divover
divover

 
 


1
Cadrage
2
Source de risque
3
Scénarios stratégiques
4
Scénarios opérationnels
5
Traitement du risque


1.ACadrage de l'étude


Organisation
Nom de l'etude
Date
Version
Notes

Participants :

AtelierRéalisateurApprobateurConsultéInformé
1
2
3
4
5


1.BPérimètre métier et technique

i
5 à 10 valeurs métier constituent généralement une base suffisante.

Valeur métier






1.CIdentification des événements redoutés


Valeur métier Evènement redouté Impacts Gravité


1.DSocle de sécurité





2.AIdentification des SR/OV : Sources de Risque et Objectifs Visés




2.BÉvaluation de la pertinence des SR/OV  
i
3 à 6 couples SR/OV constituent
généralement une base suffisante.


Source de RisqueObjectif VisésCotationPertinenceRetenuJustification

4 3 2 1 Vision par sources de risques SR/OV retenu 4 3 2 1 Vision par objectifs visés SR/OV non retenu


2.CSR/OV retenus pour la suite de l’analyse

Source de RisqueObjectif VisésÉvénements redoutés
Aucun SR/OV retenu dans l'atelier 2.B




3.ACartographie de dangerosité de l’écosystème et identification des parties prenantes critiques


Exposition AAA
Dépendance

La relation avec est-elle vitale pour mon activité ?

Pénétration

Quel sont les accès de aux ressouces internes ?


Fiabilité cyberBBB
Maturité cyber

Efficacité de en matiere de sécurité ?

Confiance

Les intentions ou les intérets de peuvent m'etre contraires ?




Niveau de menace
=
Dépendance x Pénétration
Maturité cyber x Confiance



5 4 3 2 1 0 Zone de veille Zone de controle Zone de danger Seuil X Seuil Y Seuil Z Exposition <3 3-6 7-9 >9 Fiabilité <4 4-5 6-7 >7


3.BÉlaboration des scénarios stratégiques



  
i
1 à 3 chemins d’attaque par scénario
sont suffisants pour une bonne pertinence.



Sources de risque Objectifs visés Chemins d’attaque stratégiques Gravité




3.CDéfinition des mesures de sécurité sur l'écosystème



Partie prenante Chemins d’attaque stratégiques Mesures de sécurité Menace initiale Menace résiduelles


4.AÉlaboration des scénarios opérationnels




<>
Connaitre
<>
Rentrer
<>
Trouver
<>
Exploiter


4.BVraisemblance des scénarios opérationnels





5.ASynthèse des scénarios de risque





Gravité
4
3
2
1
1 2 3 4
Vraisemblance


Scénarios de risques :


5.BStratégie de traitment du risque

Risque Acceptabilité Actions
Faible Acceptable en l’état Aucune action n’est à entreprendre.
Moyen Tolérable sous contrôle Un suivi en termes de gestion du risque est à mener et des actions sont à mettre en place dans le cadre d’une amélioration continue sur le moyen et long terme.
Élevé Inacceptable Des mesures de réduction du risque doivent impérativement être prises à court terme. Dans le cas contraire, tout ou partie de l’activité sera refusé.


5.CMesures de sécurité


Mesure Risque associé Responsable Cout/Complexité Echéance


5.DRisques résiduels


Nom
Fonction





Une valeur métier est un élément essentiel à la mission de l’organisation :
service, processus, information, savoir-faire, activité critique, etc.





Exemple de valeurs métiers :

Services métiers

- Fourniture d’électricité / eau / télécom
- Service de paiement
- Gestion de la relation client
- Vente en ligne
- Gestion des contrats
- Production industrielle
- Supervision d’infrastructures
- Service de santé / prise en charge patient
- Livraison logistique
- Gestion RH et paie
- Processus critiques
- Traitement des commandes
- Facturation
- Authentification des utilisateurs
- Gestion des accès
- Validation des transactions
- Pilotage opérationnel
- Gestion des incidents
- Déploiement logiciel
- Sauvegarde et restauration
- Gestion de crise

Informations sensibles

- Données clients
- Données personnelles
- Données bancaires
- Secrets industriels
- Plans techniques
- Données de santé
- Clés cryptographiques
- Données de supervision
- Contrats commerciaux
- Propriété intellectuelle

Savoir-faire / actifs immatériels

- Algorithmes propriétaires
- Expertise métier
- Méthodes industrielles
- Modèles IA
- Stratégie commerciale
- Base de connaissance interne

Fonctions support critiques

- SI de production
- Réseau d’entreprise
- ERP
- Active Directory / IAM
- Infrastructure cloud
- Centre d’appel
- SOC / supervision sécurité

Ajouter une Source de Risque / Objectif Visé

Source de Risque: Acteur ou un élément susceptible de provoquer un incident de sécurité sur l'organisation.
Objectif Visé: ce que la Source de Risque cherche à atteindre ou compromettre.


Source de Risque  
Objectifs Visés



Exemple de SR/OV:
Src. de RisqueObjectif Visés
ActivisteMenace d’altération de la composition des vaccins à des fins d’extorsion d’une rançon.
ActivisteSaboter la campagne nationale de vaccination.
AmateurAmusement
ConcurrentVoler des informations en espionnant les travaux de R&D en vue d’obtenir un avantage concurrentiel.
CybercriminelDivulguer des informations sur les tests animaliers.
EspionnageVol de données
EtatiqueCompromission du réseau de télécommunication
Ex-salariéSuppression de données
Officine spécialiséeDivulgation de fausses informations
TerroristeArrêts d’un site de production

Nouveau scénario stratégiques


Aucun SR/OV retenu dans l'atelier 2.B




Partie prenante

Pas de PP dans l'atelier 3.A, exemple de PP :




Attaquant <-> Ecosystème
Ecosystème <-> Société

Description





Partie prenanteChemins d’attaque stratégiquesMenace

Aucune partie prenante dans les scénarios de l'atelier 3.B





Partie prenante
Chemins d’attaque stratégiques
Mesures de sécurité :
Déscription
Effet :
Dépendance
Pénétration
Maturité
Confiance
Menace initialemenace résiduelle
Détail




 Connaitre
MITRE Reconnaissance
MITRE Préparat. ressources

 Rentrer
MITRE Accès initiaux
MITRE Exécution
MITRE Persistance
MITRE Elévation privilèges
MITRE Evasion de défense

 Trouver
MITRE Récup. d'authent.
MITRE Découverte
MITRE Latéralisation
MITRE Collecte

 Exploiter
MITRE C&C
MITRE Exfiltration
MITRE Impact

Nouveau risque



Gravité :
Vraisemblance :


None