Le document traite de la nécessité pour les entreprises de mettre en place des mesures de protection contre les cyberattaques, en soulignant l'importance de la préparation, de la gestion des incidents et de la sensibilisation des employés. Il souligne également que la sécurité informatique doit être perçue comme un enjeu business plutôt qu'un simple souci technique. Les entreprises doivent identifier leurs processus vitaux, évaluer les menaces et élaborer des mécanismes de sécurité centrés sur l'utilisateur.

1. 1
Protéger ses activités !
Alain EJZYN

2. 2
Faisons connaissance
• Stratégie & Transformation Digitale
• Sécurité de l’Information
Activités
• Enseignant/chercheur
• Chef de département MIS (ICHEC)
• Directeur dur Certificat Universitaire en Sécurité des
Systèmes d’Informationn (Infosafe)
• Co-directeur de la Chaire en Pratiques Managériales
Innovantes
• Consultant en stratégie digitale & Sécurité
Intérêts
Alain EJZYN
alain.ejzyn@ichec.be
alainejzyn/
AlainEjzyn
alain_brussels/

3. 3

4. 4
des entreprises françaises ont
connu au moins une attaque.
65%
5ÈME ÉDITION DU BAROMÈTRE ANNUEL DU CESIN

5. 5
Par où commencer ?

6. 6
Mise en
oeuvre
des
mesures
de
protection
Réalisez des backups de vos informations et vérifiez le processus de récupération
Classification des données, sauvegarde cloud ou autres, tests, …
Mettez à jour TOUS vos systèmes informatiques
Vérifiez l’accès à vos ressources IT
IAM, politique de mots de passe, …
Formez vos collaborateurs
Préparez-vous à faire face aux incidents
Démarche prioritaire
à https://economie.fgov.be/fr/publications/cybersecurite-votre-entreprise Crédits « visuels » flaticon.com

7. 7

8. 8
Après ?

9. 9
Gestion d’un incident de sécurité ?
Gestion de
l’incident
Reprise après
incident
Préparation
Incident

10. 10
Préparation
Préparation = Anticiper
Prévention >
travailler sur la survenance
Protection >
Réduire l’impact d’un incident

11. 11
des entreprises se disent ne pas
être suffisamment préparées en
cas de cyberattaques de grande
ampleur
61%
5ÈME ÉDITION DU BAROMÈTRE ANNUEL DU CESIN

12. 12
Cyber-résilience
≠
Sécurité informatique
Approche Business
Approche IT
Nécessité de changer le « mindset »

13. 13
Protéger les business
Quels sont les
processus business vitaux ?
Quels est leur niveau
de vulnérabilité ?
Quels niveaux de
dégradation sont acceptables ?
Quelles sont les ressources
qui soutiennent ces
processus vitaux ?
Quelles sont les compétences internes
pour faire face aux menaces ?
Quelles sont les opportunités d’une
élévation du niveau de sécurité ?
Quels sont les moyens
mis en œuvre pour les protéger ?
Quelles sont les menaces ?

14. 14
Quels sont les
processus business vitaux ?
Information Flow Model with Organisational Units Source: ECO EFFIZIENZ 2003
Quels niveaux de
dégradation sont acceptables ?
Confidentialité ?
Intégrité ?
Disponibilité ?
Tolérance ?
1 s
1 minute
1 heure
1 jour
1 semaine

15. 15

16. 16
Quelles sont les menaces ?

17. 17
Quelles sont les « sources » des menaces ?

18. 18
Identifiez les sources des menaces

19. 19
Identifiez les impacts possibles (EBIOS)
IMPACTS SUR LE FONCTIONNEMENT
• Impacts sur les missions
• Impacts sur la capacité de décision
IMPACTS HUMAINS
• Impacts sur la sécurité des personnes
• Impacts sur le lien social interne
IMPACTS SUR LES BIENS
• Impacts sur le patrimoine intellectuel ou culturel
• Impacts financiers
• Impacts sur l'image
AUTRES IMPACTS
• Impacts de non-conformité
• Impacts juridiques
• Impacts sur l'environnement
Crédits « visuels » flaticon.com

20. 20
Démarche

21. 21
Inventaires
> Avant de commencer, il faut disposer des éléments suivants :
Business IT
Les activités à protéger (y compris fixation des niveaux de
dégradation)?
Les actifs/ressources qui supportent ces activités
prioritaires ?
Le fonctionnement du système technique
Schéma technique de reprise (systèmes à réactiver et ordre)
ConsJtuJon de l’équipe de gesJon de l’incident
Catégorisation des incidents
…
Le rôle du
« business »
est essentiel

22. 22
Identifiez les parties prenantes d’une crise (non exhaustif)
Gestionnaire
de crise
Equipe IT Juristes Communication Direc=on
Police APD
Expert
Forensic
Clients Employés Partenaires
Expert
Sécurité
Rôle ?
Mandat ?
Coordonnées ?
… ?
Presse
…
… …
…
Interne
Externe
PP

23. 23
En cas d’une intrusion dans les systèmes : faut-il/peut-on débrancher ?
Source : Cybersécurite, Guide de ges=on des Incident, Cyber coali=on
Dommages ?
Preuves ?
Disponibilité ?
Engagements
contractuels ?
Conséquences ?
Signes aux pirates ?
Apprendre ?
Pour éviter l’improvisa>on,
il faut définir des schémas de réponse

24. 24
Testez les procédures
> Pour améliorer votre capacité de
réponse et pour réduire l’improvisation,
testez votre capacité à faire face à
différents types d’incidents
Fréquence
Impact
Travail par scénarios à Typologie et
« niveau d’incidents »
Equivalent aux exercices d’évacuation

25. 25
Exemples de scénarios

26. 26

27. 27

28. 28

29. 29

30. 30
Placer l’u?lisateur au centre de la sécurité

31. 31

32. 32
X
of all security incidents involve
human error.
UK Information Commissioner’s Office (2019)
of organizations report that employees
ignore cybersecurity guidelines
58%
90%
Netwrix 2020 Cyber Threats Report
of organizations rely on sticky notes for
password management
42% Ponemon Institute’s
The 2020 State of Password and Authentication
Security Behaviors Report
of users include their birthdate in their
password. Plenty of others use other
easily discoverable information such as
the name of their spouse, children, or
pet.
59%
Google / Harris Poll | October 2019

33. 33
10 comportements à risque les plus fréquents
Connecting computers to the Internet
through an insecure wireless network.
Not deleting information on their
computer when no longer necessary.
Sharing passwords with others.
Reusing the same password and
username on different websites.
Using generic USB drives not encrypted
or safeguarded by other means.
Leaving computers unattended when
outside the workplace.
Ponemon Institute (January 2012)
Losing a USB drive possibly containing
confidential data and not immediately
notifying their organization.
Working on a laptop when traveling and
not using a privacy screen.
Carrying unnecessary sensitive information
on a laptop when traveling.
Using personally owned mobile devices
that connect to their organization’s
network.

34. 34
1. Concevoir des mécanismes de sécurité
centrés sur l’utilisateur
2. Sensibiliser, Informer et former
3. Développer l’intelligence des utilisateurs
4. Changer la culture
5. Impliquer les utilisateurs dans le design
des dispositifs de sécurité
5pistes pour changer le postulat de base

35. 35
La problématique des mots de passe
+vv6Cp#(K9
33 années
$urfNaple$P1zza
6 SIÈCLES
https://password.kaspersky.com/fr/

36. 36
Les défis de la
sécurité
Construire la cohérence
sécurité
Fonctionnalités &
Ergonomie
Organisation et
pratiques managériales
Budgets

37. 37
Online
• Emails
• Vidéos
• GamesWebinars
• Online training
courses
• Organisation
Intranet
• Social media
Hybrid
• Run Scenarios,
Rehearsals,
Sandboxes, and
War-gaming
exercises
• Stories
• Offer incentives
• Tip Sheets
• FAQs
• Conduct ‘mock
attacks’.
Offine
• group training
sessions
• Flyers
• Workshops
• Events
• External expert
lectures
• Posters
2° Sensibiliser, Informer et former
ENISA Cyber Security Culture in organisations
2017

38. 38
Campagne réussie =
• Adapté à l’audience (Profils, formation, tâches, …)
• Ne pas être trop compliqué ou négatif
• Concret et factuel en vue de favoriser la mémorisation
• Etre en phase avec les « security policies » et les
valeurs de l’organisation

39. 39
Impliquer les utilisateurs dans le design des dispositifs de sécurité
Depuis quelques années, il y a
un intérêt croissant pour le
développement de mécanismes
de sécurité qui seraient
développés avec les utilisateurs !

40. 40
Les temps de la gestion d’un incident de sécurité
Incident
Gestion de
l’incident
Reprise après
incident
Tout le succès d’une opération
réside dans sa préparation.
Sun Tzu

41. 41
Merci pour votre attention
Crédits « visuels » flaticon.com & pixabay.com
Pour aller plus loin
Certificat en Management de la sécurité
des systèmes d’Information
OUVRAGE REVUE FORMATIONS