Cybersécurité

Guy-Germain MBAKI
Spécialiste en Cybersécurité

Passionné par la Cybersécurité depuis plus de 15 ans, je suis

déterminé à promouvoir la Cybersécurité et à partager mes
connaissances pour un cyberespace plus sûr.

- Auditeur au Collège des Hautes Etudes de Stratégie et de Défesense,

- Co-rédacteur de la Première Stratégie Nationale de Cybersécurité de la
RD Congo
- Conférencier et formateur : Parle de Cybersécurité, Cybercriminalité, de
Cyberdéfense, de Cyberstratégie et de Cyberconflit
- Consultant Pentester - Hacker Éthique
- Enseignant-Expert à l'Université Protestante au Congo (Cybersécurité)

Certifié CEH Master, CEH Practical, CEH, ESCA, CNDA, ISO 27001 LI,
CSCU

Former à la cybersécurité
SOMMAIRE
Fiche 1 Le Fiche 2 Les
cyberespace systèmes et les
p. 5 données
à protéger p. 9

Fiche 3 La Fiche 4 Les Fiche 5 Les Fiche 6 Les bonnes

cybersécurité sources de cyberattaques pratiques de sécurité
p. 13 menaces p. 17 p. 21 informatique p. 25

Fiche 7 La Fiche 8 La gestion Fiche 9 Détecter Fiche 10 Réagir

cryptographie des risques cyber les cyberattaques aux cyberattaques
p. 29 p. 33 p. 37 p. 41

Fiche 11 La Fiche 12 Les Fiche 13 Une

réglementation enjeux de paix brève histoire
p. 45 et de sécurité de la cybersécurité
internationale p. 53
du cyberespace
p. 49
3
 FICHE

Introduction

La présente présentation est constituée de 13 fiches

thématiques, en vue d’acculturer les les étudiants aux
enjeux de cybersécurité dans le cadre d’un temps de
formation dédié. Ces fiches, destinées à un public adulte,
peuvent être partagées, à la discrétion de l’enseignant,
avec les étudiants.

Le contenu des fiches cybersécurité a été pensé pour

synthétiser, simplifier et accélérer l’accès à des enjeux de
la cybersécurité.

Chaque fiche pédagogique est déclinée en une carte

« objectifs cybersécurité ».
Le
cyberespace

4 / Former à la 5
cybersécurité
 1 2
L’essor du numérique, Le « cyberespace
vers l’infini et au- »
delà !

I
maginé par l’auteur de science-fiction William Gibson

P
arler de cybersécurité, c’est d’abord s’intéresser à ce qu’il faut dans son livre Neuromancien (1983), le concept
protéger dans « l’espace numérique », que l’on pourrait résumer à de « cyberespace » est aujourd’hui utilisé
l’ensemble des équipements (téléphones, ordinateurs, tablettes), décrire l’ensemble des infrastructures, des technologies
pour
infrastructures informatiques et réseaux à l’échelle de la planète, et des services numériques de par le monde, dont
également appelé « cyberespace ». le principal : le réseau internet.

À partir des années 1960-1970, l’apparition des premiers réseaux à des fins Il possède également une dimension fortement
militaires ou de recherche (Arpanet aux États-Unis, Cyclades en France) a géopolitique. Pour certains États, le cyberespace
conduit à l’émergence d’internet tel que nous le connaissons aujourd’hui. est devenu un espace de confrontation à part entière pour les armées,
à l’image d’autres espaces tels que la terre, la mer ou l’air.
L’essor du numérique a depuis bouleversé le fonctionnement
de nos sociétés et de l’économie, des usages et du quotidien, D’un point de vue plus technique, le « cyberespace » est souvent
notamment à l’échelle : représenté sous forme de couches.

Individuelle, avec l’apparition des téléphones intelligents, des

ordinateurs, des tablettes, etc. Ces technologies permettent l’accès à la
connaissance et à la culture, aux jeux, aux réseaux sociaux, aux films et aux
séries, aux services publics en ligne, aux sites marchands, au Cloud et, de Une couche « sémantique »
plus en plus, aux objets connectés (matériel sportif, balances, chauffage,
etc.). L’ensemble des informations, des contenus générés,
stockés, partagés : photos, vidéos, mails, etc.
Des entreprises, avec le passage au « tout numérique » (postes de
travail, processus internes, relations clients, méthodes de production et Une couche « logicielle »
de distribution, etc.), des plus petites et moyennes entreprises aux plus Les systèmes d’exploitation permettant aux utilisateurs d’accéder
grands groupes, tous secteurs confondus. Parmi ces entreprises, aux fonctionnalités d’un ordinateur ou d’un téléphone, ainsi
certaines sont considérées comme « vitales » ou « critiques » pour le que l’ensemble des logiciels comme les applications mobiles.
fonctionnement de la nation (télécommunications, énergie, santé,
finance, etc.). Une couche « matérielle »

Des administrations, avec notamment l’essor du numérique Les câbles sous-marins, terrestres, les infrastructures de
l’internet mais aussi l’ensemble des équipements connectés
dans leur relation avec les citoyens, grâce aux services publics en ligne.
(serveurs, ordinateurs, téléphones, tablettes, etc.).

6 / Former à la 7
cybersécurité
 FICHE

Les systèmes
et les
données à
protéger

8 / Former à la 9
cybersécurité
 1
Deux notions incontournables

Les données à caractère personnel d’un individu

(par exemple : nom, prénom, adresse, numéro de
Les systèmes d’information : l’ensemble des ressources informatiques téléphone, email, conversations privées, photos,
permettant de traiter et de diffuser de l’information dans le monde données bancaires, etc.) dont l’utilisation à des
numérique. Un ordinateur, un téléphone, une montre connectée, un fins malveillantes ou simplement par négligence
serveur, le réseau interne d’un établissement scolaire comme le réseau expose à de nombreux risques : utilisation
mondial d’une entreprise sont donc des systèmes d’information. abusive des données à des fins commerciales,
Du concept de « systèmes d’information » découle celui de « atteinte à la réputation, fraude ou extorsion,
sécurité des systèmes d’information » très proche de celui de usurpation d’identité, etc.
cybersécurité.
Les données : l’ensemble des informations numériques créées, traitées,
stockées, sauvegardées, mais aussi accessibles, partageables, diffusables. Les systèmes d’information et les données
des entreprises, des universités ou encore des
collectivités, essentiels à leur fonctionnement
et pouvant être sensibles. Une atteinte aux
systèmes et aux données pourrait porter
préjudice à leur bon fonctionnement ou
à la compromission de secrets. À la clé,
2 l’interruption de tout ou partie de leur activité,
parfois des pertes de chiffre d’affaires, une
atteinte à la réputation…
Ce qu’il faut protéger
Les systèmes d’information des opérateurs
publics et/ou privés d’infrastructures critiques,

S
e poser la question des systèmes d’information et des données à gérant des installations jouant un rôle parfois
protéger implique de s’interroger sur leur importance pour une vital dans le fonctionnement de la nation,
entité ou une personne donnée. On peut citer, par exemple : comme dans les secteurs de l’énergie, des
transports, des télécommunications.

Les informations classifiées de l’État, à savoir

les informations les plus sensibles, dont la
divulgation pourrait porter préjudice à la
sécurité nationale.

10 / Former à la 11
cybersécurité
 FICHE
3
3
Un environnement numérique
de plus en plus complexe

D eux tendances contribuent aujourd’hui à rendre l’espace numérique

plus complexe à comprendre, à gérer et à protéger :

Le monde numérique est de plus en plus dans les nuages !

Autrefois, protéger un réseau informatique et les ordinateurs qui y étaient
connectés consistait avant tout à sécuriser les portes d’entrée et de sortie
vers internet d’une organisation, dont le système d’information était le plus
souvent installé dans ses locaux. Avec le développement
du travail à distance, l’interconnexion croissante des entreprises (etc.), le
numérique est devenu un immense écosystème interdépendant d’acteurs,
de services, d’équipements. Cela est notamment rendu possible par le
développement de l’informatique en nuage (Cloud) rendant accessibles à
distance de nombreux services et permettant l’accès à des données
localisées à plusieurs endroits en même temps sur la planète. La
La multiplication des acteurs impliqués dans la fourniture de matériel
et de services numériques (la chaîne d’approvisionnement), incluant de
cybersécurité
nombreux sous-traitants, fournisseurs ou intégrateurs, ayant tous un rôle à
jouer dans la sécurisation des systèmes et des données. Faire en sorte que
chacun assume sa part de responsabilité dans la sécurisation des systèmes
d’information n’est pas toujours évident ! Or, chaque maillon de la chaîne
non sécurisé la rend plus vulnérable.

12 / Former à la 13
cybersécurité
 1 2
Définitio Prévenir et répondre
n

Lles
a cybersécurité désigne l’ensemble des activités visant à protéger
les données et l’ensemble des « systèmes d’information »
menaces issues du cyberespace, susceptibles de compromettre leur
La cybersécurité recouvre schématiquement deux dimensions principales.

contre La prévention
disponibilité, leur intégrité ou leur confidentialité.
La prévention correspond à l’ensemble des mesures permettant de
renforcer la sécurité d’un système d’information pour lui permettre de
résister aux attaques susceptibles de menacer les données et les services
auxquels il permet d’accéder.
Disponibilité
La prévention passe principalement par :
La disponibilité est la capacité à accéder à des données ou à un La mise en place de mesures de sécurité adaptées notamment au niveau
service au moment souhaité. Elle peut être, par exemple, technique, comme le fait de sauvegarder régulièrement les données dans
compromise par la destruction (effacement de données), le un environnement distinct et sécurisé ou encore de chiffrer de bout-en-
chiffrement (les informations deviennent illisibles à moins de bout des conversations via une messagerie.
posséder la clé de déchiffrement) ou encore par l’interruption La sensibilisation des personnes aux risques et aux bonnes pratiques de
d’un service. Un ordinateur peut devenir inaccessible si un logiciel sécurité informatique pour éviter que des erreurs ou des négligences
malveillant chiffre l’ensemble des données qu’il contient. facilitent le travail des attaquants, par exemple, en affichant son code
PIN au dos de son téléphone.
Pour aller plus loin, l’analyse approfondie des risques pour un système
Intégrité d’information ou pour une organisation permettant d’identifier des
mesures de sécurité complémentaires renforçant leur sécurité.
L’intégrité est la propriété garantissant que des données sont exactes,
complètes et n’ont pas été modifiées. L’intégrité peut être
compromise par la modification du contenu d’un fichier. Par exemple,
l’intégrité des notes d’élèves sur un espace numérique de travail La réaction
est compromise si ses notes sont modifiées par une personne n’ayant
pas le droit de le faire.
La réaction correspond à l’ensemble des moyens et des activités
permettant de détecter et de répondre aux cyberattaques en vue de
Confidentialité les stopper et de revenir à un mode de fonctionnement normal.

La réaction aux cyberattaques passe notamment par :

La confidentialité est la garantie que des données, des services ou
La détection des cyberattaques.
tout autre bien ne sont accessibles qu’aux personnes autorisées. La
La réponse à incident, par la mobilisation d’équipes techniques (les
confidentialité est compromise dès lors qu’une personne non
CSIRT).
autorisée accède à des données ou tout autre bien sans en avoir le
La gestion d’une crise d’origine cyber au sein d’une organisation.
droit. Par exemple, si une personne parvient à ouvrir un téléphone
La reconstruction des systèmes d’information infectés.
mobile et à accéder aux informations contenues dedans.
La lutte contre les cybercriminels.

14 / Former à la 15
cybersécurité
 FICHE
3
4
Les acteurs de la
cybersécurité en RDC

A
ssurer la cybersécurité des administrations, des citoyens et
des entreprises est une tâche immense. Des acteurs publics et
privés y travaillent d’arrache-pied 7j/7, 24h/24. Parmi ces acteurs,
Le Conseil National de Cyberdéfense, Le CNC est une structure
stratégique et sécuritaire, il a pour principale mission la coordination
de tous les services ayant un objet en rapport avec la Cyberdéfense et
le Cyber renseignements. À ce titre, il a notamment pour mission de
conseiller et informer le Président de la République sur toutes les
questions ayant trait à la Cyber défense et Cyber renseignements

L’Agence Nationale de Cybersécurité - ANCY sera l’autorité nationale

de régulation en charge de Cybersécurité et de sécurité des systèmes
d’information en République Démocratique du Congo.

Elle va assurer la certification électronique, le suivi de la conformité aux

normes et principes qui seront édictées, l’audit des systèmes
d’informations de l’État et des organismes à importance vitale,
l’homologation des prestataires de services de confiance, des vendeurs Les sources
de
de produits de cybersécurité et, enfin, l’expertise en matière de
cybercriminalité.
Elle collaborera de manière transversale notamment avec les Ministres ayant
dans leurs attributions l’intérieur et la sécurité, la justice, la défense, les
droits humains, la poste et les télécommunications, le numérique ainsi que menaces
la recherche scientifique et l’innovation technologique.
Enfin, elle guidera la politique de sécurité des systèmes d’information de
l’État et orientera et coordonnera l’élaboration des futures stratégies de
Cybersécurité de la RD Congo.

16 / Former à la 1
cybersécurité 7
 1 Les attaquants expérimentés dont la
motivation est essentiellement technique.
Les quatre
Les cybercriminels organisés et les mercenaires
dimensions de la travaillant à leur compte ou pour celui d’une autre
organisation criminelle. Leur motivation est
menace cyber principalement lucrative (financière).

Les acteurs étatiques, dotés de moyens souvent importants

Une menace cyber est toujours composée de 4 éléments principaux :
et aux motivations multiples. Elles peuvent être de nature
stratégique, en fonction des intérêts d’un État et peuvent
Un attaquant ou un groupe d’attaquants aux profils divers.
parfois poursuivre un dessein offensif.
Un ou plusieurs objectifs correspondant aux motivations de l’attaquant.
Une cible (personne, organisation, etc.) qui peut être le système
d’information et/ou les données visées d’une victime.
Une cyberattaque ou un mode opératoire qui désigne les étapes et les 3
opérations que mène l’attaquant pour atteindre son objectif.
Les objectifs des
attaquants
2
Les principaux profils d’attaquants Le défi, l’amusement, visant à réaliser un exploit à des fins de
reconnaissance sociale, de défi ou de simple amusement.
Même si l’objectif est essentiellement ludique ce type
d’opération peut avoir de lourdes conséquences
pour la victime.
Les amateurs, sans compétence particulière (connus sous
l’appellation « script-kiddies ») sont des attaquants disposant La cybercriminalité à des fins lucratives désigne
d’une faible expertise. Ils ont le plus souvent recours à des outils les attaques visant à retirer un avantage pécuniaire
disponibles sur internet et facilement téléchargeables. Leur d’activités cyber malveillantes. Ex. : le recueil illicite de
motivation est ludique, récréative (« pour s’amuser »). coordonnées bancaires, etc.

Les attaquants « vengeurs » ou « malveillants », L’influence, l’agitation consistant à agir sur le champ de
souvent isolés dont la motivation est l’information, souvent à l’initiative de cyberhacktivistes :
personnelle voire affective. Par exemple, une détournement de comptes sur les réseaux sociaux,
revanche contre un ex-employeur. défiguration de sites internet, etc.

Les cyberhacktivistes (fusion de hacker et activiste), soit L’espionnage a pour objectif l’exfiltration
tout type d’attaquant agissant selon des motivations d’informations stratégiques, de secrets industriels
d’ordre idéologique, politique, etc. ou étatiques.

18 / Former à la 1
cybersécurité 9
 FICHE
Le pré-positionnement stratégique consiste à se positionner
discrètement dans un réseau informatique sans volonté d’agir
immédiatement, par exemple pour préparer une attaque future, 5
sans que la finalité poursuivie soit toujours évidente.

L’entrave au fonctionnement, par des opérations de sabotage,

de neutralisation désigne les attaques dont l’objectif est de
rendre indisponible un système d’information et des données,
par la saturation (par exemple, des attaques par « déni de service »
pouvant rendre inaccessible un site internet ou encore les «
rançongiciels ») voire par la destruction physique de matériel (par
exemple : tromper des instruments de mesure dans les
installations d’un opérateur d’infrastructure critique afin
d’empêcher les mécanismes d’alarme de se déclencher
et aller jusqu’à la destruction du système).

4
Le jeune à capuche :
le profil pas si courant

L’attaquant cyber est souvent décrit dans les films et les médias
comme un « hacker » se résumant à un « jeune » isolé, portant un
Les
sweat à capuche et agissant tard dans la nuit pour « pirater la CIA »
depuis l’ordinateur de sa chambre. cyberattaque
Si l’attaquant isolé agissant depuis sa chambre constitue bien une catégorie
réelle, celle-ci est caricaturale, négligeable en termes d’impact. La réalité de
s
la menace est aujourd’hui davantage celle de groupes d’attaquants
professionnels, agissant sur leurs heures de travail.

Le terme « hacker » est, par ailleurs, à tort, associé aux seuls acteurs
malveillants. Pourtant, celui-ci renvoie historiquement à une culture positive
de la « débrouille », du « partage » et de « l’amélioration » dans des
domaines comme l’informatique mais également l’électronique, la
menuiserie, la mécanique, etc. Par souci de distinction avec les acteurs
malveillants, on parle désormais de « hackers éthiques ».

20 / Former à la 2
cybersécurité 1
U
ne cyberattaque désigne l’ensemble des étapes, des ressources et 2
des actions utilisées par un attaquant pour atteindre son objectif.
Afin de mener son attaque, un attaquant tire partie de vecteurs Les
d’attaque en vue d’exploiter des vulnérabilités.
vulnérabilités

1 Les cyberattaques exploitent des vulnérabilités, soit une ou plusieurs failles

repérées dans un système.

Les vecteurs d’attaque En matière de cybersécurité, l’enjeu est de les identifier et de les corriger. Ces
vulnérabilités peuvent être de différentes natures :

Une vulnérabilité au sein d’un équipement ou du code d’un logiciel,

Trois vecteurs (chemins, points d’entrée) peuvent être utilisés voire associés afin présente par négligence ou introduite dès la conception de manière
de conduire une attaque. involontaire. Ces vulnérabilités peuvent être corrigées par la mise en
œuvre d’un correctif de sécurité.
Humain
Les vulnérabilités liées à l’absence de sensibilisation des utilisateurs,
l’absence de prise en compte du risque cyber.
Les personnes sont les premiers vecteurs d’attaque. En ayant recours à
des techniques dites « d’ingénierie sociale », les attaquants peuvent, par
exemple, avoir recours au hameçonnage (ou phishing) pour tromper la
vigilance de leur cible (voir ci-dessous les « grands types d’attaques »). 3
Une autre manière de procéder
est de laisser traîner des clés USB infectées par un code malveillant, en
pariant sur le fait que des salariés négligents les ramassent
Trois exemples de cyberattaques
et les connectent au réseau de l’organisation.

Informatique Rançongiciel

Il existe d’autres vecteurs d’attaque comme des techniques Les cyberattaques reposant sur l’utilisation de logiciels malveillants
informatiques et des codes malveillants pouvant nuire (malware en anglais, contraction des mots
à un système informatique. « malicious » et « software ») qui regroupent tous les codes et les
programmes informatiques malicieux, qui peuvent être
dangereux pour les systèmes d’information. La plus courante est le
Physique rançongiciel (ransomware en anglais), contraction des mots
« rançon » et « logiciel ». C’est une cyberattaque consistant à installer
un programme malveillant, si possible sur le maximum
S’introduire dans une pièce (salle serveur ou bureau par exemple),
d’équipements du système d’information de la victime, dans le but
sectionner des câbles, voler un serveur (etc.) sont d’autres moyens
d’obtenir de celle-ci le paiement d’une rançon. Pour y parvenir, le
physiques permettant d’accéder à un système d’information ou de
rançongiciel va empêcher les utilisateurs d’accéder à leurs données
l’endommager.
(photos, fichier client, etc.).

22 / Former à la 23
cybersécurité
 FICHE

DDOS
6
Les attaques par déni de service distribué (denial of service
en anglais) visent à rendre indisponible un ou plusieurs services.
Pour ce faire, un nombre trop important de requêtes peut être
adressé au dit service (site web, service de résolution de noms, etc.),
le rendant inaccessible à d’autres utilisateurs.
On parle de déni de service distribué (destributed denial of service
ou DDoS) lorsque l’attaque prend appui sur un réseau de machines
« zombies » préalablement manipulées à l’insu de leur propriétaire.
Ces réseaux peuvent être composés de serveurs, d’ordinateurs ou
encore d’objets connectés à internet comme des caméras de
vidéosurveillance. Lorsqu’ils sont composés
de machines compromises, on parle de « botnets ».

APT

Les cyberattaques persistantes (Advance Persistent Threat

en anglais, ou APT) sont des attaques plus sophistiquées, à la portée
d’acteurs malveillants disposant de compétences et/ou de
ressources leur permettant de pénétrer en profondeur dans un
réseau. Ces attaques sont principalement menées à des fins
d’espionnage économique, industriel ou scientifique.

Les bonnes
pratiques
de sécurité
informatique

24 / Former à la 25
cybersécurité
D
es mesures de protection sont nécessaires afin de prévenir Effectuer des sauvegardes régulières des
les cyberattaques et de se préparer à y répondre. Parmi les 3 systèmes et des données, si possible sur
nombreuses mesures susceptibles d’être mises en œuvre, d’autres appareils (par exemple un disque dur,
certaines sont communes à tous les individus et à toutes les organisations. un serveur) déconnectés, pour pouvoir les
récupérer, dans le cas où ces dernières seraient
détruites ou rendues inaccessibles, en cas
d’attaque par rançongiciel, par exemple.

1 Utiliser des réseaux sécurisés, notamment

4 wifi, en évitant les réseaux sans mot de passe
Exemples de mesures et sécuriser l’accès wifi d’un foyer ou d’une
entreprise.
essentielles pour les individus
Être autant prudent avec un smartphone et
5 une tablette qu’avec un ordinateur et bien
séparer les usages personnels et
professionnels.
Utiliser des mots de passe robustes : pour l’accès à un Prendre soin de ses informations personnelles,
1 téléphone ou à un ordinateur en choisissant des mots professionnelles, de son identité numérique.
de passe longs et complexes (au moins 12 caractères),
6
Penser notamment à chiffrer les données – la
tout en évitant les mots du dictionnaire, les dates plupart des ordinateurs permettent de chiffrer
de naissance et autres informations faciles à deviner. le disque dur – à savoir les rendre illisibles
Autant que possible, utiliser un gestionnaire de mots aux personnes qui y auraient accès mais ne
de passe de confiance et dès que possible mettre en pourraient pas les « déchiffrer ».
place des sécurités additionnelles pour accéder aux
comptes (mails, réseaux sociaux) comme la « double
authentification » (impliquant deux vérifications
consécutives avant de permettre l’accès à un service),
afin d’éviter qu’une personne non autorisée y accède.

N’utiliser que des logiciels officiels et à jour (par

2 exemple, issus des bibliothèques d’application mobiles
officielles) et mettre à jour ces logiciels (système
d’exploitation d’un ordinateur, logiciels de
bureautique, applications mobiles), afin notamment
d’éviter que les vulnérabilités de logiciels obsolètes
soient utilisées pour mener une attaque et pénétrer
dans un système d’information.

26 / Former à la 27
cybersécurité
 FICHE

2
Ressources

Pour les particuliers, il existe plusieurs sites décrivant bonnes

pratiques recommandées sur internet.

Pour les petites et moyennes entreprises (TPE/PME) voir le guide

des bonnes pratiques de l’informatique : rechercher sur Internet « La
cybersécurité pour les TPE/PME en 13 questions. »

La
cryptographi
e

28 / Former à la 29
cybersécurité
 1
Au XVIe siècle, le diplomate français Blaise Vigenère invente une nouvelle
Chiffrer pour protéger méthode de chiffrement, le chiffre de Vigenère. Beaucoup plus solide que le
chiffre de César, cette méthode a seulement été élucidée en 1863 ! Elle est
restée efficace pendant trois siècles !

L
a cryptographie est l’ensemble des procédés permettant de 1975-2000 : le Data Encryption Standard (DES) est un algorithme de chiffrement
transformer une donnée lisible par tous (dite « en clair ») symétrique standardisé en 1976. Il utilisait alors une clé de chiffrement de 56
comme
une photo, en une donnée « chiffrée » compréhensible bits, jugée à l’époque suffisante pour prémunir les entreprises du risque
de celles et ceux disposant d’une « clé » pour la déchiffrer (une clé d’espionnage industriel, ce qui n’est plus le cas aujourd’hui. En 2000, DES cède la
seulement
de déchiffrement). Les données sont chiffrées grâce à des algorithmes de place à l’algorithme Advanced Encryption Standard (AES), encore en usage
chiffrement, qui sont des suites mathématiques. aujourd’hui et dont les propriétés, parmi lesquelles des clés d’au moins 128 bits,
offrent un niveau de sécurité bien plus grand.
Grâce à ce procédé, deux personnes peuvent échanger de manière
confidentielle et sécurisée, pourvu qu’elles possèdent la clé leur
permettant de chiffrer et de déchiffrer leurs messages. 3
La cryptographie est l’un des piliers historiques de la cybersécurité. Elle
permet notamment de protéger les informations les plus sensibles de
Chiffrer soi-même un message
l’État, des entreprises, des centres de recherche. Le chiffrement joue : un exemple
également un rôle central dans de nombreux autres usages numériques en
permettant, par exemple, de protéger les données d’utilisateurs navigant sur
internet et accédant à des services en ligne.
Bob et Alice sont en classe. Ils n’ont plus leur téléphone portable et veulent
s’envoyer un message sans que personne ne puisse le lire. Bob « chiffre » son
2 message grâce au code CESAR (ci-dessous) et le transmet en le faisant passer de
main en main jusqu’à Alice. Alice est au courant de la façon dont Bob a chiffré
Aux origines : une son message et parvient à le déchiffrer !

histoire des codes Message Méthode de

Message
secrets d’origine à
chiffrer chiffrement
chiffré

En 50 avant J.-C. : le chiffre de César est l’un des chiffres de substitution que CESAR avec un décalage de
Jules César (100-44 av. J.-C.) avait coutume d’employer dans ses récits et ses 3 lettres dans l’alphabet.
correspondances. Il consiste à substituer une lettre par une autre en décalant On mange
l’alphabet de trois places vers la droite. ABCDEFGHIJKLMNO Rq pdqjh hqvhpeoh
ensemble
ce midi ? PQRSTUVWXYZ fh plgl ?
=
Message d’origine B O N J O U R DEFGHIJKLMNOPQRS
TUVWXYZABC
Numéro de la lettre dans l’alphabet 2 15 1 1 15 2 18
7 0 1
Numéro augmenté de 3 5 18 1 1 18 2 21 De nombreux sites internet en ligne permettent de s’exercer simplement au
7 3 4 chiffrement et au déchiffrement de messages.
Lettre correspondante E R Q M R X U
30 / Former à la 3
cybersécurité 1
 FICHE
4
8
Cryptologie, cryptanalyse,
cryptographie : quelles
différences ?

La cryptologie est la science du secret. Elle comporte 2 branches :

La cryptographie, décrite dans cette fiche.

La cryptanalyse, qui est l’étude de systèmes cryptographiques permettant

de chiffrer des données afin d’en évaluer la robustesse, par la recherche
de failles, par exemple ou pour parvenir à lire des données chiffrées,
lorsque l’on ne dispose pas de la clé de déchiffrement.

5
On dit, on ne dit
pas !

On peut dire : chiffrement, chiffrer, puis déchiffrer (lorsque l’on a la clé de

La gestion
chiffrement). On parle aussi de décrypter, lorsque l’on cherche à accéder, par
des moyens de cryptanalyse, à une information chiffrée sans avoir des risques
cyber
la clé de déchiffrement, comme quelqu’un qui tenterait de rentrer de force
dans une maison sans en avoir la clé.

On ne dit pas : cryptage, encodage, crypter, coder, encoder…

32 / Former à la 33
cybersécurité
 Dans le cadre de cette méthode, elles peuvent être amenées à suivre plusieurs
1 étapes importantes :

Qu’est-ce qu’un risque Identifier les données et les processus à protéger et les évènements
cyber ? redoutés susceptibles de leur porter atteinte, leurs impacts et leur gravité.
Identifier les sources de risques (par exemple des attaquants, des concurrents),

L
es individus comme les organisations – entreprises privées, qui pourraient conduire à vouloir porter atteinte à ces données ou ces
administrations, associations – sont exposés à des risques de processus.
cyberattaques : on parle couramment de risques cyber. Imaginer, à un niveau stratégique, par quel chemin ces risques pourraient
se concrétiser, nécessitant de bien connaître le système d’information de
La nature de ces risques diffère d’une organisation à une autre, d’un secteur l’organisation et de l’ensemble de ses parties prenantes, comme ses sous-
d’activité à un autre, en fonction de leurs spécificités, des motivations traitants.
des attaquants. Ces risques varient également en termes de gravité dans Imaginer ensuite comment un attaquant peut conduire son attaque au
l’hypothèse où ceux-ci viendraient à se réaliser. Par exemple : niveau tactique.
Définir les mesures de sécurité à mettre en place pour corriger les
une attaque informatique contre le système de gestion des feux de vulnérabilités identifiées et réduire la vraisemblance que ces risques se
signalisation d’une ville pourrait gravement perturber la circulation produisent.
routière ;
3
la défiguration visible du site interne d’une commune aurait,
par comparaison, des conséquences moins graves. Exemple fictif d’analyse de risque dans le
cadre d’un établissement scolaire
2
Comment faire face aux risques ÉTAPE 1 – LES DONNÉES/PROCESSUS À PROTÉGER
cyber ?
Données/processus Évènement redouté, impact, gravité.
Faire face aux risques cyber consiste, pour une organisation, à anticiper les
risques susceptibles de peser sur elle en vue de choisir : L’intégralité des notes est supprimée ou quelques
Les notes et les données notes sont modifiées (à la hausse ou à la baisse). Impact
les risques contre lesquels elle souhaite se protéger en identifiant les personnelles des élèves. significatif pour la délivrance des bulletins de note.
mesures de sécurité à mettre en œuvre pour diminuer ses vulnérabilités et
réduire ainsi la probabilité que ces risques se réalisent ; Les emplois du temps et les numéros de salle de classe
sont modifiés plusieurs fois, ce qui empêche ou
La gestion des emplois
perturbe la tenue des cours. Impact grave bouleversant
les risques que l’organisation est prête à accepter de prendre : ce sont du temps.
le déroulé des cours.
les risques « résiduels ».
L’ensemble des ordinateurs sont bloqués, rendant
Pour « manager les risques », la méthode EBIOS Risk Manager – développée Les accès internet de
impossible la réalisation de certains cours nécessitant du
par l’Agence nationale de la sécurité des systèmes d’information (France) l’établissement, y
matériel informatique, les agents sont incapables de
travailler. Impact significatif empêchant certains cours de
compris pour les élèves.
se dérouler.

34 / Former à la 35
cybersécurité
 FICHE
ÉTAPE 2 – LES SOURCES DE RISQUES

Sources de risques Objectifs visés

9
Des cybercriminels diffusant aléatoirement
sur internet un logiciel malveillant de
Obtenir un versement
type rançongiciel infectent, par hasard,
d’argent.
l’établissement scolaire.

Des élèves perturbent l’informatique de

l’établissement. Loisir, découverte.

Modifier leurs notes à la

hausse ou celles des
Des élèves insatisfaits de leurs notes.
autres à la baisse.

ÉTAPE 3 – LES SCÉNARIOS STRATÉGIQUES

Les élèves ou le personnel de l’établissement accédant à internet infectent,

par mégarde, un ou plusieurs ordinateurs de l’établissement.
L’un des services numériques en ligne (par exemple, une plateforme
pédagogique) utilisé par l’établissement comporte une vulnérabilité utilisée
par des attaquants qui obtiennent accès aux données d’organisations
utilisant ces services, dont celles de l’établissement.

Détecter les
Un prestataire de maintenance informatique est attaqué pour parvenir à
atteindre, dans un second temps, l’établissement.

ÉTAPE 4 – LES SCÉNARIOS OPÉRATIONNELS

Une pièce jointe piégée est ouverte en accédant à son interface

cyberattaque
mail depuis un ordinateur de l’établissement.
Une clé USB infectée est introduite par l’un des prestataires
de l’établissement à son insu. Un attaquant infecte un site internet
s
de l’établissement (par exemple le site des emplois du temps) afin
d’infecter les machines des élèves et des enseignants qui le visitent
(attaque dite par « point d’eau »).

ÉTAPE 5 – LE TRAITEMENT DU RISQUE

Mise en place de mesures de sécurité pour corriger les vulnérabilités qui

pourraient être exploitées par un attaquant pour mener à bien son attaque.

36 / Former à la 37
cybersécurité
 1 2
La L’avantage
détection aux
attaquants

R L
éagir face à une cyberattaque suppose de savoir qu’une a difficulté à détecter les attaques et les attaquants est d’autant
est bien en train de se dérouler. Et rien n’est moins simple, tant les
attaque plus complexe qu’il existe une asymétrie entre les attaquants et les
attaquants peuvent se faire discrets et les attaques ne pas causer personnes en charge de la cybersécurité, au bénéfice des premiers.
de dommages visibles. Plusieurs raisons concourent à cela :

Pour cela, la « détection des cyberattaques » est une activité clé de la Une attaque informatique n’est pas en soi « visible » à moins
cybersécurité. Elle repose sur des dispositifs techniques, en particulier les que les conséquences de l’attaque le soient (par exemple la destruction de
« sondes de détection » permettant de détecter des « signatures données, le sabotage) ou que les attaquants ne soient pas discrets par
d’attaques » à savoir des traces de cyberattaques déjà rencontrées par le incompétence. Cette « discrétion » des attaques joue en
passé ou des comportements anormaux, par exemple, un ordinateur faveur des attaquants.
utilisé un dimanche alors que les locaux d’une entreprise sont fermés...
Les outils et les techniques mobilisables par les attaquants sont très
L’existence d’un dispositif de détection ne garantit pas de tout voir et nombreuses et parfois inconnues des défenseurs. Les attaquants peuvent,
peut même parfois se tromper. On distingue : par exemple, exploiter des vulnérabilités de systèmes d’information
qui ne sont pas encore connues (vulnérabilités dites « 0-day »).
Les faux positifs qui correspondent à des activités légitimes détectées
comme malveillantes. Le cyberespace mondialisé permet aux acteurs malveillants d’attaquer
Les faux négatifs qui correspondent à des activités malveillantes des systèmes depuis l’autre bout de la planète. On parle d’ubiquité.
détectées comme légitimes. Trouver et poursuivre les attaquants en est d’autant plus complexe.

Le coût d’une cyberattaque peut être très faible et les capacités

techniques nécessaires très accessibles en comparaison des dommages
susceptibles d’être causés. Ces propriétés facilitent l’activité de
« cyberattaquant ».

Tenter de tout protéger, tout le temps, contre des attaquants discrets et des
attaques souvent invisibles, agissant avec une boîte à outils potentiellement
infinie, tel est le défi des acteurs de la cybersécurité !

38 / Former à la 39
cybersécurité
 FICHE

10

Réagir aux
cyberattaque
s

40 / Former à la 4
cybersécurité 1
 1 2
Répondre à un La gestion d’une crise
incident informatique d’origine cyber

L O
orsqu’une attaque informatique est détectée, l’objectif pour n parle de crise « d’origine cyber » face à un incident
une organisation victime est de la faire cesser, limiter ses impacts informatique malveillant brutal, soudain, menaçant gravement
et revenir à la normale. la stabilité d’une organisation, d’un ou plusieurs États :

Pour cela, plusieurs étapes doivent être franchies : Pour une ou plusieurs organisations, comme l’interruption de la
fourniture d’un service à des clients ou la divulgation de leurs
Comprendre et caractériser l’attaque et les impacts causés ou données à caractère personnel, source d’un mécontentement
susceptibles d’être causés. légitime.

Contenir et protéger les systèmes concernés. Pour l’Europe par exemple, lorsque les conséquences d’une
cyberattaque s’avèrent massives, par le nombre de victimes
Faire cesser l’attaque, en désinfectant/réparant, puis en restaurant et ou les impacts causés par l’attaque (par exemple, l’interruption de
en reconstruisant les systèmes concernés. la fourniture de services essentiels comme l’électricité
ou l’accès à internet).
Acteurs essentiels de la réponse à incident, les équipes de réponse à
incident de sécurité – les CSIRT (computer security incident response team) Face à une telle crise, la réaction d’une organisation ou d’un État ne pourra
ou CERT – sont les « médecins » chargés d’intervenir et de diagnostiquer les pas être seulement technique mais également opérationnelle et
mesures à prendre pour faire cesser l’infection. Ils sont aussi souvent les « stratégique (coordination interne, avec les partenaires, communication,
pompiers » qui interviennent eux-mêmes pour éteindre l’incendie. etc.) afin de permettre une sortie de crise rapide.
Le CSIRT d’une organisation peut également coopérer avec d’autres équipes
en-dehors d’une organisation, en France et à l’international.

42 / Former à la 43
cybersécurité
 FICHE

11

La
réglementatio
n

44 / Former à la 45
cybersécurité
 1
Ces règles doivent être applicables aux opérateurs
Les règles en matière publics et privés les plus critiques. Cela inclut les
« opérateurs d’importance vitale » gérant des installations
de cybersécurité et de lutte indispensables à la survie de la nation. Ces opérateurs
doivent mettre en œuvre des mesures de sécurité
contre la cybercriminalité numérique et notifier à l’autorité nationale de
cybersécurité (ANCY), les incidents survenus sur leurs
systèmes d’information. L’Ordonnance loi n° 23/010 du 13
Des catégories de règles existent en matière de cybersécurité et mars 2023 portant code du numerique couvre bien
de lutte contre la cybercriminalité : l’ensemble de ces règles.

Les règles visant à renforcer la protection des systèmes

d’information de l’administration et d’opérateurs
particulièrement critiques, en les obligeant à mettre en
œuvre certaines mesures techniques et non techniques
pour protéger leurs systèmes d’information.

Les règles visant à interdire et, le cas échéant,

punir des actions ou des comportements illicites
en ligne. Les règles applicables à l’ensemble des
entreprises et des autres entités, en vue de
protéger les données à caractère
2 personnel. Pour ça, un reférenciel existe : la
«
Les règles pour renforcer Convention de l'Union Africaine sur la Cyber
sécurité et la protection des données perso
la cybersécurité nnelles dit Conention de Malabo.
»

2 familles de réglementation doivent participer particulièrement au

renforcement de la cybersécurité en RD Congo :

Ces règles doivent s’appliquer aux entités publiques,

afin de garantir un niveau de sécurité adapté de leurs
systèmes d’information et des services publics
numériques notamment accessibles au
public. Ces règles doivent inclure la politique de sécurité
des systèmes d’information de l’État (PSSIE) ou encore un
référentiel général de sécurité (RGS).

46 / Former à la 47
cybersécurité
 FICHE
3
Les amendes et les peines de prison 12
pour des actions ou des
comportements illicites en ligne

Lire l’’Ordonnance loi n° 23/010 du 13 mars 2023 portant code du numerique

dans son Livre IV « DE LA SECURITE ET DE LA PROTECTION PENALE DES
SYSTEMES INFORMATIQUES ».

Les enjeux de
paix et de
sécurité
internationale
du cyberespace

48 / Former à la 49
cybersécurité
 1 3
Le cyberespace, source Renforcer la confiance
croissante de conflictualité entre États

D
ésormais considéré comme un espace de confrontation à part entière Plusieurs mécanismes concourent à renforcer la sécurité et la stabilité
par les armées de plusieurs États dans le monde, le cyberespace est internationale du cyberespace au travers d’échange entre États.
devenu le lieu de rapports de force entre États mais également entre On parle de « mesures de renforcement de la confiance ».
États et acteurs non-étatiques (cybercriminels, terroristes, etc.).

L’utilisation de moyens cyber-offensifs en dehors du cadre des conflits

armés, régis par le droit international public, suscite un nouveau risque : Les mesures de transparence
celui qu’une crise d’origine cyber conduise à un conflit entre États,
notamment dans le monde physique.
Elles consistent à partager publiquement toute information apte à rassurer
les autres États face à la perspective d’un différend : partage de points de
contacts techniques et diplomatiques afin de faciliter les échanges ; partage
de la stratégie nationale de cybersécurité mais aussi de la doctrine cyber
2 offensive et des conditions d’emploi de ces capacités, etc.

Des facteurs aggravants Les mesures de coopération

Elles consistent en l’ensemble des mécanismes de coopération,

Les difficultés à attribuer l’origine La prolifération des armes cyber notamment les techniques entre équipes de réponse à incidents (CSIRTs)
des attaques permettant au quotidien d’œuvrer collectivement à identifier les
Les outils et les techniques cyber-offensifs ou
La discrétion et la furtivité associées « armes cyber » étant de nature informatique,
vulnérabilités et à rendre les systèmes d’information plus sûrs, mais aussi
aux attaques informatiques, celles-ci sont par nature réplicables, au niveau diplomatique ou politique, permettant de résoudre
notamment les plus sophistiquées, modifiables, plus difficiles à contrôler et moins de manière pacifique d’éventuels différends.
peuvent rendre complexe l’attribution chères à développer ou à acquérir.
de l’origine d’une cyberattaque dont
est victime un État. Le risque de prolifération des armes cyber
augmente la probabilité que des Les mesures de stabilité
Le risque de ripostes fondées sur une cybercriminels ou des États ne disposant pas de
attribution erronée contre les moyens de développement de ces derniers, se
installations d’un État n’étant en fait pas dotent eux-mêmes de ces capacités. Ces dernières consistent en l’établissement de mécanismes de
à l’origine de l’attaque – par exemple Cette situation menace de « polluer » le signalement et de dialogue en vue de permettre une désescalade entre
conduite par un groupe cybercriminel cyberespace avec une quantité toujours plus États en cas de différend et de perspective de conflit, le plus souvent
sur son territoire – peut entraîner une importante d’actions malveillantes. au niveau politique. C’est, par exemple, le cas entre les États-Unis et la
escalade entre deux États, voire de La divulgation d’outils et de techniques utilisées Russie qui ont mis en place une ligne de signalement d’urgence en cas
contagion par les services de renseignement de certains d’attaque.
à d’autres États. États contribue à ce risque de prolifération.

50 / Former à la 51
cybersécurité
 FICHE
4
1
Fixer les règles pour 3
un
cyberespace stable et sécurisé

A
u-delà du renforcement de la confiance, le cyberespace doit être
protégé par le droit international afin d’encadrer les actions des
États, éviter la survenue de conflits entre eux ou encadrer ces
derniers. À cette fin, deux axes de travail guident depuis plusieurs
années des travaux entre diplomates principalement à l’ONU.

Les normes de comportement L’application du

responsables des États droit international
dans le cyberespace au cyberespace

Non contraignantes, ces Les discussions à l’ONU portent

normes de comportement, également sur les
décrites dans plusieurs modalités d’application du droit

Une brève
rapports de l’ONU décrivent international au cyberespace.
les comportements que les Par exemple, quelles sont les
États devraient adopter pour conditions d’exercice du droit à la

histoire de la
prévenir les incidents cyber et légitime défense des États face à
y répondre, en priorité par la des cyberattaques comme prévu
coopération. par l’article 51 de la Charte des
Nations Unies ?

cybersécurité

52 / Former à la 53
cybersécurité
 1 2
La cybersécurité : un La sécurité des communications, au
domaine aux racines très cœur des grands conflits
anciennes… mondiaux

S L
i l’on pourrait croire que la cybersécurité est un domaine très a protection des communications des autorités politiques et militaires
lié aux « nouvelles technologies » et donc relativement récent, a pris une importance critique lors des grands conflits mondiaux.
elle trouve en fait ses racines dans un sujet vieux de plusieurs Pendant la première guerre mondiale, la France dispose ainsi d’une
siècles : la cryptographie (voir les fiches consacrées à la cryptographie). Au équipe chargée de travailler sur les messages allemands interceptés pour en «
fur et à mesure de la création des États, les dirigeants ont, en effet, casser » le chiffrement. En juin 1918, dans une séquence épique et héroïque,
ressenti le besoin de protéger leurs secrets – politiques, stratégiques et Georges Painvain, jeune et brillant officier affecté à cette unité, réussira à
diplomatiques – des puissances étrangères. Jules César est à cet égard un percer les codes allemands pour décrypter le « Radiogramme de la Victoire ».
exemple célèbre et très ancien de chef d’État qui a recouru à la Transmise aux hautes autorités politiques et militaires, cette information
cryptographie pour protéger ses correspondances. permettra aux Français d’anticiper les mouvements adverses et de mener une
contre-offensive décisive pour barrer la route aux troupes ennemies, jouant un
Entre les années 1200 et 1650, la construction de l’État français tel que nous le rôle capital dans la tournure du conflit.
connaissons est passée par des étapes importantes, qui ont contribué
à structurer son organisation et ses missions les plus essentielles : création des Durant la seconde guerre mondiale, le «
Archives nationales, du Trésor, d’une monnaie unique dans tout le royaume, d’un Chiffre » joue de nouveau un rôle central.
impôt (la taille) permettant de lever une armée permanente ou encore des Le film Imitation Game a contribué à faire
postes. À partir de 1600 environ et jusqu’à la Révolution française, une fonction connaître l’action de personnages illustres
de « cryptographe du Roy » sera ainsi tenue à plein temps. L’un d’entre eux, tels qu’Alan Turing – considéré comme l’un
Antoine Rossignol sera, par exemple, remarqué par le cardinal de Richelieu. Il des
servira pendant plus de 50 ans les rois Louis XIII puis Louis XIV et ira jusqu’à fondateurs de l’informatique moderne
transmettre sa fonction à son fils et son petit- fils, avec pour mission de chiffrer – dans la cryptanalyse de la machine de
et de déchiffrer les correspondances du Roi et lui transmettre directement les chiffrement Enigma, utilisée par les
résultats des messages interceptés. Allemands pour protéger le secret de leurs
échanges. Au-delà du rôle des
britanniques, un travail fondamental a été
mené par les français, derrière le général
Gustave Bertrand, en collaboration avec
de brillants mathématiciens polonais tels
que Marian Rejewski1.

1. L’excellent ouvrage Enigma, ou comment les Alliés ont réussi à casser le code nazi, de
Dermot Turing, neveu d’Alan Turing, est une référence complémentaire précieuse sur cet
épisode.

54 / Former à la 55
cybersécurité
 3 4
Avec l’essor de l’électronique, Le début du web : une
de l’informatique et d’internet, (hyper-)connexion qui offre de
l’avènement de la sécurité des fabuleuses opportunités et génère des
systèmes d’information (SSI) menaces redoutables

L L
es années 1950 et 1960 sont le théâtre de plusieurs inventions e début des années 1990 voit internet s’ouvrir à une utilisation
majeures dans le domaine de l’électronique : le transistor, le circuit commerciale qui ne cessera de s’accroître, portée dans les années
intégré et le microprocesseur. Ces éléments seront fondateurs 2000 par le développement des services en ligne, des réseaux haut
d’une nouvelle discipline : l’informatique. La fin des années 1960 et la décennie débit filaires ou sans fil, de l’internet mobile et du « web 2.0 » – participatif,
1970 donneront une autre ampleur à ce domaine en mettant les ordinateurs – interactif et social. Le numérique progresse largement dans la société
ou plus largement, les systèmes d’information (SI) – en réseau, jetant ainsi les et l’économie, créant de formidables opportunités.
bases de l’internet que nous connaissons aujourd’hui.
C’est l’époque de l’essor de technologies basées sur l’informatique Outre cette dynamique vertueuse, il fait également émerger de nouvelles
et les télécommunications, comme internet, le Minitel ou la carte à puce. sources de menace. Les cyberattaques sont désormais courantes, visibles et
peuvent avoir des impacts de plus en plus significatifs. Pour répondre à cette
Allant au-delà de la seule protection de la confidentialité des messages, assurée tendance, dans la logique « du chat et de la souris », c’est le domaine de la
par la cryptographie, l’avènement des systèmes d’information et de leurs cyberdéfense qui prend tout son essor, créant au passage
réseaux permet également l’essor d’une discipline plus large : la sécurité des de nombreux métiers importants et fascinants.
systèmes d’information (SSI) ou « sécurité informatique ».
Initialement cantonnée aux mondes gouvernemental et universitaire, la Comme l’était le Chiffre au temps de Louis XIV, la cybersécurité devient un
matière profitera de la démocratisation d’internet et de l’accroissement de la enjeu stratégique pour les États qui, pour contrer les menaces
connectivité pour se répandre largement. Elle englobera progressivement de d’espionnage, de sabotage et de déstabilisation auxquelles ils font face, ils
nombreux domaines, faisant appel à des expertises techniques mettent en place des dispositifs structurés basés sur des capacités
variées : sécurité des réseaux, des logiciels, des composants matériels, des techniques, mais également politiques, réglementaires et industrielles. Au-
communications, etc. delà des seuls échelons nationaux, la cybersécurité devient par ailleurs un
enjeu de dimension européenne et internationale.

56 / Former à la 57
cybersécurité
58 / Former à la 59
cybersécurité
Cette présentation a été élaboré pour proposer
un contenu complet sur une initiation à la
Cybersécurité.