Définition de la cybersécurité

La cybersécurité englobe tous les moyens qui permettent d’assurer la protection et l’intégrité
des données, sensibles ou non, au sein d’une infrastructure numérique. C’est une spécialité
au sein des métiers des systèmes d’information. La notion de cybersécurité intervient de
façon récurrente grâce à la transformation numérique des entreprises, qui généralisent
l’utilisation d’outils informatiques et la communication via Internet.

La cybersécurité assure une gestion de la data dans des conditions optimales et sécurisées.
Elle permet la protection des systèmes d’informations et des données qui circulent contre
ceux que l’on appelle les cybercriminels. De l’installation d’un antivirus jusqu’à la
configuration de serveurs, ou encore le gardiennage des datas centers et des bureaux, la
sécurité informatique impacte tous les métiers.

Définition de la cyberattaque

Une cyberattaque est tout type d’action offensive qui vise des systèmes, des infrastructures
ou des réseaux informatiques, en s’appuyant sur diverses méthodes pour voler, modifier ou
détruire des données ou des systèmes informatiques. Elle cible différents dispositifs
informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à
Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils
communicants comme les téléphones mobiles, les smartphones ou les tablettes.

Une cyberattaque peut être le fait d'une seule personne, d'un groupe de pirates, d'une
organisation criminelle ou même d'un État. Ces attaques informatiques sont facilitées par la
quantité croissante d'informations mises en ligne et par des failles de sécurité dans les
systèmes.

Parmi les mécanismes de cybersécurité, nous pouvons citer :

 les processus d’identification,

 le chiffrement des données et des connexions,
 les processus pour le contrôle et la mesure des mécanismes mis en place,
 la mise à jour constante des logiciels,
 la mise en place de dispositifs permettant la récupération rapide des données
sensibles en cas de problèmes techniques,

Risques liés à la cybersécurité

Les Experts  classifient les risques liés à la cybersécurité en 4 types de risques :

 la cybercriminalité,
 l’atteinte à l’image,
 l’espionnage (Watering Hole)
 et le sabotage.

I- CYBERCRIMINALITÉ
Des attaques criminelles peuvent cibler les particuliers mais aussi les entreprises et les
administrations. Elles visent à obtenir des informations personnelles afin de les exploiter ou
de les revendre (données bancaires, identifiants à des sites marchands, etc.). Hameçonnage
 (« phishing ») et « ransomware » sont des exemples connus d’actes malveillants portant
préjudice aux internautes.

Attaque par hameçonnage (« phishing »)

L’hameçonnage, o « phishing » est une technique malveillante très courante en ligne.
L’objectif : opérer une usurpation d’identité afin d’obtenir des renseignements personnels et
des identifiants bancaires pour en faire un usage criminel.

Le cybercriminel se « déguise » en un tiers de confiance (banques, administrations,

fournisseurs d’accès…) et diffuse un message frauduleux, ou contenant une pièce jointe
piégée, à une large liste de contacts. Le message invite les destinataires à mettre à jour
leurs informations personnelles (et souvent bancaires) sur un site falsifié vers lequel ils sont
redirigés.
Ces informations sont alors mises à disposition du cybercriminel qui n’a plus qu’à faire usage
des identifiants, mots de passe ou données bancaires récupérées.

Attaque par « ransomware »

Les ransomwares sont des programmes informatiques malveillants de plus en plus
répandus. L’objectif : crypter des données puis demander à leur propriétaire d'envoyer de
l'argent en échange de la clé qui permettra de les décrypter.

Le cybercriminel  diffuse un message qui contient des pièces jointes et / ou des liens piégés.
Le corps du message contient un message correctement rédigé, parfois en français, qui 
demande de payer rapidement une facture par exemple.    
Une fois le logiciel téléchargé sur l’ordinateur et commence à crypter les données
personnelles : les documents bureautiques, les photos, la musique, les vidéos…etc.
Les fichiers devenus inaccessibles, un message s’affiche pour réclamer le versement d’une
rançon, payable en « bitcoin » en échange de la clé de décryptage.
Cette extorsion cryptovirale, chiffre les fichiers de la victime de manière à les rendre
presque impossible à récupérer sans la clé de déchiffrement.

Attaque par des logiciels malveillants (Malware)

Un Malware peut être décrit comme un logiciel indésirable installé dans votre système sans
votre consentement. Il peut s’attacher à un code légitime et se propager, se cacher dans des
applications utiles ou se reproduire sur Internet. Voici quelques-uns des types de logiciels
malveillants les plus courants :

 Macro-virus – Ils infectent des applications comme Microsoft Word ou Excel. Les macro-
virus s’attachent à la séquence d’initialisation de l’application. Lorsque l’application est
ouverte, le virus exécute ses instructions avant de transférer le contrôle à l’application.
 Infecteurs de fichiers – Ils s’attachent généralement à des codes exécutables, comme les
fichiers .exe. Le virus est installé au chargement du code.
 Chevaux de Troie – Ce sont des programmes qui se cachent dans un programme utile et
qui ont généralement une fonction malveillante. Une différence majeure entre les virus et les
chevaux de Troie est que ces derniers ne se répliquent pas d’eux-mêmes. En plus de lancer
des attaques contre un système, un cheval de Troie peut établir une porte dérobée qui peut
être exploitée par des attaquants. Par exemple, un cheval de Troie peut être programmé
 pour ouvrir un port à numéro élevé afin que le pirate l’utilise pour écouter puis exécuter une
attaque.
 Bombe logique – Il s’agit d’un type de logiciel malveillant ajouté à une application et qui est
déclenché par un événement spécifique, comme une condition logique ou une date et une
heure spécifiques.
 Vers – Ils diffèrent des virus en ce qu’ils ne s’attachent pas à un fichier hôte, ce sont des
programmes autonomes qui se propagent sur les réseaux et les ordinateurs. Les vers se
propagent généralement via les pièces jointes aux e-mails : l’ouverture de la pièce jointe
active le programme du ver.
 Injecteurs – Ce sont des programmes utilisés pour installer des virus sur les ordinateurs.
Dans de nombreux cas, l’injecteur n’est pas infecté par un code malveillant et peut donc ne
pas être détecté par un logiciel antivirus.

II- ATTEINTE À L’IMAGE

Lancées à des fins de déstabilisation contre des administrations et des entreprises et
régulièrement relayées par les réseaux sociaux, les attaques de déstabilisation sont
aujourd’hui fréquentes et généralement peu sophistiquées, faisant appel à des outils et des
services disponibles en ligne. De l’exfiltration de données personnelles à l’exploitation de
vulnérabilité, elles portent atteinte à l’image de la victime en remplaçant le contenu par des
revendications politiques, religieuses, etc.

Attaque par déni de service (ddos)

Le déni de service peut porter atteinte à l’image de la victime et constitue une menace pour
toute organisation disposant d’un système d’information en ligne.  
L’objectif : rendre le site, et donc le service attendu, indisponible. Les motivations des
attaquants sont diverses, allant des revendications idéologiques à la vengeance, en passant
par les extorsions de fonds.
 
Le cybercriminel peut :

 exploiter une vulnérabilité logicielle ou matérielle

 solliciter une ressource particulière du système d'information de la cible, jusqu'à
« épuisement ». Cette ressource peut être la bande passante du réseau, la capacité de
traitement globale d'une base de données, la puissance de calcul des processeurs, l'espace
disque, etc.
Plusieurs  indices classiques se manifestent : accroissement de la consommation de la
bande passante sans explication légitime ; allongement des files d'attente des serveurs de
messagerie ou le retard dans le temps de transit des messages ; des ruptures de
communications sur délai de garde (« timeout ») ou signalées par message d'erreur (« host
unreachable ») ; etc.

Plusieurs méthodes pour un résultat unique : dysfonctionnements ou paralysie complète d’un

ou de plusieurs services de la victime.
 Attaque par « défiguration » (« defacement »)

Généralement revendiqué par des hacktivistes,  ce type d’attaque peut être réalisé à des fins
politiques ou idéologiques, ou à des fins de défi technique (défis entre attaquants).
L’objectif : modifier l’apparence ou le contenu d’un site, et donc altérer l’intégrité des pages.

 Le cybercriminel  exploite souvent des vulnérabilités connues (défaut de sécurité), mais non
corrigées du site.  
 Visible ou bien plus discrète pour le visiteur, l'atteinte réussie du site peut prendre différentes
formes : ajout d’informations sur une page ou  remplacement intégral d’une page par une
revendication.

III- ESPIONNAGE
Très ciblées et sophistiquées, les attaques utilisées pour l’espionnage à des fins
économiques ou scientifiques sont souvent le fait de groupes structurés et peuvent avoir de
lourdes conséquences pour les intérêts nationaux. De fait, il faut parfois des années à une
organisation pour s’apercevoir qu’elle a été victime d’espionnage, l’objectif de l’attaquant
étant de maintenir discrètement son accès le plus longtemps possible afin de capter
l’information stratégique en temps voulu.

ATTAQUE PAR POINT D’EAU (WATERING HOLE)

La technique du « point d’eau » consiste à piéger un site en ligne légitime afin d’infecter les
équipements  des visiteurs du secteur d’activité visé par l’attaquant. Objectif : infiltrer
discrètement les ordinateurs de personnels œuvrant dans un secteur d’activité ou une
organisation ciblée pour récupérer des données.

Le cybercriminel exploite une vulnérabilité d’un site et y dépose un virus (« malware »). Le

site qui sert d’ « appât » est choisi spécifiquement pour attirer la victime ciblée par l’attaque .
La victime ciblée est incitée à se rendre ou est redirigée automatiquement sur le site
contaminé. Son navigateur exécute alors le malware et l’installe à son insu sur ses appareils
(ordinateur, téléphone). Le cybercriminel dispose alors d’un accès total ou partiel à l’appareil
infecté.
Le cybercriminel demeure discret afin de capter le plus longtemps possible des données.
 

ATTAQUE PAR HAMEÇONNAGE CIBLÉ (SPEARPHISHING)

Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et
procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à
l’activité de la personne ou de l’organisation ciblée. Objectif : infiltrer le système d’information
d’une organisation d’un secteur d’activité ciblé.

1. Le cybercriminel, via un courriel, usurpe l’identité d’une personne morale (établissement

financier, service public, concurrent…) ou d’une personne physique (collègue de travail,
famille, ami…).
2. Phase de contamination : le destinataire est invité à ouvrir une pièce jointe malveillante ou à
suivre un lien vers un site malveillant. Une première machine est ainsi contaminée.
3. Phase d’infiltration : le cybercriminel en prend le contrôle pour manœuvrer dans le système
d’information de l’organisation qui est la véritable cible.
4. « Escalade de privilège » : l’attaquant cherche à obtenir des droits « d’administrateur » pour
pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où
sont stockées les informations visées (« propagation latérale »).
5. Phase d’exfiltration : l’attaquant vole le plus discrètement possible des données  soit en une
seule fois, en profitant d’une période de moindre surveillance (la nuit, durant les vacances
scolaires, lors d’un pont…), soit de manière progressive plus insidieuse.
6.  Il prend généralement soin de toujours effacer derrière lui toute trace de son activité
malveillante.

IV- SABOTAGE
Le sabotage informatique est le fait de rendre inopérant tout ou partie d’un système
d’information d’une organisation via une attaque informatique.

Le sabotage s’apparente à une « panne organisée », frappant tout ou partie des systèmes,
selon le type d’atteinte recherchée – désorganisation durable ou non, médiatisée ou non,
plus ou moins coûteuse à réparer. Pour y parvenir, les moyens d’attaques sont d’autant plus
nombreux que les organisations ne sont pas toujours préparées à faire face à des actes de
malveillance.

Le sabotage et la destruction de systèmes informatiques peuvent avoir des conséquences

dramatiques sur l'économie d'une organisation, sur la vie des personnes, voire sur le bon
fonctionnement de la Nation s’ils touchent des secteurs d’activité clés.

Prévention des cyberattaques :

 Limiter l'accès aux équipements et fichiers stratégiques  pour diminuer les risques d'erreur
humaine ou de piratage ;
 Multiplier les sauvegardes d'informations sensibles pour être sûr de conserver au moins un
jeu de données accessible en cas de piratage ;
 Sécuriser les accès au système d’information avec l'intégration d'une série de mots de passe
« forts » comprenant un minimum de 8 caractères avec des majuscules, des minuscules et
des caractères spéciaux ; 
 Définir des priorités pour la recherche de vulnérabilités
 Se protéger des virus et autres intrusions grâce à des pare-feux et à des anti-virus
performants ; 
 Mettre régulièrement à jour vos principaux logiciels, notamment, grâce à des mises à jour
automatiques ; 
 Former et sensibiliser vos utilisateurs à la sécurité informatique de l’entreprise pour réduire
les risques de piratage à cause d’une erreur humaine ;  
 Disposer d’une politique de sécurité interne pour les entreprises et d’un dispositif de crise
pour réagir rapidement et efficacement en cas d’attaque. 

Actions en cas de cyber attaque

1. Cyberattaque : premiers réflexes

 Alertez immédiatement votre support informatique si vous en disposez

 Isolez les systèmes attaqués afin d’éviter que l’attaque ne puisse se propager
à d’autres équipements en coupant toutes les connexions à Internet et au
réseau local.
 Constituez une équipe de gestion de crise afin de piloter les actions des
différentes composantes concernées (technique, RH, financière,
communication, juridique…)
 Tenez un registre des évènements et actions réalisées pour pouvoir en
conserver la trace à disposition des enquêteurs et tirer les enseignements de
l’incident a posteriori.
 Préservez les preuves de l’attaque : messages reçus, machines touchées,
journaux de connexions…

Ne pas payer de rançon

Car vous encourageriez les cybercriminels à chercher à vous attaquer à nouveau et
financeriez leur activité criminelle tout en n’ayant aucune garantie qu’ils tiendront leur
parole.

2. Cyberattaque : piloter la crise

 Mettez en place des solutions de secours pour pouvoir continuer d’assurer les

services indispensables. Activez vos plans de continuité et de reprise d’activité
si vous en disposez.

 Alertez votre banque au cas où des informations permettant de réaliser des

transferts de fonds auraient pu être dérobées.

 Déposez plainte en fournissant toutes les preuves en votre possession.

 Identifiez l’origine de l’attaque et son étendue afin de pouvoir corriger ce qui

doit l’être et éviter un nouvel incident.

 Gérez votre communication pour informer avec le juste niveau de

transparence vos administrés, clients, collaborateurs, partenaires,
fournisseurs, médias…

3. Cyberattaque : sortir de la crise

 Faites une remise en service progressive et contrôlée après vous être assuré

que le système attaqué a été corrigé de ses vulnérabilités et en en surveillant
son fonctionnement pour pouvoir détecter toute nouvelle attaque.
 Tirez les enseignements de l’attaque et définissez les plans d’action et
d’investissements techniques, organisationnels, contractuels, financiers,
humains à réaliser pour pouvoir éviter ou a minima pouvoir mieux gérer la
prochaine crise.