Péril viral numérique vs biologique

1. Thierry PERTUS
EBIOS RISK MANAGER
Péril viral numérique vs biologique
Etudes de cas par l’illustration

2. Ecosystème
de la défense
potentielle
Cryptovirus / Ransomware : modélisation de scénarios de risque selon EBIOS RM
Vision stratégique
de la menace
potentielle
Ecosystème
de la menace
potentielle
Vision opérationnelle
de la menace
et de la défense
potentielles
Tiers-
contractant
(PPC)
Activités critiques
(VM)
Activité bureautique
(VM)
Gain financier
(OV)
Propagation virale via partage en réseau (faille Ethernal Blue, …)
Etablissement d’un canal C&C par tunneling vers Internet
Cyber-attaque
indirecte
Point de vue
organisation
impactée
Posture offensive
Système de messagerie
Boîte aux lettres messagerie
Poste de travail
(BS)
Organisation cybercriminelle
(SR)
Auteur : Thierry PERTUS
EI
AE
Non-délivrance
du service |
Fuite de données clients
Clients
Usagers
(PPC)
ER
Paiement de la rançon en bitcoin contre la clé de déchiffrement des données
ER
Entrave au fonctionnementPerte massive de données
Légende
Source de Risque (SR) | Objectif Visé (OV) | Partie Prenante Critique (PPC) | Valeur Métier (VM) | Bien Support (BS)
préjudiciable | bénéfique
Intrusion à distance de systèmes exposés avec dépôt de charge virale
¨Phishing ciblé ou non avec pièce jointe malveillante
ou lien vers un site compromis (water hole)
Compromission de poste par un cheval de Troie
Notification de la demande de rançon avec instructions (pop-up, note, …)
Média amovible infecté par une charge virale
Compromission de système par un cheval de Troie
Cyber-attaque
directe
AE
Systèmes critiques en production
(plateformes en ligne,
applicatifs métier, produits,
systèmes industriels,
infrastructures, …)
(BS)
AE
Prévention : PASSI / Pentest
Détection : PDIS / SOC
Mitigation : PRIS / CERT
Remédiation : MSSP
Indemnisation : Cyberassurance
(PPC)
Opération de maintenance
Système de fichiers en réseau
obsolètes | non durcis
non patchés | non protégés
(BS)
AE
Déplacement
Latéral
de l’attaquant
Infection
via canal tiers

3. Ecosystème
de la défense
potentielle
Pandémie virale (type COVID-19) : modélisation de scénarios de risque en systèmes complexes selon EBIOS RM (approche générique)
Vision stratégique
de la menace
potentielle
Ecosystème
de la menace
potentielle
Vision opérationnelle
de la menace
et de la défense
potentielles
Laboratoires pharmaceutiques
Géants du numérique
(PPC)
Laboratoire
d’infectiologie
(PPC)
Activités économiques et sociales
(VM)
Sécurité sanitaire
(VM)
Personnes âgées
Personnes souffrant de maladies
chroniques (comorbidités)
(BS)
Système de santé public-privé
(BS)
Entreprises
Indépendants
Institutions
publiques
Associations
(BS)
Influence
(lobbying)
Leadership
idéologique
(OV)
Gain financier
(OV)
Posture opportuniste
Vaccin antiviral, Traitements préventifs | palliatifs
Discours infantilisant | contradictoire
Manipulation biaisée des données
Décisions technocratiques
inappropriées | coercitives | incohérentes
(confinement généralisé,
restrictions sociales injustifiées, …)
Contrôle aux frontières nationales
Dispositifs de dépistage (antigéniques,
virologiques, sérologiques, …)
Dispositifs d’alerte (mobile apps, …)
Gestes barrières (masques, hygiène, …)
Saturation des unités médicales
de soins intensifs déficientes
(assistance respiratoire,
réanimation, …)
Contamination virale initiale
(patient zéro, 1ère vague)
Pandémie
virale
mondiale
Arbitrage selon appétence aux risques sociétaux versus principe d’hyperprécaution
Point de vue
nation impactée
(« Absurdistan »)
Posture offensive
Collusion |
Complotisme
Personnel exposé en 1ère ligne
(BS)
Concurrence déloyale,
abus de position dominante
Contamination virale
Organisation terroriste
Organisation activiste
Organisation étatique
Organisation criminelle
(SR)
Propagation virale [après mutation] Système immunitaire
Fermeture administrative
Chômage technique
Aides financières et fiscales (endettement)
Protocole sanitaire
Auteur : Thierry PERTUS
EI
AE
AE
AE
AE
Distanciation
physique
et sociale
AE
AE
Télétravail
AE
Institutions
gouvernementales
et scientifiques
(PPC)
EI
ER
Perte de contrôle | Crise économique et sociale
ER
Entrave au fonctionnement durablePertes humaines massives
Légende
Source de Risque (SR) | Objectif Visé (OV) | Partie Prenante Critique (PPC) | Valeur Métier (VM) | Bien Support (BS)
Influence des séniors
(poids électoral)
Solutions
digitales
Plateformes digitales
Stratégie phygitale
Confinement ciblé
Stratégie commerciale agressive
Gestion de crise bureaucratique | erratique
Exposition inconsidérée
à la contamination virale
préjudiciable | bénéfique
Fuite (accident/négligence) | Exfiltration (espionnage industriel /arme biologique) de charge virale
Population
(BS)

4.  Thierry PERTUS
Consultant Sénior en Cyber Risk & Security Management
Certifications professionnelles RNCP (diplômes délivrés en France) :
Enterprise Risk Manager [AMRAE, CEFAR 2019]
Ingénieur Réseaux & Télécoms [ESIGELEC, 1999]
Certification professionnelle en Sécurité de l’Information :
CISM [ISACA]
Certification normative en Enterprise Risk Management :
ISO 31000 Risk Manager [PECB]
Certifications normatives en Sécurité de l’Information :
ISO/IEC 27001 Lead Implementer [LSTI]
ISO/IEC 27005 Risk Manager [LSTI]