SlideShare una empresa de Scribd logo

EBIOS Risk Manager

C
Comsoce

Présentation de Vincent Desroches de l'ANSSI.

Economía y finanzas
1 de 39
Descargar para leer sin conexión
2 2 Feedback 1 2 3 4 5 6 Marseille Ship Owner President Attack High Sea Pirate Targeting Business Process Compromise Antwerp Port Business Process Compromise Maërsk paralysed by NotPetya Business Process Compromise US 7th Fleet Operational Break Business Process Compromise GOALS OF THE ATTACK Mone y Paralysis of the operations SEVERITY OF THE IMPACT Low High Extreme > Maritime sector
Evolution du contexte 3 ANCIEN PARADIGME • SI faiblement interconnectés • Menaces peu sophistiquées • Règlementation et état de l’art peu matures Approche forteresse
Un nouveau paradigme 4 ANCIEN PARADIGME • SI faiblement interconnectés • Menaces peu sophistiquées • Règlementation et état de l’art peu matures NOUVEAU PARADIGME • Bouleversement numérique • Prolifération des menaces • Règlementation et état de l’art matures Approche forteresse
Carte d’identité de la méthode EBIOS Risk Manager 5 Risk managers RSSI Chefs de projet Offrir une compréhension partagée des risques cyber entre les décideurs et les opérationnels • Une synthèse entre conformité et scénarios • Une valorisation de l’état de la menace • Une prise en compte de l’écosystème • Un moteur de l’organisation de management du risque CIBLE FONDAMENTAUX VISION VALEURS CONCRÈTE EFFICIENTE CONVAINCANTE COLLABORATIVE
La pyramide du management du risque numérique : le concept phare de EBIOS RM 6 PRINCIPES DE BASE ET HYGIENE CADRE REGLEMENTAIRE ET NORMATIF APPRECIATION DES RISQUES NUMERIQUES Approche par « scénarios » Approche par « conformité » AVANCÉ CIBLÉ ÉLABORÉ SIMPLE LARGESPECTRE NIVEAUDESCYBERATTAQUES
EBIOS RM : une nouvelle méthode basée sur 5 ateliers 7 ATELIER 3 SCENARIOS STRATEGIQUES SYSTEME MODULE 4 SCENARIOS SUPPORTS ECOSYSTEME ATELIER 1 CADRAGE ET SOCLE DE SECURITE ATELIER 2 SOURCES DE RISQUE CYCLE OPERATIONNEL CYCLE STRATEGIQUE ATELIER 4 SCENARIOS OPERATIONNELS ATELIER 5 TRAITEMENT DU RISQUE
Construire des scénarios du point de vue de l’attaquant 8 QUI ? POUR FAIRE QUOI ? Un ou plusieurs attaquants Un chemin d’attaque exploitant généralement plusieurs vecteurs et/ou vulnérabilités vecteur initial Une ou plusieurs finalités Une cible COMMENT ?
Valoriser la connaissance de la menace 9 Etatique Crime organisé Terroriste Hacktiviste idéologique Technique et spécialisé Amateur Vengeur Concurrent Espionnage, intelligence économique Pré-positionnement stratégique Agitation, propagande Sabotage : destruction Sabotage : neutralisation Fraude, lucratif Opportunisme, collatéral Jeu, amusement, ludique
Gérer son écosystème 10 Partie prenante Partie prenante Partie prenantePartie prenante Partie prenante Partie prenante Source de risque Source de risque Source de risque ECOSYSTEME SYSTEME VALEURS METIER BIENS SUPPORTS Source de risque Source de risque Valeurs métier: données et processus vitaux pour mon activité Biens supports : dispositifs qui soutiennent les valeurs métier
Evaluer le risque associé aux parties prenantes de l’écosystème 11 Maturité SSI Quelles sont les capacités de la partie prenante en matière de sécurité ? Confiance Est-ce que les intentions ou les intérêts de la partie prenante peuvent m’être contraires ? FIABILITE CYBER EXPOSITION Dépendance La relation avec cette partie prenante est-elle vitale pour mon activité ? Pénétration Dans quelle mesure la partie prenante accède-t- elle à mes ressources internes ? Niveau de menace Dépendance x Pénétration Maturité x Confiance Pour chaque partie prenante, évaluer 4 critères : Objectif : identifier les parties prenantes de l’écosystème et évaluer le niveau de menace qu’elles font peser sur l’organisation
Présentation d’un exemple 12 • Entreprise leader dans la conception et la fabrication de vaccins • Entreprise OIV • Faible maturité SSI • Menaces majeures : espionnage, terrorisme ENTREPRISE RISQUES SCENARIO STRATEGIQUE SCENARIO PRATIQUE SOCIÉTÉ DE BIOTECHNOLOGIEECOSYSTÈME CONCURRENT (AVEC L’AIDE PROBABLE D’OFFICIN ES) Etudeset recherches Canal d’exfiltration direct PRESTATAIRE MAIN TEN AN CE IN FORMATIQUE (F2) Canal d’exfiltration Copie d’une partie desdonnées Etudeset recherches LABORATOIRE (F3) Canal d’exfiltration CONNAITRE TROUVER MAITRISERRENTRER Reconnaissance externe 9 000€ 98,4% Création d’un maliciel 0€ 100% Intrusion via un mail de hameçonnage 800€ 100% Intrusion via le site du CE (trou d’eau) 2 000€ 100% Corruption de personnel équipe R&D 600 000€ 10% Reconnaissance interne 30 000€ 70% Elévation de privilèges 44 000€ 64,2% Création et maintien du canal d’exfiltration 85 500€ 56,2% Vol et exploitation de données de R&D Etape finale Corruption de personnel* 30 000€ 73,1% Clients Prestataires Partenaires 5 4 3 2 1 0 MENACE ASSOCIEE Objetdel'étude
… Un dispositif innovant 13 UNE METHODE QUI EVOLUE UNE COMMUNAUTE ACTIVE DES LOGICIELS PERFORMANTS
La colonne vertébrale 14 UN CONCEPT UNE ORGANISATION ET DES VALEURS UN PROCESSUS D’INTEGRATION UNE METHODE D’ANALYSE DE RISQUE ATELIER 3 SCENARIOS STRATEGIQUES SYSTEME MODULE 4 SCENARIOS SUPPORTS ECOSYSTEME ATELIER 1 CADRAGE ET SOCLE DE SECURITE ATELIER 2 SOURCES DE RISQUE CYCLE PRATIQUE CYCLE STRATEGIQUE ATELIER 4 SCENARIOS PRATIQUES ATELIER 5 TRAITEMENT DU RISQUE
ANNEXE 15
Où en est le projet ? 18 Kit de formation établi avec le Club Ebios. Formation des formateurs. Labellisation de formateurs par le Club Ebios. Méthode en cours de maquettage. Bases de connaissances génériques intégrées à la méthode grand public. Déclinaison ministérielle et sectorielle. Promotion en France : Assises de la sécurité (sortie officielle), FIC, Club Ebios. Promotion à l’international : UE, OTAN. Labellisation de solutions logicielles : plus de 15 réponses à l’appel à manifestation lancé par l’ANSSI.
19 19 A new concept for improving risk management Focus: cyber risk management framework Accreditation  Integration of CIS in the RM Organization BUSINESS ACTIVITY CIS … NEW ISO 27005 2013/488/EU SRA method … Audits Certification … Expertise (Tempest, Infosec, Security products, Cryptology, Physical security, Patching, IDS, Logs analysis…) Accreditation commission Scoping Orientations Major security objectives…
A modern risk management framework Security architecture Security administration Identity and access management Security maintenance Physical and environmental security TEMPEST security Detection Computer security incident management DETEC T CLASSIF Y RESPO ND Continuity of operations Crisis management ISO 2700x
Gérer notre écosystème 21 Clients Prestataires Partenaires 5 4 3 2 1 0 <3 3-6 7-9 >9 EXPOSITION FIABILITE CYBER <4 4-5 6-7 >7 C1 – ETABLISSEMENTS DE SANTE C2 – PHARMACIES F3 – PRESTATAIRE INFORMATIQUE P1 – UNIVERSITES P2 – REGULATEURS F1 – FOURNISSEURS INDUSTRIELS CHIMISTES F2 – FOURNISSEURS DE MATERIEL Objetdel'étude C3 – GROSSISTES REPARTITEURS P3 – LABORATOIRES Zone de danger (Seuil : 2.5) Zone de veille (Seuil : 0.2) Zone de contrôle (Seuil : 0.9)
Définir des scénarios opérationnels 22 CONNAITRE EXPLORER MAITRISER EXPLOITER ATTAQUER RENTRER Intrusion via mail de hameçonnage sur service RH Intrusion via le site du CE (trou d’eau) Corruption d’un personnel de l’équipe R&D Vol et exploitation de données de R&DCorruption d’un prestataire d’entre- tien des locaux Reconnaissance externe avancée Reconnaissance interne réseaux bureautique & IT site de Paris Latéralisation vers réseau LAN R&D Exploitation maliciel de collecte et d’exfiltration Intrusion via un canal d’accès préexistant Création et maintien d’un canal d’exfiltration via un poste Internet Clé USB piégée connectée sur un poste de R&D Reconnaissance externe sources ouvertes 1 2 3
Participants : Direction, Métiers, RSSI, DSI Atelier 1 : Cadrage et socle de sécurité 23 Livrables :  Eléments de cadrage  Périmètre métier et technique : missions, valeurs métier, biens supports  Evènements redoutés et niveau de gravité  Socle de sécurité : liste des référentiels applicables, état d’application, identification des écarts/dérogations Objectif : Définir le cadre de l’étude, son périmètre métier et technique et le socle de sécurité
Définir le périmètre métier et technique 24 Mission Identifier et fabriquer des vaccins Dénomination de la valeur métier Recherche & développement (R&D) Fabriquer des vaccins Traçabilité et contrôle Nature de la valeur métier (processus ou information) Processus Processus Information Description Activité de recherche et développement des vaccins nécessitant : • l’identification des antigènes ; • la production des antigènes (vaccin vivant atténué, inactivé, sous- unité) : fermentation (récolte), purification, inactivation, filtration, stockage ; • l’évaluation préclinique ; • le développement clinique. Activité consistant à réaliser : • le remplissage de seringues (stérilisation, remplissage; étiquetage) • le conditionnement (étiquetage et emballage) Informations permettant d’assurer le contrôle qualité et la libération de lot (exemples : antigène, répartition aseptique, conditionnement, libération finale…) Entité ou personne responsable (interne/externe) Pharmacien Responsable production Responsable qualité Dénomination du/des biens supports associés Serveurs bureautiques (internes) Serveurs bureautiques (externes) Systèmes de production des antigènes Systèmes de production Serveurs bureautiques (internes) Description Serveurs bureautiques permettant de stocker l’ensemble des données de R&D Serveurs bureautiques permettant de stocker une partie des données de R&D Ensemble de machines et équipements informatiques permettant de produire des antigènes Ensemble de machines et équipements informatiques permettant de fabriquer des vaccins à grande échelle Serveurs bureautiques permettant de stocker l’ensemble des données relatives à la traçabilité et au contrôle, pour les différents processus Entité ou personne responsable (interne/externe) DSI Laboratoires Laboratoires DSI + Fournisseurs de matériel DSI Objectif : identifier les valeurs métiers et les biens supports considérés comme les plus importants ou sensibles pour l’organisation (pas de recherche de l’exhaustivité pour ne pas alourdir l’analyse)
Identifier les évènements redoutés 25 Valeur métier Evènement redouté Impacts Gravité R&D Perte ou destruction des informations d’études et recherches • Impacts sur les missions et services de l’organisme • Impacts sur les coûts de développement 2 Altération des informations d’études et recherches aboutissant à une formule de vaccin erronée • Impacts sur la sécurité ou la santé des personnes • Impacts sur l’image et la confiance • Impacts juridiques 3 Fuite des informations d’études et recherches de l’entreprise • Impacts financiers 3 Interruption des phases de tests des vaccins pendant plus d’une semaine • Impacts sur les missions et services de l’organisme • Impacts financiers 2 Fabriquer des vaccins Fuite du savoir-faire de l’entreprise concernant le processus de fabrication des vaccins et de leurs tests qualité • Impacts financiers 2 Interruption de la production ou de la distribution de vaccins pendant plus d’une semaine pendant un pic d’épidémie • Impacts sur la sécurité ou la santé des personnes • Impacts sur l’image et la confiance • Impacts financiers 4 Traçabilité et contrôle Altération des résultats des contrôles qualité aboutissant à une non-conformité sanitaire • Impacts sur la sécurité ou la santé des personnes • Impacts sur l’image et la confiance • Impacts juridiques 4 Objectif : (faire) prendre conscience des enjeux de sécurité sur les valeurs métiers considérées comme étant les plus importantes pour l’organisation
Déterminer le socle de sécurité 26 Type de référentiel Nom du référentiel Etat d’application Ecarts/Dérogations Justification des dérogations Bonnes pratiques Guide pour l’élaboration d’une PSSI Appliqué Bonnes pratiques Guide d’hygiène informatique Appliqué avec restrictions Règle 1 : former les équipes opérationnelles à la sécurité des SI A compléter suite à l’analyse de risques Règle 3 : maitriser les risques de l’infogérance A compléter suite à l’analyse de risques Règle 8 : identifier nommément chaque personne accédant au système A compléter suite à l’analyse de risques Règle 12 : changer les éléments d’authentification par défaut sur les équipements et services A compléter suite à l’analyse de risques Règle 25 : sécuriser les interconnexions réseau dédiées avec les partenaires A compléter suite à l’analyse de risques Règle 31 : chiffrer les données sensibles A compléter suite à l’analyse de risques Bonnes pratiques Sécuriser les dispositifs de vidéo protection Appliqué Bonnes pratiques Maitriser la SSI pour les systèmes industriels Non appliqué Intégralité du guide A compléter suite à l’analyse de risques Etat d’application des bonnes pratiques de sécurité numérique : Objectif : adopter une démarche « par conformité » correspondant aux deux premiers étages de la pyramide de management du risque numérique
Participants : Direction, Métiers, RSSI, (Spécialiste analyse de la menace cyber) Atelier 2 : Sources de risque 27 Livrables :  Liste des couples SR/OV prioritaires retenus pour la suite de l’étude  Liste des couples SR/OV secondaires, qui seront si possible mis sous surveillance  Représentation des SR/OV sous la forme d’une cartographie Objectif : Identifier les sources de risque (SR) et leurs objectifs visés (OV) en lien avec l’objet de l’étude
Identifier, évaluer et sélectionner les couples SR/OV 28 Sources de risque Objectifs visés Motivation Ressources Activité Pertinence Couple retenu Hacktiviste Saboter la prochaine campagne nationale de vaccination en perturbant la production ou distribution des vaccins, pour générer un choc psychologique sur la population et discréditer les pouvoirs publics ++ + ++ Moyenne Oui Concurrent Voler des informations en espionnant les travaux de R&D pour obtenir un avantage concurrentiel +++ +++ +++ Elevée Oui Hacktiviste Divulguer au grand public des informations sur la façon dont les vaccins sont conçus en collectant des photos et vidéos des tests animaliers pour rallier l’opinion publique à sa cause ++ + + Faible Non Objectif : rendre l’appréciation des risques plus concrète et ancrée sur la réalité de la menace numérique
Participants : Métiers, Architectes fonctionnels, RSSI, (Spécialiste cybersécurité) Atelier 3 : Scénarios stratégiques 29 Livrables :  Cartographie de menace de l’écosystème et les parties prenantes critiques  Scénarios stratégiques dimensionnants et évènements redoutés  Mesures de sécurité retenues pour l’écosystème Objectif : Identifier les parties prenantes critiques de l’écosystème et construire des scénarios de risque de haut niveau (scénarios stratégiques)
Evaluer le risque associé aux parties prenantes de l’écosystème 30 Maturité SSI Quelles sont les capacités de la partie prenante en matière de sécurité ? Confiance Est-ce que les intentions ou les intérêts de la partie prenante peuvent m’être contraires ? FIABILITE CYBER EXPOSITION Dépendance La relation avec cette partie prenante est-elle vitale pour mon activité ? Pénétration Dans quelle mesure la partie prenante accède-t- elle à mes ressources internes ? Niveau de menace Dépendance x Pénétration Maturité x Confiance Pour chaque partie prenante, évaluer 4 critères : Objectif : identifier les parties prenantes de l’écosystème et évaluer le niveau de menace qu’elles font peser sur l’organisation
Exemple de cartographie de menace numérique de l’écosystème 31 Clients Prestataires Partenaires 5 4 3 2 1 0 <3 3-6 7-9 >9 EXPOSITION FIABILITE CYBER <4 4-5 6-7 >7 C1 – ETABLISSEMENTS DE SANTE C2 – PHARMACIES F3 – PRESTATAIRE INFORMATIQUE P1 – UNIVERSITES P2 – REGULATEURS F1 – FOURNISSEURS INDUSTRIELS CHIMISTES F2 – FOURNISSEURS DE MATERIEL Objetdel'étude C3 – GROSSISTES REPARTITEURS P3 – LABORATOIRES Zone de danger (Seuil : 2.5) Zone de veille (Seuil : 0.2) Zone de contrôle (Seuil : 0.9)
Définir les scénarios stratégiques « Un concurrent veut voler des informations en espionnant les travaux de recherche & technologies pour obtenir un avantage concurrentiel » Gravité du scénario : 3 - grave 32 SOCIÉTÉ DE BIOTECHNOLOGIEECOSYSTÈME CONCURRENT Informations de R&D Canal d’exfiltration direct PRESTATAIRE INFORMATIQUE (F3) Canal d’exfiltration Une partie des informations de R&D LABORATOIRE (P3) Canal d’exfiltration Objectif : disposer de scénarios compréhensibles par tous tenant compte des parties prenantes de l’écosystème
Participants : RSSI, DSI, (Spécialiste cybersécurité) Atelier 4 : Scénarios opérationnels 33 Livrables :  Scénarios opérationnels  Evaluation des scénarios opérationnels en termes de vraisemblance Objectif : Construire les scénarios opérationnels schématisant les modes opératoires techniques qui seront mis en œuvre par les sources de risque
Des scénarios opérationnels basés sur un modèle de cyber kill chain ® 34 CONNAITRE > Corruption > Reconnaissance externe EXPLORER MAITRISER > Corruption > Reconnaissance interne > Latéralisation et élévation de privilèges EXPLOITER ATTAQUER > Corruption > Pilotage et exploitation de l’attaque RENTRER > Corruption > Intrusion depuis Internet > Intrusion ou piège physique
Définir les scénarios opérationnels et évaluer leur vraisemblance 35 CONNAITRE EXPLORER MAITRISER EXPLOITER ATTAQUER RENTRER Intrusion via mail de hameçonnage sur service RH Intrusion via le site du CE (point d’eau) Corruption d’un personnel de l’équipe R&D Vol et exploitation de données de R&DCorruption d’un prestataire d’entre- tien des locaux Reconnaissance externe avancée Reconnaissance interne réseaux bureautique & IT site de Paris Latéralisation vers réseau LAN R&D Exploitation maliciel de collecte et d’exfiltration Intrusion via un canal d’accès préexistant Création et maintien d’un canal d’exfiltration via un poste Internet Clé USB piégée connectée sur un poste de R&D Reconnaissance externe sources ouvertes V 4 (4) V 3 (3) V 5 (4) (4) V 5 (4) Vglobale 4 (2) (3) (4) 1 2 3 V 4 (4) V 5 (4) V 2 (2) V 4 (3)V 3 (3) V 4 (3) V 4 (4) V 5 (4)
Participants : Direction, Métiers, RSSI, DSI Atelier 5 : Traitement du risque 36 Livrables :  Stratégie de traitement du risque  Synthèse des risques résiduels  Plan d’amélioration continue de la sécurité  Cadre du suivi des risques Objectif : Définir une stratégie de traitement du risque et identifier les risques résiduels
Définir une stratégie de traitement du risque 37 Scénarios de risques :  R1 : Un concurrent vole des informations de R&D grâce à un canal d’exfiltration direct  R2 : Un concurrent vole des informations de R&D en exfiltrant celles détenues par le laboratoire  R3 : Un concurrent vole des informations de R&D grâce à un canal d’exfiltration via le prestataire informatique  R4 : Un hacktiviste provoque un arrêt de la production des vaccins en compromettant l’équipement de maintenance du fournisseur de matériel  R5 : Un hacktiviste perturbe la distribution de vaccins en modifiant leur étiquetage Vraisemblance Gravité 4 3 2 1 21 3 4 R3R2 R1 R4R5 Objectif : valider une stratégie de traitement du risque et définir des mesures de sécurité pour traiter le risque (gouvernance, protection, défense, résilience)
Suivre l’évolution du risque 38
Comment passer de la version 2010 à cette nouvelle version d’EBIOS ? Les analyses de risques précédentes ont permis d’identifier et mettre en œuvre des mesures de sécurité pour gérer les risques Ces mesures sont directement prises en compte lors de la définition du socle de sécurité, dans l’atelier 1 de la nouvelle méthode EBIOS 39
Catégories de sources de risque et objectifs visés 40 Etatique Crime organisé Terroriste Hacktiviste idéologique Technique et spécialisé Amateur Vengeur Concurrent Espionnage, intelligence économique Pré-positionnement stratégique Agitation, propagande Sabotage : destruction Sabotage : neutralisation Fraude, lucratif Opportunisme, collatéral Jeu, amusement, ludique
Exemple de plan d’amélioration continue de la sécurité (PACS) 41 Mesure de sécurité Scénarios de risques associés Responsable Freins et difficultés de mise en œuvre Coût / Complex. Echéance Statut Gouvernance Sensibilisation renforcée au hameçonnage par un prestataire spécialisé R1 RSSI Validation du CHSCT indispensable + 6 mois En cours Audit de sécurité technique et organisationnel de l’ensemble du SI bureautique par un PASSI R1, R5 RSSI ++ 3 mois A lancer Intégration d’une clause de garantie d’un niveau de sécurité satisfaisant dans les contrats avec les prestataires et laboratoires R2, R3, R4 Equipe juridique Effectué au fil de l’eau à la renégociation des contrats ++ 18 mois En cours Audit de sécurité organisationnel des prestataires et laboratoires clés. Mise en place et suivi des plans d’action consécutifs R2, R3, R4 RSSI Acceptation de la démarche par les prestataires et laboratoires ++ 6 mois A lancer Limitation des données transmises aux laboratoires au juste besoin R2 Equipe R&D + 3 mois Terminé Protection Protection renforcée des données de R&D sur le SI (pistes : chiffrement, cloisonnement) R1, R3 DSI +++ 9 mois En cours Renforcement du contrôle d’accès physique au bureau R&D R1 Equipe sûreté ++ 3 mois Terminé Dotation de matériels de maintenance administrées par la DSI et qui seront mis à disposition du prestataire sur site R4 DSI ++ 9 mois A lancer Renforcement de la sécurité du système industriel selon les recommandations ANSSI R4, R5 RSSI / DSI / Sûreté Stratégie et plan d’action à définir et valider +++ 12 mois A lancer Chiffrement des échanges de données avec les laboratoires R2 DSI Identifier le produit de chiffrement et le faire accepter par les laboratoires ++ 9 mois A lancer Défense Surveillance renforcée des flux entrants et sortants (sonde IDS). Analyse des journaux d’évènements à l’aide d’un outil. R1 DSI Achat d’un outil, budget à provisionner ++ 9 mois A lancer Résilience Renforcement du plan de continuité d’activité R4, R5 Equipe continuité d’activité ++ 6 mois En cours

Recomendados

Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Ebios
EbiosEbios
Ebioskilojolid
 

Recomendados

Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Ebios
EbiosEbios
Ebioskilojolid
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 

Más contenido relacionado

La actualidad más candente

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 

La actualidad más candente (20)

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Mehari
MehariMehari
Mehari
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 

Similar a EBIOS Risk Manager

Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Résistante Risk Solutions
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERMDavid Dubois
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
La maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
La maîtrise des risques et l'intelligence économique au CEA - Frédéric MariotteLa maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
La maîtrise des risques et l'intelligence économique au CEA - Frédéric MariotteLe_GFII
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialearmelleguillermet
 
Asis 2014 fr - présentation
Asis 2014 fr - présentationAsis 2014 fr - présentation
Asis 2014 fr - présentationEric DAVOINE
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdfSARASIM6
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 

Similar a EBIOS Risk Manager (20)

Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
La maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
La maîtrise des risques et l'intelligence économique au CEA - Frédéric MariotteLa maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
La maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
Asis 2014 fr - présentation
Asis 2014 fr - présentationAsis 2014 fr - présentation
Asis 2014 fr - présentation
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 

Más de Comsoce

Risques numériques et responsabilités
Risques numériques et responsabilitésRisques numériques et responsabilités
Risques numériques et responsabilitésComsoce
 
Risques numériques : État des lieux pour les assureurs
Risques numériques : État des lieux pour les assureursRisques numériques : État des lieux pour les assureurs
Risques numériques : État des lieux pour les assureursComsoce
 
Point d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberPoint d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberComsoce
 
Présentation de Maître Philippe Malikian - Conventions réglementées
Présentation de Maître Philippe Malikian - Conventions réglementées Présentation de Maître Philippe Malikian - Conventions réglementées
Présentation de Maître Philippe Malikian - Conventions réglementées Comsoce
 
Présentation de Eddy Topalian - Conventions réglementées
Présentation de Eddy Topalian - Conventions réglementéesPrésentation de Eddy Topalian - Conventions réglementées
Présentation de Eddy Topalian - Conventions réglementéesComsoce
 
Agroalimentaire, la gestion du turnover dans les équipes maintenance
Agroalimentaire, la gestion du turnover dans les équipes maintenanceAgroalimentaire, la gestion du turnover dans les équipes maintenance
Agroalimentaire, la gestion du turnover dans les équipes maintenanceComsoce
 
Assurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
Assurances et intermédiation : Opérer en conformité dans l'UE post-BrexitAssurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
Assurances et intermédiation : Opérer en conformité dans l'UE post-BrexitComsoce
 
Brexit : Quel scénario pour les assureurs ?
Brexit : Quel scénario pour les assureurs ?Brexit : Quel scénario pour les assureurs ?
Brexit : Quel scénario pour les assureurs ?Comsoce
 
Les répercussions du Brexit et les opportunités
Les répercussions du Brexit et les opportunitésLes répercussions du Brexit et les opportunités
Les répercussions du Brexit et les opportunitésComsoce
 
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...Comsoce
 

Más de Comsoce (10)

Risques numériques et responsabilités
Risques numériques et responsabilitésRisques numériques et responsabilités
Risques numériques et responsabilités
 
Risques numériques : État des lieux pour les assureurs
Risques numériques : État des lieux pour les assureursRisques numériques : État des lieux pour les assureurs
Risques numériques : État des lieux pour les assureurs
 
Point d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberPoint d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyber
 
Présentation de Maître Philippe Malikian - Conventions réglementées
Présentation de Maître Philippe Malikian - Conventions réglementées Présentation de Maître Philippe Malikian - Conventions réglementées
Présentation de Maître Philippe Malikian - Conventions réglementées
 
Présentation de Eddy Topalian - Conventions réglementées
Présentation de Eddy Topalian - Conventions réglementéesPrésentation de Eddy Topalian - Conventions réglementées
Présentation de Eddy Topalian - Conventions réglementées
 
Agroalimentaire, la gestion du turnover dans les équipes maintenance
Agroalimentaire, la gestion du turnover dans les équipes maintenanceAgroalimentaire, la gestion du turnover dans les équipes maintenance
Agroalimentaire, la gestion du turnover dans les équipes maintenance
 
Assurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
Assurances et intermédiation : Opérer en conformité dans l'UE post-BrexitAssurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
Assurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
 
Brexit : Quel scénario pour les assureurs ?
Brexit : Quel scénario pour les assureurs ?Brexit : Quel scénario pour les assureurs ?
Brexit : Quel scénario pour les assureurs ?
 
Les répercussions du Brexit et les opportunités
Les répercussions du Brexit et les opportunitésLes répercussions du Brexit et les opportunités
Les répercussions du Brexit et les opportunités
 
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
 

Último

Les_normes_comptables_internationales_IAS_IFRS_1701186812.pdf
Les_normes_comptables_internationales_IAS_IFRS_1701186812.pdfLes_normes_comptables_internationales_IAS_IFRS_1701186812.pdf
Les_normes_comptables_internationales_IAS_IFRS_1701186812.pdfGhitaBoudahla
 
Présentation Prêt Vert
Présentation Prêt Vert Présentation Prêt Vert
Présentation Prêt Vert hnaour
 
Changement_climatique_et_production_agricole.pdf
Changement_climatique_et_production_agricole.pdfChangement_climatique_et_production_agricole.pdf
Changement_climatique_et_production_agricole.pdfAbdoul Latif SOKOUNDOU
 
EOAE 2A BAC résumé les stratégie et la GRH.pptx
EOAE 2A BAC résumé les stratégie et la GRH.pptxEOAE 2A BAC résumé les stratégie et la GRH.pptx
EOAE 2A BAC résumé les stratégie et la GRH.pptxHICHAMESSAOUDI2
 
Proposition de mandat Buy side - GEREJE Corporate Finance - avril 2024 (3).pdf
Proposition de mandat Buy side - GEREJE Corporate Finance - avril 2024 (3).pdfProposition de mandat Buy side - GEREJE Corporate Finance - avril 2024 (3).pdf
Proposition de mandat Buy side - GEREJE Corporate Finance - avril 2024 (3).pdfhnaour
 
Bulletin trimestriel d'information PortEcho N°52
Bulletin trimestriel d'information PortEcho N°52Bulletin trimestriel d'information PortEcho N°52
Bulletin trimestriel d'information PortEcho N°52SPATPortToamasina
 
Le contrôle fiscal à l'ère de la digitalisation .pdf
Le contrôle fiscal à l'ère de la digitalisation .pdfLe contrôle fiscal à l'ère de la digitalisation .pdf
Le contrôle fiscal à l'ère de la digitalisation .pdfmar yame
 

Último (7)

Les_normes_comptables_internationales_IAS_IFRS_1701186812.pdf
Les_normes_comptables_internationales_IAS_IFRS_1701186812.pdfLes_normes_comptables_internationales_IAS_IFRS_1701186812.pdf
Les_normes_comptables_internationales_IAS_IFRS_1701186812.pdf
 
Présentation Prêt Vert
Présentation Prêt Vert Présentation Prêt Vert
Présentation Prêt Vert
 
Changement_climatique_et_production_agricole.pdf
Changement_climatique_et_production_agricole.pdfChangement_climatique_et_production_agricole.pdf
Changement_climatique_et_production_agricole.pdf
 
EOAE 2A BAC résumé les stratégie et la GRH.pptx
EOAE 2A BAC résumé les stratégie et la GRH.pptxEOAE 2A BAC résumé les stratégie et la GRH.pptx
EOAE 2A BAC résumé les stratégie et la GRH.pptx
 
Proposition de mandat Buy side - GEREJE Corporate Finance - avril 2024 (3).pdf
Proposition de mandat Buy side - GEREJE Corporate Finance - avril 2024 (3).pdfProposition de mandat Buy side - GEREJE Corporate Finance - avril 2024 (3).pdf
Proposition de mandat Buy side - GEREJE Corporate Finance - avril 2024 (3).pdf
 
Bulletin trimestriel d'information PortEcho N°52
Bulletin trimestriel d'information PortEcho N°52Bulletin trimestriel d'information PortEcho N°52
Bulletin trimestriel d'information PortEcho N°52
 
Le contrôle fiscal à l'ère de la digitalisation .pdf
Le contrôle fiscal à l'ère de la digitalisation .pdfLe contrôle fiscal à l'ère de la digitalisation .pdf
Le contrôle fiscal à l'ère de la digitalisation .pdf
 

EBIOS Risk Manager

  • 1.
  • 2. 2 2 Feedback 1 2 3 4 5 6 Marseille Ship Owner President Attack High Sea Pirate Targeting Business Process Compromise Antwerp Port Business Process Compromise Maërsk paralysed by NotPetya Business Process Compromise US 7th Fleet Operational Break Business Process Compromise GOALS OF THE ATTACK Mone y Paralysis of the operations SEVERITY OF THE IMPACT Low High Extreme > Maritime sector
  • 3. Evolution du contexte 3 ANCIEN PARADIGME • SI faiblement interconnectés • Menaces peu sophistiquées • Règlementation et état de l’art peu matures Approche forteresse
  • 4. Un nouveau paradigme 4 ANCIEN PARADIGME • SI faiblement interconnectés • Menaces peu sophistiquées • Règlementation et état de l’art peu matures NOUVEAU PARADIGME • Bouleversement numérique • Prolifération des menaces • Règlementation et état de l’art matures Approche forteresse
  • 5. Carte d’identité de la méthode EBIOS Risk Manager 5 Risk managers RSSI Chefs de projet Offrir une compréhension partagée des risques cyber entre les décideurs et les opérationnels • Une synthèse entre conformité et scénarios • Une valorisation de l’état de la menace • Une prise en compte de l’écosystème • Un moteur de l’organisation de management du risque CIBLE FONDAMENTAUX VISION VALEURS CONCRÈTE EFFICIENTE CONVAINCANTE COLLABORATIVE
  • 6. La pyramide du management du risque numérique : le concept phare de EBIOS RM 6 PRINCIPES DE BASE ET HYGIENE CADRE REGLEMENTAIRE ET NORMATIF APPRECIATION DES RISQUES NUMERIQUES Approche par « scénarios » Approche par « conformité » AVANCÉ CIBLÉ ÉLABORÉ SIMPLE LARGESPECTRE NIVEAUDESCYBERATTAQUES
  • 7. EBIOS RM : une nouvelle méthode basée sur 5 ateliers 7 ATELIER 3 SCENARIOS STRATEGIQUES SYSTEME MODULE 4 SCENARIOS SUPPORTS ECOSYSTEME ATELIER 1 CADRAGE ET SOCLE DE SECURITE ATELIER 2 SOURCES DE RISQUE CYCLE OPERATIONNEL CYCLE STRATEGIQUE ATELIER 4 SCENARIOS OPERATIONNELS ATELIER 5 TRAITEMENT DU RISQUE
  • 8. Construire des scénarios du point de vue de l’attaquant 8 QUI ? POUR FAIRE QUOI ? Un ou plusieurs attaquants Un chemin d’attaque exploitant généralement plusieurs vecteurs et/ou vulnérabilités vecteur initial Une ou plusieurs finalités Une cible COMMENT ?
  • 9. Valoriser la connaissance de la menace 9 Etatique Crime organisé Terroriste Hacktiviste idéologique Technique et spécialisé Amateur Vengeur Concurrent Espionnage, intelligence économique Pré-positionnement stratégique Agitation, propagande Sabotage : destruction Sabotage : neutralisation Fraude, lucratif Opportunisme, collatéral Jeu, amusement, ludique
  • 10. Gérer son écosystème 10 Partie prenante Partie prenante Partie prenantePartie prenante Partie prenante Partie prenante Source de risque Source de risque Source de risque ECOSYSTEME SYSTEME VALEURS METIER BIENS SUPPORTS Source de risque Source de risque Valeurs métier: données et processus vitaux pour mon activité Biens supports : dispositifs qui soutiennent les valeurs métier
  • 11. Evaluer le risque associé aux parties prenantes de l’écosystème 11 Maturité SSI Quelles sont les capacités de la partie prenante en matière de sécurité ? Confiance Est-ce que les intentions ou les intérêts de la partie prenante peuvent m’être contraires ? FIABILITE CYBER EXPOSITION Dépendance La relation avec cette partie prenante est-elle vitale pour mon activité ? Pénétration Dans quelle mesure la partie prenante accède-t- elle à mes ressources internes ? Niveau de menace Dépendance x Pénétration Maturité x Confiance Pour chaque partie prenante, évaluer 4 critères : Objectif : identifier les parties prenantes de l’écosystème et évaluer le niveau de menace qu’elles font peser sur l’organisation
  • 12. Présentation d’un exemple 12 • Entreprise leader dans la conception et la fabrication de vaccins • Entreprise OIV • Faible maturité SSI • Menaces majeures : espionnage, terrorisme ENTREPRISE RISQUES SCENARIO STRATEGIQUE SCENARIO PRATIQUE SOCIÉTÉ DE BIOTECHNOLOGIEECOSYSTÈME CONCURRENT (AVEC L’AIDE PROBABLE D’OFFICIN ES) Etudeset recherches Canal d’exfiltration direct PRESTATAIRE MAIN TEN AN CE IN FORMATIQUE (F2) Canal d’exfiltration Copie d’une partie desdonnées Etudeset recherches LABORATOIRE (F3) Canal d’exfiltration CONNAITRE TROUVER MAITRISERRENTRER Reconnaissance externe 9 000€ 98,4% Création d’un maliciel 0€ 100% Intrusion via un mail de hameçonnage 800€ 100% Intrusion via le site du CE (trou d’eau) 2 000€ 100% Corruption de personnel équipe R&D 600 000€ 10% Reconnaissance interne 30 000€ 70% Elévation de privilèges 44 000€ 64,2% Création et maintien du canal d’exfiltration 85 500€ 56,2% Vol et exploitation de données de R&D Etape finale Corruption de personnel* 30 000€ 73,1% Clients Prestataires Partenaires 5 4 3 2 1 0 MENACE ASSOCIEE Objetdel'étude
  • 13. … Un dispositif innovant 13 UNE METHODE QUI EVOLUE UNE COMMUNAUTE ACTIVE DES LOGICIELS PERFORMANTS
  • 14. La colonne vertébrale 14 UN CONCEPT UNE ORGANISATION ET DES VALEURS UN PROCESSUS D’INTEGRATION UNE METHODE D’ANALYSE DE RISQUE ATELIER 3 SCENARIOS STRATEGIQUES SYSTEME MODULE 4 SCENARIOS SUPPORTS ECOSYSTEME ATELIER 1 CADRAGE ET SOCLE DE SECURITE ATELIER 2 SOURCES DE RISQUE CYCLE PRATIQUE CYCLE STRATEGIQUE ATELIER 4 SCENARIOS PRATIQUES ATELIER 5 TRAITEMENT DU RISQUE
  • 16. Où en est le projet ? 18 Kit de formation établi avec le Club Ebios. Formation des formateurs. Labellisation de formateurs par le Club Ebios. Méthode en cours de maquettage. Bases de connaissances génériques intégrées à la méthode grand public. Déclinaison ministérielle et sectorielle. Promotion en France : Assises de la sécurité (sortie officielle), FIC, Club Ebios. Promotion à l’international : UE, OTAN. Labellisation de solutions logicielles : plus de 15 réponses à l’appel à manifestation lancé par l’ANSSI.
  • 17. 19 19 A new concept for improving risk management Focus: cyber risk management framework Accreditation  Integration of CIS in the RM Organization BUSINESS ACTIVITY CIS … NEW ISO 27005 2013/488/EU SRA method … Audits Certification … Expertise (Tempest, Infosec, Security products, Cryptology, Physical security, Patching, IDS, Logs analysis…) Accreditation commission Scoping Orientations Major security objectives…
  • 18. A modern risk management framework Security architecture Security administration Identity and access management Security maintenance Physical and environmental security TEMPEST security Detection Computer security incident management DETEC T CLASSIF Y RESPO ND Continuity of operations Crisis management ISO 2700x
  • 19. Gérer notre écosystème 21 Clients Prestataires Partenaires 5 4 3 2 1 0 <3 3-6 7-9 >9 EXPOSITION FIABILITE CYBER <4 4-5 6-7 >7 C1 – ETABLISSEMENTS DE SANTE C2 – PHARMACIES F3 – PRESTATAIRE INFORMATIQUE P1 – UNIVERSITES P2 – REGULATEURS F1 – FOURNISSEURS INDUSTRIELS CHIMISTES F2 – FOURNISSEURS DE MATERIEL Objetdel'étude C3 – GROSSISTES REPARTITEURS P3 – LABORATOIRES Zone de danger (Seuil : 2.5) Zone de veille (Seuil : 0.2) Zone de contrôle (Seuil : 0.9)
  • 20. Définir des scénarios opérationnels 22 CONNAITRE EXPLORER MAITRISER EXPLOITER ATTAQUER RENTRER Intrusion via mail de hameçonnage sur service RH Intrusion via le site du CE (trou d’eau) Corruption d’un personnel de l’équipe R&D Vol et exploitation de données de R&DCorruption d’un prestataire d’entre- tien des locaux Reconnaissance externe avancée Reconnaissance interne réseaux bureautique & IT site de Paris Latéralisation vers réseau LAN R&D Exploitation maliciel de collecte et d’exfiltration Intrusion via un canal d’accès préexistant Création et maintien d’un canal d’exfiltration via un poste Internet Clé USB piégée connectée sur un poste de R&D Reconnaissance externe sources ouvertes 1 2 3
  • 21. Participants : Direction, Métiers, RSSI, DSI Atelier 1 : Cadrage et socle de sécurité 23 Livrables :  Eléments de cadrage  Périmètre métier et technique : missions, valeurs métier, biens supports  Evènements redoutés et niveau de gravité  Socle de sécurité : liste des référentiels applicables, état d’application, identification des écarts/dérogations Objectif : Définir le cadre de l’étude, son périmètre métier et technique et le socle de sécurité
  • 22. Définir le périmètre métier et technique 24 Mission Identifier et fabriquer des vaccins Dénomination de la valeur métier Recherche & développement (R&D) Fabriquer des vaccins Traçabilité et contrôle Nature de la valeur métier (processus ou information) Processus Processus Information Description Activité de recherche et développement des vaccins nécessitant : • l’identification des antigènes ; • la production des antigènes (vaccin vivant atténué, inactivé, sous- unité) : fermentation (récolte), purification, inactivation, filtration, stockage ; • l’évaluation préclinique ; • le développement clinique. Activité consistant à réaliser : • le remplissage de seringues (stérilisation, remplissage; étiquetage) • le conditionnement (étiquetage et emballage) Informations permettant d’assurer le contrôle qualité et la libération de lot (exemples : antigène, répartition aseptique, conditionnement, libération finale…) Entité ou personne responsable (interne/externe) Pharmacien Responsable production Responsable qualité Dénomination du/des biens supports associés Serveurs bureautiques (internes) Serveurs bureautiques (externes) Systèmes de production des antigènes Systèmes de production Serveurs bureautiques (internes) Description Serveurs bureautiques permettant de stocker l’ensemble des données de R&D Serveurs bureautiques permettant de stocker une partie des données de R&D Ensemble de machines et équipements informatiques permettant de produire des antigènes Ensemble de machines et équipements informatiques permettant de fabriquer des vaccins à grande échelle Serveurs bureautiques permettant de stocker l’ensemble des données relatives à la traçabilité et au contrôle, pour les différents processus Entité ou personne responsable (interne/externe) DSI Laboratoires Laboratoires DSI + Fournisseurs de matériel DSI Objectif : identifier les valeurs métiers et les biens supports considérés comme les plus importants ou sensibles pour l’organisation (pas de recherche de l’exhaustivité pour ne pas alourdir l’analyse)
  • 23. Identifier les évènements redoutés 25 Valeur métier Evènement redouté Impacts Gravité R&D Perte ou destruction des informations d’études et recherches • Impacts sur les missions et services de l’organisme • Impacts sur les coûts de développement 2 Altération des informations d’études et recherches aboutissant à une formule de vaccin erronée • Impacts sur la sécurité ou la santé des personnes • Impacts sur l’image et la confiance • Impacts juridiques 3 Fuite des informations d’études et recherches de l’entreprise • Impacts financiers 3 Interruption des phases de tests des vaccins pendant plus d’une semaine • Impacts sur les missions et services de l’organisme • Impacts financiers 2 Fabriquer des vaccins Fuite du savoir-faire de l’entreprise concernant le processus de fabrication des vaccins et de leurs tests qualité • Impacts financiers 2 Interruption de la production ou de la distribution de vaccins pendant plus d’une semaine pendant un pic d’épidémie • Impacts sur la sécurité ou la santé des personnes • Impacts sur l’image et la confiance • Impacts financiers 4 Traçabilité et contrôle Altération des résultats des contrôles qualité aboutissant à une non-conformité sanitaire • Impacts sur la sécurité ou la santé des personnes • Impacts sur l’image et la confiance • Impacts juridiques 4 Objectif : (faire) prendre conscience des enjeux de sécurité sur les valeurs métiers considérées comme étant les plus importantes pour l’organisation
  • 24. Déterminer le socle de sécurité 26 Type de référentiel Nom du référentiel Etat d’application Ecarts/Dérogations Justification des dérogations Bonnes pratiques Guide pour l’élaboration d’une PSSI Appliqué Bonnes pratiques Guide d’hygiène informatique Appliqué avec restrictions Règle 1 : former les équipes opérationnelles à la sécurité des SI A compléter suite à l’analyse de risques Règle 3 : maitriser les risques de l’infogérance A compléter suite à l’analyse de risques Règle 8 : identifier nommément chaque personne accédant au système A compléter suite à l’analyse de risques Règle 12 : changer les éléments d’authentification par défaut sur les équipements et services A compléter suite à l’analyse de risques Règle 25 : sécuriser les interconnexions réseau dédiées avec les partenaires A compléter suite à l’analyse de risques Règle 31 : chiffrer les données sensibles A compléter suite à l’analyse de risques Bonnes pratiques Sécuriser les dispositifs de vidéo protection Appliqué Bonnes pratiques Maitriser la SSI pour les systèmes industriels Non appliqué Intégralité du guide A compléter suite à l’analyse de risques Etat d’application des bonnes pratiques de sécurité numérique : Objectif : adopter une démarche « par conformité » correspondant aux deux premiers étages de la pyramide de management du risque numérique
  • 25. Participants : Direction, Métiers, RSSI, (Spécialiste analyse de la menace cyber) Atelier 2 : Sources de risque 27 Livrables :  Liste des couples SR/OV prioritaires retenus pour la suite de l’étude  Liste des couples SR/OV secondaires, qui seront si possible mis sous surveillance  Représentation des SR/OV sous la forme d’une cartographie Objectif : Identifier les sources de risque (SR) et leurs objectifs visés (OV) en lien avec l’objet de l’étude
  • 26. Identifier, évaluer et sélectionner les couples SR/OV 28 Sources de risque Objectifs visés Motivation Ressources Activité Pertinence Couple retenu Hacktiviste Saboter la prochaine campagne nationale de vaccination en perturbant la production ou distribution des vaccins, pour générer un choc psychologique sur la population et discréditer les pouvoirs publics ++ + ++ Moyenne Oui Concurrent Voler des informations en espionnant les travaux de R&D pour obtenir un avantage concurrentiel +++ +++ +++ Elevée Oui Hacktiviste Divulguer au grand public des informations sur la façon dont les vaccins sont conçus en collectant des photos et vidéos des tests animaliers pour rallier l’opinion publique à sa cause ++ + + Faible Non Objectif : rendre l’appréciation des risques plus concrète et ancrée sur la réalité de la menace numérique
  • 27. Participants : Métiers, Architectes fonctionnels, RSSI, (Spécialiste cybersécurité) Atelier 3 : Scénarios stratégiques 29 Livrables :  Cartographie de menace de l’écosystème et les parties prenantes critiques  Scénarios stratégiques dimensionnants et évènements redoutés  Mesures de sécurité retenues pour l’écosystème Objectif : Identifier les parties prenantes critiques de l’écosystème et construire des scénarios de risque de haut niveau (scénarios stratégiques)
  • 28. Evaluer le risque associé aux parties prenantes de l’écosystème 30 Maturité SSI Quelles sont les capacités de la partie prenante en matière de sécurité ? Confiance Est-ce que les intentions ou les intérêts de la partie prenante peuvent m’être contraires ? FIABILITE CYBER EXPOSITION Dépendance La relation avec cette partie prenante est-elle vitale pour mon activité ? Pénétration Dans quelle mesure la partie prenante accède-t- elle à mes ressources internes ? Niveau de menace Dépendance x Pénétration Maturité x Confiance Pour chaque partie prenante, évaluer 4 critères : Objectif : identifier les parties prenantes de l’écosystème et évaluer le niveau de menace qu’elles font peser sur l’organisation
  • 29. Exemple de cartographie de menace numérique de l’écosystème 31 Clients Prestataires Partenaires 5 4 3 2 1 0 <3 3-6 7-9 >9 EXPOSITION FIABILITE CYBER <4 4-5 6-7 >7 C1 – ETABLISSEMENTS DE SANTE C2 – PHARMACIES F3 – PRESTATAIRE INFORMATIQUE P1 – UNIVERSITES P2 – REGULATEURS F1 – FOURNISSEURS INDUSTRIELS CHIMISTES F2 – FOURNISSEURS DE MATERIEL Objetdel'étude C3 – GROSSISTES REPARTITEURS P3 – LABORATOIRES Zone de danger (Seuil : 2.5) Zone de veille (Seuil : 0.2) Zone de contrôle (Seuil : 0.9)
  • 30. Définir les scénarios stratégiques « Un concurrent veut voler des informations en espionnant les travaux de recherche & technologies pour obtenir un avantage concurrentiel » Gravité du scénario : 3 - grave 32 SOCIÉTÉ DE BIOTECHNOLOGIEECOSYSTÈME CONCURRENT Informations de R&D Canal d’exfiltration direct PRESTATAIRE INFORMATIQUE (F3) Canal d’exfiltration Une partie des informations de R&D LABORATOIRE (P3) Canal d’exfiltration Objectif : disposer de scénarios compréhensibles par tous tenant compte des parties prenantes de l’écosystème
  • 31. Participants : RSSI, DSI, (Spécialiste cybersécurité) Atelier 4 : Scénarios opérationnels 33 Livrables :  Scénarios opérationnels  Evaluation des scénarios opérationnels en termes de vraisemblance Objectif : Construire les scénarios opérationnels schématisant les modes opératoires techniques qui seront mis en œuvre par les sources de risque
  • 32. Des scénarios opérationnels basés sur un modèle de cyber kill chain ® 34 CONNAITRE > Corruption > Reconnaissance externe EXPLORER MAITRISER > Corruption > Reconnaissance interne > Latéralisation et élévation de privilèges EXPLOITER ATTAQUER > Corruption > Pilotage et exploitation de l’attaque RENTRER > Corruption > Intrusion depuis Internet > Intrusion ou piège physique
  • 33. Définir les scénarios opérationnels et évaluer leur vraisemblance 35 CONNAITRE EXPLORER MAITRISER EXPLOITER ATTAQUER RENTRER Intrusion via mail de hameçonnage sur service RH Intrusion via le site du CE (point d’eau) Corruption d’un personnel de l’équipe R&D Vol et exploitation de données de R&DCorruption d’un prestataire d’entre- tien des locaux Reconnaissance externe avancée Reconnaissance interne réseaux bureautique & IT site de Paris Latéralisation vers réseau LAN R&D Exploitation maliciel de collecte et d’exfiltration Intrusion via un canal d’accès préexistant Création et maintien d’un canal d’exfiltration via un poste Internet Clé USB piégée connectée sur un poste de R&D Reconnaissance externe sources ouvertes V 4 (4) V 3 (3) V 5 (4) (4) V 5 (4) Vglobale 4 (2) (3) (4) 1 2 3 V 4 (4) V 5 (4) V 2 (2) V 4 (3)V 3 (3) V 4 (3) V 4 (4) V 5 (4)
  • 34. Participants : Direction, Métiers, RSSI, DSI Atelier 5 : Traitement du risque 36 Livrables :  Stratégie de traitement du risque  Synthèse des risques résiduels  Plan d’amélioration continue de la sécurité  Cadre du suivi des risques Objectif : Définir une stratégie de traitement du risque et identifier les risques résiduels
  • 35. Définir une stratégie de traitement du risque 37 Scénarios de risques :  R1 : Un concurrent vole des informations de R&D grâce à un canal d’exfiltration direct  R2 : Un concurrent vole des informations de R&D en exfiltrant celles détenues par le laboratoire  R3 : Un concurrent vole des informations de R&D grâce à un canal d’exfiltration via le prestataire informatique  R4 : Un hacktiviste provoque un arrêt de la production des vaccins en compromettant l’équipement de maintenance du fournisseur de matériel  R5 : Un hacktiviste perturbe la distribution de vaccins en modifiant leur étiquetage Vraisemblance Gravité 4 3 2 1 21 3 4 R3R2 R1 R4R5 Objectif : valider une stratégie de traitement du risque et définir des mesures de sécurité pour traiter le risque (gouvernance, protection, défense, résilience)
  • 37. Comment passer de la version 2010 à cette nouvelle version d’EBIOS ? Les analyses de risques précédentes ont permis d’identifier et mettre en œuvre des mesures de sécurité pour gérer les risques Ces mesures sont directement prises en compte lors de la définition du socle de sécurité, dans l’atelier 1 de la nouvelle méthode EBIOS 39
  • 38. Catégories de sources de risque et objectifs visés 40 Etatique Crime organisé Terroriste Hacktiviste idéologique Technique et spécialisé Amateur Vengeur Concurrent Espionnage, intelligence économique Pré-positionnement stratégique Agitation, propagande Sabotage : destruction Sabotage : neutralisation Fraude, lucratif Opportunisme, collatéral Jeu, amusement, ludique
  • 39. Exemple de plan d’amélioration continue de la sécurité (PACS) 41 Mesure de sécurité Scénarios de risques associés Responsable Freins et difficultés de mise en œuvre Coût / Complex. Echéance Statut Gouvernance Sensibilisation renforcée au hameçonnage par un prestataire spécialisé R1 RSSI Validation du CHSCT indispensable + 6 mois En cours Audit de sécurité technique et organisationnel de l’ensemble du SI bureautique par un PASSI R1, R5 RSSI ++ 3 mois A lancer Intégration d’une clause de garantie d’un niveau de sécurité satisfaisant dans les contrats avec les prestataires et laboratoires R2, R3, R4 Equipe juridique Effectué au fil de l’eau à la renégociation des contrats ++ 18 mois En cours Audit de sécurité organisationnel des prestataires et laboratoires clés. Mise en place et suivi des plans d’action consécutifs R2, R3, R4 RSSI Acceptation de la démarche par les prestataires et laboratoires ++ 6 mois A lancer Limitation des données transmises aux laboratoires au juste besoin R2 Equipe R&D + 3 mois Terminé Protection Protection renforcée des données de R&D sur le SI (pistes : chiffrement, cloisonnement) R1, R3 DSI +++ 9 mois En cours Renforcement du contrôle d’accès physique au bureau R&D R1 Equipe sûreté ++ 3 mois Terminé Dotation de matériels de maintenance administrées par la DSI et qui seront mis à disposition du prestataire sur site R4 DSI ++ 9 mois A lancer Renforcement de la sécurité du système industriel selon les recommandations ANSSI R4, R5 RSSI / DSI / Sûreté Stratégie et plan d’action à définir et valider +++ 12 mois A lancer Chiffrement des échanges de données avec les laboratoires R2 DSI Identifier le produit de chiffrement et le faire accepter par les laboratoires ++ 9 mois A lancer Défense Surveillance renforcée des flux entrants et sortants (sonde IDS). Analyse des journaux d’évènements à l’aide d’un outil. R1 DSI Achat d’un outil, budget à provisionner ++ 9 mois A lancer Résilience Renforcement du plan de continuité d’activité R4, R5 Equipe continuité d’activité ++ 6 mois En cours