SlideShare une entreprise Scribd logo

Cyber attaques en entreprise

Télécharger en tant que PPTX, PDF
Université Paris-Dauphine
Université Paris-Dauphine

Comment trouver de l'aide pur se protéger?

Présentations et discours publics
1  sur  12
Cyber-attaques en entreprises : "Comment trouver de l'aide et se protéger" La sécurité: une question d’architecture plus que d’outils pour garantir des systèmes résilients Claude Rochet Option public Professeur honoraire des universités Administrateur civil HC honoraire Lt- Cl ad-honorem de la Gendarmerie Nationale (rc)
Sommaire • L’entreprise et sa sécurité informationnelle = un système socio-technique • Etude de cas: les pôles de compétitivité • Les clés de la résilience d’un système socio-technique • Les voies d’action
L’entreprise: un système socio-technique • Un système socio-technique comprendre une partie technique automatisable et une partie humaine non automatisable. • Il faut se garder de l’illusion de tout automatiser car les conditons de conception du système technique peuvent changer très rapidement… • … c’est à l’humain que va revenir la tâche d’introduire de mécanismes correcteurs, mais: • Va-t-il en avoir la compétence? • Va-t-il y apporter la priorité nécessaire? • Dispose-t-il des moyens nécessaires?
Garantir des systèmes résilients pour faire face aux attaques • Résilience: capacité gérer l’incertain, l’imprévisible non prévu et permettre le retour à une situation tendant vers le nominal. • Les niveaux de résilience: • Le prévisible grave • L’imprévisible prévu • L’imprévisible imprévisible On peut concevoir en amont des scénarios de riposte Action reposant sur l’initiative et l’intelligence humaine Automatisable Non automatisable
Réagir? Deux logiques antagonistes en action (1) • Le prévisible grave et l’imprévisible prévisible rare se gère par une logique procédurale: • Règles simples mais rigoureuses • Des listes de questions semi-ouvertes qui ouvrent des options • Des check-lists de points de vigilance pour lutter contre le « refus de voir » • Prendre en compte les probabilités réelles d’événements indésirables • Il faut connaître TRES BIEN son mode normal de fonctionnement et sa frontière
• L’imprévisible imprévisible: la logique substantielle • L’attaquant trouvera toujours une faille: saisir quand le mode courant de fonctionnement ne fonctionne plus (une gestion dynamique de la frontière) • Etre flexible et remettre en cause les modes d’organisation courants: • Collégialité et débat contradictoire • Des consensus réellement consensuels (ex: droit talmudique) • Contrôle des interstices • Distinguer erreurs et fautes • Formation aux facteurs humains • RETEX systématique et langage commun • Travail sur les processus et non sur l’organisation Réagir? Deux logiques antagonistes en action (2)
Un pôle de compétitivité (ou un cluster) Comment sécuriser un système par nécessité ouvert? • Cartographier l’architecture • Référentiel commun à tous les acteurs (norme ISO 27000) • Accords de consortium • Zéro papier et standardiser les flux de données
Plateforme du pôle Plateforme OSEO Labellisation par le pôle Labellisation par le FUI Plateforme de gestion de projet du consortium Livrables DGCIS Zone actuellement sécurisée ? Collectivités territoriales Phase 1: Montage du projet par le pôle Phase 2 : Validation du projet et décision de financement Phase 3: Gestion du projet par le consortium L’Etat prétend avoir sécurisé son canal de traitement… … mais se désintéresse des interfaces et interstices
Le constat: un fouillis de processus hétérogènes • « Mais ça fait beaucoup de processus ! » (le DG de l’industrie à Bercy) • Pas de standards communs: chacun a ses règles • Des applications hétérogènes • Accord de consortiums évasifs • Incompétences acteurs publics qui ne jouent pas leur rôle d’architecte • A l’inverse, des systèmes sécurisés trop complexes qui ne sont pas utilisés • Trop de papiers! Ca coûte cher, c’est désordonné et il suffit de se servir!
Une crise cyber est une crise de résilience • Les crises cyber sont souvent longues (plusieurs semaines). • Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). • Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (administrations, avocats, huissiers, autorités, fournisseurs, voire les clients…). • Il est donc indispensable de revoir les processus existants qui n’ont pas, par construction, intégré « l’imprévisible imprévisible »
Comment faire? • Cyber-résilience et cybersécurité sont imbriqués • Il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle. • La résilience est un pilier majeur de votre stratégie de cybersécurité. Il convient de l’y intégrer dès la conception. Mais les dirigeants ne sont pas toujours convaincus! • Inutile de réinventer la roue : Inspirez-vous des bonnes pratiques du marché. Appliquez les méthodes d’architecture des processus • Faite monter vos collaborateurs en compétence, formez-les à la conception des processus résilients cybersécurisés
La cyber résilience: un référentiel d’architecture dès l’amont en actualisation permanente La méthode proposée par Option Public

Recommandé

Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...University of Geneva
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Savoir-faire, défis et opportunités : Axe ergonomie et sécurité du nouveau la...
Savoir-faire, défis et opportunités : Axe ergonomie et sécurité du nouveau la...Savoir-faire, défis et opportunités : Axe ergonomie et sécurité du nouveau la...
Savoir-faire, défis et opportunités : Axe ergonomie et sécurité du nouveau la...IRSST
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdfssuserdd27481
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
Sensibilisation dématique et archivage
Sensibilisation dématique et archivageSensibilisation dématique et archivage
Sensibilisation dématique et archivageCEFAC
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfsimogamer3
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Alain EJZYN
 

Recommandé

Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...University of Geneva
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Savoir-faire, défis et opportunités : Axe ergonomie et sécurité du nouveau la...
Savoir-faire, défis et opportunités : Axe ergonomie et sécurité du nouveau la...Savoir-faire, défis et opportunités : Axe ergonomie et sécurité du nouveau la...
Savoir-faire, défis et opportunités : Axe ergonomie et sécurité du nouveau la...IRSST
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdfssuserdd27481
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
Sensibilisation dématique et archivage
Sensibilisation dématique et archivageSensibilisation dématique et archivage
Sensibilisation dématique et archivageCEFAC
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfsimogamer3
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Alain EJZYN
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Opportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digitalOpportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digitalBertrand Petit
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Forum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyberForum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyberCap'Com
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAbdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAbdellah Alahyane
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaquePaperjam_redaction
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!ColloqueRISQ
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptKhaledabdelilah1
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfAssociationAF
 
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptxTactika inc.
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfssuser384b72
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?Raphaël Semeteys
 
Smart city et tourisme
Smart city et tourismeSmart city et tourisme
Smart city et tourismeUniversité Paris-Dauphine
 
Resilience
ResilienceResilience
ResilienceUniversité Paris-Dauphine
 

Contenu connexe

Similaire à Cyber attaques en entreprise

The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Opportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digitalOpportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digitalBertrand Petit
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Forum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyberForum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyberCap'Com
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaquePaperjam_redaction
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!ColloqueRISQ
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptKhaledabdelilah1
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfAssociationAF
 
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptxTactika inc.
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfssuser384b72
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?Raphaël Semeteys
 

Similaire à Cyber attaques en entreprise (20)

The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Opportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digitalOpportunité pour le DSI CIO dans ce nouveau monde digital
Opportunité pour le DSI CIO dans ce nouveau monde digital
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Forum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyberForum2021_AC13 Crise cyber
Forum2021_AC13 Crise cyber
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaque
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdf
 
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?
TADx 2023 - 1 plateforme à convevoir, 2 architectes : 3 possibilités ?
 

Plus de Université Paris-Dauphine

La dynamique des territoires vivants : résilience et symbiose
La dynamique des territoires vivants : résilience et symbioseLa dynamique des territoires vivants : résilience et symbiose
La dynamique des territoires vivants : résilience et symbioseUniversité Paris-Dauphine
 
Géopolitique et développement urbain en Russie
Géopolitique et développement urbain en RussieGéopolitique et développement urbain en Russie
Géopolitique et développement urbain en RussieUniversité Paris-Dauphine
 
Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Restructuring monocities as a lever of paradigm shift towards iconomics for R...Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Restructuring monocities as a lever of paradigm shift towards iconomics for R...Université Paris-Dauphine
 
Soirée d'éducation populaire à Lorient le 7 octobre 2016
Soirée d'éducation populaire à Lorient le 7 octobre 2016Soirée d'éducation populaire à Lorient le 7 octobre 2016
Soirée d'éducation populaire à Lorient le 7 octobre 2016Université Paris-Dauphine
 
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...Université Paris-Dauphine
 
Direct democracy as the keystone of smart city governance as a complex system
Direct democracy as the keystone of smart city governance as a complex systemDirect democracy as the keystone of smart city governance as a complex system
Direct democracy as the keystone of smart city governance as a complex systemUniversité Paris-Dauphine
 
Digitalizing the public organization: Information system architecture as a ke...
Digitalizing the public organization: Information system architecture as a ke...Digitalizing the public organization: Information system architecture as a ke...
Digitalizing the public organization: Information system architecture as a ke...Université Paris-Dauphine
 
La démocratie directe et le bien commun au cœur d’une ville intelligente
La démocratie directe et le bien commun au cœur d’une ville intelligenteLa démocratie directe et le bien commun au cœur d’une ville intelligente
La démocratie directe et le bien commun au cœur d’une ville intelligenteUniversité Paris-Dauphine
 
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...Université Paris-Dauphine
 
Une approche systémique du déploiement des villes intelligentes
Une approche systémique du déploiement des villes intelligentesUne approche systémique du déploiement des villes intelligentes
Une approche systémique du déploiement des villes intelligentesUniversité Paris-Dauphine
 
Seminar on smart cities roskilde university 2015
Seminar on smart cities roskilde university 2015Seminar on smart cities roskilde university 2015
Seminar on smart cities roskilde university 2015Université Paris-Dauphine
 
Arquitectura sistemica y nuevas competencias des administrador publico:
Arquitectura sistemica y nuevas competencias des administrador publico:Arquitectura sistemica y nuevas competencias des administrador publico:
Arquitectura sistemica y nuevas competencias des administrador publico:Université Paris-Dauphine
 

Plus de Université Paris-Dauphine (20)

Smart city et tourisme
Smart city et tourismeSmart city et tourisme
Smart city et tourisme
 
Resilience
ResilienceResilience
Resilience
 
La dynamique des territoires vivants : résilience et symbiose
La dynamique des territoires vivants : résilience et symbioseLa dynamique des territoires vivants : résilience et symbiose
La dynamique des territoires vivants : résilience et symbiose
 
Schumpeter 3.0
Schumpeter 3.0Schumpeter 3.0
Schumpeter 3.0
 
La smart city en question
La smart city en questionLa smart city en question
La smart city en question
 
Des villes intelligentes, sans blagues?
Des villes intelligentes, sans blagues?Des villes intelligentes, sans blagues?
Des villes intelligentes, sans blagues?
 
Géopolitique et développement urbain en Russie
Géopolitique et développement urbain en RussieGéopolitique et développement urbain en Russie
Géopolitique et développement urbain en Russie
 
When investing in growth costs nothing
When investing in growth costs nothingWhen investing in growth costs nothing
When investing in growth costs nothing
 
Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Restructuring monocities as a lever of paradigm shift towards iconomics for R...Restructuring monocities as a lever of paradigm shift towards iconomics for R...
Restructuring monocities as a lever of paradigm shift towards iconomics for R...
 
Soirée d'éducation populaire à Lorient le 7 octobre 2016
Soirée d'éducation populaire à Lorient le 7 octobre 2016Soirée d'éducation populaire à Lorient le 7 octobre 2016
Soirée d'éducation populaire à Lorient le 7 octobre 2016
 
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
Modernisation et croissance de la Russie: l'enjeu de la reconversion des mono...
 
Direct democracy as the keystone of smart city governance as a complex system
Direct democracy as the keystone of smart city governance as a complex systemDirect democracy as the keystone of smart city governance as a complex system
Direct democracy as the keystone of smart city governance as a complex system
 
Digitalizing the public organization: Information system architecture as a ke...
Digitalizing the public organization: Information system architecture as a ke...Digitalizing the public organization: Information system architecture as a ke...
Digitalizing the public organization: Information system architecture as a ke...
 
L’Etat : les enjeux de la modernisation
L’Etat : les enjeux de la modernisationL’Etat : les enjeux de la modernisation
L’Etat : les enjeux de la modernisation
 
La démocratie directe et le bien commun au cœur d’une ville intelligente
La démocratie directe et le bien commun au cœur d’une ville intelligenteLa démocratie directe et le bien commun au cœur d’une ville intelligente
La démocratie directe et le bien commun au cœur d’une ville intelligente
 
Les villes intelligentes et le Bien commun
Les villes intelligentes et le Bien communLes villes intelligentes et le Bien commun
Les villes intelligentes et le Bien commun
 
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
Modernization and Growth in Russian Economy: « Smartization » of Urban Polic...
 
Une approche systémique du déploiement des villes intelligentes
Une approche systémique du déploiement des villes intelligentesUne approche systémique du déploiement des villes intelligentes
Une approche systémique du déploiement des villes intelligentes
 
Seminar on smart cities roskilde university 2015
Seminar on smart cities roskilde university 2015Seminar on smart cities roskilde university 2015
Seminar on smart cities roskilde university 2015
 
Arquitectura sistemica y nuevas competencias des administrador publico:
Arquitectura sistemica y nuevas competencias des administrador publico:Arquitectura sistemica y nuevas competencias des administrador publico:
Arquitectura sistemica y nuevas competencias des administrador publico:
 

Cyber attaques en entreprise

  • 1. Cyber-attaques en entreprises : "Comment trouver de l'aide et se protéger" La sécurité: une question d’architecture plus que d’outils pour garantir des systèmes résilients Claude Rochet Option public Professeur honoraire des universités Administrateur civil HC honoraire Lt- Cl ad-honorem de la Gendarmerie Nationale (rc)
  • 2. Sommaire • L’entreprise et sa sécurité informationnelle = un système socio-technique • Etude de cas: les pôles de compétitivité • Les clés de la résilience d’un système socio-technique • Les voies d’action
  • 3. L’entreprise: un système socio-technique • Un système socio-technique comprendre une partie technique automatisable et une partie humaine non automatisable. • Il faut se garder de l’illusion de tout automatiser car les conditons de conception du système technique peuvent changer très rapidement… • … c’est à l’humain que va revenir la tâche d’introduire de mécanismes correcteurs, mais: • Va-t-il en avoir la compétence? • Va-t-il y apporter la priorité nécessaire? • Dispose-t-il des moyens nécessaires?
  • 4. Garantir des systèmes résilients pour faire face aux attaques • Résilience: capacité gérer l’incertain, l’imprévisible non prévu et permettre le retour à une situation tendant vers le nominal. • Les niveaux de résilience: • Le prévisible grave • L’imprévisible prévu • L’imprévisible imprévisible On peut concevoir en amont des scénarios de riposte Action reposant sur l’initiative et l’intelligence humaine Automatisable Non automatisable
  • 5. Réagir? Deux logiques antagonistes en action (1) • Le prévisible grave et l’imprévisible prévisible rare se gère par une logique procédurale: • Règles simples mais rigoureuses • Des listes de questions semi-ouvertes qui ouvrent des options • Des check-lists de points de vigilance pour lutter contre le « refus de voir » • Prendre en compte les probabilités réelles d’événements indésirables • Il faut connaître TRES BIEN son mode normal de fonctionnement et sa frontière
  • 6. • L’imprévisible imprévisible: la logique substantielle • L’attaquant trouvera toujours une faille: saisir quand le mode courant de fonctionnement ne fonctionne plus (une gestion dynamique de la frontière) • Etre flexible et remettre en cause les modes d’organisation courants: • Collégialité et débat contradictoire • Des consensus réellement consensuels (ex: droit talmudique) • Contrôle des interstices • Distinguer erreurs et fautes • Formation aux facteurs humains • RETEX systématique et langage commun • Travail sur les processus et non sur l’organisation Réagir? Deux logiques antagonistes en action (2)
  • 7. Un pôle de compétitivité (ou un cluster) Comment sécuriser un système par nécessité ouvert? • Cartographier l’architecture • Référentiel commun à tous les acteurs (norme ISO 27000) • Accords de consortium • Zéro papier et standardiser les flux de données
  • 8. Plateforme du pôle Plateforme OSEO Labellisation par le pôle Labellisation par le FUI Plateforme de gestion de projet du consortium Livrables DGCIS Zone actuellement sécurisée ? Collectivités territoriales Phase 1: Montage du projet par le pôle Phase 2 : Validation du projet et décision de financement Phase 3: Gestion du projet par le consortium L’Etat prétend avoir sécurisé son canal de traitement… … mais se désintéresse des interfaces et interstices
  • 9. Le constat: un fouillis de processus hétérogènes • « Mais ça fait beaucoup de processus ! » (le DG de l’industrie à Bercy) • Pas de standards communs: chacun a ses règles • Des applications hétérogènes • Accord de consortiums évasifs • Incompétences acteurs publics qui ne jouent pas leur rôle d’architecte • A l’inverse, des systèmes sécurisés trop complexes qui ne sont pas utilisés • Trop de papiers! Ca coûte cher, c’est désordonné et il suffit de se servir!
  • 10. Une crise cyber est une crise de résilience • Les crises cyber sont souvent longues (plusieurs semaines). • Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). • Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (administrations, avocats, huissiers, autorités, fournisseurs, voire les clients…). • Il est donc indispensable de revoir les processus existants qui n’ont pas, par construction, intégré « l’imprévisible imprévisible »
  • 11. Comment faire? • Cyber-résilience et cybersécurité sont imbriqués • Il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle. • La résilience est un pilier majeur de votre stratégie de cybersécurité. Il convient de l’y intégrer dès la conception. Mais les dirigeants ne sont pas toujours convaincus! • Inutile de réinventer la roue : Inspirez-vous des bonnes pratiques du marché. Appliquez les méthodes d’architecture des processus • Faite monter vos collaborateurs en compétence, formez-les à la conception des processus résilients cybersécurisés
  • 12. La cyber résilience: un référentiel d’architecture dès l’amont en actualisation permanente La méthode proposée par Option Public