Description
Pourquoi la gestion des risques est-il crucial en cybersécurité.
Présentation rapide de l'approche EBIOS-RM (https://cyber.gouv.fr/publications/la-methode-ebios-risk-manager-le-guide).
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Et cette samouraï. Les Sept Samourais est un film d'Akira Kurosawa qui date de 1954. Ce film est culte à bien des égards. D'une part par les techniques employées par le réalisateur, comme l'utilisation de décors naturels, mais aussi sa technique narrative. C'est un film qui a très largement inspiré d'autres réalisateurs, comme Martin Scorsese, mais aussi George Lucas, pour l'astérie des Star Wars. Il avait même pensé à un temps donner le rôle d'Obi-Wan Kenobi à Toshiro Mifune, qui est l'acteur principal du film Les 7 samouraïs. D'ailleurs, d'autres réalisateurs, les frères Larry et Andy Vaskoski, y ont fait référence indirectement en donnant le nom de Mifune à l'un des personnages, le capitaine Mifune dans la série Matrix. Des années plus tard, armés d'un certain courage et d'une très grande force morale, les frères Larry et Andy Waskowski devinrent les sœurs Lana et Lily Waskowski. A l'instar des sœurs Waskowski, n'y a-t-il pas justement dans ce film une leçon à retenir quant à la résilience et à la force ? C'est toujours pareil, on n'est pas une grande connasse la mai 75, avec des seins comme des obus alors on est rien, on est que moche. Bah oui,
oui, oui,
moi j'ai des poils qui me poussent sous le maquillage et je suis un peu au tabac mais je réclame le droit de vivre, voilà ! Merde ! Elle n'est pas jeune celle-là, elle a foutu sa moumoute dans les huîtres ! Bien que ce film développe bien des thèmes, rappelons qu'il dure jusqu'à 3h27 dans certaines versions, ça laisse le temps de développer un certain nombre d'idées. Certains thèmes peuvent nous éclairer en matière de cybersécurité. Le film commence avec un événement qui va bouleverser tout un village. L'un de ses habitants a surpris une conversation entre deux voleurs indiquant leur intention de détrousser les habitants une fois les récoltes effectuées. Dès lors, les villageois se sont mis en quête de protection en demandant aux sept samouraïs de venir les protéger. Je vois dans ce drame, d'une certaine manière, la même situation en cybersécurité. Il faut défendre son organisation contre les menaces. Mais comment faire pour comprendre les menaces, ses propres forces et faiblesses, dans le but de mitiger les risques ? Eh bien la solution, c'est la gestion des risques informatiques. Et vous allez voir que bien souvent, ces méthodes s'inspirent indirectement d'un autre élément que l'on retrouve dans ce film, c'est l'art de la guerre de Sun Tzu. L'art de la guerre est un ancien traité militaire chinois datant du Vème siècle avant Jésus-Christ. Il est composé de 13 chapitres, chacun dédié à un aspect différent de la guerre. Le texte est considéré comme un guide classique de stratégie militaire, mais il est aussi largement appliqué dans des domaines tels que les affaires, la politique et la gestion quotidienne. En résumé, l'art de la guerre enseigne que la meilleure stratégie est de gagner sans combattre. Pour Sun Tzu, la guerre est plus une question de stratégie, de ruse et d'intelligence que de force brute. Ses enseignements ont traversé les siècles et continuent d'influencer non seulement la pensée militaire, mais aussi la stratégie dans d'autres domaines de la vie telles que la cybersécurité. Il existe bon nombre de méthodes pour évaluer et traiter les risques informatiques et gagner sans combattre, comme par exemple les bioCRM et ISO 27000, bien que ces deux approches sont convergentes à bien des égards, mais il en existe bien d'autres. En fait, il existe autant de méthodes que de points de vue par rapport aux risques. Certaines méthodes vont mettre l'accent sur la collaboration entre les acteurs, d'autres au contraire vont prendre en compte les aspects réglementaires. Une fois de plus, la méthode qui devrait être employée doit être alignée avec votre posture. Mais je pense que l'une des approches la plus holistique et très certainement la plus complémentaire par rapport au contrôle déjà mis en œuvre est très probablement eBiocRM. La méthode eBiocRM, développée par l'ANSI, est une approche structurée de gestion des risques liée à la sécurité de l'information. Elle se distingue par son accent sur la collaboration et l'implication de multiples acteurs. eBiocRM est structurée en cinq ateliers principaux, chacun ayant un objectif spécifique dans le processus de gestion des risques. Il faut comprendre que cette méthodologie présume que les concepts de base en matière de cybersécurité sont déjà sous contrôle. D'une certaine manière, cela évite de perdre du temps à discuter de la longueur des mots de passe ou de l'importance d'avoir des verrous sur les armoires. C'est un peu comme dans la pyramide de Maslow, dont les premières caisses sont dédiées à des besoins de base comme boire et manger, et un minimum de sécurité. Ce qui semble assez logique car cela ne sert à rien de vouloir se défendre quand vous n'êtes pas capable de subvenir à vos besoins les plus basiques.
Besoin de stabilité et de sécurité, maison dure, certitude d'avoir un salaire qui tombe à la fin du mois, une vie un minimum organisée.
Bon,
je crois que tout le monde est ok là-dessus ?
Non, pas tout à fait. Jean-Claude par exemple, il vit dans un camping-car. Excuse-moi Jean-Claude, mais on est là pour dire les choses, non ? Oui, mais c'est tout à fait provisoire. Et bon, c'est vrai que ça ne gâte rien à mon travail. Quand j'avais des infiltrations d'eau, je ne dis pas, j'étais peut-être un peu moins au taquet, mais depuis j'ai remastiqué, j'ai rassemblé mes énergies et j'ai...
Ok,
next step.
La famille, le besoin d'amour. Combien vous connaissez de gens au boulot qui sont totalement down à cause de leurs problèmes affectifs ?
Excusez-moi, mais ce que vous êtes en train de dire là, c'est que bon, un individu lambada qui aurait fait une mauvaise année avec des mauvais chiffres, est-ce que ça pourrait être lié au fait qu'il ait perdu sa baraque et que sa femme soit partie de Clégos ?
Eh bien, à votre avis, Jean-Claude ?
La méthode des biocérèmes se base d'une certaine manière sur l'un des chapitres de l'art de la guerre. En particulier celui consacré à la stratégie offensive dans lequel on peut lire. Ne pas se connaître soi-même et ne pas connaître son ennemi et vous perdrez toutes vos batailles. Se connaître soi-même et ne pas connaître son ennemi et vous perdrez une bataille sur deux. Se connaître soi-même et connaître son ennemi et vous gagnerez toutes vos batailles. L'essentiel de la méthode est là. Se connaître, connaître ses forces et ses faiblesses, et surtout connaître son ennemi et son mode opératoire. Pour ce faire, la méthode se décompose en plusieurs ateliers. Les biocérèmes sont donc une méthode d'analyse et de gestion de risques liée à la cybersécurité et se déroulent en cinq ateliers, chacun impliquant des acteurs clés avec des rôles et des responsabilités spécifiques. Voici un exemple de ces ateliers et des intervenants impliqués. Atelier numéro 1 Le contexte de sécurité L'objectif de cet atelier est de définir le contexte de sécurité de l'organisation. C'est une forme de cadrage qui permet d'identifier les missions de l'organisation, ainsi que les valeurs métiers, mais aussi le socle de sécurité sur lequel se repose votre posture en matière de cybersécurité. Le guide d'hygiène de l'ANSI par exemple. Et pour finir, les événements redoutés, comme par exemple la perte de données ou la perte de clients. Pour réaliser cet atelier, il y a le responsable de la sécurité de l'information, Le RSSI, qui guide les discussions. On y trouve aussi les représentants des métiers qui fournissent une vision des enjeux stratégiques de leur point de vue. C'est crucial d'obtenir cette vision des choses, mais aussi de challenger cette vision car elle y a un biais qui consiste à tout considérer comme critique à tout moment. Il y a aussi un expert en sécurité IT qui va aider à définir les exigences de sécurité ainsi que le socle déjà mis en œuvre. Atelier numéro 2, l'étude des menaces. L'objectif de cet atelier est d'identifier et de caractériser les menaces. On peut trouver par exemple comme source de menace un groupe de hackers dont le but sera essentiellement de chiffrer vos données et de demander ensuite une rançon. Un autre exemple peut être la concurrence elle-même, qui cherchera à exfiltrer vos informations les plus confidentielles. Par la suite de cet atelier, on va procéder à des couples, sources des risques et objectifs visés. Par exemple, un groupe de hackers aura très certainement beaucoup de motivation, d'autant plus si vous êtes profitable. Dans la grande majorité des cas, ils auront les ressources nécessaires et sont aussi de plus en plus actifs. Il y a donc une pertinence assez forte sur ce couple. En revanche, si l'on fait le même exercice avec la concurrence, la motivation sera peut-être importante mais les ressources ne seront peut-être pas au rendez-vous. Sans parler du fait que, en principe, l'espionnage n'est pas l'activité principale de vos clients. On pourra donc en conclure que ce couple sera peut-être moins pertinent. Les intervenants sont bien évidemment le RSSI, qui doit identifier et évaluer les sources des menaces, mais aussi le responsable opérationnel qui apporte une connaissance du terrain. Atelier numéro 3, étude des risques. Cet atelier est une illustration parfaite de la référence faite plus haut à l'art de la guerre et à l'importance de se connaître soi-même tout autant que son ennemi. Cet atelier a pour objectif d'identifier les parties prenantes, les plus vulnérables, et d'établir un scénario stratégique. qui représente les chemins d'attaque qu'une source de risque pourrait emprunter pour atteindre son objectif. En d'autres termes, pour chaque contrepartie, comme un fournisseur par exemple, capable d'interagir avec votre système d'information, vous devez évaluer votre dépendance à lui, c'est-à-dire est-ce que vous pouvez le remplacer facilement ou pas, son niveau de pénétration, si par exemple il possède des accès privilégiés à votre système d'information. Mais vous devez aussi prendre en compte les éléments qui mitigent le risque, comme par exemple sa maturité en matière de cybersécurité et aussi le niveau de confiance que vous lui octroyez. Le rapport entre ces valeurs, par exemple le niveau de dépendance multiplié par le niveau de pénétration, divisé par le produit de la maturité et de la confiance vous donnera une estimation du risque de cette contrepartie. Par ailleurs, toujours dans la construction des scénarios stratégiques, vous devez répartir les couples définis dans l'atelier 2. Évidemment, seuls les couples les plus pertinents seront sélectionnés. Prenons par exemple le cas du groupe des hackers. Dans cet atelier, il faudra définir un chemin d'attaque probable et analyser la gravité. Par exemple, en lançant une attaque directement sur votre système ou en passant par un prestataire. Dans ce cas, vous allez faire le lien avec l'étape précédente qui consiste à évaluer toutes les parties prenantes. Pour chacun de ces chemins d'attaque, vous allez évaluer les mitigations possibles et en déduire le risque résiduel. Ce principe de risque résiduel est assez facile à comprendre d'un point de vue intuitif. Prenons un exemple de la construction. Si vous devez construire un bâtiment dans une zone à forte activité sismique, Intrinsèquement, le risque sera plus élevé. Or, si votre bâtiment prend en compte dès sa conception ce risque, en utilisant une conception parasysmique, eh bien ce risque sera mitigé. Il ne restera plus que le risque résiduel. Il en va de même en cybersécurité. Si vous avez identifié un risque et que vous mettez en place des contre-mesures, vous allez diminuer le risque et obtenir un risque résiduel. Atelier numéro 4, l'élaboration des scénarios opérationnels. C'est un peu la clé de voûte de la méthodologie car vous allez reprendre tous les résultats de tous les ateliers précédents. Dans le cadre de l'étude des fonctions critiques que vous avez définies lors du premier atelier, vous avez défini les menaces internes et externes de votre organisation. Dans l'atelier 4, vous avez la possibilité de définir les scénarios les plus probants et bien évidemment d'en déduire des plans d'action possibles, c'est-à-dire concrètement définir le plan de traitement des risques. Et pour finir, l'atelier 5, qui est en fait le processus de contrôle de l'implémentation et de l'alignement de la stratégie. Celui-ci vous permettra de vérifier la mise en œuvre du plan de traitement des risques, mais aussi de réévaluer la situation en fonction d'un changement de contexte, l'apparition d'un nouveau fournisseur par exemple, ou d'un changement de technologie. En fait, il existe de multiples événements qui peuvent à chaque instant changer le profil de risque de votre organisation. Il est important, pour ne pas dire crucial, de détecter ce genre de signe. Nous avons vu en quelques minutes les grandes lignes dans la méthodologie à BIOCRM. Mais ce n'est qu'un court exemple, et si d'aventure cette méthode vous intéresse, je vous invite à consulter le site de l'ENSI. Le lien sera en commentaire de cet épisode. Encore une fois, ce n'est qu'un exemple. Il existe de multiples méthodes, et vous devez trouver celle qui conviendra le mieux à votre organisation. Pour terminer avec un petit commentaire sur le film Laissez de Samouraï, comme son nom l'indique, il y a beaucoup de scènes d'arts martiaux japonais. Il existe un concept très important dans ce domaine, le Ki-Kenta-Ichi. Le Ki-Kenta-Ichi est un concept fondamental des arts martiaux japonais, notamment en Kendo. Il peut être traduit littéralement comme l'unité de l'esprit, de l'épée et du corps Ce principe met l'accent sur l'importance de l'harmonie et de la synchronisation entre ces trois éléments lors de l'exécution d'une technique ou d'un mouvement, le Ki-Kenta-Yichi. Le Ki est l'esprit. Cela fait référence à la concentration mentale, à l'intention, à la détermination et à la préparation psychologique. Un esprit concentré et serein est essentiel pour anticiper et réagir efficacement dans une situation de combat. Ken, l'épée, représente la technique ou la compétence dans le maniement de l'épée. Cela implique non seulement la maîtrise des mouvements physiques, mais aussi la compréhension de la portée, du timing et de l'application appropriée de la technique. Tai, le corps, se réfère aux mouvements physiques et à la posture, à l'alignement et la coordination et à la forme physique. Un corps bien entraîné et agile est crucial pour exécuter les techniques de manière efficace et en harmonie avec l'esprit et l'épée. L'objectif est d'atteindre une synergie entre ces trois composantes, de sorte que l'esprit guide le corps et l'épée de manière fluide et naturelle. Dans les arts martiaux, ce concept est souvent considéré comme la clé pour atteindre le niveau compétence le plus élevé. En kendo par exemple, un coup réussi est reconnu non seulement par sa précision technique, mais aussi par la manifestation du kikantayichi, où l'intention, l'esprit, l'attaque, l'épée et le mouvement du corps sont parfaitement synchronisés. La synchronisation entre l'esprit, la technique et le mouvement n'est-il pas l'objectif que nous cherchons tous à atteindre en cybersécurité ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker et à le partager avec d'autres, à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort bien plus sérieux que ça.
Merci. Merci.
Description
Pourquoi la gestion des risques est-il crucial en cybersécurité.
Présentation rapide de l'approche EBIOS-RM (https://cyber.gouv.fr/publications/la-methode-ebios-risk-manager-le-guide).
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Et cette samouraï. Les Sept Samourais est un film d'Akira Kurosawa qui date de 1954. Ce film est culte à bien des égards. D'une part par les techniques employées par le réalisateur, comme l'utilisation de décors naturels, mais aussi sa technique narrative. C'est un film qui a très largement inspiré d'autres réalisateurs, comme Martin Scorsese, mais aussi George Lucas, pour l'astérie des Star Wars. Il avait même pensé à un temps donner le rôle d'Obi-Wan Kenobi à Toshiro Mifune, qui est l'acteur principal du film Les 7 samouraïs. D'ailleurs, d'autres réalisateurs, les frères Larry et Andy Vaskoski, y ont fait référence indirectement en donnant le nom de Mifune à l'un des personnages, le capitaine Mifune dans la série Matrix. Des années plus tard, armés d'un certain courage et d'une très grande force morale, les frères Larry et Andy Waskowski devinrent les sœurs Lana et Lily Waskowski. A l'instar des sœurs Waskowski, n'y a-t-il pas justement dans ce film une leçon à retenir quant à la résilience et à la force ? C'est toujours pareil, on n'est pas une grande connasse la mai 75, avec des seins comme des obus alors on est rien, on est que moche. Bah oui,
oui, oui,
moi j'ai des poils qui me poussent sous le maquillage et je suis un peu au tabac mais je réclame le droit de vivre, voilà ! Merde ! Elle n'est pas jeune celle-là, elle a foutu sa moumoute dans les huîtres ! Bien que ce film développe bien des thèmes, rappelons qu'il dure jusqu'à 3h27 dans certaines versions, ça laisse le temps de développer un certain nombre d'idées. Certains thèmes peuvent nous éclairer en matière de cybersécurité. Le film commence avec un événement qui va bouleverser tout un village. L'un de ses habitants a surpris une conversation entre deux voleurs indiquant leur intention de détrousser les habitants une fois les récoltes effectuées. Dès lors, les villageois se sont mis en quête de protection en demandant aux sept samouraïs de venir les protéger. Je vois dans ce drame, d'une certaine manière, la même situation en cybersécurité. Il faut défendre son organisation contre les menaces. Mais comment faire pour comprendre les menaces, ses propres forces et faiblesses, dans le but de mitiger les risques ? Eh bien la solution, c'est la gestion des risques informatiques. Et vous allez voir que bien souvent, ces méthodes s'inspirent indirectement d'un autre élément que l'on retrouve dans ce film, c'est l'art de la guerre de Sun Tzu. L'art de la guerre est un ancien traité militaire chinois datant du Vème siècle avant Jésus-Christ. Il est composé de 13 chapitres, chacun dédié à un aspect différent de la guerre. Le texte est considéré comme un guide classique de stratégie militaire, mais il est aussi largement appliqué dans des domaines tels que les affaires, la politique et la gestion quotidienne. En résumé, l'art de la guerre enseigne que la meilleure stratégie est de gagner sans combattre. Pour Sun Tzu, la guerre est plus une question de stratégie, de ruse et d'intelligence que de force brute. Ses enseignements ont traversé les siècles et continuent d'influencer non seulement la pensée militaire, mais aussi la stratégie dans d'autres domaines de la vie telles que la cybersécurité. Il existe bon nombre de méthodes pour évaluer et traiter les risques informatiques et gagner sans combattre, comme par exemple les bioCRM et ISO 27000, bien que ces deux approches sont convergentes à bien des égards, mais il en existe bien d'autres. En fait, il existe autant de méthodes que de points de vue par rapport aux risques. Certaines méthodes vont mettre l'accent sur la collaboration entre les acteurs, d'autres au contraire vont prendre en compte les aspects réglementaires. Une fois de plus, la méthode qui devrait être employée doit être alignée avec votre posture. Mais je pense que l'une des approches la plus holistique et très certainement la plus complémentaire par rapport au contrôle déjà mis en œuvre est très probablement eBiocRM. La méthode eBiocRM, développée par l'ANSI, est une approche structurée de gestion des risques liée à la sécurité de l'information. Elle se distingue par son accent sur la collaboration et l'implication de multiples acteurs. eBiocRM est structurée en cinq ateliers principaux, chacun ayant un objectif spécifique dans le processus de gestion des risques. Il faut comprendre que cette méthodologie présume que les concepts de base en matière de cybersécurité sont déjà sous contrôle. D'une certaine manière, cela évite de perdre du temps à discuter de la longueur des mots de passe ou de l'importance d'avoir des verrous sur les armoires. C'est un peu comme dans la pyramide de Maslow, dont les premières caisses sont dédiées à des besoins de base comme boire et manger, et un minimum de sécurité. Ce qui semble assez logique car cela ne sert à rien de vouloir se défendre quand vous n'êtes pas capable de subvenir à vos besoins les plus basiques.
Besoin de stabilité et de sécurité, maison dure, certitude d'avoir un salaire qui tombe à la fin du mois, une vie un minimum organisée.
Bon,
je crois que tout le monde est ok là-dessus ?
Non, pas tout à fait. Jean-Claude par exemple, il vit dans un camping-car. Excuse-moi Jean-Claude, mais on est là pour dire les choses, non ? Oui, mais c'est tout à fait provisoire. Et bon, c'est vrai que ça ne gâte rien à mon travail. Quand j'avais des infiltrations d'eau, je ne dis pas, j'étais peut-être un peu moins au taquet, mais depuis j'ai remastiqué, j'ai rassemblé mes énergies et j'ai...
Ok,
next step.
La famille, le besoin d'amour. Combien vous connaissez de gens au boulot qui sont totalement down à cause de leurs problèmes affectifs ?
Excusez-moi, mais ce que vous êtes en train de dire là, c'est que bon, un individu lambada qui aurait fait une mauvaise année avec des mauvais chiffres, est-ce que ça pourrait être lié au fait qu'il ait perdu sa baraque et que sa femme soit partie de Clégos ?
Eh bien, à votre avis, Jean-Claude ?
La méthode des biocérèmes se base d'une certaine manière sur l'un des chapitres de l'art de la guerre. En particulier celui consacré à la stratégie offensive dans lequel on peut lire. Ne pas se connaître soi-même et ne pas connaître son ennemi et vous perdrez toutes vos batailles. Se connaître soi-même et ne pas connaître son ennemi et vous perdrez une bataille sur deux. Se connaître soi-même et connaître son ennemi et vous gagnerez toutes vos batailles. L'essentiel de la méthode est là. Se connaître, connaître ses forces et ses faiblesses, et surtout connaître son ennemi et son mode opératoire. Pour ce faire, la méthode se décompose en plusieurs ateliers. Les biocérèmes sont donc une méthode d'analyse et de gestion de risques liée à la cybersécurité et se déroulent en cinq ateliers, chacun impliquant des acteurs clés avec des rôles et des responsabilités spécifiques. Voici un exemple de ces ateliers et des intervenants impliqués. Atelier numéro 1 Le contexte de sécurité L'objectif de cet atelier est de définir le contexte de sécurité de l'organisation. C'est une forme de cadrage qui permet d'identifier les missions de l'organisation, ainsi que les valeurs métiers, mais aussi le socle de sécurité sur lequel se repose votre posture en matière de cybersécurité. Le guide d'hygiène de l'ANSI par exemple. Et pour finir, les événements redoutés, comme par exemple la perte de données ou la perte de clients. Pour réaliser cet atelier, il y a le responsable de la sécurité de l'information, Le RSSI, qui guide les discussions. On y trouve aussi les représentants des métiers qui fournissent une vision des enjeux stratégiques de leur point de vue. C'est crucial d'obtenir cette vision des choses, mais aussi de challenger cette vision car elle y a un biais qui consiste à tout considérer comme critique à tout moment. Il y a aussi un expert en sécurité IT qui va aider à définir les exigences de sécurité ainsi que le socle déjà mis en œuvre. Atelier numéro 2, l'étude des menaces. L'objectif de cet atelier est d'identifier et de caractériser les menaces. On peut trouver par exemple comme source de menace un groupe de hackers dont le but sera essentiellement de chiffrer vos données et de demander ensuite une rançon. Un autre exemple peut être la concurrence elle-même, qui cherchera à exfiltrer vos informations les plus confidentielles. Par la suite de cet atelier, on va procéder à des couples, sources des risques et objectifs visés. Par exemple, un groupe de hackers aura très certainement beaucoup de motivation, d'autant plus si vous êtes profitable. Dans la grande majorité des cas, ils auront les ressources nécessaires et sont aussi de plus en plus actifs. Il y a donc une pertinence assez forte sur ce couple. En revanche, si l'on fait le même exercice avec la concurrence, la motivation sera peut-être importante mais les ressources ne seront peut-être pas au rendez-vous. Sans parler du fait que, en principe, l'espionnage n'est pas l'activité principale de vos clients. On pourra donc en conclure que ce couple sera peut-être moins pertinent. Les intervenants sont bien évidemment le RSSI, qui doit identifier et évaluer les sources des menaces, mais aussi le responsable opérationnel qui apporte une connaissance du terrain. Atelier numéro 3, étude des risques. Cet atelier est une illustration parfaite de la référence faite plus haut à l'art de la guerre et à l'importance de se connaître soi-même tout autant que son ennemi. Cet atelier a pour objectif d'identifier les parties prenantes, les plus vulnérables, et d'établir un scénario stratégique. qui représente les chemins d'attaque qu'une source de risque pourrait emprunter pour atteindre son objectif. En d'autres termes, pour chaque contrepartie, comme un fournisseur par exemple, capable d'interagir avec votre système d'information, vous devez évaluer votre dépendance à lui, c'est-à-dire est-ce que vous pouvez le remplacer facilement ou pas, son niveau de pénétration, si par exemple il possède des accès privilégiés à votre système d'information. Mais vous devez aussi prendre en compte les éléments qui mitigent le risque, comme par exemple sa maturité en matière de cybersécurité et aussi le niveau de confiance que vous lui octroyez. Le rapport entre ces valeurs, par exemple le niveau de dépendance multiplié par le niveau de pénétration, divisé par le produit de la maturité et de la confiance vous donnera une estimation du risque de cette contrepartie. Par ailleurs, toujours dans la construction des scénarios stratégiques, vous devez répartir les couples définis dans l'atelier 2. Évidemment, seuls les couples les plus pertinents seront sélectionnés. Prenons par exemple le cas du groupe des hackers. Dans cet atelier, il faudra définir un chemin d'attaque probable et analyser la gravité. Par exemple, en lançant une attaque directement sur votre système ou en passant par un prestataire. Dans ce cas, vous allez faire le lien avec l'étape précédente qui consiste à évaluer toutes les parties prenantes. Pour chacun de ces chemins d'attaque, vous allez évaluer les mitigations possibles et en déduire le risque résiduel. Ce principe de risque résiduel est assez facile à comprendre d'un point de vue intuitif. Prenons un exemple de la construction. Si vous devez construire un bâtiment dans une zone à forte activité sismique, Intrinsèquement, le risque sera plus élevé. Or, si votre bâtiment prend en compte dès sa conception ce risque, en utilisant une conception parasysmique, eh bien ce risque sera mitigé. Il ne restera plus que le risque résiduel. Il en va de même en cybersécurité. Si vous avez identifié un risque et que vous mettez en place des contre-mesures, vous allez diminuer le risque et obtenir un risque résiduel. Atelier numéro 4, l'élaboration des scénarios opérationnels. C'est un peu la clé de voûte de la méthodologie car vous allez reprendre tous les résultats de tous les ateliers précédents. Dans le cadre de l'étude des fonctions critiques que vous avez définies lors du premier atelier, vous avez défini les menaces internes et externes de votre organisation. Dans l'atelier 4, vous avez la possibilité de définir les scénarios les plus probants et bien évidemment d'en déduire des plans d'action possibles, c'est-à-dire concrètement définir le plan de traitement des risques. Et pour finir, l'atelier 5, qui est en fait le processus de contrôle de l'implémentation et de l'alignement de la stratégie. Celui-ci vous permettra de vérifier la mise en œuvre du plan de traitement des risques, mais aussi de réévaluer la situation en fonction d'un changement de contexte, l'apparition d'un nouveau fournisseur par exemple, ou d'un changement de technologie. En fait, il existe de multiples événements qui peuvent à chaque instant changer le profil de risque de votre organisation. Il est important, pour ne pas dire crucial, de détecter ce genre de signe. Nous avons vu en quelques minutes les grandes lignes dans la méthodologie à BIOCRM. Mais ce n'est qu'un court exemple, et si d'aventure cette méthode vous intéresse, je vous invite à consulter le site de l'ENSI. Le lien sera en commentaire de cet épisode. Encore une fois, ce n'est qu'un exemple. Il existe de multiples méthodes, et vous devez trouver celle qui conviendra le mieux à votre organisation. Pour terminer avec un petit commentaire sur le film Laissez de Samouraï, comme son nom l'indique, il y a beaucoup de scènes d'arts martiaux japonais. Il existe un concept très important dans ce domaine, le Ki-Kenta-Ichi. Le Ki-Kenta-Ichi est un concept fondamental des arts martiaux japonais, notamment en Kendo. Il peut être traduit littéralement comme l'unité de l'esprit, de l'épée et du corps Ce principe met l'accent sur l'importance de l'harmonie et de la synchronisation entre ces trois éléments lors de l'exécution d'une technique ou d'un mouvement, le Ki-Kenta-Yichi. Le Ki est l'esprit. Cela fait référence à la concentration mentale, à l'intention, à la détermination et à la préparation psychologique. Un esprit concentré et serein est essentiel pour anticiper et réagir efficacement dans une situation de combat. Ken, l'épée, représente la technique ou la compétence dans le maniement de l'épée. Cela implique non seulement la maîtrise des mouvements physiques, mais aussi la compréhension de la portée, du timing et de l'application appropriée de la technique. Tai, le corps, se réfère aux mouvements physiques et à la posture, à l'alignement et la coordination et à la forme physique. Un corps bien entraîné et agile est crucial pour exécuter les techniques de manière efficace et en harmonie avec l'esprit et l'épée. L'objectif est d'atteindre une synergie entre ces trois composantes, de sorte que l'esprit guide le corps et l'épée de manière fluide et naturelle. Dans les arts martiaux, ce concept est souvent considéré comme la clé pour atteindre le niveau compétence le plus élevé. En kendo par exemple, un coup réussi est reconnu non seulement par sa précision technique, mais aussi par la manifestation du kikantayichi, où l'intention, l'esprit, l'attaque, l'épée et le mouvement du corps sont parfaitement synchronisés. La synchronisation entre l'esprit, la technique et le mouvement n'est-il pas l'objectif que nous cherchons tous à atteindre en cybersécurité ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker et à le partager avec d'autres, à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort bien plus sérieux que ça.
Merci. Merci.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)
Description
Pourquoi la gestion des risques est-il crucial en cybersécurité.
Présentation rapide de l'approche EBIOS-RM (https://cyber.gouv.fr/publications/la-methode-ebios-risk-manager-le-guide).
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Et cette samouraï. Les Sept Samourais est un film d'Akira Kurosawa qui date de 1954. Ce film est culte à bien des égards. D'une part par les techniques employées par le réalisateur, comme l'utilisation de décors naturels, mais aussi sa technique narrative. C'est un film qui a très largement inspiré d'autres réalisateurs, comme Martin Scorsese, mais aussi George Lucas, pour l'astérie des Star Wars. Il avait même pensé à un temps donner le rôle d'Obi-Wan Kenobi à Toshiro Mifune, qui est l'acteur principal du film Les 7 samouraïs. D'ailleurs, d'autres réalisateurs, les frères Larry et Andy Vaskoski, y ont fait référence indirectement en donnant le nom de Mifune à l'un des personnages, le capitaine Mifune dans la série Matrix. Des années plus tard, armés d'un certain courage et d'une très grande force morale, les frères Larry et Andy Waskowski devinrent les sœurs Lana et Lily Waskowski. A l'instar des sœurs Waskowski, n'y a-t-il pas justement dans ce film une leçon à retenir quant à la résilience et à la force ? C'est toujours pareil, on n'est pas une grande connasse la mai 75, avec des seins comme des obus alors on est rien, on est que moche. Bah oui,
oui, oui,
moi j'ai des poils qui me poussent sous le maquillage et je suis un peu au tabac mais je réclame le droit de vivre, voilà ! Merde ! Elle n'est pas jeune celle-là, elle a foutu sa moumoute dans les huîtres ! Bien que ce film développe bien des thèmes, rappelons qu'il dure jusqu'à 3h27 dans certaines versions, ça laisse le temps de développer un certain nombre d'idées. Certains thèmes peuvent nous éclairer en matière de cybersécurité. Le film commence avec un événement qui va bouleverser tout un village. L'un de ses habitants a surpris une conversation entre deux voleurs indiquant leur intention de détrousser les habitants une fois les récoltes effectuées. Dès lors, les villageois se sont mis en quête de protection en demandant aux sept samouraïs de venir les protéger. Je vois dans ce drame, d'une certaine manière, la même situation en cybersécurité. Il faut défendre son organisation contre les menaces. Mais comment faire pour comprendre les menaces, ses propres forces et faiblesses, dans le but de mitiger les risques ? Eh bien la solution, c'est la gestion des risques informatiques. Et vous allez voir que bien souvent, ces méthodes s'inspirent indirectement d'un autre élément que l'on retrouve dans ce film, c'est l'art de la guerre de Sun Tzu. L'art de la guerre est un ancien traité militaire chinois datant du Vème siècle avant Jésus-Christ. Il est composé de 13 chapitres, chacun dédié à un aspect différent de la guerre. Le texte est considéré comme un guide classique de stratégie militaire, mais il est aussi largement appliqué dans des domaines tels que les affaires, la politique et la gestion quotidienne. En résumé, l'art de la guerre enseigne que la meilleure stratégie est de gagner sans combattre. Pour Sun Tzu, la guerre est plus une question de stratégie, de ruse et d'intelligence que de force brute. Ses enseignements ont traversé les siècles et continuent d'influencer non seulement la pensée militaire, mais aussi la stratégie dans d'autres domaines de la vie telles que la cybersécurité. Il existe bon nombre de méthodes pour évaluer et traiter les risques informatiques et gagner sans combattre, comme par exemple les bioCRM et ISO 27000, bien que ces deux approches sont convergentes à bien des égards, mais il en existe bien d'autres. En fait, il existe autant de méthodes que de points de vue par rapport aux risques. Certaines méthodes vont mettre l'accent sur la collaboration entre les acteurs, d'autres au contraire vont prendre en compte les aspects réglementaires. Une fois de plus, la méthode qui devrait être employée doit être alignée avec votre posture. Mais je pense que l'une des approches la plus holistique et très certainement la plus complémentaire par rapport au contrôle déjà mis en œuvre est très probablement eBiocRM. La méthode eBiocRM, développée par l'ANSI, est une approche structurée de gestion des risques liée à la sécurité de l'information. Elle se distingue par son accent sur la collaboration et l'implication de multiples acteurs. eBiocRM est structurée en cinq ateliers principaux, chacun ayant un objectif spécifique dans le processus de gestion des risques. Il faut comprendre que cette méthodologie présume que les concepts de base en matière de cybersécurité sont déjà sous contrôle. D'une certaine manière, cela évite de perdre du temps à discuter de la longueur des mots de passe ou de l'importance d'avoir des verrous sur les armoires. C'est un peu comme dans la pyramide de Maslow, dont les premières caisses sont dédiées à des besoins de base comme boire et manger, et un minimum de sécurité. Ce qui semble assez logique car cela ne sert à rien de vouloir se défendre quand vous n'êtes pas capable de subvenir à vos besoins les plus basiques.
Besoin de stabilité et de sécurité, maison dure, certitude d'avoir un salaire qui tombe à la fin du mois, une vie un minimum organisée.
Bon,
je crois que tout le monde est ok là-dessus ?
Non, pas tout à fait. Jean-Claude par exemple, il vit dans un camping-car. Excuse-moi Jean-Claude, mais on est là pour dire les choses, non ? Oui, mais c'est tout à fait provisoire. Et bon, c'est vrai que ça ne gâte rien à mon travail. Quand j'avais des infiltrations d'eau, je ne dis pas, j'étais peut-être un peu moins au taquet, mais depuis j'ai remastiqué, j'ai rassemblé mes énergies et j'ai...
Ok,
next step.
La famille, le besoin d'amour. Combien vous connaissez de gens au boulot qui sont totalement down à cause de leurs problèmes affectifs ?
Excusez-moi, mais ce que vous êtes en train de dire là, c'est que bon, un individu lambada qui aurait fait une mauvaise année avec des mauvais chiffres, est-ce que ça pourrait être lié au fait qu'il ait perdu sa baraque et que sa femme soit partie de Clégos ?
Eh bien, à votre avis, Jean-Claude ?
La méthode des biocérèmes se base d'une certaine manière sur l'un des chapitres de l'art de la guerre. En particulier celui consacré à la stratégie offensive dans lequel on peut lire. Ne pas se connaître soi-même et ne pas connaître son ennemi et vous perdrez toutes vos batailles. Se connaître soi-même et ne pas connaître son ennemi et vous perdrez une bataille sur deux. Se connaître soi-même et connaître son ennemi et vous gagnerez toutes vos batailles. L'essentiel de la méthode est là. Se connaître, connaître ses forces et ses faiblesses, et surtout connaître son ennemi et son mode opératoire. Pour ce faire, la méthode se décompose en plusieurs ateliers. Les biocérèmes sont donc une méthode d'analyse et de gestion de risques liée à la cybersécurité et se déroulent en cinq ateliers, chacun impliquant des acteurs clés avec des rôles et des responsabilités spécifiques. Voici un exemple de ces ateliers et des intervenants impliqués. Atelier numéro 1 Le contexte de sécurité L'objectif de cet atelier est de définir le contexte de sécurité de l'organisation. C'est une forme de cadrage qui permet d'identifier les missions de l'organisation, ainsi que les valeurs métiers, mais aussi le socle de sécurité sur lequel se repose votre posture en matière de cybersécurité. Le guide d'hygiène de l'ANSI par exemple. Et pour finir, les événements redoutés, comme par exemple la perte de données ou la perte de clients. Pour réaliser cet atelier, il y a le responsable de la sécurité de l'information, Le RSSI, qui guide les discussions. On y trouve aussi les représentants des métiers qui fournissent une vision des enjeux stratégiques de leur point de vue. C'est crucial d'obtenir cette vision des choses, mais aussi de challenger cette vision car elle y a un biais qui consiste à tout considérer comme critique à tout moment. Il y a aussi un expert en sécurité IT qui va aider à définir les exigences de sécurité ainsi que le socle déjà mis en œuvre. Atelier numéro 2, l'étude des menaces. L'objectif de cet atelier est d'identifier et de caractériser les menaces. On peut trouver par exemple comme source de menace un groupe de hackers dont le but sera essentiellement de chiffrer vos données et de demander ensuite une rançon. Un autre exemple peut être la concurrence elle-même, qui cherchera à exfiltrer vos informations les plus confidentielles. Par la suite de cet atelier, on va procéder à des couples, sources des risques et objectifs visés. Par exemple, un groupe de hackers aura très certainement beaucoup de motivation, d'autant plus si vous êtes profitable. Dans la grande majorité des cas, ils auront les ressources nécessaires et sont aussi de plus en plus actifs. Il y a donc une pertinence assez forte sur ce couple. En revanche, si l'on fait le même exercice avec la concurrence, la motivation sera peut-être importante mais les ressources ne seront peut-être pas au rendez-vous. Sans parler du fait que, en principe, l'espionnage n'est pas l'activité principale de vos clients. On pourra donc en conclure que ce couple sera peut-être moins pertinent. Les intervenants sont bien évidemment le RSSI, qui doit identifier et évaluer les sources des menaces, mais aussi le responsable opérationnel qui apporte une connaissance du terrain. Atelier numéro 3, étude des risques. Cet atelier est une illustration parfaite de la référence faite plus haut à l'art de la guerre et à l'importance de se connaître soi-même tout autant que son ennemi. Cet atelier a pour objectif d'identifier les parties prenantes, les plus vulnérables, et d'établir un scénario stratégique. qui représente les chemins d'attaque qu'une source de risque pourrait emprunter pour atteindre son objectif. En d'autres termes, pour chaque contrepartie, comme un fournisseur par exemple, capable d'interagir avec votre système d'information, vous devez évaluer votre dépendance à lui, c'est-à-dire est-ce que vous pouvez le remplacer facilement ou pas, son niveau de pénétration, si par exemple il possède des accès privilégiés à votre système d'information. Mais vous devez aussi prendre en compte les éléments qui mitigent le risque, comme par exemple sa maturité en matière de cybersécurité et aussi le niveau de confiance que vous lui octroyez. Le rapport entre ces valeurs, par exemple le niveau de dépendance multiplié par le niveau de pénétration, divisé par le produit de la maturité et de la confiance vous donnera une estimation du risque de cette contrepartie. Par ailleurs, toujours dans la construction des scénarios stratégiques, vous devez répartir les couples définis dans l'atelier 2. Évidemment, seuls les couples les plus pertinents seront sélectionnés. Prenons par exemple le cas du groupe des hackers. Dans cet atelier, il faudra définir un chemin d'attaque probable et analyser la gravité. Par exemple, en lançant une attaque directement sur votre système ou en passant par un prestataire. Dans ce cas, vous allez faire le lien avec l'étape précédente qui consiste à évaluer toutes les parties prenantes. Pour chacun de ces chemins d'attaque, vous allez évaluer les mitigations possibles et en déduire le risque résiduel. Ce principe de risque résiduel est assez facile à comprendre d'un point de vue intuitif. Prenons un exemple de la construction. Si vous devez construire un bâtiment dans une zone à forte activité sismique, Intrinsèquement, le risque sera plus élevé. Or, si votre bâtiment prend en compte dès sa conception ce risque, en utilisant une conception parasysmique, eh bien ce risque sera mitigé. Il ne restera plus que le risque résiduel. Il en va de même en cybersécurité. Si vous avez identifié un risque et que vous mettez en place des contre-mesures, vous allez diminuer le risque et obtenir un risque résiduel. Atelier numéro 4, l'élaboration des scénarios opérationnels. C'est un peu la clé de voûte de la méthodologie car vous allez reprendre tous les résultats de tous les ateliers précédents. Dans le cadre de l'étude des fonctions critiques que vous avez définies lors du premier atelier, vous avez défini les menaces internes et externes de votre organisation. Dans l'atelier 4, vous avez la possibilité de définir les scénarios les plus probants et bien évidemment d'en déduire des plans d'action possibles, c'est-à-dire concrètement définir le plan de traitement des risques. Et pour finir, l'atelier 5, qui est en fait le processus de contrôle de l'implémentation et de l'alignement de la stratégie. Celui-ci vous permettra de vérifier la mise en œuvre du plan de traitement des risques, mais aussi de réévaluer la situation en fonction d'un changement de contexte, l'apparition d'un nouveau fournisseur par exemple, ou d'un changement de technologie. En fait, il existe de multiples événements qui peuvent à chaque instant changer le profil de risque de votre organisation. Il est important, pour ne pas dire crucial, de détecter ce genre de signe. Nous avons vu en quelques minutes les grandes lignes dans la méthodologie à BIOCRM. Mais ce n'est qu'un court exemple, et si d'aventure cette méthode vous intéresse, je vous invite à consulter le site de l'ENSI. Le lien sera en commentaire de cet épisode. Encore une fois, ce n'est qu'un exemple. Il existe de multiples méthodes, et vous devez trouver celle qui conviendra le mieux à votre organisation. Pour terminer avec un petit commentaire sur le film Laissez de Samouraï, comme son nom l'indique, il y a beaucoup de scènes d'arts martiaux japonais. Il existe un concept très important dans ce domaine, le Ki-Kenta-Ichi. Le Ki-Kenta-Ichi est un concept fondamental des arts martiaux japonais, notamment en Kendo. Il peut être traduit littéralement comme l'unité de l'esprit, de l'épée et du corps Ce principe met l'accent sur l'importance de l'harmonie et de la synchronisation entre ces trois éléments lors de l'exécution d'une technique ou d'un mouvement, le Ki-Kenta-Yichi. Le Ki est l'esprit. Cela fait référence à la concentration mentale, à l'intention, à la détermination et à la préparation psychologique. Un esprit concentré et serein est essentiel pour anticiper et réagir efficacement dans une situation de combat. Ken, l'épée, représente la technique ou la compétence dans le maniement de l'épée. Cela implique non seulement la maîtrise des mouvements physiques, mais aussi la compréhension de la portée, du timing et de l'application appropriée de la technique. Tai, le corps, se réfère aux mouvements physiques et à la posture, à l'alignement et la coordination et à la forme physique. Un corps bien entraîné et agile est crucial pour exécuter les techniques de manière efficace et en harmonie avec l'esprit et l'épée. L'objectif est d'atteindre une synergie entre ces trois composantes, de sorte que l'esprit guide le corps et l'épée de manière fluide et naturelle. Dans les arts martiaux, ce concept est souvent considéré comme la clé pour atteindre le niveau compétence le plus élevé. En kendo par exemple, un coup réussi est reconnu non seulement par sa précision technique, mais aussi par la manifestation du kikantayichi, où l'intention, l'esprit, l'attaque, l'épée et le mouvement du corps sont parfaitement synchronisés. La synchronisation entre l'esprit, la technique et le mouvement n'est-il pas l'objectif que nous cherchons tous à atteindre en cybersécurité ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker et à le partager avec d'autres, à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort bien plus sérieux que ça.
Merci. Merci.
Description
Pourquoi la gestion des risques est-il crucial en cybersécurité.
Présentation rapide de l'approche EBIOS-RM (https://cyber.gouv.fr/publications/la-methode-ebios-risk-manager-le-guide).
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Et cette samouraï. Les Sept Samourais est un film d'Akira Kurosawa qui date de 1954. Ce film est culte à bien des égards. D'une part par les techniques employées par le réalisateur, comme l'utilisation de décors naturels, mais aussi sa technique narrative. C'est un film qui a très largement inspiré d'autres réalisateurs, comme Martin Scorsese, mais aussi George Lucas, pour l'astérie des Star Wars. Il avait même pensé à un temps donner le rôle d'Obi-Wan Kenobi à Toshiro Mifune, qui est l'acteur principal du film Les 7 samouraïs. D'ailleurs, d'autres réalisateurs, les frères Larry et Andy Vaskoski, y ont fait référence indirectement en donnant le nom de Mifune à l'un des personnages, le capitaine Mifune dans la série Matrix. Des années plus tard, armés d'un certain courage et d'une très grande force morale, les frères Larry et Andy Waskowski devinrent les sœurs Lana et Lily Waskowski. A l'instar des sœurs Waskowski, n'y a-t-il pas justement dans ce film une leçon à retenir quant à la résilience et à la force ? C'est toujours pareil, on n'est pas une grande connasse la mai 75, avec des seins comme des obus alors on est rien, on est que moche. Bah oui,
oui, oui,
moi j'ai des poils qui me poussent sous le maquillage et je suis un peu au tabac mais je réclame le droit de vivre, voilà ! Merde ! Elle n'est pas jeune celle-là, elle a foutu sa moumoute dans les huîtres ! Bien que ce film développe bien des thèmes, rappelons qu'il dure jusqu'à 3h27 dans certaines versions, ça laisse le temps de développer un certain nombre d'idées. Certains thèmes peuvent nous éclairer en matière de cybersécurité. Le film commence avec un événement qui va bouleverser tout un village. L'un de ses habitants a surpris une conversation entre deux voleurs indiquant leur intention de détrousser les habitants une fois les récoltes effectuées. Dès lors, les villageois se sont mis en quête de protection en demandant aux sept samouraïs de venir les protéger. Je vois dans ce drame, d'une certaine manière, la même situation en cybersécurité. Il faut défendre son organisation contre les menaces. Mais comment faire pour comprendre les menaces, ses propres forces et faiblesses, dans le but de mitiger les risques ? Eh bien la solution, c'est la gestion des risques informatiques. Et vous allez voir que bien souvent, ces méthodes s'inspirent indirectement d'un autre élément que l'on retrouve dans ce film, c'est l'art de la guerre de Sun Tzu. L'art de la guerre est un ancien traité militaire chinois datant du Vème siècle avant Jésus-Christ. Il est composé de 13 chapitres, chacun dédié à un aspect différent de la guerre. Le texte est considéré comme un guide classique de stratégie militaire, mais il est aussi largement appliqué dans des domaines tels que les affaires, la politique et la gestion quotidienne. En résumé, l'art de la guerre enseigne que la meilleure stratégie est de gagner sans combattre. Pour Sun Tzu, la guerre est plus une question de stratégie, de ruse et d'intelligence que de force brute. Ses enseignements ont traversé les siècles et continuent d'influencer non seulement la pensée militaire, mais aussi la stratégie dans d'autres domaines de la vie telles que la cybersécurité. Il existe bon nombre de méthodes pour évaluer et traiter les risques informatiques et gagner sans combattre, comme par exemple les bioCRM et ISO 27000, bien que ces deux approches sont convergentes à bien des égards, mais il en existe bien d'autres. En fait, il existe autant de méthodes que de points de vue par rapport aux risques. Certaines méthodes vont mettre l'accent sur la collaboration entre les acteurs, d'autres au contraire vont prendre en compte les aspects réglementaires. Une fois de plus, la méthode qui devrait être employée doit être alignée avec votre posture. Mais je pense que l'une des approches la plus holistique et très certainement la plus complémentaire par rapport au contrôle déjà mis en œuvre est très probablement eBiocRM. La méthode eBiocRM, développée par l'ANSI, est une approche structurée de gestion des risques liée à la sécurité de l'information. Elle se distingue par son accent sur la collaboration et l'implication de multiples acteurs. eBiocRM est structurée en cinq ateliers principaux, chacun ayant un objectif spécifique dans le processus de gestion des risques. Il faut comprendre que cette méthodologie présume que les concepts de base en matière de cybersécurité sont déjà sous contrôle. D'une certaine manière, cela évite de perdre du temps à discuter de la longueur des mots de passe ou de l'importance d'avoir des verrous sur les armoires. C'est un peu comme dans la pyramide de Maslow, dont les premières caisses sont dédiées à des besoins de base comme boire et manger, et un minimum de sécurité. Ce qui semble assez logique car cela ne sert à rien de vouloir se défendre quand vous n'êtes pas capable de subvenir à vos besoins les plus basiques.
Besoin de stabilité et de sécurité, maison dure, certitude d'avoir un salaire qui tombe à la fin du mois, une vie un minimum organisée.
Bon,
je crois que tout le monde est ok là-dessus ?
Non, pas tout à fait. Jean-Claude par exemple, il vit dans un camping-car. Excuse-moi Jean-Claude, mais on est là pour dire les choses, non ? Oui, mais c'est tout à fait provisoire. Et bon, c'est vrai que ça ne gâte rien à mon travail. Quand j'avais des infiltrations d'eau, je ne dis pas, j'étais peut-être un peu moins au taquet, mais depuis j'ai remastiqué, j'ai rassemblé mes énergies et j'ai...
Ok,
next step.
La famille, le besoin d'amour. Combien vous connaissez de gens au boulot qui sont totalement down à cause de leurs problèmes affectifs ?
Excusez-moi, mais ce que vous êtes en train de dire là, c'est que bon, un individu lambada qui aurait fait une mauvaise année avec des mauvais chiffres, est-ce que ça pourrait être lié au fait qu'il ait perdu sa baraque et que sa femme soit partie de Clégos ?
Eh bien, à votre avis, Jean-Claude ?
La méthode des biocérèmes se base d'une certaine manière sur l'un des chapitres de l'art de la guerre. En particulier celui consacré à la stratégie offensive dans lequel on peut lire. Ne pas se connaître soi-même et ne pas connaître son ennemi et vous perdrez toutes vos batailles. Se connaître soi-même et ne pas connaître son ennemi et vous perdrez une bataille sur deux. Se connaître soi-même et connaître son ennemi et vous gagnerez toutes vos batailles. L'essentiel de la méthode est là. Se connaître, connaître ses forces et ses faiblesses, et surtout connaître son ennemi et son mode opératoire. Pour ce faire, la méthode se décompose en plusieurs ateliers. Les biocérèmes sont donc une méthode d'analyse et de gestion de risques liée à la cybersécurité et se déroulent en cinq ateliers, chacun impliquant des acteurs clés avec des rôles et des responsabilités spécifiques. Voici un exemple de ces ateliers et des intervenants impliqués. Atelier numéro 1 Le contexte de sécurité L'objectif de cet atelier est de définir le contexte de sécurité de l'organisation. C'est une forme de cadrage qui permet d'identifier les missions de l'organisation, ainsi que les valeurs métiers, mais aussi le socle de sécurité sur lequel se repose votre posture en matière de cybersécurité. Le guide d'hygiène de l'ANSI par exemple. Et pour finir, les événements redoutés, comme par exemple la perte de données ou la perte de clients. Pour réaliser cet atelier, il y a le responsable de la sécurité de l'information, Le RSSI, qui guide les discussions. On y trouve aussi les représentants des métiers qui fournissent une vision des enjeux stratégiques de leur point de vue. C'est crucial d'obtenir cette vision des choses, mais aussi de challenger cette vision car elle y a un biais qui consiste à tout considérer comme critique à tout moment. Il y a aussi un expert en sécurité IT qui va aider à définir les exigences de sécurité ainsi que le socle déjà mis en œuvre. Atelier numéro 2, l'étude des menaces. L'objectif de cet atelier est d'identifier et de caractériser les menaces. On peut trouver par exemple comme source de menace un groupe de hackers dont le but sera essentiellement de chiffrer vos données et de demander ensuite une rançon. Un autre exemple peut être la concurrence elle-même, qui cherchera à exfiltrer vos informations les plus confidentielles. Par la suite de cet atelier, on va procéder à des couples, sources des risques et objectifs visés. Par exemple, un groupe de hackers aura très certainement beaucoup de motivation, d'autant plus si vous êtes profitable. Dans la grande majorité des cas, ils auront les ressources nécessaires et sont aussi de plus en plus actifs. Il y a donc une pertinence assez forte sur ce couple. En revanche, si l'on fait le même exercice avec la concurrence, la motivation sera peut-être importante mais les ressources ne seront peut-être pas au rendez-vous. Sans parler du fait que, en principe, l'espionnage n'est pas l'activité principale de vos clients. On pourra donc en conclure que ce couple sera peut-être moins pertinent. Les intervenants sont bien évidemment le RSSI, qui doit identifier et évaluer les sources des menaces, mais aussi le responsable opérationnel qui apporte une connaissance du terrain. Atelier numéro 3, étude des risques. Cet atelier est une illustration parfaite de la référence faite plus haut à l'art de la guerre et à l'importance de se connaître soi-même tout autant que son ennemi. Cet atelier a pour objectif d'identifier les parties prenantes, les plus vulnérables, et d'établir un scénario stratégique. qui représente les chemins d'attaque qu'une source de risque pourrait emprunter pour atteindre son objectif. En d'autres termes, pour chaque contrepartie, comme un fournisseur par exemple, capable d'interagir avec votre système d'information, vous devez évaluer votre dépendance à lui, c'est-à-dire est-ce que vous pouvez le remplacer facilement ou pas, son niveau de pénétration, si par exemple il possède des accès privilégiés à votre système d'information. Mais vous devez aussi prendre en compte les éléments qui mitigent le risque, comme par exemple sa maturité en matière de cybersécurité et aussi le niveau de confiance que vous lui octroyez. Le rapport entre ces valeurs, par exemple le niveau de dépendance multiplié par le niveau de pénétration, divisé par le produit de la maturité et de la confiance vous donnera une estimation du risque de cette contrepartie. Par ailleurs, toujours dans la construction des scénarios stratégiques, vous devez répartir les couples définis dans l'atelier 2. Évidemment, seuls les couples les plus pertinents seront sélectionnés. Prenons par exemple le cas du groupe des hackers. Dans cet atelier, il faudra définir un chemin d'attaque probable et analyser la gravité. Par exemple, en lançant une attaque directement sur votre système ou en passant par un prestataire. Dans ce cas, vous allez faire le lien avec l'étape précédente qui consiste à évaluer toutes les parties prenantes. Pour chacun de ces chemins d'attaque, vous allez évaluer les mitigations possibles et en déduire le risque résiduel. Ce principe de risque résiduel est assez facile à comprendre d'un point de vue intuitif. Prenons un exemple de la construction. Si vous devez construire un bâtiment dans une zone à forte activité sismique, Intrinsèquement, le risque sera plus élevé. Or, si votre bâtiment prend en compte dès sa conception ce risque, en utilisant une conception parasysmique, eh bien ce risque sera mitigé. Il ne restera plus que le risque résiduel. Il en va de même en cybersécurité. Si vous avez identifié un risque et que vous mettez en place des contre-mesures, vous allez diminuer le risque et obtenir un risque résiduel. Atelier numéro 4, l'élaboration des scénarios opérationnels. C'est un peu la clé de voûte de la méthodologie car vous allez reprendre tous les résultats de tous les ateliers précédents. Dans le cadre de l'étude des fonctions critiques que vous avez définies lors du premier atelier, vous avez défini les menaces internes et externes de votre organisation. Dans l'atelier 4, vous avez la possibilité de définir les scénarios les plus probants et bien évidemment d'en déduire des plans d'action possibles, c'est-à-dire concrètement définir le plan de traitement des risques. Et pour finir, l'atelier 5, qui est en fait le processus de contrôle de l'implémentation et de l'alignement de la stratégie. Celui-ci vous permettra de vérifier la mise en œuvre du plan de traitement des risques, mais aussi de réévaluer la situation en fonction d'un changement de contexte, l'apparition d'un nouveau fournisseur par exemple, ou d'un changement de technologie. En fait, il existe de multiples événements qui peuvent à chaque instant changer le profil de risque de votre organisation. Il est important, pour ne pas dire crucial, de détecter ce genre de signe. Nous avons vu en quelques minutes les grandes lignes dans la méthodologie à BIOCRM. Mais ce n'est qu'un court exemple, et si d'aventure cette méthode vous intéresse, je vous invite à consulter le site de l'ENSI. Le lien sera en commentaire de cet épisode. Encore une fois, ce n'est qu'un exemple. Il existe de multiples méthodes, et vous devez trouver celle qui conviendra le mieux à votre organisation. Pour terminer avec un petit commentaire sur le film Laissez de Samouraï, comme son nom l'indique, il y a beaucoup de scènes d'arts martiaux japonais. Il existe un concept très important dans ce domaine, le Ki-Kenta-Ichi. Le Ki-Kenta-Ichi est un concept fondamental des arts martiaux japonais, notamment en Kendo. Il peut être traduit littéralement comme l'unité de l'esprit, de l'épée et du corps Ce principe met l'accent sur l'importance de l'harmonie et de la synchronisation entre ces trois éléments lors de l'exécution d'une technique ou d'un mouvement, le Ki-Kenta-Yichi. Le Ki est l'esprit. Cela fait référence à la concentration mentale, à l'intention, à la détermination et à la préparation psychologique. Un esprit concentré et serein est essentiel pour anticiper et réagir efficacement dans une situation de combat. Ken, l'épée, représente la technique ou la compétence dans le maniement de l'épée. Cela implique non seulement la maîtrise des mouvements physiques, mais aussi la compréhension de la portée, du timing et de l'application appropriée de la technique. Tai, le corps, se réfère aux mouvements physiques et à la posture, à l'alignement et la coordination et à la forme physique. Un corps bien entraîné et agile est crucial pour exécuter les techniques de manière efficace et en harmonie avec l'esprit et l'épée. L'objectif est d'atteindre une synergie entre ces trois composantes, de sorte que l'esprit guide le corps et l'épée de manière fluide et naturelle. Dans les arts martiaux, ce concept est souvent considéré comme la clé pour atteindre le niveau compétence le plus élevé. En kendo par exemple, un coup réussi est reconnu non seulement par sa précision technique, mais aussi par la manifestation du kikantayichi, où l'intention, l'esprit, l'attaque, l'épée et le mouvement du corps sont parfaitement synchronisés. La synchronisation entre l'esprit, la technique et le mouvement n'est-il pas l'objectif que nous cherchons tous à atteindre en cybersécurité ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker et à le partager avec d'autres, à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort bien plus sérieux que ça.
Merci. Merci.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)