Parcours Augmenté Cyber-Risk & Competitivity

Définir une stratégie

• Prendre en compte au plus haut niveau
• Définir les orientations
• Définir les moyens alloués
• Établir une cartographie fonctionnelle

Piloter la Cybersécurité

• Définir l’organisation et les responsabilités
• Établir la documentation
• Intégrer la cybersécurité dans les projets
• Définir et utiliser des indicateurs
• S’inscrire dans une démarche d’amélioration continue

Définir une stratégie de communication

• Communiquer en interne et sensibiliser le personnel
• Communiquer vers l’extérieur lors des crises

Disposer des ressources humaines permettant la cybersécurité

• Responsabiliser le personnel
• Gérer les autorisations du personnel
• Disposer des compétences nécessaires dans la durée

Inclure la cybersécurité dans les contrats

• Protéger les biens des clients et des partenaires
• Maîtriser ses achats
• Choisir des prestataires de confiance
• Maîtriser ses interfaces
• Connaître ses obligations légales et réglementaires

Analyser les risques cyber relatifs à ses systèmes

Homologuer ses systèmes d’information

Utiliser des composants sécurisés

•  S’assurer du développement de confiance de ses composants
• Utiliser des composants qualifiés
• Configurer correctement ses composants
• Utiliser des services cryptographiques à l’état de l’art et protéger ses clés
• Garantir la robustesse des authentifiants et mots de passe

Protéger physiquement ses systèmes d’information

• Garantir la disponibilité des servitudes
• Résister aux événements naturels, incidents et attaques physiques
• Protéger les accès physiques
• Contrôler l’accès physique des personnes
• Se prémunir contre les risques électromagnétiques

Protéger logiquement ses systèmes d’information

• Se prémunir contre les codes malveillants
• Protéger les réseaux
• Protéger les équipements
• Protéger les données
• Protéger les supports de données
• Contrôler les accès logiques
• Protéger l’administration des systèmes
• Garantir la non-répudiation des actions

Renforcer la vigilance et la protection

Préparer le dispositif de gestion des incidents

• Disposer d’une chaîne opérationnelle de gestion des incidents
• Collecter les événements de sécurité
• Détecter les événements anormaux

Analyser et qualifier les incidents 

• Reconstituer le scénario des incidents, les vecteurs et leur étendue
• Évaluer l’impact et le périmètre de l’incident sur l’activité

Réagir aux incidents 

• Organiser la réaction
• Préparer des mesures de réaction
• Conduire la réaction
• Réaliser un retour d’expérience

Garantir la continuité de service

• Se préparer à un sinistre
• Garantir la résilience de ses systèmes
• Réagir face à un sinistre

Procéder à des audits et des vérifications

• Identifier les écarts au référentiel
• Évaluer par rapport à l’état de l’art
• Rechercher des traces de compromission
• Corriger les problèmes identifiés
• Mener des audits de sites internationaux

Organiser des exercices et des entraînements 

Se coordonner avec les autorités

• Être sensibilisé aux risques
• Informer les autorités
• Activer des mesures spécifiques

Permettre l’implication étatique lors de la gestion des incidents 

• Mettre en œuvre les plans gouvernementaux
• Partager les informations sur les incidents