SlideShare une entreprise Scribd logo

Quelles sont les meilleures pratiques en matière d’anticipation et de gestion de fuite des données ou d’incidents ?

Alain EJZYN
Alain EJZYN

Conférence Abilways 2021

Direction et management
1  sur  62
Télécharger pour lire hors ligne
1 Quelles sont les meilleures pra/ques en ma/ère d’an/cipa/on et de ges/on de fuite des données ou d’incidents ? Alain EJZYN Mars 21
2 Faisons connaissance • Stratégie & Transformation Digitale • Sécurité de l’Information Ac#vités • Enseignant/chercheur • Chef de département MIS (ICHEC) • Directeur dur CerAficat Universitaire en Sécurité des Systèmes d’InformaAonn (Infosafe) • Co-directeur de la Chaire en PraAques Managériales Innovantes • Consultant en stratégie digitale & Sécurité Intérêts Alain EJZYN alain.ejzyn@ichec.be alainejzyn/ AlainEjzyn alain_brussels/
3 1 Introduc)on
4 des entreprises françaises ont connu au moins une attaque. 65% 5ÈME ÉDITION DU BAROMÈTRE ANNUEL DU CESIN
5 La ges+on des incidents est un sujet connu, balisé et bien documenté ! Mon exposé portera donc sur les points d’a=en+on, ce qui fait la différence ! https://ccb.belgium.be/fr/document/cyber-security-incident-management-guide
6 2 Les grandes étapes de la gestion des incidents
7 Les grandes étapes de la ges.on des incidents Ges$on de l’incident Reprise après incident Prépara$on Incident
8 Prépara.on Préparation = Anticiper Préven$on > travailler sur la survenance Protec$on > Réduire l’impact d’un incident
9 des entreprises se disent ne pas être suffisamment préparées en cas de cybera3aques de grande ampleur 61% 5ÈME ÉDITION DU BAROMÈTRE ANNUEL DU CESIN
10 2 Sécurité VS Résilience
11 Cyberrésilience ≠ Sécurité informa4que Approche Business Approche IT Nécessité de changer le « mindset »
12 Pour changer l’approche, il est nécessaire de bénéficier du sou.en de la direc.on Mais, trop souvent dans les organisa+ons, les instances dirigeantes : > Ne disposent pas des compétences minimales en cybersécurité > Considèrent que la cybersécurité est essen+ellement un problème IT > Ne comprennent pas les enjeux stratégiques de la sécurité > N’ont pas connaissance des incidents de sécurité qui touche l’organisa+on > Ne disposent pas d’indicateurs de suivi (KPI) M. Hepfer (MIT Sloan, 2020) à Désigner un membre du board en charge de ces problématiques.
13 Les 4 dimensions de la cyber résilience Protéger le Business Intégrer les par+es prenantes Traiter Gérer les conséquences Avant Incident Après Incident Interne Externe
14 Protéger les business Quels sont les processus business vitaux ? Quel est leur niveau de vulnérabilité ? Quels niveaux de dégradation sont acceptables ? Quelles sont les ressources qui sou7ennent ces processus vitaux ? Quelles sont les compétences internes pour faire face aux menaces ? Quelles sont les opportunités d’une éléva7on du niveau de sécurité ? Quels sont les moyens mis en œuvre pour les protéger ? Quelles sont les menaces ?
15 Quels sont les processus business vitaux ? Information Flow Model with Organisational Units Source: ECO EFFIZIENZ 2003 Quels niveaux de dégrada7on sont acceptables ? Confidentialité ? Intégrité ? Disponibilité ? Tolérance ? 1 minute 1 heure 1 jour 1 semaine 1 mois
16 Quelles sont les menaces ?
17 Quelles sont les « sources » des menaces ?
18 Iden3fiez les sources des menaces Importance du facteur humain !
19 Iden%fiez les impacts possibles (EBIOS) IMPACTS SUR LE FONCTIONNEMENT • Impacts sur les missions • Impacts sur la capacité de décision IMPACTS HUMAINS • Impacts sur la sécurité des personnes • Impacts sur le lien social interne IMPACTS SUR LES BIENS • Impacts sur le patrimoine intellectuel ou culturel • Impacts financiers • Impacts sur l'image AUTRES IMPACTS • Impacts de non-conformité • Impacts juridiques • Impacts sur l'environnement Crédits « visuels » fla1con.com
20 3 Se préparer = An7ciper
21 Inventaires > Avant de commencer, il faut disposer des éléments suivants : Business IT Les activités à protéger (y compris fixation des niveaux de dégradation)? Les ac7fs/ressources qui supportent ces ac7vités prioritaires ? Le fonc7onnement du système technique Schéma technique de reprise (systèmes à réactiver et ordre) Cons7tu7on de l’équipe de ges7on de l’incident Catégorisa7on des incidents … Le rôle du « business » est essen0el
22 Privilégiez la réac.vité et l’adapta.on, pas l’improvisa.on • Qui est le référent interne pour les incidents de cybersécurité ? Comment peut-il être contacté ? • Qui évalue et comment l’impact de l’incident ? • Technique, Business, juridique, … • Quelles sont les différentes tâches à exécuter pour meGre en œuvre la réponse en cas d'incident ? Et qui fait quoi ? • Qui doit gérer l'incident sur le plan méLer/technique ? Il doit s'agir d'un membre de votre entreprise détenant un pouvoir de décision et qui suivra l'incident du début à la fin. • Qui décide le déconnecter ou pas les systèmes ? • Qui se chargera de la liaison avec la direcLon générale ? • Qui est habilité à engager un partenaire externe spécialiste de la réponse en cas d'incident ? • Qui peut déposer une plainte auprès des autorités/informer les instances de réglementaLon ? • Qui est habilité à communiquer avec la presse et les parLes prenantes externes ? Adapté de Cybersécurite, Guide de ges0on des Incident, Cyber coali0on
23 En cas d’une intrusion dans les systèmes : faut-il/peut-on débrancher ? Source : Cybersécurite, Guide de ges0on des Incident, Cyber coali0on Dommages ? Preuves ? Disponibilité ? Engagements contractuels ? Conséquences ? Signes aux pirates ? Apprendre ?
24 Iden.fiez les par.es prenantes d’une crise (non exhaus.f) Ges0onnaire de crise Equipe IT Juristes Communica0on Direction Police APD Expert Forensic Clients Employés Partenaires Expert Sécurité Rôle ? Mandat ? Coordonnées ? Backups ? … ? Presse … … … … Interne Externe PP
25 Testez les procédures > Pour améliorer votre capacité de réponse et pour réduire l’improvisa+on, testez votre capacité à faire face à différents types d’incidents Fréquence Impact Travail par scénarios à Typologie et « niveau d’incidents » Équivalent aux exercices d’évacuaFon A=en+on Cygne noir
26 Exemples de scénarios
27
28
29
30 4 Placer l’u7lisateur au centre de la sécurité
31
32 X of all security incidents involve human error. UK Informa1on Commissioner’s Office (2019) of organiza5ons report that employees ignore cybersecurity guidelines 58% 90% Netwrix 2020 Cyber Threats Report of organiza5ons rely on s5cky notes for password management 42% Ponemon Ins1tute’s The 2020 State of Password and Authen1ca1on Security Behaviors Report of users include their birthdate in their password. Plenty of others use other easily discoverable informa5on such as the name of their spouse, children, or pet. 59% Google / Harris Poll | October 2019
33 Il était une fois dans un hôpital
34 ü Dossier pa7ent électronique ü Plateforme d’accès aux analyses ü Prescrip7ons électroniques ü Équipements connectés ü Pharmacie ü Robots,…. Un hôpital « digital »
35 Réalisa2on de prototypes de chariots de soins connectés (visite des pa<ents hospitalisés) Objec2fs : - Accès aux informa2ons les plus récentes (analyses, imageries, notes, …) - Encodage direct - Paperless Sa2sfac2on des u2lisateurs : 5/5 Sécurité :
36 Réac2on de l’hôpital - Note de service - Envoi d’un mail de rappel des règles de sécurité …
37 Réaction des utilisateurs Court terme : Moyen terme : Lecteur de badge
38 Que retenir de cet exemple ? § Tensions entre « Business » et « sécurité » § Objec2fs à CT divergents § Mécanismes adaptés aux tâches ?, … § Culture Cyber sécurité ?
39 Ac0on Inten0onnelle Comportement abusif Conscience avancée Hygiène de base EXPERT NOVICE Malveillant Bienveillant Comportements face aux risques cyber INTENTION NIVEAU D’EXPERTISE Comportements aLendus Comportements malveillants Comportements Inten0onnels Jeffrey M. Stanton (2004) Bricolage dangereux Erreurs Naïves Conformité Intelligence
40 10 comportements à risque les plus fréquents Connec&ng computers to the Internet through an insecure wireless network. Not dele&ng informa&on on their computer when no longer necessary. Sharing passwords with others. Reusing the same password and username on different websites. Using generic USB drives not encrypted or safeguarded by other means. Leaving computers unaCended when outside the workplace. Ponemon InsBtute (January 2018) Losing a USB drive possibly containing confiden&al data and not immediately no&fying their organiza&on. Working on a laptop when traveling and not using a privacy screen. Carrying unnecessary sensi&ve informa&on on a laptop when traveling. Using personally owned mobile devices that connect to their organiza&on’s network.
41 1. Concevoir des mécanismes de sécurité centrés sur l’u?lisateur 2. Sensibiliser, Informer et former 3. Développer l’intelligence des u?lisateurs 4. Changer la culture 5. Impliquer les u?lisateurs dans le design des disposi?fs de sécurité 5pistes pour changer le postulat de base
42 01 Concevoir des mécanismes de sécurité centrés sur l’u8lisateur
43 Matériel Organisation du travail Interface Aspects individuels ETC. Nombreuses face-es
44 75%des u2lisateurs ne suivent pas les recommanda2ons du message de sécurité Google(2015) Les applica7ons (et interfaces) sont-elles ergonomiques ?
45 30.9% 32.1% 58.3% 53.3% L’adhésion varie selon le message et sa mise en évidence
46 La probléma&que des mots de passe +vv6Cp#(K9 33 années $urfNaple$P1zza 6 SIÈCLES h"ps://password.kaspersky.com/fr/
49 Les défis de la sécurité Construire la cohérence Sécurité Fonc?onnalités & Ergonomie Organisa?on et pra?ques managériales Budgets
50 02 Sensibilisa8on Informa8on & Forma8on
51 Online • Emails • Vidéos • GamesWebinars • Online training courses • Organisation Intranet • Social media Hybrid • Run Scenarios, Rehearsals, Sandboxes, and War-gaming exercises • Stories • Offer incentives • Tip Sheets • FAQs • Conduct ‘mock attacks’. Offine • group training sessions • Flyers • Workshops • Events • External expert lectures • Posters 2° Sensibiliser, Informer et former ENISA Cyber Security Culture in organisations 2017
52 Campagne réussie = • Adapté à l’audience (Profils, forma&on, tâches, …) • Ne pas être trop compliqué ou néga&f • Concret et factuel en vue de favoriser la mémorisa&on • Etre en phase avec les « security policies » et les valeurs de l’organisa&on
53 03 Climat et Culture d’entreprise favorables
54 Conformité Respect des pra0ques de sécurité définies par l’organisa0on (obliga0ons légales ou autres) Intelligence Faire preuve de « jugement » en ma0ère de sécurité = adopter des comportements appropriés Communica9on, sensibilisa9on, forma9on, … Culture organisationnelle Climat organisa9onnel Adapté de Nguyen (2017) CT LT
55 Il est fondamentalement impossible d’assurer vraiment la protecJon de l’informaJon L’organisaJon n’a pas vraiment une responsabilité « morale » de protéger l’informaJon La sécurité de l’information est du ressort exclusif du département informatique Dans notre organisaJon, la sécurité de l’informaJon ce n’est pas prioritaire Plus ces croyances sont répandues, moins les employés seront motivés à mettre en œuvre des pratiques sécuritaires La sécurité de l’informaJon est avant tout un défi d’ordre technique Adapté de Nguyen (2017) Changer la culture
56 L’organisa*on communique sur l’importance de la sécurité (objec*fs, importance, a;entes, etc) Les employés sont impliqués dans l’élaboration et l’évolution des pratiques de sécurité Les mesures de sécurité sont en adéqua*on avec le contexte organisa*onnel et les tâches L’environnement de travail permet de discuter ouvertement des problèmes/erreurs liés à la mise en oeuvre des pra*ques de sécurité L’organisa*on forme et développe les connaissances en sécurité de l’informa*on L’organisa*on récompense le respect des pra*ques de sécurité Plus l’organisa5on développe un climat posi5f envers la sécurité, plus les employés seront enclins à me;re en œuvre des pra5ques sécuritaires Les ges*onnaires appuient concrètement la sécurité de l’informa*on
57 04 Développer l’intelligence des u8lisateurs
58 Appréhender nos comportements …. et ceux des hackers
59
60 Framing Risque vs gain L'illusion du contrôle Familiarity Autorité Réciprocité Lien d'affec9on Biais d’omission Biais d’op9misme Engagement Biais de disponibilité Consensus Niveau de connaissances Approche Par les biais cogni<fs Approche la persuasion Pourquoi les u5lisateurs « se font avoir » ?
61 05 Impliquer les u8lisateurs dans le design des disposi8fs de sécurité
62 Impliquer les utilisateurs dans le design des dispositifs de sécurité Depuis quelques années, il y a un intérêt croissant pour le développement de mécanismes de sécurité qui seraient développés avec les u2lisateurs !
63 Les temps de la ges.on d’un incident de sécurité Incident Gestion de l’incident Reprise après incident Tout le succès d’une opération réside dans sa préparation. Sun Tzu
64 Merci pour votre a<en5on Crédits « visuels » fla;con.com & pixabay.com Pour aller plus loin Cer$ficat en Management de la sécurité des systèmes d’Informa$on OUVRAGE REVUE FORMATIONS

Recommandé

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 

Recommandé

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 
User centric security - le facteur humain en sécurité de l'Information
User centric security - le facteur humain en sécurité de l'InformationUser centric security - le facteur humain en sécurité de l'Information
User centric security - le facteur humain en sécurité de l'InformationAlain EJZYN
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpmeVanbreda Risk & Benefits
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéEChristophe-Alexandre PAILLARD
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpdPersonal Interactor
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 

Contenu connexe

Tendances

User centric security - le facteur humain en sécurité de l'Information
User centric security - le facteur humain en sécurité de l'InformationUser centric security - le facteur humain en sécurité de l'Information
User centric security - le facteur humain en sécurité de l'InformationAlain EJZYN
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 

Tendances (20)

User centric security - le facteur humain en sécurité de l'Information
User centric security - le facteur humain en sécurité de l'InformationUser centric security - le facteur humain en sécurité de l'Information
User centric security - le facteur humain en sécurité de l'Information
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 

Similaire à Quelles sont les meilleures pratiques en matière d’anticipation et de gestion de fuite des données ou d’incidents ?

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013Pierre SARROLA
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...OpinionWay
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogITrust - Cybersecurity as a Service
 
Sécurité des réseaux sociaux
Sécurité des réseaux sociauxSécurité des réseaux sociaux
Sécurité des réseaux sociauxInter-Ligere
 
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATConférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATFranck Dasilva
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Blandine Delaporte
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?M2i Formation
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 

Similaire à Quelles sont les meilleures pratiques en matière d’anticipation et de gestion de fuite des données ou d’incidents ? (20)

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
Sécurité des réseaux sociaux
Sécurité des réseaux sociauxSécurité des réseaux sociaux
Sécurité des réseaux sociaux
 
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATConférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 

Quelles sont les meilleures pratiques en matière d’anticipation et de gestion de fuite des données ou d’incidents ?

  • 1. 1 Quelles sont les meilleures pra/ques en ma/ère d’an/cipa/on et de ges/on de fuite des données ou d’incidents ? Alain EJZYN Mars 21
  • 2. 2 Faisons connaissance • Stratégie & Transformation Digitale • Sécurité de l’Information Ac#vités • Enseignant/chercheur • Chef de département MIS (ICHEC) • Directeur dur CerAficat Universitaire en Sécurité des Systèmes d’InformaAonn (Infosafe) • Co-directeur de la Chaire en PraAques Managériales Innovantes • Consultant en stratégie digitale & Sécurité Intérêts Alain EJZYN alain.ejzyn@ichec.be alainejzyn/ AlainEjzyn alain_brussels/
  • 4. 4 des entreprises françaises ont connu au moins une attaque. 65% 5ÈME ÉDITION DU BAROMÈTRE ANNUEL DU CESIN
  • 5. 5 La ges+on des incidents est un sujet connu, balisé et bien documenté ! Mon exposé portera donc sur les points d’a=en+on, ce qui fait la différence ! https://ccb.belgium.be/fr/document/cyber-security-incident-management-guide
  • 6. 6 2 Les grandes étapes de la gestion des incidents
  • 7. 7 Les grandes étapes de la ges.on des incidents Ges$on de l’incident Reprise après incident Prépara$on Incident
  • 8. 8 Prépara.on Préparation = Anticiper Préven$on > travailler sur la survenance Protec$on > Réduire l’impact d’un incident
  • 9. 9 des entreprises se disent ne pas être suffisamment préparées en cas de cybera3aques de grande ampleur 61% 5ÈME ÉDITION DU BAROMÈTRE ANNUEL DU CESIN
  • 12. 12 Pour changer l’approche, il est nécessaire de bénéficier du sou.en de la direc.on Mais, trop souvent dans les organisa+ons, les instances dirigeantes : > Ne disposent pas des compétences minimales en cybersécurité > Considèrent que la cybersécurité est essen+ellement un problème IT > Ne comprennent pas les enjeux stratégiques de la sécurité > N’ont pas connaissance des incidents de sécurité qui touche l’organisa+on > Ne disposent pas d’indicateurs de suivi (KPI) M. Hepfer (MIT Sloan, 2020) à Désigner un membre du board en charge de ces problématiques.
  • 13. 13 Les 4 dimensions de la cyber résilience Protéger le Business Intégrer les par+es prenantes Traiter Gérer les conséquences Avant Incident Après Incident Interne Externe
  • 14. 14 Protéger les business Quels sont les processus business vitaux ? Quel est leur niveau de vulnérabilité ? Quels niveaux de dégradation sont acceptables ? Quelles sont les ressources qui sou7ennent ces processus vitaux ? Quelles sont les compétences internes pour faire face aux menaces ? Quelles sont les opportunités d’une éléva7on du niveau de sécurité ? Quels sont les moyens mis en œuvre pour les protéger ? Quelles sont les menaces ?
  • 15. 15 Quels sont les processus business vitaux ? Information Flow Model with Organisational Units Source: ECO EFFIZIENZ 2003 Quels niveaux de dégrada7on sont acceptables ? Confidentialité ? Intégrité ? Disponibilité ? Tolérance ? 1 minute 1 heure 1 jour 1 semaine 1 mois
  • 16. 16 Quelles sont les menaces ?
  • 17. 17 Quelles sont les « sources » des menaces ?
  • 18. 18 Iden3fiez les sources des menaces Importance du facteur humain !
  • 19. 19 Iden%fiez les impacts possibles (EBIOS) IMPACTS SUR LE FONCTIONNEMENT • Impacts sur les missions • Impacts sur la capacité de décision IMPACTS HUMAINS • Impacts sur la sécurité des personnes • Impacts sur le lien social interne IMPACTS SUR LES BIENS • Impacts sur le patrimoine intellectuel ou culturel • Impacts financiers • Impacts sur l'image AUTRES IMPACTS • Impacts de non-conformité • Impacts juridiques • Impacts sur l'environnement Crédits « visuels » fla1con.com
  • 20. 20 3 Se préparer = An7ciper
  • 21. 21 Inventaires > Avant de commencer, il faut disposer des éléments suivants : Business IT Les activités à protéger (y compris fixation des niveaux de dégradation)? Les ac7fs/ressources qui supportent ces ac7vités prioritaires ? Le fonc7onnement du système technique Schéma technique de reprise (systèmes à réactiver et ordre) Cons7tu7on de l’équipe de ges7on de l’incident Catégorisa7on des incidents … Le rôle du « business » est essen0el
  • 22. 22 Privilégiez la réac.vité et l’adapta.on, pas l’improvisa.on • Qui est le référent interne pour les incidents de cybersécurité ? Comment peut-il être contacté ? • Qui évalue et comment l’impact de l’incident ? • Technique, Business, juridique, … • Quelles sont les différentes tâches à exécuter pour meGre en œuvre la réponse en cas d'incident ? Et qui fait quoi ? • Qui doit gérer l'incident sur le plan méLer/technique ? Il doit s'agir d'un membre de votre entreprise détenant un pouvoir de décision et qui suivra l'incident du début à la fin. • Qui décide le déconnecter ou pas les systèmes ? • Qui se chargera de la liaison avec la direcLon générale ? • Qui est habilité à engager un partenaire externe spécialiste de la réponse en cas d'incident ? • Qui peut déposer une plainte auprès des autorités/informer les instances de réglementaLon ? • Qui est habilité à communiquer avec la presse et les parLes prenantes externes ? Adapté de Cybersécurite, Guide de ges0on des Incident, Cyber coali0on
  • 23. 23 En cas d’une intrusion dans les systèmes : faut-il/peut-on débrancher ? Source : Cybersécurite, Guide de ges0on des Incident, Cyber coali0on Dommages ? Preuves ? Disponibilité ? Engagements contractuels ? Conséquences ? Signes aux pirates ? Apprendre ?
  • 24. 24 Iden.fiez les par.es prenantes d’une crise (non exhaus.f) Ges0onnaire de crise Equipe IT Juristes Communica0on Direction Police APD Expert Forensic Clients Employés Partenaires Expert Sécurité Rôle ? Mandat ? Coordonnées ? Backups ? … ? Presse … … … … Interne Externe PP
  • 25. 25 Testez les procédures > Pour améliorer votre capacité de réponse et pour réduire l’improvisa+on, testez votre capacité à faire face à différents types d’incidents Fréquence Impact Travail par scénarios à Typologie et « niveau d’incidents » Équivalent aux exercices d’évacuaFon A=en+on Cygne noir
  • 27. 27
  • 28. 28
  • 29. 29
  • 31. 31
  • 32. 32 X of all security incidents involve human error. UK Informa1on Commissioner’s Office (2019) of organiza5ons report that employees ignore cybersecurity guidelines 58% 90% Netwrix 2020 Cyber Threats Report of organiza5ons rely on s5cky notes for password management 42% Ponemon Ins1tute’s The 2020 State of Password and Authen1ca1on Security Behaviors Report of users include their birthdate in their password. Plenty of others use other easily discoverable informa5on such as the name of their spouse, children, or pet. 59% Google / Harris Poll | October 2019
  • 33. 33 Il était une fois dans un hôpital
  • 34. 34 ü Dossier pa7ent électronique ü Plateforme d’accès aux analyses ü Prescrip7ons électroniques ü Équipements connectés ü Pharmacie ü Robots,…. Un hôpital « digital »
  • 35. 35 Réalisa2on de prototypes de chariots de soins connectés (visite des pa<ents hospitalisés) Objec2fs : - Accès aux informa2ons les plus récentes (analyses, imageries, notes, …) - Encodage direct - Paperless Sa2sfac2on des u2lisateurs : 5/5 Sécurité :
  • 36. 36 Réac2on de l’hôpital - Note de service - Envoi d’un mail de rappel des règles de sécurité …
  • 37. 37 Réaction des utilisateurs Court terme : Moyen terme : Lecteur de badge
  • 38. 38 Que retenir de cet exemple ? § Tensions entre « Business » et « sécurité » § Objec2fs à CT divergents § Mécanismes adaptés aux tâches ?, … § Culture Cyber sécurité ?
  • 39. 39 Ac0on Inten0onnelle Comportement abusif Conscience avancée Hygiène de base EXPERT NOVICE Malveillant Bienveillant Comportements face aux risques cyber INTENTION NIVEAU D’EXPERTISE Comportements aLendus Comportements malveillants Comportements Inten0onnels Jeffrey M. Stanton (2004) Bricolage dangereux Erreurs Naïves Conformité Intelligence
  • 40. 40 10 comportements à risque les plus fréquents Connec&ng computers to the Internet through an insecure wireless network. Not dele&ng informa&on on their computer when no longer necessary. Sharing passwords with others. Reusing the same password and username on different websites. Using generic USB drives not encrypted or safeguarded by other means. Leaving computers unaCended when outside the workplace. Ponemon InsBtute (January 2018) Losing a USB drive possibly containing confiden&al data and not immediately no&fying their organiza&on. Working on a laptop when traveling and not using a privacy screen. Carrying unnecessary sensi&ve informa&on on a laptop when traveling. Using personally owned mobile devices that connect to their organiza&on’s network.
  • 41. 41 1. Concevoir des mécanismes de sécurité centrés sur l’u?lisateur 2. Sensibiliser, Informer et former 3. Développer l’intelligence des u?lisateurs 4. Changer la culture 5. Impliquer les u?lisateurs dans le design des disposi?fs de sécurité 5pistes pour changer le postulat de base
  • 42. 42 01 Concevoir des mécanismes de sécurité centrés sur l’u8lisateur
  • 44. 44 75%des u2lisateurs ne suivent pas les recommanda2ons du message de sécurité Google(2015) Les applica7ons (et interfaces) sont-elles ergonomiques ?
  • 45. 45 30.9% 32.1% 58.3% 53.3% L’adhésion varie selon le message et sa mise en évidence
  • 46. 46 La probléma&que des mots de passe +vv6Cp#(K9 33 années $urfNaple$P1zza 6 SIÈCLES h"ps://password.kaspersky.com/fr/
  • 47. 49 Les défis de la sécurité Construire la cohérence Sécurité Fonc?onnalités & Ergonomie Organisa?on et pra?ques managériales Budgets
  • 49. 51 Online • Emails • Vidéos • GamesWebinars • Online training courses • Organisation Intranet • Social media Hybrid • Run Scenarios, Rehearsals, Sandboxes, and War-gaming exercises • Stories • Offer incentives • Tip Sheets • FAQs • Conduct ‘mock attacks’. Offine • group training sessions • Flyers • Workshops • Events • External expert lectures • Posters 2° Sensibiliser, Informer et former ENISA Cyber Security Culture in organisations 2017
  • 50. 52 Campagne réussie = • Adapté à l’audience (Profils, forma&on, tâches, …) • Ne pas être trop compliqué ou néga&f • Concret et factuel en vue de favoriser la mémorisa&on • Etre en phase avec les « security policies » et les valeurs de l’organisa&on
  • 51. 53 03 Climat et Culture d’entreprise favorables
  • 52. 54 Conformité Respect des pra0ques de sécurité définies par l’organisa0on (obliga0ons légales ou autres) Intelligence Faire preuve de « jugement » en ma0ère de sécurité = adopter des comportements appropriés Communica9on, sensibilisa9on, forma9on, … Culture organisationnelle Climat organisa9onnel Adapté de Nguyen (2017) CT LT
  • 53. 55 Il est fondamentalement impossible d’assurer vraiment la protecJon de l’informaJon L’organisaJon n’a pas vraiment une responsabilité « morale » de protéger l’informaJon La sécurité de l’information est du ressort exclusif du département informatique Dans notre organisaJon, la sécurité de l’informaJon ce n’est pas prioritaire Plus ces croyances sont répandues, moins les employés seront motivés à mettre en œuvre des pratiques sécuritaires La sécurité de l’informaJon est avant tout un défi d’ordre technique Adapté de Nguyen (2017) Changer la culture
  • 54. 56 L’organisa*on communique sur l’importance de la sécurité (objec*fs, importance, a;entes, etc) Les employés sont impliqués dans l’élaboration et l’évolution des pratiques de sécurité Les mesures de sécurité sont en adéqua*on avec le contexte organisa*onnel et les tâches L’environnement de travail permet de discuter ouvertement des problèmes/erreurs liés à la mise en oeuvre des pra*ques de sécurité L’organisa*on forme et développe les connaissances en sécurité de l’informa*on L’organisa*on récompense le respect des pra*ques de sécurité Plus l’organisa5on développe un climat posi5f envers la sécurité, plus les employés seront enclins à me;re en œuvre des pra5ques sécuritaires Les ges*onnaires appuient concrètement la sécurité de l’informa*on
  • 56. 58 Appréhender nos comportements …. et ceux des hackers
  • 57. 59
  • 58. 60 Framing Risque vs gain L'illusion du contrôle Familiarity Autorité Réciprocité Lien d'affec9on Biais d’omission Biais d’op9misme Engagement Biais de disponibilité Consensus Niveau de connaissances Approche Par les biais cogni<fs Approche la persuasion Pourquoi les u5lisateurs « se font avoir » ?
  • 59. 61 05 Impliquer les u8lisateurs dans le design des disposi8fs de sécurité
  • 60. 62 Impliquer les utilisateurs dans le design des dispositifs de sécurité Depuis quelques années, il y a un intérêt croissant pour le développement de mécanismes de sécurité qui seraient développés avec les u2lisateurs !
  • 61. 63 Les temps de la ges.on d’un incident de sécurité Incident Gestion de l’incident Reprise après incident Tout le succès d’une opération réside dans sa préparation. Sun Tzu
  • 62. 64 Merci pour votre a<en5on Crédits « visuels » fla;con.com & pixabay.com Pour aller plus loin Cer$ficat en Management de la sécurité des systèmes d’Informa$on OUVRAGE REVUE FORMATIONS