SlideShare une entreprise Scribd logo

EBIOS RM - Cryptovirus & COVID-19

Thierry Pertus
Thierry Pertus

Péril viral numérique vs biologique

Présentations et discours publics
1  sur  4
Télécharger pour lire hors ligne
Thierry PERTUS EBIOS RISK MANAGER Péril viral numérique vs biologique Etudes de cas par l’illustration
Ecosystème de la défense potentielle Cryptovirus / Ransomware : modélisation de scénarios de risque selon EBIOS RM Vision stratégique de la menace potentielle Ecosystème de la menace potentielle Vision opérationnelle de la menace et de la défense potentielles Tiers- contractant (PPC) Activités critiques (VM) Activité bureautique (VM) Gain financier (OV) Propagation virale via partage en réseau (faille Ethernal Blue, …) Etablissement d’un canal C&C par tunneling vers Internet Cyber-attaque indirecte Point de vue organisation impactée Posture offensive Système de messagerie Boîte aux lettres messagerie Poste de travail (BS) Organisation cybercriminelle (SR) Auteur : Thierry PERTUS EI AE Non-délivrance du service | Fuite de données clients Clients Usagers (PPC) ER Paiement de la rançon en bitcoin contre la clé de déchiffrement des données ER Entrave au fonctionnementPerte massive de données Légende Source de Risque (SR) | Objectif Visé (OV) | Partie Prenante Critique (PPC) | Valeur Métier (VM) | Bien Support (BS) préjudiciable | bénéfique Intrusion à distance de systèmes exposés avec dépôt de charge virale ¨Phishing ciblé ou non avec pièce jointe malveillante ou lien vers un site compromis (water hole) Compromission de poste par un cheval de Troie Notification de la demande de rançon avec instructions (pop-up, note, …) Média amovible infecté par une charge virale Compromission de système par un cheval de Troie Cyber-attaque directe AE Systèmes critiques en production (plateformes en ligne, applicatifs métier, produits, systèmes industriels, infrastructures, …) (BS) AE Prévention : PASSI / Pentest Détection : PDIS / SOC Mitigation : PRIS / CERT Remédiation : MSSP Indemnisation : Cyberassurance (PPC) Opération de maintenance Système de fichiers en réseau obsolètes | non durcis non patchés | non protégés (BS) AE Déplacement Latéral de l’attaquant Infection via canal tiers
Ecosystème de la défense potentielle Pandémie virale (type COVID-19) : modélisation de scénarios de risque en systèmes complexes selon EBIOS RM (approche générique) Vision stratégique de la menace potentielle Ecosystème de la menace potentielle Vision opérationnelle de la menace et de la défense potentielles Laboratoires pharmaceutiques Géants du numérique (PPC) Laboratoire d’infectiologie (PPC) Activités économiques et sociales (VM) Sécurité sanitaire (VM) Personnes âgées Personnes souffrant de maladies chroniques (comorbidités) (BS) Système de santé public-privé (BS) Entreprises Indépendants Institutions publiques Associations (BS) Influence (lobbying) Leadership idéologique (OV) Gain financier (OV) Posture opportuniste Vaccin antiviral, Traitements préventifs | palliatifs Discours infantilisant | contradictoire Manipulation biaisée des données Décisions technocratiques inappropriées | coercitives | incohérentes (confinement généralisé, restrictions sociales injustifiées, …) Contrôle aux frontières nationales Dispositifs de dépistage (antigéniques, virologiques, sérologiques, …) Dispositifs d’alerte (mobile apps, …) Gestes barrières (masques, hygiène, …) Saturation des unités médicales de soins intensifs déficientes (assistance respiratoire, réanimation, …) Contamination virale initiale (patient zéro, 1ère vague) Pandémie virale mondiale Arbitrage selon appétence aux risques sociétaux versus principe d’hyperprécaution Point de vue nation impactée (« Absurdistan ») Posture offensive Collusion | Complotisme Personnel exposé en 1ère ligne (BS) Concurrence déloyale, abus de position dominante Contamination virale Organisation terroriste Organisation activiste Organisation étatique Organisation criminelle (SR) Propagation virale [après mutation] Système immunitaire Fermeture administrative Chômage technique Aides financières et fiscales (endettement) Protocole sanitaire Auteur : Thierry PERTUS EI AE AE AE AE Distanciation physique et sociale AE AE Télétravail AE Institutions gouvernementales et scientifiques (PPC) EI ER Perte de contrôle | Crise économique et sociale ER Entrave au fonctionnement durablePertes humaines massives Légende Source de Risque (SR) | Objectif Visé (OV) | Partie Prenante Critique (PPC) | Valeur Métier (VM) | Bien Support (BS) Influence des séniors (poids électoral) Solutions digitales Plateformes digitales Stratégie phygitale Confinement ciblé Stratégie commerciale agressive Gestion de crise bureaucratique | erratique Exposition inconsidérée à la contamination virale préjudiciable | bénéfique Fuite (accident/négligence) | Exfiltration (espionnage industriel /arme biologique) de charge virale Population (BS)
 Thierry PERTUS Consultant Sénior en Cyber Risk & Security Management Certifications professionnelles RNCP (diplômes délivrés en France) : Enterprise Risk Manager [AMRAE, CEFAR 2019] Ingénieur Réseaux & Télécoms [ESIGELEC, 1999] Certification professionnelle en Sécurité de l’Information : CISM [ISACA] Certification normative en Enterprise Risk Management : ISO 31000 Risk Manager [PECB] Certifications normatives en Sécurité de l’Information : ISO/IEC 27001 Lead Implementer [LSTI] ISO/IEC 27005 Risk Manager [LSTI]

Recommandé

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 

Recommandé

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Ebios
EbiosEbios
Ebioskilojolid
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
 
G7 hackathon122012-info sante
G7 hackathon122012-info santeG7 hackathon122012-info sante
G7 hackathon122012-info santeCheikh Ahmadou Bamba Diop
 

Contenu connexe

Tendances

ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 

Tendances (20)

ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Ebios
EbiosEbios
Ebios
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Mehari
MehariMehari
Mehari
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
 
Ebios
EbiosEbios
Ebios
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 

Similaire à EBIOS RM - Cryptovirus & COVID-19

Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
 
20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssi20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssiASIP Santé
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsRomain Willmann
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Brochure_Capacitaire_Hexatrust_2023.pdf
Brochure_Capacitaire_Hexatrust_2023.pdfBrochure_Capacitaire_Hexatrust_2023.pdf
Brochure_Capacitaire_Hexatrust_2023.pdfJean-Marc Metzger
 
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...ITrust - Cybersecurity as a Service
 
Usages numériques adolescents, 3
Usages numériques adolescents, 3Usages numériques adolescents, 3
Usages numériques adolescents, 3cdialaingerbault
 
Copie de Cours de biosécurité II1.pptx
Copie de Cours de biosécurité II1.pptxCopie de Cours de biosécurité II1.pptx
Copie de Cours de biosécurité II1.pptxMedMohamed35
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Congres cybermed nice 2019
Congres cybermed nice 2019Congres cybermed nice 2019
Congres cybermed nice 2019OPcyberland
 

Similaire à EBIOS RM - Cryptovirus & COVID-19 (20)

Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
 
G7 hackathon122012-info sante
G7 hackathon122012-info santeG7 hackathon122012-info sante
G7 hackathon122012-info sante
 
G7 Hackathon 12 2012 Info Sante
G7 Hackathon 12 2012 Info SanteG7 Hackathon 12 2012 Info Sante
G7 Hackathon 12 2012 Info Sante
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssi20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssi
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Brochure_Capacitaire_Hexatrust_2023.pdf
Brochure_Capacitaire_Hexatrust_2023.pdfBrochure_Capacitaire_Hexatrust_2023.pdf
Brochure_Capacitaire_Hexatrust_2023.pdf
 
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
 
Usages numériques adolescents, 3
Usages numériques adolescents, 3Usages numériques adolescents, 3
Usages numériques adolescents, 3
 
Copie de Cours de biosécurité II1.pptx
Copie de Cours de biosécurité II1.pptxCopie de Cours de biosécurité II1.pptx
Copie de Cours de biosécurité II1.pptx
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Congres cybermed nice 2019
Congres cybermed nice 2019Congres cybermed nice 2019
Congres cybermed nice 2019
 

EBIOS RM - Cryptovirus & COVID-19

  • 1. Thierry PERTUS EBIOS RISK MANAGER Péril viral numérique vs biologique Etudes de cas par l’illustration
  • 2. Ecosystème de la défense potentielle Cryptovirus / Ransomware : modélisation de scénarios de risque selon EBIOS RM Vision stratégique de la menace potentielle Ecosystème de la menace potentielle Vision opérationnelle de la menace et de la défense potentielles Tiers- contractant (PPC) Activités critiques (VM) Activité bureautique (VM) Gain financier (OV) Propagation virale via partage en réseau (faille Ethernal Blue, …) Etablissement d’un canal C&C par tunneling vers Internet Cyber-attaque indirecte Point de vue organisation impactée Posture offensive Système de messagerie Boîte aux lettres messagerie Poste de travail (BS) Organisation cybercriminelle (SR) Auteur : Thierry PERTUS EI AE Non-délivrance du service | Fuite de données clients Clients Usagers (PPC) ER Paiement de la rançon en bitcoin contre la clé de déchiffrement des données ER Entrave au fonctionnementPerte massive de données Légende Source de Risque (SR) | Objectif Visé (OV) | Partie Prenante Critique (PPC) | Valeur Métier (VM) | Bien Support (BS) préjudiciable | bénéfique Intrusion à distance de systèmes exposés avec dépôt de charge virale ¨Phishing ciblé ou non avec pièce jointe malveillante ou lien vers un site compromis (water hole) Compromission de poste par un cheval de Troie Notification de la demande de rançon avec instructions (pop-up, note, …) Média amovible infecté par une charge virale Compromission de système par un cheval de Troie Cyber-attaque directe AE Systèmes critiques en production (plateformes en ligne, applicatifs métier, produits, systèmes industriels, infrastructures, …) (BS) AE Prévention : PASSI / Pentest Détection : PDIS / SOC Mitigation : PRIS / CERT Remédiation : MSSP Indemnisation : Cyberassurance (PPC) Opération de maintenance Système de fichiers en réseau obsolètes | non durcis non patchés | non protégés (BS) AE Déplacement Latéral de l’attaquant Infection via canal tiers
  • 3. Ecosystème de la défense potentielle Pandémie virale (type COVID-19) : modélisation de scénarios de risque en systèmes complexes selon EBIOS RM (approche générique) Vision stratégique de la menace potentielle Ecosystème de la menace potentielle Vision opérationnelle de la menace et de la défense potentielles Laboratoires pharmaceutiques Géants du numérique (PPC) Laboratoire d’infectiologie (PPC) Activités économiques et sociales (VM) Sécurité sanitaire (VM) Personnes âgées Personnes souffrant de maladies chroniques (comorbidités) (BS) Système de santé public-privé (BS) Entreprises Indépendants Institutions publiques Associations (BS) Influence (lobbying) Leadership idéologique (OV) Gain financier (OV) Posture opportuniste Vaccin antiviral, Traitements préventifs | palliatifs Discours infantilisant | contradictoire Manipulation biaisée des données Décisions technocratiques inappropriées | coercitives | incohérentes (confinement généralisé, restrictions sociales injustifiées, …) Contrôle aux frontières nationales Dispositifs de dépistage (antigéniques, virologiques, sérologiques, …) Dispositifs d’alerte (mobile apps, …) Gestes barrières (masques, hygiène, …) Saturation des unités médicales de soins intensifs déficientes (assistance respiratoire, réanimation, …) Contamination virale initiale (patient zéro, 1ère vague) Pandémie virale mondiale Arbitrage selon appétence aux risques sociétaux versus principe d’hyperprécaution Point de vue nation impactée (« Absurdistan ») Posture offensive Collusion | Complotisme Personnel exposé en 1ère ligne (BS) Concurrence déloyale, abus de position dominante Contamination virale Organisation terroriste Organisation activiste Organisation étatique Organisation criminelle (SR) Propagation virale [après mutation] Système immunitaire Fermeture administrative Chômage technique Aides financières et fiscales (endettement) Protocole sanitaire Auteur : Thierry PERTUS EI AE AE AE AE Distanciation physique et sociale AE AE Télétravail AE Institutions gouvernementales et scientifiques (PPC) EI ER Perte de contrôle | Crise économique et sociale ER Entrave au fonctionnement durablePertes humaines massives Légende Source de Risque (SR) | Objectif Visé (OV) | Partie Prenante Critique (PPC) | Valeur Métier (VM) | Bien Support (BS) Influence des séniors (poids électoral) Solutions digitales Plateformes digitales Stratégie phygitale Confinement ciblé Stratégie commerciale agressive Gestion de crise bureaucratique | erratique Exposition inconsidérée à la contamination virale préjudiciable | bénéfique Fuite (accident/négligence) | Exfiltration (espionnage industriel /arme biologique) de charge virale Population (BS)
  • 4.  Thierry PERTUS Consultant Sénior en Cyber Risk & Security Management Certifications professionnelles RNCP (diplômes délivrés en France) : Enterprise Risk Manager [AMRAE, CEFAR 2019] Ingénieur Réseaux & Télécoms [ESIGELEC, 1999] Certification professionnelle en Sécurité de l’Information : CISM [ISACA] Certification normative en Enterprise Risk Management : ISO 31000 Risk Manager [PECB] Certifications normatives en Sécurité de l’Information : ISO/IEC 27001 Lead Implementer [LSTI] ISO/IEC 27005 Risk Manager [LSTI]