Le document traite de la cybersécurité dans les entreprises et met l'accent sur l'importance de concevoir des systèmes résilients plutôt que de se fier uniquement à des outils automatisés. Il souligne la nécessité de préparer les organisations à réagir face à l'imprévisible, notamment à travers des processus de formation et de cartographie des systèmes. En définitive, la cyber-résilience doit être intégrée dès la conception des processus pour assurer une meilleure gestion des crises cyber.

1. Cyber-attaques en entreprises :
"Comment trouver de l'aide et
se protéger"
La sécurité: une question d’architecture plus que
d’outils pour garantir des systèmes résilients
Claude Rochet
Option public
Professeur honoraire des
universités
Administrateur civil HC honoraire
Lt- Cl ad-honorem de la
Gendarmerie Nationale (rc)

2. Sommaire
• L’entreprise et sa sécurité informationnelle = un système socio-technique
• Etude de cas: les pôles de compétitivité
• Les clés de la résilience d’un système socio-technique
• Les voies d’action

3. L’entreprise: un système socio-technique
• Un système socio-technique comprendre une partie technique automatisable et une
partie humaine non automatisable.
• Il faut se garder de l’illusion de tout automatiser car les conditons de conception du
système technique peuvent changer très rapidement…
• … c’est à l’humain que va revenir la tâche d’introduire de mécanismes correcteurs,
mais:
• Va-t-il en avoir la compétence?
• Va-t-il y apporter la priorité nécessaire?
• Dispose-t-il des moyens nécessaires?

4. Garantir des systèmes résilients pour faire face
aux attaques
• Résilience: capacité gérer l’incertain, l’imprévisible non prévu et permettre
le retour à une situation tendant vers le nominal.
• Les niveaux de résilience:
• Le prévisible grave
• L’imprévisible prévu
• L’imprévisible imprévisible
On peut concevoir en amont
des scénarios de riposte
Action reposant sur l’initiative
et l’intelligence humaine
Automatisable
Non automatisable

5. Réagir? Deux logiques antagonistes en action (1)
• Le prévisible grave et l’imprévisible prévisible rare se gère par une
logique procédurale:
• Règles simples mais rigoureuses
• Des listes de questions semi-ouvertes qui ouvrent des options
• Des check-lists de points de vigilance pour lutter contre le « refus de voir »
• Prendre en compte les probabilités réelles d’événements indésirables
• Il faut connaître TRES BIEN son mode normal de fonctionnement et
sa frontière

6. • L’imprévisible imprévisible: la logique substantielle
• L’attaquant trouvera toujours une faille: saisir quand le mode courant de fonctionnement ne
fonctionne plus (une gestion dynamique de la frontière)
• Etre flexible et remettre en cause les modes d’organisation courants:
• Collégialité et débat contradictoire
• Des consensus réellement consensuels (ex: droit talmudique)
• Contrôle des interstices
• Distinguer erreurs et fautes
• Formation aux facteurs humains
• RETEX systématique et langage commun
• Travail sur les processus et non sur l’organisation
Réagir? Deux logiques antagonistes en action (2)

7. Un pôle de compétitivité (ou un cluster)
Comment sécuriser un système
par nécessité ouvert?
• Cartographier l’architecture
• Référentiel commun à tous
les acteurs (norme ISO
27000)
• Accords de consortium
• Zéro papier et standardiser
les flux de données

8. Plateforme
du pôle
Plateforme
OSEO
Labellisation
par le pôle
Labellisation
par le FUI
Plateforme
de gestion
de projet
du
consortium
Livrables
DGCIS
Zone
actuellement
sécurisée
?
Collectivités
territoriales
Phase 1: Montage du projet
par le pôle
Phase 2 : Validation du projet
et décision de financement
Phase 3: Gestion du projet
par le consortium
L’Etat prétend avoir
sécurisé son canal
de traitement…
… mais se
désintéresse des
interfaces et
interstices

9. Le constat: un fouillis de processus hétérogènes
• « Mais ça fait beaucoup de processus ! » (le DG de l’industrie à Bercy)
• Pas de standards communs: chacun a ses règles
• Des applications hétérogènes
• Accord de consortiums évasifs
• Incompétences acteurs publics qui ne jouent pas leur rôle d’architecte
• A l’inverse, des systèmes sécurisés trop complexes qui ne sont pas utilisés
• Trop de papiers!
Ca coûte cher, c’est désordonné et il suffit de se servir!

10. Une crise cyber est une crise de résilience
• Les crises cyber sont souvent longues (plusieurs semaines).
• Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis
combien de temps ? quels sont les impacts ?).
• Elles impliquent des parties prenantes externes, elles-mêmes souvent peu
préparées sur ce sujet (administrations, avocats, huissiers, autorités,
fournisseurs, voire les clients…).
• Il est donc indispensable de revoir les processus existants qui n’ont pas, par
construction, intégré « l’imprévisible imprévisible »

11. Comment faire?
• Cyber-résilience et cybersécurité sont imbriqués
• Il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité
d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable
du PCA prendra tout son rôle.
• La résilience est un pilier majeur de votre stratégie de cybersécurité. Il convient de l’y
intégrer dès la conception. Mais les dirigeants ne sont pas toujours convaincus!
• Inutile de réinventer la roue : Inspirez-vous des bonnes pratiques du marché. Appliquez les
méthodes d’architecture des processus
• Faite monter vos collaborateurs en compétence, formez-les à la conception des processus
résilients cybersécurisés

12. La cyber résilience: un référentiel d’architecture dès l’amont
en actualisation permanente
La méthode
proposée par
Option
Public