[AUDIO_VIDE] Bonjour à tous et bienvenue dans cette première semaine du MOOC sur la sécurité des sites Internet. De plus en plus de services sont disponibles sur Internet et les sites web sont les points d'entrée de ces usages du numérique. C'est par ces portails que nous pouvons communiquer, acheter, gérer, nous informer, nous divertir. Leur sécurité est donc primordiale pour la viabilité des services offerts. Durant cette première semaine du MOOC, nous aborderons des généralités ; nous ferons un peu de sémantique en revenant rapidement sur les notions liées au cyberespace et à la cybersécurité, puis sur les enjeux et l'importance que tout cela revêt dorénavant. Nous étudierons les besoins de sécurité des systèmes d'information, l'appréciation des risques et les critères de sécurité. Nous analyserons la menace en invoquant certaines vulnérabilités et les différents types de scénarios d'attaque informatique. Dans le cadre de ce cours, nous avons choisi d'adopter une posture white hat, en opposition au black hat, autre manière de nommer les pirates informatiques. L'objectif est de centrer ce MOOC sur la démarche de la sécurité par conception, ou security by design, dans une posture d'expert en sécurité informatique dont l'objectif est de produire des systèmes sécurisés. Pour illustration, prenons un exemple. Le développement d'un Internet des objets, ou IoT pour faire bref, devrait être décuplé par l'arrivée de la 5G, avec des dizaines de milliards d'objets connectés dans quelques années. Les services de l'IoT sont basés sur la collecte de données issues de capteurs ; celles-ci sont transmises à des concentrateurs pour être envoyées à des plateformes pour traitement et stockage. L'information est ensuite exploitée pour des services mis à disposition via des sites web. La surface d'attaque de ce type de service est très grande et une attention particulière doit donc être portée à la sécurité informatique du site, point d'entrée privilégié des attaquants. Dans l'ensemble des projets liés au système d'information, la sécurité doit être prise en compte dès la conception. [AUDIO_VIDE] Après cet exemple introductif, essayons de préciser le vocabulaire. Dans l'actualité, nous entendons de plus en plus parler de cybersécurité, de la cyberdéfense, des cyberattaques et de la cybercriminalité ; mais savez-vous précisément de quoi il s'agit? Nous allons le définir ensemble. Tout d'abord, il faut définir ce qu'est le cyberespace. Le terme cyberespace définit l'ensemble des infrastructures informatiques de traitement, de transit et de stockage interconnectées en réseau en y associant les services numériques et les données. Il intègre les systèmes d'information qui regroupent les ressources destinées à collecter, classifier, stocker, gérer et diffuser les informations au sein d'une organisation. C'est un espace non physique mais réel qui peut être vu en trois couches ; la couche physique, qui correspond au matériel, la couche logique regroupant le logiciel et les protocoles et enfin la couche sémantique, ou informationnelle, représentant l'ensemble des données et des informations qui circulent dans le cyberespace. Comme nous le verrons durant ces prochaines semaines, notre problématique de sécurisation des sites web est principalement liée au logiciel ; cependant, la finalité des attaques sur les sites Internet cible très souvent la donnée. L'impact de ce type d'incidents est donc potentiellement informationnel. Définissons maintenant ce qu'est la cybersécurité. La cybersécurité est un état recherché pour un système d'information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d'information et s'appuie sur la législation, la réglementation, par exemple, avec le RGPD, la lutte contre la cybercriminalité et la cyberdéfense mis en place par les services [INAUDIBLE]. Mais qu'est-ce que la cyberdéfense et qu'appelle-t-on la cybercriminalité? La cyberdéfense est un ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d'information jugés essentiels. La cybercriminalité est l'ensemble des actes contrevenant aux traités internationaux ou aux lois nationales utilisant les réseaux ou les systèmes d'information comme moyens de réalisation d'un délit ou d'un crime. Depuis le début de ce chapitre, nous évoquons des attaques, mais il s'agit plus précisément de cyberattaques. Une cyberattaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle cible différents dispositifs informatiques, les ordinateurs et les serveurs, qu'ils soient isolés ou en réseau, qu'ils soient reliés ou non à Internet, mais aussi des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones, les tablettes, avec pour but de s'en prendre aux données et aux processus métier. [AUDIO_VIDE] Au cours des dernières années, les motivations des cybercriminels ont évolué. À l'apparition des systèmes d'information dans les années 1980-1990, les hackers voulaient savoir comment les systèmes fonctionnaient. Ils étaient curieux ; pour eux, casser un système était un défi. Depuis le début des années 2000, les cyberattaquants sont organisés, ils sont réfléchis. Ils mènent leurs actions dans des buts précis et peuvent agir par idéologie, qu'elle soit politique, religieuse ou activiste, notamment par vengeance. Ils peuvent rechercher le profit financier par appât du gain en utilisant le chantage. Dans le domaine de l'intelligence économique, des entreprises peuvent sortir de la légalité et voler les secrets de concurrents. Enfin, des États peuvent pratiquer l'espionnage ou manipuler l'information à des fins de déstabilisation d'États concurrents pour asseoir leur souveraineté. Ce ne sont bien sûr que des exemples. Les cybermalfaiteurs peuvent avoir d'autres motivations qui de plus évoluent en fonction des opportunités. Les enjeux de la cybersécurité sont donc variés, notamment les enjeux nationaux, internationaux, géopolitiques et économiques ; les enjeux de souveraineté nationale, avec notamment la protection des opérateurs d'importance vitale, des opérateurs de services essentiels, du patrimoine de données des entreprises ; les enjeux de coopération internationale entre États, car les actions des attaquants n'ont pas de frontières ; ils peuvent attaquer un système depuis l'étranger, attaquer des manifestations internationales ; les enjeux géopolitiques, avec, par exemple, des États essayant d'influencer des élections étrangères, espionnage du patrimoine, compromission d'informations ; les enjeux économiques, car chaque entreprise peut perdre de l'argent si elle est attaquée ; perte d'image, frais judiciaires, perte d'exploitation. Une cyberattaque peut entraîner différents impacts, lesquels peuvent être financiers, sur l'image de la réputation, judiciaires et réglementaires, ou encore organisationnels, et sont plus ou moins liés aux motivations des pirates informatiques. En résumé, retenons que la cybersécurité a pour objectif de réduire les risques que des sources de menace font peser sur les organisations. Il s'agit de limiter à un niveau acceptable les impacts potentiels sur leur fonctionnement et les activités métier. Si la sécurité au sein d'un système d'information peut contraindre les utilisateurs par des pr
