelle et politique. Reconnaissant en outre que les Lignes directrices rgissant la scurit des systmes et rseaux dinformation: vers une culture de la scurit, figurant en annexe la prsente Recommandation, sont dapplication volontaire et naffectent pas les droits souverains des Etats;
Annexe F 137

Guide de la cyberscurit pour les pays en dveloppement

Et reconnaissant que lobjet de ces lignes directrices nest pas de suggrer quil existe une solution unique quelconque en matire de scurit, ou que des politiques, pratiques, mesures et procdures particulires soient adaptes une situation donne, mais plutt de fournir un cadre plus gnral de principes de nature favoriser une meilleure comprhension de la manire dont les parties prenantes peuvent la fois bnficier du dveloppement dune culture de la scurit et y contribuer; PRCONISE lapplication de ces Lignes directrices rgissant la scurit des systmes et rseaux dinformation: vers une culture de la scurit par les gouvernements, les entreprises, les autres organisations et les utilisateurs individuels qui dveloppent, possdent, fournissent, grent, maintiennent et utilisent les systmes et rseaux dinformation; RECOMMANDE aux pays Membres: Dtablir de nouvelles politiques, pratiques, mesures et procdures ou de modifier celles qui existent pour reflter et prendre en compte les Lignes directrices rgissant la scurit des systmes et rseaux dinformation: vers une culture de la scurit en adoptant et promouvant une culture de la scurit, conformment auxdites lignes directrices; Dengager des actions de consultation, de coordination et de coopration, aux plans national et international, pour la mise en uvre des lignes directrices; De diffuser les lignes directrices dans lensemble des secteurs public et priv, notamment auprs des gouvernements, des entreprises, dautres organisations et des utilisateurs individuels, pour promouvoir une culture de la scurit, et encourager toutes les parties intresses adopter une attitude responsable et prendre les mesures ncessaires en fonction des rles qui sont les leurs; De mettre les lignes directrices la disposition des pays non membres, le plus rapidement possible et de manire approprie; De rexaminer les lignes directrices tous les cinq ans, de manire promouvoir une coopration internationale sur les questions lies la scurit des systmes et rseaux dinformation; CHARGE le Comit de la politique de linformation, de linformatique et des communications de lOCDE dapporter son soutien la mise en uvre des lignes directrices. La prsente Recommandation remplace la Recommandation du Conseil concernant les lignes directrices rgissant la scurit des systmes dinformation du 26 novembre 1992 [C(92)188/FINAL].
Historique de la procdure

Les lignes directrices sur la scurit ont t acheves en 1992 puis rexamines en 1997. Lexamen actuel a t entrepris en 2001 par le Groupe de travail sur la scurit de linformation et la vie prive (GTSIVP), dans le cadre dun mandat donn par le Comit de la politique de linformation, de linformatique et des communications (PIIC), et acclr suite la tragdie du 11 septembre. La rdaction a t entreprise par un Groupe dexperts du GTSIVP qui sest runi Washington, DC, les 10 et 11 dcembre 2001, Sydney les 12-13 fvrier 2002 et Paris les 4 et 6 mars 2002. Le GTSIVP sest runi les 5-6 mars 2002, les 22-23 avril 2002 et les 25-26 juin 2002. Les prsentes Lignes directrices de lOCDE rgissant la scurit des systmes et rseaux dinformation: vers une culture de la scurit ont t adoptes sous la forme dune Recommandation du Conseil de lOCDE lors de sa 1037e session, le 25 juillet 2002.

138

Annexe F

Union

internationale

des

tlcommunications

Union internationale des tlcommunications Bureau de dveloppement des tlcommunications (BDT) Place des Nations CH-1211 Genve 20 Suisse Pour plus dinformation, veuillez contacter: Alexander NTOKO Chef, Unit Cyberstratgies E-mail: e-strategies@itu.int Site Web: www.itu.int/ITU-D/e-strategies

Imprim en Suisse Genve, 2006