Pourquoi et de quoi mon site doit être protégé ?

Iremos

16 déc. 2019

Afin de garantir la pérennité de ses activités, il est nécessaire pour une entreprise de se prémunir des risques de malveillance qui pourraient la toucher ainsi que leurs impacts et conséquences éventuelles.

 

Le caractère sensible d'une entreprise s'évalue au cas par cas. De la même manière, la protection d'un site (et par extension, des usagers, des biens et des informations qu'il abrite) doit être pensée en fonction du degré d’exposition aux risques de malveillance propres à ce site. Ainsi, la prise en compte des enjeux de sûreté doit être initiée par une analyse des risques, permettant ensuite de définir le niveau de protection adéquat à mettre en place.

Environnement et abords du site

 

En fonction de sa localisation, un site peut devenir potentiellement une cible d’actes de malveillance. Ainsi, les standards de sûreté d’un site ne seront pas les mêmes si celui-ci est situé dans une zone industrielle, une zone résidentielle, en pleine campagne, etc.

Le mouvement des Gilets jaunes

L’image et la popularité des Champs Elysées ont été prises pour cible par le mouvement des gilets jaunes. Les hôtels et commerces des alentours ont donc subi des dégradations matérielles (vitrines cassées, magasins saccagés, voitures incendiées, feux tricolores arrachés, ...)

 

De plus, l’environnement et le voisinage du site peuvent aussi augmenter le risque de malveillance avec par exemple la présence d’un site sensible à proximité.  

 

Les bureaux d’un Client d’Iremos jouxtaient un garage automobile aux activités plus que douteuses. Un soir, une fusillade aux allures de règlement de compte se déclencha chez ce voisin avec comme répercussion des impacts de balles sur la devanture du bâtiment de ce Client.

Nouveau call-to-action

Notion d’attractivité

 

Le degré d’exposition aux risques de malveillance d’un site doit également être évalué selon le niveau d’attractivité de celui-ci. En effet, la nature et les caractéristiques spécifiques d’un site le rendent à priori plus ou moins « attrayant » aux yeux d’auteurs d’actes de malveillance. L’attractivité peut être déterminée grâce à plusieurs types de leviers souvent difficiles à nuancer, dont voici quelques exemples :

  • Le pays que l’entreprise représente (ex. pays géopolitiquement instable) ;
  • L’emploi qu’elle génère ou qu’elle affecte ;
  • L’image qu’elle représente (cf. activisme) ;
  • Le savoir qu’elle détient (ex. secret industriel, technologie, etc.) ;
  • Les valeurs présentes (numéraires, matières premières, matériels, produits, etc.) ;
  • Les usagers présents plus ou moins attractifs (ex. VIP, membres du COMEX, etc.) ;
  • Etc.

 

Au-delà des exemples cités ci-dessus, le fait d’être le sous-traitant d’une entreprise aux activités sensibles peut rendre un de ses sites particulièrement attractif. Certaines affaires peu relayées dans la presse relatent à titre d'exemple, le vol d’un composant essentiel, voire parfois le sabotage d’une ligne de production sur le site d’un sous-traitant d’importants groupes industriels et technologiques. Dans un contexte concurrentiel où l’intelligence économique devient un enjeu stratégique, le fait de s'en prendre à un sous-traitant (par nature plus vulnérable qu'un grand groupe) devient monnaie courante.

Catégories d’auteurs d’actes de malveillance

 

La notion d’attractivité abordée ci-dessus fait directement échos à une pluralité de profils malveillants ; afin d’être évaluée puis maîtrisée, la menace doit être identifiée. Il est alors essentiel d'identifier les éventuels acteurs de malveillance et pour chacun, d'estimer la probabilité d'occurrence d’une action hostile envers l’un des sites.

Les principaux auteurs possibles d’actes de malveillance sont :

  • Un riverain ;
  • Un employé mécontent ;
  • Un concurrent ;
  • Un délinquant ;
  • Un criminel ;
  • Un Cyber criminel ;
  • Un membre du grand banditisme ;
  • Un activiste (ex. association, ONG, etc.) ;
  • Un terroriste ;
  • Un mouvement de protestation (syndicat, association ou ONG) ;
  • Un fraudeur : arnaque au président ;
  • Etc.

A noter que la menace peut très souvent avoir pour provenance une source interne (collaborateurs, prestataires, sous-traitants, etc.). En effet, plus de la moitié des actes de malveillance présente une complicité interne volontaire ou involontaire : par exemple,  il arrive souvent que par manque de vigilance, un employé se rende lui-même complice en diffusant à tort des informations sensibles.

auteurs-actes-malveillance-surete-iremos

Typologies d’actes de malveillance, scénarios et modes opératoires

 

L’imagination humaine n’ayant pas de limite, les catégories d’actes de malveillance sont infinies. Cependant, nous pouvons identifier des tendances majeures à envisager de la part des individus cités ci-dessus :

  • L’intrusion ;
  • L’occupation des locaux ;
  • Le vol et la démarque inconnue ;
  • Le vandalisme, le sabotage voire la destruction ;
  • L’agression verbale et physique ;
  • Le kidnapping ;
  • L'espionnage industriel.

typologie-actes-malveillance-surete-iremos

L’analyse des risques, et puis ?

 

La cartographie des risques de malveillance permet de définir un prisme spécifique à l’entreprise par le biais duquel sera étudiée la vulnérabilité de son site mettant en exergue ses éventuels points faibles qui facilitent la réalisation d’actes de malveillance.

A la lumière de ces vulnérabilités, pourra ensuite être élaboré un schéma de sûreté répondant aux enjeux propres du site pour qu’il soit protégé de manière juste et efficace.

Bien comprendre son site pour en analyser les risques

 

En fonction de votre site, quels sont les scénarios les plus probables à envisager ?

Afin de protéger au mieux son site, il faut en comprendre ses enjeux pour en analyser les risques qui en découlent.

D’un point de vue macro, il faut d'abord déterminer l’attractivité à la malveillance du site. D’un point de vue micro, il faut ensuite déterminer les points de vulnérabilité du site, afin d’établir des mesures de protection pour s’en prémunir.

schema-audit-organisation-surete-iremos-1

Diagnostiquez le niveau de protection de votre site. Evaluez-vous gratuitement en ligne en cliquant sur ce lien.

Vous aimez cet article ? Recevez les notifications du blog directement dans votre boîte mail.