Découvrez les enjeux de l’atelier 3
L'atelier 3 vise à élaborer des scénarios réalistes et stratégiques basés sur les menaces identifiées et les biens supports critiques de l'organisation vus aux ateliers précédents.
Cet atelier permet de :
identifier les parties prenantes : Recenser les différentes parties prenantes dont les activités sont importantes pour l’organisation ;
développer des scénarios réalistes : Créer des scénarios basés sur les parties prenantes identifiées pour mieux se préparer aux éventualités ;
analyser les impacts potentiels : Évaluer les impacts de chaque scénario sur les objectifs de sécurité de l'organisation.
Quelles personnes inviter à cet atelier ?
Pour garantir la pertinence des scénarios et une analyse complète de l’écosystème, l'atelier 3 nécessite la présence de personnes représentant différentes fonctions et expertises. Voici les profils recommandés pour cet atelier :
Responsables de la Sécurité des Systèmes d'Information (RSSI) : Pour comprendre les menaces, définir les priorités en matière de sécurité et apporter une expertise technique pour identifier les vulnérabilités potentielles ;
Représentants des équipes IT et Infrastructures : Pour fournir une expertise technique sur les systèmes et infrastructures critiques pour l’organisation ;
Experts Métier et Responsables Opérationnels : Pour apporter une compréhension des processus métiers et des exigences spécifiques de chaque service ;
Délégués de la conformité et de la gestion des risques : Pour s’assurer que les scénarios intègrent les exigences réglementaires et les enjeux de conformité ;
Partenaires et fournisseurs critiques (optionnel) : Pour collaborer sur les risques partagés et les interactions critiques avec les systèmes externes.
Calculez le niveau de menace
Ce schéma présente une méthode pour évaluer le niveau de menace posé par une partie prenante en fonction de deux grandes catégories : l'exposition et la fiabilité cyber.
Les critères de dépendance et de pénétration sont considérés comme des facteurs qui augmentent la menace potentielle, tandis que la maturité cyber et la confiance sont des facteurs qui la réduisent.
Cette formule permet d'obtenir une évaluation quantitative du niveau de menace. Plus le résultat est élevé, plus la menace est considérée comme importante.
Il est important de noter que cette formule est générique et peut être adaptée en fonction du contexte spécifique de l'étude. Par exemple, certains critères peuvent être pondérés différemment si on les considère comme plus importants dans un contexte donné.
Chaque critère est évalué de 1 à 4, l’ANSSI propose la grille d’évaluation suivante :
| DÉPENDANCE | PÉNÉTRATION | MATURITÉ CYBER | CONFIANCE |
1 | Relation non nécessaire aux fonctions stratégiques. | Pas d’accès ou accès avec privilèges de type utilisateur à des terminaux utilisateurs (poste de travail, téléphone mobile, etc.). | Des règles d’hygiène informatique sont appliquées ponctuellement et non formalisées. La capacité de réaction sur incident est incertaine. | Les intentions de la partie prenante ne peuvent être évaluées. |
2 | Relation utile aux fonctions stratégiques. | Accès avec privilèges de type administrateur à des terminaux utilisateurs (parc informatique, flotte de terminaux mobiles, etc.) ou accès physique aux sites de l’organisation. | Les règles d’hygiène et la réglementation sont prises en compte, sans intégration dans une politique globale. La sécurité numérique est conduite selon un mode réactif. | Les intentions de la partie prenante sont considérées comme neutres. |
3 | Relation indispensable mais non exclusive. | Accès avec privilèges de type administrateur à des serveurs « métier » (serveur de fichiers, bases de données, serveur web, serveur d’application, etc.). | Une politique globale est appliquée en matière de sécurité numérique. Celle-ci est assurée selon un mode réactif, avec une recherche de centralisation et d’anticipation sur certains risques. | Les intentions de la partie prenante sont connues et probablement positives. |
4 | Relation indispensable et unique (pas de substitution possible à court terme). | Accès avec privilèges de type administrateur à des équipements d’infrastructure (annuaires, DNS, DHCP, commutateurs, pare-feu, hyperviseurs, baies de stockage, etc.) ou accès physique aux salles serveurs de l’organisation. | La partie prenante met en œuvre une politique de management du risque. La politique est intégrée et se réalise de manière proactive. | Les intentions de la partie prenante sont parfaitement connues et pleinement compatibles avec celles de l’organisation étudiée. |
Nous parlons depuis le début de ce cours de parties prenantes, mais qu’est-ce qui caractérise une partie prenante ?
Voyons cela tout de suite.
Définissez les parties prenantes
Identifiez et classez vos parties prenantes
Une partie prenante (PP) est une personne, un groupe ou une organisation qui a un intérêt direct ou indirect dans l’organisation. Les parties prenantes peuvent influencer ou être influencées par les actions, les objectifs et les politiques de l'organisation.
Nous pouvons les catégoriser comme suit :
Parties prenantes internes ;
Parties prenantes externes, telles que :
partenaires ;
prestataires ;
clients.
L’objectif est de vous poser la question suivante : quelles sont l’ensemble des personnes pouvant avoir un impact sur mon outil de gestion de paie ?
Reprenons notre exemple en séparant les parties prenantes de notre outil de gestion de paie en catégories, telles que définies précédemment :
Internes :
Les employés : Ils utilisent l'outil pour consulter leurs fiches de paie, demander des acomptes ou signaler des erreurs.
Le service des ressources humaines : Ils gèrent les salaires, les acomptes, les ajouts de nouveaux collaborateurs et les paiements de notes de frais via l'outil.
La direction financière : Ils s'assurent que les paiements soient effectués correctement et à temps, et que les données financières soient conformes aux réglementations.
Prestataires :
Fournisseurs de logiciels : Ils fournissent le système de gestion de paie et sont responsables des mises à jour et de la maintenance.
L'hébergement du logiciel (si celui-ci n’est pas garanti par le fournisseur ou en interne) :
L'hébergement d'un logiciel consiste à stocker et à faire fonctionner ce logiciel sur des serveurs, soit gérés en interne par l'entreprise, soit fournis par un prestataire externe. Cela permet d'accéder au logiciel via Internet ou un réseau interne, tout en assurant sa disponibilité, sa sécurité, et ses performances.
Partenaires :
Sociétés de conseil en cybersécurité : Entreprises qui aident à évaluer et à renforcer la sécurité de l'outil de gestion de paie.
Experts en conformité : Consultants qui s'assurent que l'outil respecte les réglementations fiscales et sociales.
Évaluez le niveau de menace des parties prenantes
Comprenez les notions d’exposition et de fiabilité cyber
L'exposition cyber
L'exposition cyber se réfère au degré de vulnérabilité d'une organisation face aux parties prenantes. Elle montre la visibilité ou l’accessibilité d'une partie prenante aux systèmes critiques. Par exemple, restreindre les accès ou isoler certaines fonctions peut réduire cette exposition.
L’exposition dépend de deux facteurs :
la dépendance de l’organisation à cette PP :
Elle représente à quel point l’entreprise dépend de la partie prenante pour un processus critique. Une mesure de sécurité peut réduire cette dépendance en internalisant certains processus ou en diversifiant les prestataires.
la pénétration de la PP dans l’organisation :
Elle indique le degré d’accès que la partie prenante a aux systèmes ou aux données sensibles de l'organisation. Des mesures comme la limitation des accès ou l’introduction de contrôles supplémentaires peuvent réduire cette pénétration.
La fiabilité cyber
La fiabilité cyber, en revanche, mesure la capacité d'une partie prenante à résister aux cyberattaques et à se remettre rapidement des incidents de sécurité. Elle inclut :
La maturité cyber de la PP :
Elle correspond à la capacité d'une partie prenante à gérer les risques cyber. Des actions comme des formations ou l'introduction de meilleures pratiques peuvent augmenter cette maturité.
la confiance que l’organisation a en cette PP :
Elle reflète à quel point l'organisation fait confiance à la partie prenante pour gérer ses responsabilités de manière sécurisée.
Considérons un exemple de la vie quotidienne : une maison équipée d’un système de sécurité géré par un prestataire spécialisé.
Exposition : Imaginez que le prestataire de sécurité, qui gère les alarmes et les caméras à distance, dispose d'un accès complet aux systèmes de surveillance de la maison. Si ce prestataire venait à désactiver l’alarme à distance ou s'il était victime d'une défaillance technique, la maison serait alors exposée à un risque élevé, car il n’y aurait plus de protection immédiate en cas d’intrusion.
Fiabilité : Ce prestataire est une entreprise bien établie et reconnue sur le marché, avec des processus de surveillance et d'intervention automatisés, ainsi que des certifications de sécurité. Son expérience et sa réputation font de lui une partie prenante fiable pour assurer la sécurité de la maison à distance.
Dans un contexte organisationnel, l'exposition face à une partie prenante (comme un prestataire de services informatiques) pourrait être élevée s'il a un accès critique à vos systèmes. La fiabilité de cette partie prenante se mesure par sa réputation, la qualité de ses services, et la rigueur de ses processus de sécurité.
Calculez le niveau de menace des parties prenantes
Maintenant que vous avez les notions, nous allons les noter dans un tableau, ce qui nous donnera notre premier livrable de l’atelier 3 :
Retrouvez ce livrable sur l'évaluation des parties prenantes :
Évaluons à présent le niveau de menace de nos parties prenantes, avec le calcul que je vous ai présenté un peu plus haut :
Ce qui nous donne donc pour notre exemple ici :
PP01 = Exposition : 4 x 2 / Fiabilité cyber : 2 x 3 = 1,33
Maintenant que nous avons calculé le niveau de menace de nos parties prenantes, il faut le comparer à un seuil. Ce seuil permet de savoir si notre menace est plus ou moins dangereuse. Nous allons voir ce seuil dans le chapitre suivant. 😉
En résumé
L'identification des parties prenantes clés (internes et externes) est essentielle pour le bon déroulement de l'atelier.
L'exposition cyber évalue la vulnérabilité liée à une partie prenante, et la fiabilité cyber mesure sa capacité à réagir aux incidents.
Le niveau de menace est calculé en fonction de l'exposition et de la fiabilité de chaque partie prenante.
Il est temps de passer à des choses très visuelles !
