MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET DE

LA RECHERCHE SCIENTIFIQUE

INIS

Cyber sécurité

Noureddine Kanzari

Année universitaire: 2021 - 2022

Introduction
 Le monde de la cybercriminalité

• La cybercriminalité est un crime assisté par la technologie.

• Cela peut impliquer des PC, des smartphones, des réseaux et Internet.
• Avec l'émergence constante de nouvelles technologies, les cybercriminels deviennent plus rapides, à la
vitesse de l'éclair, adaptent leurs attaques à l'aide de nouvelles méthodes et se coordonnent d'une
manière que nous n'avons jamais vue auparavant.
 Simple Portfolio

Si quelqu'un doit commettre un vol, c'est un défi car le chien féroce, l'agent de sécurité, les capteurs , les caméras de vidéosurveillance et de nombreux autres gadgets de sécurité seront présents autour de la maison prévue pour la protéger.

Mais, pour un mauvais acteur, il est facile d'envoyer un lien malveillant vers le PC/smartphone de la victime. Lorsque la victime clique sur ce lien, certains logiciels malveillants s'installent sur le système de la victime qui piratera l'appareil et compromettra les détails bancaires/de carte de crédit.
Comprendre les différents types de cybercriminalité

Your Text Here

Get a modern PowerPoint Presentation
that is beautifully designed.
Your Text Here
Get a modern PowerPoint Presentation
that is beautifully designed.
Your Text Here
Get a modern PowerPoint Presentation
that is beautifully designed.
Your Text Here
Get a modern PowerPoint Presentation
that is beautifully designed.
Your Text Here
Get a modern PowerPoint Presentation
that is beautifully designed.
Your Text Here
Get a modern PowerPoint Presentation
that is beautifully designed.
 Le piratage

Accédant à votre système

informatique sans votre
permission.

• Le piratage fait référence à des activités qui cherchent à compromettre des appareils numériques, comme
les ordinateurs, les smartphones, les tablettes et même des réseaux complets.
• Les pirates peuvent également utiliser la psychologie pour inciter l'utilisateur à cliquer sur une pièce jointe
malveillante ou à fournir ses données personnelles.
 Logiciels malveillants
(Malware)

Est un programme
développé dans le but
de nuire à un système
informatique.

• Conçus pour accéder aux données d'un ordinateur ou les endommager. Les logiciels malveillants peuvent
être de plusieurs types.
• Nous avons besoin d'un logiciel anti-malware sur nos ordinateurs.
• Souvent, la récupération n'est pas possible une fois le système d'une victime a été infecté.
• Les types courants de logiciels malveillants :
 Les logiciels malveillants

Virus Chevaux de Troie Vers

ils propagent et déguisés en logiciels ils peuvent infecter tous

corrompent les données légitimes, et peuvent les appareils connectés à
d'un système créer des portes un réseau
dérobées afin que
l'attaquant peut accéder
au système
Sont des
programmes Ransomware Botnets backdoor
développés dans
le but de nuire à crypte les données d'une c'est un réseau des une fonctionnalité
un système victime (conserve vos machines infectées qui inconnue de l'utilisateur
informatique. données en otage) travaillent ensemble sous légitime, qui donne un
jusqu'à ce que la victime le contrôle d'un attaquant accès secret au logiciel
verse de l'argent à
l'attaquant
 Usurpation

Envoi à la personne concernée un « 

faux message », en se faisant passer
pour une personne publique ou
privée connue, afin de récolter ses
informations personnelles

• L'usurpation d'identité est un type de cyberattaque dans lequel quelqu'un tente de se déguiser en source de
confiance pour avoir accès à des informations importantes.
• La plupart des usurpations se produisent par e-mail. Par exemple, la victime peut recevoir un e-mail d'un
hôpital pour s'inscrire au vaccin Covid. L'escroc a usurpé cette adresse e-mail afin que la victime croie
l'e-mail vient de l'hôpital, les informations saisies par la victime dans la réponse à cet e-mail seront
transmises à cet escroc.
• Le but de l'usurpation d'identité est d'accéder à des informations personnelles, de contourner les contrôles
de sécurité du réseau ou de diffuser des logiciels malveillants.
• Ex: usurpation de site Web, usurpation d'adresse IP, usurpation DNS.
 Vol d'identité

Prendre délibérément
l'identité d'une autre
personne.

• Le vol d'identité se produit lorsqu'une personne non autorisée utilise les informations d'identification
personnelle (PII) de la victime, telles que le nom, l'adresse, le numéro de sécurité sociale (SSN), les
informations de carte de crédit, etc., pour assumer l'identité de la victime et commettre un acte criminel
• Le vol d’identité devient d’usurpation d’identité lorsque le voleur utilise vos données personnelles pour
effectuer des actions malveillantes en votre nom.
 Phishing

Obtenir des renseignements

personnels dans le but de
perpétrer une usurpation
d'identité.

• Technique utilisée par les cybercriminels pour extraire des informations confidentielles telles que des
numéros de carte de crédit et des informations de connexion.
• Le phishing est principalement réalisé par usurpation de courrier électronique
• Lorsque vous cliquez sur un tel lien, le site Web cloné/faux s'ouvre et toutes les informations que vous
saisissez sont transmises aux mauvais acteurs. Cet attaquant peut également installer des logiciels
malveillants sur votre système via ce site Web.
 Pharming

Technique de piratage
informatique exploitant des
vulnérabilités des services
DNS

• Le pharming est une forme de phishing.

• Le pharming est une attaque qui redirige le trafic de votre site Web vers un autre, probablement un site Web
fictif et malveillant.
• Le pharming se fait généralement en infectant des serveurs DNS.
• Les internautes demandant un nom de domaine se feront ainsi rediriger vers le serveur frauduleux.
 Web Jacking

Chercher illégalement le
contrôle d'un site Web en
prenant le contrôle d'un
domaine

• Le Web jacking tire son nom de « piratage ». Comme les pirates de l'air prennent le contrôle d'un avion, ici
les pirates prennent le contrôle du site Web et deviennent le propriétaire du site Web. Après en avoir pris le
contrôle, ils peuvent modifier le site Internet. Le propriétaire d'origine n'a plus le contrôle du site Web.
Parfois, des informations précieuses comme une liste de clients sont là, qui peuvent être utilisées par des
attaquants à des fins malveillantes. Les attaquants peuvent également demander une rançon ou dégrader le
site Web.
 Web Jacking

Chercher illégalement le
contrôle d'un site Web en
prenant le contrôle d'un
domaine

Méthode d'attaque de Web Jacking :

1.La première étape de la méthode d'attaque consiste à créer une fausse page du site Web, par exemple
www.anywebsite.com/login.php.
2. La deuxième étape consiste à l'héberger sur votre ordinateur local ou sur un hébergement mutualisé.
3.La troisième étape la victime ouvrira le lien, entrera ses coordonnées et soumettra.
4. Dernière étape, vous obtiendrez tous les détails soumis par la victime
 Déni de service (DoS)

Attaque informatique ayant

pour but de rendre
indisponible un service.

• Tente de refuser le service aux utilisateurs prévus de ce service.

• Par exemple, un site Web devient inaccessible parce qu'il reçoit des demandes d'accès (quantité de trafic)
au-delà de sa capacité de traitement.
• Dans une attaque DDoS, plusieurs systèmes informatiques compromis attaquent une cible, telle qu'un
serveur, un site Web ou d'autres ressources réseau, et provoquent un déni de service pour les utilisateurs de
la ressource ciblée.
 Ingénierie sociale

Une pratique visant à

obtenir par manipulation
mentale une information
confidentielle

• C'est l'attaque la plus dangereuse et constitue la base de tous les types de cyberattaques.
• L'ingénierie sociale joue avec l'esprit des gens et profite de la bonté des gens.
• Prenons un exemple. Votre voisin vient voir votre enfant, qui est un adolescent et qui aime beaucoup jouer
aux jeux en ligne. Le voisin lui donne un smartphone et dit : « J'ai acheté ce dernier smartphone et vous
pouvez jouer à n'importe quel jeu en ligne très facilement. Connectez-le à votre Wi-Fi et jouez à ce jeu. Votre
enfant prend ce smartphone, se connecte à votre Wi-Fi, joue au jeu et rend le téléphone.
 Espionage

collecter et transférer
des informations sans
que l'utilisateur en ait
connaissance.

• L'espionnage d'entreprise est une réalité.

• L'espionnage d'entreprise est de plus en plus facile à faire à l'ère cybernétique. Avec autant d'entreprises
connectées à Internet.
• Entrer dans les réseaux des entreprise ; fouillez dans les fichiers; copier, modifier ou détruire toutes les
données importantes
 Hacktivisme

Utilisation du piratage
informatique dans le but de
favoriser des changements
politiques ou sociétaux

• Les hacktivistes sont des hackers et autres individus avertis en informatique qui utilisent leurs compétences
pour promouvoir des agendas sociaux ou politiques et s'introduisant dans vos systèmes sans votre
permission afin d’agir illégalement.
DÉFINIR LA CYBERSÉCURITÉ

CYBERSÉCURITÉ La cybersécurité comprend les technologies

utilisées pour protéger les informations. Il
comprend les processus utilisés pour créer,
gérer, partager et stocker des informations. Il
comprend des pratiques telles que la
formation et les tests de vulnérabilité pour
garantir que les informations sont
correctement protégées et gérées.
Une cybersécurité efficace préserve la
confidentialité, l'intégrité et la disponibilité des
informations, les protégeant des attaques de
mauvais acteurs, des dommages de toute
nature et de l'accès non autorisé par ceux qui
n'ont pas le « besoin de savoir ».
CYBERSÉCURITÉ
DÉFINIR LA CYBERSÉCURITÉ

CYBERSÉCURITÉ
La cybersécurité est la synergie délibérée de
technologies, de processus et de pratiques
pour protéger les informations et les réseaux,
les systèmes et appareils informatiques et les
programmes utilisés pour collecter, traiter,
stocker et transporter ces informations contre
les attaques, les dommages et les accès non
autorisés.
Nous considérons la cybersécurité comme un
ensemble d'activités axées sur la protection
des informations vitales d'une organisation.
 LA CYBERSÉCURITÉ EST UN IMPÉRATIF COMMERCIAL

• Les dirigeants de tous les secteurs d'activité sont de plus en plus

préoccupés par la cybersécurité.

• Les rapports indiquent que les incidents de piratage sont en

augmentation avec près d'un milliard de tentatives de piratage au
cours du seul dernier trimestre de 2021.

• Les clients, les actionnaires et les investisseurs potentiels exigent

de plus en plus que des contrôles efficaces soient mis en place
pour protéger les informations sensibles.
 LA CYBERSÉCURITÉ EST UN IMPÉRATIF COMMERCIAL

• Les clients s'attendent à ce que leurs informations personnelles et

financières soient protégées contre la divulgation non autorisée.

• Les dirigeants reconnaissent que leurs informations d'entreprise

vitales, telles que leur propriété intellectuelle et leurs secrets
commerciaux, offrent un puissant avantage concurrentiel pour
leurs entreprises et doivent être protégées.

• chaque entreprise repose sur l'information pour maintenir un

avantage concurrentiel. Les gestionnaires à tous les niveaux
doivent comprendre comment investir dans la cybersécurité pour
produit de la valeur.
 LA CYBERSÉCURITÉ EST UN IMPÉRATIF COMMERCIAL

• L'un des principaux objectifs des dirigeants est la gestion des

risques, et c'est là que les discussions sur la cybersécurité
devraient commencer.

• La cybersécurité concerne la gestion des risques.

• Il s'agit de protéger votre entreprise, les investissements de vos

actionnaires tout en conservant un avantage concurrentiel et
en protégeant vos actifs.
GESTION DES RISQUES
 RISQUES ?

• Il n'existe pas de formule normative universellement acceptée qui

définit comment mesurer le risque.
• L'interaction des menaces, des vulnérabilités et de la probabilité.
• l'une de vos principales responsabilités est de gérer les risques afin
de protéger votre entreprise et de créer un environnement propice à
sa croissance.
• Comprendre où vous êtes vulnérable, ainsi que la probabilité que
quelqu'un exploite ces vulnérabilités, est essentiel pour déterminer
votre position de risque.
 RISQUES ?

Identification des menaces.

•La première étape de l'évaluation qualitative des risques consiste à

identifier vos menaces et sources de menaces (connaissez votre
ennemi !).
Source de la menace Menace La description
Humaine Saisie incorrecte des données Il s'agit d'une entrée incorrecte de données,
intentionnelle ou délibérée, qui compromet
l'intégrité des données dans la base de
données
Humaine Infection virale Il s'agit de l'insertion de code malveillant dans
le réseau informatique qui compromet la
sécurité et l'intégrité de votre réseau
Humaine accès non autorisé Il s'agit de l'accès aux informations par des
personnes non autorisées
Humaine Attaque de pirate Il s'agit d'une action par laquelle un pirate
informatique accède aux réseaux et aux
informations
Catastrophe naturelle Tremblement de terre la possibilité qu'un tremblement de terre
puisse frapper, perturbant les opérations
Catastrophe naturelle Inondation Cela prend en compte la possibilité qu'une
inondation puisse affecter l'installation et
interrompre les opérations
Environnement physique Tornade Cela prend en compte la possibilité qu'une
tornade puisse affecter l'installation et
interrompre les opérations
Environnement physique Panne électrique Cela prend en compte la possibilité qu'une
panne de courant puisse endommager le
système ou interrompre les opérations
Environnement physique Feu Cela prend en compte la possibilité qu'un
incendie puisse endommager le système ou
interrompre les opérations
 Identification des vulnérabilités

•Votre équipe produit de nombreux tableaux identifiant des centaines de

vulnérabilités
•votre équipe consulte les personnes les plus familiarisées avec le
système : les développeurs de système, les administrateurs de système
et de base de données, les gestionnaires de programme et le personnel
de cybersécurité
•Les équipes techniques sont une mine d'informations pour identifier les
vulnérabilités potentielles. Sur la base de leurs connaissances techniques
et de leur interaction quotidienne avec les systèmes, ils connaissent les
forces et les faiblesses du système
•Si vous voulez savoir où sont vos plus grands risques de cybersécurité,
ce sont les meilleures personnes à qui vous adresser
•Les résultats de l'analyse des vulnérabilités sont une source principale
d'informations pour identifier vos vulnérabilités en matière de
cybersécurité
 Identification des vulnérabilités

•De équipes techniques effectuent régulièrement des tests d'intrusion

pour déterminer où leur sécurité est la plus faible et peut être exploitée
•les Pen-testeurs trouvent des moyens de pirater votre système afin que
vous puissiez trouver vos maillons les plus faibles
•Nous recommandons fortement vous incluez régulièrement des tests
d'intrusion avec l'analyse des vulnérabilités pour vous fournir les
informations sur les vulnérabilités dont vous avez besoin pour prendre
des décisions éclairées.
•Des audits internes et des procédures de contrôle sont utilisés pour
garantir que vos politiques et procédures sont régulièrement et avec
précision respectées
•Nous avons régulièrement effectué des analyses à la recherche de
logiciels non autorisés apparaissant sur le réseau dans le cadre de notre
programme de cybersécurité et avons constaté une augmentation
alarmante de l'apparition de logiciels non autorisés.
 Identification des vulnérabilités

•Cependant, ce que mon adjoint a découvert grâce à l'audit interne nous

a surpris. Tout le monde avec des privilèges d'administration système ne
faisait pas partie de l'équipe technique

•Nous avons rapidement réagi pour remédier à la situation en supprimant

le logiciel, mis en place des procédures de contrôle d'accès très strictes
pour gérer les privilèges de manière centralisée et alerté la direction sur
le site d'exploitation du problème. Heureusement, nous avons détecté et
résolu le problème avant que les dommages ne surviennent, mais cela
met en évidence l'impact positif des programmes de contrôle interne et de
gestion pour vous aider à trouver vos faiblesses. Ne comptez pas
uniquement sur votre technologie pour révéler vos problèmes !
•Vulnerability: Web page software is vulnerable to SQL injection
 correspondance des menaces et des vulnérabilités

•Faire correspondre les menaces aux vulnérabilités est une partie

importante de votre processus de gestion des risques

•Une menace sans vulnérabilité ne produit pas de risque. De même, une

vulnérabilité sans menace ne produit pas de risque.
•la vulnérabilité d'injection SQL a été identifiée. Cela peut permettre à un
attaquant d'accéder à la base de données BigMIMS, révélant, modifiant
ou détruisant potentiellement des dossiers de patients sensibles et
ouvrant BigRX à des litiges embarrassants, à des amendes
réglementaires et à des dommages à sa précieuse marque. La
vulnérabilité est grave
•le réseau est constamment bombardé de scans, il s'agit d'une
reconnaissance de votre réseau, De plus, votre voisin de la vente au
détail vient d'être harcelé par un exploit d'injection SQL qui ébranle sa
réputation et entraîne des litiges embarrassants, et des pertes
potentielles dues au vol de données client sensibles.
•BigRX pense-t-il qu'il existe une correspondance entre la menace et la
vulnérabilité ? Absolument! Alors, quelle est la prochaine étape ? Quelle
est la probabilité que quelqu'un vous attaque ?
 Estimer la probabilité d'incident

•comment décider qu'un événement est probable (probabilité de

l'événement)
•Le fait est que Microsoft est devenu la plus grande source de logiciels au
monde, faisant de son produit la plus grande cible des pirates
informatiques. Pourquoi? Pour citer le célèbre braqueur de banque Willie
Sutton, « Parce que c'est là que se trouve l'argent. »
•Étant donné que les entreprises utilisent principalement des logiciels
basés sur l'architecture Microsoft, les pirates accordent une grande
attention aux produits Microsoft, recherchant sans relâche les
vulnérabilités qu'ils peuvent exploiter
 Estimer la probabilité d'incident

Vous avez réuni des experts de vos services informatiques et financiers

et de vos opérations commerciales et même des consultants en
cybersécurité. Ils ont utilisé la technique du groupe Delphi pour faire une
recommandation à la direction selon laquelle la probabilité était ÉLEVÉE
que BigRX soit confronté à un incident de piratage réussi utilisant la
vulnérabilité SQL au cours d'une période de 12 mois
 Définir l'impact de l'incident

La prochaine étape pour BigRX consiste à définir comment vous mesurez

l'impact qu'aurait la cyberattaque attendue

Comme indiqué précédemment, il est avantageux de maintenir une

cohérence dans la méthodologie et l'approche tout au long du processus.
Les dirigeants de BigRX (vous, les administrateurs et les principaux
dirigeants) sont les plus préoccupés par l'impact sur la sécurité des
patients et les implications économiques.
Pour estimer l'impact, l'équipe utilise les définitions suivantes
 L'évaluation des risques

• Évaluation = Déterminer quel risques élevés, quels risques moyens et

quels risques bas
• déterminer la probabilité (ou probabilité) qu'une menace se produise
contre une vulnérabilité entraînant un impact.
• vous créez une matrice pour déterminer la relation entre la probabilité
qu'un événement se produise et l'impact qu'il aura s'il se produit
• votre matrice représente le risque
• la matrice d'évaluation des risques suivante est créée:
 Décisions de risque

• quatre options de base face au risque :

- Atténuer : les plus couramment utilisées pour traiter les risques,
ex:correctifs logiciels pour éliminer les vulnérabilités de sécurité, la
formation du personnel, l'installation et la configuration d'appareils de
sécurité nouveaux et/ou améliorés tels que des pare-feu et des
dispositifs de cryptage, et l'ajout de contrôles de sécurité physique
améliorés.
- il n'a pas de sens de dépenser un million de dollars sur un système
informatique pour protéger l'information évalué à 500 dollars
- L'atténuation est une décision commerciale rendue possible par la
technologie pour soutenir les objectifs commerciaux
- après avoir mis en œuvre vos mesures d'atténuation, assurez-vous de
réévaluer votre risque résiduel à la lumière des nouveaux contrôles et
configurations que vous avez peut-être mis en place
- Chaque fois que vous êtes confronté à un risque, certaines de vos
premières questions à vos subordonnés devraient être : « Comment
puis-je atténuer ce risque ? » "Combien ça coûtera?" "Combien de
temps cela prendra-t-il?"
 Décisions de risque

- Transfert : Bien que vous ne puissiez jamais transférer les

responsabilités, vous pouvez transférer le risque, Vous payez des
primes à la compagnie d'assurance
- plusieurs compagnies d'assurance dans le monde proposent
désormais une assurance pour les événements de cybersécurité
- La cyber-couverture essentielle comprend la responsabilité civile pour
les dommages associés à une violation de la sécurité des données ou
du réseau
- Bien que l'assurance n'élimine pas votre risque, elle contribuera à
réduire l'impact global en cas de catastrophe.
 Décisions de risque

- Acceptation : Souvent, le coût de la correction d'une vulnérabilité est

supérieur à l'actif que vous essayez de protéger.
- Parfois, vous n'avez pas les ressources pour corriger la vulnérabilité
- D'autres fois, vous pouvez décider que les coûts élevés associés à
l'atténuation sont trop élevés à payer en fonction de la probabilité d'un
événement et de son impact potentiel
- de nombreuses personnes décident d'accepter le risque et de laisser
leurs systèmes fonctionner avec le risque connu
- L'acceptation du risque est une décision réservée à la haute direction
- Assurez-vous également que la décision d'acceptation des risques est
écrite et acceptée par le haut responsable qui prend la décision
 Décisions de risque

- Évitement : L'évitement se produit lorsque vous arrêtez de faire ce qui

vous expose à des risques
- pratique consistant à retirer ou à déconnecter le composant ou le
système vulnérable pour éviter les risques
- Disons que vous avez un ancien serveur Web défectueux configuré
avec un logiciel ancien qui présente de nombreuses vulnérabilités.
- Plutôt que de passer un temps précieux à essayer de ressusciter
l'équipement ancien et d'y charger des logiciels contemporains (qui
peuvent ou non fonctionner sur l'ancien équipement), vous trouvez
qu'il est moins cher et plus efficace de remplacer le serveur et le
logiciel
- Éviter de placer des informations personnelles et d'autres informations
potentiellement exploitables sur votre site Web est une technique
importante de gestion des risques
- L'ouverture de votre réseau à un partenaire moins sécurisé peut
imposer des risques injustifiés à votre organisation
- un risque pris par un est un risque pris par tous, veillez à bien choisir
vos partenaires. Vous pouvez très bien constater que vous devez
éviter
- entrer dans une relation d'affaires parce que votre partenaire proposé
 Décisions de risque

Mitigation: Peut-être trouverez-vous ces considérations utiles lorsque

vous examinerez votre propre organisation, vous pouvez réduire
considérablement vos risques en accomplissant les actions d'atténuation
suivantes :
-1. Assurez-vous que vos politiques de cybersécurité sont bien
documentées, que tout le personnel y est formé et qu'elles sont
régulièrement testées.
-2. Assurez-vous que vos configurations logicielles et vos correctifs sont
tous à jour. Cela s'applique à vos logiciels, applications et systèmes
d'exploitation anti-programme malveillant. N'utilisez que des logiciels
sécurisés approuvés et testés, en particulier des systèmes d'exploitation.
Cela renforce votre réseau contre les attaques.
-3. Mettre en œuvre des connexions frontalières solides et des systèmes
de détection d'intrusion. Testez-les régulièrement via des tests d'intrusion
tiers indépendants.
-4. Mettez en œuvre une politique « Refuser tout, autoriser par exception
», qui filtre tout le trafic réseau et refuse tout le trafic non explicitement
autorisé.
 Décisions de risque

- 5. Mettre en œuvre une politique de « moindre privilège » où les

utilisateurs n'obtiennent que les privilèges et l'accès aux informations
et services dont ils ont besoin. Cela réduit considérablement le risque
que quelqu'un détourne l'identité de l'un de vos employés et élève ses
privilèges pour accéder à vos informations les plus sensibles.
- 6. Cryptez vos données. Tout. Chiffrez pendant qu'il est au repos et
pendant qu'il est en transit.
- Chiffrez vos disques durs sur vos ordinateurs de bureau, ordinateurs
portables et autres appareils dans la mesure du possible. Assurez-
vous d'avoir un système de gestion des clés pour vous assurer de
conserver un contrôle positif sur les clés pour déverrouiller vos
données
- 7. Mettre en œuvre un programme robuste de gestion des
vulnérabilités comprenant des analyses internes et externes. Installez
et utilisez un système de détection d'intrusion sur votre réseau. Cela
permettra de déployer des signatures de détection spécifiques aux
menaces qui déclencheront des alarmes immédiates pour le trafic
d'intérêt.
 Décisions de risque

- 8. Faites de la cybersécurité une priorité de l'entreprise. Désactivez

les lecteurs de CD/DVD et les lecteurs USB par stratégie et n'offrez
cette fonctionnalité que par exception dans des conditions contrôlées.
- 9. Faites de l'importation et de l'exportation de données une décision
consciente. Mettre en œuvre des politiques de conformité pour se
connecter afin de réduire les menaces de contamination.
- 1O. Investissez dans votre personnel informatique en fonction de la
valeur des informations que vous souhaitez protéger. Assurez-vous
d'avoir la bonne équipe, correctement formée et certifiée, et en
quantité suffisante pour faire le travail dont vous avez besoin
- 11. Déconnectez l'accès Internet à toutes les informations critiques et
sensibles qui n'ont pas besoin d'une connexion extérieure. Segmentez
vos données commerciales critiques du monde extérieur
 Décisions de risque

Transfert: Nous recommandons que vos discussions incluent des

discussions sur la responsabilité civile

nous pensons que vous devriez avoir des conversations avec plusieurs
compagnies d'assurance avant de prendre des décisions sur le transfert
des risques, car le marché de l'assurance contre les cyber-risques est
toujours en développement et il existe de larges écarts dans la couverture
 Décisions de risque

Acceptation: Envisagez d'accepter le risque d'embauches temporaires de

professionnels certifiés pour amener votre posture de vulnérabilité à un
niveau de référence acceptable
 Décisions de risque

Évitement : système de production doit-il être connecté à Internet ? Que

se passe-t-il s'ils débranchent la prise ? Ils devraient toujours faire face à
une menace interne et à des attaques externes à la Stuxnet, mais ils
peuvent éviter la menace des pirates s'ils déconnectent les connexions
externes. Ils peuvent toujours maintenir une connexion pour leurs
fonctions administratives, mais peuvent protéger leur propriété
intellectuelle et leurs fonctions commerciales contre les cyberattaques
externes
 Décisions de risque

Quelles recommandations avons-nous pour leur PDG?:

les procédures de test des logiciels semblent faire défaut car l'analyse de
vulnérabilité indique la vulnérabilité SQL (Cela aurait dû être détecté dans
le processus de test du logiciel et corrigé avant sa mise en ligne)

Il s'agit d'un problème important qui nécessite des mesures correctives

immédiates. Voici nos recommandations au PDG:
 Décisions de risque

Atténuation:
-1. Corrigez immédiatement la vulnérabilité d'injection SQL. Testez le
correctif avant de le mettre sur le système de production.
-2. mettant en œuvre des protocoles d'acceptation et de test de logiciels
-3. Mettez en œuvre des analyses de vulnérabilité externes et internes
régulières
 Décisions de risque

Transfert :
consulter des courtiers d'assurance pour discuter de leurs options de
transfert de risque par le biais de l'assurance. forfaits d'assurance très
solides couvrant des risques tels que les fautes professionnelles
 Décisions de risque

Acceptation:
Le code devra être écrit, vérifié et testé de manière approfondie avant
d'être chargé sur le système de production actif. En attendant, nous
recommandons à BigRX d'envisager d'accepter le risque de conserver la
configuration existante en ligne jusqu'à ce que le nouveau code puisse
faire son chemin à travers le processus de réparation, de test et de
livraison approprié
 Décisions de risque

Évitement::
Il peut être possible de supprimer le code défectueux de BigMIMS et de
continuer à maintenir des opérations efficaces jusqu'à ce que le nouveau
code soit prêt pour le déploiement
 COMMUNIQUER LES RISQUES

- Le risque doit être communiqué pour être correctement géré.

- Le fait de ne pas communiquer augmente en fait votre risque si ce
risque particulier n'est pas compris correctement et n'est pas pris en
compte
- Le risque doit être communiqué à plusieurs parties prenantes, Tout
d'abord, il doit être communiqué en interne. Chaque employé a un
intérêt dans le risque de l'entreprise, certaines communications de
risques fondées sur des directives réglementaires doivent être prises
en compte
- Enfin, vous devez communiquer avec vos actionnaires. Ils sont les
propriétaires de votre entreprise et s'attendent à connaître les risques
auxquels leur entreprise est confrontée.
 COMMUNIQUER LES RISQUES

Communiquer les risques en interne:

-La communication des risques se concentre sur le partage d'informations
sur les menaces, les vulnérabilités et les impacts
-garantir que chaque employé comprend ses responsabilités dans la
gestion des risque auquel votre entreprise est confrontée: (1) À quel
risque vous êtes confronté, (2) Qui a la responsabilité de gérer le risque,
(3) Où le risque est, et (4) comment l'éviter.
-Identifiez qui a besoin de l'information
-Ne torturez pas votre personnel en lui faisant deviner ce que vous voulez
-Écoutez bien : votre personnel détectera souvent les menaces et les
vulnérabilités qui génèrent des risques
 COMMUNIQUER LES RISQUES

- Donnez à vos employés les moyens de tirer la sonnette d'alarme

- Notez que lorsque les employés identifient les risques pour la sécurité
et signalent ces risques rapidement, la plupart des employeurs en font
une grosse affaire et remettent fréquemment des récompenses,
parfois en espèces
 COMMUNIQUER LES RISQUES

Communiquer avec les actionnaires:

Voici quelques suggestions pour mieux communiquer avec vos
actionnaires:
-Demandez-leur comment ils veulent avoir de vos nouvelles (ex: recevoir
des courriels et des rapports électroniques)
-Demandez à vos actionnaires quel type d'informations ils souhaitent (Les
actionnaires veulent-ils savoir quand vous avez un risque de
cybersécurité ? Veulent-ils seulement savoir quand vous êtes attaqué ?
Ou ne se soucient-ils pas du tout de savoir tant que l'entreprise reste
sûre, sous contrôle, bien gérée et rentable ?)
-Ayez un plan de communication en cas de crise : une cyberattaque
pourrait constituer une menace existentielle pour votre entreprise, mettant
en danger les capitaux propres de vos actionnaires. Vous devriez avoir
un plan sur la façon de communiquer pendant une crise
 COMMUNIQUER LES RISQUES

Communiquer avec les actionnaires:

Lorsque vous communiquez avec vos actionnaires, soyez prêt à répondre
aux questions suivantes :
• Qu'est-il arrivé?
• Où cela s'est-il passé?
• Quand l'avez-vous découvert ?
Qu'allez-vous en faire?
• À qui la faute ?
• Y avait-il des signes avant-coureurs ?
• Comment allez-vous empêcher que cela se reproduise ?
• Qu'est-ce que cela signifie pour nous?
informez vos actionnaires de manière décisive des prochaines étapes à
suivre pour résoudre le problème
 S'ORGANISER POUR RÉUSSIR

de nombreuses entreprises ont réalisé qu'elles avaient besoin de

processus et de procédures pour prévoir, mesurer et contrôler les
risques, elles mettent en place des structures organisationnelles
spécifiquement pour faire face aux risques
 S'ORGANISER POUR RÉUSSIR

Comité de gestion des risques:

-gérer et contrôler les risques
-Les comités sont officiellement établis par les conseils d'administration
des entreprises pour assurer la surveillance et la gouvernance des
fonctions clés de l'entreprise, Les chartes comprennent des directives
concernant l'objectif du conseil, la composition, l'organisation et les
opérations, les devoirs et les responsabilités, les exigences en matière de
rapports, les ressources et les pouvoirs, les réunions et d'autres besoins
du conseil. Il est important que le conseil trace la voie à suivre pour le
comité tout en reconnaissant que la charte doit souvent être révisée pour
tout changement ou amélioration
 S'ORGANISER POUR RÉUSSIR

Comité de gestion des risques:

-Les comités de gestion des risques sont généralement composés
d'administrateurs ne faisant pas partie de la direction, est hautement
improbable que les membres du comité de direction aient participé à la
prise de décision détaillée qui a conduit à un risque émergent, ils sont
plus susceptibles de se concentrer sur le risque plutôt que sur la gestion
quotidienne de l'entreprise
-doivent avoir une compréhension de base à la fois de l'entreprise et de la
technologie qui la soutient afin de faire
-les meilleures décisions. Avoir connaissance technique nécessaire pour
comprendre l'environnement cyber difficile et complexe mais n'ont pas
besoin d'être des experts techniques certifiés
-C'est le travail du conseil d'administration de diriger, et le travail de
-gestionnaires à gérer.
 S'ORGANISER POUR RÉUSSIR

Comité de gestion des risques:

- establish the “risk appetite” level for your business and work with
senior management to ensure that the requisite processes and
controls are in place and used to minimize your corporate risk
-contrôlent le « risque d'entreprise important » de l'organisation
-autorité d'approbation des propositions de gestion
-tolérances au risque
-veille
-sensibilisation aux menaces
-tenir compte des conclusions du comité d'audit en ce qui concerne la
performance des contrôles
-en plus d'une communication étroite avec les directeurs et les dirigeants
des unités commerciales, le comité de gestion des risques doit avoir une
communication très étroite avec le DSI, qui doit fournir au comité des
informations concernant les architectures, les performances et les
dépenses, ainsi que d'autres informations concernant les systèmes
d'information
 S'ORGANISER POUR RÉUSSIR

Chief Risk Officer

un cadre supérieur désigné avec des responsabilités stratégiques sur le
programme de gestion des risques d'entreprise améliore la conformité, la
planification stratégique et la gouvernance
rendent généralement compte au PDG pour leurs tâches quotidiennes. Ils
supervisent le programme de gestion des risques stratégiques, ses
processus et ses mesures. Le CRO s'assure que les processus sont
maintenus et à jour et que le personnel est formé conformément aux
objectifs de l'entreprise.
interagit avec des consultants externes professionnels, juridiques
operational management of your company’s formal risk
management program