Séance 1 à 7 Intra (Études Commerciales Supérieures de Montréal) PDF
Document Details
HEC Montréal
Tags
Related
- NIST Cybersecurity Framework 2.0: Resource & Overview Guide PDF
- Certified Cybersecurity Technician Exam 212-82 PDF
- Certified Cybersecurity Technician Physical Controls PDF
- Certified Cybersecurity Technician Network Security Controls — Physical Controls PDF
- Cybersecurity Technician Network Security Controls PDF
- Chapitre 2 - Cybersecurite PDF
Summary
Ce document présente les fondements et les enjeux de la cybersécurité, avec un aperçu des menaces, des vulnérabilités et des coûts associés. Il décrit également des concepts tels que la cyberhygiène et la cyberrésilience.
Full Transcript
lOMoARcPSD|35000035 Séance 1 a la séance 7 intra Fondements et enjeux de la cybersécurité (High Commercial Studies of Montreal) Scan to open on Studocu Studocu is not sponsored or endorsed by any college or university...
lOMoARcPSD|35000035 Séance 1 a la séance 7 intra Fondements et enjeux de la cybersécurité (High Commercial Studies of Montreal) Scan to open on Studocu Studocu is not sponsored or endorsed by any college or university Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Séance 1 Cybersécurité : État d'un système d'informa琀椀on qui résiste aux cybera琀琀aques et aux pannes accidentelles Quoi : La protec琀椀on des informa琀椀ons et des ou琀椀ls qui les gèrent, y compris les systèmes et le matériel qui u琀椀lisent, stockent et transme琀琀ent ces informa琀椀ons. But : Ensemble des mesures techniques et non techniques, individuelles et organisa琀椀onnelles, qui visent à protéger la con昀椀den琀椀alité, l’intégrité et la disponibilité des données organisa琀椀onnelles. Ac琀椀f (asset) : une ressource organisa琀椀onnelle que l’on doit protéger. (les données ainsi que les systèmes, les bases de données et les équipements perme琀琀ant le traitement, le transport et l’entreposage d’informa琀椀on) Pirate informa琀椀que (cyberpirate, hacker, etc.) : Criminel informa琀椀que qui exploite la vulnérabilité d’un système informa琀椀que et viole l'intégrité de ce système en dérobant, altérant ou détruisant des données. Menace (security threat) : Événement (ou personne, objet, en琀椀té) poten琀椀el et appréhendé, de probabilité non nulle, suscep琀椀ble de porter a琀琀einte à l’ac琀椀f informa琀椀onnel. Vulnérabilité : Faiblesse d’un ac琀椀f se traduisant par une incapacité par琀椀elle de celui-ci à faire face aux menaces informa琀椀ques qui le gue琀琀ent. Risque : Probabilité plus ou moins grande de voir une menace exploiter une vulnérabilité et se transformer en événement réel entraînant une perte. Cyberhygiène (hygiène numérique) : Ensemble des règles de base à observer et des pra琀椀ques récurrentes qui sont associées à la sécurité de l’ac琀椀f informa琀椀onnel. Exemple: copies de sauvegarde, remplacer de manière préven琀椀ve le matériel désuet, suivre des cours de forma琀椀on Cyberrésilience : Capacité de l’ensemble de systèmes organisa琀椀onnels à résister et à se relever rapidement en cas d’incident. Exemple: me琀琀re en place processus pour véri昀椀er, surveiller, remplacer le matériel désuet, o昀昀rir des cours de forma琀椀on et sensibilisa琀椀on Sources d’a琀琀aque : 1) Employés (ou individus) Employés malveillants Employés malhabiles 2) Cyberpirates (délinquants externes) 3) Partenaires Partenaires d’a昀昀aires Partenaires technologiques Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 4) Composantes technologiques Coûts des ac琀椀vités liées à la perte de revenus Coûts liés au temps d'arrêt des systèmes Coûts des clients perdus et d’acquisi琀椀on de nouveaux clients Coûts liés à la réputa琀椀on et à l’image de l’organisa琀椀on Coûts des ac琀椀vités perme琀琀ant de détecter la fuite Enquête et audit TI/SI Ges琀椀on de la crise Plan de communica琀椀on à l’interne (avec les employés, la direc琀椀on et le CA) Autres coûts (avis et post-incident) Coûts pour aviser les vic琀椀mes poten琀椀elles et les instances légales appropriées Coûts pour les services de véri昀椀ca琀椀on de crédit (Équifax, TransUnion) Frais juridiques, Amendes, Ac琀椀ons collec琀椀ves en jus琀椀ce Éléments tangibles : Matériel TI, logiciel/applica琀椀on, programme, plateforme TI, composante réseau, toute autre composante TI Exemple : L’ordinateur portable « assigné » de l’employé; Une clé de cryptage; Un jeton SecurID, un ou琀椀l d'authen琀椀昀椀ca琀椀on pour accéder à un système d'informa琀椀on (on ne sait pas s’il s’agit d’un SI qui est sur le portable); Des disposi琀椀fs de BlackBerry (probablement des téléphones); Documents papier Éléments intangibles : Données, informa琀椀ons, marque de commerce, droits d’auteur (copyright), brevet, propriété intellectuelle, image ou réputa琀椀on Exemple : Info sur la note diploma琀椀que des琀椀née aux autorités américaines pour l'autorisa琀椀on du port d'arme des agents de la GRC : Le nom des agents qui devaient assurer la sécurité de Jus琀椀n Trudeau lors de sa visite au Rhode Island, leur date de naissance, leur rang ainsi que leur numéro de passeport canadien. Info sur les documents liée aux prépara琀椀fs de la visite : Numéro des chambres d'hôtel des membres de la déléga琀椀on canadienne et la date d'arrivée de l'entourage du premier ministre. Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Séance 2 : P1 : U琀椀lité des objec琀椀fs « CIA / McCumber cube : Con昀椀den琀椀alité => Les données ne peuvent pas être lues que ce soit lorsqu’elles se trouvent dans un SI ou lorsqu’elles se déplacent via un réseau vers un des琀椀nataire. => Qualité des données dont l'accès et la di昀昀usion doivent être limités aux en琀椀tés autorisées seulement. Intégrité => Les données ne peuvent pas être modi昀椀ées ou détruites que ce soit dans un SI ou lorsqu’elles se déplacent dans un réseau vers un des琀椀nataire. => Qualité des données qui ne subissent aucune altéra琀椀on accidentelle ou non autorisée lors de leur traitement, de leur transmission ou de leur conserva琀椀on. Disponibilité => Les données sont disponibles aux personnes autorisées. => Qualité des données d'être accessibles et u琀椀lisables à la demande par une en琀椀té autorisée. P2 : Mul琀椀ples couches de sécurité pour protéger une organisa琀椀on : ─ Sécurité physique ─ Sécurité du personnel ─ Sécurité des opéra琀椀ons ─ Sécurité des communica琀椀ons ─ Sécurité des réseaux ─ Sécurité de l’informa琀椀on Corolaire P2.1: Une chaine est aussi solide que son maillon le plus faible. Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Corolaire P2.2: Il faut chercher à exploiter la synergie des mesures de protec琀椀on / > L’ensemble des mesures de contrôle doit viser les technologies, les personnes et les processus Maillon faible : Exemple : Plusieurs mesures en place dont les gardiens. Les gardiens contrôlent tout ce qui entre et tout ce qui sort. Ils ont des règles à suivre; ils laissent rentrer certaines personnes et en laissent sor琀椀r d’autres. Ils refusent tout ce qui ne correspond pas aux règles/autorisa琀椀ons qu’ils ont reçues. Si les gardiens ne sont pas là ou bien si les règles sont trop permissives ou mal con昀椀gurées, n’importe qui pourrait entrer ou sor琀椀r. Possibilité de corrup琀椀on des gardiens P3 Le niveau de risque acceptable : un niveau spéci昀椀que de risque qu'une organisa琀椀on est prête à accepter. P3.1 / On doit s'assurer que les couts des mesures de protec琀椀on sont propor琀椀onnels à l'évalua琀椀on monétaire des e昀昀ets des risques et à la capacité de l’organisa琀椀on de les payer. Si l’organisa琀椀on souhaite ne courir aucun risque (c.-à-d. le niveau du risque acceptable = 0), le cout des mesures de protec琀椀on pourrait être déraisonnablement élevé ! P3.2 : Pour s’assurer que les u琀椀lisateurs s’y conforment, on doit minimiser les implica琀椀ons pour les u琀椀lisateurs et pour le déroulement normal des ac琀椀vités. P4 : Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Séance 3 : Menace (security threat) : événement (ou personne, objet, en琀椀té) poten琀椀el et appréhendé, de probabilité non nulle, suscep琀椀ble de porter a琀琀einte à l’ac琀椀f informa琀椀onnel. A琀琀aque (security a琀琀ack) : ac琀椀on inten琀椀onnelle ou non inten琀椀onnelle qui compromet ou pourrait comprome琀琀re les éléments d’ac琀椀f informa琀椀onnel. Incident de sécurité informa琀椀que : événement volontaire ou involontaire qui contrevient aux objec琀椀fs, aux règles ou aux normes de sécurité d'une organisa琀椀on en comprome琀琀ant la sécurité des données ou des systèmes d’informa琀椀on les soutenant L’hameçonnage : Pra琀椀que basée sur l’envoi des communica琀椀ons qui semblent légi琀椀mes, mais qui sont frauduleuses, car elles con琀椀ennent des pièces jointes malveillantes ou des liens qui mènent vers de faux sites Web Harponnage : Une forme d’hameçonnage ciblé qui se concentre sur un seul u琀椀lisateur ou une catégorie de personnes en par琀椀culier (département, group, organisa琀椀on). Fraude du président : Une forme d’hameçonnage ciblé qui vise les « très gros poissons » de l’entreprise, soit les individus qui ont l’autorité d’e昀昀ectuer des virements d’argent. Dans le message le fraudeur se fait passer pour le président et ordonne le virement d’un montant important d’argent. Les cyberpirates ont besoin de recueillir beaucoup d’informa琀椀on sur la vic琀椀me et son employeur pour que l’a琀琀aque réussisse. Une a琀琀aque de type BEC (Business Email Compromise : les pirates se font passer pour le fournisseur de messagerie et demandent à la vic琀椀me de cliquer sur un lien pour se connecter à sa boite de courriel. Une fois qu’ils ont obtenu l’accès à la boite de courriel, les pirates espionnent le compte pour recueillir des informa琀椀ons. Piratage psychologique (social engineering) Pra琀椀que qui exploite le comportement humain a昀椀n de manipuler la vic琀椀me et l’amener à ne pas respecter les procédures de sécurité (par exemple, amener la vic琀椀me à divulguer des données con昀椀den琀椀elles comme des noms d'u琀椀lisateur et des mots de passe). Les pirates psychologiques cherchent à exploiter les émo琀椀ons des individus (les vic琀椀mes) comme la peur, l’avidité, la curiosité, vouloir être u琀椀les, respecter à l’aveugle les règles, agir rapidement , ils le combine avec : Hameçonnage Fraude du président « Scareware » (type de rançongiciel où le pirate prétend avoir bloqué votre accès aux données et vous demande une rançon) Intrusion physique Exemple: message qui cherche à faire peur au lecteur Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Pourriel (spam) : Un pourriel est une communica琀椀on électronique non sollicitée ; Généralement, envoyé à des 昀椀ns commerciales / publicitaires, Un courriel d’hameçonnage est une forme de pourriel, mais un pourriel n’est pas nécessairement un courriel d’hameçonnage Virus et ses di昀昀érentes formes : Virus : Programme qui se propage en modi昀椀ant d'autres programmes pour y inclure une copie éventuellement modi昀椀ée de lui-même, et qui est exécuté quand le programme infecté est invoqué. Les virus sont des types des logiciels malveillant mais les logiciels malveillants ne sont pas tous des virus. Cheval de Troie (Trojan horse) :Programme apparemment ino昀昀ensif contenant un programme malveillant qui permet la collecte, la falsi昀椀ca琀椀on ou la destruc琀椀on non autorisée de données Ver informa琀椀que (Worm) : Logiciel malveillant indépendant qui se transmet d'ordinateur à ordinateur via un réseau et perturbe le fonc琀椀onnement des systèmes concernés en s'exécutant à l'insu des u琀椀lisateurs. Logiciel malveillant (malware) Logiciel conçu par un pirate pour être implanté dans un système a昀椀n d'y déclencher une opéra琀椀on non autorisée ou d'en perturber le fonc琀椀onnement Les 3 types de logiciels malveillants : 1 Logiciel espion (spyware) : Logiciel qui emploie la connexion Internet de l'u琀椀lisateur, à son insu, pour recueillir et exploiter de l'informa琀椀on. Il s’installe à l'insu de l'u琀椀lisateur notamment lors du Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 téléchargement de gratuiciels ou de partagiciels. Complètement indétectable pour l'u琀椀lisateur, il n'apparaît pas dans la liste des programmes et ne peut être désinstallé qu'au moyen de logiciels conçus à cet e昀昀et. 2 Alarmiciel (scareware) : Un type de logiciel malveillant qui u琀椀lise le piratage psychologique pour provoquer le choc, l'anxiété ou la percep琀椀on d'une menace a昀椀n de manipuler les u琀椀lisateurs à acheter des logiciels indésirables ou qui con琀椀ennent des virus. 3 Rançongiciel : empêche les u琀椀lisateurs d'accéder à un SI ou aux données. Exige le paiement d'une rançon en échange du rétablissement de l'accès Type : Verrouilleur d’écran (locker ransomware) - Il bloque l’accès à l’interface de l’ordinateur. - Un écran avec les instruc琀椀ons de paiement apparaît au démarrage du système. Le message u琀椀lise des techniques de piratage psychologique. - Il empêche l’accès à l’interface de l’ordinateur, mais n’a昀昀ecte ni les 昀椀chiers ni les systèmes. Rançongiciel chi昀昀reur (crypto ransomware) - Il chi昀昀re les données et ainsi, il bloque l’accès à ces données. - On demande de payer une rançon pour obtenir la clé de décryptage et pouvoir débloquer l’accès aux données. Le message u琀椀lise des techniques de piratage psychologique. - Plus dommageable qu’un verrouilleur d'écran (locker ransomware). Modes d’infec琀椀on les plus communs Par courriel, souvent un pourriel, ayant un logiciel malveillant en pièce jointe ou contenant un lien vers un site Web malveillant Publicité malveillante (malver琀椀sing) ne nécessitant pas d'interac琀椀on avec l’internaute. La publicité déclenche un téléchargement intempes琀椀f (drive-by download) d’un logiciel malveillant, souvent un rançongiciel. L'u琀椀lisateur n'a aucune idée de ce qui est en train de se passer. Déni de service (DoS) et Déni de service distribué (DDoS) : A琀琀aque qui vise à perturber ou paralyser signi昀椀ca琀椀vement le fonc琀椀onnement d'un serveur informa琀椀que (ex., serveur Web, serveur courriel, serveur de 昀椀chiers) en le bombardant (à outrance!) de requêtes erronées. Si l’a琀琀aque provient d’une seule source = a琀琀aque DoS Si l’a琀琀aque provient de plusieurs sources = a琀琀aque DDoS Exemple : bloquer un serveur de 昀椀chiers, rendre impossible l'accès à un serveur web ou empêcher la distribu琀椀on de courriel dans une entreprise. Autres a琀琀aques : Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 A琀琀aque par force brute = Cybera琀琀aque qui consiste à trouver un mot de passe ou une clé cryptographique en essayant systéma琀椀quement et successivement toutes les combinaisons possibles. A琀琀aque par Injec琀椀on SQL = Type d’a琀琀aque qui consiste à saisir une requête SQL dans un champ de saisie a昀椀n de communiquer directement avec le serveur et d'accéder frauduleusement à l'informa琀椀on contenue dans les bases de données du site Web. Script intersites = Script u琀椀lisé pour exécuter un logiciel malveillant dans un site Web en pro昀椀tant d'une de ses vulnérabilités informa琀椀ques Séance 4 Menace interne : Type de menace qui provient d’une en琀椀té autorisée qui exploite son accès légi琀椀me à l’ac琀椀f d'une organisa琀椀on à des 昀椀ns non autorisées et malveillantes ou qui crée involontairement des vulnérabilités (Creese et Upton, 2014) Employé malhabile* (comportement négligent ou accidentel Espionnage : Type d’a琀琀aque qui vise à voler des données con昀椀den琀椀elles d’une compagnie ou d’un gouvernement a昀椀n de gagner un avantage économique, technologique, poli琀椀que ou militaire. Vulnérabilité : faiblesse d’un ac琀椀f se traduisant par une incapacité par琀椀elle de celui-ci à faire face aux menaces informa琀椀ques qui le gue琀琀ent.La vulnérabilité provient de la nature de l’ac琀椀f (comme un diamant qui a琀 re les voleurs) Par exemple : Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Les données personnelles des clients (carte de crédit, numéro de compte bancaire, NAS, etc.) sont une cible de prédilec琀椀on pour les délinquants. Les données personnelles des employés (niveau salarial, adresse postale, âge, etc.) sont une cible a琀 rante pour les employés fouineurs. Vulnérabilités liées aux individus Le facteur humain (l’u琀椀lisateur MALHABILE d’un ac琀椀f) Erreur humaine Par exemple, des erreurs non inten琀椀onnelles commises lors de l’u琀椀lisa琀椀on des données, l’u琀椀lisa琀椀on des SI/TI ou de la con昀椀gura琀椀on d’un SI/TI. Insouciance ou négligence Par exemple, l’insouciance par rapport au transport d’une pe琀椀te pièce d’équipement comme une clé USB qui est souvent perdue ou oubliée. L’individu est conscient du risque, mais il est insouciant ou négligent et ne prend pas de mesures addi琀椀onnelles pour que l’incident n’arrive pas. Sen琀椀ments et valeurs éthiques (la nature humaine) Tout individu a un set de valeurs qui sont une cible de prédilec琀椀on du piratage psychologique. En croyant bien faire, l’individu peut créer une brèche de sécurité. Le facteur humain (l’u琀椀lisateur MALVEILLANT d’un ac琀椀f) Sen琀椀ments et valeurs éthiques (la nature humaine) Par exemple, l’avidité ou le sen琀椀ment de pouvoir qui explique l’abus d’un accès autorisé à un système ou à un endroit physique. Vulnérabilités liées au réseau (par exp. Internet) : Les clés USB · Pare-feu mal configurés · Les courriels · Appareils mobiles · Injection SQL · DDoS · Les scripts intersites · Logiciels obsolètes Caractéris琀椀que intrinsèque à risque (la nature du réseau) Réseau public : Pour le réseau Internet, par exemple, n’importe qui peut l’u琀椀liser pour accéder aux SI/données et pour transférer des données. Réseau non protégé : Pour le réseau Internet, par exemple, on peut voir les données transférées (objec琀椀fs de con昀椀den琀椀alité et de disponibilité non assurés par défaut). Pour le réseau Internet, par exemple, on peut modi昀椀er les données transférées (objec琀椀f d’intégrité non assuré par défaut) Vulnérabilités liées aux TI Caractéris琀椀que intrinsèque à risque (la nature de la composante technologique) Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Par exemple : En raison de leur mobilité, les ordinateurs portables, les table琀琀es électroniques ou les cellulaires sont une cible facile pour le vol de matériel. En raison de sa pe琀椀te taille, une clé USB est facile à perdre. En raison de sa fragilité, un écran tac琀椀le brise facilement. Défaillance (faille) technologique Lorsqu’une composante technologique ne fonc琀椀onne pas correctement (par rapport à ses objec琀椀fs) me琀琀ant en danger l'intégrité du système ou la con昀椀den琀椀alité et l'intégrité des données qu'il con琀椀ent Par exemple, bris, bogue, « zero-day », obsolescence Zero-day : désigne le fait que le fournisseur ou le développeur vient de prendre connaissance de la faille, ce qui signifie qu'il a « zéro jour » pour la corriger. Une attaque zero-day survient lorsque les cybercriminels exploitent la faille avant que les développeurs n'aient la possibilité de la rectifier. Bogue : Défaut de conception ou de réalisation d'un programme informatique, qui se manifeste par des anomalies de fonctionnement de l'ordinateur. L'obsolescence informatique est une situation dans laquelle un matériel informatique ou un logiciel a perdu de sa valeur d'usage, car une ou plusieurs de ses fonctionnalités sont considérées comme dépassées par l'arrivée d'un nouveau standard sur le marché. Bris : couvre un bris soudain et accidentel de l'équipement, lui causant un dommage physique qui nécessite sa réparation ou son remplacement Vulnérabilités liées aux processus Absence ou inadéqua琀椀on Absence ou inadéqua琀椀on des structures organisa琀椀onnelles, des stratégies, des pra琀椀ques d’a昀昀aires, poli琀椀ques organisa琀椀onnelles, processus d’a昀昀aires ou des processus organisa琀椀onnels pour bien protéger l’ac琀椀f. ATTENTION: Le nom de ce琀琀e catégorie (« processus ») doit être interprété de manière très large. On fait référence à toute façon de faire de l’organisa琀椀on et non seulement aux processus d’a昀昀aires. Par exemple : L’organisa琀椀on ABC n’a pas de poli琀椀que pour encadrer l’u琀椀lisa琀椀on des technologies appartenant aux employés pour e昀昀ectuer des tâches liées à leur travail (absence de poli琀椀que pour encadrer le BYOD) La poli琀椀que de cybersécurité de l’organisa琀椀on ABC dé昀椀nit le rôle et les responsabilités des u琀椀lisateurs, mais n’indique rien pour les membres de l’équipe de direc琀椀on (poli琀椀que inadéquate pour encadrer le comportement sécuritaire des employés) Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Vulnérabilités liées à la sécurité physique : Caractéris琀椀que de l’environnement physique qui met l’ac琀椀f à risque Caractéris琀椀que de l’environnement physique qui pourrait être exploitée directement par une menace physique (accès non autorisé, vol, incendie, etc.) a昀昀ectant ainsi l’ac琀椀f à protéger. Caractéris琀椀que de l’environnement physique qui pourrait être exploitée indirectement par une menace physique à cause d’une autre vulnérabilité (par exemple, un bris d’équipement) Par exemple : Les bâ琀椀sses et les salles ont des portes et des fenêtres qui sont des vulnérabilités parce qu’elles facilitent l’accès à l’ac琀椀f. Un ordinateur est placé près d’une fenêtre au rez-de-chaussée et n’importe qui peut voir les données a昀케chées à l’écran. Les ports USB d’un terminal POS sont visibles et accessibles à n’importe qui. Vulnérabilités du cloud : API non sécurisées · 3. Manque de visibilité · 4. Absence d'authentification multifacteur · 5. Utilisateurs internes malveillants · 6. Attaques « Voir absolument le reste de la séance 4 ainsi que la séance 5 pour le reste des vulnérabilités et des cas pra琀椀que » Séance 6 : Risque : Probabilité plus ou moins grande de voir une menace exploiter avec succès la vulnérabilité d’un élément d’ac琀椀f entrainant ainsi une perte pour l’organisa琀椀on Probabilité plus ou moins grande de voir une menace informa琀椀que se transformer en événement réel entrainant une perte. Le risque SI/TI = la probabilité qu’un système ou une technologie ne soit pas su昀케samment protégé contre un certain type de dommage ou de perte. C'est la probabilité associée aux pertes d’un SI/TI mul琀椀pliée par la valeur 昀椀nancière de la perte si le risque se réalise : P(r) = P(perte) x V(perte) Les types de risque : Tolérance au risque (risk propensity) = appé琀椀t pour le risque Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Niveau de risque acceptable = niveau de risque qu'une organisa琀椀on est prête à accepter en fonc琀椀on de sa tolérance au risque Risque résiduel (residual risk) = niveau de risque qu’on accepte de ne pas gérer Il tend vers 0 lorsque la tolérance au risque est faible. Risque a琀琀énué (mi琀椀gated risk) = niveau de risque qui est géré Il tend vers 0 lorsque la tolérance au risque est forte. La ges琀椀on des cyberrisques : Processus con琀椀nu qui permet à une organisa琀椀on d’iden琀椀昀椀er et de gérer les risques liés à la protec琀椀on de son ac琀椀f informa琀椀onnel (Shameli-Sendi et al., 2016) Approche organisa琀椀onnelle concernant l’iden琀椀昀椀ca琀椀on, l’analyse, l’évalua琀椀on, le traitement et le suivi des risques SI/TI. 0. Décider le niveau de risque acceptable 1. Évaluer les risques : - Iden琀椀昀椀er l’ac琀椀f à protéger - Iden琀椀昀椀er les risques - Es琀椀mer les risques - Déterminer la stratégie de protec琀椀on 2. Me琀琀re en œuvre la stratégie de protec琀椀on 3. Monitorer la stratégie de protec琀椀on 2 :Iden琀椀昀椀er les risques => Iden琀椀昀椀er les scénarios de risque : Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Exemple d’un Scenario de risque : Exemples de risques « génériques Liés aux données Brèche de données Bris de con昀椀den琀椀alité Vol de données Perte de données Risque d’une a琀琀aque externe (hacking) Risque d’une menace interne (insider threat) Liés à l’u琀椀lisa琀椀on du matériel et des logiciels Mauvais fonc琀椀onnement Panne ou bris U琀椀lisateur qui u琀椀lise le logiciel (ou le matériel) de manière inadéquate U琀椀lisateur qui commet une erreur (modi昀椀er ou supprimer les données) en u琀椀lisant une applica琀椀on 3 :Es琀椀mer le risque : RISQUE = IMPACT x PROBABILITÉ x VALEUR Ac琀椀f Selon Hitachi Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Il est di昀케cile d’a琀琀ribuer une valeur 昀椀nancière aux systèmes, aux coûts des pertes de données, aux coûts des li琀椀ges, aux coûts des a琀琀eintes à la marque, aux coûts des rançongiciels, aux pénalités liées à la conformité et à plusieurs autres variables di昀케ciles à es琀椀mer. Comme pour les analystes 昀椀nanciers qui tentent de prédire le résultat a琀琀endu d’un inves琀椀ssement par le biais d’une analyse de sensibilité et de scénarios u琀椀lisant diverses variables, les responsables de la sécurité informa琀椀que doivent s’associer au secteur commercial de l’organisa琀椀on pour tenter d’es琀椀mer la valeur des ac琀椀fs de l’entreprise et le risque associé à ceux- ci. Le problème fondamental est que les stratégies commerciales et de cybersécurité sont rarement sur la même longueur d’onde. « Les stratégies sont créées en entonnoir, les responsables de la sécurité ont une vue incomplète des ac琀椀fs de l’entreprise, l’analyse compara琀椀ve est limitée et le contexte des risques commerciaux manque souvent aux mesures de cybersécurité. » 4 Déterminer la stratégie de protec琀椀on : Pour chaque scénario de risque, on décide le type de stratégie : Accepter le risque (c.-à-d. rien faire) A琀琀énuer le risque (c.-à-d. me琀琀re en place des mesures de protec琀椀on) Transférer le risque (par ex., assurance et outsourcing) Éviter le risque (par ex., abandonner le projet ou se dépar琀椀r de l’ac琀椀f) Une combinaison des types ci-dessus. Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Exemple des scenarios : Voir serance 6 Downloaded by Sn Vl ([email protected]) lOMoARcPSD|35000035 Downloaded by Sn Vl ([email protected])
