2021-09!22!23 Club Dai Booster Presentation Anssi
2021-09!22!23 Club Dai Booster Presentation Anssi
2021-09!22!23 Club Dai Booster Presentation Anssi
-
Panorama des natures de risques et de l'évolution
des mécanismes de défense
Sommaire
Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber
2
Sommaire
Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber
3
Un peu de sémantique
4
Quelques exemples de cyberattaques
célèbres
5
Introduction
ANSSI
Autorité nationale en matière de cybersécurité et cyberdéfense
3 missions Bénéficiaires
Prioritairement
Prévention et • Administrations
anticipation • Opérateurs d’importance
vitale (OIV)
Egalement
• Opérateurs de services
essentiels (OSE)
• Entreprises de services
Information et numériques (ESN)
Défense
sensibilisation • Certains acteurs privés
sensibles
6
Division Management de la sécurité
numérique
Sous-direction Stratégie
7
Bureau Management des Risques Cyber
Protéger les
institutions et les • Contribuer à l’harmonisation des SN classifiés des institutions
informations de l’UE et • Contribuer à la taskforce de la PFUE
de l’OTAN
8
Sommaire
Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber
9
La menace cyber : panorama 2020
10
Activités opérationnelles
759 incidents
par an par an
6 incidents majeurs
1 800 12
11
Vision ANSSI
12
Actualités de la cybersécurité (CERT-FR)
13
Enjeux liés à la sécurité et la
souveraineté du numérique
Dominance et monopole de l’économie numérique par quelques géants
du Net
14
Sommaire
Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber
15
Comment gérer le risque cyber ? Par où
commencer ?
2. Comprendre et s’organiser
16
1. Prendre la mesure du risque
numérique
17
Des organisations en pleine transformation
numérique
• Une transformation numérique qui touche tous les secteurs d’activité, les entreprises et les
administrations
… et d’affrontements
20
Définir un cadre de gouvernance
21
Comprendre son activité numérique
22
Connaître son seuil d’acceptation des risques
et quantifier les impacts
23
Construire ses pires scénarios de risque
CARTOGRAPHIE DE LA MENACE CYBER SCENARIOS STRATEGIQUES
25
25
Mettre en place des polices d’assurances
adaptées
26
3. Bâtir son socle
27
Placer l’humain au centre du jeu
ATTEINDRE
PROTECTION DÉFENSE
GOUVERNANCE
31
4. Piloter et valoriser
Finalités :
Amélioration continue et pilotage de la gestion des risques
Développement de l’avantage compétitif
Renforcement de la confiance numérique dans l’écosystème et la
supply chain
32
Engagement: de l’adhésion à l’action
L’autorité
Les compétences
Les moyens
• Les moyens doivent être fournis aux collaborateurs et parties prenantes pour acomplir leurs
activités
33
Agilité: de l’amélioration continue et la
performance
34
Valoriser la cyber-sécurité
Investissements de sécurité
35
Sommaire
Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber
36
Fiabilité cyber de l’écosystème
37
Sommaire
Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber
38
Impliquer toutes les lignes de défense
39
Focus sur la résilience les étapes d’une
crise d’origine cyber
Semaines / Mois
Remettre les SI en état de marche tout en augmentant la protection pour
RECONSTRUCTION ET éviter de subir une nouvelle attaque avec le même mode opératoire
RÉTABLISSEMENT DES SERVICES Restaurer les applications et données critiques pour reprendre progresser
les activités
Mois
Surveillance des systèmes d’information pour détecter une nouvelle
SURVEILLANCE intrusion
ET SORTIE DE CRISE Débriefing de la crise – plan d’actions post-crise
40
Pourquoi une résilience numérique
41
Focus sur la phase de stabilisation
• Supprimer l’ensemble des • Protéger ce qui a de la • Initier une gouvernance • Préparer la crise
logiciels malveillants, portes valeur (i.e. données, de la SSI dans une
dérobées de l’attaquant applications) démarche d’amélioration • Initier une supervision de
continue circonstance
• Minimiser les conséquences • Assurer une défense en
de l’intrusion profondeur • Vérifier les processus de • Etre en mesure de détecter
conformité et de contrôle les tentatives de retour de
• Mettre en place de moyens l’attaquant
d’administration sécurisés • Adapter son effort en
fonction de ce qu’il faut
protéger en priorité 42
Sommaire
Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber
43
La place incontournable des directions
financières et marchés dans la sécurité cyber
Finance
Rôle
Contrôle primordiale
sur la sélection Clauses de sécurité
interne d’acteurs Souveraineté
cyber
Maturité cyber
Juridique
44
La cyber… C’est la responsabilité de tous
« Les espèces qui survivent ne sont pas les espèces les plus fortes, ni les plus intelligentes,
mais celles qui s'adaptent le mieux aux changements »
Charles Darwin
45
Campus cyber
46