Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 387

d'un ordinateur ou d'un dispositif
en réseau. Enfin, les quelques
définitions
officielles
pourtant
récentes sont trop orientées ou
restreintes à l'informatique.
La définition de 2011 du CSSG7
(Allemagne) la présente de façon
restreinte comme une compromission des propriétés de la sécurité
informatique et en reprenant le
mot « attaque » : « Attaque informatique dans le cyberespace dirigée
contre un ou plusieurs systèmes
informatiques et préjudiciable à la
sécurité informatique, en compromettant la confidentialité, l'intégrité et la disponibilité ».
La définition de 2013 du NIST 8
(Etats-Unis) est orientée vers
les menaces à l'encontre de
l'entreprise en reprenant aussi le
mot « attaque » : « Attaque, par
l'intermédiaire du cyberespace,
visant l'utilisation de ce dernier par
une entreprise, afin de perturber,
désactiver, détruire, ou prendre
le contrôle de l'environnement/
infrastructure, ou de modifier
l'intégrité ou de voler des données
ou de l'information de contrôle ».
La définition de 2014 de l'Otan9
est encore plus restreinte en se
résumant ainsi à l'informatique en
réseaux : « Action pour perturber,
gêner, dégrader ou détruire
l'information
présente
dans
un ordinateur et/ou un réseau
informatique, ou l'ordinateur et/ou
le réseau lui-même ».
En se référant à la caractérisation
du risque, - définie comme la
conjonction d'une cybermenace10
et d'une vulnérabilité11 liées à
une cible -, et à son exposition,
- vue comme la possibilité de
réalisation et l'impact de ce
risque -, il s'agirait en fait de la
réalisation de cybermenaces, par
l'exploitation de vulnérabilités
de cibles constituées d'éléments
variés du cyberespace : objets
connectés ou non, données, etc.,
avec des intentions malveillantes,
entraînant un préjudice pour les
victimes et un avantage pour les
auteurs12 .

CLASSIFICATION
DES CYBERATTAQUES
Faute de définition universelle et du
fait de tentatives insatisfaisantes,
la première étape pour la compréhension est de disposer d'une
classification des cyberattaques.
Pour cela, il a été utile d'examiner
l'ensemble de classifications existantes en 2015. Il a été dénombré
pas moins de 25 classifications
différentes13, la plupart dans une
approche conceptuelle par taxonomies14 . Alors que plusieurs caractéristiques importantes ont déjà été
identifiées suite à ces travaux15,
l'aspect multidimensionnel sera
privilégié.
Pour être acceptée, la classification doit être utile à la compréhension et à l'analyse, - ici pour
les organismes, les spécialistes
en sécurité et les forces de l'ordre.
Elle doit également posséder les
propriétés suivantes : être structurée par catégories intuitives, en
se fondant sur des travaux existants approuvés ; être compréhensible, autant par les spécialistes
du domaine que ceux qui ont un
intérêt occasionnel ; être exhaustive pour inclure toutes les possibilités ; mutuellement exclusive, pour
éviter le recouvrement d'éléments
de la classification ; répétable,
pour assurer que la classification
d'un élément soit identique indépendamment de la personne qui
le classifie ; bien définie, selon une
terminologie conforme à ce qui est
généralement admis ; et enfin, non
ambigüe.
Une taxonomie récente16 considère
la motivation, la méthodologie,
et les effets des événements
lors d'une cyberattaque. Elle
distingue les événements, énoncés
par : communautés menacées,
agents menaçants, motivations,
objectifs, méthodes et techniques,
de leurs causes et effets : causes,
éléments affectés, impacts, et
métriques
d'évaluation,
pour
expliquer, d'une part, ce qui
caractérise l'attaquant et, d'autre
part, les raisons de l'attaque.
Cette idée sera revue et complétée

EXPERTISES NOVEMBRE 2015

de façon appropriée, en veillant à
satisfaire les propriétés énoncées
précédemment.

CARACTÉRISATION
D'UNE CYBERATTAQUE
Alors que les tentatives de définition
sont insatisfaisantes à l'instar des
classifications, nous proposons
un modèle de représentation des
caractéristiques statiques et de
la dynamique17, favorable à la
compréhension des cyberattaques
dans leur ensemble.

Représentation des caractéristiques statiques
Dans le modèle proposé, les entités
sont constituées par un ensemble
structuré
de
représentation
abstraite, du fait d'une existence
réelle ou virtuelle. Les attributs
sont rattachés à l'entité qu'ils
caractérisent.
Eux-mêmes
disposent de composants pouvant
comporter plusieurs éléments18.
Les
caractéristiques
statiques
sont ainsi représentables sous
forme d'un catalogue structuré
par
entités-attributs
et
leurs
composants, avec la possibilité
de plusieurs niveaux hiérarchisés
d'abstraction selon quatre entités :
« Origine19 », « Destination 20 »,
« Opération » et « Poursuites 21 ».
Ainsi, une entité (ex. Origine) fait
référence à un groupe d'attributs
qui partagent son thème, un attribut
(ex. Compétences) représente un
groupe de composants qui ont des
points en commun, et un composant
(ex. Académiques) matérialise un
ensemble spécifique du même
attribut ; ce dernier pouvant être
constitué d'éléments élémentaires
indivisibles (ex. Doctorat).
Cf. Figure 1 (page suivante).
De plus, l'entité « Opération 22 » est
composée de six attributs hiérarchisés par niveau d'abstraction,
chacun servant la dynamique,
dans les phases de préparation
et d'exécution, jusqu'à la crise qui
débute à la phase de découverte.

387

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407