5. 5
La ges+on des incidents est un
sujet connu, balisé et bien
documenté !
Mon exposé portera donc sur
les points d’a=en+on, ce qui fait
la différence !
https://ccb.belgium.be/fr/document/cyber-security-incident-management-guide
12. 12
Pour changer l’approche, il est nécessaire de bénéficier du sou.en de la direc.on
Mais, trop souvent dans les organisa+ons, les instances
dirigeantes :
> Ne disposent pas des compétences minimales en
cybersécurité
> Considèrent que la cybersécurité est essen+ellement
un problème IT
> Ne comprennent pas les enjeux stratégiques de la sécurité
> N’ont pas connaissance des incidents de sécurité qui touche
l’organisa+on
> Ne disposent pas d’indicateurs de suivi (KPI)
M. Hepfer (MIT Sloan, 2020)
à Désigner un membre du board en charge de ces
problématiques.
13. 13
Les 4 dimensions de la cyber résilience
Protéger le
Business
Intégrer les
par+es prenantes
Traiter
Gérer les
conséquences
Avant
Incident
Après
Incident
Interne Externe
14. 14
Protéger les business
Quels sont les
processus business vitaux ?
Quel est leur niveau
de vulnérabilité ?
Quels niveaux de
dégradation sont acceptables ?
Quelles sont les ressources
qui sou7ennent ces
processus vitaux ?
Quelles sont les compétences internes
pour faire face aux menaces ?
Quelles sont les opportunités d’une
éléva7on du niveau de sécurité ?
Quels sont les moyens
mis en œuvre pour les protéger ?
Quelles sont les menaces ?
15. 15
Quels sont les
processus business vitaux ?
Information Flow Model with Organisational Units Source: ECO EFFIZIENZ 2003
Quels niveaux de
dégrada7on sont acceptables ?
Confidentialité ?
Intégrité ?
Disponibilité ?
Tolérance ?
1 minute
1 heure
1 jour
1 semaine
1 mois
19. 19
Iden%fiez les impacts possibles (EBIOS)
IMPACTS SUR LE FONCTIONNEMENT
• Impacts sur les missions
• Impacts sur la capacité de décision
IMPACTS HUMAINS
• Impacts sur la sécurité des personnes
• Impacts sur le lien social interne
IMPACTS SUR LES BIENS
• Impacts sur le patrimoine intellectuel ou culturel
• Impacts financiers
• Impacts sur l'image
AUTRES IMPACTS
• Impacts de non-conformité
• Impacts juridiques
• Impacts sur l'environnement
Crédits « visuels » fla1con.com
21. 21
Inventaires
> Avant de commencer, il faut disposer des éléments suivants :
Business IT
Les activités à protéger (y compris fixation des niveaux de
dégradation)?
Les ac7fs/ressources qui supportent ces ac7vités
prioritaires ?
Le fonc7onnement du système technique
Schéma technique de reprise (systèmes à réactiver et ordre)
Cons7tu7on de l’équipe de ges7on de l’incident
Catégorisa7on des incidents
…
Le rôle du
« business »
est essen0el
22. 22
Privilégiez la réac.vité et l’adapta.on, pas l’improvisa.on
• Qui est le référent interne pour les incidents de cybersécurité ?
Comment peut-il être contacté ?
• Qui évalue et comment l’impact de l’incident ?
• Technique, Business, juridique, …
• Quelles sont les différentes tâches à exécuter pour meGre en œuvre
la réponse en cas d'incident ? Et qui fait quoi ?
• Qui doit gérer l'incident sur le plan méLer/technique ? Il doit s'agir
d'un membre de votre entreprise détenant un pouvoir de décision et
qui suivra l'incident du début à la fin.
• Qui décide le déconnecter ou pas les systèmes ?
• Qui se chargera de la liaison avec la direcLon générale ?
• Qui est habilité à engager un partenaire externe spécialiste de la
réponse en cas d'incident ?
• Qui peut déposer une plainte auprès des autorités/informer les
instances de réglementaLon ?
• Qui est habilité à communiquer avec la presse et les parLes
prenantes externes ?
Adapté de Cybersécurite, Guide de ges0on des Incident, Cyber coali0on
23. 23
En cas d’une intrusion dans les systèmes : faut-il/peut-on débrancher ?
Source : Cybersécurite, Guide de ges0on des Incident, Cyber coali0on
Dommages ?
Preuves ?
Disponibilité ?
Engagements
contractuels ?
Conséquences ?
Signes aux pirates ?
Apprendre ?
24. 24
Iden.fiez les par.es prenantes d’une crise (non exhaus.f)
Ges0onnaire
de crise
Equipe IT Juristes Communica0on Direction
Police APD
Expert
Forensic
Clients Employés Partenaires
Expert
Sécurité
Rôle ?
Mandat ?
Coordonnées ?
Backups ?
… ?
Presse
…
… …
…
Interne
Externe
PP
25. 25
Testez les procédures
> Pour améliorer votre capacité de réponse
et pour réduire l’improvisa+on, testez
votre capacité à faire face à différents
types d’incidents
Fréquence
Impact
Travail par scénarios à Typologie et
« niveau d’incidents »
Équivalent aux exercices d’évacuaFon
A=en+on Cygne noir
32. 32
X
of all security incidents involve
human error.
UK Informa1on Commissioner’s Office (2019)
of organiza5ons report that employees
ignore cybersecurity guidelines
58%
90%
Netwrix 2020 Cyber Threats Report
of organiza5ons rely on s5cky notes for
password management
42% Ponemon Ins1tute’s
The 2020 State of Password and Authen1ca1on
Security Behaviors Report
of users include their birthdate in their
password. Plenty of others use other
easily discoverable informa5on such as
the name of their spouse, children, or
pet.
59%
Google / Harris Poll | October 2019
34. 34
ü Dossier pa7ent électronique
ü Plateforme d’accès aux analyses
ü Prescrip7ons électroniques
ü Équipements connectés
ü Pharmacie
ü Robots,….
Un hôpital « digital »
35. 35
Réalisa2on de prototypes de chariots de soins connectés
(visite des pa<ents hospitalisés)
Objec2fs :
- Accès aux informa2ons les plus récentes
(analyses, imageries, notes, …)
- Encodage direct
- Paperless
Sa2sfac2on des u2lisateurs : 5/5
Sécurité :
38. 38
Que retenir de cet exemple ?
§ Tensions entre
« Business » et « sécurité »
§ Objec2fs à CT divergents
§ Mécanismes adaptés aux tâches ?, …
§ Culture Cyber sécurité ?
40. 40
10 comportements à risque les plus fréquents
Connec&ng computers to the Internet
through an insecure wireless network.
Not dele&ng informa&on on their
computer when no longer necessary.
Sharing passwords with others.
Reusing the same password and
username on different websites.
Using generic USB drives not encrypted
or safeguarded by other means.
Leaving computers unaCended when
outside the workplace.
Ponemon InsBtute (January 2018)
Losing a USB drive possibly containing
confiden&al data and not immediately
no&fying their organiza&on.
Working on a laptop when traveling and
not using a privacy screen.
Carrying unnecessary sensi&ve informa&on
on a laptop when traveling.
Using personally owned mobile devices
that connect to their organiza&on’s
network.
41. 41
1. Concevoir des mécanismes de sécurité
centrés sur l’u?lisateur
2. Sensibiliser, Informer et former
3. Développer l’intelligence des u?lisateurs
4. Changer la culture
5. Impliquer les u?lisateurs dans le design
des disposi?fs de sécurité
5pistes pour changer le postulat de base
44. 44
75%des u2lisateurs ne suivent pas les
recommanda2ons du message
de sécurité
Google(2015)
Les applica7ons (et interfaces) sont-elles ergonomiques ?
49. 51
Online
• Emails
• Vidéos
• GamesWebinars
• Online training
courses
• Organisation
Intranet
• Social media
Hybrid
• Run Scenarios,
Rehearsals,
Sandboxes, and
War-gaming
exercises
• Stories
• Offer incentives
• Tip Sheets
• FAQs
• Conduct ‘mock
attacks’.
Offine
• group training
sessions
• Flyers
• Workshops
• Events
• External expert
lectures
• Posters
2° Sensibiliser, Informer et former
ENISA Cyber Security Culture in organisations
2017
50. 52
Campagne réussie =
• Adapté à l’audience (Profils, forma&on, tâches, …)
• Ne pas être trop compliqué ou néga&f
• Concret et factuel en vue de favoriser la mémorisa&on
• Etre en phase avec les « security policies » et les
valeurs de l’organisa&on
52. 54
Conformité
Respect des pra0ques de
sécurité définies par
l’organisa0on
(obliga0ons légales ou autres)
Intelligence
Faire preuve de « jugement » en
ma0ère de sécurité = adopter
des comportements appropriés
Communica9on,
sensibilisa9on,
forma9on, …
Culture
organisationnelle
Climat organisa9onnel
Adapté de Nguyen (2017)
CT LT
53. 55
Il est fondamentalement
impossible d’assurer
vraiment la protecJon
de l’informaJon
L’organisaJon n’a pas
vraiment une
responsabilité « morale »
de protéger l’informaJon
La sécurité de
l’information est
du ressort exclusif
du département
informatique
Dans notre
organisaJon, la
sécurité de
l’informaJon ce n’est
pas prioritaire
Plus ces croyances sont
répandues, moins les
employés seront motivés à
mettre en œuvre des
pratiques sécuritaires
La sécurité de
l’informaJon est
avant tout un défi
d’ordre technique
Adapté de Nguyen (2017)
Changer la culture
54. 56
L’organisa*on
communique sur
l’importance de la sécurité
(objec*fs, importance,
a;entes, etc)
Les employés sont
impliqués dans
l’élaboration et
l’évolution des pratiques
de sécurité
Les mesures de
sécurité sont en
adéqua*on avec le
contexte
organisa*onnel et
les tâches
L’environnement de travail
permet de discuter
ouvertement des
problèmes/erreurs liés à la
mise en oeuvre des
pra*ques de sécurité
L’organisa*on forme et
développe les
connaissances en
sécurité de l’informa*on
L’organisa*on
récompense le
respect des
pra*ques de sécurité
Plus l’organisa5on développe un
climat posi5f envers la sécurité, plus
les employés seront enclins à me;re
en œuvre des pra5ques sécuritaires
Les ges*onnaires
appuient
concrètement la
sécurité de
l’informa*on
58. 60
Framing
Risque vs gain
L'illusion
du contrôle
Familiarity
Autorité
Réciprocité
Lien d'affec9on
Biais
d’omission
Biais
d’op9misme
Engagement
Biais
de disponibilité
Consensus
Niveau de
connaissances
Approche
Par les biais cogni<fs
Approche
la persuasion
Pourquoi les u5lisateurs « se font avoir » ?
60. 62
Impliquer les utilisateurs dans le design des dispositifs de sécurité
Depuis quelques années, il y a
un intérêt croissant pour le
développement de mécanismes
de sécurité qui seraient
développés avec les u2lisateurs !
61. 63
Les temps de la ges.on d’un incident de sécurité
Incident
Gestion de
l’incident
Reprise après
incident
Tout le succès d’une opération
réside dans sa préparation.
Sun Tzu
62. 64
Merci pour votre a<en5on
Crédits « visuels » fla;con.com & pixabay.com
Pour aller plus loin
Cer$ficat en Management de la sécurité
des systèmes d’Informa$on
OUVRAGE REVUE FORMATIONS