Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 387

d'un ordinateur ou d'un dispositif
en réseau. Enfin, les quelques
définitions
officielles
pourtant
récentes sont trop orientées ou
restreintes à l'informatique.
La définition de 2011 du CSSG7
(Allemagne) la présente de façon
restreinte comme une compromission des propriétés de la sécurité
informatique et en reprenant le
mot « attaque » : « Attaque informatique dans le cyberespace dirigée
contre un ou plusieurs systèmes
informatiques et préjudiciable à la
sécurité informatique, en compromettant la confidentialité, l'intégrité et la disponibilité ».
La définition de 2013 du NIST 8
(Etats-Unis) est orientée vers
les menaces à l'encontre de
l'entreprise en reprenant aussi le
mot « attaque » : « Attaque, par
l'intermédiaire du cyberespace,
visant l'utilisation de ce dernier par
une entreprise, afin de perturber,
désactiver, détruire, ou prendre
le contrôle de l'environnement/
infrastructure, ou de modifier
l'intégrité ou de voler des données
ou de l'information de contrôle ».
La définition de 2014 de l'Otan9
est encore plus restreinte en se
résumant ainsi à l'informatique en
réseaux : « Action pour perturber,
gêner, dégrader ou détruire
l'information
présente
dans
un ordinateur et/ou un réseau
informatique, ou l'ordinateur et/ou
le réseau lui-même ».
En se référant à la caractérisation
du risque, - définie comme la
conjonction d'une cybermenace10
et d'une vulnérabilité11 liées à
une cible -, et à son exposition,
- vue comme la possibilité de
réalisation et l'impact de ce
risque -, il s'agirait en fait de la
réalisation de cybermenaces, par
l'exploitation de vulnérabilités
de cibles constituées d'éléments
variés du cyberespace : objets
connectés ou non, données, etc.,
avec des intentions malveillantes,
entraînant un préjudice pour les
victimes et un avantage pour les
auteurs12 .

CLASSIFICATION
DES CYBERATTAQUES
Faute de définition universelle et du
fait de tentatives insatisfaisantes,
la première étape pour la compréhension est de disposer d'une
classification des cyberattaques.
Pour cela, il a été utile d'examiner
l'ensemble de classifications existantes en 2015. Il a été dénombré
pas moins de 25 classifications
différentes13, la plupart dans une
approche conceptuelle par taxonomies14 . Alors que plusieurs caractéristiques importantes ont déjà été
identifiées suite à ces travaux15,
l'aspect multidimensionnel sera
privilégié.
Pour être acceptée, la classification doit être utile à la compréhension et à l'analyse, - ici pour
les organismes, les spécialistes
en sécurité et les forces de l'ordre.
Elle doit également posséder les
propriétés suivantes : être structurée par catégories intuitives, en
se fondant sur des travaux existants approuvés ; être compréhensible, autant par les spécialistes
du domaine que ceux qui ont un
intérêt occasionnel ; être exhaustive pour inclure toutes les possibilités ; mutuellement exclusive, pour
éviter le recouvrement d'éléments
de la classification ; répétable,
pour assurer que la classification
d'un élément soit identique indépendamment de la personne qui
le classifie ; bien définie, selon une
terminologie conforme à ce qui est
généralement admis ; et enfin, non
ambigüe.
Une taxonomie récente16 considère
la motivation, la méthodologie,
et les effets des événements
lors d'une cyberattaque. Elle
distingue les événements, énoncés
par : communautés menacées,
agents menaçants, motivations,
objectifs, méthodes et techniques,
de leurs causes et effets : causes,
éléments affectés, impacts, et
métriques
d'évaluation,
pour
expliquer, d'une part, ce qui
caractérise l'attaquant et, d'autre
part, les raisons de l'attaque.
Cette idée sera revue et complétée

EXPERTISES NOVEMBRE 2015

de façon appropriée, en veillant à
satisfaire les propriétés énoncées
précédemment.

CARACTÉRISATION
D'UNE CYBERATTAQUE
Alors que les tentatives de définition
sont insatisfaisantes à l'instar des
classifications, nous proposons
un modèle de représentation des
caractéristiques statiques et de
la dynamique17, favorable à la
compréhension des cyberattaques
dans leur ensemble.

Représentation des caractéristiques statiques
Dans le modèle proposé, les entités
sont constituées par un ensemble
structuré
de
représentation
abstraite, du fait d'une existence
réelle ou virtuelle. Les attributs
sont rattachés à l'entité qu'ils
caractérisent.
Eux-mêmes
disposent de composants pouvant
comporter plusieurs éléments18.
Les
caractéristiques
statiques
sont ainsi représentables sous
forme d'un catalogue structuré
par
entités-attributs
et
leurs
composants, avec la possibilité
de plusieurs niveaux hiérarchisés
d'abstraction selon quatre entités :
« Origine19 », « Destination 20 »,
« Opération » et « Poursuites 21 ».
Ainsi, une entité (ex. Origine) fait
référence à un groupe d'attributs
qui partagent son thème, un attribut
(ex. Compétences) représente un
groupe de composants qui ont des
points en commun, et un composant
(ex. Académiques) matérialise un
ensemble spécifique du même
attribut ; ce dernier pouvant être
constitué d'éléments élémentaires
indivisibles (ex. Doctorat).
Cf. Figure 1 (page suivante).
De plus, l'entité « Opération 22 » est
composée de six attributs hiérarchisés par niveau d'abstraction,
chacun servant la dynamique,
dans les phases de préparation
et d'exécution, jusqu'à la crise qui
débute à la phase de découverte.

387



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407

Couverture
Sommaire
MAGAZINE - TISA TAFTA TPP MENACES SUR LES DONNÉES PERSONNELLES ?
INTERVIEW - NICOLAS HÉLÈNON ASSUREUR CYBERISQUE
DOCTRINE
JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - MAGAZINE - TISA TAFTA TPP MENACES SUR LES DONNÉES PERSONNELLES ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 370
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 371
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 372
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 373
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 374
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 375
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 376
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - INTERVIEW - NICOLAS HÉLÈNON ASSUREUR CYBERISQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 378
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 379
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 380
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 381
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - DOCTRINE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 383
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 384
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 385
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 386
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 387
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 388
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 389
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 390
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 391
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 392
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 393
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 394
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 395
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 396
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 397
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 398
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 399
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 401
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 402
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 403
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 404
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 405
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 406
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com