Rencontre du 22 et du 23 septembre 2020

-
Panorama des natures de risques et de l'évolution
des mécanismes de défense
 Sommaire

 Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
 La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
 Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber

2
 Sommaire

 Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
 La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
 Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber

3
 Un peu de sémantique

> Sécurité informatique (années 80s-90s)

Aspects uniquement techniques.

> Sécurité des systèmes d’information (90s-00s)

Aspects humains et organisationnels en plus.

> Sécurité de l’information (2000s)

Mise en avant du véritable élément à protéger.

> Cybersécurité (2010)

Prise en compte de la menace en provenance d’Internet.

> Sécurité numérique ou sécurité du numérique (2015)

Prise en compte de l’aspect central du numérique.

4
Quelques exemples de cyberattaques
célèbres

5
 Introduction

ANSSI
Autorité nationale en matière de cybersécurité et cyberdéfense

3 missions Bénéficiaires
Prioritairement

Prévention et • Administrations
anticipation • Opérateurs d’importance
vitale (OIV)

Egalement

• Opérateurs de services
essentiels (OSE)
• Entreprises de services
Information et numériques (ESN)
Défense
sensibilisation • Certains acteurs privés
sensibles

6
 Division Management de la sécurité
numérique
Sous-direction Stratégie

Management des risques

Management de la sécurité numérique Management des crises

Mettre la cybersécurité au cœur Ingénierie du cadre normatif et réglementaire en

de la transformation numérique sécurité du numérique
des organisation

7
 Bureau Management des Risques Cyber

Assurer le rôle • Accompagnement, maîtrise et cohérence d’appréciation du

risque
d’autorité • Suivi et accompagnement des grands projets nationaux
d’homologation • Démultiplication de l’action de management du risque

Protéger les
institutions et les • Contribuer à l’harmonisation des SN classifiés des institutions
informations de l’UE et • Contribuer à la taskforce de la PFUE
de l’OTAN

Développer le cadre de • Promouvoir EBIOS-Risk Manager

• Définir un cadre de délégation
management du risque • Influencer les normes et la réglementation
cyber • Refonte de la doctrine d’homologation

8
 Sommaire

 Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
 La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
 Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber

9
La menace cyber : panorama 2020

10
 Activités opérationnelles

Signalements Opérations Activité 2020

d’incidents de cyberdéfense

3 000 20 2287 signalements

759 incidents
par an par an
6 incidents majeurs
1 800 12

11
 Vision ANSSI

Eléments constitutifs d’une cybermenace

• Capacités
• Intention
• Opportunité

Tendances et points d’attention actuels

• Industrialisation et professionnalisation de l’écosystème
• Attaque sur la supplychain
• Augmentation de la surface

Ne pas oublier les menaces persistantes

• Espionnage
• Prépositionnement
• Sabotage
• Déstabilisation

12
 Actualités de la cybersécurité (CERT-FR)

SolarWinds, MS Exchange, Colonial Pipeline

MONDE – Publication d'une étude sur les problèmes de mauvaises ASIE - L'assureur AXA victime d'une attaque par rançongiciel
configurations des interfaces nuagiques Plusieurs branches de l'assureur AXA, en Thaïlande, en Malaisie, à Hong-Kong
Publiée par Aqua Security, cette étude s'appuie sur les données des clients et aux Philippines ont été la cible du rançongiciel Avaddon. Les opérateurs
internes de l'année 2020 et révèle que les entreprises continuent de subir les affirment avoir dérobé 3To de données sensibles concernant les opérations
conséquences de leurs actifs en nuage mal configurés sous la forme de d'Axa en Asie. Selon les attaquants, les données siphonnées contiendraient
violations de données. Ces mauvaises configurations ont tendance à ouvrir les rapports médicaux de clients d'AXA, des cartes d'identité, des relevés de
des failles de sécurité dans l'ensemble de l'environnement en nuage d'une comptes bancaires, des formulaires de réclamation, des factures ou encore
entreprise, affectant les conteneurs de stockage, les politiques de gestion des contrats. […]
des identités et des accès, le chiffrement des données, la conteneurisation
et les services derrière les ports Internet ouverts.
MONDE – Utilisation abusive de l'outil Microsoft Build pour diffuser
des maliciels voleurs de mots de passe
Dans le cadre d'une campagne en cours, des attaquants abusent du moteur
MONDE - Le groupe DarkSide annonce son démantelement de développement de Microsoft (MSBuild) pour déployer des outils d'accès à
Le groupe d'attaquants DarkSide, à l'origine de la cyberattaque contre la distance (RAT) et des maliciels voleurs d'informations dans la mémoire vive.
société Colonial Pipelines (voir revue de presse du 11/05/2021), a annoncé MSBuild (msbuild.exe) est une plateforme de développement légitime […],
son démantèlement. Les attaquants affirment avoir reçu des pressions de la pour la création d'applications. L'objectif est de siphonner des informations
part du FBI. […]. Quelques jours plus tôt, le président américain Joe Biden d'identification et d'autres informations sensibles. Les attaquants ont
avait annoncé vouloir nuire au fonctionnement du groupe par tous les commencé à déployer les charges utiles Remcos RAT, Quasar RAT et RedLine
moyens. Pour rappel, la société Colonial Pipelines avait été contrainte de Stealer dès avril 2021 dans le cadre d'attaques, toujours actives au 11 mai
payer une rançon de 75 Bitcoins, soit environ cinq millions de dollars 2021. […]
américains […].

MONDE - RaidForums bannit à son tour les annonces liées aux

FRANCE – Atalian victime d'un rançongiciel rançongiciels
L'entreprise française Atalian, fournissant des services de nettoyage, de Le site internet RaidForums bannit à son tour les annonces liées aux
sécurité, d’accueil et de maintenance de bâtiments est victime d'un rançongiciels, à l'instar des sites XSS et Exploit (voir revue de presse du
rançongiciel depuis le 10 mai 2021. Le nom du rançongiciel et des détails sur 17/05/2021). Après l'attaque par rançongiciel à l'encontre des systèmes
l'attaque n'ont pas été communiqués. Atalian a fait appel à des partenaires d'information de la société Colonial Pipelines, les administrateurs de ces
externes pour remédier à la situation. plateformes ont décidé de bannir les publications liées aux rançongiciel en
tant que service (RaaS). L'objectif de ces administrateurs serait d'éviter une
médiatisation trop importante de leurs sites Internet.

13
 Enjeux liés à la sécurité et la
souveraineté du numérique
 Dominance et monopole de l’économie numérique par quelques géants
du Net

 La puissance de la norme et de l’extraterritorialité des lois

– Règles et sanctions extraterritoriales
– Droits de douane aux importations

 Autonomie stratégique  enjeu de sécurité nationale

14
 Sommaire

 Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
 La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
 Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber

15
 Comment gérer le risque cyber ? Par où
commencer ?

1. Prendre la mesure du risque numérique

2. Comprendre et s’organiser

3. Bâtir son socle

4. Piloter & Valoriser

16
 1. Prendre la mesure du risque
numérique

D’un risque Engage la

Vers un risque
technique responsabilité
d’entreprise
(risque cyber) du dirigeant

17
 Des organisations en pleine transformation
numérique

Une dématérialisation des processus et des informations

• Une transformation numérique qui touche tous les secteurs d’activité, les entreprises et les
administrations

Une interconnexion et une complexité croissantes des systèmes d’information

• Un espace de partage et de création de valeur

Des tendances technologiques dont les métiers veulent s’emparer

• Évolution des usages et des comportements : objets connectés, véhicules autonomes …

 Le cyber espace, une conséquence de la
transformation numérique

Le cyber espace bouleverse la notion d’espace-temps

• Un espace sans frontières naturelles, territoriales, politiques

• Une compression de la temporalité

Un espace de communication, d’échanges...

• Liberté d’expression, partage d’expériences, collaboration

… et d’affrontements

• Hypermédiatisation et fake news, affrontements économiques ou politiques...

 2. Comprendre et s’organiser

Définir son cadre de gouvernance Maîtriser son écosystème

Partenaires, Fournisseurs,
Sous-traitants

Connaitre son seuil d’acceptation du risque

Identifier ses pires scénarios de risques

Bâtir une stratégie globale de sécurité numérique

20
Définir un cadre de gouvernance

21
 Comprendre son activité numérique

Création Fabrication Distribution Marketing

R&D Standardisation Intensive Notoriété et
performante Audit des Internationale image
Dépôt de fournisseurs
brevet

22
Connaître son seuil d’acceptation des risques
et quantifier les impacts

23
 Construire ses pires scénarios de risque
CARTOGRAPHIE DE LA MENACE CYBER SCENARIOS STRATEGIQUES

CARTOGRAPHIE DU RISQUE DE L’ECOSYSTEME SCENARIOS OPERATIONNELS

 Construire sa stratégie de sécurité numérique
Scénarios
Freins et difficultés de mise en Coût /
Mesure de sécurité de risques Responsable … Échéance Statut
œuvre Complexité
associés
GOUVERNANCE
Sensibilisation renforcée au hameçonnage par un prestataire Validation de la hiérarchie
R1 RSSI + Juin 2019 En cours
spécialisé obligatoire
Audit de sécurité technique et organisationnel de l’ensemble du
R1, R5 RSSI ++ Mars 2019 A lancer
SI bureautique par un PASSI
Intégration d’une clause de garantie d’un niveau de sécurité
Équipe Effectué au fil de l’eau à la
satisfaisant dans les contrats avec les prestataires et R2, R3, R4 ++ Juin 2020 En cours
juridique renégociation des contrats
laboratoires
Mise en place d’une procédure de signalement de tout incident R2, R3, R4 RSSI / Équipe
++ Juin 2019 A lancer
de sécurité ayant lieu chez un prestataire ou un laboratoire juridique
Audit de sécurité organisationnel des prestataires et
Acceptation de la démarche par
laboratoires clés. Mise en place et suivi des plans d’action R2, R3, R4 RSSI ++ Juin 2019 A lancer
les prestataires et laboratoires
consécutifs
Limitation des données transmises au laboratoire au juste
R2 Équipe R&D + Mars 2019 Terminé
besoin
PROTECTION
Protection renforcée des données de R&D sur le SI (pistes : Septembre
R1, R3 DSI +++ En cours
chiffrement, cloisonnement) 2019
Renforcement du contrôle d’accès physique au bureau R&D R1 Équipe sûreté ++ Mars 2019 Terminé
Dotation de matériels de maintenance administrées par la DSI Septembre
R4 DSI ++ A lancer
et qui seront mis à disposition du prestataire sur site 2019

25
25
Mettre en place des polices d’assurances
adaptées

26
 3. Bâtir son socle

Placer l’humain au centre du jeu IGI 1300

II 901

Homologuer ses services

les plus critiques

27
 Placer l’humain au centre du jeu

FORMATION SENSIBILISATION ENTRAINEMENT

 Homologuer ses services numériques
critiques

Une démarche qui vise à … IDENTIFIER

ATTEINDRE

MAINTENIR … un niveau de sécurité acceptable

compte-tenu des risques et enjeux
de sécurité du projet
 Bâtir son socle de sécurité
Se prémunir contre les
attaques en rendant le SI Détecter les signaux
et son écosystème les faibles ou une attaque
moins vulnérables et avérée et réagir pour en
exposés possibles minimiser les impacts

PROTECTION DÉFENSE

GOUVERNANCE

Anticiper, suivre le niveau

de sécurité et renforcer en Assurer la continuité
continu le dispositif d’activité avec un niveau
de dégradation tolérable,
RÉSILIENCE puis la reprise nominale
progressive
 Connaissance: de la veille à l’analyse
RENSEIGNEMENT SUR LA MENACE CYBER EVOLUTION DE L’ÉCOSYSTÈME

EVOLUTION DES METIERS / NOUVEAUX

NOUVELLES TECHNOLOGIES
SERVICES

Création Fabrication Distribution Marketing

Standardisatio
R&D n Intensive Notoriété et SAV
performante Audit des Internationale image
Dépôt de fournisseurs
brevet

31
 4. Piloter et valoriser
 Finalités :
 Amélioration continue et pilotage de la gestion des risques
 Développement de l’avantage compétitif
 Renforcement de la confiance numérique dans l’écosystème et la
supply chain

32
 Engagement: de l’adhésion à l’action

L’autorité

• Le dirigeant doit communiquer envers ses collaborateurs et parties prenantes

• Les informations de contexte, les impacts des risques numériques
• Les enjeux de la sécurité et les missions et objectifs de chacun

Les compétences

• Les collaborateurs doivent être formés et entrainés

Les moyens

• Les moyens doivent être fournis aux collaborateurs et parties prenantes pour acomplir leurs
activités

33
Agilité: de l’amélioration continue et la
performance

34
 Valoriser la cyber-sécurité

Maîtrise du risque numérique

Investissements de sécurité

… approche Cyber Business Partner

D’un centre de coût … … à un avantage concurrentiel

35
 Sommaire

 Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
 La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
 Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber

36
Fiabilité cyber de l’écosystème

37
 Sommaire

 Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
 La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
 Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber

38
 Impliquer toutes les lignes de défense

Bâtir son socle

39
 Focus sur la résilience les étapes d’une
crise d’origine cyber

 Arrêter la propagation de l’attaque (endiguement)

Jours / Semaines
 Comprendre le schéma d’attaque
INVESTIGATION NUMÉRIQUE ET  Protéger les clients / bénéficiaires et l’organisation
ENDIGUEMENT
 Centraliser les éléments collectés pour partager avec toutes les parties
prenantes

Jours / Semaines  Reprendre confiance dans les systèmes informatiques

 Créer une « bulle sécurisée » et prioriser les services à rétablir pour
PLAN DE DURCISSEMENT réintégrer les services dans la bulle
ET REMÉDIATION  Préparer les usagers à un changement, parfois profond, dans la façon
d’administrer les SI

Semaines / Mois
 Remettre les SI en état de marche tout en augmentant la protection pour
RECONSTRUCTION ET éviter de subir une nouvelle attaque avec le même mode opératoire
RÉTABLISSEMENT DES SERVICES  Restaurer les applications et données critiques pour reprendre progresser
les activités

Mois
 Surveillance des systèmes d’information pour détecter une nouvelle
SURVEILLANCE intrusion
ET SORTIE DE CRISE  Débriefing de la crise – plan d’actions post-crise

40
Pourquoi une résilience numérique

41
 Focus sur la phase de stabilisation

Objectif : rétablir la confiance dans le SI et élever le niveau de sécurité

du SI à long terme « phase hors crise »
Rétablir la
confiance dans le SI

• Supprimer l’ensemble des • Protéger ce qui a de la • Initier une gouvernance • Préparer la crise
logiciels malveillants, portes valeur (i.e. données, de la SSI dans une
dérobées de l’attaquant applications) démarche d’amélioration • Initier une supervision de
continue circonstance
• Minimiser les conséquences • Assurer une défense en
de l’intrusion profondeur • Vérifier les processus de • Etre en mesure de détecter
conformité et de contrôle les tentatives de retour de
• Mettre en place de moyens l’attaquant
d’administration sécurisés • Adapter son effort en
fonction de ce qu’il faut
protéger en priorité 42
 Sommaire

 Introduction
– Présentation de l'ANSSI et du bureau Management des Risques Cyber
 La menace cyber & Enjeux liés à la sécurité et la souveraineté du numérique
– La menace cyber: panorama 2020 et 2021
– Activité opérationnelle
– Actualité cyber -> changement de paradigme
– Enjeux liés à la sécurité et à souveraineté du numérique
– Nature du risque: Source de risque et objectif visé
 Evolution des mécanismes de défense
– Les fondamentaux de la maitrise du risque
• Prendre la mesure du risque numérique
• Comprendre et s'organiser
• Bâtir son socle
• Piloter et valoriser
– Fiabilité cyber de l'écosystème (sous-traitants)
– 4 piliers de la ligne de défense
• Protection, défense, résilience et gouvernance
– La place incontournable des directions financières et marchés dans la sécurité cyber

43
 La place incontournable des directions
financières et marchés dans la sécurité cyber

Finance

Rôle
Contrôle primordiale
sur la sélection Clauses de sécurité
interne d’acteurs Souveraineté
cyber

Maturité cyber
Juridique

44
 La cyber… C’est la responsabilité de tous

« Les espèces qui survivent ne sont pas les espèces les plus fortes, ni les plus intelligentes,
mais celles qui s'adaptent le mieux aux changements »
Charles Darwin

45
 Campus cyber

Excellence, confiance et partage

• Développer la capacité de chacun à maitriser le

Les opérations risque numérique

• Accroitre les compétences globales de

la Formation l’écosystème

• Soutenir les projets innovants en matière de

L’innovation cybersécurité

• Dynamiser le secteur en développant de

L’animation synergies entre les parties prenantes

46