La menace résiduelle représente les risques qui subsistent après la mise en place des mesures de sécurité. Autrement dit, même après avoir appliqué des contrôles et des dispositifs de protection, certains vecteurs d'attaque ou scénarios potentiels restent possibles, bien que leur probabilité ou leur impact soit réduit.
Lors de la création de scénarios stratégiques, l'objectif principal est d'identifier les points d'entrée potentiels, les moyens de propagation et les vecteurs d'exploitation les plus pertinents pour un attaquant. Il est essentiel de se concentrer sur les actions qui demandent le moins d'effort pour obtenir un maximum d'effet. Ces scénarios doivent être décrits sous forme d'événements, chaque événement représentant une étape intermédiaire que l'attaquant pourrait suivre pour atteindre son but final.
Pour chaque combinaison entre une source de risque et un objectif visé, il est généralement suffisant de décrire un à trois chemins d'attaque. Cela permet d'explorer efficacement les risques tout en conservant une diversité de scénarios.
Les analyses précédentes ont pu mettre en évidence des faiblesses structurelles liées à vos parties prenantes, tant internes qu'externes, que des attaquants pourraient exploiter pour parvenir à leurs fins. Vous avez peut-être aussi découvert des scénarios dans lesquels votre organisation pourrait être indirectement touchée par une attaque informatique visant l'un de vos partenaires.
La dernière phase de l'atelier 3 se concentre sur la recherche de solutions pour atténuer les risques identifiés et les traduire en mesures de sécurité concrètes. Ces mesures visent à réduire la menace potentielle associée aux parties prenantes critiques et peuvent avoir un impact direct sur le déroulement des scénarios stratégiques.
L’idée est de définir des mesures de sécurité adaptées aux parties prenantes de l’écosystème, en tenant compte des vulnérabilités détectées lors des scénarios stratégiques. Ces mesures doivent être prises en collaboration avec la direction de l’entreprise, car elles peuvent influer sur la gouvernance globale.
Le tableau ci-dessous présente une évaluation des parties prenantes avant et après la mise en place des mesures de sécurité. Chaque mesure permet de réduire un ou plusieurs éléments de la menace.
Vous reprendrez ici les mêmes critères que précédemment :
La dépendance
La pénétration
L’exposition
La maturité cyber
La confiance
La fiabilité cyber
Pour chaque critère, évaluez deux états :
Initial : Le niveau avant la mise en place des mesures de sécurité.
Résiduel : Le niveau après avoir appliqué les mesures de sécurité.
Ces évaluations sont ensuite traduites en chiffres afin de suivre l'évolution et de mesurer l'efficacité des mesures.
Si un prestataire externe gère un processus critique, comme la gestion du serveur de l’outil de paie, une mesure de sécurité pourrait consister à internaliser ce processus. Cela diminuerait considérablement le niveau de dépendance à ce prestataire, tout en augmentant la maturité cyber de l'organisation. Ainsi, la menace résiduelle serait réduite.
Retrouvez ce livrable de l'évaluation des PP entre la menace initiale et la menace résiduelle, à télécharger :
Comme vous pouvez le voir dans le tableau, le fait de mettre en place des mesures de sécurité permet de réduire la menace initiale. Nous avons donc une nouvelle menace qui est dite : menace résiduelle.
Cartographiez la menace résiduelle
Repartons sur le même schéma que vu dans le chapitre “cartographiez la menace initiale” de cette partie. L’objectif est de montrer aux dirigeants de l’entreprise auditée, les deux cartographies l’une à côté de l’autre afin qu’ils comprennent qu’en appliquant les mesures définies précédemment le périmètre de la menace est plus petit.
Plaçons donc sur notre cartographie l'exposition, la fiablité cyber et la menace résiduelle :
Comme vous pouvez le voir sur la cartographie de menace, les parties prenantes ne sont plus considérées comme critiques.
En résumé
Cartographiez les parties prenantes (PP) et identifiez les parties prenantes critiques (PPC) en fonction des seuils d'acceptation du risque.
Concevez des scénarios stratégiques en vous appuyant sur les couples SR/OV. Illustrez-les avec des exemples concrets (comme la compromission de données de paie) et expliquez-les de manière claire, en identifiant les points d'entrée et vecteurs d'exploitation les plus pertinents.
Réalisez la cartographie de la menace résiduelle après avoir défini des mesures pour réduire les risques identifiés, tout en maintenant une vue d'ensemble claire et concise.
Plus que deux ateliers ! On ne lâche rien.
