Ressource - IT Speaks Bordeaux
Joany Buclon, Vincent Clerissj, Adrien Dayre, Loïc Bouscaud et Franck
Chaillat
ETUDIANTS A L’EXIA CESI DE BORDEAUX
Livre blanc
SÉCURISER LES DONNÉES DES EMPLOYÉS ET DES SYSTÈMES
D’INFORMATION
Table des matières
Avant-propos ............................................................................................................................................ 2
Introduction ............................................................................................................................................. 2
Les cyber-menaces et leurs évolutions au cours du temps ..................................................................... 3
Le registre des menaces ....................................................................................................................... 3
Chronologie des menaces .................................................................................................................... 5
Les bonnes pratiques pour s’en protéger et protéger son entreprise ................................................. 6
Garantir la confidentialité des données des employés et le respect de leur vie privée .......................... 8
Des employés de plus en plus surveillés .............................................................................................. 8
La récupération des données avec les outils informatiques ............................................................ 8
La récupération des données lors du processus de recrutement .................................................. 10
La nature des données que l’entreprise peut récolter .................................................................. 11
La protection des données du personnel et de l’entreprise dans le cas du télétravail ................. 12
Conclusion .............................................................................................................................................. 13
Avant-propos
et ouvrage a été co-écrit par Joany Buclon, Adrien Dayre, Vincent Clerissj, Franck Chaillat
et Loïc Bouscaud, étudiants de 5ème année au sein de l’école d’ingénieurs informatique
Exia.Cesi de Bordeaux.
Nous avons rédigé ce livre blanc dans le cadre de l’un de nos projets scolaires. Le but général
du projet étant d’identifier les menaces et autres défis liés aux évolutions des technologies de
l’information et de la communication dans un monde dans lequel la majorité des objets qui
nous entourent seront connectés.
Ce projet s'inscrit donc dans une étude des problématiques des systèmes d’information
jusqu’en 2020, prenant en compte leurs évolutions et les problèmes qui s’y opposeront.
Nous avons choisi le sujet de la sécurité des données et de la vie privée des employés car nous
avons pris conscience de l’engouement que suscite le nouveau web auprès des technophiles.
Nous voulions cependant informer les personnes intéressées que le web est de plus en plus
ouvert, de plus en plus présent dans nos vies mais également de plus en plus dangereux.
Introduction
e développement d’Internet depuis les années 1990 semble être plus qu’une simple
révolution technologique, cela entraîne le remaniement complet de ce par quoi l’humain
appréhende le monde qui l’entoure. Là où Internet ne devait être “qu’un” moyen de
communication pour le partage de connaissances, il est aujourd’hui perçu comme un moyen
incontournable de communiquer, de consommer, d’investir.
Le web est maintenant accessible à 85% des Français et 46% de la population mondiale
parmi eux, 3.4 milliards d’utilisateurs des réseaux sociaux.
Il est dit aujourd’hui que le web sera bientôt omniprésent dans nos vies, ainsi nous ne serons
plus “sur Internet” mais dans Internet. Les objets connectés seront partout, les intelligences
artificielles seront connectées et les assistants personnels seront présents sur tous les appareils
et même chez soi.
Une telle immersion entraîne bien sûr des changements dans la vie du grand public, mais
apporte également une nouvelle dimension pour les entreprises. Ces dernières se verront
affectées aussi bien de manière négative que positive par l’évolution d’Internet. Il y aura alors
de nouvelles perspectives organisationnelles, de nouveaux moyens de recrutement, de gestion
des salariés, de travail.
L’objectif général de ce livre est de mettre en lumière les principaux défis et éléments
nouveaux auxquels les entreprises se verront confrontées avec l’évolution d’Internet. Il a été
découpé en deux parties distinctes :
Le premier objectif mis en avant dans ce livre est celui de dresser une liste non-
exhaustive des menaces émergentes et à venir, et des moyens à mettre en place en
C
L
vue de s’en prévenir. Cette partie représente donc une approche plutôt classique de la
cybersécurité.
Ensuite, nous aborderons un problème sur les enjeux éthiques liés aux pratiques
émergentes telles que la cybersurveillance et leurs incidences sur la vie privée et la
qualité des conditions de travail.
Les cyber-menaces et leurs
évolutions au cours du temps
Le registre des menaces
éveloppé par Microsoft, le système
STRIDE (usurpation, falsification,
répudiation, divulgation
d’informations, refus de service, élévation
de privilèges en français) permet de
catégoriser les menaces informatiques pour
les entreprises principalement en six
catégories. Tous ces types de menaces vont
permettre aux personnes malveillantes de
récolter des informations privées sur une
société et l’attaquer depuis l’intérieur. Les
risques encourus pour celle-ci sont de
montrer une image négative aux
consommateurs (à cause d’une sécurité
faible), une perte d’argent ou même de
fermer définitivement.
Usurpation : Cela désigne le fait de se faire
passer pour quelqu’un d’autre. Dans le
cadre de l’informatique, l’usurpation est
également le fait de s’authentifier à la place
d’une autre personne en utilisant par exemple des identifiants volés. Les menaces de ce type
comprennent les communications entre des hôtes approuvés et non approuvés, ainsi que les
attaques de type “man in the middle” (ordinateur pirate placé au milieu du réseau de
communication et lui permettant de lire et modifier les messages passant entre les ordinateurs
approuvés de ce réseau). Un exemple courant d’usurpation est le fishing (ou hameçonnage)
qui permet de se faire passer pour un service fiable pour l’utilisateur afin de récupérer ses
données ou renseignements (carte de crédit, identifiants, …)
Falsification : Cela correspond au fait de modifier des données dans un but malveillant. Ceci
prend en compte la modification non autorisée de données persistantes dans une base de
données, la modification de données permanentes. Une des plus grandes menaces de cette
catégorie est le détournement de session, le but est d’utiliser la session d’un utilisateur pour
bénéficier des privilèges de celles-ci (surtout dans le cadre d’une entreprise) et pouvoir
effectuer des actions beaucoup plus grosses.
D
Hacker
Etymologiquement, le terme hacker
vient de l’anglais désignant une
personne améliorant ou modifiant tout
et n’importe quoi par curiosité.
Aujourd’hui, il s’agit d’une personne qui
utilise ses compétences pour
contourner les protections logicielles et
matérielles afin d’en tirer profit.
Certains hackers sont des personnes
qui transgresse la loi et d’autres sont
engagés afin de détecter les failles de
sécurité afin qu’elles puissent être
corrigées.
Répudiation : Ce type de menaces permet à des utilisateurs de nier avoir fait une action
précise sans que les autres parties puissent prouver qu’une telle action a bien eu lieu. Un
système prenant en charge la non-répudiation désigne donc un système capable de se
protéger contre ce type de menaces, en utilisant des logs pour chaque action par exemple.
Divulgation d’informations : C’est le fait de pouvoir accéder à des données dont on n’aurait
normalement pas le droit. Par exemple, un hacker va accéder à des données qui transitent
entre deux ordinateurs ou un utilisateur va pouvoir lire un fichier auquel il ne devrait pas avoir
accès. Il y a deux sous-catégories qui sont les connexions non autorisées
(accès à un réseau
sans y être invité ou y avoir accès de base) et l’espionnage de réseau
(Une fois la connexion
au réseau, les hackeurs peuvent obtenir des copies de fichiers importants quand ils transitent
sur le réseau et peuvent également récupérer des mots de passe pour continuer à s’introduire).
Refus de service : Il s’agit du fait de lancer une attaque dont la conséquence sera une perte
totale ou partielle du service. Dans ce type de menace, un pirate peut utiliser des vers
informatiques contrôlant un grand nombre d’ordinateurs (appelés ordinateurs zombies) afin
de générer plus de trafic sur un hôte ou un service que celui-ci ne peut traiter dans le même
temps, ce qui a pour conséquence d'interrompre le trafic normal vers ce service.
Élévation de privilèges : Ce type de menace va permettre à un utilisateur quelconque
d’obtenir un accès à une partie ou à tout le système. Cela lui permettra de compromettre ou
détruire le système facilement.
Ci-dessus, un graphique permettant de visualiser les motivations des attaques. Parmi
elles, on retrouve le cyber-crime, le cyber-espionnage, la cyberguerre et le hacktivisme, action
cybercriminelle mêlée à une conviction politique.
10%
67%
21%
2%
LES MOTIVATIONS DES ATTAQUES
EN 2015
Cyber-espionage
Cyber-crime
Hacktivisme
Cyber guerre
6
7
8
9
10
11
12
13
14
1
/
14
100%
