Académique Documents
Professionnel Documents
Culture Documents
ATELIER 3 Partie 1
ATELIER 3 Partie 1
OBJECTIF : Identifier les parties prenantes critiques de l’écosystème, construire des scénarios de
risque de haut niveau (scénarios stratégiques) et mesures de sécurité retenues pour l’écosystème
ÉLÉMENTS EN ENTRÉE :
ÉLÉMENTS EN SORTIE :
• Missions et valeurs métier
• Cartographie de menace de
(atelier 1)
l’écosystème
• Événements redoutés et leur ATELIER 3
SCÉNARIOS • Scénarios stratégiques
gravité (atelier 1) STRATÉGIQUES
• Mesures de sécurité retenues
• Sources de risque et objectifs
pour l’écosystème
visés retenus (atelier 2)
Source de
Partie risque Source de
prenante risque
Partie
prenante
Partie
prenante
VALEURS METIER
BIENS SUPPORTS
Source de Partie
risque prenante
SYSTEME
Partie
Partie prenante
prenante
Source de
risque
ECOSYSTEME
Source de
risque
Partie prenante directement reliée au système (1er niveau de relation)
Partie prenante reliée à une autre partie prenante (2e niveau de relation)
EBIOS Risk Manager – Formation – Jamal SAAD 2
A3
1. Construire la cartographie de menace de l’écosystème
Les questions à se poser
NIVEAU DE MENACE
Dépendance x Pénétration
Maturité cyber x Confiance
1 : Relation non nécessaire aux fonctions 1 : Pas d’accès ou accès avec privilèges de type 1 : Des règles d’hygiène sont appliquées 1 : Les intentions de la partie prenante ne peuvent
stratégiques utilisateur à des terminaux utilisateurs (poste ponctuellement et non formalisées. La capacité de être évaluées.
de travail, ordiphone, etc.). réaction sur incident est incertaine.
2 : Relation utile aux fonctions stratégiques 2 : Accès avec privilèges de type administrateur 2 : Les règles d’hygiène et la réglementation sont 2 : Les intentions de la partie prenante sont
à des terminaux utilisateurs (parc informatique, prises en compte, sans intégration dans une considérées comme neutres.
flotte de terminaux mobiles, etc.) ou accès politique globale.
physique aux sites de l’organisation. La sécurité numérique est conduite selon un mode
réactif.
3 : Relation indispensable mais non exclusive 3 : Accès avec privilèges de type administrateur 3 : Une politique globale est appliquée en matière de 3 : Les intentions de la partie prenante sont
à des serveurs « métier » (serveur de fichiers, sécurité numérique. Celle-ci est assurée selon un connues et probablement positives.
bases de données, serveur web, serveur mode réactif, avec une recherche de centralisation
d’application, etc.). et d’anticipation sur certains risques.
4 : Relation indispensable et unique (pas de 4 : Accès avec privilèges de type administrateur 4 : La partie prenante met en œuvre une politique 4 : Les intentions de la partie prenante sont
substitution possible à court terme) à des équipements d’infrastructure (annuaires , de management du risque. La politique est intégrée parfaitement connues et pleinement compatibles
DNS, DHCP, commutateurs, pare-feu, et prend pleinement en compte une dimension avec celles de l’organisation étudiée.
hyperviseurs, baies de stockage, etc.) ou accès proactive.
physique aux salles serveurs de l’organisation.
C’est dans l’atelier 3 que le périmètre de l’analyse de risque est véritablement défini. Ce périmètre inclut
le système concerné mais également les parties prenantes internes et externes critiques de l’E/S
F3 – Prestataire informatique 3 4 2 2 3
Clients Partenaires
C1 – ETABLISSEMENTS
DE SANTE P1 – UNIVERSITES
C2 – PHARMACIES P2 – REGULATEURS
C3 – DÉPOSITAIRES
& GROSSISTES P3 – LABORATOIRES
REPARTITEURS
Objet de l'étude
5
F3 – PRESTATAIRE 4 EXPOSITION
INFORMATIQUE 3
2
F2 – FOURNISSEURS
1 <3 3-6 7-9 >9
DE MATERIEL
0
F1 – FOURNISSEURS FIABILITE CYBER
INDUSTRIELS CHIMISTES
Prestataires
<4 4-5 6-7 >7