Les risques font partie de l'écosystème d'un Système d'Information : aucune entreprise ne peut y échapper ! Et pourtant, ces risques sont encore trop peu gérés par les entreprises... et les gouvernements. Etat des lieux de la sécurité - La sécurité d'un SI, une simple question de budget ? - Les principales menaces actuelles - Et la gestion des risques ? - On-Premise ou dans le Cloud ? Mettre en œuvre une approche et une méthode liées à la cybersécurité de son SI - Comment décrire une approche efficace en termes de cybersécurité - Vue d'ensemble des principales méthodes reconnues au national et à l'international sur son SSI - Introduction et cas concret avec la méthode Ebios Risk Manager recommandée par l'ANSSI - Tour d'horizon des bonnes pratiques préconisées Et les risques principaux dans tout cela ? - Comment le ransomware peut-il pénétrer un SI ? Comment interagira-t-il avec le SI ? Quelles seront les conséquences ? - Comment durcir son SI afin de réduire le risque ? - Retour sur des cas réels et leurs impacts Webinar animé par Alexandre Héron

1. FORMATION
IT - Digital - Management
24/02/2022
m2iformation.fr
07/07/2022

2. m2iformation.fr
m2iformation.fr
La sécurité au sein du SI
Webinar du 07 juillet 2022
Animé par :
Alexandre Héron
Consultant en Informatique
et Systèmes d’Information

3. m2iformation.fr
Avant de rentrer
dans le vif du sujet

4. m2iformation.fr
4
M2i, Leader de la formation IT, Digital
et Management en France

5. m2iformation.fr
La sécurité au sein d’un SI

6. m2iformation.fr
Sommaire

7. m2iformation.fr
SOMMAIRE
• La sécurité dans son ensemble
• La sécurité oui, mais à quel niveau ?
• La gestion du risque
• Vue d’ensemble des approches existantes
• La Méthode eBiOS
• Introduction
• Les tenants et les aboutissants
• Quelques exemples
7

8. m2iformation.fr
m2iformation.fr
1. Les Ransomwares
2. La tarteaux pommes de belle maman
3. Le phishing
4. L’absence d'application d’uneméthode
de SSI
5. Les organisationsde hackeurs
6. Les Etats
7. L'absence d'Antivirus
En apéritif : sondage n°1
Quelle est selon vous la pire
menace ?

9. m2iformation.fr
Point sur la situation actuelle

10. m2iformation.fr
C’est le meilleurcompromis
Faire correspondre la SSI avec les
saisons, c’est naturel et bio
C’est ce qu’il y’avait avant et que j’ai vu
dans chaque entreprises : je perpétue
En 1970, c’était le temps moyen pour
hacker un mot de passe
Pour quelle raison, 3 mois est la durée de péremption des
mots de passes dans la majorité des entreprises françaises :

11. m2iformation.fr
Trop tard ? 11

12. m2iformation.fr
Vous voulez un malware à votre nom ? 12

13. m2iformation.fr
Quelques chiffres 13

14. m2iformation.fr
D’autres chiffres ?
>90% sur des actifs non critiques/stratégiques
300K€ <1000 salariés
1M€ >1000 salariés
14

15. m2iformation.fr
HaaS, RaaS, DDOSaaS, … XaaS ! 15

16. m2iformation.fr
un mot de passe spécifique long et
complexe très difficile à deviner
une série continue de caractères sur
votre clavier (ex : azerty, 1234)
votre date de naissance
le même qu’au bureau
Vous devez choisir un mot de passe pour vous connecter à
un site marchand, vous choisissez :

17. m2iformation.fr
Mots de passes & Humour 17

18. m2iformation.fr
Je reçois des messages de ma banque indiquantun virement en attenteà
mon attention,et déblocableen cliquantsur un lien vérifié
J’ouvre le message et je fournis les
informations attendues
Je prends contact avec ma banque
pour avoirdes explications
Je détruis le message, ma banque
connait déjà ces informations
Je faissuivre le message àunami que j’aime
particulièrementetqui ala même banque

19. m2iformation.fr
Phishing ou la pêche au gros !

20. m2iformation.fr
Qui est touché ? 20

21. m2iformation.fr
Et les menaces modernes ? IA, IoT & OT 21

22. m2iformation.fr
Les Attaques Etatiques … 22

23. m2iformation.fr
Les principales assistances FR 2021 23

24. m2iformation.fr
m2iformation.fr
Question n°1
Peut-on se faire pirater
cérébralement ?

25. m2iformation.fr
Et la cogni-sécu ? 25

26. m2iformation.fr
Comment se protéger ? 26

27. m2iformation.fr
La gestion des risques

28. m2iformation.fr
m2iformation.fr
Question n°2
Mettez-vous en œuvre une approche
précise quant à la sécurité de vos SI ?

29. m2iformation.fr
Sécurité des SI – Vue d’ensemble
Risque
Humain
Risque
Juridique
Risque
Technique
29

30. m2iformation.fr
Sécurité des SI – Risques Humains
Espionnage
Vol
Chantage
Sabotage
Inconscience
Maladresse
Ingénierie …
30

31. m2iformation.fr
Le risque humain, ridicule ? 31

32. m2iformation.fr
Sécurité des SI – Risques Juridiques
Signature
numérique
Protection du
patrimoine
Vie privée
Gestion des
documents
Droit de la
preuve
…
32

33. m2iformation.fr
Sécurité des SI – Risques Techniques
Matériel Logiciel
Environnemental Organisationnel
33

34. m2iformation.fr
m2iformation.fr
1. Avant 2021
2. Oui en 2021
3. Oui en 2022
4. Non jamais
Sondage n°2
Avez-vous déjà été piraté au
sein de votre société ?

35. m2iformation.fr
Une approche ?

36. m2iformation.fr
Architecture d’un SI
Management
du SI
Sécurité du SI
Opérationnel
37

37. m2iformation.fr
Mais qu’est-ce qu’une approche Sécurité ?
Visant à sécuriser un SI sur des objectifs précis
Mise en œuvre
d’une Culture
Bonnes
pratiques
Méthodes
Protocoles et
Processus
Outils Documentations
Organisation
Et bien d’autres
choses
38

38. m2iformation.fr
Confidentialité Authenticité
Intégrité Disponibilité
Les objectifs d’une approche « basique » 39

39. m2iformation.fr
Gestion du risque – Vue d’ensemble 40

40. m2iformation.fr
Sécurité des SI –
Les outils et le niveau de maturité
41

41. m2iformation.fr
Quelques méthodes
MEHARI
EBiOS
RM
OCTAVE
FAIR
ISO
27XXX
42

42. m2iformation.fr
Quelques méthodes 43
Standard Titre Détail
27000 ISMS Vocabulaire&
Introduction au
framework
27001 ITSecurity Techniques Core standard, miseen
œuvred’un ISMS
27002 Infosec Codeof Practice Catalogue des contrôles
de sécurité
27003 Infosec Implémentation
Guide
Approcheprojetet
recommandations
27004 Infosec Management Auditing Guide KPIs
27005 Risk Management Identifier, contrôler et
évaluer les risques et les
menaces
27032 Techniques de sécurité Lignes directrices, Outils
et techniques
27301 Sécurité et résilience PCA / PRA, Mise en
œuvred’un SMCA

43. m2iformation.fr
La méthode EBIOS Risk Manager 44

44. m2iformation.fr
La méthode EBIOS Risk Manager 45

45. m2iformation.fr
Une méthode adaptable 46

46. m2iformation.fr
m2iformation.fr
En dessert : sondage n°3
Quelle est selon vous la pire
menace ?
1. Les Ransomwares
2. La tarteaux pommes de belle maman
3. Le phishing
4. L’absence d'application d’uneméthode
de SSI
5. Les organisationsde hackeurs
6. Les Etats
7. L'absence d'Antivirus

47. m2iformation.fr
Prévenir les ransomwares 48

48. m2iformation.fr
Pour aller plus loin

49. m2iformation.fr
• Sur-mesure ou au catalogue
Formation Nombre de jours Note
ISO 27701 vs ISO 27001 - Norme
internationale pourla protection des
donnéespersonnelles
1 jour (7h00)
ISO 27001 / 27002 - Fondamentauxet gestion
desmesuresde sécurité
2 jours (14h00)
ISO 27001 - Lead Implementer- Avec
certification
5 jours (35h00)
ISO 27701 - Lead Implementer- Avec
certification
5 jours (35h00)
ISO 22301 - Lead Implementer- Avec
certification
5 jours (35h00)
Les formations disponibles au sein de M2i 52

50. m2iformation.fr
• Sur-mesure
Formation Nombre de jours Note
ISO 27001 - Lead Auditor- Avec certification 5 jours (35h00)
ISO 22301 - Lead Auditor- Avec certification 5 jours (35h00)
ISO 27032 - Lead CybersecurityManager-
Avec certification
5 jours (35h00)
ISO 27005 - Risk Manager - Aveccertification 3 jours (21h00)
Méthode EBIOS RM 2018 (RiskManager) -
Avec certification
2,5 jours (17h30)
Les formations disponibles au sein de M2i 53

51. m2iformation.fr
• Sur-mesure
Formation Nombre de jours Note
Préparationà la certificationCISSP 5 jours (35h00)
Préparationà la certificationCCSP 5 jours (35h00)
Gestionde crise IT / SSI 1 jour (7h00)
Les formations disponibles au sein de M2i 54

52. m2iformation.fr
Des questions ?

53. m2iformation.fr
Annexes

54. m2iformation.fr
La méthode EBIOS Risk Manager 57

55. m2iformation.fr
La méthode EBIOS Risk Manager 58

56. m2iformation.fr
La méthode EBIOS Risk Manager 59

57. m2iformation.fr
La méthode EBIOS Risk Manager 60

58. m2iformation.fr
La méthode EBIOS Risk Manager 61

59. m2iformation.fr
OSE : Les Opérations des Services Essentiels 62

60. m2iformation.fr
Merci de votre participation !