Scribd Logo
Importer

Bienvenue sur Scribd !

  • ATELIER 5 Partie 1

    Transféré par

    Saïd MOUGAMADOUSSOULTANE
    19 vues10 pages

    Titre original

    ATELIER+5+partie+1

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    19 vues10 pages

    ATELIER 5 Partie 1

    Transféré par

    Saïd MOUGAMADOUSSOULTANE

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 10

    A5

    Atelier 5 : traitement du risque

    OBJECTIF : Définir une stratégie de traitement du risque et identifier les risques résiduels

    ÉLÉMENTS EN ENTRÉE : ÉLÉMENTS EN SORTIE :


    • Socle de sécurité (atelier 1) • Stratégie de traitement du risque
    • Mesures de sécurité portant sur ATELIER 5 • Plan d’amélioration continue de
    TRAITEMENT
    l’écosystème (atelier 3) DU RISQUE la sécurité (PACS)
    • Scénarios stratégiques (atelier 3) • Synthèse des risques résiduels
    • Scénarios opérationnels (atelier 4) • Cadre du suivi des risques

    PARTICIPANTS : Direction, Métiers, RSSI, DSI

    EBIOS Risk Manager – Formation – Jamal SAAD 1


    A5
    Rappel : articulation des ateliers

    1 scénario de risque =
    ATELIER 2
    Couple Source de Risque / Objectif visé 1 chemin d’attaque
    (SR/OV)
    stratégique et son scénario
    opérationnel associé

    Scénario stratégique

    GRAVITÉ DES IMPACTS


    ATELIER 3 (identique pour le scénario stratégique et
    tous ses chemins d’attaque)

    Chemin d’attaque (1)


    … Chemin d’attaque (n)

    ATELIER 4 Scénario opérationnel (1)


    … Scénario opérationnel (n) VRAISEMBLANCE DU SCÉNARIO
    (propre à chaque scénario opérationnel)

    NIVEAU DE RISQUE
    (propre à chaque scénario de risque, évalué
    ATELIER 5 Scénario de risque (1) Scénario de risque (n) sur la base de sa gravité et de sa
    vraisemblance)

    EBIOS Risk Manager – Formation – Jamal SAAD 2


    A5
    1. Décider de la stratégie de traitement du risque
    Classes d’acceptation du risque

    EBIOS Risk Manager – Formation – Jamal SAAD 3


    A5 1. Décider de la stratégie de traitement du risque
    Représentation des risques et des seuils d’acceptation
    Exemple : société de biotechnologie
    ▪ R1 : Un concurrent vole des informations de
    GRAVITÉ R&D grâce à un canal d’exfiltration direct
    ▪ R2 : Un concurrent vole des informations de
    4 R5 R4 R&D en exfiltrant celles détenues par le
    laboratoire

    3 R2 R1 R3 ▪ R3 : Un concurrent vole des informations de


    R&D grâce à un canal d’exfiltration via le
    prestataire informatique
    2 ▪ R4 : Un hacktiviste provoque un arrêt de la
    production des vaccins en compromettant
    l’équipement de maintenance du fournisseur
    1 de matériel
    ▪ R5 : Un hacktiviste perturbe la distribution de
    1 2 3 4 VRAISEMBLANCE vaccins en modifiant leur étiquetage

    La représentation de la stratégie de traitement doit permettre de comparer les risques les uns par rapport aux
    autres et être compréhensible par l’ensemble des participants

    EBIOS Risk Manager – Formation – Jamal SAAD 4


    A5
    2. Définir les mesures de sécurité dans un PACS
    Comment les identifier ?

    COMMENT LES IDENTIFIER ?


    Parcourez chaque scénario de
    SUR QUOI PORTENT-ELLES ?
    risque et posez-vous la question A3
    suivante : quelles sont les étapes ➢ Ecosystème
    ou actions élémentaires pour
    lesquelles il serait pertinent de ➢ Scénarios stratégiques
    renforcer la sécurité afin de A4
    ➢ Scénarios opérationnels
    rendre la tâche plus difficile pour
    l’attaquant, diminuer sa
    probabilité de réussite ?

    EN QUOI CONSISTENT-ELLES ?
    o Renforcement du socle de sécurité
    o Mesures ad hoc liées aux contextes
    d’emploi et de menace, en lien avec les
    scénarios stratégiques et opérationnels
    EBIOS Risk Manager – Formation – Jamal SAAD 5
    A5
    2. Définir les mesures de sécurité dans un PACS
    Comment les structurer ?

    Protection Défense
    Se prémunir contre les attaques en
    Détecter les signaux faibles ou une
    rendant le SI et son écosystème les
    attaque avérée et réagir pour en
    moins vulnérables et exposés
    minimiser les impacts
    possibles

    Gouvernance Résilience
    Anticiper la menace, suivre le Assurer la continuité d’activité avec
    niveau de sécurité et renforcer en un niveau de dégradation tolérable,
    continu le dispositif puis la reprise nominale progressive

    EBIOS Risk Manager – Formation – Jamal SAAD 6


    A5
    2. Définir les mesures de sécurité dans un PACS
    Comment les structurer ?

    EBIOS Risk Manager – Formation – Jamal SAAD 7


    A5
    2. Définir les mesures de sécurité dans un PACS
    Exemple : société de biotechnologie

    EBIOS Risk Manager – Formation – Jamal SAAD 8


    A5
    2. Définir les mesures de sécurité dans un PACS
    Exemple : société de biotechnologie

    EBIOS Risk Manager – Formation – Jamal SAAD 9


    A5
    2. Définir les mesures de sécurité dans un PACS
    Sécurité en profondeur : un équilibre à atteindre

    Recherche d’un
    consensus sur la stratégie Cohérence avec les
    de sécurité en profondeur menaces et les risques à
    (plutôt protection VS plutôt traiter
    défense-résilience)

    Des mesures que l’on


    Échelonnement dans le peut vérifier au travers
    temps selon une d’un audit de sécurité
    démarche d’amélioration Des indicateurs de risques
    continue que l’on peut superviser
    au travers d’un SOC

    EBIOS Risk Manager – Formation – Jamal SAAD 10

    Vous aimerez peut-être aussi