5 à 10 valeurs métier constituent généralement une base suffisante.
Valeur métier
1.CIdentification des événements redoutés
Valeur métier
Evènement redouté
Impacts
Gravité
1.DSocle de sécurité
2.AIdentification des SR/OV : Sources de Risque et Objectifs Visés
2.BÉvaluation de la pertinence des SR/OV
i
3 à 6 couples SR/OV constituent généralement une base suffisante.
Source de Risque
Objectif Visés
Cotation
Pertinence
Retenu
Justification
2.CSR/OV retenus pour la suite de l’analyse
Source de Risque
Objectif Visés
Événements redoutés
Aucun SR/OV retenu dans l'atelier 2.B
3.ACartographie de dangerosité de l’écosystème et identification des parties prenantes critiques
Exposition AAA
Dépendance
La relation avec est-elle vitale pour mon activité ?
Pénétration
Quel sont les accès de aux ressouces internes ?
Fiabilité cyberBBB
Maturité cyber
Efficacité de en matiere de sécurité ?
Confiance
Les intentions ou les intérets de peuvent m'etre contraires ?
Niveau de menace
= Dépendance x Pénétration
Maturité cyber x Confiance
Veille
Contrôle
Danger
3.BÉlaboration des scénarios stratégiques
i
1 à 3 chemins d’attaque par scénario sont suffisants pour une bonne pertinence.
Sources de risque
Objectifs visés
Chemins d’attaque stratégiques
Gravité
3.CDéfinition des mesures de sécurité sur l'écosystème
Partie prenante
Chemins d’attaque stratégiques
Mesures de sécurité
Menace initiale
Menace résiduelles
4.AÉlaboration des scénarios opérationnels
Méthode : Standard
Probabilité de succès :
<>
Connaitre
<>
Rentrer
<>
Trouver
<>
Exploiter
4.BVraisemblance des scénarios opérationnels
5.ASynthèse des scénarios de risque
Gravité
4
3
2
1
1
2
3
4
Vraisemblance
Scénarios de risques :
5.BStratégie de traitment du risque
Risque
Acceptabilité
Actions
Faible
Acceptable en l’état
Aucune action n’est à entreprendre.
Moyen
Tolérable sous contrôle
Un suivi en termes de gestion du risque est à mener
et des actions sont à mettre en place dans le cadre
d’une amélioration continue sur le moyen et long terme.
Élevé
Inacceptable
Des mesures de réduction du risque doivent
impérativement être prises à court terme. Dans le cas contraire, tout ou partie de l’activité sera refusé.
5.CMesures de sécurité
Mesure
Risque associé
Responsable
Cout/Complexité
Echéance
5.DRisques résiduels
Nom
Fonction
Une valeur métier est un élément essentiel à la mission de l’organisation : service, processus, information, savoir-faire, activité critique, etc.
Exemple de valeurs métiers :
Services métiers
- Fourniture d’électricité / eau / télécom
- Service de paiement
- Gestion de la relation client
- Vente en ligne
- Gestion des contrats
- Production industrielle
- Supervision d’infrastructures
- Service de santé / prise en charge patient
- Livraison logistique
- Gestion RH et paie
- Processus critiques
- Traitement des commandes
- Facturation
- Authentification des utilisateurs
- Gestion des accès
- Validation des transactions
- Pilotage opérationnel
- Gestion des incidents
- Déploiement logiciel
- Sauvegarde et restauration
- Gestion de crise
- Algorithmes propriétaires
- Expertise métier
- Méthodes industrielles
- Modèles IA
- Stratégie commerciale
- Base de connaissance interne
Fonctions support critiques
- SI de production
- Réseau d’entreprise
- ERP
- Active Directory / IAM
- Infrastructure cloud
- Centre d’appel
- SOC / supervision sécurité
Ajouter une Source de Risque / Objectif Visé
Source de Risque: Acteur ou un élément susceptible de provoquer un incident de sécurité sur l'organisation. Objectif Visé: ce que la Source de Risque cherche à atteindre ou compromettre.
Source de Risque
Objectifs Visés
Exemple de SR/OV:
Src. de Risque
Objectif Visés
Activiste
Menace d’altération de la composition des vaccins à des fins d’extorsion d’une rançon.
Activiste
Saboter la campagne nationale de vaccination.
Amateur
Amusement
Concurrent
Voler des informations en espionnant les travaux de R&D en vue d’obtenir un avantage concurrentiel.
Cybercriminel
Divulguer des informations sur les tests animaliers.
Espionnage
Vol de données
Etatique
Compromission du réseau de télécommunication
Ex-salarié
Suppression de données
Officine spécialisée
Divulgation de fausses informations
Terroriste
Arrêts d’un site de production
Nouveau scénario stratégiques
Aucun SR/OV retenu dans l'atelier 2.B
Partie prenante
Pas de PP dans l'atelier 3.A, exemple de PP :
Attaquant <-> Ecosystème
Ecosystème <-> Société
Description
Partie prenante
Chemins d’attaque stratégiques
Menace
Aucune partie prenante dans les scénarios de l'atelier 3.B