Selon LeakSource, 412 millions de comptes (email, nom, prénom et mot de passe) auraient été récupérés à la suite d’un hack par injection de fichier sur les serveurs de ce « site de rencontre et d’échanges » à caractère libertin. Une telle masse d’information n’aurait pu être rendue possible sans les efforts soutenus des administrateurs de cette formidable base de données, lesquels administrateurs ne semblaient pas effacer de leurs fichiers les identités numériques des personnes s’étant désabonnées. Du coup, 20 ans d’historique et de libertinage (quasiment deux générations) se sont retrouvées dans la nature.

Bien que ces serveurs soient essentiellement situés aux USA, LeakSource révèle que le mot de passe le plus utilisé arrivant en 32ème position est « Azerty » et que « France » est classé 34ème. Plus de 11 000 personnes prénommées Daniel ont utilisé leur prénom en guise de Sésame, légèrement devant quelques 11 000 autres abonnés qui signent très modestement « Superman ». On peut estimer (ou espérer) que les abonnés ayant utilisé des expressions très poétiques en guise de mot de passe (14, 17, 27 et 39ème place), n’utilisent pas les mêmes pour accéder à leur compte en banque… et c’est là une bonne pratique. Sans grande surprise, les suites numériques (123456), alphabétiques (qwerty) arrivent en tête des statistiques.

Une part importante de ces identifiants ne sont pas chiffrés, une faible proportion l’étant avec une fonction SHA1, techniquement dépassée. Aucun salage ne semble avoir été appliqué.

A titre de comparaison, LeakSource rappelle qu’un réseau social /plateforme de blog tel que MySpace ne compte que 360 millions de comptes. Comme quoi, l’amour, même numérique, est plus fort que le désir égotiste de publication.

L’élection de Donald Trump aurait provoqué le doublement des inscriptions au service de messagerie chiffrée Helvétique ProtonMail , claironne Andy Yen. Selon le co-fondateur de ce service, le fait que le futur locataire de la Maison Blanche devienne également le Big Boss de la NSA a soudainement provoqué un sursaut de prudence cyberépistolaire dans le monde

Signal serait toujours la messagerie instantanée la plus sécurisées du moment. Une nouvelle analyse technique des mécanismes de chiffrement conduite par 3 universitaires de Grande Bretagne, d’Australie et du Canada, affirme « qu’aucune faille majeur n’a pu être découverte à ce jour »

Ca se passera le 18 novembre prochain, dans les terres de Lesdiguières. Comme pour les années précédentes, ce cycle de conférences orientées « sécurité des S.I. » se déroulera dans les amphis de l’Ensimag, sur le campus Universitaire Grenoblois.

D’un niveau technique de haut vol, GreHack a su, au fil des ans, attirer des intervenants prestigieux, et aborder des sujets parfois «oubliés » et très variés- sécurité des réseaux Modbus dans les complexes industriels, techniques de reversing matériel/logiciel, analyse réseau et « machine learning »…

Le programme de cette année débutera avec une approche Microsoftienne du durcissement des noyaux pour terminaux mobiles, avec Stefan Saroiu, puis un remake revu et augmenté des travaux de Damien Cauquil sur BtLEjuice, sujet déjà abordés à l’occasion de la Nuit du Hack. Un peu de manipulation et analyse d’expressions symboliques avec Arybo, suivi par une description d’Alcyon, environnement, outils d’automatisation des scripts Nmap, outil de pentesting on ne peut plus historique (par Thomas Sanoop). Jean-Yves Marion, de l’Inria, nous emportera ensuite dans le monde du code « déjà vu, ou presque» grâce à Gorille, et l’équipe Levent Demir, Mathieu Thierry et Vincent Roca se plongera dans les arcanes de dm-crypt, et dissertera du chiffrement de disque dur sous Linux.

Pour plus de détails, il suffit de consulter le programme sur un site web Grehack flambant neuf.

Comme à l’accoutumé, la manifestation s’achèvera par un l’inévitable CTF, ainsi que par une série d’ateliers animés par de grands noms du hacking européen : Philippe Teuwen, Pierre Lalet (IVRE par la pratique, avec son humour habituel et son impressionnante compétence), l’équipe de Miasm (Fabrice Desclaux et Camille Mougey), Julien Voisin, Guillaume Valadon dans les méandres de Scapy…

Exceptionnellement, l’équipe de CNIS Mag animera également l’un de ces ateliers. L’on y parlera, sans se prendre au sérieux, de radios logicielles, de points de compression à 1 dB et de taux d’échantillonnage.

« Trompes-moi une fois, honte à toi, trompes moi deux fois, honte à moi » dit ce proverbe Américain si difficile à énoncer, tant à la Maison Blanche que du côté de Fort Meade. Car après l’affaire des fuites Snowden, ex employé de Booz Allen, la NSA se serait fait voler des informations classifiées et une panoplie d’outils de hacking spécifiquement destinés à « intruser » les réseaux gouvernementaux étrangers. Et une fois de plus par un employé du sous-traitant Booz Allen, Harold T. Martin. Ah, si nos alliés d’Outre Atlantique connaissaient les vertus des certifications Passi ! Le communiqué du DoJ reste très pudique , mais le New York Times est plus disert.

Harold Martin était-il inspiré par Snowden ? Rien ne permet de l’affirmer. Cette collecte de documents et d’outils peut fort bien avoir été effectuée par attrait de l’interdit, par fascination des « armes numériques »… ou par intérêt financier. Depuis leurs créations, les services de renseignements US ont connu maintes trahisons, aux niveaux les plus élevés, rivalisant avec le très perforé MI6 au plus fort de la guerre froide. L’effondrement du bloc soviétique ne signifie pas la disparition du FSB, et il existe un marché très lucratif de la vente des cyber-armes entres gens du même monde. Tant du côté obscur des gouvernements que dans les rangs des gangs mafieux.

Il faut dire qu’après la mise à sac des cyber-mercenaires transalpins de Hacking Team et, plus récemment, la diffusion de « SplOits » de la NSA par des groupes d’Anonymous (avec véritable « mise aux enchères » et échantillons gratuits), le cyber-flingue d’agent fédéral bénéficie d’une publicité sans précédent. Il est loin le temps où l’on s’interrogeait sur l’origine de Stuxnet. Depuis, du hacker curieux au truand du Darknet, en passant par les polices secrètes du monde entier, tout le monde se précipite sur ce trafic d’armes d’un genre nouveau, surtout si le stock est frappé du tampon de la No Such Agency. Certains acheteurs enchérissent à de simples fins d’analyse, histoire de se mieux protéger, d’autres avec des intentions moins avouables. Snowden a décomplexé le PIM (paysage informatique mondial) et tout espoir d’un Wassenaar du binaire offensif s’évapore lorsque confronté à la réalité.

Harold T. Martin a été arrêté avant. Avant de revendre le fruit de son vol ? Avant de confier ces documents à Wikileaks ? Avant de cacher ces fichiers et les conserver par simple bravade de l’interdit ou par désir secret de cyber-puissance ? Il y a très peu de chances que la vérité soit divulguée. Snowden n’a pu se justifier que parce qu’il était hors de portée de la justice US. Ce n’est pas le cas de Martin, qui sera probablement présenté comme un délinquant, question de principe et de Raison d’Etat.

Fin septembre, Lucibel, un professionnel de l’éclairage plus que des réseaux, présentait le tout premier luminaire LiFi commercial. C’est là indiscutablement un effort de R&D louable, ce qui vaut d’ailleurs à l’entreprise d’emporter un « prix de la Cyber-sécurité » attribué par… des professionnels et associations de la sécurité physique et de la vidéosurveillance.

Pourtant, autour de cette première industrielle et technologique, règne une incroyable confusion, où promesses et prouesses techniques côtoient affirmations chamaniques et demi-vérités. Non pas du fait de l’entreprise Française, qui défriche avec pugnacité une technologie encore balbutiante, mais de la part de porte-paroles généralement Nord-Américains. Une situation de forcing marketing qui n’est pas sans rappeler l’époque de la guerre d’un WiFi 5 GHz estampillé IEEE US bien qu’inexistant, cherchant à mettre à mort un Hiperlan-hiperaccess bien réel et béni par l’Etsi Européen.

LiFi, pour Light Fidelity, est le successeur moderne du code morse optique utilisé par la Royale depuis les années 20… Mais un morse en bien plus rapide, à la sauce 802.1. Il part du principe (théorème de Shannon-Nyquist) que la fréquence d’une information transportée doit être au maximum de la moitié de la fréquence d’échantillonnage. Or, la fréquence de la « porteuse », en lumière visible, se situe entre 400 et 700 THz, ce qui laisse espérer en théorie la possibilité de véhiculer des données à plus de 200 Terabits par seconde, et en pratique, nous promettent les devins des réseaux, aux environs de 600 Gb/s. Le remplacement progressif des ampoules à filament par des ampoules LED apporte à peu de frais une source de diffusion à la fois peu coûteuse et surtout susceptible de soutenir des fréquences de modulation élevées. Le principe de modulation d’une LED est utilisé depuis des lustres dans certains petits transmetteurs laser : imprimantes, lecteurs de CD et DVD… Or, ce qui fonctionne en mode monochromatique s’applique également en large bande, car une LED est une LED, est une LED, est une LED.

En pratique, les premiers modules de Lucibel frisent les 43 Mb/s en liaison descendante (du spot d’éclairage vers l’ordinateur) et considérablement moins que 10 mb/s en liaison montante. Bien moins qu’un routeur Wifi d’entrée de gamme et d’ancienne génération, avec une couverture qui dépasse à peine 15 à 20 mètres carrés. Certes, même Wifi, avant d’être Wifi, a plafonné aux environs de 4 Mb/s. Mais moduler de la lumière en large bande n’est pas quelque chose de franchement simple en très haut débit, et il faudra encore quelques années avant que l’on ne parvienne à franchir la frontière de l’actuelle norme industrielle 10 GE.

LiFi est moins cher, dit-on. A l’heure actuelle, les premiers spots LiFi commercialisés coûtent environ 2300 Euros. Une paille si l’on se souvient que les premiers points d’accès 802.11 étaient vendus parfois plus de 10 000 Francs à l’époque. Si l’on peut oublier ces « tarifs de jeunesse » et espérer des tarifs raisonnables à l’horizon 2018, difficile cependant de rayer d’un trait de plume le coût de déploiement. Car LiFi est avant tout un réseau câblé allant du brassage à la lampe, avec les contraintes techniques propres à un câblage cuivre soit boucle de masse, résistance aux interférences, facilité d’interception avec des moyens ridiculement simples, et coûts d’installation et de recette non négligeables, lesquels ont d’ailleurs fortement contribué au développement du WiFi 2,4 et 5 GHz. Et ces coûts et contraintes à venir seront loin d’être nul, chaque accroissement de vitesse impliquant un déploiement de réseau câblé adapté. Remember le passage en Cat 6e. Le coût du 10Gibabit n’est pas comparable à celui d’un simple brassage en Cat 5. Et ces dépenses iront croissant, au fur et à mesure que l’on cherchera à atteindre les dizaines de Terabits/s promis par les promoteurs du LiFi. Et ceci sans mentionner l’acheminement de la tension nécessaire à l’éclairage. Car si pour l’heure, chaque ampoule est alimentée en basse tension en mode PoE (Power over Ethernet) via le câblage réseau, il y a peu de chances que cette technique soit conservée dans un proche avenir. Il est plus rentable et plus simple de « fibrer » un étage pour router des dizaines de Gb/s. Et PoE sur de la fibre, ça s’appelle encore Adaptateur Secteur.

« LiFi est économe en termes d’énergie, donc plus écologique ». Sur ce point, à nombre de connexions comparables, aucune étude ne vient confirmer de telles affirmations. Un routeur WiFi consomme peu ou prou entre 500 mW et 10 W (routeurs multifonction WiFi/Dect/switch administrable/routeur). Une lampe LiFi consomme déjà la puissance consacrée à l’éclairage permanent (de nuit comme de jour) et celle de son interface réseau, multiplié par le nombre de lampes installées par pièce. Là où un seul routeur draine l’alimentation réseau de 3 pièces, il faudra compter une dizaine de points LiFi dans bien des cas.

« LiFi est sécurisé, résistant aux attaques de déni de service et n’est pas concerné par le Wardriving/Eavesdroping, et est libre de toute émission électromagnétique nocive». Un supporter de la Light Fidelity affirmait même « Il suffit de consulter le Web pour savoir comment pirater n’importe quelle liaison Wifi ». Et quand bien même Aircrack ng existe depuis un certain temps, à la rédaction de Cnis-Mag, l’on cherche encore comment contourner un échange sans-fil en WPA-EAP avec son serveur RADIUS. Par ailleurs, les protocoles de chiffrement de la couche de transport LiFi sont ceux… appliqués aux transmissions 802.11.

Qu’une attaque DoS soit difficile, c’est exact. Mais qui donc utilise encore ces méthodes barbares ? Il est tellement plus intéressant d’écouter ce qui se passe sur un réseau plutôt que de le perturber. Sur ce point, les différents partenaires de l’alliance LiFi (dont un consortium Français) clament haut et fort que les données ne « sortent pas du bâtiment et sont restreintes aux seules personnes situées dans le cône de lumière LiFi ». Un point inexact. Un certain Galilée, hacker par vocation, avait, à la fin du XVIème siècle, fortement amélioré le hacking kit LiFi, autrement dit la lunette astronomique. Ce à quoi les ingénieurs de Lucibel font remarquer qu’effectivement, la chose est envisageable, mais très compliquée. Pour des raisons optiques essentiellement. Les turbulences de l’atmosphère perturbent énormément la réception du signal à moyenne distance. Ce à quoi l’on pourrait rétorquer que les algorithmes de compensation du « seeing » utilisés en astronomie sont parfaitement utilisables. En outre, de nombreuses expérimentations, notamment dans la bande des 430 THz, ont prouvé qu’il était possible de réaliser des liaisons optiques sur plusieurs centaines de kilomètres en plein jour. LiFi émettant en large bande, son espionnage via une écoute en spectre étroit n’est pas franchement impensable, même si la mise en œuvre exige des moyens coûteux et que ce genre de contrainte impacte également la bande passante du côté de l’intercepteur. Un type d’attaque trop complexe et coûteuse ? En matière de sécurité, l’investissement des outils de pénétration est directement proportionnel aux espérances de gain. Pirater un LiFi d’aéroport n’est certes pas franchement passionnant, sous-mariner celui d’un conseil d’administration d’une banque l’est beaucoup plus, et qu’importe le prix de l’exploit.

Force est également de reconnaître qu’une partie des informations manquera à l’appel. Car, pour l’heure, la liaison montante est quasiment impossible à espionner. Chez Lucibel, il s’agit d’un émetteur travaillant en infra-rouge, en mode directionnel et à faible puissance. Intercepter ces données n’est pas impossible, mais matériellement complexe.

Et puis, si LiFi était une telle révolution technologique, pour quelle raison ses partisans insistent-ils en permanence sur les défauts (souvent fantasmés) de son grand concurrent le WiFi ? Car outre le coût « élevé » (sic) du déploiement WiFi ou les hordes de pirates qui cassent du WPA à leur petit déjeuner, il faut ajouter « la nocivité des ondes » (en se basant non pas sur des vérités prouvées scientifiquement, mais sur la notion de principe de précaution). Les promoteurs des techniques CPL employaient déjà les mêmes arguments, en oubliant de préciser à quel point ce même CPL était un usine à rayonnements électromagnétiques incontrôlés … De quoi en perdre son latin lorsque ces mêmes ennemis du WiFi ajoutent « nous ne sommes pas concurrents, nous sommes complémentaires, et apportons notre force là où le WiFi montre quelques faiblesses ». Alors, alliés ou adversaires ?

Passons également sur les autres limitations évidentes des couches de transport optique. Pas d’utilisation possible en plein air, la lumière solaire élevant le rapport signal sur bruit. Pas d’utilisation en dehors d’un bâtiment ou en quittant la pièce « LiFi-isée ». Attaque en déni de service par coupure du PoE ou occultation de la source. Gestion drastique des Vlan nécessaire afin de confiner les section LiFi du reste du réseau (car dans ce cas, l’intrusion peut utiliser d’autres portes d’entrée et compromettre les segments LiFi). Pas encore d’intégration de port optique LiFi dans les outils de mobilité les plus répandus (ordinateurs portables, terminaux de téléphonie cellulaire, tablettes). Atténuation très forte du signal en fonction de la distance (la fameuse « loi en carré inverse »). Et enfin, choix délicat quant à la qualité des ampoules d’éclairage. Le niveau de bruit provoqué par des ampoules led bas de gamme (oui, une ampoule LED d’entrée de gamme est un pollueur radioélectrique puissant) peut fort bien dégrader la qualité de service du brin.

Mais tout n’est pas sombre dans le royaume LiFi. Il est tout à fait évident que les transmissions optiques peuvent remplir une mission là où les liaisons câble sont impossibles ou coûteuses : milieux explosifs, salles blindées ou assimilées et autres cages de faraday, « situation rooms » diverses isolées du réseau local (et sans fenêtre), ateliers dont l’environnement électromagnétique et mécanique interdisent les câbles et rendent les transmissions radio illusoires, milieux impactés par l’observance du principe de précaution (même si certains équipements hospitaliers sont de véritables nids d’interférences), espace publics (gares, aéroports), bref, tous les cas d’application exigeant une zone d’illumination réseau restreinte et de courte portée.

La question du besoin en économie est une notion bien différente de celle de la question de la demande effective ou de la consommation réelle. En effet, dès le 19e siècle, en réaction notamment à la loi des débouchés de Jean-Baptiste Say, Malthus considérait dans son livre Principes d’Economie Politique que les besoins des individus devaient être dissociés de la deman¬de effective.
Pour reprendre la formule de Malthus, «la demande effective est une demande faite par ceux qui ont les moyens et la volonté d’en donner un prix suffisant (1)». Autrement dit, l’acte d’achat ne peut être réalisé que dans la mesure où il y a un désir d’acheter et que le besoin soit solvable. Or, en sécurité, si les besoins de sécurité en entreprise au vue des menaces actuelles (terrorisme, cyber criminalité (2), fraudes, etc.) peuvent paraître illimi-tés, la demande effective, même si celle-ci s’accroît au cours des années récentes, demeurent limités en tout cas en France en comparaison d’autres pays.

D’après une étude récente commandée par le Club des Directeurs de Sécurité des Entreprises (CDSE), sur un échantillon de 73 entreprises françaises, le budget d’une direction sécurité-sûreté (3) est inférieur à 1 million d’euros par an dans 55 % des cas (Griot 2015). En comparaison, aux Etats-Unis, le budget des directions de sécurité et de sûreté, selon une étude de l’International Security Management Association (ISMA), oscillerait entre un million de dollars et plus dans 72 % des entreprises interrogées (4) (sur la base d’un échantillon de 113 entreprises).

Naturellement la demande de sécurité des entreprises n’est pas concentrée uniquement dans les mains des directions sécurité-sûreté. D’autres directions peuvent consommer de la sécurité. Il peut s’agir aussi bien du service achat, du service en charge de la prévention de la fraude, du service informatique ou encore d’entités décentralisées (Nalla, Morash 2002).

Néanmoins, à notre sens, cela reste relativement faible. Partant des données de Robin et Mordier (2013), nous pouvons estimer le budget global de la sécurité et de la sûreté dans les entreprises françaises à 10 milliards d’euros. En comparaison, le chiffre d’affaire de la consommation de sécurité privée par les entreprises aux Etats-Unis est au moins cinq fois plus élevé (Leseaux 2014).

Par conséquent, si on accepte l’hypothèse d’une demande effective de la sécurité et sûreté relativement faible en France au sein des entreprises en comparaison d’autres pays occidentaux, il convient alors de se poser la question des raisons de cette faible importance. Nous nous proposerons de l’expliquer dans un premier temps. Dans un deuxième temps, nous chercherons à nous demander si aujourd’hui nous n’assistons pas à une inflexion. La croissance de la demande de sécurité des entreprises ne va-t-elle pas augmenter plus rapi-dement dans les années à venir?

I. Les facteurs d’une demande peu élevée de la part des entreprises en matière de sécurité et de sûreté

Tout pousse à croire que la demande de sécurité de la part des entreprises françaises est forte. D’une part, parce qu’il semblerait que nombre d’entreprises conviennent qu’elles interviennent dans un monde de plus en plus instables (Vuillerme 2013). D’autres part, parce que la variété des menaces paraît de plus en plus étendue: fraudes, cyber criminalité, éco terrorisme, enlèvements, agressions, etc. Or, au regard des données présentées en introduction, il ne paraît pas que la demande de consommation de sécurité privée en France au sein des entreprises soit très importante en comparaison des Etats-Unis ou d’autres pays comme la Grande-Bretagne.

Qu’est-ce qui justifie cette différence? A notre sens, plusieurs facteurs (4) peuvent l’expliquer. Premièrement, au cours du 20e siècle, en dehors de quelques secteurs d’activités particuliers (banques, hôtellerie, transports ferroviaires), la reconnaissance des services internes de sûreté et de sécurité ne devient réalité que très tardivement en France (Berlière, Levy 2013). Nous trouvons aucune trace de services internes de sécurité dans les organigrammes des entreprises françaises au milieu du 20e siècle. «L’auto-organisation de la sécurité» reste le principe dominant de la discipline dans les organisations industrielles (Kalifa 2000, p.143). Ces services avaient plutôt mauvaise presse puisqu’ils étaient perçus comme des auxiliaires privilégiés du patronat, vigoureusement dénoncé par les milieux syndicaux et les militants communistes (Kalifa, 2000, p.250). Aux Etats-Unis, la situation est quelque peu différente au début et surtout au milieu du 20e siècle. On prête ainsi à Henry Ford la création de la première direction sécurité «corporate» (Lippert, Walby, Steckle 2013).

Deuxièmement, la perception des directions générales vis-à-vis de la sécurité n’est pas la même en France et aux Etats-Unis. Aux Etats-Unis, la sécurité d’entreprise est perçue comme un avantage concurrentiel et le nerf de la guerre commerciale. IBM avait, par exemple, mis en place des outils de management de la sécurité dès les années 1970 en sollicitant l’appui méthodologique de l’International Association of Chiefs of Police (IACP). Il s’agissait notamment de se prémunir contre le risque extrémiste, s’estimant exposée aux enlèvements et aux demandes de rançons. Il en résultait un cours à destination de tous les employés de ses filiales réalisés par le département de sécurité: Security. A management Style. A course of instruction in corporate protective service. IBM as a Target for terroristes (Mattelart 2007). La mobilisation d’IBM contre la menace terroriste n’était pas un fait isolé. Elle était largement partagée par les plus importantes multinationales à travers le monde qui, à l’époque, étaient majoritairement américaines.

En France, la perception de la sécurité n’est pas la même dans les entreprises. Dans de nombreuses entreprises, la direction de la sécurité et de la sûreté est souvent mal positionnée au sein des organigrammes de l’entreprise. Comme le souligne Philippe Very, «si la direction sûreté est une sous-unité noyée parmi de nombreuses autres au sein d’une unité «compliance», cette localisation ne favorisera pas l’acquisition de légitimité» (Very 2013, p.21).

Dans ce contexte, en France, la sécurité est surtout perçue au sein de nombreuses entreprises comme un surcoût. Souvent, les directeurs sécurité considèrent eux-mêmes que leur service est considéré comme une fonction support alors même que bon nombre d’entre eux aimeraient qu’on le considère comme une direction stratégique de l’entreprise. Comme le note Mulone, «la transformation de la culture de l’entreprise afin que celle-ci incorpore l’idée que l’implantation de mesures de sécurité (en vue de proté¬ger personnel, biens et/ou information) est à tous points de vue rentable (au sens où les coûts engagés permettent de prévenir des pertes supérieures) représente probablement le plus grand défi professionnel des gestionnaires de la sécurité au sein des entreprises» (Mulone 2013, p.157). Autrement dit, les dépenses en matière de sécurité peuvent paraître élevées sans capacité de mesurer clairement l’efficacité réelle et sans avoir une idée précise du retour d’investissement (Ocqueteau 2011). Ceci est d’autant plus vrai que la capacité de détection des attaques est souvent délicate. Pensons par exemple aux A.P.T (Advanced Persistent Threats) qui sont des cyber attaques qui ont pour objet de rester le plus longtemps possible dans le sys¬tème d’information de l’entreprise sans éveiller les soupçons et qui permettent aussi de voler des informations. Troisièmement, et de manière plus générale, en France, la sécurité privée n’a pas la même place dans la société que d’autres pays occidentaux. Par exemple, en Grande-Bretagne, des agents de sécurité privée peuvent se voir confier des enquêtes de voisinage, s’assurer de la garde des personnes arrêtées, répondre aux appels dans les salles de commande (De Maillard 2013). A l’inverse, rien de tout cela en France. La situation française est marquée par le poids d’un Etat centralisé. Dans la conscience de nombreux décideurs publics et privés l’idée reste ancrée que la sécurité est du monopole de l’Etat.

Enfin, dernier point important, le processus d’achat de la sécurité en entreprise. D’après Mulone, au Canada, la consommation de la sécurité en entreprise serait liée à l’action du directeur de la sécurité. Si tel est le cas au Canada, en France, tel n’est pas nécessairement le cas. La consommation de biens ou de services de sécurité ne dépend pas nécessairement de la direction de sécurité. La direction achat de l’entreprise peut gérer directement la consommation d’achat. De même, pour les activités qui ne dépendent pas du siège, les centres de profit (les «business units» ou B.U.) peuvent décider de l’achat ou non de sécurité sans en référer aux responsables de sécurité. Certes le directeur de la sécurité peut avoir un rôle de conseil, mais ses conseils peuvent être également sans effet ou inconnus de ces centres de profit (certaines B.U. ignorent même dans certains cas qu’il existe un directeur de la sécurité). Dans ce contexte, ces derniers chercheront à maximiser leur profit et donc à limiter au maximum leurs dépenses de sécurité.

Par conséquent, en France, la consommation de sécurité privée au sein des entreprises paraît limitée. Plusieurs arguments peuvent être avancés pour expliquer cette situation: la place des directions de sécurité et de sûreté au sein des entreprises, la complexité du processus d’achat de sécurité dans les organisations, l’histoire récente des services internes de sécurité dans les entreprises ou encore la place accordée par les décideurs à l’Etat dans la production de sécurité. Néanmoins, cette situation tend à changer, comme nous allons l’analyser présentement.

II. Les dépenses de sécurité en entreprise en France: vers une augmentation certaine dans les années à venir

La demande de sécurité en France connaît une évolution positive de son chiffre d’affaire (de 1998 à 2010, le volume du chiffre d’affaires a progressé en moyenne de +5.5 %) profitant notamment de la demande de sécurité des entreprises puisque celles-ci sont les principaux clients (77 % du chiffre d’affaire) du secteur de la sécurité privée. Mais comme nous l’avons démontré, cette progression aussi importante soit-elle ne reflète pas la réalité éco¬nomique du marché de la sécurité et plus particulièrement la consommation de sécurité en entreprise. Cette dernière reste modeste en comparaison à la consommation d’autres pays comme les Etats-Unis ou le Royaume-Uni par exemple. Cette réalité n’est peut-être pas amenée à perdurer et ce pour différentes raisons. D’une part, et même si les effets seront certainement limités, les inquiétudes relatives à la menace terroriste suite aux attaques terroristes de janvier 2015 à l’encontre de la rédaction du journal Charlie Hebdo ont mis en évidence la nécessité des entreprises de se protéger. Rappelons que suite aux attentats du 11 septembre 2001, les entreprises américaines avaient vu, après coup, leur budget sécurité croître de 10 % (Gill 2014) (5). Il est probable que certaines entreprises en France fassent le choix d’accroître les budgets de sécurité et par voie de conséquence augmentent leur consommation en la matière.

Deuxièmement, les grands groupes se sont engagés dans l’assainissement de l’offre de sécurité privée et le développement d’une offre de sécurité haut de gamme. Ainsi, les agents de sécurité présents chez Louis Vuitton sont payés environ 200 à 300 euros/jours (de 27 à 40 €/h), qui sont des prix inaccessibles pour les PME (6). L’Oréal, Total, Bouygues, Lazard, etc., sont dans le même cas. Ce sont ces mêmes grands groupes qui ont milité pour une habilitation des sociétés de sécurité privée et leurs employés. A ce titre, depuis le 7 mars 2009, tout candidat à l’emploi pour exercer des activités privées de sécurité (agent de sécurité et de gardiennage, agent cynophile, portier de discothèque, agent de sûreté aéroportuaire, transporteur de fonds, personne chargée de la protection physique de personnes) doit être titulaire d’une carte professionnelle. La délivrance de cette carte repose à la fois sur des conditions de moralité, mais aussi sur des conditions d’aptitude (définit par un nombre d’heures de formation ou/et par la preuve de l’exercice pendant une certaine durée). Par conséquent, les entreprises sont prêtes à dépenser plus, si elles ont l’assurance d’une meilleure qualité (ce qui n’était pas nécessairement le cas). La mise en place de certifications et de qualifications en matière de sécurité peut être un signal crédible de l’amélioration de l’offre de sécurité et favoriser à terme l’achat de biens et de services à des prix plus élevés. Par ailleurs, l’AFNOR, organisme de normalisation français, s’inscrit dans le cadre de la démarche de normalisation internationale en matière de sécurité promue par l’organisation internationale de normalisation (ISO). Cette démarche internationale de normalisation, appelée ISO TC 292 security, vise à la fois à normaliser les démarches de management de la sécurité, de gestion de continuité d’activité, de résilience, de gestion de crise, de lutte anti-contrefaçon ou encore les services de sécurité. Cette démarche qui a pour objet de rendre plus performant les procédures et les services de sécurité aura certainement en bout de chaîne un impact sur la qualité et les coûts en matière de sécurité. Elle rassurera le donneur d’ordre qui sera prêt à payer plus cher un service nor¬malisé qu’un service qui ne l’est pas.

Troisièmement, la pression des assureurs dans le domaine de la lutte contre la malveillance va aller certainement en s’accroissant. Alors que ces derniers proposent de nouveaux contrats d’assurance aux entreprises françaises (le contrat d’assurance face aux cyber-risques a vu le jour en 2010, par exemple), il est probable que les entreprises qui s’assureront face à ces nouveaux risques devront modifier leur consommation en matière de sécurité. Les assureurs cherchent en effet à inciter les assurés à maintenir un niveau minimum de sécurité afin d’éviter d’avoir à supporter un risque trop élevé de pertes potentiels. Dans ces conditions, l’assureur veillera à ce que le client respecte bien les règles du contrat et dans ce cadre cherchera à contrôler régulièrement les assurés pendant la durée du contrat. Ainsi, une coopération est-elle nécessaire entre les assureurs, les assurés et les spé¬cialistes de la sécurité afin d’éviter tout dommage important.
Quatrièmement, l’offre technologique de sécurité connaît une profonde mutation. En effet, si la demande de technologie de sécurité complexe a connu, semble-t-il, un ralentissement au tournant de 2010, la donne est peut être entrain de changer. En effet, d’après un rapport du ministère de l’intérieur datant de 2009, la demande en technologies de sécurité avait diminué en raison de la complexité de ces technologies et de leur faible adaptation aux besoins de l’entreprise. Une grande entreprise de la grande distribution française avait à ce titre abandonné les contrôles d’accès biométrique et les caméras sur rails trop onéreux par rapport aux résultats obtenus. De même, si une entreprise de luxe admettait utiliser des caméras de surveillance très sophistiquées, elle rappelait également que les protections mécaniques, comme les portes blindées, les vitres spéciales, les serrureries, restaient déterminantes. Ce constat est peut-être entrain de changer, les technologies évoluant. Ainsi, le «piégeage» à la source (par étiquette RFID – Radio Frequency Identification) se développe. De même, les drones, qui disposent d’un encadrement réglementaire précis depuis le 11 avril 2012, semblent être promis à des développements dans le champ de la sécurité. A cet égard, la SNCF expérimente les drones pour l’inspection de voies ferrées. De même, Securitas propose en France une securisation par drone. Comme le note Securitas sur son site internet: «Le drone est un outil complémentaire au travail de l’agent de sécurité, capable de dépasser sa perception visuelle, et d’aller dans des zones à risques et non accessibles par l’homme. Cela en fait un outil ergonomique, facile d’utilisation et rapide pour des délais d’intervention réduits dans le cadre d’une levée de doute (7)».

Enfin, la consommation de sécurité devrait progresser car les directions sécurité également évoluent. Les directions de la sécurité dans les entreprises seraient comparables à celles des ressources humaines, il y a 20 ans (Hassid, Juillet et Pellerin 2012). Une plus grande professionnalisation et une meilleure reconnaissance du rôle des directeurs de la sécurité est attendue. A cet égard, dans le cadre de deux études réalisées par le CDSE en 2009 et en 2014, il ressort que la place du directeur de la sécurité évolue rapidement. Ainsi, si aucun directeur de la sécurité n’appartenait au conseil d’administration de son entreprise en 2009, date de la première enquête, il ressort que six ans plus tard, six (sur un échantillon de 73 entreprises) en font partie. Outre sa place dans l’organigramme de l’entreprise, son périmètre change également. En effet, les compétences des directeurs de sécurité et leur périmètre d’action ne cesse de s’accroître: protection de l’image, biovigilance, lutte contre la contrefaçon, lutte contre la fraude interne. Pour résumer, tout porte à croire que la consommation de sécurité en France devrait progresser beaucoup plus vite que cela ne fut le cas au cours de la précédente décennie. La normalisation en cours dans le domaine de la sécurité, le développement de contrats d’assurance spécifique ou encore l’évolution du métier de directeur de la sécurité font partie de ces paramètres qui devraient influer sur la demande de sécurité. La consommation de sécurité devrait aussi progresser en raison du développement de nouveaux besoins en la matière.

III. Une nouvelle demande de sécurité émerge au sein des entreprises

La demande de sécurité de la part des entreprises est directement liée à leur développement. Plus elle recherche à se développer à l’international, plus a priori, elles ont besoin de protéger leurs actifs, à savoir leurs collaborateurs, leurs biens et leurs actifs immatériels (marques, informations stratégiques, etc.). Or de nombreuses entreprises françaises sont en quête de nouveaux marchés afin de pallier le manque de dynamisme du marché européen. Cette recherche de nouveaux marchés nécessite aussi bien de protéger les ressortissants à l’étranger, les flux de marchandises et enfin leurs informations.

1. La sécurité de leurs ressortissants à l’étranger dans un contexte international troublé

Les entreprises qui ont des activités à l’international font face à la question croissante de la sécurité des expatriés et des salariés en mobilité, des risques liés à la corruption et du risque d’être déstabilisé par l’image. L’attentat contre des ingénieurs de DCN en mai 2002 et la condamnation judiciaire de cette dernière pour «faute inexcusable» en 2004 prescrit une obligation générale de sécurité pour les entreprises. Cette jurisprudence a été renforcée en 2006 par un jugement similaire concernant les organisateurs de voyages touristiques suite aux enlèvements de français à Jolo.
Une enquête recense les attaques commises contre 82 grandes entreprises internationales en 2008 et 2009: 34 % d’entre elles ont souffert d’attaques contre leurs sites; 6 % étaient confrontées au meurtre d’employés, 17 % à des enlèvements et 2 % à de la piraterie maritime. 31 % ont été visées par le terrorisme ou la guérilla (Monnet, Very et Hassid 2010). Ces données dessinent un environnement difficile où la protection des personnes est une nécessité et une obligation à laquelle aucune entreprise ne peut déroger. Or les entreprises françaises sont de plus en plus à la recherche de relais de croissance dans des zones considérées comme instable par le ministère des affaires étrangères français. Elles n’ont pas d’autres solutions que de protéger leurs salariés qui travaillent dans ces zones. Comme le souligne Zygmunt Bauman, «menace et sécurité sont à présent devenues, essentiellement des questions extraterritoriales (et diffuses) qui échappent aux solutions territoriales (et centrées)» (Bauman 2005, p.127). Dans ce contexte, les entreprises peuvent moins compter sur les Etats pour les protéger et doivent donc recourir à des moyens de sécurité privée.

2. La sécurisation de la chaîne de transport des marchandises

La «chaîne de transport» ou «chaîne d’approvisionnement», correspondant à l’ensemble de la logistique de transport de marchandises de leur point d’origine à leur destination finale, est plus ou moins complexe selon le nombre d’opérateurs et selon le nombre de maillons et de modes de transport utilisés. A côté des aéroports internationaux déjà mobilisés à travers le contrôle des flux, qui les intéressent, les ports sont un enjeu essentiel et croissant de sécurité: 90 % des biens de consommations et 67 % des biens énergétiques entrent sur le continent européen par ce biais (8).
Les biens stockés ou en transit sont devenus des cibles potentielles pour le terrorisme et la criminalité organisée. L’internationalisation de ce type de commerce induit que toute perturbation liée à un attentat ou à une catastrophe dans un port aurait un impact immédiat sur l’économie du pays et celle des pays riverains (9). Les pertes liées au vol de conteneurs ou de biens à l’intérieur des conteneurs s’élèveraient à 20 milliards de dollars par an au niveau mondial (Sitt, Hautecouverture 2007). Le développement de la criminalité environnementale, notamment le trafic de déchets toxiques, peut y trouver refuge.
Or si la France ne dispose pas à ce jour des plus grands ports européens, Haropa, le premier port français (10), disposant de 6,41 % des parts du marché européen, il n’en demeure pas moins vrai que l’espace à sécuriser, déjà important, va s’étendre dans les années à venir. Haropa estime, en effet, à
500.000 mètres carrés les surfaces aménagées pour la logistique qui pourraient voir le jour dans les trois à quatre prochaines années (11). Par ailleurs, La France est la 5ème puissance portuaire européenne, avec plus de 360 millions de tonnes de fret et 30 millions de passagers par an (12). Cela nécessite par conséquent à la fois d’assurer la surveillance et le contrôle des biens et des personnes et d’éviter tous les trafics illicites. A cet égard, les installations portuaires soumises au code ISPS (13) doivent obligatoirement être pourvues d’équipements spéciaux à l’instar de la vidéo surveillance, des détecteurs de mouvements et des Réseaux Radio Maillé (réseau sans fil basé sur la technologie Wi-Fi utile à la transmission numérique de données, de voies ou de vidéos). Sans toutefois oublier les mesures classiques telles que la construction de barrières de protection.

3. Le renseignement en entreprise

A la recherche de nouveaux marchés et de nouveaux projets pour investir des capitaux accumulés, les entreprises ont des demandes croissantes en matière de renseignement qu’il s’agisse de réaliser une joint venture avec une entreprise étrangère, de racheter une autre entreprise ou encore de s’implanter dans une zone a priori instable. Franck Bournois et Pierre-Jacquelin Romani (2000) décrivent le renseignement en entreprise comme la collecte, le traitement et la diffusion de connaissances utiles à la maîtrise de son envi-ronnement, qui peut apporter des menaces et des opportunités. Il paraît donc naturel que les segments qui s’y rapportent, comme les entreprises de conseil, d’audit, d’intelligence économique, d’ingénierie de sécurité, connaissent une forte croissance. Le segment spécifique des enquêtes privées qui réalise de la veille opérationnelle, des investigations financières, des enquêtes commerciales, des analyses de gestion des risques, des investi-gations relatives à la contrefaçon et des analyses sur le risque pays connaît un essor important. On dénombre ainsi pas moins de 53 entreprises en 2012 qui obtiennent un chiffre d’affaires total de 80.3 millions d’euros (contre 40.4 en 2003) (En toute Sécurité 2013).
Plus particulièrement, les entreprises sont très consommatrices de «due diligence». Il s’agit de réaliser une investigation ou un audit dans le cadre d’un éventuel investissement. Une «due diligence» sert à confirmer ou infirmer la pertinence d’un investissement au regard non seulement des éléments financiers des actifs achetés, mais également de la moralité du vendeur. Elle correspond donc à un moyen de prévenir les mauvaises surprises qui peuvent survenir lors d’une transaction entre l’acheteur et le vendeur.
Dans cette perspective, lorsqu’une entreprise est susceptible de devenir partenaire, la première démarche consiste à rassembler les éléments d’identification de l’entreprise: date de création, historique de la société, raison sociale, forme juridique, adresse du siège et des établissements, comptes et bilans, principaux actionnaires et filiales, capital, dirigeants, partenaires bancaires, effectifs, notoriété de l’entreprise dont les affaires judiciaires en cours.
Dans un deuxième temps, il convient de vérifier le niveau de confiance que l’on peut avoir vis-à-vis du partenaire par l’intermédiaire de sources ouvertes: compétences techniques, réactions syndicales au mode de gestion des ressources humaines, santé financière, présence de concurrents dans l’actionnariat, référence client, notoriété des dirigeants, affaires judiciaires en cours, etc. Si certains éléments recueillis font apparaître des incohérences ou des flous (par exemple schéma difficile à établir de l’actionnariat, ou un bilan comptable douteux), l’entreprise, par l’intermédiaire de sa direction sûreté, pourra s’aider des services de renseignement ou se tourner vers des cabinets de conseil chargés de pousser l’investigation.

Conclusion

La consommation de sécurité privée en France par les donneurs d’ordre est finalement assez limitée même si la demande est croissante au cours des années récentes. Comparés aux donneurs d’ordre internationaux, notam¬ment américains, les prestations externalisées au secteur de la sécurité sont peu utilisées par les grands donneurs d’ordre français.
Néanmoins, cette situation est certainement amenée à évoluer dans les années à venir. En dehors d’aspects conjoncturels, les budgets de sécurité internes dans les entreprises et externes à ces dernières devraient augmen¬ter rapidement. Les grands donneurs d’ordre en tout cas vont certainement faire preuve, pour reprendre un concept développé par Di Maggio et Powell (1983), d’un isomorphisme institutionnel. Ils vont être de plus en plus conduits, dans un contexte d’incertitude, à imiter leurs concurrents interna¬tionaux. Par ailleurs, l’Etat français incite de plus en plus les entreprises à se protéger elles-mêmes face aux menaces externes. La pression exercée par l’Etat peut inciter nombre d’entre elles à prendre des mesures de protection, notamment lorsqu’elles interviennent à l’international. Enfin, la communauté des directeurs de sécurité favorise la prise de conscience de cette problématique au plus haut niveau de l’entreprise.
Or si Di Maggio et Powell distinguent trois formes d’isomorphisme (isomorphisme coercitif, isomorphisme normatif, isomorphisme mimétique (14)), on peut se demander pour conclure s’il est nécessaire de mettre en œuvre un isomorphisme coercitif.
Un isomorphisme imitatif ou normatif, a priori moins coûteux à mettre en œuvre, ne peut-il pas suffire à développer la consommation de sécurité? Débat qui devra faire certainement l’objet de discussions intenses à la fois au niveau gouvernemental et de la part des industriels de la sécurité privée…

Bibliographie

Bauman, Z. (2005), La société assiégée, Le Rouergue. Berlière, J-M. et Lévy, R. (2013), Histoire des polices en France, De l’ancien régime à nos jours,, Nouveau monde éditions. Bournois, F. Romani, P.-J. (2000), L’intelligence économique et stratégique dans les entreprises françaises, IHEDN/Economica. De Maillard, J. (2013), «Les dynamiques récentes de la police et de la sécurité privée en Grande-Bretagne», Sécurité&Stratégie, n°13, pp. 19-26. DiMaggio, Paul J. Powell, W. W. (1983). The Iron Cage Revisited: Institutional Isomorphism and Collective Rationality in Organizational Fields. American Sociological Review, 48(2), pp. 147–160. En toute sécurité (2013), Atlas 2013, Panorama économique de la sécurité en France, 23e édition, Technopresse, En toute sécurité, 2013. Gill, M. (2014), The Handbook of security, 2e edition, Palgrave Macmillan, edited by Martin Gill. Griot, L. (2015), «Second portrait des directions de sécurité et de sûreté», Sécurité&Stratégie,
n°19, à paraître. Kalifa, D. (2000), Naissance de la police privée, détectives et agences de recherches en France 1832-1942, Plon.
Hassid, O., Juillet, A. et Pellerin, M. (2012), Gérer les risques criminels en entreprises, De Boeck.
Lesaux N. (2014), La privatisation des activités de sécurité et de défense: la fin des Etats?, Thèse de doctorat de droit, Université de Nice.
Lippert, R.K, Walby, K. et Steckle, R. (2013), Multiplicities of corporate security: identifying emerging types, trends and issues”, Security Journal, 26, pp. 206-221.
Malthus, T. R. (1836), Principles of Political Economy, deuxième édition, A. M. Kelley, 1951.
Mattelart, A. (2007), La globalisation de la surveillance, aux origines de l’ordre sécuritaire, La découverte, p.153.
Monnet, B., Very, O. et Hassid, O. (2010), «Panorama 2008-2009 des crimes commis contre les entreprises», Sécurité & Stratégie, n°3, mars 2010, pp. 9-15.
Mulone M. (2013), «Directeurs de sécurité en entreprise et consommation de la sécurité. Etude exploratoire canadienne», Criminologie, Vol. 46, n°2, pp. 149-170.
Nalla, M. et Morash, M. (2002), «Assessing the scope of corporate security: common practices and relationships with other business functions», Security Journal, 15, pp. 7-19.
Ocqueteau, F. (2011), «Chefs d’orchestre de la sûreté des entreprises à l’ère de la sécurité globale», Champ pénal, Vol. VIII, mis en ligne le 09 septembre 2011, http://champpenal.revues.org/8142; DOI:10.4000/champpenal.8142.
Robin M., Mordier, B. (2013), «La sécurité, un secteur en pleine expansion», Insee première, n°1432, janvier.
Sitt, B. et Hautecouverture B. (2007), «Sécurité des conteneurs. Pour un Code de conduite mul¬tilatéral», AFRI, Vol. VIII.
Spich, R. et Grosse R. (2005), «How does homeland security affect U.S. firms’international competitiveness», Journal of international management, Vol. 11, Issue 4, Dec. 2005, pp. 457-478.
Vuillerme, J-P. (2013), «Enquête au cœur des directions de sécurité et sûreté», Sécurité & Stratégie, pp. 5-20, Octobre 2013/décembre2013, n°14.

Notes

1 Malthus, T. R. (1836), Principles of Political Economy, deuxième édition, A. M. Kelley, New York, 1951.
2 Les cyber attaques représenteraient un coût annuel de 400 milliards d’euros selon le rap¬port 2015 du Forum économique de Davos. Source: http://www3.weforum.org/docs/WEF_Global_Risks_2015_Report.pdf.
3 Les services en charge de la malveillance en France s’appellent dans certains cas: direction de la sécurité, direction de la sûreté, direction de la sécurité et de la sûreté, etc. 4 ISMA Benchmarking Survey, Security department organization, juillet 2009: https://isma.com (consulté le 1er février 2015). 5 Cette croissance est grandement due aux mesures prises par le gouvernement américain (Spich et Grosse 2005). 6 D’après les syndicats de la sécurité privée (USP, SNES) en France, le coût horaire moyen d’un agent de sécurité est de 17€.
7 Source: http://www.securitas.com/fr/fr/Media/Notre-actualite/Innovation-Securitas—la-securitepar-drone (consulté le 1er février 2015).
8 MINISTERE DE L’INTERIEUR, DELEGATION A LA PROSPECTIVE ET A LA STRATEGIE – Dépense de sécurité des entreprises: charges ou investissements?, Décembre 2009.
9 Lorsque le MSC Napoli a fait naufrage au large du Royaume-Uni, une usine automobile en Afrique du Sud a connu plusieurs jours de chômage technique car un des conteneurs conte¬nait un stock de boites de vitesse.
10 Alliance des ports du Havre, de Rouen et de Paris.
11 Source: http://www.lesechos.fr/journal20150129/lec2_industrie_et_services/0204115545312-bilanen-demi-teinte-pour-le-premier-port-francais-1088088.php (consulté le 5 février 2015).
12 Source: http://www.developpement-durable.gouv.fr/Une-nouvelle-strategie-pour-les.html (consulté le 5 février 2015).
13 L’ISPS, International Ship and Port Security, qui en français signifie Code international pour la sûreté des navires et des installations portuaires est entré en vigueur depuis juillet 2004.
14 L’isomorphisme coercitif est le résultat de pressions tout autant formelles qu’informelles exercées par les organisations appartenant à un champ. Dans cette perspective, de nouvelles règles politiques et législatives sont susceptibles d’encourager le changement orga¬nisationnel. L’isomorphisme normatif se distingue du précédent, par l’importance accordée au phénomène de professionnalisation. La professionnalisation est ici appréhendée comme l’ensemble des efforts collectifs des membres d’une profession pour définir leurs conditions et méthodes de travail et établir une base légitime à leurs activités, leur garantissant un degré d’autonomie suffisant.

Publié dans Revue Internationale de CRIMINOLOGIE et de POLICE Technique et Scientifique 03/2015

27 septembre 2016, RV à l’Intercontinental Paris Avenue Marceau

Software as a Service, Software Defined Security, Big Data, Machine Learning, Deep Learning … :

Indispensables pour rester infaillible aujourd’hui ? Complément obligatoire des méthodes traditionnelles ? Comment les intégrer ? Quelle économie ? 

Risques & Menaces, Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Numérisation de l’entreprise, évolution du Système d’Information, rôle des Dirigeants, DSI, RSSI, départements métier, DRH … c’est toute l’entreprise qui est en pleine mutation. Un SI en perpétuelle évolution et sans frontière physique, qui avec le Cloud voit apparaître de nouveaux services internes et externes, à un rythme soutenu. De nouvelles manières de travailler, l’apparition d’Objets Connectés dans le quotidien professionnel … autant de raisons de faire régulièrement le point sur les vulnérabilités et menaces qui pèsent sur l’entreprise car il est difficile d’imaginer et mettre sur pied une stratégie de protection et de défense sans connaître les risques encourus. Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ? Notamment en intégrant rapidement les dernières technologies conçues pour se protéger au mieux des menaces en perpétuelle évolution.

Autant de questions et sujets auxquels répondront le 27 septembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Panorama des Menaces & Risques relatifs au thème, par Helmi Rais, Directeur AlliaCERT chez Alliacom
• 9H20 – Conseils et guides pratiques, sujet : « Hadoop : peut-on lui confier la sécurité ? Retour terrain de tests d’intrusion » par Thomas DEBIZE, consultant et auditeur sécurité chez Wavestone
• 9H40 – Retour d’expérience & Solution, point de vue de Darktrace avec Jérôme Chapolard
• 10H00 – Conseils et guides pratiques, par Thomas Tranier, Directeur Cert-Lexsi
• 10H20 – PAUSE Networking
• 10H40 – Panel sur «SaaS, SDS, Big Data, ML ou DL … : comment rester protégé avec les dernières technologies Sécurité sans dépasser son budget ? » avec Maître François Coupez, avocat qui abordera la partie juridique, Expérience en entreprise et conseils avec Martine Guignard, RSSI Imprimerie Nationale et 
membre du Clusif, réalité au sein des entreprises avec un DSI, également retour terrain et conseils avec Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité et participation d’un consultant en sécurité, Cabinet HSC, associé Deloitte, Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag 
• 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 11H45 – PAUSE Networking avec Tirage au sort de Tablettes et Casques universels de Réalité Virtuelle autour d’une coupe de champagne
• 12H15 – Clôture de la conférence

Blackhat 2016, Las Vegas. Ils avaient défrayé la chronique l’an passé en piratant à distance une Jeep Cherokee, allant même jusqu’à couper le moteur de l’automobile sans que le conducteur ne puisse faire quoi que ce soit. Ils rééditent leurs exploits en plus grand, plus fort, plus impressionnant. Ils, ce sont les deux enfants terribles du hack automobile, Charles Miller et Chris Valasek.

Pourtant, après le rappel de près d’un million et demi de véhicules par le constructeur, l’on aurait pu croire le firmware de l’ordinateur de bord relativement sécurisé. Cela n’a pas le moins du monde empêché Miller d’accéder au bus de la voiture, de prendre le contrôle de la direction assistée, d’accélérer, de freiner brusquement… voir de combiner ces trois actions simultanément. Négligence du constructeur ? Pas exactement. Cette fois, les deux chercheurs n’ont pas concentré leurs efforts sur la découverte de nouvelles failles, mais ont préféré travailler sur l’analyse des correctifs ajoutés par Chrysler, et sur les moyens de contourner lesdits patchs de sécurité. Un travail plus délicat, un scénario d’attaque moins « probable », mais qui prouve que les deux chercheurs sont capables de venir à bout d’un noyau « consolidé » sur des points très précis.

Blackhat 2016, Las Vegas. Qui donc mieux qu’un réseau social possède le plus d’informations possible sur une personne ? Si l’on élimine les fiches des barbouzes sur quelques personnages publics, il ne reste que les réseaux sociaux. Et c’est précisément ce que démontre John Seymour, alias Delta Zero, chercheur au sein de ZeroFox. Un visage poupin d’étudiant de premier cycle, mais un esprit d’un vieux renard de la sécurité, Seymour explique : Statistiquement, le « rendement au clic » d’un courriel d’hameçonnage frise les 40 %. Encore faut-il que l’email en question soit lu, que le fichier d’adresse soit conséquent pour espérer un bon ROI… en s’appuyant sur un réseau social, cette limite imposée du nombre de contacts potentiels disparaît. Plus de barrière antispam, un fichier qui s’accroît de manière exponentielle au rythme des contacts de chaque victime, et un contexte parfois assez limité pour que des maladresses de formulation puissent passer pour des contraintes d’écriture. C’est le cas notamment avec Twitter et ses 140 caractères très réducteurs. Voilà pour l’image générale. En adressant plusieurs milliers de personnes d’un coup et surtout quasi instantanément, la rentabilité explose, quand bien même le taux de clics tombe parfois en deçà des 30 %.

Mais n’importe quel utilisateur de Tweeter parvient aisément à détecter un bot… il suffit généralement de jeter un coup d’œil aux messages qu’il a l’habitude d’émettre. « Pas si le robot parvient à établir un dialogue sensé » rétorque Seymour. C’est là qu’intervient Snap_R (pour Social Network Automated Phishing with Reconnaissance), un outil inspiré de Tay, le compte Twitter de l’I.A. de Microsoft qui compte près de 156 000 followers. En combinant un peu d’analyse linguistique et textuelle avec un moteur d’I.A., Snap_R parvient à rendre le dialogue homme-machine relativement plausible. C’est là le premier pas d’un Black Hat virtuel capable de franchir les premières épreuves du test de Turing. Snap_R peut être téléchargé sur Github, à des fins purement technique et scientifique cela va sans dire. Ce code risque d’inspirer toute une génération de professionnels de la vente et de la promotion.