1 - Cours-4a-2022-Volet 1-Module-5-2

ATELIER 3 : SCÉNARIOS STRATÉGIQUES
OBJECTIF : Identifier les parties prenantes critiques de l’écosystème et construire des scénarios de
risque de haut niveau (scénarios stratégiques)
ÉLÉMENTS EN ENTRÉE :
ÉLÉMENTS EN SORTIE :
• Missions et valeurs métier
• Cartographie de menace de
(atelier 1)
l’écosystème
• Événements redoutés et leur
ATELIER 3 • Scénarios stratégiques
gravité (atelier 1) SCÉNARIOS
STRATÉGIQUES • Mesures de sécurité retenues
• Sources de risque et objectifs
pour l’écosystème
visés retenus (atelier 2)
PARTICIPANTS : Métiers, Architectes fonctionnels, Juristes, RSSI, (Spécialiste cybersécurité)
199 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Articulation des différents ateliers

Identifier les parties prenantes de l’écosystème

Quelles sont les parties prenantes ?
 Une partie prenante est une entité (interne ou externe) avec qui l’on travaille
 Les parties prenantes à prendre en considération peuvent être de deux

natures :
 Parties prenantes externes :
 clients ;
 partenaires, cotraitants ;
 prestataires (sous-traitants, fournisseurs).
 Parties prenantes internes :
 services connexes techniques (exemple : services supports proposés par une DSI) ;
 services connexes métiers (exemple : entité commerciale utilisatrice des données métiers) ;
 filiales (notamment implantées dans d’autres pays).
EBIOS Risk Manager - 6. Écosystème – YouTube (A2 ÉCOSYSTÈME)

Construire la cartographie de menace de l’écosystème
Reprise


Évaluer le niveau de menace de chaque partie prenante

Critères de cotation de la menace proposés

Évaluer le niveau de menace de chaque partie prenante


Cartographie de menace de l’écosystème

Construire la cartographie de menace de l’écosystème : Actions à mener
 Les parties prenantes situées dans les zones de danger et de contrôle doivent
être incluses dans le périmètre d’appréciation des risques car elles risquent
d’être exploitées par un attaquant.
Niveau de menace Acceptabilité Recommandations d’actions
Aucune partie prenante dans cette zone : réduction du risque,

Très élevé – Zone de danger Inacceptable
ou refus d’établir l’interaction.
Enrôlement de la partie prenante dans le processus de

management du risque :
- surveillance particulière, voire accrue, en termes de
Elevé – Zone de contrôle Tolérable sous contrôle cyberdéfense ;
- audit de sécurité technique et organisationnel ;
- réduction/transfert du risque dans le cadre d’un plan
d’amélioration continue de la sécurité.
Faible – Zone de veille Acceptable en l’état Sans objet (menace résiduelle)
Remarque : une partie prenante pourra être tolérée dans la zone de danger seulement si ses niveaux de maturité et de
confiance sont au moins de 3 (donc Fiabilité Cyber > = 9)
Élaborer des scénarios stratégiques (du point de vue de l’attaquant)

Graphe d’attaque
 Exemple : Le concurrent vole les travaux de recherche :

1. en créant un canal d’exfiltration de données portant directement sur le système
d’information de la R&D ;
2. en créant un canal d’exfiltration de données sur le système d’information du

laboratoire, qui détient une partie des travaux (partie prenante);
3. en créant un canal d’exfiltration de données passant par le prestataire informatique

(partie prenante).
Il est nécessaire de relier les sources de risque aux parties prenantes de l’écosystème

Élaborer des scénarios stratégiques

Élaborer des scénarios stratégiques

Rappel du vocabulaire observé
EI : Événement intermédiaire associé à une valeur métier de l’écosystème

ER : Événement redouté relatif à une valeur métier de l’objet de l’étude
PP : Partie prenante de l’écosystème

Comment constituer les scénarios de risques ? (fin de l’atelier 3)

ATELIER 4 : SCÉNARIOS
OPÉRATIONNELS

ATELIER 4 : SCÉNARIOS OPÉRATIONNELS

Rappel : articulation des ateliers
EBIOS Risk Manager - 7. Raffinements successifs – YouTube (A2 A3 A4) RAPPEL

Les scénarios opérationnels (outillage)
Publication du club EBIOS : https://club-ebios.org/site/selecteur-de-techniques-dattaque-outillage-pour-latelier-4/

PDF : ClubEBIOS-2021-05-18-CGI.pdf (club-ebios.org)
Construire des chemins d’attaque à partir du référentiel « Attack » du Mitre sur YouTube https://www.youtube.com/watch?v=saJLR-uGY_Q.

ATELIER 4 : LIEN ENTRE SCENARIO STRATÉGIQUE ET OPÉRATIONNEL
SOURCE
DE OBJECTIF VISE CHEMIN D'ATTAQUE IMPACT
RISQUE
Trois chemin d'attaque à étudier.

Un concurrent vole des travaux de ATELIER 3
Scénario stratégique
recherche en créant un canal
d'exfiltration de données :
Voler des informations en
1. concernant directement le système
espionnant les travaux de
Concurrent d'information de R&D ; 3 – Grave
R&D afin d'obtenir un
2. sur le système d'information du 5 scenarios d’attaque
avantage concurrentiel
laboratoire qui détient une partie des
travaux ; identifiés dans l’atelier 3
3. en passant par le prestataire =
informatique. 5 scenarios opérationnel à
developer dans l’atelier 4
Deux chemins d'attaque à étudier.

Saboter la prochaine
Un hacktiviste perturbe la production
campagne de vaccination
ou la distribution de vaccins : ATELIER 4
en perturbant la
1. en provoquant un arrêt de la Scénario Opérationnel
production ou la
Hacktivist production industrielle en 4 - Critique
distribution des vaccins,
compromettant les moyens de
afin de générer un choc
maintenance de l'équipementier ;
psychologique sur la
2. en modifiant les étiquettes des
population et discréditer
vaccins.
les pouvoirs publics

Suggestion pour le déroulement de l’atelier 4
 Mener des tests intrusifs

 Stigmatiser les aspects techniques
 Matérialiser les vulnérabilités identifiées lors de l’audit.
 Référentiels : OWASP, OSSTMM
 Accord entre un prestataire et une société sur :

 Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications
concernées
 Une période de temps : durée de l’autorisation des tests d’intrusion.
 Une limite de tests : pas de perturbation de la production ni de corruption de
données.
 Focus sur les aspects juridiques

 Objet du contrat d’audit : entre obligations et responsabilités
 La licéité de l’exécution de la prestation d’audit
 Les risques inhérents à l’audit
 La confidentialité

Suggestion pour le déroulement de l’atelier 4 = Mener des tests de sécurité (les
tests techniques ne sont pas imposés par EBIOS RM)
Test ou audit technique

 Mener des tests techniques
• Audit technique
• Plan de remédiation

Les scénarios opérationnels
 Visualiser les modes opératoires planifiés par l’attaquant pour atteindre son
objectif.
 Enchaînement d’actions élémentaires sur des biens supports.
 Plusieurs modes opératoires peuvent être réalisés par la source de risque pour atteindre son
objectif visé
 Représentés par des chaînes séquentielles différentes avant d’atteindre l'étape finale.
 Exemple : Le concurrent vole les travaux de recherche :

 en créant un canal d’exfiltration de données portant directement sur le système d’information de la
R&D ;
 en créant un canal d’exfiltration de données sur le système d’information du laboratoire, qui détient
une partie des travaux (partie prenante);
 en créant un canal d’exfiltration de données passant par le prestataire informatique (partie prenante).

Des scénarios structurés selon une séquence d’attaque type

Une opération de « recrutement » d'une source à l'intérieur de l’organisation ou y ayant accès peut
être longue et complexe, mais très utile pour mettre en place un piège matériel ou fournir de
l’information sur le système d’information ciblé. Les raisons poussant une cible à trahir son entité
d'origine – potentiellement à son insu – sont couvertes par quatre grandes catégories, dites «
MICE »
MICE : Money, Ideology, Compromission, Ego

Lors de la phase de reconnaissance, la source de risque va rechercher dans l'ensemble de ses bases
disponibles les informations nécessaires à la planification de son attaque. Les données collectées
peuvent être de nature technique ou concerner l’organisation de la cible et de son écosystème. Les
moyens employés peuvent être très variés :
- Réseaux sociaux (social engineering) ;
- Internet (poubelles numériques, sites) ;
- Forums de discussion sur Internet ;
- Forums et salons professionnels ;
- Faux client, faux journaliste, etc. ;
- Prise de contact directe (anciens salariés, etc.) ;
- Officines ou agences spécialisées (sources non ouvertes) ;
- Renseignement d’origine électromagnétique (interceptions).

Intrusion depuis Internet ou des réseaux informatiques tiers
L’intrusion initiale a pour objectif d’introduire un outil malveillant dans le système d’information
ciblé ou dans un autre appartenant à l’écosystème (par exemple la chaîne d’approvisionnement –
supply chain), en général au niveau d’un bien support d’entrée plus particulièrement exposé.
Idéalement pour l’attaquant, l'intrusion initiale de l’outil malveillant est réalisée depuis Internet. Les
techniques et vecteurs d’intrusion les plus couramment utilisés sont :
- Les attaques directes à l’encontre des services exposés sur Internet ;

- Les mails d’hameçonnage (phishing) ou de harponnage (spearfishing) ;
- Les attaques via des serveurs spécifiquement administrés à cet effet ou compromis (attaques dites par point
d’eau ou waterhole) ;
- Le piège d’une mise à jour légitime d’un logiciel ou d’un firmware.

Cette méthode d’intrusion est utilisée pour accéder physiquement à des ressources du système
d’information afin de le compromettre. Elle peut être réalisée par une personne externe ou simplifiée
par le recrutement d'une source interne à l’organisation ciblée. L’intrusion physique est notamment
utile à l’attaquant qui souhaite accéder à un système isolé d’Internet, ce qui nécessite de franchir un ou
plusieurs air gaps. Des techniques d’intrusion physique couramment utilisées sont données ci-après.
- Connaissance des identifiants de connexion ;

- Compromission de la machine (ex : clé USB piégée) ;
- Connexion au réseau d’un matériel externe au système d’information ;
- Intrusion via un réseau sans fil mal sécurisé ;
- Piège d’un matériel en amont via la chaine d’approvisionnement (attaque dite de la supply chain) ;
- Utilisation abusive de moyens d’accès légitimes au système d’information (ex : vol et utilisation du téléphone
portable professionnel d’un personnel).

En général, à l’issue de l'intrusion initiale, l'attaquant se retrouve dans un environnement de type

réseaux locaux dont les accès peuvent être contrôlés par des mécanismes d'annuaires (Active
Directory, OpenLDAP, etc.). De fait, il doit mener des activités de reconnaissance interne lui permettant
de cartographier l’architecture réseau, identifier les mécanismes de protection et de défense mis en
place, recenser les vulnérabilités exploitables, etc. Lors de cette étape, l’attaquant cherche à localiser les
services, informations et biens supports, objets de l’attaque. Les techniques de reconnaissance interne
ci-après sont largement utilisées.
- Cartographie des réseaux et systèmes pour mener la propagation (scan réseau) ;

- Cartographie avancée (exemple : dump mémoire) ;
- Recherche de vulnérabilités (par exemple pour faciliter la propagation) ;
- Accès à des données système critiques (plan d’adressage, coffres forts, mots de passe, etc.) ;
- Cartographie des services, bases de données et biens supports d’intérêt pour l’attaque ;
- Dissimulation des traces ;
- Utilisation de maliciel générique ou à façon permettant d’automatiser la reconnaissance interne.

Latéralisation et élévation de privilèges
À partir de son point d’accès initial, l’attaquant va mettre en oeuvre des techniques de latéralisation
et d’élévation de privilèges afin de progresser et de se maintenir dans le système d’information. Il
s’agit généralement pour l’attaquant d’exploiter les vulnérabilités structurelles internes du système
(manque de cloisonnement des réseaux, contrôle d’accès insuffisant, politique d’authentification peu
robuste, négligences relatives à l’administration et à la maintenance du système d’information, absence
de supervision, etc.).
- Exploitation de vulnérabilités logicielles ou protocolaires (notamment identifiées lors de la reconnaissance)

- Modification ou abus de droits sur des comptes clés utilisateurs, administrateurs, machines ;
- Autres techniques spécifiques : attaque par force brute, dump mémoire, attaque « pass-the-hash ».

Cette étape finale correspond à la réalisation de l’objectif visé par la source de risque. Selon cet
objectif, il peut par exemple s’agir de déclencher la charge malveillante destructrice, d’exfiltrer ou de
modifier de l’information.
- Espionnage : Exfiltration de données ,observation ou écoute passive à distance…
- Entrave au fonctionnement (sabotage, neutralisation) : déni de service distribué, atteinte à l’intégrité d’un bien
support ou d’une donnée (effacement, chiffrement, altération) ; Brouillage d’un bien support (pour rendre aveugle
ou neutraliser) ;Systèmes industriels : envoi de commandes à risque pour la sûreté de fonctionnement…
- Lucratif (fraude, détournement d’usage, falsification), Usurpation d’identité (dans une logique d’abus de droits) ;
Détournement ou extorsion d’argent (exemple : rançongiciel, mineur de crypto monnaie)…
- Influence (agitation, propagande, déstabilisation) : Défiguration de sites Internet ; Diffusion de messages

idéologiques via la prise de contrôle d’un canal d’information ; Usurpation d’identité (dans une logique d’atteinte à
la réputation)…

Élaborer les scénarios opérationnels

Élaborer les scénarios opérationnels

Définir une échelle de vraisemblance
La vraisemblance d’un scénario opérationnel reflète le degré de faisabilité ou de possibilité que l’un
des modes opératoires de l’attaquant aboutisse à l’objectif visé (n’a pas vocation à être prédictive)

3 MÉTHODES POSSIBLES POUR ÉVALUER LA VRAISEMBLANCE
Méthode Standard Méthode Avancée
a. MÉTHODE EXPRESSE : COTATION DIRECTE DE LA VRAISEMBLANCE GLOBALE DU SCÉNARIO
b. MÉTHODE STANDARD : PROBABILITÉ DE SUCCÈS DES ACTIONS ÉLÉMENTAIRES Dans la méthode

standard, vous allez coter chaque action élémentaire selon un indice de probabilité de succès vu de
l’attaquant.
c. MÉTHODE AVANCÉE : PROBABILITÉ DE SUCCÈS ET DIFFICULTÉ TECHNIQUE DES ACTIONS

ÉLÉMENTAIRES
Note : ici la « probabilité » ne doit pas être entendue au sens mathématique du terme
Exploiter les base du CLUSIF : https://club-ebios.org/site/tag/atelier-4-scenarios-operationnels/

Club EBIOS - dans-la-fiche-methode-n-8-relative-a-levaluation-de-la-vraisemblance-des-scenarios-operationnels-
236 dans-latelier-4-que-signifient-les-chiffres-en-italique-et-entre-parentheses-d
PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou (club-ebios.org)
de reproduction réservés
Définir une échelle de vraisemblance : méthode avancée
Méthode avancée : en plus de la « probabilité de succès », cotation de la « difficulté technique » de
chaque action élémentaire du scénario, du point de vue de l’attaquant.

Evaluation de la vraisemblance avec la méthode « Express »
a. MÉTHODE EXPRESSE : COTATION DIRECTE DE LA VRAISEMBLANCE GLOBALE DU SCÉNARIO : La

méthode expresse consiste à évaluer directement la vraisemblance globale du scénario, sur la base
de considérations générales relatives à la source de risque (motivations, ressources) et à la sécurité
des biens supports ciblés dans le scénario (exposition, vulnérabilités).

Evaluation de la vraisemblance Méthode « Standard »
b. MÉTHODE STANDARD : PROBABILITÉ DE SUCCÈS DES ACTIONS ÉLÉMENTAIRES
L’indice global de probabilité de succès (étape finale) est obtenu en prenant l’indice de probabilité cumulé intermédiaire le plus élevé
parmi les modes opératoires qui aboutissent à l’étape finale. Il correspond au(x) mode(s) opératoire(s) dont la chance de succès parait la
plus élevée.
Le mode opératoire le plus

probable, est le mode
opératoire N°1 [Très élevé =3] ]

Evaluation de la vraisemblance Méthode « Avancée »
ÉLÉMENTAIRES
La méthode avancée permet une appréciation plus fine de la vraisemblance: elle prend en compte le niveau d’expertise et de ressources
dont l’attaquant aura besoin pour mener son attaque, compte tenu de la sécurité du système ciblé
Les modes opératoires les moins

difficiles techniquement sont les
mode N°2 et N°3 [Modéré=2]
(2)
Evaluation de la vraisemblance Méthode « Avancée »
ÉLÉMENTAIRES
La méthode avancée permet une appréciation plus fine de la vraisemblance: elle prend en compte le niveau d’expertise et de ressources
dont l’attaquant aura besoin pour mener son attaque, compte tenu de la sécurité du système ciblé
Les trois modes opératoires envisagés dans le graphe d’attaque ont le même niveau de vraisemblance V2
Par rapport à l’évaluation réalisée avec la méthode standard (V3), dans la méthode avancée, la vraisemblance estimée est moindre.
La prise en compte du critère de difficulté technique apporte une pondération sur l’estimation du niveau de vraisemblance.
(2)
Comment constituer les scénarios de risques ? (fin de l’atelier 4)

Actualité récente

Actualité récente

Actualité récente

Actualité récente

ATELIER 5 : TRAITEMENT DU
RISQUE

ATELIER 5 : TRAITEMENT DU RISQUE

Rappel : articulation des ateliers

Echelle du niveau de risque

Décider de la stratégie de traitement du risque


ATELIER 5 : TRAITEMENT DU RISQUE Décision de se retirer d’une situation à risque en supprimant /
modifiant la source du risque (par exemple, refuser de lancer
un projet parce que le risque est trop élevé) ;
STRATÉGIE DE TRAITEMENT DU RISQUE
REFUS OU ÉVITEMENT DU RISQUE
• Adaptation du contexte ou du périmètre

• Éliminer les causes (ex : sécurité dès la
conception = Security by Design) RISQUE
RÉDUCTION DU RISQUE
• Mesures de sécurité (sécurité en profondeur)

afin de réduire la gravité/vraisemblance
RISQUE PARTAGE OU TRANSFERT DU RISQUE
• Transférer le risque à un partenaire (contrat)

• Assurance
RISQUE
MAINTIEN OU PRISE DU RISQUE RÉSIDUEL
• Accepter le risque tel quel en étant conscient

de ses conséquences potentielles. Il s’agit de
vivre avec le risque (niveau de gravité faible,
pas de solution ou investir trop d’argent)
Traitement du risque

Structurer les mesures de traitement du risque
 Les mesures peuvent être structurées en fonction :

 Gouvernance et anticipation ;
 Protection ;
 Défense ;
 Résilience.
PROTECTION DÉFENSE
GOUVERNANCE
RESILIENCE
EBIOS Risk Manager - 9. Plan d'action – YouTube (A5)

 Construire la sécurité en profondeur
PROTECTION DÉFENSE
Se prémunir des impacts des attaques en Détecter les signaux faibles ou une attaque
rendant le Système d’Information et son avérée et réagir afin de minimiser les impacts
écosystème le moins vulnérable et exposé
possible
Comment? Comment?
• Sécurité intrinsèque par la conception / By • Cyberdéfense proactive
design
• Inscrire le S.I. dans un système de défense
• Sécurité de la chaîne d'approvisionnement (outil SIEM, organisation SOC)
(écosystème)
• Maintien de la sécurité

 Construire la sécurité en profondeur
RESILIENCE GOUVERNANCE
Assurer la continuité de l'activité avec un mode Anticiper, suivre le niveau de sécurité et

dégradé acceptable puis assurer le retour au renforcer en permanence le système
fonctionnement nominal
Comment?
Comment? • Veille (menaces, vulnérabilités)
• Plan de continuité d’activité • Indicateurs de pilotage de sécurité
• Plan de reprise d’activité • Retour d'expérience (incidents, crises)
• Exercises de gestion de crise

Type Mesures
• Organisation de management du risque et de l’amélioration continue

• Maîtrise de l’écosystème gestion du facteur humain (sensibilisation, entraînement)
Gouvernance
• Indicateurs de pilotage de la performance numérique
et anticipation Connaissance des vulnérabilités : audits de sécurité, veille
Connaissance de la menace : veille (renseignement, intelligence économique)
• Cloisonnement des biens supports par domaines de confiance

• Gestion de l’authentification et du contrôle d’accès
• Gestion de l’administration/supervision
• Gestion des entrées/sorties de données et des supports amovibles
• Protection des données (intégrité, confidentialité, gestion des clés cryptographiques)
Protection • Sécurité des passerelles d’interconnexion et des biens supports « de frontière »
• Sécurité physique et organisationnelle
• Maintien en condition de sécurité et gestion d’obsolescence
• Sécurité des processus de développement, d’acquisition (chaine d’approvisionnement), et de
maintien en condition opérationnelle
• Sécurité vis-à-vis des signaux parasites compromettants

Type Mesures
• Surveillance d’évènements
Défense • Détection et classification d’incidents
• Réponse à un incident cyber
• Continuité d’activité (sauvegarde et restauration, gestion des modes dégradés)

Résilience • Reprise d’activité
• Gestion de crise cyber

Le juste équilibre de la sécurité en profondeur
Rechercher un consensus
sur la stratégie de sécurité Cohérence avec les
en profondeur menaces et les risques à
(protection VS défense- traiter
résilience)
Échelonnement dans le
Mesures pouvant être
temps selon une
vérifiées par un audit de
démarche d'amélioration
sécurité
continue

Définir les mesures de sécurité dans un plan d’amélioration continue de la sécurité
(PACS)

Gestion des risques résiduels

Gestion des risques résiduels

Mettre en place le cadre de suivi des risques
EBIOS Risk Manager - 10. Conclusion – YouTube (A5 CONCLUSION)

UTILISATION DE WOOCLAP
 Sondage à partir d’un navigateur Web ou d’une App (smart phone)

1. Aller sur https://www.wooclap.com/
2. Rentrer le code donné par le formateur
CODE A SAISIR : GSNKPG

RÉSUMÉ DU MODULE
Atelier 1 :
Atelier 5 :
Cadrage et Atelier 2 : Sources
Traitement du
socle de de risque
risque
sécurité
Atelier 3 : Atelier 4 :
Scénarios Scénarios
stratégiques opérationnels

1 - Cours-4a-2022-Volet 1-Module-5-2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

1 - Cours-4a-2022-Volet 1-Module-5-2

Transféré par

Droits d'auteur :

Formats disponibles

ATELIER 3 : SCÉNARIOS STRATÉGIQUES

PARTICIPANTS : Métiers, Architectes fonctionnels, Juristes, RSSI, (Spécialiste cybersécurité)

199 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

200 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

201 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Quelles sont les parties prenantes ?

 Les parties prenantes à prendre en considération peuvent être de deux

EBIOS Risk Manager - 6. Écosystème – YouTube (A2 ÉCOSYSTÈME)

202 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

203 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

204 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

205 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

206 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

207 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

208 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

209 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Niveau de menace Acceptabilité Recommandations d’actions

Aucune partie prenante dans cette zone : réduction du risque,

Enrôlement de la partie prenante dans le processus de

Faible – Zone de veille Acceptable en l’état Sans objet (menace résiduelle)

211 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Exemple : Le concurrent vole les travaux de recherche :

2. en créant un canal d’exfiltration de données sur le système d’information du

3. en créant un canal d’exfiltration de données passant par le prestataire informatique

212 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

213 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

214 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

EI : Événement intermédiaire associé à une valeur métier de l’écosystème

215 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

216 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

217 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

218 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

EBIOS Risk Manager - 7. Raffinements successifs – YouTube (A2 A3 A4) RAPPEL

219 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Les scénarios opérationnels (outillage)

Publication du club EBIOS : https://club-ebios.org/site/selecteur-de-techniques-dattaque-outillage-pour-latelier-4/

220 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Trois chemin d'attaque à étudier.

Deux chemins d'attaque à étudier.

221 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Mener des tests intrusifs

 Accord entre un prestataire et une société sur :

 Focus sur les aspects juridiques

222 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Test ou audit technique

223 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Les scénarios opérationnels

 Exemple : Le concurrent vole les travaux de recherche :

224 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

225 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

MICE : Money, Ideology, Compromission, Ego

226 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

227 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Intrusion depuis Internet ou des réseaux informatiques tiers

- Les attaques directes à l’encontre des services exposés sur Internet ;

228 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

- Connaissance des identifiants de connexion ;

229 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

En général, à l’issue de l'intrusion initiale, l'attaquant se retrouve dans un environnement de type

- Cartographie des réseaux et systèmes pour mener la propagation (scan réseau) ;

230 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Latéralisation et élévation de privilèges

- Exploitation de vulnérabilités logicielles ou protocolaires (notamment identifiées lors de la reconnaissance)