Académique Documents
Professionnel Documents
Culture Documents
Présentation de la méthode
Contenu de présentation : extraits du support de cours de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
EBIOS Risk Manager : les bases
DEFINITIONS
• Larousse : Danger, inconvénient plus ou moins probable auquel on est exposé
• Norme ISO 31000 (Risk Management) : Effet de l’incertitude sur l’atteinte des objectifs. Un risque est
souvent exprimé en termes de combinaison des conséquences d’un événement et de sa
vraisemblance.
• EBIOS RM : Possibilité qu’un événement redouté survienne et que ses effets perturbent les missions
de l’objet de l’étude
GRAVITÉ VRAISEMBLANCE
L’estimation de la gravité et de la vraisemblance sont réalisées grâce à des échelles définies par
l’organisation
Apports
• Ateliers d’analyse collégiale, pour se positionner côté cible et côté attaquant pour définir
les scenarios d’attaque
• Connaissance de l’écosystème dans son ensemble
BIEN SUPPORT
Composante du système d’information sur laquelle repose une ou plusieurs valeurs métiers. Un bien support peut être
de nature numérique, physique ou organisationnelle
EVÉNEMENT REDOUTÉ - ER
Evénement redouté est associé à une valeur métier et portant atteinte à l’un des besoins de sécurité. Il est évalué en
termes de gravité
SOURCE DE RISQUE - SR
Elément, personne ou groupe de personnes ou organisation susceptible d’engendrer un risque. Une source de risque
peut être caractérisée par sa motivation, ses ressources, ses compétences, ses modes opératoires
OBJECTIF VISÉ - OV
Finalité visée par une source de risque, selon ses motivations
RGPD NIS
IGI 13000
CADRE RÈGLEMENTAIRE Sarbannes Maturité de fonctionnement sur les référentiels qui
ET NORMATIF Oaxley SOC sont à appliquer dans le contexte :
PCI-DSS Bale II
- Obligations légales et règlementaires à respecter
ISO 27001
- Certification appliquée
- Bonnes pratiques
Guides techniques - Politique de sécurité de l’information
ANSSI, NIST, … - Plan de Continuité d’Activité
LARGE SPECTRE
Vision attaquant
ATELIER 3
SCÉNARIOS STRATÉGIQUES
ATELIER 1 ATELIER 2 ATELIER 5
CADRAGE ET
SOURCES DE TRAITEMENT
SOCLE DE
RISQUE DU RISQUE
SÉCURITÉ
ATELIER 4
SCÉNARIOS OPÉRATIONNELS
Vision attaquant
CYCLE OPÉRATIONNEL
CYCLE STRATÉGIQUE
ATELIER 3
SCÉNARIOS STRATÉGIQUES
ATELIER 1 ATELIER 2 ATELIER 5
CADRAGE ET
SOURCES DE TRAITEMENT
SOCLE DE
RISQUE DU RISQUE
SÉCURITÉ
ATELIER 4
SCÉNARIOS OPÉRATIONNELS
Définition de la Définition de la
Gravité Vraisemblance
RISQUE RESIDUEL
RISQUE BRUT
CYCLE OPÉRATIONNEL
CYCLE STRATÉGIQUE
ATELIER 3
SCÉNARIOS STRATÉGIQUES
ATELIER 1 ATELIER 2 ATELIER 5
CADRAGE ET
SOURCES DE TRAITEMENT
SOCLE DE
RISQUE DU RISQUE
SÉCURITÉ
ATELIER 4
SCÉNARIOS OPÉRATIONNELS
Couples « Source
Événements Solutions de protection /
de risque /
redoutés les renforcement du niveau
Objectif visé » les
plus graves de sécurité
plus pertinents
Modes opératoires d’attaques :
Cartographie des vulnérabilités techniques APPRÉCIATION DES RISQUES
CYCLE OPÉRATIONNEL
CYCLE STRATÉGIQUE
ÉLÉMENTS EN SORTIE :
• Éléments de cadrage de l’étude : participants,
planning…
ATELIER 1
CADRAGE ET
• Périmètre métier et technique : missions, valeurs
SOCLE DE
SÉCURITÉ métier, biens supports
• Événements redoutés et leur niveau de gravité
• Socle de sécurité : liste des référentiels applicables, état
d’application, identification des écarts
Vision organisation
PARTICIPANTS : Direction, Métiers, RSSI, DSI
Un adolescent de 15 ans « pirate » le système de son collège pour améliorer ses notes.
Un adolescent de quinze ans a été interpellé pour s'être introduit dans le système informatique de son collège dans le
but de modifier ses résultats scolaires. […]
[Sources Internet : Le Point.fr et ZDNet]
ATTAQUE
Évènement redouté Les résultats scolaires d’un ou plusieurs collégiens sont erronés
Fiche Méthode 3
ÉCHELLE DÉFINITION
Incapacité pour la société d’assurer tout ou partie de son activité, avec d’éventuels impacts graves sur la sécurité
G4 – CRITIQUE des personnes et des biens. La société ne surmontera vraisemblablement pas la situation (sa survie est menacée)
Forte dégradation des performances de l’activité, avec d’éventuels impacts significatifs sur la sécurité des
G3 – GRAVE personnes et des biens. La société surmontera la situation avec de sérieuses difficultés (fonctionnement en mode
très dégradé)
G2 – SIGNIFICATIVE Dégradation des performances de l’activité sans impacts sur la sécurité des personnes et des biens. La société
surmontera la situation malgré quelques difficultés (fonctionnement en mode dégradé)
G1 – MINEURE Aucun impact opérationnel ni sur les performances de l’activité ni sur la sécurité des personnes et des biens. La
société surmontera la situation sans trop de difficultés (consommation des marges)
Il est recommandé de reprendre une échelle de gravité déjà définie dans l’organisation ou lors de l’étude des risques
précédente
Fiche Méthode 3
Fiche Méthode 3
INFORMATION)
ENTITÉ OU PERSONNE
RESPONSABLE Responsable production
(INTERNE/EXTERNE)
DÉNOMINATION DU/DES
BIENS SUPPORTS
ASSOCIÉS
BIENS SUPPORTS
DESCRIPTION
ENTITÉ OU PERSONNE
RESPONSABLE
(INTERNE/EXTERNE)
DESCRIPTION
ENTITÉ OU PERSONNE
RESPONSABLE
(INTERNE/EXTERNE)
DÉNOMINATION DE LA
VALEUR MÉTIER
Recherche & développement (R&D) Fabriquer des vaccins Traçabilité et contrôle
NATURE DE LA VALEUR
MÉTIER (PROCESSUS OU Processus Processus Information
VALEUR METIER
INFORMATION)
Activité de recherche et développement des vaccins nécessitant :
Activité consistant à réaliser : Informations permettant
• l’identification des antigènes ; d’assurer le contrôle qualité et la
• la production des antigènes (vaccin vivant atténué, inactivé, sous- • le remplissage de seringues libération de lot (exemples :
DESCRIPTION unité) : fermentation (récolte), purification, inactivation, filtration, (stérilisation, remplissage) ; antigène, répartition aseptique,
stockage ; • le conditionnement conditionnement, libération
• l’évaluation préclinique ; (étiquetage et emballage). finale…)
• le développement clinique.
ENTITÉ OU PERSONNE
RESPONSABLE Pharmacien Responsable production Responsable qualité
(INTERNE/EXTERNE)
DÉNOMINATION DU/DES
BIENS SUPPORTS ASSOCIÉS
Systèmes de production
BIENS SUPPORTS
Ensemble de machines et
équipements informatiques
DESCRIPTION
permettant de fabriquer des
vaccins à grande échelle
ENTITÉ OU PERSONNE
RESPONSABLE DSI + Fournisseurs de matériel
(INTERNE/EXTERNE)
ENTITÉ OU PERSONNE
RESPONSABLE Pharmacien Responsable production Responsable qualité
(INTERNE/EXTERNE)
DÉNOMINATION DU/DES Serveurs Serveurs Systèmes de
BIENS SUPPORTS bureautiques bureautiques production des Systèmes de production Serveurs bureautiques (internes)
ASSOCIÉS (internes) (externes) antigènes
BIENS SUPPORTS
Ensemble de
Serveurs Serveurs machines et Serveurs bureautiques permettant
Ensemble de machines et
bureautiques bureautiques équipements de stocker l’ensemble des
équipements informatiques
DESCRIPTION permettant de stocker permettant de stocker informatiques données relatives à la traçabilité
permettant de fabriquer des
l’ensemble des une partie des permettant de et au contrôle, pour les différents
vaccins à grande échelle
données de R&D données de R&D produire des processus
antigènes
ENTITÉ OU PERSONNE
RESPONSABLE DSI Laboratoires Laboratoires DSI + Fournisseurs de matériel DSI
(INTERNE/EXTERNE)
05/02/2022 Formation EBIOS RM 21
Définir le périmètre métier et technique A1
Fiche Méthode 2
Etat des lieux : constat de la situation ou du contexte
« faire une photographie de l’existant »
Il ne s’agit pas dans cette étape de lister l’intégralité des valeurs métier et biens supports de l’organisation
Ce n’est une démarche de cartographie du système d’information, il s’agit d’un état macro, général
Les valeurs métier qui n’auront pas été retenues pourront hériter des mesures prises pour protéger les autres valeurs métier
Perte ou destruction des informations d’études et • Impacts sur les missions et services de l’organisme
R&D recherches • Impacts sur les coûts de développement 2
• Impacts sur le patrimoine intellectuel
Objectif
Définir le niveau d’impact
(dangerosité) d’un évènement
redouté en définissant un niveau
de gravité
Résultat
Priorisation du niveau des
activités (valeurs métiers) et
donc, de leur importance pour
l’ensemble de l’organisation
(entreprise, collectivité, …)
Interruption des phases de tests des vaccins • Impacts sur les missions et services de l’organisme 2
pendant plus d’une semaine • Impacts financiers
OBJECTIF : Identifier les Sources de Risque (SR) et leurs Objectifs Visés (OV) en
lien avec l’objet de l’étude
ÉLÉMENTS EN SORTIE :
• Liste des couples SR/OV retenus
pour la suite de l’étude
ÉLÉMENTS EN ENTRÉE :
• Valeurs métier (atelier 1)
ATELIER 2
SOURCES DE
• Liste des couples SR/OV
• Événements redoutés (atelier 1)
RISQUE secondaires, qui seront si possible
mis sous surveillance
• Représentation des SR/OV sous la
forme d’une cartographie
Vision organisation
PARTICIPANTS : Métiers, RSSI, (Spécialiste analyse de la menace cyber), Direction
(validation des résultats de l’atelier)
Ressources Ressources
Ressources limitées significatives importantes Ressources illimitées
Moyennement
Fortement motivé Plutôt pertinent Très pertinent Très pertinent
ments qui poussent la source de risque à atteindre son
pertinent
Moyennement
Assez motivé Plutôt pertinent Plutôt pertinent Très pertinent
pertinent
Moyennement
Peu motivé Peu pertinent Plutôt pertinent Plutôt pertinent
pertinent
MOTIVATION
objectif
Espionnage, écoute,
Cyber-terroriste Peu motivé Ressources limitées Peu pertinent
surveillance
… …
SOURCES DE
OBJECTIFS VISÉS MOTIVATION RESSOURCES PERTINENCE
RISQUE
Fortement Ressources
Concurrent Voler des informations motivé importantes Très pertinent
SR/OV les plus
pertinents
Saboter la campagne nationale de Ressources
Hacktiviste vaccination Assez motivé significatives Plutôt pertinent
Interruption de la production ou de
Fabriquer la distribution de vaccins pendant Concurrent Voler des informations
des vaccins plus d’une semaine pendant un pic 4
d’épidémie
Saboter la campagne nationale de
Hacktiviste vaccination
Traçabilité Altération des résultats des contrôles
qualité aboutissant à une non- 4
et contrôle conformité sanitaire
Scénario stratégique
ATELIER 4
Scénario opérationnel
(1) … Scénario opérationnel
(n)
VRAISEMBLANCE DU SCÉNARIO
(propre à chaque scénario opérationnel)
NIVEAU DE RISQUE
(propre à chaque scénario de risque,
ATELIER 5 Scénario de risque (1) Scénario de risque (n) évalué sur la base de sa gravité et de sa
vraisemblance)
05/02/2022 Formation EBIOS RM 35
Identifier les parties prenantes de l’écosystème A3
EXTERNE
VALEURS METIER
• Autorité de tutelle
BIENS SUPPORTS
Source de Partie
• Etat / Gouvernement
risque
SYSTEME prenante • Ecole / Université
• Association
Partie • Public
Partie prenante
• Concurrents
prenante
• …
Source de
risque
ECOSYSTEME • Salariés
INTERNE
• Direction
Source de • Comité de Direction
risque
Partie prenante directement reliée au système (1er niveau de relation) • Actionnaires
Partie prenante reliée à une autre partie prenante (2e niveau de relation)
• …
05/02/2022 Formation EBIOS RM 36
Critères de cotation de la menace proposés A3
Fiche Méthode 5
ille
ve
Pour chaque partie prenante, évaluer 4 critères : ui
ld
e
Se le
ntrô
co
e
EXPOSITION N ld
iv eui
ea S er
u ang
de d
Dépendance Pénétration ld
e
m eui
La relation avec cette partie Dans quelle mesure la en S
prenante est-elle vitale partie prenante accède-t- ac
e
pour mon activité ? elle à mes ressources
internes ?
Niveau de menace = Objet de
l'étude
Pénétration x Dépendance
Maturité cyber x Confiance
FIABILITE CYBER
Fiche Méthode 5
NIVEAU DE
CATÉGORIE NOM DÉPENDANCE PÉNÉTRATION MATURITÉ CYBER CONFIANCE
MENACE
Client C2 - Pharmacies
Partenaire P1 - Universités
P2 - Régulateurs (ANSM,
Partenaire EMA…)
Partenaire P3 - Laboratoires
Fiche Méthode 5
Clients Partenaires
C1 – ETABLISSEMENTS
DE SANTE P1 – UNIVERSITES
C2 – PHARMACIES P2 – REGULATEURS
C3 – GROSSISTES P3 – LABORATOIRES
REPARTITEURS
Société de biotechnologies
5
F1 – FOURNISSEURS 4
INDUSTRIELS CHIMISTES NI
VE 3
AU 2
F2 – FOURNISSEURS DE
DE MATERIEL M 1
EN
AC 0
E
F3 – PRESTATAIRE
INFORMATIQUE
Prestataires
Partenaire P1 - Universités 2 1 1 2 1
P2 - Régulateurs (ANSM,
Partenaire 2 1 2 4 0,25
EMA…)
Fiche Méthode 6
Clients Partenaires
C1 – ETABLISSEMENTS
DE SANTE P1 – UNIVERSITES
C2 – PHARMACIES P2 – REGULATEURS
C3 – DÉPOSITAIRES &
GROSSISTES P3 – LABORATOIRES
REPARTITEURS
Société de biotechnologies
5 EXPOSITION
F3 – PRESTATAIRE 4
INFORMATIQUE = Dépendance x Pénétration
NI 3
VE
AU 2
F2 – FOURNISSEURS DE DE
M 1 <3 3-6 7-9 >9
MATERIEL EN
AC 0
E
FIABILITE CYBER
F1 – FOURNISSEURS
= Maturité cyber x Confiance
INDUSTRIELS CHIMISTES
Prestataires
<4 4-5 6-7 >7
Informations
de R&D
CONCURRENT
PRESTATAIRE INFORMATIQUE
(F3) Gravité : 3
Un scénario stratégique constitué de 3 chemins d’attaque
05/02/2022 Formation EBIOS RM 44
Élaborer des scénarios stratégiques A3
Valeur métier
Source PP
de
risque ER
Valeur métier ER
PP
EI
Légende :
Chemin d’attaque d’un scénario stratégique
EI Événement intermédiaire associé à une valeur métier de l’écosystème
ER Événement redouté relatif à une valeur métier de l’objet de l’étude
PP Partie prenante de l’écosystème
05/02/2022 Formation EBIOS RM 45
EBIOS Risk Manager : les bases
ÉLÉMENTS EN ENTRÉE :
• Missions, valeurs métier et ÉLÉMENTS EN SORTIE :
biens supports (atelier 1) ATELIER 4
SCÉNARIOS
• Scénarios opérationnels
• Socle de sécurité (atelier 1)
• Sources de risque et objectifs
OPÉRATIONNELS
• Évaluation des scénarios
visés retenus (atelier 2) opérationnels en termes de
• Scénarios stratégiques retenus vraisemblance
(atelier 3)
Vision attaquant
PARTICIPANTS : RSSI, DSI, Architectes SI, (Spécialiste cybersécurité)
Scénario stratégique
ATELIER 4
Scénario opérationnel
(1) … Scénario opérationnel
(n)
VRAISEMBLANCE DU SCÉNARIO
(propre à chaque scénario opérationnel)
NIVEAU DE RISQUE
(propre à chaque scénario de risque,
ATELIER 5 Scénario de risque (1) Scénario de risque (n) évalué sur la base de sa gravité et de sa
vraisemblance)
05/02/2022 Formation EBIOS RM 48
Scenario opérationnel : mode opératoire de l’attaque A4
Exemple type
Attaque / Défense
Fiche Méthode 7
Il est important de noter que ces étapes sont modulaires (par exemple selon si l’attaquant
attaque directement ou par rebond via une partie prenante de l’écosystème)
05/02/2022 Formation EBIOS RM 53
Définir une échelle de vraisemblance A4
Fiche Méthode 8
ÉCHELLE DÉFINITION
V4 – CERTAIN OU DÉJÀ La source de risque va certainement atteindre son objectif visé selon l’un des modes opératoires
PRODUIT envisagés OU un tel scénario s’est déjà produit au sein de l’organisation (historique d’incidents)
La source de risque va probablement atteindre son objectif visé selon l’un des modes opératoires
V3 – TRÈS VRAISEMBLABLE
envisagés. La vraisemblance du scénario est élevée
La source de risque est susceptible d’atteindre son objectif visé selon l’un des modes opératoires
V2 – VRAISEMBLABLE
envisagés. La vraisemblance du scénario est significative
La source de risque a peu de chances d’atteindre son objectif visé selon l’un des modes
V1 – PEU VRAISEMBLABLE
opératoires envisagés. La vraisemblance du scénario est faible
Il est recommandé de reprendre une échelle de vraisemblance déjà définie dans l’organisation ou lors
de l’étude des risques précédente
C’est l’évaluation de chaque action élémentaire, puis de l’ensemble du mode opératoire selon :
• La difficulté technique :
• La probabilité de succès :
La source de risque va probablement atteindre son objectif en empruntant l’un des modes opératoires envisagés. La vraisemblance du
V3 - TRÈS VRAISEMBLABLE scénario de risque est élevée.
La source de risque est susceptible d’atteindre son objectif en empruntant l’un des modes opératoires envisagés. La vraisemblance du
V2 - VRAISEMBLABLE scénario de risque est significative.
La source de risque a relativement peu de chances d’atteindre son objectif en empruntant l’un des modes opératoires envisagés. La
V1 - PEU VRAISEMBLABLE
vraisemblance du scénario de risque est faible.
V0 - INVRAISEMBLABLE La source de risque a très peu de chances d’atteindre son objectif visé en empruntant l’un des modes opératoires envisagés. La
vraisemblance du scénario de risque est très faible.
C’est l’évaluation de chaque action élémentaire, puis de l’ensemble du mode opératoire selon :
• La probabilité de succès : évaluation de chaque action élémentaire selon un indice de probabilité de succès pour l’attaquant de réaliser l’action
Par exemple : pour le phishing (hameçonnage) , un niveau de 3 signifiera que l’attaquant a de très fortes chances de réussir l’action, c’est-à-dire
qu’une personne cible va cliquer sur le lien ou la pièce jointe.
• La difficulté technique : estimation des ressources que l’attaquant devra engager pour mener son action et accroître ses chances de réussite. La
difficulté technique est liée au niveau des mesures de protection existante(= niveau de défense et de résilience, de détection, de réactivité, …).
Par exemple, un attaquant qui veut accéder à un répertoire chiffré accessible par un système d’authentification forte aura un score de difficulté
technique de 3 contrairement à l’accès à des données sur l’intranet partagé entre tous les utilisateurs (difficulté de niveau 1 à 2).
NIVEAU DE L’ÉCHELLE DESCRIPTION de la PROBABILITE DE SUCCES NIVEAU DE L’ECHELLE DESCRIPTION de la DIFFICULTE TECHNIQUE
Difficulté très élevée : l'attaquant engagera des ressources très importantes pour
4 - TRÈS ÉLEVEE mener à bien son action.
4- QUASI-CERTAINE Probabilité de succès quasi-certaine > 90%
1 - FAIBLE Probabilité de succès faible < 20% 1 - FAIBLE Difficulté faible : les ressources engagées par l'attaquant seront faibles.
0 - NÉGLIGEABLE Difficulté négligeable, voire nulle : les ressources engagées par l'attaquant seront
0 - TRÈS FAIBLE Probabilité de succès très faible < 3% négligeables ou déjà disponibles.
Vol et exploitation
de données de
R&D
Intrusion via un
canal d’accès
préexistant
Exploitation
Reconnaissance maliciel de collecte
Reconnaissance Intrusion via mail
interne réseaux et d’exfiltration
externe sources de hameçonnage
bureautique & IT
ouvertes sur service RH
site de Paris
Vol et exploitation
Corruption d’un de données de
Clé USB piégée R&D
Reconnaissance prestataire
connectée sur un
externe avancée d’entretien des
poste de R&D
locaux
Intrusion via un
canal d’accès
préexistant
PR 2 (2)
Exploitation
Reconnaissance maliciel de collecte
Reconnaissance Intrusion via mail
(3) interne réseaux et d’exfiltration
externe sources de hameçonnage
bureautique & IT
ouvertes sur service RH PR 4 (3)
site de Paris
PR 3 (3) PR 4 (3)
PR 3 (3)
PR 3 (3) Intrusion via le site du Création et
comité d’entreprise maintien d’un canal
(point d’eau) d’exfiltration via un
PR 4 (3) poste Internet
Latéralisation vers PR 3 (3)
Corruption d’un réseau LAN R&D
personnel de SCENARIO 1 : PROBABILITE 3
l’équipe R&D PR 4 (3)
PR 1 (1)
Vol et exploitation
Corruption d’un de données de
Clé USB piégée SCENARIO 2 : PROBABILITE 1 R&D
Reconnaissance prestataire
connectée sur un
externe avancée d’entretien des
poste de R&D PROBABILITE GLOBALE 3
locaux
PR 2 (2) PR 3 (2) PR 3 (2)
SCENARIO 3 : PROBABILITE 2
Intrusion via un
canal d’accès
préexistant
DT 1 (1)
Exploitation
Reconnaissance maliciel de collecte
Reconnaissance Intrusion via mail
(1) interne réseaux et d’exfiltration
externe sources de hameçonnage
bureautique & IT
ouvertes sur service RH DT 1 (3)
site de Paris
DT 1 (1) DT 1 (1)
DT 2 (2)
Fiche Méthode 8
Méthodes d’évaluation
Chemin Probabilité de Difficulté Vraissemblance
succès technique
Le niveau de vraisemblance est issu de l’analyse : 1 3 3 2
• La difficulté technique 2 1 2 2
• La probabilité de succès 3 2 2 2
ÉLÉMENTS EN SORTIE :
ÉLÉMENTS EN ENTRÉE :
• Socle de sécurité (atelier 1) • Stratégie de traitement du risque
• Mesures de sécurité portant sur ATELIER 5 • Plan d’amélioration continue de la
TRAITEMENT
l’écosystème (atelier 3) DU RISQUE sécurité (PACS)
• Scénarios stratégiques (atelier 3)
• Synthèse des risques résiduels
• Scénarios opérationnels (atelier 4)
• Cadre du suivi des risques
Vision organisation
PARTICIPANTS : Direction, Métiers, RSSI, DSI
Scénario stratégique
ATELIER 4
Scénario opérationnel
(1) … Scénario opérationnel
(n)
VRAISEMBLANCE DU SCÉNARIO
(propre à chaque scénario opérationnel)
NIVEAU DE RISQUE
(propre à chaque scénario de risque,
ATELIER 5 Scénario de risque (1) Scénario de risque (n) évalué sur la base de sa gravité et de sa
vraisemblance)
05/02/2022 Formation EBIOS RM 64
Décider de la stratégie de traitement du risque A5
GRAVITÉ
Scénarios de risques :
4 R5 R4
R1 : Un concurrent vole des informations de R&D grâce à un canal
d’exfiltration direct
R2 : Un concurrent vole des informations de R&D en exfiltrant celles
3 R2 R1 R3 détenues par le laboratoire
R3 : Un concurrent vole des informations de R&D grâce à un canal
d’exfiltration via le prestataire informatique
2 R4 : Un hacktiviste provoque un arrêt de la production des vaccins en
compromettant l’équipement de maintenance du fournisseur de matériel
R5 : Un hacktiviste perturbe la distribution de vaccins en modifiant leur
1 étiquetage
1 2 3 4 VRAISEMBLANCE
La représentation de la stratégie de traitement doit permettre de comparer les risques les uns par
rapport aux autres et être compréhensible par l’ensemble des participants
Scénarios
Mesure de sécurité de risques Responsable Freins et difficultés de mise en Coût /
… Complexité Échéance Statut
associés œuvre
GOUVERNANCE
Sensibilisation renforcée au hameçonnage par un prestataire R1 RSSI Validation de la hiérarchie + Juin 2019 En cours
spécialisé obligatoire
Audit de sécurité technique et organisationnel de l’ensemble du R1, R5 RSSI ++ Mars 2019 A lancer
SI bureautique par un PASSI
Intégration d’une clause de garantie d’un niveau de sécurité Équipe Effectué au fil de l’eau à la
satisfaisant dans les contrats avec les prestataires et laboratoires R2, R3, R4 juridique renégociation des contrats ++ Juin 2020 En cours
Mise en place d’une procédure de signalement de tout incident R2, R3, R4 RSSI / Équipe
de sécurité ayant lieu chez un prestataire ou un laboratoire juridique ++ Juin 2019 A lancer
PROTECTION
Protection renforcée des données de R&D sur le SI (pistes : R1, R3 DSI +++ Septembre En cours
chiffrement, cloisonnement) 2019
Renforcement du contrôle d’accès physique au bureau R&D R1 Équipe sûreté ++ Mars 2019 Terminé
Dotation de matériels de maintenance administrées par la DSI R4 DSI ++ Septembre A lancer
et qui seront mis à disposition du prestataire sur site 2019
Cartographie du risque initial (avant traitement) Cartographie du risque résiduel (après application du PACS)
GRAVITÉ GRAVITÉ
4 R5 R4 R4
4
R5
3 R2 R1 R3 3 R1 R3
2 2
1 1
1 2 3 4 1 2 3 4 VRAISEMBLANCE
VRAISEMBLANCE
Au terme de l’analyse, les risques résiduels sont acceptés formellement par la Direction
Réaliser une étude préliminaire de risque pour identifier les axes prioritaires X X X X
d’amélioration de la sécurité
Conduire une étude de risque complète et fine, par exemple sur un produit de X X X X X
sécurité ou en vue de l’homologation d’un système
Orienter un audit de sécurité et notamment un test d’intrusion X X