RSSI et Plan de sécurité des Systèmes d'Information

Construire un plan Sécurité  

Le risque informatique

• Le risque informatique, caractéristiques, typologie, types de conséquences possibles ; les chiffres clés actuels.
• Les nouvelles formes des risques informatiques, les nouvelles pratiques de guerre économique, la cybersécurité, les risques sur l’Internet. La classification des risques, des causes (AEM) et des conséquences (CAID, IPG). Sinistres majeurs en entreprise : les conséquences d’accidents naturels ou cas de force majeure, d’erreurs de programmation, d’exploitation, d’organisation, de malveillance interne et externe, etc. Quelles leçons tirer de quelques cas récents de cyberattaque. Les attaques de main : IA, militarisation des attaques, que peut-il se passer ?

L’analyse de risque

• L’analyse de risque en pratique : les attentes de la DG, la position de la DSI, le rôle du RSSI et du DPO. L’analyse de risque dans le cas des grands groupes, la DPIA dans le cadre du projet RGPD.
• Panorama des méthodes (Méhari, EBIOS, ISO 27005, etc.) : comment les mettre en œuvre de manière simple et réaliste pour construire une feuille de route.
• Analyse des vulnérabilités : audit et scénarios de risques. Identification de risques majeurs. Pratique du test de pénétration unique et régulier.
• Le débouché sur le plan d’action : conception, planification et suivi.

Le management de la Sécurité dans l’entreprise  

Définition des structures et des missions

• Le RSSI dans l’entreprise : missions, profils, rattachement. Les clés pour la survie du RSSI dans un contexte tendu. La relation avec le DPO. Comment porter la Sécurité « juste nécessaire ». Savoir convaincre une DG : les facteurs clés.
• La fonction Sécurité : sa taille, sa distribution. La Sécurité et la transformation numérique de l’entreprise.
• Établir un budget de fonctionnement d’une équipe Sécurité. Les tableaux de bord de la Sécurité. Que faire en cas de malveillance grave interne ?
• Faut conserver ou externaliser la Sécurité : panorama de l’offre : solutions SOC, SecurityAsAService (SAAS). L’audit externe de la fonction Sécurité, la valorisation de la SSI dans le bilan de l’entreprise.

La communication et la formation

• Le marketing de la fonction Sécurité : comment en parler, comment vendre et faire vendre la Sécurité. La construction des messages Sécurité dans l’entreprise. L’utilisation des supports internes. Assurer la Sécurité et ne jamais être celui qui dit « non ». La formation des nouveaux entrants, des personnels temporaires et des stagiaires.

Les bonnes pratiques du plan de Sécurité  

L’élaboration d’une politique de Sécurité

• Définition, objectifs, contraintes ; comment rédiger une politique de Sécurité lisible et efficace. Les chapitres spécifiques Cyber et RGPD.
• Détermination du contenu de la politique Sécurité : exemple complet de politique Sécurité.

La Sécurité physique

• Maîtrise de l’environnement des bâtiments et des infrastructures, la sécurité des installations. La vulnérabilité de la GTB-IP Scada et AV-IP. Quelles mesures de protection des systèmes IP mettre en place. Les immeubles IGH et les risques IT sur les infrastructures d’immeuble. Surveiller l’évolution du climat.
• Le contrôle d’accès physique, la sécurité incendie et dégâts des eaux, la gestion des alarmes, la protection des salles informatiques et des locaux techniques, IoT.
• Le risque « pelleteuse » : que faire en cas de coupure brutale des réseaux (IT, énergie, gaz), comment réduire le risque, quelle prévention mettre en place.

La sécurité de la production et du Cloud

• Exploitation informatique et Sécurité. Le PRA interne, externalisé, dans le Cloud. Procédures Sécurité, comment gérer les prestations de services et les téléinterventions.
• Sécurité des données : sauvegardes, archivage, miroirs, clusters dans un contexte RGPD. Les très gros transferts longue distance : panorama des solutions (physique et télécom).
• Le Cloud : état de l’art des solutions Sécurité. Le Big Data, enjeux Sécurité et volumétrie.

Synthèse des attaques, la protection des applications et des données

• Panorama de la cybercriminalité. Les attaques réseaux, Internet, infrastructure, attaques sur les sites et la messagerie (Spam, Phishing, etc). Les leçons des dernières attaques (WannaCry...).
• Les principales techniques de protection. Les techniques d’authentification, les mots de passe statiques et dynamiques, (Trois Facteurs, Hard Token, biométrie, reconnaissance faciale). L’objectif SSO. Les apps d’authentification forte triangulaire. Chiffrement « by defaut » dans le cadre du RGPD,
• Vulnérabilité et risques des mobiles : iOS, Android, les solutions MDM. Le BYOD et la chasse au Shadow IT : se faire une religion sous la pression des utilisateurs ; les points non négociables dans le contexte RGPD. Les VIP : gérer les compromis avec les dirigeants.
• Les comportements : le risque e-réputation, les réseaux sociaux, l’ingénierie sociale, les déplacements, les gestionnaires de mot de passe. Que recommander et que faire en pratique…
• La Sécurité dès les développements, anonymisation, pseudonymisation, Privacy By Design : les solutions pour le RGPD. Les plateformes de développement intégrées. La gestion de la conformité RGPD et le foisonnement des outils.

Les télécoms, la sécurité sans fil, les accès aux données

• Accès distants, SSL, VPN, éléments de synthèse et de compréhension : les limites des solutions purement techniques.
• La mobilité : Bluetooth, Wi-Fi, 4G, etc. Enjeux et risques de la communication sans fil. Les Femto-box : nouveaux risques et nouvelles solutions.
• Les accès Web : chiffrement SSL et certificats. Les accès Web à la messagerie : la question de la confiance sur le Web. Internet et le Cloud : les applications hébergées et SaaS, quelle Sécurité pour quel résultat ? La pratique des tests d’intrusion sur le Cloud.

La continuité et les situations d’urgence  

La continuité informatique, le PRA

• Le plan de reprise d’activité (PRA) : comment construire une stratégie réaliste. La continuité des ressources. La logique des clients et des fournisseurs.
• Comment élaborer un plan de secours informatique utile : la continuité et la cyberattaque, la perte d’un Data Center, la grève, la crue majeure…

L’entreprise et les situations d’urgence informatique

• Les principales situations d’urgence globale, retours d’expérience. Attaque informatique : que faire ? Envisager de tout couper : la solution ultime ?
• La gestion de l’imprévu, les méthodes de prise en charge des situations d’urgence informatique.
• Comment organiser la gestion de crise : les rôles, le déclenchement, la communication. Comment organiser un bon PC de crise. La salle de crise informatique, son fonctionnement, son équipement. Quels bénéfices en attendre.

Les aspects normatifs et la réglementation  

Les aspects légaux et réglementaires

• La problématique du droit appliqué aux Systèmes d’Information : les obligations de protection et les sanctions des défauts de Sécurité à l’égard du patrimoine informationnel. Les points sensibles de droit en France, dans l’espace européen et international, en particulier au regard des règles d’application du RGPD entré en application le 25 mai 2018 et sur les nouvelles notions impactant la Sécurité (Privacy By Design, Security By Design / By Default). L’intervention de l’État (ANSSI, régime particulier des Opérateurs d’Importance Vitale, OIV), Directive NIS, fournisseurs de services numériques et Opérateurs de Services Essentiels.
• La protection des personnes, les obligations de Sécurité des données et de notification des failles et incidents de Sécurité, le droit des salariés et la « cybersurveillance ». Conseils pratiques pour trouver le bon équilibre entre vie privée et contrôle du travail vis-à-vis des salariés. L’obligation de Sécurité des données dans la conformité juridique RGPD, les principes, la coresponsabilité des acteurs (coresponsables de traitement, sous-traitant) et les sanctions administratives, pénales, les actions en responsabilité civile individuelle et de groupe : que faire en cas d’urgence au plan juridique ?
• La protection des biens immatériels, des données et des systèmes, des informations confidentielles et des échanges. Actualité juridique : les prochaines évolutions.

Les sources de responsabilités pour un RSSI

• L’identification des acteurs impliqués dans les différents ordres de responsabilité (DAF, DG, DSI, RSSI, services généraux, etc.).
• L’identification des différents ordres de responsabilité en matière de transparence et de gestion des risques, de mise en œuvre de plan de secours, de contrôle interne en liaison avec l’audit financier, de mise en œuvre de politique de contrôle éthique des comportements et de cybersurveillance.
• L’émergence d’un statut particulier du RSSI au regard des règles de responsabilités civiles, pénales, fiscales, de préservation du secret, et importance de la gestion des preuves et des délégations de pouvoirs. Cas pratique : la check list juridique du RSSI.

Les aspects assuranciels et le financement des cyberrisques  

L’assurance cyber

• Les conditions d’assurabilité : la situation actuelle en matière de cyberrisques, les tendances du marché et des acteurs (les garanties spécifiques, en inclusion, les Silent Covers), la montée des obligations d’assurance et d’indemnisation dans le domaine consumériste (action de groupe).
• La contribution du RSSI à l’élaboration du programme d’assurance, lien avec la cartographie des risques, identification des scénarios à couvrir et des pertes à indemniser.

Les services associés à l’assurance

• L’analyse des risques et la liaison Sécurité – plan de continuité - assurance.
• Les RETEX, retours d’expérience en matière de sinistre et les limites de l’indemnisation : qualification des évènements (erreurs, fraudes, malveillance), difficultés de quantification des pertes immatérielles (confiance, image de marque, réputation).
• Le développement de services d’assistance en cas de sinistre : plateforme d’appel client, communication de crise, notification de failles de sécurité atteignant les données personnelles et bancaires des clients, etc.

Les garanties et les modes de financement

• Les garanties d’assurance informatique matérielles et immatérielles disponibles sur le marché, l’émergence de l’assurance de l’information, la position de l’assurance vis-à-vis du Cloud Computing, du Big Data, du financement des risques des grands projets informatiques.
• Le besoin de capacité financière pour répondre aux Mega Breach en cas d’atteintes aux données personnelles et aux données de cartes bancaires, l’assurance du Ransomware, l’assurance des pénalités administratives, l’assurance en complément et substitution des obligations de fonds propres, etc.
• Les nouveaux domaines de garantie : l’Intelligence Artificielle et les Systèmes Autonomes.