Présentation
EnglishRÉSUMÉ
Cet article traite de la manière dont les entreprises gèrent le risque cyber. En abordant à la fois les parties prenantes internes et externes de l’organisation face à ce risque, il fournit différents exemples et éléments de retours d’expérience confirmant la nécessité d’une gestion globale des risques. Il détaille les types de menaces et de vulnérabilités auxquelles sont exposées les organisations, exemples illustratifs à l’appui, et aborde de manière précise les éléments de maîtrise des risques possibles (programme d’assurance, programme d’audit, contrôles, mesures de sécurité).
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Nicolas DUFOUR : Docteur en sciences de gestion, - Professeur des universités associé, CNAM LIRSA, - Risk manager secteur assurance, ANTONY France
-
Matthieu BARRIER : Expert en cyber sécurité, MB CONSEIL, Paris France
INTRODUCTION
C omment les cyber-risques saturent l’actualité ?
La notion de cyber-risques peut se définir comme l’ensemble des menaces exploitant l’espace informatique et Internet afin de profiter des vulnérabilités des organisations pour s’introduire dans leurs systèmes et ainsi récupérer leurs actifs financiers ou immatériels (données sensibles et personnelles, par exemple). Le risque cyber a souvent des conséquences médiatiques pour les entreprises victimes, du fait qu’il se traduit par des impacts financiers, réputationnels, réglementaires, voire de discontinuité d’activité. De nombreux cas d’entreprises l’illustrent (Yahoo, Uber, Sony PlayStation Network, EasyJet, British Airways, MMA). Aucune entreprise, ni aucun secteur, ne peut se considérer comme à l’abri de ces risques souvent considérés comme externes et subis. Le propos de cet article est d’envisager les acteurs abordant ce sujet, mais aussi les impacts de ce risque ainsi que les mesures de gestion des risques associées.
Le cyber-risque peut se définir comme l’ensemble des risques liés aux menaces d’intrusion externes ou de vulnérabilités et malveillances internes utilisant les canaux de transmission de données Internet et les périphériques et technologies associés (espace partagé de stockage de données, messageries d’entreprises, spot Wi-Fi). L’objectif de ces intrusions est le plus souvent le vol d’informations, de données critiques pour la continuité d’activité de l’entreprise, mais aussi sensibles pour les clients et salariés de ces dernières (données bancaires, données personnelles, données de santé), permettant l’extorsion de sommes d’argent.
Toutes les entreprises sont, depuis le début des années 2010, susceptibles de faire face à une cyberattaque, mais lorsque cette dernière se produit : comment réagir ensuite ? Répondre à cette question suppose de bien appréhender les enjeux réputationnels, de continuité d’activité, mais aussi financiers et de pertes d’exploitation associés à ce risque. Afin d’aborder ce risque, nous détaillerons successivement dans cet article l’identification des cybermenaces, la détection et l’analyse de ce risque, puis nous aborderons les acteurs et les différents types de moyens de maîtrise.
Les articles [SE 2 500] et [SE 2 501] traitent de la nécessité de mettre en œuvre une approche complète de sécurité informatique, abordant notamment une synthèse du risque informatique ou l’exposition au risque de virus informatique et une synthèse des méthodes d’analyse [H 5 440] et [H 5 842]. D’autres articles se centrent sur l’importance de la protection des données dans le domaine informatique [H 5 455].
Le présent article se concentre plus particulièrement sur le risque cyber, ses menaces et les éléments de maîtrise des risques associés. Son objectif est de faire comprendre l’écosystème (acteurs internes et externes à l’organisation abordant le risque cyber), les enjeux de gestion globale du risque à prendre en compte et la diversité des moyens à mettre en œuvre en prévention, détection et traitement du risque. Il vise également à apporter des pistes de réflexion au regard d’impacts et de retours d’expérience.
MOTS-CLÉS
VERSIONS
- Version archivée 1 de juin 2021 par Nicolas DUFOUR, Matthieu BARRIER
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Menaces et vulnérabilités : protection des sites industriels > Maîtrise des risques cyber - Identification, détection, analyse, traitement et transfert de risque > Différents types de moyens de maîtrise
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
5. Différents types de moyens de maîtrise
Cette section détaille les éléments de maîtrise des risques usités face aux risques cyber. Elle constitue un complément aux éléments précités et permet d’illustrer davantage les éléments de maîtrise complémentaires à mettre en œuvre (transfert du risque via l’assurance, programme d’audit, formation-sensibilisation).
5.1 Dispositif DICP
DICP
Le DICP est une méthode formalisée utilisée pour identifier les risques cyber, mais aussi recenser et évaluer les dispositifs de contrôle et de sécurité d’une organisation.
• Disponibilité : l’atteinte à la disponibilité est le fait que les systèmes de données ne sont pas disponibles pour une utilisation autorisée.
• Intégrité : la modification des données est un risque majeur dans les cas de cyberattaques. L’intégrité des données, soit le degré de confiance associé à leur contenu (exhaustivité, exactitude) est compromis.
• Confidentialité : le critère de confidentialité implique que les informations ne sont partagées qu’auprès des utilisateurs autorisés. Cela suppose d’avoir préalablement défini des niveaux de confidentialité et une échelle de confidentialité (par exemple, une base de données clients révélée au public).
• Preuve : le critère de preuve ou d’auditabilité implique que chaque action de sécurité soit tracée (traitement des alertes, des vulnérabilités, des menaces), des correctifs appliqués, renforcement des moyens de sécurité). Tous les éléments du dispositif de sécurité, y compris la politique de sécurité des systèmes d’information (PSSI), sont traçables, et auditables, par des tests spécifiques (dont tests de conformité pour la PSSI).
Exemple d’échelle de confidentialité
Public : tout utilisateur en dehors et au sein de l’organisation peut avoir accès à l’information.
Interne : seuls les collaborateurs internes de l’organisation peuvent accéder à une information.
Confidentiel : seul un groupe limité d’acteurs au sein de l’organisation a accès à...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Différents types de moyens de maîtrise
BIBLIOGRAPHIE
-
(1) - BARR (A.), RAIMBAULT (C.A.) - Risques émergents, un pilotage stratégique. - Economica (2010).
-
(2) - DARSA (J.-D.), DUFOUR (N.) - Le coût du risque, un enjeu majeur pour l’entreprise. - Dd. Gereso (2014).
-
(3) - DIARD (C.), DUFOUR (N.) - Cybersurveillance des salariés : quels risques pour l’entreprise ? - Face au risque [en coll. DIARD (C.)] (2019) https://www.faceaurisque.com/2019/01/14/ cybersurveillance-des-salaries-quels-risques-pour-lentreprise/
-
(4) - MIGNOT (V.) - Usurpation d’identité : Tracfin ciblée par des fraudeurs. - Moneyvox (2015) https://www.moneyvox.fr/actu/52958/ usurpation-identite-tracfin-ciblee-par-des-fraudeurs
-
(5) - FOUCAULT-DUMAS (C.) - GitHub résiste à la plus grave attaque DDoS de tous les temps. - ICT journal (2018) https://www.ictjournal.ch/etudes/2018-03-02/github-resiste-a-la-plus-grave-attaque-ddos-de-tous-les-temps
-
...
DANS NOS BASES DOCUMENTAIRES
Hack this site http://www.hackthissite.org
Newbie Contest http://www.newbiecontest.org
ANSSI (Agence nationale de la sécurité des systèmes d’information) https://www.ssi.gouv.fr/
Guides des bonnes pratiques de l’ANSSI https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/
HAUT DE PAGE
ISO/IEC 27001:2013 (2013), Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences
ISO/IEC 27002:2013 (2013), Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information
HAUT DE PAGE
Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive