Cette formation a pour objectifs:
Comprendre l’application d’un système de management de la sécurité de l’information dans le contexte d’ISO/CEI 27001: 2013
Maîtriser les concepts, approches, normes, méthodes et techniques permettant une gestion efficace d’un SMSI
Etc.
Cette formation a pour objectifs:
Comprendre l’application d’un système de management de la sécurité de l’information dans le contexte d’ISO/CEI 27001: 2013
Maîtriser les concepts, approches, normes, méthodes et techniques permettant une gestion efficace d’un SMSI
Etc.
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
This amazing and unique event has taking place last saturday (29 Sept 2018) and has allowed cybersecurity enthusiasts from several regions of the Cameroon to meet and boost their capacity around a theme worthy of interest: APT type attacks.
During this workshop, the main focus was on exploring the MITRE approach with its ATT&CK framework for adversaries simulation, APT simulation.
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
This amazing and unique event has taking place last saturday (29 Sept 2018) and has allowed cybersecurity enthusiasts from several regions of the Cameroon to meet and boost their capacity around a theme worthy of interest: APT type attacks.
During this workshop, the main focus was on exploring the MITRE approach with its ATT&CK framework for adversaries simulation, APT simulation.
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Résistante consulting firm assists business leaders of
allsize entreprises with independent ratings, assessments,
proprietary methods and digital solutions to manage strategic and operational risks in order to take the good ones and benefit from opportunities arising. Our expertize:
entreprisewide risk management (ERM), crisis management, Business Continuity Management (BCM) and organizational resilience, Information Asset Protection and Corporate Security.gambadeacademy.com
La maîtrise des risques et l'intelligence économique au CEA - Frédéric MariotteLe_GFII
Intervention de Frédéric Mariotte, directeur adjoint central de la sécurité, en charge de la coordination de l’IE au CEA
Journée d'étude du GFII : Les nouvelles formes de l’Intelligence Economique pour la recherche scientifique
Absctract : Depuis 2009, l’Etat met en œuvre une « politique publique d’intelligence économique » au sein de laquelle la Recherche occupe une place essentielle. En tant qu’établissement public de Recherche, le CEA doit s’inscrire dans cette démarche et la formaliser en interne. L’excellence de sa recherche amont, son implication forte dans le tissu industriel et sa recherche appliquée dans des secteurs de souveraineté ont conduit depuis longtemps le CEA à mettre en œuvre des bonnes pratiques dans ce domaine de l’intelligence économique (IE). Pour identifier ses menaces, y compris celles liées à l’IE, le CEA a, depuis de nombreuses années, réalisé la cartographie de ses risques. Cette cartographie permet d’avoir une vision claire des principaux risques, de leurs sources potentielles, de leurs principales conséquences et des mesures mis en place (ou à mettre en place) pour les prévenir et limiter leur impact. Dans un premier temps, la présentation décrira la méthodologie de réalisation de la cartographie des risques du CEA et montrera comment elle apporte des éléments concrets à la gestion des risques liés à l’IE. La suite de l’exposé portera sur les actions que le CEA mène en termes d’IE (protection et maîtrise de l’information, veille stratégique, publications, valorisation, engagement dans des projets et structures internationaux, normalisation, communication de crise…) et sur des recommandations IE en cours de déploiement au CEA.
Source : http://www.gfii.fr/fr/document/les-nouvelles-formes-de-l-intelligence-economique-pour-la-recherche-presentations
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
Gérez la sécurité informatique et auditez ses outils !
Lors de cette formation vous allez :
- Connaître l’environnement informatique, les contrôles et les risques associés
- Détenir les techniques pour manager les risques informatiques
- Identifier les solutions pour auditer les contrôles informatiques
- Disposer d'un référentiel des contrôles informatiques sur les process achats et ventes
Suivez la formation vidéo par ici :
https://www.smartnskilled.com/tutoriel/formation-en-ligne-manager-et-auditer-les-risques-informatiques
Approche et management des risques 31000.pptxMohamed966265
Il s'agit d'une formation relative au management par les risques selon la démarche suivante:
1.Identification des risques
2. Analyse des risques
3. Evaluation des risques
4. Traitement des risques
5. Analyse du risque résiduel
6. Vérification et amélioration
La matrice des risques va nous permettre d'afficher les risques selon leur gravité, fréquence et détectabilité.
Le calcul de la criticité des risques va nous permettre de classer les risques selon 3 niveaux:
A. Risques acceptables
B. Risques non dangereux
C. Risques inacceptables
Agroalimentaire, la gestion du turnover dans les équipes maintenanceComsoce
Conférence co-organisée par le GP 11 « Maintenance et Fiabilité » et le GP53 « Agro Bio Industrie ».
Recruter et fidéliser les équipes de maintenance reste un problème stratégique pour les entreprises de l’agroalimentaire, comme c’est également le cas dans de nombreux autres secteurs industriels.
A travers les témoignages d’acteurs de l’agroalimentaire, cette conférence permettra de faire le point sur la situation et de présenter des pistes de réflexion.
Intervenant(s) :
Les intervenants et les thèmes qui seront abordés :
Gaelle Baudrino, Responsable Marketing, Emploi-MaintenanceIndustrielle.com
Marque employeur, un outil stratégique pour fidéliser et renforcer son attractivité
Yvan Lebrédonchel, Consultant chez Artesial
Retour du sondage "Motivation des techniciens et responsables maintenance dans l'IAA"
Alexis Coiseur, DRH Ferrero France
Evolution de la fonction maintenance dans l'industrie agroalimentaire et solutions face à ces mutations. Recrutement, stabilisation et formation des équipes maintenance.
Pascal HAMON, Directeur Industriel Adjoint, Groupe Cristal Union
Une politique Industrielle intégrant le terrain : intégration de la fonction maintenance dans la stratégie de l'entreprise
Cyril Faillat, Enseignant au Campus Aixois de Technologie, ENSAM et Cité Scolaire Vauvenargues
Un retour d’expérience de 10 ans sur la solution de l’Alternance en maintenance industrielle
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...Comsoce
Immobilier, actions, obligations, assurance vie mais aussi fiscalité ou investissement dans les entreprises, comment protéger ou tirer le meilleur parti de son épargne ?
Quels sont les impacts de la fiscalité et des incitations actuelles ? Qu'attendre au lendemain des élections ? Est-ce le bon moment pour prendre des risques et se positionner pour l'avenir ?
Dans un marché du travail tendu, les demandeurs d'emploi acquièrent un pouvoir de négociation qui leur permet d'améliorer la qualité de leurs emplois — c'est du moins ce que l'on croit généralement.
Michael Willcox, économiste, CIMT, a présenté des résultats qui révèlent un affaiblissement de la relation entre le resserrement du marché du travail et les indicateurs de qualité de l'emploi à la suite de la pandémie. Le resserrement du marché du travail a coïncidé avec la croissance des salaires réels pour une partie seulement des travailleurs : ceux qui occupent des emplois peu rémunérés nécessitant peu d'éducation. Plusieurs facteurs — notamment la composition du marché du travail, le comportement des travailleurs et des employeurs, et les pratiques du marché du travail — ont contribué à l'absence d'avantages pour les travailleurs. Ces facteurs feront l'objet d'une étude plus approfondie dans le cadre de travaux futurs.
Comment réindustrialiser la France et « sauver l’humanité » grâce à un club c...Nicolas Meilhan
Huit ans après la COP21, la transition énergétique est en panne sèche. Malgré les bonnes volontés, des normes de plus en plus sévères et des investissements pharaoniques dans les énergies renouvelables, nous échouons à décarboner l’économie mondiale. Huit ans après Le Bourget, l’Humanité persiste dans sa schizophrénie climatique. Alors que le réchauffement s’accélère en rythmant notre quotidien, la consommation mondiale de combustibles fossiles bat des records d’année en année.
Et le ciel continue de s’assombrir. Tandis que les pays émergents, Chine et Inde en tête, continuent de privilégier légitimement leur développement en augmentant significativement leur consommation de fossiles, une « bulle verte » est en train d’exploser en Europe. Eoliennes, panneaux solaires, hydrogène, voitures électriques et même Pompes à Chaleur tous les indicateurs sont dans le rouge vif. La faute notamment au prix des matières premières et aux taux d’intérêts qui ont érodé un peu plus la rentabilité déjà faible de projets verts.
Les politiques publiques aujourd’hui engagées nous dirigent vers le scénario SSP4 du GIEC correspondant à un réchauffement de 2,7° à l’horizon 2100. Un scénario principalement dans les mains des pays émergents. Comptant aujourd’hui pour 82% de la population mondiale, ils représenteront 90% des émissions à l’horizon 2050.
Face à cette situation il est impératif de changer de logiciel s’attaquant en priorité à l’électricité charbonnière (27% des émissions mondiales) concentrée à 93% dans un « club » de 14 pays produisant plus de 100 TWh/an. Parallèlement il faudrait constituer un « fonds climat » permettant d’aider les pays les plus pauvres à s’adapter aux conséquences du réchauffement dont 90% des victimes se situent dans les pays émergents.
Pour conjuguer les deux objectifs, nous proposons d’instaurer une taxe à l’importation égale à un quart du pourcentage électrique charbonnier sur les biens en provenance du « club des 14 ». Collectés par un organisme international, les fonds seraient ensuite redistribués aux pays les plus pauvres pour qu’ils puissent à la fois assurer leur transition et surtout s’adapter au réchauffement.
La méthode est triplement vertueuse. Renchérissant le prix des produits exportés, elle encouragerait le « Club 14 » à déplacer rapidement son électricité charbonnière vers des sources décarbonées, elle inciterait le consommateur à réorienter ses achats vers
des produits à empreinte carbone plus faible, elle permettrait aux pays les plus pauvres de financer massivement leurs projets d’atténuation et surtout d’adaptation indispensables à leur survie face au réchauffement climatique. Elle ne pourrait toutefois s’appliquer qu’avec un assentiment mondial voté au niveau de la Conférence des Parties.
Les données d’offres d’emplois en ligne d'entreprises telles que Vicinity Jobs servent de plus en plus de complément aux sources traditionnelles de données sur la demande de main-d'œuvre, telles que les enquêtes sur les postes vacants et les salaires (EPVS). Ibrahim Abuallail, candidat au Ph. D., Université d’Ottawa, a présenté la recherche relative aux biais dans les offres d’emploi en ligne et une approche proposée pour rajuster efficacement les données de ces offres d’emploi afin de compléter les données officielles existantes (telles que celles des EPVS) et d'améliorer la mesure de la demande de main-d'œuvre.
Les offres d’emploi en ligne deviennent une ressource essentielle pour les décideurs et les chercheurs qui étudient le marché du travail. Le CIMT continue de travailler avec les données de Vicinity Jobs tirées des offres d’emploi en ligne, qui peuvent être analysées dans notre
tableau de bord des tendances de l'emploi au Canada. Notre analyse des données provenant des offres d’emploi en ligne a permis d'obtenir des informations précieuses, notamment le
récent rapport
de Suzanne Spiteri sur l'amélioration de la qualité et de l'accessibilité des offres d'emploi afin de réduire les obstacles à l'emploi pour les personnes neurodivergentes.
Les données de Vicinity Jobs englobent plus de trois millions d'offres d'emploi en ligne pour 2023 ainsi que des milliers de compétences. La plupart des compétences apparaissent dans moins de 0,02 % des offres d'emploi, de sorte que la plupart des offres reposent sur un petit sous-ensemble de termes couramment utilisés, comme le travail en équipe.
Laura Adkins-Hackett, économiste, CIMT, et Sukriti Trehan, scientifique de données, CIMT, ont présenté leurs recherches sur les tendances relatives aux compétences répertoriées dans les offres d’emploi en ligne afin de mieux comprendre les compétences les plus en demande. Ce projet de recherche utilise l'information mutuelle spécifique et d'autres méthodes pour extraire davantage d'informations sur les compétences communes à partir des relations entre les compétences, les professions et les régions.
La capacité de travailler en équipe est-elle vraiment importante ? Au-delà de...
EBIOS Risk Manager
1.
2. 2
2
Feedback
1 2 3 4 5 6
Marseille
Ship Owner
President Attack
High Sea Pirate
Targeting
Business Process
Compromise
Antwerp Port
Business Process
Compromise
Maërsk paralysed by
NotPetya
Business Process Compromise
US 7th Fleet
Operational Break
Business Process
Compromise
GOALS OF THE
ATTACK
Mone
y
Paralysis of
the
operations
SEVERITY OF THE
IMPACT
Low High Extreme
> Maritime sector
3. Evolution du contexte
3
ANCIEN PARADIGME
• SI faiblement interconnectés
• Menaces peu sophistiquées
• Règlementation et état de l’art
peu matures
Approche forteresse
4. Un nouveau paradigme
4
ANCIEN PARADIGME
• SI faiblement interconnectés
• Menaces peu sophistiquées
• Règlementation et état de l’art
peu matures
NOUVEAU PARADIGME
• Bouleversement numérique
• Prolifération des menaces
• Règlementation et état de l’art
matures
Approche forteresse
5. Carte d’identité de la méthode EBIOS Risk Manager
5
Risk managers
RSSI
Chefs de projet
Offrir une compréhension partagée des risques
cyber entre les décideurs et les opérationnels
• Une synthèse entre conformité et scénarios
• Une valorisation de l’état de la menace
• Une prise en compte de l’écosystème
• Un moteur de l’organisation de
management du risque
CIBLE
FONDAMENTAUX
VISION
VALEURS
CONCRÈTE EFFICIENTE CONVAINCANTE COLLABORATIVE
6. La pyramide du management du risque numérique :
le concept phare de EBIOS RM
6
PRINCIPES DE BASE ET HYGIENE
CADRE REGLEMENTAIRE ET
NORMATIF
APPRECIATION
DES RISQUES
NUMERIQUES
Approche par
« scénarios »
Approche par
« conformité »
AVANCÉ
CIBLÉ
ÉLABORÉ
SIMPLE
LARGESPECTRE
NIVEAUDESCYBERATTAQUES
7. EBIOS RM : une nouvelle méthode basée sur 5 ateliers
7
ATELIER 3
SCENARIOS
STRATEGIQUES
SYSTEME
MODULE 4
SCENARIOS SUPPORTS
ECOSYSTEME
ATELIER 1
CADRAGE ET
SOCLE DE
SECURITE
ATELIER 2
SOURCES DE
RISQUE
CYCLE OPERATIONNEL
CYCLE STRATEGIQUE
ATELIER 4
SCENARIOS
OPERATIONNELS
ATELIER 5
TRAITEMENT
DU RISQUE
8. Construire des scénarios du point de vue de l’attaquant
8
QUI ?
POUR FAIRE QUOI ?
Un ou plusieurs attaquants
Un chemin d’attaque exploitant généralement
plusieurs vecteurs et/ou vulnérabilités
vecteur initial
Une ou plusieurs finalités
Une cible
COMMENT ?
9. Valoriser la connaissance de la menace
9
Etatique
Crime organisé
Terroriste
Hacktiviste idéologique
Technique et spécialisé
Amateur
Vengeur
Concurrent
Espionnage, intelligence
économique
Pré-positionnement
stratégique
Agitation, propagande
Sabotage : destruction
Sabotage : neutralisation
Fraude, lucratif
Opportunisme, collatéral
Jeu, amusement, ludique
11. Evaluer le risque associé
aux parties prenantes de l’écosystème
11
Maturité SSI
Quelles sont les
capacités
de la partie prenante
en matière de sécurité ?
Confiance
Est-ce que les intentions ou
les intérêts de la partie
prenante peuvent m’être
contraires ?
FIABILITE CYBER
EXPOSITION
Dépendance
La relation avec cette
partie prenante est-elle
vitale pour mon activité ?
Pénétration
Dans quelle mesure la
partie prenante accède-t-
elle à mes ressources
internes ?
Niveau de menace
Dépendance x Pénétration
Maturité x Confiance
Pour chaque partie prenante, évaluer 4 critères :
Objectif : identifier les parties prenantes de l’écosystème et évaluer le niveau de menace qu’elles font peser
sur l’organisation
12. Présentation d’un exemple
12
• Entreprise leader dans la conception et la
fabrication de vaccins
• Entreprise OIV
• Faible maturité SSI
• Menaces majeures : espionnage, terrorisme
ENTREPRISE
RISQUES
SCENARIO STRATEGIQUE
SCENARIO PRATIQUE
SOCIÉTÉ DE BIOTECHNOLOGIEECOSYSTÈME
CONCURRENT
(AVEC L’AIDE PROBABLE
D’OFFICIN ES)
Etudeset
recherches
Canal d’exfiltration direct
PRESTATAIRE
MAIN TEN AN CE
IN FORMATIQUE (F2)
Canal d’exfiltration
Copie d’une partie
desdonnées
Etudeset
recherches
LABORATOIRE (F3)
Canal d’exfiltration
CONNAITRE TROUVER MAITRISERRENTRER
Reconnaissance
externe
9 000€ 98,4%
Création d’un
maliciel
0€ 100%
Intrusion via un
mail de
hameçonnage
800€ 100%
Intrusion via le
site du CE
(trou d’eau)
2 000€ 100%
Corruption de
personnel équipe
R&D
600 000€ 10%
Reconnaissance
interne
30 000€ 70%
Elévation de
privilèges
44 000€ 64,2%
Création et
maintien du canal
d’exfiltration
85 500€ 56,2%
Vol et
exploitation de
données de R&D
Etape finale
Corruption de
personnel*
30 000€ 73,1%
Clients
Prestataires
Partenaires
5
4
3
2
1
0
MENACE ASSOCIEE
Objetdel'étude
14. La colonne vertébrale
14
UN CONCEPT
UNE ORGANISATION
ET DES VALEURS
UN PROCESSUS
D’INTEGRATION
UNE METHODE
D’ANALYSE DE RISQUE
ATELIER 3
SCENARIOS
STRATEGIQUES
SYSTEME
MODULE 4
SCENARIOS SUPPORTS
ECOSYSTEME
ATELIER 1
CADRAGE ET
SOCLE DE
SECURITE
ATELIER 2
SOURCES DE
RISQUE
CYCLE PRATIQUE
CYCLE STRATEGIQUE
ATELIER 4
SCENARIOS
PRATIQUES
ATELIER 5
TRAITEMENT
DU RISQUE
16. Où en est le projet ?
18
Kit de formation établi avec le Club Ebios. Formation des formateurs.
Labellisation de formateurs par le Club Ebios.
Méthode en cours de maquettage. Bases de connaissances génériques
intégrées à la méthode grand public. Déclinaison ministérielle et sectorielle.
Promotion en France : Assises de la sécurité (sortie officielle), FIC, Club Ebios.
Promotion à l’international : UE, OTAN.
Labellisation de solutions logicielles : plus de 15 réponses à l’appel à
manifestation lancé par l’ANSSI.
17. 19
19
A new concept for improving risk management
Focus: cyber risk management framework
Accreditation Integration of CIS in the RM Organization
BUSINESS
ACTIVITY
CIS
…
NEW
ISO 27005
2013/488/EU
SRA method
…
Audits
Certification
…
Expertise
(Tempest, Infosec, Security
products,
Cryptology, Physical
security, Patching, IDS, Logs
analysis…)
Accreditation
commission
Scoping
Orientations
Major security
objectives…
18. A modern risk management framework
Security architecture
Security administration
Identity and access management
Security maintenance
Physical and environmental security
TEMPEST security
Detection
Computer security
incident management
DETEC
T
CLASSIF
Y
RESPO
ND
Continuity of operations
Crisis management
ISO
2700x
19. Gérer notre écosystème
21
Clients
Prestataires
Partenaires
5
4
3
2
1
0
<3 3-6 7-9 >9
EXPOSITION
FIABILITE CYBER
<4 4-5 6-7 >7
C1 – ETABLISSEMENTS
DE SANTE
C2 – PHARMACIES
F3 – PRESTATAIRE
INFORMATIQUE
P1 – UNIVERSITES
P2 – REGULATEURS
F1 – FOURNISSEURS
INDUSTRIELS CHIMISTES
F2 – FOURNISSEURS DE
MATERIEL
Objetdel'étude
C3 – GROSSISTES
REPARTITEURS P3 – LABORATOIRES
Zone de danger
(Seuil : 2.5)
Zone de veille
(Seuil : 0.2)
Zone de contrôle
(Seuil : 0.9)
20. Définir des scénarios opérationnels
22
CONNAITRE EXPLORER
MAITRISER
EXPLOITER
ATTAQUER
RENTRER
Intrusion via mail
de hameçonnage
sur service RH
Intrusion via le
site du CE
(trou d’eau)
Corruption d’un
personnel de
l’équipe R&D
Vol et exploitation
de données de
R&DCorruption d’un
prestataire d’entre-
tien des locaux
Reconnaissance
externe avancée
Reconnaissance
interne réseaux
bureautique & IT
site de Paris
Latéralisation vers
réseau LAN R&D
Exploitation
maliciel de collecte
et d’exfiltration
Intrusion via un
canal d’accès
préexistant
Création et
maintien d’un canal
d’exfiltration via un
poste Internet
Clé USB piégée
connectée sur un
poste de R&D
Reconnaissance
externe sources
ouvertes
1
2
3
21. Participants : Direction, Métiers, RSSI, DSI
Atelier 1 : Cadrage et socle de sécurité
23
Livrables :
Eléments de cadrage
Périmètre métier et technique : missions, valeurs métier, biens supports
Evènements redoutés et niveau de gravité
Socle de sécurité : liste des référentiels applicables, état d’application,
identification des écarts/dérogations
Objectif : Définir le cadre de l’étude, son périmètre métier et technique et le socle
de sécurité
22. Définir le périmètre métier et technique
24
Mission Identifier et fabriquer des vaccins
Dénomination de la valeur métier Recherche & développement (R&D) Fabriquer des vaccins Traçabilité et contrôle
Nature de la valeur métier
(processus ou information)
Processus Processus Information
Description
Activité de recherche et développement des vaccins nécessitant :
• l’identification des antigènes ;
• la production des antigènes (vaccin vivant atténué, inactivé, sous-
unité) : fermentation (récolte), purification, inactivation, filtration,
stockage ;
• l’évaluation préclinique ;
• le développement clinique.
Activité consistant à réaliser :
• le remplissage de
seringues (stérilisation,
remplissage; étiquetage)
• le conditionnement
(étiquetage et emballage)
Informations permettant
d’assurer le contrôle qualité et
la libération de lot (exemples :
antigène, répartition
aseptique, conditionnement,
libération finale…)
Entité ou personne responsable
(interne/externe)
Pharmacien Responsable production Responsable qualité
Dénomination du/des biens
supports associés
Serveurs
bureautiques
(internes)
Serveurs
bureautiques
(externes)
Systèmes de
production des
antigènes
Systèmes de production
Serveurs bureautiques
(internes)
Description
Serveurs
bureautiques
permettant de
stocker l’ensemble
des données de R&D
Serveurs
bureautiques
permettant de
stocker une partie des
données de R&D
Ensemble de
machines et
équipements
informatiques
permettant de
produire des
antigènes
Ensemble de machines et
équipements informatiques
permettant de fabriquer des
vaccins à grande échelle
Serveurs bureautiques
permettant de stocker
l’ensemble des données
relatives à la traçabilité et au
contrôle, pour les différents
processus
Entité ou personne responsable
(interne/externe)
DSI Laboratoires Laboratoires
DSI + Fournisseurs de
matériel
DSI
Objectif : identifier les valeurs métiers et les biens supports considérés comme les plus importants ou
sensibles pour l’organisation (pas de recherche de l’exhaustivité pour ne pas alourdir l’analyse)
23. Identifier les évènements redoutés
25
Valeur métier Evènement redouté Impacts Gravité
R&D
Perte ou destruction des informations d’études et
recherches
• Impacts sur les missions et services de l’organisme
• Impacts sur les coûts de développement
2
Altération des informations d’études et recherches
aboutissant à une formule de vaccin erronée
• Impacts sur la sécurité ou la santé des personnes
• Impacts sur l’image et la confiance
• Impacts juridiques
3
Fuite des informations d’études et recherches de
l’entreprise
• Impacts financiers 3
Interruption des phases de tests des vaccins pendant
plus d’une semaine
• Impacts sur les missions et services de l’organisme
• Impacts financiers
2
Fabriquer des
vaccins
Fuite du savoir-faire de l’entreprise concernant le
processus de fabrication des vaccins et de leurs tests
qualité
• Impacts financiers 2
Interruption de la production ou de la distribution de
vaccins pendant plus d’une semaine pendant un pic
d’épidémie
• Impacts sur la sécurité ou la santé des personnes
• Impacts sur l’image et la confiance
• Impacts financiers
4
Traçabilité et
contrôle
Altération des résultats des contrôles qualité
aboutissant à une non-conformité sanitaire
• Impacts sur la sécurité ou la santé des personnes
• Impacts sur l’image et la confiance
• Impacts juridiques
4
Objectif : (faire) prendre conscience des enjeux de sécurité sur les valeurs métiers considérées comme
étant les plus importantes pour l’organisation
24. Déterminer le socle de sécurité
26
Type de
référentiel
Nom du référentiel
Etat
d’application
Ecarts/Dérogations Justification des dérogations
Bonnes
pratiques
Guide pour l’élaboration
d’une PSSI
Appliqué
Bonnes
pratiques
Guide d’hygiène
informatique
Appliqué avec
restrictions
Règle 1 : former les équipes opérationnelles à la
sécurité des SI
A compléter suite à l’analyse de risques
Règle 3 : maitriser les risques de l’infogérance A compléter suite à l’analyse de risques
Règle 8 : identifier nommément chaque personne
accédant au système
A compléter suite à l’analyse de risques
Règle 12 : changer les éléments d’authentification
par défaut sur les équipements et services
A compléter suite à l’analyse de risques
Règle 25 : sécuriser les interconnexions réseau
dédiées avec les partenaires
A compléter suite à l’analyse de risques
Règle 31 : chiffrer les données sensibles A compléter suite à l’analyse de risques
Bonnes
pratiques
Sécuriser les dispositifs de
vidéo protection
Appliqué
Bonnes
pratiques
Maitriser la SSI pour les
systèmes industriels
Non appliqué Intégralité du guide A compléter suite à l’analyse de risques
Etat d’application des bonnes pratiques de sécurité numérique :
Objectif : adopter une démarche « par conformité » correspondant aux deux premiers étages
de la pyramide de management du risque numérique
25. Participants : Direction, Métiers, RSSI, (Spécialiste analyse de la menace cyber)
Atelier 2 : Sources de risque
27
Livrables :
Liste des couples SR/OV prioritaires retenus pour la suite de l’étude
Liste des couples SR/OV secondaires, qui seront si possible mis sous
surveillance
Représentation des SR/OV sous la forme d’une cartographie
Objectif : Identifier les sources de risque (SR) et leurs objectifs visés (OV) en lien
avec l’objet de l’étude
26. Identifier, évaluer et sélectionner
les couples SR/OV
28
Sources de
risque
Objectifs visés Motivation Ressources Activité Pertinence
Couple
retenu
Hacktiviste
Saboter la prochaine campagne nationale de
vaccination en perturbant la production ou
distribution des vaccins, pour générer un choc
psychologique sur la population et discréditer les
pouvoirs publics
++ + ++ Moyenne Oui
Concurrent
Voler des informations en espionnant les travaux de
R&D pour obtenir un avantage concurrentiel
+++ +++ +++ Elevée Oui
Hacktiviste
Divulguer au grand public des informations sur la
façon dont les vaccins sont conçus en collectant des
photos et vidéos des tests animaliers pour rallier
l’opinion publique à sa cause
++ + + Faible Non
Objectif : rendre l’appréciation des risques plus concrète et ancrée sur la réalité de la menace numérique
27. Participants : Métiers, Architectes fonctionnels, RSSI, (Spécialiste cybersécurité)
Atelier 3 : Scénarios stratégiques
29
Livrables :
Cartographie de menace de l’écosystème et les parties prenantes critiques
Scénarios stratégiques dimensionnants et évènements redoutés
Mesures de sécurité retenues pour l’écosystème
Objectif : Identifier les parties prenantes critiques de l’écosystème et construire
des scénarios de risque de haut niveau (scénarios stratégiques)
28. Evaluer le risque associé
aux parties prenantes de l’écosystème
30
Maturité SSI
Quelles sont les
capacités
de la partie prenante
en matière de sécurité ?
Confiance
Est-ce que les intentions ou
les intérêts de la partie
prenante peuvent m’être
contraires ?
FIABILITE CYBER
EXPOSITION
Dépendance
La relation avec cette
partie prenante est-elle
vitale pour mon activité ?
Pénétration
Dans quelle mesure la
partie prenante accède-t-
elle à mes ressources
internes ?
Niveau de menace
Dépendance x Pénétration
Maturité x Confiance
Pour chaque partie prenante, évaluer 4 critères :
Objectif : identifier les parties prenantes de l’écosystème et évaluer le niveau de menace qu’elles font peser
sur l’organisation
29. Exemple de cartographie de menace
numérique de l’écosystème
31
Clients
Prestataires
Partenaires
5
4
3
2
1
0
<3 3-6 7-9 >9
EXPOSITION
FIABILITE CYBER
<4 4-5 6-7 >7
C1 – ETABLISSEMENTS
DE SANTE
C2 – PHARMACIES
F3 – PRESTATAIRE
INFORMATIQUE
P1 – UNIVERSITES
P2 – REGULATEURS
F1 – FOURNISSEURS
INDUSTRIELS CHIMISTES
F2 – FOURNISSEURS DE
MATERIEL
Objetdel'étude
C3 – GROSSISTES
REPARTITEURS P3 – LABORATOIRES
Zone de danger
(Seuil : 2.5)
Zone de veille
(Seuil : 0.2)
Zone de contrôle
(Seuil : 0.9)
30. Définir les scénarios stratégiques
« Un concurrent veut voler des informations en espionnant les travaux de recherche & technologies pour obtenir un
avantage concurrentiel »
Gravité du scénario : 3 - grave
32
SOCIÉTÉ DE BIOTECHNOLOGIEECOSYSTÈME
CONCURRENT
Informations
de R&D
Canal d’exfiltration direct
PRESTATAIRE INFORMATIQUE
(F3)
Canal d’exfiltration Une partie des
informations de R&D
LABORATOIRE (P3)
Canal d’exfiltration
Objectif : disposer de scénarios compréhensibles par tous tenant compte des parties prenantes de
l’écosystème
31. Participants : RSSI, DSI, (Spécialiste cybersécurité)
Atelier 4 : Scénarios opérationnels
33
Livrables :
Scénarios opérationnels
Evaluation des scénarios opérationnels en termes de vraisemblance
Objectif : Construire les scénarios opérationnels schématisant les modes
opératoires techniques qui seront mis en œuvre par les sources de risque
32. Des scénarios opérationnels
basés sur un modèle de cyber kill chain ®
34
CONNAITRE
> Corruption
> Reconnaissance
externe
EXPLORER
MAITRISER
> Corruption
> Reconnaissance
interne
> Latéralisation et
élévation de
privilèges
EXPLOITER
ATTAQUER
> Corruption
> Pilotage et
exploitation de
l’attaque
RENTRER
> Corruption
> Intrusion
depuis Internet
> Intrusion ou
piège physique
33. Définir les scénarios opérationnels
et évaluer leur vraisemblance
35
CONNAITRE EXPLORER
MAITRISER
EXPLOITER
ATTAQUER
RENTRER
Intrusion via mail
de hameçonnage
sur service RH
Intrusion via le
site du CE
(point d’eau)
Corruption d’un
personnel de
l’équipe R&D
Vol et exploitation
de données de
R&DCorruption d’un
prestataire d’entre-
tien des locaux
Reconnaissance
externe avancée
Reconnaissance
interne réseaux
bureautique & IT
site de Paris
Latéralisation vers
réseau LAN R&D
Exploitation
maliciel de collecte
et d’exfiltration
Intrusion via un
canal d’accès
préexistant
Création et
maintien d’un canal
d’exfiltration via un
poste Internet
Clé USB piégée
connectée sur un
poste de R&D
Reconnaissance
externe sources
ouvertes
V 4 (4)
V 3 (3)
V 5 (4)
(4)
V 5 (4)
Vglobale 4
(2)
(3)
(4)
1
2
3
V 4 (4)
V 5 (4)
V 2 (2)
V 4 (3)V 3 (3) V 4 (3)
V 4 (4)
V 5 (4)
34. Participants : Direction, Métiers, RSSI, DSI
Atelier 5 : Traitement du risque
36
Livrables :
Stratégie de traitement du risque
Synthèse des risques résiduels
Plan d’amélioration continue de la sécurité
Cadre du suivi des risques
Objectif : Définir une stratégie de traitement du risque et identifier les risques
résiduels
35. Définir une stratégie de traitement du risque
37
Scénarios de risques :
R1 : Un concurrent vole des informations de R&D grâce à
un canal d’exfiltration direct
R2 : Un concurrent vole des informations de R&D en
exfiltrant celles détenues par le laboratoire
R3 : Un concurrent vole des informations de R&D grâce à
un canal d’exfiltration via le prestataire informatique
R4 : Un hacktiviste provoque un arrêt de la production des
vaccins en compromettant l’équipement de maintenance
du fournisseur de matériel
R5 : Un hacktiviste perturbe la distribution de vaccins en
modifiant leur étiquetage
Vraisemblance
Gravité
4
3
2
1
21 3 4
R3R2 R1
R4R5
Objectif : valider une stratégie de traitement du risque et définir des mesures de sécurité pour traiter le
risque (gouvernance, protection, défense, résilience)
37. Comment passer de la version 2010
à cette nouvelle version d’EBIOS ?
Les analyses de risques
précédentes ont permis
d’identifier et mettre en œuvre
des mesures de sécurité pour
gérer les risques
Ces mesures sont directement
prises en compte lors de la
définition du socle de sécurité,
dans l’atelier 1 de la nouvelle
méthode EBIOS
39
39. Exemple de plan d’amélioration
continue de la sécurité (PACS)
41
Mesure de sécurité
Scénarios
de risques
associés
Responsable Freins et difficultés de mise en œuvre
Coût /
Complex.
Echéance Statut
Gouvernance
Sensibilisation renforcée au hameçonnage par un prestataire spécialisé R1 RSSI Validation du CHSCT indispensable + 6 mois
En
cours
Audit de sécurité technique et organisationnel de l’ensemble du SI
bureautique par un PASSI
R1, R5 RSSI ++ 3 mois A lancer
Intégration d’une clause de garantie d’un niveau de sécurité satisfaisant
dans les contrats avec les prestataires et laboratoires
R2, R3, R4
Equipe
juridique
Effectué au fil de l’eau à la renégociation des
contrats
++ 18 mois
En
cours
Audit de sécurité organisationnel des prestataires et laboratoires clés. Mise
en place et suivi des plans d’action consécutifs
R2, R3, R4 RSSI
Acceptation de la démarche par les
prestataires et laboratoires
++ 6 mois A lancer
Limitation des données transmises aux laboratoires au juste besoin R2 Equipe R&D + 3 mois Terminé
Protection
Protection renforcée des données de R&D sur le SI (pistes : chiffrement,
cloisonnement)
R1, R3 DSI +++ 9 mois
En
cours
Renforcement du contrôle d’accès physique au bureau R&D R1 Equipe sûreté ++ 3 mois Terminé
Dotation de matériels de maintenance administrées par la DSI et qui
seront mis à disposition du prestataire sur site
R4 DSI ++ 9 mois A lancer
Renforcement de la sécurité du système industriel selon les
recommandations ANSSI
R4, R5
RSSI / DSI /
Sûreté
Stratégie et plan d’action à définir et valider +++ 12 mois A lancer
Chiffrement des échanges de données avec les laboratoires R2 DSI
Identifier le produit de chiffrement et le faire
accepter par les laboratoires
++ 9 mois A lancer
Défense
Surveillance renforcée des flux entrants et sortants (sonde IDS). Analyse
des journaux d’évènements à l’aide d’un outil.
R1 DSI Achat d’un outil, budget à provisionner ++ 9 mois A lancer
Résilience
Renforcement du plan de continuité d’activité R4, R5
Equipe
continuité
d’activité
++ 6 mois
En
cours