SlideShare une entreprise Scribd logo
Cyber-attaques en entreprises :
"Comment trouver de l'aide et
se protéger"
La sécurité: une question d’architecture plus que
d’outils pour garantir des systèmes résilients
Claude Rochet
Option public
Professeur honoraire des
universités
Administrateur civil HC honoraire
Lt- Cl ad-honorem de la
Gendarmerie Nationale (rc)
Sommaire
• L’entreprise et sa sécurité informationnelle = un système socio-technique
• Etude de cas: les pôles de compétitivité
• Les clés de la résilience d’un système socio-technique
• Les voies d’action
L’entreprise: un système socio-technique
• Un système socio-technique comprendre une partie technique automatisable et une
partie humaine non automatisable.
• Il faut se garder de l’illusion de tout automatiser car les conditons de conception du
système technique peuvent changer très rapidement…
• … c’est à l’humain que va revenir la tâche d’introduire de mécanismes correcteurs,
mais:
• Va-t-il en avoir la compétence?
• Va-t-il y apporter la priorité nécessaire?
• Dispose-t-il des moyens nécessaires?
Garantir des systèmes résilients pour faire face
aux attaques
• Résilience: capacité gérer l’incertain, l’imprévisible non prévu et permettre
le retour à une situation tendant vers le nominal.
• Les niveaux de résilience:
• Le prévisible grave
• L’imprévisible prévu
• L’imprévisible imprévisible
On peut concevoir en amont
des scénarios de riposte
Action reposant sur l’initiative
et l’intelligence humaine
Automatisable
Non automatisable
Réagir? Deux logiques antagonistes en action (1)
• Le prévisible grave et l’imprévisible prévisible rare se gère par une
logique procédurale:
• Règles simples mais rigoureuses
• Des listes de questions semi-ouvertes qui ouvrent des options
• Des check-lists de points de vigilance pour lutter contre le « refus de voir »
• Prendre en compte les probabilités réelles d’événements indésirables
• Il faut connaître TRES BIEN son mode normal de fonctionnement et
sa frontière
• L’imprévisible imprévisible: la logique substantielle
• L’attaquant trouvera toujours une faille: saisir quand le mode courant de fonctionnement ne
fonctionne plus (une gestion dynamique de la frontière)
• Etre flexible et remettre en cause les modes d’organisation courants:
• Collégialité et débat contradictoire
• Des consensus réellement consensuels (ex: droit talmudique)
• Contrôle des interstices
• Distinguer erreurs et fautes
• Formation aux facteurs humains
• RETEX systématique et langage commun
• Travail sur les processus et non sur l’organisation
Réagir? Deux logiques antagonistes en action (2)
Un pôle de compétitivité (ou un cluster)
Comment sécuriser un système
par nécessité ouvert?
• Cartographier l’architecture
• Référentiel commun à tous
les acteurs (norme ISO
27000)
• Accords de consortium
• Zéro papier et standardiser
les flux de données
Plateforme
du pôle
Plateforme
OSEO
Labellisation
par le pôle
Labellisation
par le FUI
Plateforme
de gestion
de projet
du
consortium
Livrables
DGCIS
Zone
actuellement
sécurisée
?
Collectivités
territoriales
Phase 1: Montage du projet
par le pôle
Phase 2 : Validation du projet
et décision de financement
Phase 3: Gestion du projet
par le consortium
L’Etat prétend avoir
sécurisé son canal
de traitement…
… mais se
désintéresse des
interfaces et
interstices
Le constat: un fouillis de processus hétérogènes
• « Mais ça fait beaucoup de processus ! » (le DG de l’industrie à Bercy)
• Pas de standards communs: chacun a ses règles
• Des applications hétérogènes
• Accord de consortiums évasifs
• Incompétences acteurs publics qui ne jouent pas leur rôle d’architecte
• A l’inverse, des systèmes sécurisés trop complexes qui ne sont pas utilisés
• Trop de papiers!
Ca coûte cher, c’est désordonné et il suffit de se servir!
Une crise cyber est une crise de résilience
• Les crises cyber sont souvent longues (plusieurs semaines).
• Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis
combien de temps ? quels sont les impacts ?).
• Elles impliquent des parties prenantes externes, elles-mêmes souvent peu
préparées sur ce sujet (administrations, avocats, huissiers, autorités,
fournisseurs, voire les clients…).
• Il est donc indispensable de revoir les processus existants qui n’ont pas, par
construction, intégré « l’imprévisible imprévisible »
Comment faire?
• Cyber-résilience et cybersécurité sont imbriqués
• Il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité
d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable
du PCA prendra tout son rôle.
• La résilience est un pilier majeur de votre stratégie de cybersécurité. Il convient de l’y
intégrer dès la conception. Mais les dirigeants ne sont pas toujours convaincus!
• Inutile de réinventer la roue : Inspirez-vous des bonnes pratiques du marché. Appliquez les
méthodes d’architecture des processus
• Faite monter vos collaborateurs en compétence, formez-les à la conception des processus
résilients cybersécurisés
La cyber résilience: un référentiel d’architecture dès l’amont
en actualisation permanente
La méthode
proposée par
Option
Public

Contenu connexe

Similaire à Cyber attaques en entreprise

sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
ssuserc72852
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
Robert Viseur
 
Opportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digitalOpportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digital
Bertrand Petit
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
Forum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyberForum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyber
Cap'Com
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaque
Paperjam_redaction
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
michelcusin
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
ColloqueRISQ
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
Khaledabdelilah1
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdf
AssociationAF
 
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
Tactika inc.
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
ssuser384b72
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 

Similaire à Cyber attaques en entreprise (20)

sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Opportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digitalOpportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digital
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Forum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyberForum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyber
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaque
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdf
 
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 

Plus de Université Paris-Dauphine

Smart city et tourisme
Smart city et tourismeSmart city et tourisme
Smart city et tourisme
Université Paris-Dauphine
 
Resilience
ResilienceResilience
La dynamique des territoires vivants : résilience et symbiose
La dynamique des territoires vivants : résilience et symbioseLa dynamique des territoires vivants : résilience et symbiose
La dynamique des territoires vivants : résilience et symbiose
Université Paris-Dauphine
 
Schumpeter 3.0
Schumpeter 3.0Schumpeter 3.0
La smart city en question
La smart city en questionLa smart city en question
La smart city en question
Université Paris-Dauphine
 
Des villes intelligentes, sans blagues?
Des villes intelligentes, sans blagues?Des villes intelligentes, sans blagues?
Des villes intelligentes, sans blagues?
Université Paris-Dauphine
 
Géopolitique et développement urbain en Russie
Géopolitique et développement urbain en RussieGéopolitique et développement urbain en Russie
Géopolitique et développement urbain en Russie
Université Paris-Dauphine
 
When investing in growth costs nothing
When investing in growth costs nothingWhen investing in growth costs nothing
When investing in growth costs nothing
Université Paris-Dauphine
 
Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Restructuring monocities as a lever of paradigm shift towards iconomics for R...Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Université Paris-Dauphine
 
Soirée d'éducation populaire à Lorient le 7 octobre 2016
Soirée d'éducation populaire à Lorient le 7 octobre 2016Soirée d'éducation populaire à Lorient le 7 octobre 2016
Soirée d'éducation populaire à Lorient le 7 octobre 2016
Université Paris-Dauphine
 
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Université Paris-Dauphine
 
Direct democracy as the keystone of smart city governance as a complex system
Direct democracy as the keystone of smart city governance as a complex systemDirect democracy as the keystone of smart city governance as a complex system
Direct democracy as the keystone of smart city governance as a complex system
Université Paris-Dauphine
 
Digitalizing the public organization: Information system architecture as a ke...
Digitalizing the public organization: Information system architecture as a ke...Digitalizing the public organization: Information system architecture as a ke...
Digitalizing the public organization: Information system architecture as a ke...
Université Paris-Dauphine
 
L’Etat : les enjeux de la modernisation
L’Etat : les enjeux de la modernisationL’Etat : les enjeux de la modernisation
L’Etat : les enjeux de la modernisation
Université Paris-Dauphine
 
La démocratie directe et le bien commun au cœur d’une ville intelligente
La démocratie directe et le bien commun au cœur d’une ville intelligenteLa démocratie directe et le bien commun au cœur d’une ville intelligente
La démocratie directe et le bien commun au cœur d’une ville intelligente
Université Paris-Dauphine
 
Les villes intelligentes et le Bien commun
Les villes intelligentes et le Bien communLes villes intelligentes et le Bien commun
Les villes intelligentes et le Bien commun
Université Paris-Dauphine
 
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
Modernization and Growth in Russian Economy:  « Smartization » of Urban Polic...Modernization and Growth in Russian Economy:  « Smartization » of Urban Polic...
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
Université Paris-Dauphine
 
Une approche systémique du déploiement des villes intelligentes
Une approche systémique du déploiement des villes intelligentesUne approche systémique du déploiement des villes intelligentes
Une approche systémique du déploiement des villes intelligentes
Université Paris-Dauphine
 
Seminar on smart cities roskilde university 2015
Seminar on smart cities roskilde university 2015Seminar on smart cities roskilde university 2015
Seminar on smart cities roskilde university 2015
Université Paris-Dauphine
 
Arquitectura sistemica y nuevas competencias des administrador publico:
Arquitectura sistemica y nuevas competencias des administrador publico:Arquitectura sistemica y nuevas competencias des administrador publico:
Arquitectura sistemica y nuevas competencias des administrador publico:
Université Paris-Dauphine
 

Plus de Université Paris-Dauphine (20)

Smart city et tourisme
Smart city et tourismeSmart city et tourisme
Smart city et tourisme
 
Resilience
ResilienceResilience
Resilience
 
La dynamique des territoires vivants : résilience et symbiose
La dynamique des territoires vivants : résilience et symbioseLa dynamique des territoires vivants : résilience et symbiose
La dynamique des territoires vivants : résilience et symbiose
 
Schumpeter 3.0
Schumpeter 3.0Schumpeter 3.0
Schumpeter 3.0
 
La smart city en question
La smart city en questionLa smart city en question
La smart city en question
 
Des villes intelligentes, sans blagues?
Des villes intelligentes, sans blagues?Des villes intelligentes, sans blagues?
Des villes intelligentes, sans blagues?
 
Géopolitique et développement urbain en Russie
Géopolitique et développement urbain en RussieGéopolitique et développement urbain en Russie
Géopolitique et développement urbain en Russie
 
When investing in growth costs nothing
When investing in growth costs nothingWhen investing in growth costs nothing
When investing in growth costs nothing
 
Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Restructuring monocities as a lever of paradigm shift towards iconomics for R...Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Restructuring monocities as a lever of paradigm shift towards iconomics for R...
 
Soirée d'éducation populaire à Lorient le 7 octobre 2016
Soirée d'éducation populaire à Lorient le 7 octobre 2016Soirée d'éducation populaire à Lorient le 7 octobre 2016
Soirée d'éducation populaire à Lorient le 7 octobre 2016
 
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
 
Direct democracy as the keystone of smart city governance as a complex system
Direct democracy as the keystone of smart city governance as a complex systemDirect democracy as the keystone of smart city governance as a complex system
Direct democracy as the keystone of smart city governance as a complex system
 
Digitalizing the public organization: Information system architecture as a ke...
Digitalizing the public organization: Information system architecture as a ke...Digitalizing the public organization: Information system architecture as a ke...
Digitalizing the public organization: Information system architecture as a ke...
 
L’Etat : les enjeux de la modernisation
L’Etat : les enjeux de la modernisationL’Etat : les enjeux de la modernisation
L’Etat : les enjeux de la modernisation
 
La démocratie directe et le bien commun au cœur d’une ville intelligente
La démocratie directe et le bien commun au cœur d’une ville intelligenteLa démocratie directe et le bien commun au cœur d’une ville intelligente
La démocratie directe et le bien commun au cœur d’une ville intelligente
 
Les villes intelligentes et le Bien commun
Les villes intelligentes et le Bien communLes villes intelligentes et le Bien commun
Les villes intelligentes et le Bien commun
 
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
Modernization and Growth in Russian Economy:  « Smartization » of Urban Polic...Modernization and Growth in Russian Economy:  « Smartization » of Urban Polic...
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
 
Une approche systémique du déploiement des villes intelligentes
Une approche systémique du déploiement des villes intelligentesUne approche systémique du déploiement des villes intelligentes
Une approche systémique du déploiement des villes intelligentes
 
Seminar on smart cities roskilde university 2015
Seminar on smart cities roskilde university 2015Seminar on smart cities roskilde university 2015
Seminar on smart cities roskilde university 2015
 
Arquitectura sistemica y nuevas competencias des administrador publico:
Arquitectura sistemica y nuevas competencias des administrador publico:Arquitectura sistemica y nuevas competencias des administrador publico:
Arquitectura sistemica y nuevas competencias des administrador publico:
 

Cyber attaques en entreprise

  • 1. Cyber-attaques en entreprises : "Comment trouver de l'aide et se protéger" La sécurité: une question d’architecture plus que d’outils pour garantir des systèmes résilients Claude Rochet Option public Professeur honoraire des universités Administrateur civil HC honoraire Lt- Cl ad-honorem de la Gendarmerie Nationale (rc)
  • 2. Sommaire • L’entreprise et sa sécurité informationnelle = un système socio-technique • Etude de cas: les pôles de compétitivité • Les clés de la résilience d’un système socio-technique • Les voies d’action
  • 3. L’entreprise: un système socio-technique • Un système socio-technique comprendre une partie technique automatisable et une partie humaine non automatisable. • Il faut se garder de l’illusion de tout automatiser car les conditons de conception du système technique peuvent changer très rapidement… • … c’est à l’humain que va revenir la tâche d’introduire de mécanismes correcteurs, mais: • Va-t-il en avoir la compétence? • Va-t-il y apporter la priorité nécessaire? • Dispose-t-il des moyens nécessaires?
  • 4. Garantir des systèmes résilients pour faire face aux attaques • Résilience: capacité gérer l’incertain, l’imprévisible non prévu et permettre le retour à une situation tendant vers le nominal. • Les niveaux de résilience: • Le prévisible grave • L’imprévisible prévu • L’imprévisible imprévisible On peut concevoir en amont des scénarios de riposte Action reposant sur l’initiative et l’intelligence humaine Automatisable Non automatisable
  • 5. Réagir? Deux logiques antagonistes en action (1) • Le prévisible grave et l’imprévisible prévisible rare se gère par une logique procédurale: • Règles simples mais rigoureuses • Des listes de questions semi-ouvertes qui ouvrent des options • Des check-lists de points de vigilance pour lutter contre le « refus de voir » • Prendre en compte les probabilités réelles d’événements indésirables • Il faut connaître TRES BIEN son mode normal de fonctionnement et sa frontière
  • 6. • L’imprévisible imprévisible: la logique substantielle • L’attaquant trouvera toujours une faille: saisir quand le mode courant de fonctionnement ne fonctionne plus (une gestion dynamique de la frontière) • Etre flexible et remettre en cause les modes d’organisation courants: • Collégialité et débat contradictoire • Des consensus réellement consensuels (ex: droit talmudique) • Contrôle des interstices • Distinguer erreurs et fautes • Formation aux facteurs humains • RETEX systématique et langage commun • Travail sur les processus et non sur l’organisation Réagir? Deux logiques antagonistes en action (2)
  • 7. Un pôle de compétitivité (ou un cluster) Comment sécuriser un système par nécessité ouvert? • Cartographier l’architecture • Référentiel commun à tous les acteurs (norme ISO 27000) • Accords de consortium • Zéro papier et standardiser les flux de données
  • 8. Plateforme du pôle Plateforme OSEO Labellisation par le pôle Labellisation par le FUI Plateforme de gestion de projet du consortium Livrables DGCIS Zone actuellement sécurisée ? Collectivités territoriales Phase 1: Montage du projet par le pôle Phase 2 : Validation du projet et décision de financement Phase 3: Gestion du projet par le consortium L’Etat prétend avoir sécurisé son canal de traitement… … mais se désintéresse des interfaces et interstices
  • 9. Le constat: un fouillis de processus hétérogènes • « Mais ça fait beaucoup de processus ! » (le DG de l’industrie à Bercy) • Pas de standards communs: chacun a ses règles • Des applications hétérogènes • Accord de consortiums évasifs • Incompétences acteurs publics qui ne jouent pas leur rôle d’architecte • A l’inverse, des systèmes sécurisés trop complexes qui ne sont pas utilisés • Trop de papiers! Ca coûte cher, c’est désordonné et il suffit de se servir!
  • 10. Une crise cyber est une crise de résilience • Les crises cyber sont souvent longues (plusieurs semaines). • Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). • Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (administrations, avocats, huissiers, autorités, fournisseurs, voire les clients…). • Il est donc indispensable de revoir les processus existants qui n’ont pas, par construction, intégré « l’imprévisible imprévisible »
  • 11. Comment faire? • Cyber-résilience et cybersécurité sont imbriqués • Il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle. • La résilience est un pilier majeur de votre stratégie de cybersécurité. Il convient de l’y intégrer dès la conception. Mais les dirigeants ne sont pas toujours convaincus! • Inutile de réinventer la roue : Inspirez-vous des bonnes pratiques du marché. Appliquez les méthodes d’architecture des processus • Faite monter vos collaborateurs en compétence, formez-les à la conception des processus résilients cybersécurisés
  • 12. La cyber résilience: un référentiel d’architecture dès l’amont en actualisation permanente La méthode proposée par Option Public