Scribd Logo
Importer

Bienvenue sur Scribd !

  • 26 vues

    La Norme ISO 27005 - Étude de Cas 2 - Mise en Conformité

    Transféré par

    Rabah Abbassi
    Cet extrait décrit les étapes de la méthode EBIOS pour l'analyse des risques liés à la sécurité de l'information d'une entreprise fictive. Il présente les différents ateliers requis pour le cadrage, l'identification des sources de risques, la construction de scénarios stratégiques et opérationnels.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    La Norme ISO 27005 - Étude de Cas 2 - Mise en Conformité

    Transféré par

    Rabah Abbassi
    26 vues5 pages
    Cet extrait décrit les étapes de la méthode EBIOS pour l'analyse des risques liés à la sécurité de l'information d'une entreprise fictive. Il présente les différents ateliers requis pour le cadrage, l'identification des sources de risques, la construction de scénarios stratégiques et opérationnels.

    Titre original

    La norme ISO 27005 - Étude de cas 2 - Mise en conformité

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Cet extrait décrit les étapes de la méthode EBIOS pour l'analyse des risques liés à la sécurité de l'information d'une entreprise fictive. Il présente les différents ateliers requis pour le cadrage, l'identification des sources de risques, la construction de scénarios stratégiques et opérationnels.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    26 vues5 pages

    La Norme ISO 27005 - Étude de Cas 2 - Mise en Conformité

    Transféré par

    Rabah Abbassi
    Cet extrait décrit les étapes de la méthode EBIOS pour l'analyse des risques liés à la sécurité de l'information d'une entreprise fictive. Il présente les différents ateliers requis pour le cadrage, l'identification des sources de risques, la construction de scénarios stratégiques et opérationnels.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 5

    Imprimé

    E x t r a i ts du livre 54 €

    La norme ISO 27005


    Ajouter au panier
    Gestion des risques liés à la sécurité de l'information
    Jean-Charles PONS
    Toute reproduction de ces
    commerciales, est
    Tous droits rese

    1 avis

    Revenir à la page d'achat du livre

    Étude de cas 2 - Analyse de risques

    Introduction
    Dans ce chapitre, nous ferons l’analyse de risques d’une entreprise fictive basée sur la méthode EBIOS
    que nous avons vu dans le chapitre Méthodes.

    Contexte
    Dans cette étude de cas, nous parlerons de la société LACHEN, entreprise dans le secteur de la mode
    depuis les années 2000. Créée par deux frères passionnés de mode, elle a toujours gardé sa place
    certes discrète dans le secteur, mais surtout respectée. Il y a toujours eu une symbiose parfaite entre les
    deux frères Serge et Patrick : l’un est le chef d’entreprise, le comptable, toujours dans les chiffres, à
    regarder vers le futur et à gérer les transactions financières. L’autre, le créatif, le rêveur, l’avant-gardiste
    et le créateur, l’artiste qui ne touche pas aux chiffres et qui pense art plutôt que profit. En somme, un
    binôme qui ne peut fonctionner séparément, ils se complètent à la perfection et c’est grâce à cette
    association que leur succès a été et sera là pour encore bien des années.
    L’entreprise possède un rayonnement national et mondial depuis peu, elle compte 100 salariés et son
    siège social se situe à Paris, dans le 7e arrondissement. Le chiffre d’affaires en boutique est élevé mais
    depuis la pandémie, les ventes s’opèrent plutôt en ligne, aussi bien chez des revendeurs que sur leur
    site officiel. La société a su s’adapter aux contraintes de cette période et a permis à ses employés de
    bénéficier de 3 jours de télétravail par semaine, le but étant de privilégier les bureaux pour des rendez-
    vous importants comme recevoir les clients VIP au show room et maintenir l’esprit d’équipe de
    l’entreprise.
    En quelques jours, la société a dû équiper en matériel...

    Ceci est un extrait du livre.


    Acheter le livre Je m'abonne
    Pour poursuivre votre lecture...

    Atelier 1 : cadrage et socle de sécurité


    Dans un premier temps, et comme le veut l’atelier 1 de la méthode EBIOS, nous définirons le cadre de
    l’étude, son périmètre métier et technique, les évènements redoutés ainsi que le socle de sécurité. Pour
    ce faire, nous convierons à cet atelier la direction, les métiers, le RSSI et le DSI.

    1. Le cadre
    Nous débuterons cet atelier en définissant l’objectif de l’organisation, à savoir mettre en place un
    processus de management des risques liés à la sécurité de l’information. La seconde étape consistera à
    identifier tous les intervenants aux différents ateliers et définir leurs rôles et leurs responsabilités. Pour
    ce faire, nous utiliserons un tableau de type RACI (Réalise, Approuve, Consulté, Informé). Ce qui nous
    donne :

    Directeur : Directeur : RSSI DSI Gestionnaire du Équipes Métiers


    Serge Patrick risque techniques

    Atelier 1 A C C C R C C

    Atelier 2 C I A C R C C

    Atelier 3 I I A C R C C

    Atelier 4 I I A C R C I

    Atelier 5 A C R C R R C

    Pour finir cette première étape, la définition du cadre temporel est essentielle, et après délibération, les
    membres de l’atelier sont arrivés à un consensus. Au vu de l’urgence de la situation, l’entreprise
    souhaite que le cycle opérationnel soit d’une durée de 6 mois, et le cycle stratégique soit de 2 ans. Cela
    signifie que dans 6 mois, les risques identifiés lors de cette étude devront être traités au maximum. Le
    cycle stratégique de 2 ans permet de guider l’organisation sur le long terme et ainsi assurer son avenir
    dans...

    Ceci est un extrait du livre.


    Acheter le livre Je m'abonne
    Pour poursuivre votre lecture...

    Atelier 2 : sources de risque


    Lors de l’atelier 2 de la méthode EBIOS, nous définirons les sources de risque (SR) et leurs objectifs
    visés (OV). Il s’agira ensuite de les évaluer pour ne retenir que les plus pertinents. Pour ce faire, nous
    convierons à cet atelier la direction, les métiers et le RSSI.

    1. Identifier les sources de risques et les objectifs visés


    Selon l’ANSSI, pour mener l’atelier, vous devez vous poser les questions suivantes :

    Quelles sont les sources de risque susceptibles de porter atteinte aux missions de l’organisation
    ou à des intérêts supérieurs (sectoriels, étatiques, etc.) ?
    Quels peuvent être les objectifs visés par chaque source de risque en matière d’effets
    recherchés ?

    Il s’agira ensuite de générer des couples SR/OV dans un tableau comme celui-ci :

    Sources de risque Objectifs visés

    Hacktiviste Saboter la production d’articles de mode car l’entreprise utilise des produits
    issus de l’exploitation animale

    Espionnage Voler des informations en espionnant les créations en vue d’obtenir un


    avantage concurrentiel.

    Hacktiviste Divulguer au grand public des informations sur la fabrication des articles pour
    discréditer l’entreprise.

    Crime organisé Chiffrement des données par la présence d’un rançongiciel sur les serveurs
    d’exploitation dans le but d’extorquer des fonds à l’entreprise.

    Employé vengeur Un employé licencié cherche à se venger de l’entreprise en divulguant des


    informations confidentielles.

    2. Évaluer les couples SR/OV


    La pertinence des couples SR/OV créés lors de l’étape précédente se doit d’être évaluée. Les critères...
    Ceci est un extrait du livre.
    Acheter le livre Je m'abonne
    Pour poursuivre votre lecture...

    Atelier 3 : scénarios stratégiques


    Cet atelier a pour objectif d’identifier les parties prenantes les plus vulnérables et d’établir des scénarios
    stratégiques, qui représentent les chemins d’attaques qu’une source de risque pourrait emprunter pour
    atteindre son objectif. Il constitue une étude préliminaire du risque qui nécessite l’intervention des
    métiers, du RSSI et d’architectes fonctionnels.

    1. Construire la cartographie de menace numérique de l’écosystème et


    sélectionner les parties prenantes critiques
    Les parties prenantes critiques sont celles susceptibles de constituer un vecteur d’attaque pertinent.
    Cela peut se faire via un accès numérique privilégié, une vulnérabilité ou une exposition. Ces failles sont
    les plus utilisées par les sources de risques. L’objectif de cet atelier sera donc de les identifier et de les
    inclure dans des scénarios stratégiques.
    D’après l’ANSSI, le niveau de menace que représentent les parties prenantes se calcule ainsi :

    Cette formule est bien sûr générique et peut être adaptée à nos besoins. Nous la garderons telle quelle
    pour les besoins de notre exemple.
    Ces quatre paramètres s’évaluent en se basant sur le tableau ci-dessous, proposé également par
    l’ANSSI :

    Dépendance Pénétration Maturité Cyber Confiance

    1 Relation non nécessaire Pas d’accès ou accès Des règles d’hygiène


    aux fonctions avec privilèges de type informatique sont
    stratégiques. utilisateur à des appliquées
    terminaux utilisateurs ponctuellement...
    (postes de travail,
    téléphones mobiles, etc.).

    Ceci est un extrait du livre.


    Acheter le livre Je m'abonne
    Pour poursuivre votre lecture...

    Atelier 4 : scénarios opérationnels


    L’objectif de cet atelier est d’élaborer des scénarios opérationnels, évalués selon leur vraisemblance. Il
    ressemble à l’atelier 3 mais se concentre sur les biens supports.
    Les participants à cet atelier seront le RSSI, le DSI, ainsi qu’un spécialiste en cybersécurité.

    1. Élaborer les scénarios opérationnels


    Les pirates informatiques exploitent les vulnérabilités pour parvenir à leurs fins. Elles peuvent être
    informatiques, organisationnelles ou physiques. Nous construirons nos scénarios opérationnels en nous
    basant sur les scénarios stratégiques de l’atelier 3 ainsi que la cartographie du système d’information.
    La méthode EBIOS décompose la séquence de l’attaque en 4 phases qui sont : Connaître, Rentrer,
    Trouver et Exploiter. Elle préconise la création de graphes ou de schémas d’attaque pour représenter les
    scénarios, mais un simple tableau est tout à fait envisageable.
    Les scénarios identifiés dans l’atelier 3 peuvent ainsi se décomposer de la sorte :

    Scénario 1

    Sources de risque Objectifs visés


    Scénario 1

    Hacktiviste Saboter la production d’articles de mode car l’entreprise utilise des produits issus de
    l’exploitation animale

    Séquence de l’attaque

    Connaître Rentrer Trouver Exploiter

    Reconnaissance Intrusion via un Reconnaissance Sabotage logiciel ou


    externe sources canal d’accès interne réseaux physique de la chaîne
    ouvertes préexistant bureautique & IT d’exploitation
    Corruption d’un Employé
    personnel de connaissant les lieux
    fabrication
    Corruption d’un
    employé

    Un hacktiviste...

    Ceci est un extrait du livre.


    Acheter le livre Je m'abonne
    Pour poursuivre votre lecture...

    Atelier 5 : traitement du risque


    Ce dernier atelier a pour objectif de synthétiser les scénarios de risques identifiés lors des étapes
    précédentes et de définir une stratégie de traitement des risques identifiant ainsi les mesures de sécurité
    à mettre en place pour réduire le risque résiduel.
    Les services devant participer à cette étape sont la direction, le DSI, le RSSI et les métiers.

    1. Réaliser une synthèse des scénarios de risque


    En nous basant sur la gravité des scénarios et sur leurs vraisemblances, nous sommes en mesure de
    produire une représentation des risques sur une grille et ainsi permettre la priorisation des risques.

    R1 : Un hacktiviste s’introduit dans le réseau de l’entreprise par un canal existant et sabote


    logiciellement la chaîne de production.
    R2 : Un hacktiviste corrompt un employé qui sabote physiquement la chaîne de production.
    R3 : Une entreprise concurrente s’introduit dans le réseau de l’entreprise pour y collecter des données
    secrètes et y crée et maintient un canal d’exfiltration des données.
    R4 : Un hacktiviste s’introduit dans le réseau du prestataire publicitaire et obtient l’accès aux réseaux
    sociaux de l’entreprise pour y diffuser des informations secrètes.
    R5 : Des personnes malveillantes lancent une campagne d’hameçonnage auprès du service de
    comptabilité afin de pénétrer dans le réseau de l’entreprise pour y installer un rançongiciel.

    2. Décider de la stratégie de traitement des risques et définir les mesures


    de sécurité
    L’ANSSI nous propose les critères d’acceptation suivants :

    Niveau...

    Vous aimerez peut-être aussi