Guide Belge de La Cibersecurite

PROTGEZ VOTRE INFORMATION
GUIDE
BELGE DE
LA CYBER
SCURIT
Le prsent guide et les documents qui laccompagnent ont
t labors conjointement par ICC Belgium, la FEB, EY,
Microsoft, L-SEC, le B-CCENTRE et ISACA Belgium.
Tous les textes, les mises en page, les conceptions et les
lments de toutes sortes compris dans le prsent guide sont
protgs par des droits dauteur .
Des extraits du texte du prsent guide ne peuvent tre
reproduits qu des ns non commerciales exclusivement, et
pour autant que la source en soit clairement prcise.
ICC Belgium, la FEB, EY, Microsoft, L-SEC, le B-CCENTRE
et ISACA Belgium rejettent toute responsabilit quant au
contenu du prsent guide.
Lobjectif nest pas de constituer un guide exhaustif
des cyber-menaces potentielles ou de leurs mesures
dattnuation.
Les informations fournies :
- sont exclusivement de nature gnrale et ne sadressent pas
une situation spcifque ni des personnes physiques ou
morales ou des entits juridiques en particulier ;
- ne sont pas ncessairement compltes, prcises ou jour ;
- ne constituent pas un conseil professionnel ou lgal ;
- ne remplacent pas un conseil dexpert ;
- ne fournissent aucune garantie dune protection sre.
3
AVANT-PROPOS
Cher lecteur,
Par cette brochure, notre objectif est de vous familiariser
davantage avec un sujet dune importance majeure,
rgulirement sous le feu des projecteurs : la scurit de
linformation.
Chaque jour, toutes sortes de cas de cyber-criminalit
ou cyber-infractions surviennent tout autour du globe.
Beaucoup les ignorent ou prfrent les cacher, mais pour
certaines entreprises, elles constituent une source de
proccupation considrable. Plusieurs incidents graves de
cyber-scurit ont ainsi eu lieu dernirement dans notre
propre pays. Il est aussi devenu de plus en plus vident
que plusieurs gouvernements trangers sont prts
investir massivement dans la collecte dinformations. Et
pourtant, ni lignorance, ni la ngligence, ni la panique ne
sont des rponses adquates lorsquil sagit de faire face
au phnomne du cyber-crime.
En affaires, nous devons saisir les opportunits
qui se prsentent, et savoir grer les risques avec
sagesse. Chaque entrepreneur ou manager sait quelles
connaissances, quelles technologies ou quels processus
rendent son entreprise solide ou mme unique, mais aussi
vulnrable. Ce sont tout particulirement ces actifs
qui doivent tre protgs par une bonne gouvernance en
matire de scurit de linformation. Une telle gouvernance
aide protger lentreprise des lourds dommages qui
peuvent dcouler de mauvaises habitudes ou dune
relative ngligence en matire de scurit - lesquelles
semblent dailleurs aller de pair avec le dferlement des
mdias sociaux, appareils mobiles et apps toujours plus
personnaliss.
Laissez votre intrt pour une meilleure protection
vous guider vers une nouvelle dimension dans votre
culture dentreprise, et vers lmergence dune nouvelle
comptence professionnelle : lacquisition dun rfexe
cyber-scurit dans un environnement en perptuelle
volution.
La prsente brochure vous prsente les principes cls en
matire de cyber-scurit et fournit une checklist simple,
conue pour vous permettre de vous lancer dans la
bonne direction et mettre facilement en uvre les conseils
prodigus.
Nous esprons que ce guide sera utile tous les
responsables dentreprises de notre pays.
LA CYBER-SECURITE ...
ESSENTIELLE POUR TOUTE ENTREPRISE
Philippe Lambrecht
Secrtaire Gnral de la FEB
Rudi Thomaes
Secrtaire Gnral dICC Belgium
GUIDE BELGE DE LA CYBER-SCURIT |
4
TABLE DES MATIERES
AVANT-PROPOS 3
POURQUOI AVONS-NOUS BESOIN DUN GUIDE DE LA CYBER-SECURITE ? 6
COMMENT UTILISER CE GUIDE ? 9
10 PRINCIPES CLES DE SECURITE 11
A. VISION 12
Principe 1 : Aller au-del de la technologie 12
Principe 2 : Aller au-del de la conformit 13
Principe 3 : Traduire son ambition dans une politique de scurit de linformation 14
B. ORGANISATION ET PROCESSUS 15
Principe 4 : Sassurer le soutien de la direction 15
Principe 5 : Crer un rle visible de scurit dans lentreprise et responsabiliser chacun. 16
Principe 6 : Rester sr, mme en externalisant 17
C. CULTURE DENTREPRISE 18
Principe 7 : Sassurer que la scurit soit un moteur pour linnovation 18
Principe 8 : Savoir se remettre en cause 19
Principe 9 : Rester concentr sur lessentiel 20
Principe 10 : Se prparer affronter des incidents 21
| GUIDE BELGE DE LA CYBER-SCURIT
5
10 ACTIONS A ENTREPRENDRE EN MATIERE DE SECURITE 23
Action 1 : Sensibiliser et former les utilisateurs la scurit 24
Action 2 : Maintenir ses systmes jour 25
Action 3 : Protger linformation 26
Action 4 : Scuriser les appareils mobiles 27
Action 5 : Restreindre les accs aux autorits ncessaires 28
Action 6 : Appliquer des rgles de scurit pour la navigation sur internet 29
Action 7 : Adopter des mots de passe forts, et les stocker en scurit 30
Action 8 : Sauvegarder ses donnes, et contrler les sauvegardes 31
Action 9 : Lutter diffrents niveaux contre les virus et autres programmes malveillants 32
Action 10 : Prvenir, dtecter et agir 33
QUESTIONNAIRE DAUTO-EVALUATION 35
ETUDES DE CAS 53
tude de cas 1 : Une grande entreprise nationale (secteur industriel) active linternational. 54
tude de cas 2 : Un dtaillant de taille moyenne actif dans le commerce en ligne 55
tude de cas 3 : Une PME comptable 56
tude de cas 4 : Une start-up belge 57
LA CYBER-SECURITE EN BELGIQUE LISTE DE CONTACTS 59
APERU DES REFERENTIELS LES PLUS COURANTS DE SECURITE
DE LINFORMATION ET DE CYBER-SECURITE 65
BIBLIOGRAPHIE 66
REMERCIEMENTS 68
6
POURQUOI AVONS-NOUS BESOIN
DUN GUIDE DE LA CYBER-SCURIT ?
Les risques de scurit augmentent.
Chaque jour, que ce soit au niveau personnel ou au niveau
dune entreprise, nous sommes exposs des menaces
en provenance du cyber-espace. Dans la plupart des cas,
nous navons mme pas conscience de ces menaces,
ou si nous les connaissons, nous ny apportons pas la
raction adquate.
Les mdias ne cessent de rapporter de nouveaux
incidents relatifs la scurit, relatant limpact quils ont
sur nous, personnes ou entreprises. Et pourtant, ces
incidents ne sont que la partie merge de liceberg :
nous sommes bien plus exposs que nous limaginons,
et les menaces sur internet se dmultiplient une vitesse
impressionnante.
Le risque en matire de scurit de linformation peut tre
vu comme la combinaison de trois facteurs : un actif, une
vulnrabilit et une menace. Le principe est simple : un
actif peut avoir des vulnrabilits, lesquelles peuvent tre
exploites par des menaces. Or, les faits sont l : ces
trois facteurs ont connu une importante recrudescence
au cours des dernires annes :
1. Linformation
1
est un actif important de lentreprise,
et nous navons jamais gr de telles quantits
dinformations au format lectronique. Cela rend
toujours plus forte notre dpendance aux systmes
qui traitent et stockent nos donnes. Or, qui dit bon
fonctionnement, dit fonctionnement sr : la scurit de
nos informations et de nos systmes est donc critique.
2. De nouvelles techniques mergent et viennent complter
notre paysage technologique : le cloud computing,
les mdias sociaux, les appareils mobiles, pour nen
citer que quelques-uns. Cette volution vers toujours
plus de technologie va se poursuivre, et va continuer
accrotre notre dpendance leur bon fonctionnement.
Mais chacune de ces technologies amne galement de
nouvelles vulnrabilits en matire de scurit, que les
entreprises ne sont pas toujours prtes affronter.
3. Enfn et surtout, le nombre de cyber-menaces a
lourdement augment. La sophistication de ces
menaces et leur effcacit a galement connu une
croissance inquitante.
Alors, que de mauvaises nouvelles ? Pas vraiment.
Mais quand mme.
La bonne nouvelle, cest quau cours des dernires
annes, nous avons assist une meilleure prise de
conscience du problme, menant diverses contre-
mesures. Une srie de bonnes initiatives ont dj t
lances au niveau gouvernemental et institutionnel,
mais elles nont peut-tre pas encore t suffsamment
adoptes dans le monde des entreprises.
En effet, il rgne encore beaucoup dincertitude quant
ce quil faut faire et comment le faire, quand il sagit
de grer les risques manant des cyber-menaces. En
rgle gnrale, davantage dinitiatives sont prises dans
des entreprises internationales de taille plus importante,
alors que les entreprises moyennes ou familiales sont
tout autant exposes ces menaces. Et mme dans
les plus grandes entreprises, les initiatives en matire
de scurit de linformation ne font souvent pas lobjet
dun engagement fort de la part du plus haut niveau de
lentreprise. Nous sommes cependant convaincus que la
scurit de linformation devrait tre lordre du jour dans
toutes les organisations - indpendamment de leur taille,
de la complexit ou de la nature de leurs activits et
sadresser chaque individu qui les compose.
Beaucoup dentreprises protgent parfaitement leurs
actifs physiques installations, machines, personnel.
CETTE RUBRIQUE NA PAS POUR BUT DE VOUS EFFRAYER,
ET POURTANT ...
7
POURQUOI ?
Cest la plupart du temps une question de bon sens et
mme dhabitude que dassurer leur scurit physique,
de dfnir des rgles de scurit, de prvention et de
protection dans les oprations de lentreprise. Pourtant,
linformation est galement un bien prcieux : son vol, sa
perte, son mauvais usage, sa modifcation ou sa diffusion
sans autorisation, peuvent tous avoir un impact et des
consquences graves. Le savoir-faire et les donnes de
lentreprise sont souvent parmi ses actifs les plus critiques.
Assurer la confdentialit, lintgrit et la disponibilit de
ces donnes est devenu une priorit. Ces trois objectifs en
matire de scurit correspondent trois questions cls :
Qui consulte nos donnes ?, Nos donnes ont-elles t
corrompues ? et Pouvons-nous accder nos donnes
quand nous en avons besoin ?.
Il en va aussi de votre responsabilit.
On ne sattend pas ce que des dirigeants dentreprises
se convertissent en experts en cyber-scurit. Toutefois,
il est de leur devoir de protger les actifs de leur
organisation. Ils devront donc en dlguer la responsabilit
leurs quipes de direction et des experts externes,
afn de sassurer que la cyber-scurit reste un sujet
rgulirement suivi par le conseil dadministration, et que
les actions ncessaires soient entreprises.
Traiter des donnes personnelles au format lectronique
implique de nombreuses obligations pour une entreprise.
En effet, elle est responsable des donnes quelle gre,
et doit par consquent assurer un niveau de scurit
adquat. Il revient donc chaque entreprise de prendre les
mesures les plus pertinentes afn de protger ces donnes
contre une perte volontaire ou accidentelle, et empcher
leur utilisation ou modifcation non autorise.
En plus dautres sanctions que lentreprise peut encourir,
la loi prvoit des mesures pnales. Le projet de rglement
europen sur la protection des donnes augmentera
la svrit de ces mesures et lentreprise pourrait tre
contrainte payer des dommages considrables aux
personnes touches.
En vertu du projet de rglement europen sur la protection
des donnes, en cas de mauvais usage par des tiers
des donnes personnelles dtenues par lentreprise, de
perte de donnes ou de toute autre violation de celles-
ci, lentreprise doit en informer sans dlai la commission
de protection de la vie prive, ainsi que la personne
concerne lorsque la violation des donnes est susceptible
davoir un effet ngatif sur la vie prive.
Il est temps dagir !
tre la victime dun incident en matire de scurit de
linformation peut avoir de multiples consquences, ne
se limitant pas la perte de donnes ou dinformations.
Les effets sur la rputation de votre entreprise peuvent
perdurer et avoir de graves consquences fnancires.
Affrmer que protger les informations de lentreprise relve
de la responsabilit de chacun ne sufft pas. Il faut rendre
ce principe tangible tous les niveaux de votre entreprise
et ancrer des rfexes de scurit dans le quotidien de
vos quipes. Ces principes doivent tre empreints de bon
sens et tre pragmatiques, afn de renforcer leur impact
et de permettre une mise en uvre tant dans les grandes
que les petites entreprises il convient donc dviter
une approche unique qui ne tiendrait pas compte des
spcifcits de chaque organisation.
Une gouvernance professionnelle de la scurit de
linformation revient
(A) crer une vision dentreprise et des principes en la
matire, lesquels devraient se traduire en une politique
de scurit de linformation,
(B) insrer cette politique dans lorganisation et tablir les
processus, rles et responsabilits lis,
(C) crer la bonne culture, le bon comportement et les
bons rfexes en mettant en uvre de bonnes pratiques
en matire de scurit de linformation.
Cette combinaison doit permettre votre entreprise
datteindre des rsultats durables dans le cadre de la
scurit de linformation. Une responsabilisation de chacun
et une discipline rigoureuse, plutt que des technologies
de protection sophistiques, sont des actions simples
qui ont pourtant le potentiel damliorer considrablement
votre niveau de cyber-scurit.
La scurit absolue est une utopie, mais cela ne devrait
pas nous empcher dessayer de latteindre. Ce guide,
crit pas des reprsentants du monde de lentreprise,
devrait vous permettre dentamer votre trajet vers une
scurit de linformation plus forte et plus durable.
1
Citons notamment parmi les informations cruciales dune
entreprise : les donnes fnancires, les donnes RH,
les donnes relatives aux clients et aux fournisseurs, les listes de
prix, les comptes rendus du conseil dadministration ...
COMMENT UTILISER
CE GUIDE ?
9
1
LIRE
les 10 principes cls
de scurit
et les 10 actions
entreprendre en
matire de scurit
RPONDRE
aux 16 questions
de lauto-valuation
REVOIR
chaque checklist
correspondante, quand
la rponse est orange ou
rouge
IMPLMENTER
un plan daction pour la
cyber-scurit
REGULIREMENT
rvaluer le niveau
de cyber-scurit
2
3
4
5
COMMENT UTILISER
CE GUIDE ?
COMMENCER
ICI
10 PRINCIPES CLS
DE SCURIT
ET 10 ACTIONS
ENTREPRENDRE EN
MATIRE DE SCURIT
A. LA VISION
B. LORGANISATION &
LES PROCESSUS
C. LA CULTURE
DENTREPRISE
11
10 PRINCIPES
CLS DE SCURIT
Il existe un certain nombre de principes-cls qui
constituent la base dune gestion effcace de la scurit de
linformation. Si lapproche pratique de gestion de la cyber-
scurit peut varier dune entreprise lautre - suivant
la nature de lactivit, le niveau de risque, les facteurs
environnementaux, les exigences rglementaires, la taille
- ces 10 principes sappliquent toutes les entreprises,
quels quen soient la taille ou le secteur.
Ce guide prsente 10 principes cls structurs autour
de trois domaines de la gouvernance de la scurit de
linformation :
(A) La vision

(B) Lorganisation & les processus
(C) La culture dentreprise
complts par une srie dactions entreprendre en
matire de scurit.

Les principes et les actions suggrs dans le prsent guide
renforceront considrablement la capacit de rsistance
dune entreprise aux cyber-attaques, et en limiteront
limpact en cas dincident.
12
Voir plus loin que la technologie, cest envisager la scurit
de linformation dans son sens le plus large, et pas
uniquement en termes de technologies de linformation
(IT).
Lexprience
2
nous montre que 35% des incidents
sont dus une erreur humaine, plutt qu une attaque
dlibre. Et si lon sintresse aux 65% restants, plus de
la moiti de ces attaques dlibres auraient chou si les
individus impliqus avaient trait linformation de manire
plus scurise.
Ces chiffres dmontrent clairement que la gestion de
la scurit doit tre vue comme une combinaison de
personnes, de processus et de technologie. La cyber-
scurit doit tre perue comme laffaire de toute
lentreprise, et pas seulement de linformatique. La mise
en uvre de mesures de scurit ne doit pas tre limite
au dpartement IT : elle doit tre rpercute dans toute
lorganisation, et se refter dans chacune de ses actions.
Le primtre de la cyber-scurit doit donc couvrir les
personnes, les produits, les installations, les processus, les
politiques de lentreprise, les procdures, les systmes, les
technologies, les rseaux et linformation.
Dans une entreprise mature, la scurit de linformation
est considre comme une exigence mtier, aligne sur
les objectifs stratgiques, les politiques de lorganisation,
la gestion du risque, les exigences de conformit et la
mesure des performances. Les dirigeants au sein de
votre entreprise doivent pouvoir comprendre comment la
scurit sert lentreprise.

Citons parmi les avantages de voir plus loin que la
technologie, et de mettre la scurit au service de
lentreprise:
Stratgiquement : une meilleure prise de dcision grce
une visibilit plus forte sur lexposition aux risques.
Financirement : une rduction des pertes, donnant un
avantage fnancier lentreprise.
Oprationnellement : lexistence de plans de
contingence adquats pour lentreprise.
1.
ALLER AU-DEL DE LA TECHNOLOGIE
2
EY 2012 Global Information Security Survey - Fighting to close
the gap (Enqute mondiale sur la scurit de linformation de EY)
13
10 PRINCIPES CLS DE SCURIT
A. LA VISION
Les entreprises sont soumises de nombreuses lois,
rglementations et normes, dont beaucoup requirent
la mise en place de mesures de scurit adquates.
Le lgislateur et les rgulateurs sintressent de prs
aux questions de la vie prive, des contrles sur
ltablissement des comptes de lentreprise, de la
protection du consommateur ou dautres donnes
spcifques. Les textes lgaux qui en dcoulent sont
souvent complts par des rglementations propres au
secteur ou des cadres de scurit.
La conformit avec ces diverses sources dobligations a
certes lev le niveau de cyber-scurit des entreprises.
Toutefois, les efforts consentis nont trop souvent que la
mise en conformit pour objectif.
La conformit tant toujours concentre sur des sujets
bien spcifques, on dnote labsence dune approche
globale, qui se fonde sur les risques rellement encourus.
Par exemple, les efforts de protection de la vie prive se
concentrent uniquement sur la protection des donnes
personnelles, et pas sur dautres donnes, mme si
celles-ci sont tout aussi critiques. Le contrle sur les tats
fnanciers se concentrera essentiellement sur lintgrit
des donnes fnancires, alors que dautres informations
gres par lentreprise pourraient faire lobjet des mmes
mesures de protection.
Nous nous retrouvons ds lors face deux aspects
incontournables :
Premirement, tre en conformit ne veut pas
ncessairement dire quon a scuris son primtre. Les
objectifs de scurit provenant de lois, de standards et
de rglementations ne peuvent constituer quune partie
des objectifs globaux de scurit de lentreprise. Une
bonne gestion de la scurit va plus que probablement
contribuer ou mme garantir la mise en conformit, tout
en satisfaisant simultanment les besoins de lentreprise.
Deuximement, les efforts en matire de scurit
devraient tre aligns et si possible intgrs aux efforts
visant la mise en conformit ou la rduction des
risques. Une telle approche vite que les actions et les
responsabilits se chevauchent.
2.
ALLER AU-DEL DE LA CONFORMIT
14
La scurit de linformation est une problmatique mtier,
et non pas uniquement technologique. La motivation dune
entreprise protger son information doit naturellement
maner de ses activits et de sa stratgie. Une politique de
scurit sassure que la vision de lentreprise en matire de
scurit est traduite dans la pratique. Cette transposition
repose gnralement sur une politique de haut niveau, de
laquelle dcoulent des directives et des normes, lesquelles
sont intgres dans les procdures oprationnelles de
lorganisation.
Une politique de scurit apporte plusieurs avantages :
Elle aide les entreprises rendre visible leur engagement
protger leurs actifs les plus vitaux ;
Elle offre un cadre de rfrence en matire de scurit
de linformation, au travers de lentreprise, pour tous les
mtiers et tout le personnel ;
Elle fait crotre la sensibilisation la scurit.
Une politique de scurit pose les fondations de toutes les
activits de gestion de la scurit dans lentreprise.
3.
TRADUIRE SON AMBITION DANS UNE POLITIQUE DE
SCURIT DE LINFORMATION
15
B. LORGANISATION & LES PROCESSUS
La fonction de scurit de linformation doit pouvoir
compter sur un engagement fort de lentreprise envers
la cyber-scurit : ce soutien est essentiel pour pouvoir
apporter une rponse rapide et effcace aux menaces
scuritaires actuelles et futures. Par consquent, le top
management doit sengager, de faon visible, dans la
gestion et la supervision de la politique de cyber-scurit
de son entreprise. Il est de son devoir de veiller ce que
les ressources requises en termes de budget et de
personnel soient alloues la protection de lentreprise.
Cet engagement se traduit par exemple par la validation
formelle de la politique de scurit par sa direction.
Lquipe dirigeante de lorganisation doit comprendre
limportance que recouvrent les mesures de gestion
du risque de cyber-scurit dans la protection de la
rputation, du succs et de la proprit intellectuelle de
son entreprise. En effet, protger son savoir est essentiel
pour pouvoir fournir des produits ou des services
comptitifs ses clients.
Lefcacit et ladquation des mesures de scurit de
linformation doivent tre formellement rapportes :
De manire rgulire, la plus haute autorit en matire
de scurit au sein de votre entreprise;
Au moins une fois par an, au conseil de direction et au
conseil dadministration.
Ce rapport doit comprendre un certain nombre
dindicateurs et de mtriques mesurant la scurit de
linformation, et amener de la visibilit sur la faon dont
lentreprise protge ses actifs. Il est essentiel dvaluer
les progrs et leffcacit des mesures mises en uvre
en matire de cyber-scurit, et de permettre que cette
information alimente le processus de prise de dcision
en matire de politique et dinvestissements de cyber-
scurit.
4.
SASSURER LE SOUTIEN DE LA DIRECTION
16
Afn de grer effcacement la scurit de linformation, une
gouvernance cible doit tre dfnie et mise en uvre.
Cette gouvernance doit garantir que les responsabilits en
matire de protection de linformation soient assignes aux
bonnes personnes, disposant du niveau dautorit, des
formations et des outils ncessaires. De plus, la direction
et le soutien la ralisation de toutes les initiatives en
matire de scurit de linformation doivent tre assigns
une fonction spcifque, mme si la responsabilit globale
en termes de scurit reste partage par lensemble des
acteurs de lentreprise.
Les plus petites entreprises doivent elles aussi disposer
dune personne qui contrle rgulirement ladquation
des mesures de gestion de la cyber-scurit, et endosse
formellement la responsabilit de lexcution des actions
dans ce domaine. Au sein de plus petites structures, ce
rle nest pas forcment un temps plein, mais il nest pas
moins un rle essentiel, qui peut dailleurs savrer vital
pour la survie de lentreprise.

Dans des grandes entreprises, lallocation des fonctions
de cyber-scurit doit volontairement chercher impliquer
diffrents reprsentants de lorganisation au sein de
groupes de travail et de comits (ventuellement virtuels).
Il est important que chaque participant comprenne
parfaitement son rle et ses responsabilits : la qualit de
la documentation et de la communication y jouent donc un
rle essentiel.
Lentreprise doit sassurer de former son personnel. Elle
doit ainsi clairement communiquer sur les responsabilits
de chacun, mais galement sur les menaces auxquelles
lentreprise est expose. Une menace importante
laquelle votre personnel doit tre form est lingnierie
sociale : cette technique consiste manipuler les
utilisateurs afn dobtenir deux des informations sensibles
ou confdentielles, ou lexcution dactions dommageables
lentreprise (p.ex. un transfert de fonds).
Lorganisation doit pouvoir donner les moyens aux
quelques personnes cls actives dans la gestion de la
cyber-scurit, de partager des informations utiles avec
ses pairs et dautres intervenants au sein du secteur,
tant pour contribuer llaboration de bonnes pratiques
en matire de cyber-scurit, que pour tre alerte de
nouvelles menaces ou dattaques potentielles.

Bien que souvent dsigns comme le maillon faible
lorsquil sagit de scurit de linformation, il est possible
de transformer les membres de votre personnel en votre
plus grand atout scuritaire : sensibilisez vos quipes
la cyber-scurit, afn quils prennent conscience des
enjeux lis la scurit de linformation, et traduisent cette
prise de conscience en une srie dactions concrtes au
quotidien.
5.
CRER UN RLE VISIBLE DE SCURIT DANS
LENTREPRISE ET RESPONSABILISER CHACUN
17
B. LORGANISATION & LES PROCESSUS
Soutenues par des moyens de communication en
continuelle amlioration, les chanes de valeur de nos
entreprises sont devenues fortement intgres. Les
modles de collaboration avec de tierces parties, tels
loutsourcing ou loffshoring, sont ainsi devenus un mode
de fonctionnement tout fait courant.
Cependant toute partie tierce qui ne protgerait pas
correctement les informations et les systmes de ses
clients, pourrait tre la cause dincidents ayant le potentiel
de lourdement impacter les oprations, la rputation et la
valeur de marque dune entreprise.
Il est ds lors de bonne pratique dencourager les
fournisseurs de services (et en particulier les fournisseurs
IT) respecter au minimum les principes de scurit
appliqus au sein de lentreprise cliente, mais galement
dobtenir lassurance que les informations et les systmes
dinformation dont ils ont la charge sont scuriss. Une
telle assurance peut tre obtenue par le biais daudits
des fournisseurs de service ou en exigeant de leur part
un rapport formel sur ltat de la scurit, rdig par une
organisation indpendante. Une attention particulire
devrait tre porte la revue et la bonne comprhension
du contrat de service, et en particulier des mesures
relatives la disponibilit et la restauration des systmes,
suite un incident.
A lre des services cloud (ou dans le nuage), ce principe
est plus que jamais dapplication. Les services cloud
sont lensemble des solutions o un fournisseur externe
prend en charge le stockage, le traitement ou la gestion
des donnes de lentreprise au travers dun rseau tel
quinternet, tout en offrant un haut degr de fexibilit et un
contrle en temps rel des services.
Les fournisseurs de services IT peuvent galement
offrir des solutions de scurit. Il est ds lors suggr
dinterroger vos fournisseurs, et notamment vos
fournisseurs cloud, au sujet des services de scurit quils
proposent au sein ou en complment leurs solutions.
Ces services peuvent par exemple inclure les dispositions
de sauvegarde, restauration, ou cryptage de donnes, qui
peuvent savrer trs intressants pour une plus petite
entreprise.
Il est galement recommand de sassurer un accs aux
traces dactivits (logs) pour lensemble des services
externaliss. Ces traces sont en effet essentielles quand
il sagit danalyser et valuer de menaces en matire de
cyber-scurit.
6.
RESTER SR, MME EN EXTERNALISANT
18
Outre le fait quune approche scuritaire adquate protge
lentreprise, elle peut galement contribuer directement
ladoption de nouvelles technologies. Laversion
aux risques ne devrait pas empcher lintroduction de
nouvelles technologies : il sagit simplement de sassurer
que les menaces qui y sont associes soient bien
comprises, et quelles puissent tre mises en rapport avec
les bnfces de cette technologie pour lentreprise.
Lintroduction de solutions et de composants innovants
doit saccompagner de mesures scuritaires appropries
et ce le plus rapidement possible au court du processus
dadoption, idalement lors du processus de dfnition des
spcifcations fonctionnelles. Le principe de security by
design, soit une conception intgrant la scurit, devrait
tre appliqu afn dassurer que la scurit soit prise en
compte ds le dmarrage de tout dveloppement ou
acquisition de nouveaux outils ou dapplications.
Les individus la source des innovations dans lentreprise
doivent disposer de connaissances en scurit suffsantes,
ou impliquer les experts scurit, afn dintgrer lors de
la conception de toute nouvelle solution les aspects
scuritaires adquats.
7.
SASSURER QUE LA SCURIT SOIT UN MOTEUR
POUR LINNOVATION
19
C. LA CULTURE DENTREPRISE
Les menaces en matire de cyber-scurit sont en
constante volution. Dans ce contexte, les politiques et
procdures de scurit tablies par votre organisation
peuvent trs vite devenir obsoltes ou tout simplement
ineffcaces en pratique.
Lexcution dvaluations rgulires du niveau de
rsistance de lentreprise aux menaces actuelles en
matire de cyber-scurit et aux vulnrabilits connues,
permet de mesurer lavancement de limplmentation des
mesures de gestion de la cyber-scurit, et dvaluer leur
adquation. Ceci peut se faire par des analyses et audits
indpendants internes ou externes, tels que des tests de
pntration et scans de vulnrabilits.
Ces valuations contribuent galement forger une
culture dentreprise en phase avec les impratifs de
cyber-scurit. Les entreprises devraient permettre aux
employs de faire des erreurs et stimuler des discussions
ouvertes quant aux incidents de scurit. Cest ce type de
culture qui garantit que les employs ne craignent plus de
remonter les incidents quand ceux-ci se produisent.
A ct de ces valuations, des interactions rgulires
avec les entreprises issues du mme secteur - et plus
largement dautres acteurs du monde des affaires et du
milieu judiciaire - peuvent aider lentreprise maintenir
jour son niveau de comprhension des menaces prsentes
et futures en matire de cyber-scurit.
8.
SAVOIR SE REMETTRE EN CAUSE
20
Dans lconomie de la connaissance o nous vivons
aujourdhui, linformation est devenue tout particulirement
prcieuse. Bien cerner cet actif, puis sattacher lanalyse
des vulnrabilits et menaces associes, peut savrer une
tche norme.
Vos efforts doivent donc se concentrer sur la protection
des informations les plus prcieuses, celles dont un
incident li leurs confdentialit, intgrit ou disponibilit
pourrait srieusement impacter lentreprise.
Cela ne signife pas pour autant quil ne faille pas se
soucier de la protection des autres informations. Mais
ce principe, fond sur une analyse des risques pour
identifer les actifs les plus critiques de lentreprise, est la
manire la plus effciente et la plus effcace de pratiquer
la gestion de la scurit de linformation. Cette approche
rend galement clair quune limination totale de tous les
risques possibles nest ni raliste, ni ncessaire.
9.
RESTER CONCENTR SUR LESSENTIEL
21
C. LA CULTURE DENTREPRISE
Un incident de scurit nest pas forcment une mauvaise
chose. Limportant nest pas lincident en lui-mme mais
la manire dont on y rpond. Dans notre environnement
actuel de menaces et vulnrabilits, la question se poser
nest pas Si mais bien Quand on sera victime dun
incident de scurit et si on y est prpar.
Votre entreprise doit tre prpare, au niveau tant
organisationnel que technologique, faire face un
incident de scurit de telle manire quelle en minimise
les impacts sur son activit. Idalement, des fournisseurs
de services spcialiss dans la matrise et la remdiation
dincidents de scurit auront t pro-activement
identifs, pour tre prt le jour o une raction quasi
immdiate se rvle ncessaire.
Un bon plan de rponses aux incidents, qui doit
comprendre une stratgie de communication interne et
externe, peut faire la diffrence entre une interruption
de votre activit de moins dun jour, ou une interruption
complte longue de plusieurs journes ; entre un fait divers
de 10 lignes en page 7 et les grand titres la Une des
journaux.
Il est primordial que les incidents de scurit soient
communiqus de manire approprie en interne et si
ncessaire en externe. De plus, il faut garder lesprit
que rapporter de tels incidents aux autorits comptentes
est une manire de contribuer lamlioration du paysage
scuritaire, et que par ailleurs, cest dans certains cas une
obligation.
10.
SE PRPARER AFFRONTER DES INCIDENTS
PRVENIR VAUT
TOUJOURS MIEUX
QUE GURIR
23
10 ACTIONS
ENTREPRENDRE
EN MATIRE
DE SCURIT
La rubrique suivante fournit une synthse des actions
cls que toute entreprise devrait envisager dintgrer
son approche de la scurit de linformation. Ces actions
visent soutenir lentreprise dans diffrentes phases de la
gestion de la cyber-scurit : la protection de lentreprise
contre les incidents, la dtection dun cas dincident,
la matrise dun incident, la raction un incident, et le
rtablissement de lactivit la suite dun incident.
24
La scurit de linformation est un sujet qui touche toute
lentreprise. Les personnes qui crent et manipulent
linformation dune entreprise jouent galement un rle
majeur dans la sauvegarde de cette information. Si elles ne
respectent pas des principes de prcaution lmentaires,
elles peuvent devenir source dincidents de scurit, voire
pire, faciliter fortement la tche dattaquants.
Il est essentiel de maintenir, au sein de lentreprise dans
son ensemble, une connaissance des principales menaces
et dfs en matire de cyber-scurit. Les sujets suivants
sont cits en guise dexemple :
Comment communiquer en toute scurit et de manire
responsable
Comment utiliser les mdias sociaux de manire
judicieuse
Comment transfrer les fchiers numriques de manire
scurise
Comment utiliser son mot de passe de faon approprie
Comment viter la perte dinformations importantes
Comment sassurer que seules les bonnes personnes
puissent accder vos donnes
Comment se protger des virus et autres logiciels
malveillants (malware)
Qui avertir lorsque vous constatez un incident de scurit
potentiel
Comment ne pas se faire piger et divulguer des
informations des tiers malveillants
Cette connaissance permet de sassurer que tous les
membres du personnel ayant accs aux informations et
systmes de lentreprise, comprennent le rle quils jouent
dans sa protection, et contribuent cette protection dans
leurs tches quotidiennes. Un environnement de travail
o les rfexes de cyber-scurit sont la norme se met
alors en place, faisant de la scurit une partie intgrante
de la culture de lentreprise. Rpter rgulirement les
messages relatifs la cyber-scurit est la meilleure faon
de progressivement dvelopper les comptences de
scurit souhaites au sein de vos quipes.
Comme la plupart des membres du personnel utilisent
galement Internet des fns prives, les actions de
formation ne doivent pas se limiter uniquement
lutilisation de linformation de lentreprise. Il est important
que votre personnel comprenne aussi comment protger
leur vie et donnes prives.
Vous trouverez une source gnrale dinformation sur
la cyber-scurit et la sensibilisation des utilisateurs
sur www.safeonweb.be, une initiative du CERT.be
(lquipe fdrale dintervention durgence en scurit
informatique) et sur http://www.enisa.europa.eu/media/
multimedia/material, une initiative dENISA. Lutilisation
des informations, vidos, images et autres matriels
disponibles sur ces sites des fns ducatives au sein de
lentreprise est autorise.
1.
SENSIBILISER ET FORMER LES UTILISATEURS
LA SCURIT
25
10 ACTIONS ENTREPRENDRE
EN MATIRE DE SCURIT
Bon nombre de piratages et infections virales
informatiques exploitent des failles de scurit pour
lesquelles des solutions et correctifs sont disponibles,
souvent mme depuis plus dun an avant lincident.
Systmes et logiciels, en ce compris lquipement rseau,
doivent tre mis jour ds que des correctifs et mises
jour logicielles sont publies. Ces mises jour et correctifs
de scurit corrigent des vulnrabilits de systme dont
des pirates informatiques pourraient abuser.
Ds quils sont disponibles des conditions commerciales
acceptables, aprs les tests ncessaires et ds que
possible en gnral, utilisez les services de mise jour
automatiques, en particulier pour des systmes de scurit
comme les applications anti-malware (p.ex. anti-virus),
les outils de fltrage Web et les systmes de dtection
dintrusion.
Afn de sassurer que tous les systmes fassent lobjet
dune protection adquate, il est conseill de maintenir
un inventaire de ces systmes, accompagn de la liste
des exigences minimales de scurit applicable chacun
dentre eux.
Seules les mises jour logicielles de scurit directement
fournies par le fournisseur dorigine devraient tre
acceptes, afn de garantir leur authenticit. Aucune action
de mise jour logicielle ne devrait tre ralise sur base
dun correctif en pice jointe dun e-mail, ou sur base dun
lien vers un site inconnu.
2.
MAINTENIR SES SYSTMES JOUR
26
Plus que jamais, la stratgie de scurit de linformation
doit se concentrer sur les donnes plutt que sur des
technologies scuritaires. La scurit du primtre rseau
et le contrle daccs traditionnel ne sont plus suffsants,
en particulier lorsque linformation est stocke dans des
environnements hors de votre contrle, comme internet ou
des supports mobiles.
Diffrentes techniques de cryptage sont disponibles
et ont dmontr leur effcacit dans des circonstances
spcifques (quil sagisse de stockage ou de transport de
donnes), par exemple :
Les e-mails envoys via internet des partenaires
commerciaux, clients et autres, le sont par dfaut en
texte clair. Les entreprises doivent fournir les moyens
ses utilisateurs de crypter les e-mails lorsque les
informations transmises sont sensibles.
Les quipements portables tels que les ordinateurs
portables, cls USB et smartphones peuvent constituer
des cibles privilgies pour des voleurs, ou sont
parfois perdus. Cest pourquoi les entreprises doivent
sassurer quils sont soit crypts par dfaut (ordinateurs
portables et smartphones), soit crypts la discrtion de
lutilisateur (cls USB).
3.
PROTGER LINFORMATION
27
EN MATIRE DE SCURIT
Les quipements portables sont une source de dfs
considrables en matire de gestion et de scurit, en
particulier lorsquils contiennent des informations sensibles
et confdentielles, ou lorsquils peuvent se connecter au
rseau de lentreprise :
Perte de donnes
Attaques dingnierie sociale
Logiciel malveillant (malware)
Menaces pour lintgrit des donnes
Abus de ressources
Attaques bases sur le Web et le rseau

Le concept BYOD (Bring Your Own Device utilisation
du matriel priv pour accder au rseau de lentreprise)
est trs sduisant pour beaucoup dorganisations et
demploys, mais comporte linconvnient daccrotre
le risque dexposition de linformation sensible de
lentreprise.
Par consquent, il est ncessaire dadopter une position
claire quant aux appareils qui sont autoriss accder
au rseau et/ou linformation de lentreprise, et adopter
une politique et des procdures appropries en matire de
scurit.
Les utilisateurs doivent protger laccs leurs appareils
portables par un mot de passe fort. Les entreprises doivent
proposer et / ou imposer aux utilisateurs de confgurer
lappareil mobile de faon sre, le protgeant ainsi des
tentatives dindividus malveillants de voler linformation
quils contiennent. Le systme dexploitation et les logiciels
installs sur ces appareils doivent tre tenus jour, en
particulier ceux de scurit, afn de rester protgs contre
les dernires versions des malwares et des virus.
En outre, des procdures de rapport immdiat de tout
vol ou perte dquipement doivent tre disponibles ainsi
que, si possible, des fonctionnalits de nettoyage
distance permettant de supprimer toutes les informations
de lentreprise prsentes sur les quipements perdus
ou vols. Les utilisateurs doivent galement rester
vigilants vis vis de leur environnement, tant avant que
pendant lutilisation de leurs quipements portables.
Ils doivent galement adopter les comportements
suivants:
Installer des solutions de scurit des e-mails
viter douvrir des messages inattendus provenant
dexpditeurs inconnus
viter douvrir des liens non identifs
viter de chatter avec des personnes inconnues
4.
SCURISER LES APPAREILS MOBILES
28
Un accs ne doit tre dlivr que sil savre justif par
la fonction professionnelle ou dans le cadre dune tche
accomplir. Personne ne devrait avoir accs tous les
systmes et donnes.
Les privilges dadministrateur systme (root, superuser,
administrator) ne doivent tre accords qu un nombre
limit demploys dignes de confance. De nos jours, il
existe des options qui permettent aux administrateurs
systme de faire leur travail sans avoir accs aux donnes.
Les responsables dapplications et de donnes devraient
rgulirement (au moins une fois par an) revoir et valider
les droits daccs dans leurs domaines respectifs.
En outre, les employs ne devraient pas pouvoir installer
un logiciel sur les ordinateurs fxes ou portables de
lentreprise sans autorisation pralable. Ils ne devraient pas
non plus pouvoir modifer les paramtres de scurit des
applications, du systme dexploitation, ou des logiciels
de scurit, et ne devraient pas pouvoir dsinstaller ces
logiciels de scurit. Ces accs sont soumis un risque
signifcatif dincidents et devraient par consquent tre
considrs comme un privilge et tre uniquement
accords aux personnes qui en ont rellement besoin.
5.
RESTREINDRE LES ACCS AUX AUTORITS
NCESSAIRES
29
EN MATIRE DE SCURIT
En ce qui concerne laccs des services sur internet,
dun point de vue strictement scuritaire, seuls les services
dont les employs ont besoin dans leurs fonctions
devraient tre accessibles. Nanmoins, nombreuses sont
les entreprises qui adoptent des politiques de ressources
humaines autorisant une utilisation prive dinternet
sur le lieu de travail, tant quelle reste raisonnable et en
accord avec les valeurs thiques de lentreprise. Dans
ce cas, le blocage de services internet pour raison de
scurit devrait au minimum couvrir ceux qui comportent
le plus haut niveau de risque, savoir les sites offrant
des logiciels pirats ou malveillants, les sites offrant des
services de partage de fchiers de poste poste (peer to
peer), ou encore les sites ddis aux activits de piratage
informatique ou au contournement de contrles de
scurit. Un autre risque auquel sexpose lentreprise est
celui de violation du droit dauteur, qui peut se matrialiser
suite au tlchargement et lutilisation non autorise
de logiciels ou autre contenu protg (photographies,
documents, musique, vido...).
Il existe des solutions qui catgorisent chaque service sur
internet et permettent de fltrer le contenu disponible sur
base de ces catgories, de manire confgurable et fexible
(sur base de quota, en fonction du jour et de lheure, etc).
Il est essentiel que les rgles de navigation sur internet en
vigueur au sein de votre entreprise soient transparentes
pour tous les utilisateurs. Lentreprise doit galement
disposer dun mcanisme permettant douvrir laccs aux
sites et services bloqus par dfaut, mais qui savrent
ncessaires pour le travail.
Les risques quimplique la navigation sur internet ne
se limitent pas aux virus et logiciels espions distribus
via certains sites malveillants. En effet, louverture
internet rend galement lentreprise plus vulnrable
lhameonnage (phishing)
3
, et augmente ainsi le risque
que des informations prives ou professionnelles soient
voles.
Les versions rcentes des navigateurs les plus populaires
intgrent la possibilit de bloquer une liste de sites Web
frauduleux connus. Cest pourquoi tout quipement
utilis pour accder internet devrait disposer dun
tel navigateur. Les utilisateurs devraient tre informs
des astuces permettant de reconnatre les sites Web
malveillants, telles que:
Vrifer que le site dispose dune section de contact avec
une adresse, un numro de tlphone et/ou une adresse
e-mail qui peut tre valide, ainsi quune politique de
protection de la vie prive.
Contrler la destination relle dun hyperlien en passant
avec le curseur sur ce lien (sans cliquer) et en regardant
(gnralement) dans le coin infrieur gauche du
navigateur o ladresse relle du site Web de destination
saffche.
Contrler que ladresse Web commence par https://
avant dintroduire des informations personnelles ou
confdentielles.
6.
APPLIQUER DES RGLES DE SCURIT POUR LA
NAVIGATION SUR INTERNET
3
http://en.wikipedia.org/wiki/Phishing : action de tenter dacqurir
des informations, comme des noms dutilisateurs, des mots
de passe, et des donnes de cartes de crdit (et parfois,
indirectement, de largent) en faisant croire la victime quelle
sadresse un tiers de confance dans une communication
lectronique.
30
Les mots de passe sont le principal moyen utilis pour
protger vos informations. Par consquent, il est primordial
que des mots de passe forts soient utiliss. Pour vous
assurer quun mot de passe est fort, vous devez mettre en
uvre et imposer un certain nombre de principes:
Chaque utilisateur doit disposer dun identifant unique
et personnel, rserv son usage exclusif. Il ne peut en
consquence pas partager le mot de passe associ cet
identifant.
Une longueur de mot de passe et une complexit
minimales doivent tre imposes afn de sassurer que
ces mots de passe soient suffsamment diffciles
deviner.
Les utilisateurs doivent tre tenus de changer leurs mots
de passe priodiquement (tous les 3 mois est une bonne
pratique).
Les utilisateurs doivent utiliser des mots de passe
diffrents pour accder des applications diffrentes.
Les utilisateurs sont tenus de ne pas mlanger des
mots de passe personnels et des mots de passe
professionnels.
Pour des accs critiques, tels que laccs distance au
rseau de lentreprise, une mthode dauthentifcation
multi-facteurs est envisager.
En prsence dune authentifcation multi-facteurs,
lentreprise devra slectionner les facteurs utiliser parmi
au moins deux des trois principes suivants:
Quelque chose que je connais (p.ex. mot de passe ou
code PIN)
Quelque chose que jai (p.ex. une carte puce ou un
token dauthentifcation qui gnre des mots de passe
dynamiques usage unique)
Quelque chose que je suis (p.ex. empreinte digitale ou
reconnaissance de liris)
Le choix des facteurs doit galement prendre en
compte les contraintes rglementaires applicables,
et lacceptabilit du moyen dauthentifcation par le
personnel.
7.
ADOPTER DES MOTS DE PASSE FORTS,
ET LES STOCKER EN SCURIT
31
EN MATIRE DE SCURIT
Un lment tout aussi critique que la protection de la
confdentialit et de lintgrit des donnes est celui de
la sauvegarde de ces dernires. Au cas o linformation
est vole, perdue, modife ou efface par erreur, la
disponibilit dune copie de sauvegarde peut se rvler
cruciale.
Une politique de sauvegarde doit tre mise en place, et
prciser :
quelles donnes sont sauvegardes , et comment elles
le sont ;
quelle frquence les donnes sont sauvegardes ;
qui est responsable de la cration de sauvegardes ;
o et comment les sauvegardes sont stockes ;
qui a accs ces sauvegardes ;
quelles procdures suivre pour restaurer des donnes
partir de sauvegardes.
Lors de la dfnition de cette politique, assurez-vous
que les exigences lgales et rglementaires concernant
la rtention dinformations soient prises en compte et
respectes.
Gardez lesprit que les supports physiques de
sauvegarde tels que les CD, bandes magntiques ou
disques durs sont eux-mmes exposs une srie de
vulnrabilits (p.ex. accs non autoris). Ds lors, les
copies de sauvegarde doivent bnfcier du mme niveau
de protection que les donnes dont elles sont issues, en
particulier en ce qui concerne la scurit physique, tant
donn que ces supports peuvent tre facilement dplacs.
Un des problmes les plus frquemment rencontrs
dans la gestion des sauvegardes se situe au niveau de la
validation du contenu des copies de sauvegarde. Il arrive
trop souvent que lorsquune restauration de contenu
est ncessaire, on saperoive que la sauvegarde est
inutilisable.
Par consquent, il faut instaurer une discipline garantissant
le test rgulier de la restauration des sauvegardes afn
de sassurer de leur bon fonctionnement, den vrifer
lexhaustivit et de tester la vitesse de rcupration des
donnes. Dans lventualit o des tiers interviennent
dans le stockage de linformation (p.ex. des services de
type Cloud), ils doivent veiller ce que des dispositions
similaires soient prises pour la sauvegarde de cette
information.
8.
SAUVEGARDER SES DONNES,
ET CONTRLER LES SAUVEGARDES
32
En raison de la grande varit des systmes et des besoins
des utilisateurs, une protection effcace contre les virus et
autres logiciels malveillants requiert ladoption de plusieurs
lignes de dfense. Un logiciel antivirus est indispensable,
mais il ne doit pas tre la seule protection dune entreprise.
Une combinaison de plusieurs techniques pour se protger
contre les virus est ncessaire pour garantir une scurit
adquate.
Lalliance de lutilisation dun fltrage Web, dune protection
antivirus, dune protection proactive contre les malwares,
de pare-feux , de politiques solides en matire de scurit
et dune formation des utilisateurs rduit considrablement
le risque dinfection. Envisagez dutiliser des marques
diffrentes de technologies pour des fonctions similaires
(ex. des vendeurs diffrents pour les solutions logicielles
de protection contre les malwares). Maintenir le logiciel
de protection jour conjointement avec le systme
dexploitation et les applications accrot la scurit
effective des systmes.
9.
LUTTER DIFFRENTS NIVEAUX CONTRE LES VIRUS
ET AUTRES PROGRAMMES MALVEILLANTS
33
EN MATIRE DE SCURIT
Les entreprises ne ralisent souvent pas quun incident
de scurit est en train de se produire. Il arrive que des
systmes restent infects et pills pendant des mois, ou
mme des annes, avant que lintrusion ne soit dtecte
quand elle est effectivement dtecte.
Les entreprises doivent investir la fois dans des systmes
de prvention et des systmes de dtection dintrusion.
Leffcacit de ces outils varie en fonction de la qualit
de leur mise en uvre et de la formation des utilisateurs.
Recherchez des tiers expriments pour des conseils et du
support lorsque ces connaissances nexistent pas au sein
de votre entreprise.
Au-del des aspects technologiques, les professionnels
affchant un intrt pour la cyber-scurit peuvent profter
de partenariats diffrents niveaux : sectoriels, industriels,
gouvernemental voire mme un niveau international,
avec des initiatives comme le World Economic Forums
Partnering for Cyber Resilience (partenariat pour la cyber-
rsilience du Forum conomique Mondial).
En cas dincident de scurit avr, les entreprises
doivent envisager de faire un rapport lquipe fdrale
dintervention durgence en scurit informatique (CERT.
be), dont ladresse e-mail est cert@cert.be. Le rapport au
CERT permet de dterminer si lincident est isol ou pas.
Une attaque peut tre horizontale (diffrentes entreprises
du mme secteur sont cibles) ou verticale (des sous-
traitants de lentreprise cible sont galement attaqus),
ou peut encore tre une menace associe un logiciel
ou un matriel particulier. Le CERT sera capable de
fournir certaines informations et certains conseils relatifs
lincident susceptibles daider la victime dfnir des
contre-mesures effcaces.
Les organisations qui sont victimes de la (cyber) criminalit
doivent galement introduire une plainte auprs de la
police. La police locale nest pas spcialise et est plutt
un point de contact pour la criminalit traditionnelle.
Pour les cas de cyber-criminalit (piratage, sabotage,
espionnage), il est prfrable de sadresser directement
la Federal Computer Crime Unit (FCCU), en particulier
lorsquil sagit dune attaque sur une infrastructure
informatique critique ou vitale. Il est galement possible de
contacter indpendamment le bureau du procureur du Roi.
Une plainte aidera en outre la justice se faire une image
plus prcise de la cyber-menace pour les entreprises en
Belgique.
En traitant un incident de scurit, et en particulier un
cas de cyber-criminalit, les responsables (informatiques)
devraient ds le dpart sassurer dune bonne prservation
des preuves. Des directives pour lacquisition par le
personnel informatique de donnes qui peuvent constituer
des indices ou preuves dans le cadre dune investigation
dincident de scurit
4
, ou en cas dinfection par un
malware
5
, sont disponibles en ligne sur le site Web du
CERT-EU.
10.
PRVENIR, DTECTER ET AGIR
4
http://cert.europa.eu/static/WhitePapers/
CERT-EU-SWP_12_004_v1_3.pdf
5
http://cert.europa.eu/static/WhitePapers/
CERT-EU-SWP_11_003_v2.pdf
COURT ET SIMPLE
35
QUESTIONNAIRE
DAUTO-VALUATION
La rubrique suivante prsente un questionnaire simple qui
peut guider la direction dune entreprise dans lexamen
de ses capacits de rsilience des menaces de cyber-
scurit, en proposant les questions cls poser aux
quipes impliques. Ce questionnaire a t conu pour
permettre didentifer les forces et les faiblesses de
lorganisation, et mettre en avant les pistes damlioration
suivre pour renforcer son niveau de rsilience.
Ce questionnaire peut galement tre utilis comme
une checklist par les entreprises qui en sont leurs
dbuts en matire de scurit : les questions et rponses
listes peuvent alors permettre de structurer un plan
dimplmentation dun dispositif complet de cyber-
scurit.
Pour chacune des questions qui suivent, il convient de
choisir loption qui refte le mieux les pratiques actuelles
de lentreprise. Chacune des options sest vue attribuer un
point de couleur, suivant les principes suivants :
Cest la rponse la moins souhaitable ; des
amliorations doivent absolument tre envisages.
Quelques amliorations supplmentaires pourraient
tre apportes, afn de mieux protger lentreprise.
Cette rponse correspond la situation
recommande, afn doffrir un niveau de rsilience
suffsant face aux menaces de cyber-scurit.
En outre, la prsence dune checklist dtaille au-dessous
de chaque question permet didentifer et de documenter
ltat dune srie de contrles de scurit de base au sein
de lentreprise.
Pour chaque question, un lien avec les actions et principes
dcrits dans les deux prcdents chapitres est propos
: ce lien permet aux rpondants dutiliser les actions et
principes du Guide comme lignes directrices lors de la
dfnition de plans dactions.

36
OUI NON
Vos donnes sensibles sont-elles identifes et classifes ?
tes-vous conscient de vos responsabilits lies aux informations identifes comme
sensibles (lois, rglementations, mesures internes, ) ?
Les donnes les plus sensibles sont-elles particulirement protges ou cryptes ?
La gestion des donnes caractre personnel est-elle couverte par des procdures
spcifques ?
Vos employs sont-ils tous capables de diffrencier des donnes sensibles de donnes
non sensibles, et de les traiter en fonction ?
Les 5 questions suivantes ont pour but de vous proposer quelques contrles fondamentaux en matire de gestion de la
scurit de linformation.
LES PRINCIPES SUIVANTS
SAPPLIQUENT :
LES ACTIONS SUIVANTES
PEUVENT TRE PRISES :
Non, mais nous avons un pare-feu pour nous protger du vol dinformations.
Oui, nous comprenons limportance de nos informations et donnes, et nous mettons en uvre des
mesures gnrales de scurit.
Oui, et nous disposons dun modle de classifcation de linformation et nous savons o nos donnes
sensibles sont stockes et traites. Les mesures de scurit que nous mettons en uvre, le sont en
fonction du niveau de sensibilit de linformation concerne.
1. EVALUEZ-VOUS LA SENSIBILIT DES INFORMATIONS
AU SEIN DE VOTRE ENTREPRISE?

37
QUESTIONNAIRE
DAUTO-VALUATION
Nous nexcutons pas dvaluations de risque.
Nous excutons des valuations de risque, mais pas spcifquement sur des sujets relatifs la scurit
de linformation.
Nous accomplissons des valuations de risque sur des sujets relatifs la scurit de linformation.
2. EVALUEZ-VOUS LES RISQUES LIS LA SCURIT
DE LINFORMATION ?
OUI NON
Abordez-vous les vulnrabilits dtectes par niveau de risque, du niveau le plus lev au
plus faible ?
Les vnements susceptibles d'entraner des interruptions de lactivit de l'entreprise
sont-ils identifs, et l'impact de telles interruptions est-il valu?
Disposez-vous d'un plan de continuit de lactivit (business continuity plan) qui est
rgulirement test et mis jour ?
Menez-vous rgulirement une valuation des risques, permettant de rvaluer vos
besoins en termes de cyber-scurit ?
Identifez-vous les zones de risque au sein de vos diffrents processus mtier, afn de
dfnir les mesures requises pour contrer la corruption de vos donnes ou lutilisation
malveillante de cette information ?

SAPPLIQUENT :
38
Il ny a pas de gouvernance spcifque la scurit de linformation au sein de notre entreprise.
Une gouvernance de la scurit de linformation existe, et est installe au sein du dpartement
informatique, tant donn que ce sont ces quipes qui doivent agir pour scuriser linformation.
Une gouvernance de la scurit de linformation existe, et est installe au niveau de la direction de
lentreprise, afn de sassurer que lensemble de lentreprise soit concerne par la gestion de la cyber-
scurit.
3. QUEL NIVEAU SE PLACE LA RESPONSABILIT DE
LA SCURIT DE LINFORMATION AU SEIN DE VOTRE
ORGANISATION ?
OUI NON
Les membres du conseil dadministration allouent-ils un budget la scurit de
l'information ?
La scurit de linformation fait-elle partie des pratiques de gestion du risque de la
direction ?
La direction approuve-t-elle la politique de scurit de l'entreprise, et sassure-t-elle de sa
diffusion au personnel ?
Les membres du conseil dadministration et la direction de lentreprise sont-ils
rgulirement informs des dernires volutions des politiques, normes ou procdures de
gestion de la scurit de lentreprise ?
Est-ce quau moins un membre de la direction a la charge de la protection des donnes et
de la protection de la vie prive ?

SAPPLIQUENT :
LACTION SUIVANTE
PEUT TRE PRISE :
39
Nous navons pas dquipe ddie la scurit de linformation, et navons pas spcifquement allou
de rles ou responsabilits en la matire.
Nous navons pas dquipe ddie la scurit de linformation, mais nous avons dfni des rles et
responsabilits spcifques concernant la scurit de linformation au sein de lentreprise.
Nous avons une quipe ou une fonction spcifquement en charge de la gestion de la scurit de
linformation.
4. DISPOSEZ-VOUS DUNE QUIPE OU DUNE FONCTION
DDIE LA GESTION DE LA SCURIT DE
LINFORMATION ?
OUI NON
Est-ce quun spcialiste ou une quipe scurit coordonne la gestion des comptences
en matire de scurit, et assiste la direction dans la prise de dcision sur les sujets de
scurit?
Est-ce que le responsable ou lquipe scurit a la responsabilit de revoir et mettre
jour la politique de scurit en fonction des volutions de lentreprise, ou des incidents de
scurit rencontrs ?
Est-ce que le responsable ou lquipe scurit dispose de suffsamment de visibilit et de
soutien managrial pour intervenir dans toute initiative lie linformation ?
Diffrents managers sont-ils responsables des diffrents types de donnes ?
Faites-vous rgulirement valuer par un organe indpendant (interne ou externe) si
votre politique de scurit est raliste et effcace et laction de lquipe de scurit
performante ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
LACTION SUIVANTE
PEUT TRE PRISE :
QUESTIONNAIRE
DAUTO-VALUATION
40
Nous avons une relation fonde sur la confance mutuelle avec nos fournisseurs.
Pour certains contrats, nous incluons des clauses relatives la scurit de linformation.
Nous avons des processus en place pour valider laccs des fournisseurs nos donnes, et avons tabli
des directives de scurit spcifques qui sont communiques et signes par nos fournisseurs.
5. COMMENT GREZ-VOUS LES RISQUES DE SCURIT
LIS AUX FOURNISSEURS QUI ACCDENT VOS
DONNES SENSIBLES ?
OUI NON
Les fournisseurs et autres parties externes sont-ils identifs par un badge d'identifcation,
lequel comprend une photo rcente ?
Avez-vous une politique de contrle des antcdents de vos sous-traitants
et fournisseurs ?
Les accs vos btiments et systmes sont-ils automatiquement dsactivs lorsqu'un
sous-traitant ou un fournisseur termine sa mission ?
En cas de perte ou vol d'information, vos fournisseurs savent-ils comment et qui
immdiatement rapporter cet incident au sein de votre entreprise ?
Votre entreprise s'assure-t-elle que les fournisseurs maintiennent leurs logiciels et
applications jour (et notamment, installent les mises jour de scurit) ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
LACTION SUIVANTE
PEUT TRE PRISE :
41
Nous neffectuons pas daudit ou de test dintrusion pour valuer notre scurit informatique et de
rseau.
Nous navons pas dapproche systmatique pour commanditer des audits de scurit et/ou des tests de
pntration mais en excutons occasionnellement.
Des audits de scurit rguliers et / ou des tests dintrusion font systmatiquement partie de notre
approche pour valuer notre scurit informatique et de rseau.
6. FAITES-VOUS VALUER RGULIREMENT LA
SCURIT INFORMATIQUE ET DE RSEAU ?
OUI NON
Faites-vous des tests rguliers, et documentez-vous les menaces ainsi identifes ?
Disposez-vous de procdures visant valuer les menaces humaines, telles que la
malhonntet, l'ingnierie sociale et l'abus de confance ?
Votre entreprise exige-t-elle des rapports d'audit de scurit auprs de ses fournisseurs
de services informatiques ?
L'utilit de chaque type de donnes stockes est-elle galement value pendant les
audits de scurit ?
Faites-vous auditer vos procdures et processus de gestion de la scurit, pour vous
assurer de leur conformit avec les autres politiques et normes tablies au sein de
l'entreprise ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
QUESTIONNAIRE
DAUTO-VALUATION
42
Lvaluation des risques en termes scurit de linformation ne fait pas partie du processus de mise en
uvre de nouvelles technologies.
La gestion de la scurit de linformation est parfois considre lors de la mise en uvre de nouvelles
technologies, mais cela nest pas systmatique.
La gestion de la scurit de linformation est incluse dans le processus de mise en uvre de nouvelles
technologies.
7. LORSQUELLE INTRODUIT DE NOUVELLES
TECHNOLOGIES, VOTRE ENTREPRISE VALUE-T-ELLE
LES RISQUES POTENTIELS EN MATIRE DE SCURIT
DE LINFORMATION ?
OUI NON
Lorsque vous envisagez de mettre en uvre de nouvelles technologies, valuez-vous
l'impact potentiel sur la politique de scurit de l'information de votre organisation ?
Disposez-vous de mesures de protection qui rduisent les risques ventuellement lis la
mise en uvre de nouvelles technologies ?
Les processus de mise en uvre de nouvelles technologies sont-ils documents ?
Avez-vous nou des partenariats avec dautres acteurs, dans une optique de collaboration
et dchange dinformations utiles relatives la scurit lors de limplmentation de
nouvelles technologies ?
La politique de scurit de votre entreprise est-elle souvent considre comme un frein
linnovation technologique ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
43
Nous avons confance en nos employs et nous ne considrons pas quun accompagnement plus
important en matire de scurit apporte de la valeur ajoute lentreprise.
Seul notre personnel informatique reoit une formation spcifque pour scuriser notre environnement
informatique.
Des sessions de sensibilisation la scurit sont rgulirement organises, lattention de tous les
employs.
8. LA SCURIT DE LINFORMATION A-T-ELLE UNE
PLACE DANS VOTRE ORGANISATION?
OUI NON
Adaptez-vous le contenu de certaines sessions de sensibilisation au mtier et lactivit
des participants (et aux menaces qui sont lies cette activit, spcifquement) ?
Formez-vous vos quipes tre attentives aux violations des principes et mesures de
scurit ?
Votre entreprise dispose-t-elle dinstructions claires lattention des utilisateurs,
expliquant comment rapporter des faiblesses ou des menaces scuritaires lies vos
systmes ou vos activits ?
Votre personnel connat-il les bonnes pratiques suivre en termes dutilisation des
donnes de cartes de crdit et de gestion dinformations caractre personnel ?
Les autres utilisateurs de vos systmes (p.ex. fournisseurs ou clients) sont-ils galement
forms en matire de scurit et informs des volutions de vos politiques et procdures
de scurit ?

SAPPLIQUENT :
LACTION SUIVANTE
PEUT TRE PRISE :
QUESTIONNAIRE
DAUTO-VALUATION
44
Nous partageons les mots de passe avec dautres collgues et / ou il nexiste pas de politique
dfnissant les rgles lies lusage sr des mots de passe ou leur renouvellement rgulier.
Tous les employs, y compris la direction, possdent des mots de passe uniques, mais des rgles
relatives la complexit de leur composition ne sont pas imposes. Le changement des mots de passe
est possible, mais pas obligatoire.
Tous les employs, y compris la direction, disposent dun mot de passe personnel qui doit satisfaire
des exigences prcises en matire de complexit et doit tre chang rgulirement.
9. COMMENT UTILISEZ-VOUS LES MOTS DE PASSE AU
SEIN DE LENTREPRISE ?
OUI NON
Votre entreprise a-t-elle tabli et implment une politique en matire de mot de passe ?
Avez-vous les moyens de garantir que tous les mots de passe ont t changs au moins
une fois et sont rgulirement modifs, correspondent vos exigences de complexit,
et ne sont pas stocks dans des fchiers facilement accessibles, et ce aussi pour les
appareils mobiles ?
Vous sentez-vous bien protg contre un accs physique non autoris vos systmes ?
Vos utilisateurs, tant internes quexternes, ont-ils conscience de leur responsabilit en
termes de protection des quipements laisss sans surveillance (p.ex. conscients de
limportance de mettre fn sa session avant de quitter son poste) ?
Les employs ont-ils t forms lidentifcation de tentatives dingnierie sociale, et aux
faons de ragir une telle menace ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
45
Non, nous ne disposons pas dune politique relative la bonne utilisation dinternet et des mdias
sociaux.
Oui, une telle politique place un endroit accessible par tous les employs a t publie, mais elle na
pas t signe par chaque membre du personnel.
Oui, une telle politique existe et a t signe par chaque membre du personnel, ou fait partie de son
contrat de travail.
10. DISPOSEZ-VOUS DUNE POLITIQUE RELATIVE LA
BONNE UTILISATION DINTERNET ET DES MDIAS
SOCIAUX ?
OUI NON
Existe-t-il des directives lattention de tout membre du personnel, dfnissant les rgles
relatives aux communications effectues au nom de lentreprise (y compris vers la presse
ou sur les mdias sociaux) ?
Existe-t-il un processus disciplinaire pour les employs qui violent les directives de
communication de l'entreprise ?
Est-ce que lquipe ou le responsable communication de lentreprise passe rgulirement
internet en revue afn d'valuer la rputation en ligne de lentreprise, et les ventuels
risques qui la menace ?
Votre entreprise a-t-elle valu comment sa responsabilit serait engage, en cas
dutilisation de ses systmes par des utilisateurs internes ou des pirates afn de perptrer
des actes illgaux ?
Votre entreprise a-t-elle pris des mesures pour empcher un employ ou tout autre
utilisateur interne d'attaquer d'autres sites ?

SAPPLIQUENT :
QUESTIONNAIRE
DAUTO-VALUATION
46
Nous ne contrlons pas, nous ne rapportons pas et nous ne suivons pas ni leffcacit ni ladquation
des mesures de scurit que nous avons mises en uvre.
Nous avons des outils et mthodes pour mesurer, rapporter et suivre tant leffcacit que ladquation de
certaines de nos mesures de scurit, mais pas toutes.
Notre entreprise a mis en uvre les outils et mthodes ncessaires pour mesurer leffcacit et
ladquation de toute mesure de scurit mise en uvre, faire le rapport de ces valuations, et faire le
suivi des ventuels points damlioration.
11. EST-CE QUE VOTRE ENTREPRISE MESURE,
RAPPORTE ET ASSURE LE SUIVI DES SUJETS
RELATIFS LA SCURIT ?
OUI NON
Les traces systmes (traces daudit et logs) relatives aux incidents sont-elles toujours
conserves, et des actions sont-elles prises pour empcher que l'incident ne se
reproduise ?
Votre entreprise contrle-t-elle son degr de conformit aux exigences lgales et
rglementaires (p.ex. la protection des donnes caractre personnel) ?
Disposez-vous doutils permettant aux managers dvaluer le niveau global de scurit
de leurs activits, et leur offrant les moyens de rpondre plus rapidement dventuels
risques de scurit ?
Votre entreprise dispose-t-elle dune feuille de route relative la scurit de l'information,
qui dfnisse notamment les objectifs atteindre et les indicateurs de progrs suivre ?
Les rapports de contrle et dincidents sont-ils partags avec les autorits comptentes,
et avec dautres groupes d'intrts tels quune fdration sectorielle ?

SAPPLIQUENT :
LACTION SUIVANTE
PEUT TRE PRISE :
47
Nous nous basons sur la gestion automatique des correctifs telle que propose par le fournisseur pour la
plupart de nos solutions.
Nous installons les correctifs de scurit systmatiquement, intervalles rguliers (p.ex. sur base
mensuelle).
Nous disposons dun processus de gestion des vulnrabilits par lequel nous nous tenons constamment
jour sur dventuelles nouvelles vulnrabilits (par ex. via un abonnement un service dalertes
signalant toute nouvelle vulnrabilit), et nous appliquons les correctifs rapidement, en fonction du
niveau de risque li la vulnrabilit quils solutionnent.
12. COMMENT MAINTENEZ-VOUS
VOS SYSTMES JOUR ?
OUI NON
Des scans de vulnrabilits sont-ils planifs et rgulirement excuts au sein de
l'entreprise ?
Les applications sont-elles revues et testes, aprs tout changement au niveau des
systmes d'exploitation ?
Les utilisateurs peuvent-ils contrler eux-mmes si les applications sont bien jour (aucun
patch de scurit manquant) ?
Les utilisateurs sont-ils conscients quau niveau de leurs appareils mobiles, ils doivent
galement maintenir jour le systme d'exploitation et les applications qui y sont
installes (y compris les applications de scurit) ?
Avez-vous form vos utilisateurs reconnatre dventuels faux messages davertissement
systmes (p.ex. demandant lautorisation de mettre un logiciel jour, ou manant dun
faux antivirus) et systmatiquement avertir vos quipes de scurit si un tel vnement
suspect sest produit ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
QUESTIONNAIRE
DAUTO-VALUATION
48
Les droits daccs des utilisateurs aux applications et systmes de lentreprise, ne sont pas retirs ou
revus de faon structure et systmatique.
Les droits daccs des utilisateurs aux applications et systmes de lentreprise sont uniquement retirs
lorsquun employ quitte lentreprise ; il ny a pas de processus de revue rgulire des accs existants.
Une politique de contrle daccs est en place et inclut des revues rgulires des droits daccs assigns
aux utilisateurs pour toutes les applications et systmes pertinents de lentreprise.
13. LES DROITS DACCS SONT-ILS
RGULIREMENT REVUS ?
OUI NON
L'accs lectronique et physique aux systmes d'information est-il restreint, sur base de
politiques et procdures de gestion des accs ?
Votre entreprise s'appuie-t-elle sur une politique de protection de la vie prive indiquant
l'information qu'elle recueille (par exemple concernant vos clients : les adresses
physiques, les adresses lectroniques, l'historique de navigation, etc.), et la faon dont
cette information est exploite ?
Vos politiques et procdures de gestion des accs prcisent-elles quelles mthodes
doivent tre utilises pour contrler l'accs physique des zones scurises (p.ex.
installation de portes, systmes de contrle d'accs, surveillance vido, ) ?
Les droits daccs aux systmes et aux btiments de votre entreprise sont-ils
automatiquement dsactivs lorsquun membre du personnel quitte votre entreprise ?
Les donnes sensibles sont-elles classifes (p.ex. confdentiel, sensible, usage interne,...)
et les utilisateurs ayant droit dy accder inventoris ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
49
Oui, nos employs peuvent stocker ou transfrer des informations de lentreprise sur des appareils
personnels, sans que nous exigions la mise en uvre de mesures de scurit supplmentaires.
Il existe une politique qui interdit lutilisation dappareils personnels pour stocker ou transfrer des
informations de lentreprise, mais techniquement, nos employs peuvent les utiliser et ne sont pas forcs
mettre en uvre des mesures de scurit supplmentaires.
Les appareils personnels peuvent uniquement stocker ou transfrer des informations de lentreprise
aprs la mise en uvre de mesures de scurit sur lappareil concern et/ou moyennant lutilisation
dune solution professionnelle.
14. VOS EMPLOYS PEUVENT-ILS UTILISER LEURS
APPAREILS PERSONNELS (SMARTPHONES,
TABLETTES, ...) POUR STOCKER OU TRANSFRER
DES INFORMATIONS DE LENTREPRISE ?
OUI NON
Votre entreprise dispose-t-elle dune politique de Bring Your Own Device, autorisant le
personnel utiliser ses appareils mobiles personnels moyennant une srie de conditions ?
Les appareils mobiles sont-ils protgs contre laccs par des utilisateurs non autoriss ?
Les appareils mobiles et les connexions sont-ils/elles identif(e)s de manire permanente
sur le rseau ?
Les donnes des appareils mobiles sont-elles cryptes, afn de protger leur
confdentialit et leur intgrit ?
Votre direction est-elle consciente que si chaque employ est responsable de son appareil
personnel, cest l'entreprise qui est responsable des donnes professionnelles quil
pourrait contenir ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
QUESTIONNAIRE
DAUTO-VALUATION
50
Nous ne disposons pas de processus de gestion des sauvegardes ou de mcanismes garantissant la
disponibilit de nos donnes.
Nous disposons de processus de gestion des sauvegardes et de mcanismes garantissant la
disponibilit de nos donnes. Cependant, aucun test de ces processus (restauration des donnes
sauvegardes, ) na t ralis.
Nous disposons dun processus de gestion des sauvegardes et de mcanismes garantissant la
disponibilit de nos donnes, lesquels incluent des tests de restauration / de rsilience. Nous stockons
des copies de nos sauvegardes sur un autre site scuris ou nous utilisons dautres solutions de haute
disponibilit des donnes.
15. VOTRE ENTREPRISE A-T-ELLE PRIS DES MESURES
CONTRE LA PERTE DINFORMATIONS?
OUI NON
Votre entreprise compte-t-elle suffsamment demploys capables de sauvegarder ou
archiver vos donnes selon des mthodes qui permettent de rapidement les restaurer ?
Vos quipements sont-ils protgs des coupures de courant par le biais de systmes
dalimentation lectrique permanente (utilisation de diffrentes lignes lectriques,
onduleurs
6
, gnrateurs lectriques, etc.) ?
Les supports de sauvegarde (tape, disques, etc.) sont-ils rgulirement tests, afn
de vous assurer que vos donnes peuvent tre restaures dans les limites de temps
dfnies?
Votre entreprise dispose-t-elle de procdures garantissant que la perte ou le vol
dquipements portables sont immdiatement notifs ?
Vos employs sont-ils forms afn de savoir comment ragir en cas de suppression
accidentelle de donnes, ou comment rcuprer ces donnes en cas de dsastre ?

SAPPLIQUENT :
6
Aussi connu sous le nom de UPS,
ou Uninterruptible Power Supply
51
Nous ne craignons pas dincident. Et si un incident survient, nos employs sont suffsamment
comptents pour y faire face.
Nous avons des procdures de gestion des incidents, inadaptes toutefois au traitement des incidents
en matire de scurit de linformation.
Nous avons un processus ddi au traitement des incidents lis la scurit de linformation, ainsi
que les dispositifs descalation et de communication ncessaires. Nous nous efforons de traiter
les incidents de la manire la plus performante et effcace possible, et den tirer les leons qui nous
permettront de mieux nous protger lavenir.
16. VOTRE ENTREPRISE EST-ELLE PRPARE
GRER UN INCIDENT LI LA SCURIT DE
LINFORMATION ?
OUI NON
Votre processus prend-il en compte diffrents types d'incidents - du dni de service
(denial of service) la violation de confdentialit, etc. - ainsi que les moyens d'y faire
face ?
Votre entreprise dispose-t-elle d'un plan de communication intgr au processus de
gestion des incidents ?
Avez-vous identif les autorits auxquelles notifer un incident, et comment procder
cette notifcation ?
Disposez-vous de points de contacts (et de leurs coordonnes) identifs pour chaque
type d'incident ?
Vous reposez-vous sur un reprsentant du service de communication interne de votre
entreprise, pour les contacts avec les employs et leurs familles ?
LE PRINCIPE SUIVANT
SAPPLIQUE :
QUESTIONNAIRE
DAUTO-VALUATION
TUDES DE CAS
53
TUDES
DE CAS
Nous avons rassembl quelques tudes de cas qui
dcrivent chacune comment une entreprise a appliqu
(ou na pas appliqu) certains des principes et des actions
dcrits dans ce Guide. Ces cas dmontrent ainsi que les
principes et les actions prsents sappliquent toute
organisation, indpendamment de sa taille ou de sa
complexit.
54
Lentreprise dont il est question ici se spcialise dans
le faonnage et le meulage de composants pour
machines-outils. Elle sappuie dailleurs fortement sur des
ordinateurs spcialiss, intgrs son environnement
de production. Outre ces outils de production, on ne
retrouve dans latelier que quelques ordinateurs de bureau,
directement connects au rseau interne de lentreprise,
et essentiellement utiliss pour lexcution de tches
administratives. Voici quelques temps, le personnel du
service de maintenance a galement choisi dutiliser ces
ordinateurs de bureau pour transfrer, dune manire plus
effcace, les mises jour logicielles depuis le rseau de
lentreprise vers les ordinateurs de la chane de production.
Pendant les pauses, le personnel de maintenance utilise
ces mmes ordinateurs de bureau pour naviguer sur
internet, jouer des jeux ou se connecter sur les rseaux
sociaux. Arrive alors ce qui devait arriver : son insu, lun
des utilisateurs installe un logiciel malveillant sur lune de
ces machines. Une fois install, le logiciel espion se met
au travail, envoyant des informations relatives aux activits
de cet ordinateur vers un hte externe malveillant. Ce
mme logiciel espion tlcharge de nouveaux malwares, et
notamment un logiciel dclench en fonction de la date et
lheure, et empchant les machines infectes de dmarrer
sans quun mot de passe spcifque ne soit insr.
Ignorant tout de linfection, le personnel du service de
maintenance poursuit ses activits quotidiennes, et
met rgulirement jour les ordinateurs de la chane
de production, rpandant ainsi le malware dans tout
lenvironnement oprationnel de lorganisation. En lespace
dune semaine, trois des ordinateurs de la chane de
production ne dmarrent plus, tout comme dailleurs
lensemble des ordinateurs de bureau de latelier de
production, tous infects.

Un consultant spcialis en scurit technique est alors
engag pour examiner les ordinateurs. Il y dcouvre une
panoplie de malware, et notamment des logiciels de
ranonnage (ransomware) tournant en coulisse. Il note
quun keylogger, un dispositif enregistrant tout ce que tape
un utilisateur au clavier de lordinateur (nom dutilisateur,
mot de passe, adresse IP, ), est intgr au logiciel
espion. Ce dispositif est identif comme la mthode
utilise par les cyber-criminels pour parvenir accder
aux systmes de lentreprise, et dy installer la bombe
retardement qui a verrouill, un un, les ordinateurs
infects.

Un logiciel de scurit, comprenant un logiciel antivirus
et anti-espion, tait bien install sur ces ordinateurs.
Toutefois, les mises jour automatiques du logiciel
ntaient pas actives, ne garantissant donc pas que
le logiciel de scurit puisse reconnatre les derniers
virus et malware en circulation. Par ailleurs, aucun scan
rgulier et automatique des machines nest programm,
ne permettant pas la vrifcation rgulire de la sant du
systme. Les autres ordinateurs de lentreprise tant eux
correctement confgurs, linfection ne sest pas rpandue
au-del de latelier de production.
Sur les ordinateurs infects, un message apparat, qui
exige que lentreprise effectue un virement sur un compte
bancaire donn, afn de recevoir une cl numrique
spciale qui dbloquerait les ordinateurs. Tant que dure
linfection, la capacit de production de lentreprise est
considrablement rduite, et le montant de la ranon,
relativement limit, est nettement infrieur au cot de
linstallation de nouveaux systmes de production :
lquipe de direction dcide donc rapidement de virer le
montant demand. Une fois dbloqu, chaque ordinateur
est entirement nettoy par le consultant spcialis, et
rinstall pour un usage oprationnel. Lentreprise dcide
en outre de ne pas entamer de poursuites judiciaires, ni de
signaler lincident la police.
Bien quayant choisi de ne pas porter plainte, la direction
de lentreprise dcidera de former les membres du
personnel actifs dans les ateliers de production, eux
aussi, ses politiques internes en matire de scurit de
linformation. Par ailleurs, elle informera ses fournisseurs,
partenaires et concurrents de lincident dont elle a t
victime, jetant ainsi les bases dune relation de confance
dans le cadre de laquelle pourront schanger toutes
informations relatives de tels incidents de scurit.
1.
UNE GRANDE ENTREPRISE NATIONALE (SECTEUR
INDUSTRIEL) ACTIVE LINTERNATIONAL
55
TUDES DE CAS
Cette entreprise est un grand dtaillant international,
exerant ses activits en Belgique et ltranger, et
comptant plus de 6 millions de clients en Europe. Sur sa
plateforme de vente en ligne, chaque client peut crer
son propre profl, contenant des donnes personnelles.
Lentreprise stocke galement des donnes relatives aux
prfrences des utilisateurs, lhistorique de leurs activits
et leurs centres dintrts. Afn de protger ces donnes
sensibles des pirates et autres malwares, lentreprise a
dcid de protger tous ses sites Web.
Le site Web oprationnel traite des milliers de transactions
chaque jour, et fait appel diffrentes technologies de
diffrents fournisseurs pour grer ces fonctionnalits. Cette
entreprise a donc mis en place un systme de dtection de
fraude, capable de dtecter de (potentielles) transactions
frauduleuses. Par ailleurs, elle excute trs rgulirement
des tests sur les diffrents systmes soutenant la
plateforme de commerce en ligne, sur base de catalogues
rgulirement mis jour des vulnrabilits connues.

Lorsque des risques sont dtects, ils sont
automatiquement et instantanment remonts vers une
quipe spcialise rassemblant des dveloppeurs, des
professionnels de la scurit et des reprsentants des
diffrents mtiers de lentreprise. Ceux-ci se runissent
rgulirement pour discuter de ces risques potentiels, et
contrler que les vulnrabilits dtectes ont t rsolues
par la prise de mesures appropries.
Cette entreprise a dcid dautomatiser certaines parties
de son processus de gestion de la scurit, en raison
de la nature de ses activits en ligne et des risques que
sa prsence en ligne induit. Elle a galement dcid de
systmatiquement faire revoir la scurit de tout nouveau
dveloppement de ses programmes et sites Web, par
le biais dune revue de code ralise par une entreprise
spcialise et des tests de la scurit de ses plateformes,
mme aprs que les fonctionnalits ont t publies.
Linfrastructure supportant ces plateformes est
rgulirement adapte afn de refter les nouvelles
exigences et besoins en matire de scurit - ils voluent
constamment - et de rester un acteur technologiquement
agile sur son march. Ses systmes requirent
linstallation de correctifs (patches) presque chaque
jour, afn de corriger rapidement toute faille de scurit
nouvellement dtecte dans lun des produits ou lune
des technologiques quelle utilise. Elle autorise galement
des scans externes de son infrastructure, puisquils lui
permettent de dresser un rapport sur les vulnrabilits
potentielles et existantes.
Les tentatives daccs aux donnes personnelles et autres
informations sensibles que gre cette entreprise, sont
permanentes, et manent tant de pirates que dutilisateurs
autoriss. De par la nature de ses activits, lentreprise
accepte quun jour viendra o elle sera, elle aussi, pirate
: son quipe de direction sy est prpare, et elle dispose
de procdures pour grer de tels incidents, notamment
pour assurer une communication structure, effcace et
adquate.
2.
UN DTAILLANT DE TAILLE MOYENNE ACTIF DANS
LE COMMERCE EN LIGNE
56
Cette petite entreprise familiale de comptabilit compte
parmi ses clients de longue date, une srie de PME
mais aussi de trs grandes entreprises. En 2012,
lentreprise est frappe par une srie de malwares,
combinant des virus et des chevaux de Troie. Lun de
ces virus corrompt les fchiers et les rend inutilisables
: il cible tout particulirement les documents Microsoft
Word et les feuilles de calcul Microsoft Excel, ce qui,
pour une entreprise fortement dpendante de la suite
Microsoft Offce pour ses activits, se rvle extrmement
dommageable. Le virus dsactive galement les fonctions
de scurit du logiciel antivirus install, permettant ainsi
des infections ultrieures dautres virus.
On dcouvrira par la suite que ce virus sest rpandu par
le biais dun logiciel tlchargeable gratuitement, appel
Defense Center, et qui se prsente comme un outil de
scurit gratuit permettant de protger lutilisateur contre
les menaces de scurit.
Ce logiciel provenait dun site Web et a t install par
un utilisateur sur son ordinateur. Ds son installation
termine, ce malware commence attaquer lordinateur
de lutilisateur : il active un cheval de Troie, un morceau
de code qui transmet aux auteurs du logiciel pirate toutes
les donnes ncessaires pour se connecter lordinateur
infect.
chaque fois quun utilisateur ouvre un document
Microsoft Offce, le malware infecte le document et
continue rpandre le virus aux diffrents contacts e-mail
de lutilisateur. Les destinataires dun e-mail ont lhabitude
douvrir les pices jointes dune personne en qui ils ont
confance. Seules les entreprises disposant de systmes
antivirus rcemment mis jour auront pu dtecter le virus
intgr dans les pices jointes. Ce sont ces destinataires
qui contacteront rapidement lentreprise infecte afn de lui
signaler lincident.
Le malware sest rpandu si rapidement via le rseau
interne de lentreprise, vers dautres ordinateurs, que
tous ont rapidement et sans exception t infects. Ce
logiciel malveillant dtruit progressivement tous les fchiers
.xls (feuilles de calcul Excel) et .doc (documents Word)
stocks sur les disques durs en les remplaant par le texte
DATAError. Une perte des donnes dune telle ampleur
aurait pu entraner non seulement une interruption totale
de lactivit de la socit, mais galement sa faillite pure
et simple. Heureusement, lentreprise possde un systme
de sauvegarde effcace : la fn de chaque semaine,
toutes les donnes sont sauvegardes directement depuis
chaque ordinateur de chaque employ, et copies sur
un nouveau DVD qui est dat et stock en toute scurit
en dehors du site. Alors que les donnes des ordinateurs
infects ont t perdues, elles pourront tre rcupres
partir des DVD de sauvegarde. Si lentreprise parviendra
rcuprer la plupart des fchiers grce ces sauvegardes,
elle aura toutefois perdu trois jours de travail complets,
cest--dire les fchiers crs ou modifs entre la date de
la dernire sauvegarde et la date de linfection.
Les diffrents e-mails infects auront pu contourner la
scurit du rseau, car ils taient tlchargs par des
utilisateurs lgitimes, derrire le pare-feu. Cet incident
aura soulign le besoin dune formation adquate du
personnel quant lutilisation dinternet, et une rvision
des procdures de sauvegarde visant en augmenter la
frquence, et assurer des tests rguliers de restauration de
ces sauvegardes pour sassurer quelles puissent toujours
tre exploites.
3.
UNE PME COMPTABLE
57
TUDES DE CAS
Cette jeune start-up propose un agrgateur de demande
et doffre nergtique entirement automatis, offrant
aux oprateurs de rseaux dnergie une solution
permettant de faire face aux pics de demande qui peuvent
potentiellement dstabiliser le rseau. Elle se repose pour
cela sur des acteurs industriels, gros consommateurs
dnergie capables de limiter brivement leur
consommation sans que cela nait dimpact ngatif sur leur
production. Le service propos par cette jeune start-up se
repose sur sa propre plateforme technologique, permettant
une automatisation complte de lintgralit du service.
Le besoin de scurit
Le besoin de scurit de linformation au niveau de cette
jeune entreprise est motiv par deux lments cls :
1. Le couplage de leur plateforme des systmes
critiques pour leurs clients. La plateforme
technologique de cette entreprise est directement
connecte des centres de contrle doprateurs de
rseau dnergie, ainsi qu des systmes de gestion
automatise dinstallations industrielles. Deux lments
qui font partie des cibles les plus critiques et les
plus exposes aux cyber-attaques. Tout incident de
scurit endommagerait gravement la rputation et les
perspectives commerciales de la jeune entreprise.
2. Le secret de fabrication. En tant que jeune entreprise
technologique, la technologie quelle a dveloppe et
dont elle dtient les droits et le secret, est le tout premier
de ses diffrentiateurs. ce titre, cette information doit
tout particulirement tre protge de ses concurrents
et de toute autre partie externe.
Sensibilisation de la direction et du personnel
Le conseil dadministration a soulign plusieurs
reprises le besoin de mettre laccent sur la scurit, en
encourageant lentreprise dfnir des politiques claires
et protger les secrets de fabrication et la proprit
intellectuelle.
Des principes et procdures en matire de gestion
dinformations confdentielles ont t dfnis et
communiqus lensemble de lentreprise.
Lquipe Recherche & Dveloppement de lentreprise
est soumise des directives spcifques en termes
4.
UNE START-UP BELGE
dauthentifcation forte et de cryptage des mots de
passe, et met un accent particulier sur la scurit dans
chacune des tapes du processus de dveloppement.
Plan daction
Les points suivants constituent la synthse du programme
dfni par cette entreprise, afn dimplmenter un cadre
complet de gestion de la scurit de linformation.
Mesures en cours dimplmentation :
1. Mesures techniques :
a. La plateforme de lentreprise est hberge dans des
centres de donnes la pointe du progrs, galement
en termes de scurit.
b. Les clients les plus critiques sont connects la
plateforme par le biais dun rseau ddi, tandis que
les autres clients sont connects par le biais des
connexions hautement scurises (tunnels IPsec)
o des rgles strictes en matire de pare-feu sont
appliques.
c. Le contrle daccs se repose sur une authentifcation
deux facteurs, combinant un token matriel (fournit
une cl dauthentifcation unique, valide quelques
secondes) et des mots de passe forts, grs de
manire stricte.
2. Mesures organisationnelles :
a. Le niveau de confdentialit de chaque document
est dfni, et systmatiquement renseign sur le
document lui-mme.
b. Les accs ces informations sont restreints aux
personnes qui en ont le besoin spcifque.
3. Mesures procdurales :
a. Diffrents niveaux dautorisation ont t dfnis, par
groupe dutilisateurs, sur la plateforme.
b. Une jeune entreprise de petite taille ne peut se
permettre de ddier du personnel la scurit
exclusivement. Pour cette raison, un audit externe
a t demand en 2013 afn deffectuer un examen
structurel du niveau de scurit de la start-up, et
une valuation complte des risques en matire de
Actions prvues moyen terme :
1. Un spcialiste en scurit nergtique ralisera une
analyse dtaille des manquements et des risques de
scurit ;
2. Cette jeune entreprise vise obtenir le certifcat ISO
27001/2 en 2014, adoptant ainsi une approche proactive
pour devenir une entreprise plus sre ;
3. La start-up investira donc du temps et des efforts sur
une anne complte pour prparer cette certifcation, en
se concentrant sur la mise en uvre de procdures de
gestion de la scurit, la sensibilisation continue de ses
quipes et le dveloppement dun modle de contrle
permanent de la scurit.
LA CYBER-SCURIT EN
BELGIQUE LISTE DE
CONTACTS
59
LISTE DE CONTACTS
LA CYBER-SCURIT EN
BELGIQUE LISTE DE
CONTACTS
Notez quune liste de ces contacts et leurs coordonnes est constamment tenue jour sur le site www.b-ccentre.be.
Cette liste de contacts est divise entre les organes et organisations publiques dune part, et quelques organisations sans
but lucratif dautre part. La description du rle en matire de scurit de linformation de chaque organisation slectionne,
dans chaque catgorie, provient gnralement de lorganisation elle-mme. Si par ailleurs, vous souhaitez de plus amples
renseignements sur les services fournis en matire de scurit de linformation par des frmes commerciales, nous vous
invitons consulter leur site web, comme par exemple www.ey.com/BE/ ou www.microsoft.com/belux/.
NOM DONNES DE CONTACT RLE EN MATIRE DE SCURIT DE
L'INFORMATION
ORGANISMES PUBLICS ET ORGANISATIONS
BANQUE
NATIONALE DE
BELGIQUE
www.nbb.be
Banque Nationale de Belgique
Avenue de Berlaymont 14
1000 Bruxelles
Belgique
+32 2 221 21 11
info@nbb.be
Fonctions oprationnelles spcifques dans le
domaine de la surveillance prudentielle
tf@nbb.be
La Banque Nationale de Belgique a publi des directives
dtailles sadressant toutes les institutions fnancires en
matire de scurit de linformation.
B-CCENTRE www.b-ccentre.be
Belgian Cybercrime Centre of Excellence for
Training, Research and Education
Sint-Michielsstraat 6
3000 Leuven
Belgique
+32 16 32 07 82
contact@b-ccentre.be
Le B-CCENTRE est un projet plac sous la coordination de
la KU Leuven, qui mutualise les efforts dploys par des
chercheurs universitaires, des entreprises commerciales et
des organisations publiques dans le cadre de la lutte contre
la cybercriminalit. Le B-CCENTRE offre une plateforme
destine changer informations et connaissances en
Belgique et est le partenaire belge dun rseau europen de
centres o des informations sur la lutte et la protection contre
la cybercriminalit peuvent tre intgres et diffuses tous
les intresss.
Le Belgian Cybercrime Centre of Excellence for
Training, Research and Education (B-CCENTRE) est une
organisation regroupant un large nombre dacteurs contre
la cyber-criminalit en Belgique. Initiative coordonne par
lInterdisciplinary Centre of Law et lICT la KU Leuven, le
B-CCENTRE est la principale plateforme de collaboration et
de coordination en matire de cyber-criminalit en Belgique.
Il combine une grande expertise en termes de groupes de
recherche universitaires, acteurs du secteur et organisations
publiques en un vaste rseau de connaissances. Ses
principales activits englobent la recherche fondamentale
interdisciplinaire, lorganisation de formations et la facilitation
dune prise de conscience au travers de lenseignement.
60
L'INFORMATION
CERT.be www.cert.be
Federal Cyber Emergency Team
Avenue Louise 231
1050 Bruxelles
Belgique
+32 2 790 33 33
cert@cert.be
Le CERT.be est le premier point de contact belge lorsquil
sagit de traiter des menaces et vulnrabilits de la cyber-
scurit affectant les intrts belges. Les professionnels des
technologies de linformation et de communication (ICT)
peuvent sadresser gratuitement au CERT.be et en toute
confdentialit pour faire rapport de cyber-incidents (donnes
et infrastructures rseau pirates, hameonnage (phishing),
cyberattaques, etc.). Le CERT.be donne galement des
conseils aux citoyens et aux entreprises sur la faon dutiliser
internet en toute scurit. Plus dinformations sont disponibles
sur www.cert.be (pour les entreprises) et www.safeonweb.be
(pour les citoyens).
COMMISSION
DE LA PROTEC-
TION DE LA VIE
PRIVE
www.privacycommission.be
Autorit belge pour la protection des
donnes
Rue de la Presse 35
1000 Bruxelles
Belgique
+32 2 274 48 78
commission@privacycommission.be
LAutorit belge pour la protection des donnes a pour
mission essentielle de veiller ce que la vie prive soit
respecte lorsque des donnes personnelles sont traites.
Il sagit dun organisme fdral belge. LAutorit belge pour
la protection des donnes a publi des directives claires sur
comment grer correctement les incidents relatifs la vie
prive dans le cyber-monde.
CRID www.unamur.be/droit/crids
Centre de Recherche Information, Droit et
Socit
Rue de Bruxelles 61
5000 Namur
Belgique
+32 81 72 40 00
Le CRIDS regroupe une dizaine dacadmiques et plus de 40
chercheurs, qui, ensemble, tissent un champ de comptences
trs vaste, de lhistoire de linformatique, la protection
de la vie prive, des nouveaux modes de gouvernance
la production de biens culturels communs, du droit des
communications lectroniques au rcit de soi sur internet, de
la protection des consommateurs numriques ou des patients
lectroniques au corps technologique.
Il sest impliqu dans de nombreux projets de recherche en
matire de cyber-scurit et a publi plusieurs livres blancs
sur le sujet.
ENISA www.enisa.europa.eu
http://cybersecuritymonth.eu/
European Network & Information Security
Agency
Science and Technology Park of Crete
Vassilika Vouton, 700 13 Heraklion
Grce
+30 28 14 40 9710
info@enisa.europa.eu
LAgence europenne charge de la scurit des rseaux et
de linformation (ENISA) est la rponse de lUnion Europenne
face aux problmes de cyber-scurit de lUnion. ce titre,
elle est en premire ligne en ce qui concerne la scurit de
linformation en Europe, et il sagit galement dun centre
dexpertise.
Lobjectif consiste faire du site Web de lENISA le hub
europen pour lchange dinformations, de meilleures
pratiques et de connaissances dans le domaine de la Scurit
de lInformation.
61
LISTE DE CONTACTS
L'INFORMATION
FCCU www.polfed-fedpol.be/crim/crim_fccu_nl.php
Federal Computer Crime Unit
Rue du Noyer 211
1000 Bruxelles
Belgique
+32 2 743 74 74
La Federal Computer Crime Unit (FCCU) belge est
responsable de la lutte contre la cyber-criminalit et les
infractions au niveau des technologies de linformation et de la
communication, avec pour but de protger tous les citoyens
dans le cyber-monde contre toutes les formes de criminalit
traditionnelle et nouvelle.
Cette mission inclut galement : la lutte contre dautres
phnomnes criminels bnfciant dun soutien dinvestigation
spcialis au niveau de lenvironnement des technologies
de linformation (IT). La fraude dans les services de
tlcommunications ainsi que la fraude au niveau des cartes
de paiement relvent galement de ses comptences.
FEDICT www.fedict.belgium.be
Service Public Fdral Technologie de
lInformation et de la Communication
Rue Marie-Thrse 1
1000 Bruxelles
Belgique
+32 2 212 96 00
info@fedict.belgium.be
Le Fedict, le Service Public Fdral Technologie de
lInformation et de la Communication, a lanc diverses
campagnes de conscientisation de la scurit sur internet et
conseille de nombreuses agences gouvernementales belges
concernant la scurit de linformation.
IBPT-BIPT www.ibpt.be
Institut belge des services postaux et
tlcommunications
Ellipse Building - Btiment C
Boulevard du Roi Albert II, 35
1030 Bruxelles
Belgique
netsec@bipt.be
LInstitut belge des services postaux et des
tlcommunications (IBPT) supervise tant le secteur postal
que le secteur des tlcommunications, aujourdhui appeles
communications lectroniques. LIBPT excute des tches de
rglementation conomique, organisation technique et mise
en conformit avec les cadres de contrle.

Le BIPT est impliqu dans la scurit des rseaux publics et
des services de communications lectroniques accessibles
publiquement.
ICRI www.law.kuleuven.be/icri
Centre interdisciplinaire pour le droit et les
technologies de linformation
Sint-Michielsstraat 6
3000 Leuven
Belgique
+32 16 32 07 90
adminicri@law.kuleuven.be
Le Centre interdisciplinaire pour le droit et les technologies de
linformation (ICRI) est un centre de recherche sis la Facult
de Droit de lUniversit de Leuven. Il a t impliqu dans de
nombreux projets de recherche en matire de scurit de
linformation et a publi plusieurs livres blancs sur le sujet.
LICRI coordonne les activits du B-CCENTRE.
SRET DE
LTAT
justitie.belgium.be/nl/overheidsdienst_
justitie/organisatie/onafhankelijke_diensten_
en_commissies/veiligheid_van_de_staat/
+32 2 205 62 11
info@vsse.be
La Scurit de ltat, le service de renseignement civil et
scurit de Belgique, a parmi ses fonctions la protection des
valeurs fondamentales et des intrts de ltat. La Scurit
de ltat aide les entreprises belges se protger contre les
cyber-attaques.
62
L'INFORMATION
ORGANISATIONS PRIVES
AGORIA www.agoria.be
Agoria
Diamant Building
Avenue A. Reyers 80
1030 Bruxelles
Belgique
+32 2 706 78 00
Ferdinand.CASIER@agoria.be
Agoria, la Fdration belge de lindustrie technologique,
soutient ses 1.700 entreprises membres dans leur lutte contre
la cyber-criminalit par le biais dateliers et dvnements
rguliers.
Linformation fournie vise essentiellement la direction
dentreprises qui souhaitent intgrer des aspects de cyber-
scurit dans leur stratgie commerciale.
BELTUG www.beltug.be
Belgian Telecom User Group (Association
dutilisateurs)
Knaptandstraat 123
9100 Sint Niklaas
Belgique
+32 3 778 17 83
Info@beltug.be
BELTUG dispose dun groupe dintrt spcial sur la scurit
o ses membres se runissent et discutent de tous les sujets
lis la scurit des technologies de linformation (IT).
BELTUG a organis beaucoup de tables rondes et publi
plusieurs livres blancs sur la scurit de linformation.
FEB www.vbo-feb.be
Fdration des Entreprises de Belgique
Rue Ravenstein 4
1000 Bruxelles
Belgique
+32 2 515 08 11
info@vbo-feb.be
La Fdration des Entreprises de Belgique (FEB) reprsente
plus de 50.000 entreprises, soit 80% de lemploi dans le
secteur priv.
La FEB est un partenaire privilgi de plusieurs organismes
publics dans un certain nombre de programmes daction
visant protger lconomie nationale. Elle sest associe
ICC Belgium pour prendre linitiative dditer un guide de
cyber-scurit sadressant toutes les entreprises belges.
FEBELFIN www.febeln.be
FEBELFIN
Rue dArlon 82
1040 Bruxelles
Belgique
+32 (0)2 507 68 11
info@febelfn.be
Febelfn, la Fdration belge du secteur fnancier, assiste ses
268 membres dans la lutte contre la cybercriminalit par le
biais dun partage dinformations et dune coopration avec
tous les intervenants impliqus. Febelfn tient jour un site
web spcial, www.safeinternetbanking.be, et a lanc plusieurs
campagnes de sensibilisation en matire de scurit des
oprations bancaires sur internet avec des vidos choc .
ICC BELGIUM www.iccbelgium.be
Comit belge de lInternational Chamber of
Commerce
Rue des Sols 8
1000 Bruxelles
Belgique
+32 (0)2 515 08 44
info@iccwbo.be
LInternational Chamber of Commerce (ICC) est la plus grande
organisation professionnelle au monde. Sa commission
ICC mondiale sur lconomie numrique sinterroge sur la
cyber-criminalit et le dveloppement ventuel de directives
ICC axes sur des questions juridictionnelles auxquelles sont
confrontes les entreprises mondiales.
Dautre part, via sa division ddie la lutte contre
la criminalit (Services pour la prvention des dlits
commerciaux (CCS)) installe au Royaume Uni, des organes
de dcision et dautres initiatives, lICC combat tous les types
de criminalit touchant le commerce, y compris la cyber-
criminalit.
63
LISTE DE CONTACTS
L'INFORMATION
ISACA www.isaca.be
ISACA Belgium
Rue Royale 109-111 b.5
1000 Bruxelles
Belgique
+32 2 219 24 82
president@isaca.be
ISACA est une association internationale de connaissance
but non lucratif rassemblant plus de 110.000 membres
individuels dans 160 pays et recherchant une valeur et des
sujets fables concernant linformation et la technologie,
notamment linformation et la scurit de linformation.
ISACA fait avancer et valide des comptences et
connaissances par le biais des titres de Certied Information
Security Manager (CISM) (gestionnaire en scurit de
linformation) et Certied in Risk and Information Systems
Control (CRISC) (agr en contrle des systmes
dinformation et du risque).
ISACA a cr COBIT pour la scurit de linformation, un
cadre professionnel qui aide les entreprises dans tous les
secteurs et quel que soit lendroit o elles se trouvent
matriser et grer la scurit de leur information.
ISACA dispose dune vaste gamme de livres blancs sur la
scurit de linformation, des sondages et des programmes
daudit.
ISPA www.ispa.be
ISPA
Rue Montoyer 39 b 3
1000 Bruxelles
Belgique
+32 2 503 22 65
Info@ispa.be
ISPA Belgium est lassociation de fournisseurs daccs
internet actifs en Belgique. En regroupant non seulement
les fournisseurs daccs et de services, mais galement les
fournisseurs dhbergement et de transit, ISPA assure que le
potentiel dinternet soit pleinement atteint tant du point de vue
des consommateurs que des professionnels.
ISPA organise des ateliers et vnements sur le thme de la
cyber-scurit, et est implique dans de multiples projets qui
contribuent un usage plus sr de linternet en Belgique.
64
L'INFORMATION
L-SEC www.lsec.be
Leaders in Security
Kasteelpark 10
3001 Heverlee
Belgique
+32 16 32 85 41
Info@lsec.be
LSEC est une association europenne but non lucratif situe
en Belgique et active dans la sensibilisation en matire de
scurit de linformation et lenseignement depuis plus de
10 ans. Lassociation regroupe des experts manant de la
branche de la scurit des TIC, des chercheurs en scurit
des TIC et des utilisateurs fnaux pour collaborer activement
des projets visant soutenir lamlioration globale de la cyber-
scurit en Europe. Des activits de leadership intellectuel
organises par LSEC sur une base mensuelle informent les
chefs dentreprises, responsables de la scurit et experts
en scurit sur les dfs du moment, les meilleures pratiques
et les innovations en matire de cyber-scurit et scurit de
linformation.

LSEC est un partenaire actif des programmes EC FP7 et
Horizon 2020 et soutient la stratgie numrique pour lEurope.
LSEC assiste les gouvernements des tats membres par des
contributions actives dans ltablissement de politiques et le
partage dexpertise. LSEC exerce des activits en Belgique,
aux Pays-Bas et au Royaume-Uni et travaille avec des
partenaires dans dautres tats membres europens. LSEC
dirige botvrij.be et fournit une plateforme pour des centres
ISAC du secteur.
www.lsec.be est le portail de lexpertise et des experts en
scurit de linformation en Belgique.
65
APERU
LES RFRENTIELS LES PLUS
COURANTS DE SCURIT DE
LINFORMATION ET DE CYBER-
SCURIT
Afn daborder la scurit de linformation, nous vous recommandons de consulter une ou plusieurs des bonnes pratiques
suivantes, normes et cadres, reconnus dans le monde entier :
NOM ORGANISATION SITE WEB
ISO 22301:2012 ISO http://www.iso.org/iso/home.html
ISO 27XXX series ISO http://www.iso.org/iso/home.html
COBIT5 pour la scurit de
l'information
ISACA www.isaca.org/cobit
SP800 series NIST http://csrc.nist.gov/publications/PubsSPs.html
Norme de bonne pratique
pour la scurit de
l'information
ISF https://www.securityforum.org/tools/sogp/
CIIP et NCSS ENISA http://www.enisa.europa.eu/activities/Resilience-and-CIIP
Techniques de formation
la scurit de l'information
SANS http://www.sans.org/reading-room/
BSIMM BSIMM http://www.bsimm.com
GAISP GAISP http://all.net/books/standards/GAISP-v30.pdf
Directives de bonne
pratique
BCI http://www.thebci.org/index.php/resources/the-good-
practice-guidelines
ISAE 3402 et SSAE 16 AICPA http://isae3402.com/
DMBOK DAMA http://www.dama.org
SABSA TOGAF Groupe ouvert http://www.opengroup.org/togaf/
OCTAVE CERT http://www.cert.org/octave/
EBIOS ANSSI http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-
methodologiques/
PAS 555:2013 British Standards
Institute
http://www.itgovernance.co.uk/shop/p-1356-pas-555-2013-
cyber-security-risk-governance-and-management.aspx
Information Technology
Security Evaluation Criteria
/ Manual
Bundesamt fr
Sicherheit in der
Informationstechnik
https://www.bsi.bund.de/EN/Topics/topics_node.html
66
BIBLIOGRAPHIE
Allen & Overy. (2012). EU and U.S. propose new cybersecurity strategies. Londres, Royaume-Uni.
Extrait de
http://www.allenovery.com/publications/en-gb/Pages/EU-and-U-S--propose-new-cybersecurity-strategies.aspx
Bergsma, K. (2011). Information Security Governance.
Extrait de
https://wiki.internet2.edu/confuence/display/itsg2/Information+Security+Governance
Bescherm je bedrijf.
Extrait de
http://www.beschermjebedrijf.nl
CERT-EU. (2012). Incident Response Data Acquisition Guidelines for Investigation Purposes version 1.3.
Extrait de
http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_12_004_v1_3.pdf
CERT-EU. (2011). Security White Paper 2011-003 - Guidelines for handling common malware
infections on Windows based workstations.
Extrait de
http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_11_003_v2.pdf
CESG. (2012). 10 Steps to Information security. Gloucestershire, Royaumi-Uni.
Extrait de
https://www.gov.uk/government/uploads/system/uploads/attachment_data/fle/73128/12-1120-10-steps-to-cyber-security-executive.pdf
Cyber Security Strategy.be.(2012). Belgique.
Extrait de
http://www.b-ccentre.be
Department for Business, Innovation & Skills. (2012). Cyber Risk Management: A Board Level Responsibility.
Londres, Royaume-Uni.
Extrait de
https://www.gov.uk/government/uploads/system/uploads/attachment_data/fle/34593/12-1119-cyber-risk-management-board-
responsibility.pdf
EYGM Limited. (2012). Fighting to close the gap: Ernst & Youngs 2012 Global Information Security Survey.
Extrait de
http://www.ey.com/Publication/vwLUAssets/Fighting_to_close_the_gap:_2012_Global_Information_Security_Survey/$FILE/2012_Global_
Information_Security_Survey___Fighting_to_close_the_gap.pdf
EYGM Limited. (2013). Under cyber attack: EYs 2013 Global Information Security Survey.
Extrait de
http://www.ey.com/Publication/vwLUAssets/EY_-_2013_Global_Information_Security_Survey/$FILE/EY-GISS-Under-cyber-attack.pdf
Federal Communications Commission, Information security Planning Guide, 2012
67
Federal Communications Commission. (2012). Information security Planning Guide. Washington, DC:
Extrait de
http://www.fcc.gov/cyber/cyberplanner.pdf
Information Security Governance Guide.
Extrait de
http://searchsecurity.techtarget.com/tutorial/Information-Security-Governance-Guide
ISACA (2013). Transforming Cybersecurity: Using COBIT 5. USA.
Extrait de
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Transforming-Cybersecurity-Using-COBIT-5.aspx
Ministerie van Veiligheid en Justitie. (2011). De Nationale Cyber Security Strategie (NCSS). La Haye, Pays-Bas.
Extrait de
http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2011/02/22/nationale-cyber-security-strategie-slagkracht-
door-samenwerking/de-nationale-cyber-security-strategie-defnitief.pdf
Nationaal Cyber Security Centrum. (2013). Cybersecuritybeeld Nederland. La Haye, Pays-Bas
Extrait de
https://www.ncsc.nl/binaries/nl/dienstverlening/expertise-advies/kennisdeling/trendrapporten/cybersecuritybeeld-nederland-3/1/
NCSC+CSBN+3+3+juli+2013.pdf
Open Web Application Security Project (OWASP).
Extrait de
https://www.owasp.org
Safe on Web.
Extrait de
http://www.safeonweb.be.
SANS, Information Security Management, ISO 17799 Audit Check List 1.1, Aot 2003
World Economic Forum. (2012). Partnering for Cyber Resilience: Risk and Responsibility in a Hyperconnected
World - Principles and Guidelines. Genve, Suisse.
Extrait de
http://www3.weforum.org/docs/WEF_IT_PartneringCyberResilience_Guidelines_2012.pdf
68
REMERCIEMENTS
COMIT DE RDACTION :
B-CCENTRE
Belgian Cybercrime Centre of Excellence for
Training, Research and Education,
ICRI KU Leuven - iMinds
Mennens, A.
Smeulders, C.

EY Belgium Advisory
Deprez, A.
Dewulf, K.
Wulgaert, T.

FEB - Fdration des Entreprises de Belgique
Dammekens, A.
Darville, C.

ICC Belgique - Comit belge de la Chambre de
Commerce Internationale
Bodard, K.
Der, J.
Maes, M.
Thomaes, R.

ISACA Belgium
Vael, M.

L-SEC
Seldeslachts, U.

Microsoft Belgium
Dekyvere, K.
Schroder, B.

SWIFT
Cross, R.
ADAPTATION EN FRANCAIS :
Defrenne, Vincent NVISO
Dubois, Olivier - Paradigmo
Gilbert, Franois-Xavier
Godart, Didier - Dgozone
Hanot, Etienne
Marechal, Dominique
Manet, Pierre
Rapaille, Maxime - STIB-MIVB
COMIT DIRECTEUR :
CERT.BE
ELECTRABEL
ENISA
FCCU
FEBELFIN
Guldentops, E.
IBPT
IJE
ISPA
Scurit de ltat
SPF conomie
UMICORE
69
NOTES
70
NOTES
graphic design & production:
www.in-depth.be
publisher:
ICC Belgium
Stuiversstraat 8 rue des Sols
1000 Brussel
Belgi
+32 (0)2 515 08 44
info@iccwbo.be
www.iccbelgium.be
GUIDE BELGE DE LA CYBER-SCURIT
PROTGEZ VOTRE INFORMATION

Le prsent guide et les documents qui laccompagnent
ont t labors conjointement par

ICC Belgium, FEB, EY, Microsoft, L-SEC,
B-CCENTRE et ISACA Belgium.

Avec le soutien fnancier du programme de Prvention et de Lutte contre la Criminalit de lUnion Europenne
Commission Europenne - Direction gnrale des Affaires intrieures

Guide Belge de La Cibersecurite

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guide Belge de La Cibersecurite

Uploaded by

Copyright:

Available Formats

PROTGEZ VOTRE INFORMATION

GUIDE BELGE DE LA CYBER-SCURIT |

| GUIDE BELGE DE LA CYBER-SCURIT

LES PRINCIPES SUIVANTS

LES PRINCIPES SUIVANTS

LES PRINCIPES SUIVANTS

LES PRINCIPES SUIVANTS

LES PRINCIPES SUIVANTS

LES PRINCIPES SUIVANTS

You might also like