Si vous ne visualisez pas correctement ce mail, merci de cliquer ici.
Communiqué de presse 18 novembre 2019
Confiance numérique : l’ANSSI et l’AMRAE publient
un guide pour les dirigeants
sur la maîtrise du risque numérique
L’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) et l’Association pour le
Management des Risques et des Assurances de l’Entreprise (AMRAE) renforcent concrètement leur
partenariat en publiant «Maîtrise du risque numérique - L’atout confiance» , un guide en 15 étapes
pour accompagner les dirigeants des organisations publiques et privées de toutes tailles dans la
construction d’une politique de gestion du risque numérique. Le guide, disponible en français et en
anglais, est présenté en Allemagne à Berlin au Ferma Forum, le congrès des associations
européennes de Risk Management, le 18 novembre 2019.
Le risque numérique pèse chaque jour davantage sur les
organisations et peut mettre en péril leur survie. Il n’est donc
plus seulement l’affaire d’experts techniques : le risque
numérique est devenu stratégique et doit être traité au plus
haut niveau de l’organisation.
Pour aider les dirigeants à construire une politique de
gestion du risque numérique, l’ANSSI et l’AMRAE ont co-
réalisé le guide « Maitrise du risque numérique – L’atout
confiance ». Les expertises complémentaires de l’ANSSI,
autorité nationale en matière de cybersécurité, et de
l’AMRAE, association professionnelle des métiers du risque
et des assurances en entreprise, ont permis de bâtir un
guide complet et réaliste.
Ce guide s’adresse aux dirigeants et Risk
Managers d’organisations publiques comme privées de
toutes tailles, incluant les comités des risques numériques,
les directions métier et les conseils d’administration. Basée sur l’expérience des
principaux acteurs de la maitrise du risque numérique, cette démarche progressive
propose un accompagnement en 15 étapes .
Télécharger le guide en français
Télécharger le guide en anglais
Concrètement, la démarche permet de :
• Prendre la mesure du risque numérique ;
• Comprendre le risque numérique et s’organiser
(étapes 1 à 6) ;
• Bâtir son socle de sécurité (étapes 7 à 11) ;
• Piloter son risque numérique et valoriser sa
cybersécurité (étapes 12 à 15).
"Par où commencer ? Quelles étapes suivre ? Comment
rester efficace ? Comment valoriser ses investissements
de sécurité ? Le guide fournit une démarche rationnelle
à suivre afin de mettre en place et de maintenir
progressivement une organisation performante de
gestion des cyber-risques" explique Guillaume Poupard,
directeur général de l’ANSSI.
Guillaume Poupard aux Assises 2019
de la Sécurité Informatique
"Avec ce guide, notre objectif commun est de faire en
sorte que tout l’écosystème mette en place les
conditions de la confiance numérique. Si l’entreprise a
en permanence un œil sur ses vulnérabilités, elle
pourra anticiper les scenarii les plus impactant, en
évaluant leurs conséquences financières ou de
réputation, et ainsi réduire le risque cyber" souligne
Brigitte Bouquot, la présidente de l’AMRAE.
Cette démarche holistique vise à impliquer
efficacement tous les acteurs de l’organisation et à
développer les capacités indispensables pour lutter contre les menaces cyber. Elle
s’appuie sur la méthode d’analyse de risques EBIOS Risk Manager , qui permet de
comprendre son exposition aux risques numériques afin d’anticiper pour ne pas subir.
Au final, la démarche permet de faire de la sécurité numérique un véritable atout pour
l’organisation. En effet, l’organisation responsable et génératrice de confiance est
désormais celle capable de maitriser l’ensemble des risques, y compris numériques. Les
directions doivent donc les comprendre, soutenir les mesures nécessaires et valoriser cet
investissement.
Un guide de portée européenne
La France bénéficie d’une expérience et d’une expertise pointue en matière de maitrise du
risque numérique, qu’elle souhaite partager au niveau européen. C’est la raison pour
laquelle le guide s’adresse aux acteurs nationaux, comme européens. L’ANSSI et l’AMRAE
plaident pour un partage de principes communs à l’échelle européenne qui facilitera la
coordination des Etats membres face aux menaces actuelles et futures.
Le guide « Maitrise du risque numérique – L’atout confiance » est disponible en français et
en anglais sur les sites internet de l’ANSSI : https://www.ssi.gouv.fr/guide-maitrise-risque-
numerique-atout-confiance
et de l’AMRAE : https://www.amrae.fr/guide-amrae-anssi
A propos de l'ANSSI
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le
décret n°2009-834 du 7 juillet 2009 sous la forme d’un service à compétence nationale.
L’agence assure la mission d’autorité nationale en matière de défense et sécurité des
systèmes d’information. Elle est rattachée au secrétaire général de la défense et de la
sécurité nationale, sous l’autorité du Premier ministre.
Présentation presse du guide
22 novembre 2019 à 9h - Hôtel Bristol
Une présentation effectuée par Philippe Cotelle, administrateur de
l'AMRAE auteur pour l'Association de l'ouvrage.
Philippe Cotelle est également président de la commission systèmes
d'information de l'AMRAE, administrateur de Ferma, Risk Manager
d'Airbus Defense & Space et coordinateur pour tout le groupe Airbus
des questions de cyber assurance.
Egalement en conf call
Accréditation presse
S'inscrire
HOTEL BRISTOL - 112 FAUBOURG SAINT HONORE 75008 PARIS
Numéro de conf call sur le formulaire d'inscription
GOUVERNANCE
Présidente
Brigitte BOUQUOT,
Directrice des sociétés d’assurance du groupe Thales
BUREAU PERMANENT
Délégué général
Hubert DE L'ESTOILE
A propos de l'AMRAE
L'AMRAE (Association pour le Management des Risques et des Assurances de
l'Entreprise) est l'association professionnelle de référence des métiers du risque et des
assurances en entreprise.
Elle rassemble plus de 1 300 membres appartenant à 800 organisations privées ou
publiques L'AMRAE aide ces organisations dans l'atteinte de leurs objectifs stratégiques et
opérationnels pour leur permettre d'améliorer leurs performances et de maîtriser leurs
risques.
AMRAE l'Association rassemble les acteurs majeurs des secondes et troisième lignes de
maîtrise des risques (Risk Management, contrôle et audit internes, assurance et juridique).
A travers ses comités scientifiques, ses publications et ses nombreuses manifestations,
l'AMRAE produit pour ces experts les contenus qui nourrissent leurs compétences, leur
évolution dans leur métier et leur contribution à la réussite de la stratégie de l'entreprise.
Avec AMRAE Formation , elle répond à leurs besoins de formation professionnelle tout au
long de la vie en dispensant des formations certifiantes de haut niveau.
AMRAE Les Rencontres organise le congrès annuel de référence des métiers du risque et
des assurances (plus de 2800 participants en 2018). Ces trois jours constituent le rendez-
vous métier incontournable des acteurs de la maitrise des risques et de son financement.
Presse
Olivier
COPPERMANN olivier.coppermann@seitosei.fr
01 78 94 86 71 / 06 07 25 04 48
Association pour le Management des Risques et des Assurances de l’Entreprise
AMRAE – 80 boulevard Haussmann – 75 008 Paris
Tél. : 01 42 89 33 16 - www.amrae.fr - amrae@amrae.fr
Si vous ne souhaitez plus recevoir d'informations d'AMRAE, merci de cliquer ici ›› MAÎTRISE
DU RISQUE NUMÉRIQUE
L’ATOUT CONFIANCE
MAÎTRISE
DU RISQUE NUMÉRIQUE
L’ATOUT CONFIANCE
2
3
Introduction........................................................................................5
PRENDRE LA MESURE DU RISQUE NUMÉRIQUE............................. 7
COMPRENDRE LE RISQUE NUMÉRIQUE ET S’ORGANISER............ 11
Étape 1 Définir un cadre de gouvernance du risque numérique. ........12
Étape 2 Comprendre son activité numérique. ......................................15
Étape 3 Connaître son seuil d’acceptation des risques. ......................18
Étape 4 Construire ses pires scénarios de risque. ..............................19
Étape 5 Définir sa stratégie de sécurité numérique et de valorisation... 24
Étape 6 Mettre en place des polices d'assurance adaptées. ...............28
BÂTIR SON SOCLE DE SÉCURITÉ ..................................................31
Étape 7 Placer l'humain au centre du jeu . .............................................32
Étape 8 Homologuer ses services numériques critiques. .....................33
Étape 9 Bâtir sa protection. ......................................................................34
Étape 10 Orienter sa défense et anticiper sa réaction. ..........................37
Étape 11 Faire preuve de résilience en cas de cyberattaque. ................39
PILOTER SON RISQUE NUMÉRIQUE ET VALORISER .
SA CYBERSÉCURITÉ.....................................................................43
Étape 12 Connaissance : de la veille à l’analyse. ....................................44
Étape 13 Engagement : de l’adhésion à l’action. ....................................45
Étape 14 Agilité : l’amélioration continue et la performance. ................46
Étape 15 Valorisation : la cybersécurité, un avantage compétitif. .........51
Bibliographie.......................................................................................54
TABLE DES MATIÈRES
4
Pour quelles raisons l’AMRAE et l’ANSSI ont-elles décidé de prendre la plume ensemble ?
Brigitte Bouquot : Nous bâtissons depuis plusieurs années une relation de confiance dont
j’apprécie les fruits : nos angles de vue sur le risque sont très complémentaires, celui de
l’AMRAE économique au cœur de la gouvernance de l’Entreprise, celui de l’ANSSI technique
au cœur des enjeux normatifs (de la sécurité) de l’État. Et c’est la clé pour apporter des
réponses complètes aux questions que pose le développement de l’économie numérique
dans le cyber espace. Seule une approche holistique permet de progresser dans la maîtrise
des risques et la définition de standards pour les Entreprises. Le présent guide est donc la
traduction concrète du sens que nous conférons à ce partenariat. On dit souvent que l’on
doit se transformer pour ne pas disparaître, c’est particulièrement vrai en matière de risque
numérique ! L’Entreprise doit le prendre, mais elle doit aussi déployer une politique de gestion
des risques pour le maîtriser. Il en va de notre responsabilité à tous de nous emparer du sujet
sans plus attendre. Demain, l’entreprise responsable et génératrice de confiance sera celle
qui s’attache à maîtriser le risque numérique. Et si, plus que de contrainte, nous parlions
d’avantage compétitif ?
Guillaume Poupard : On a plein de bonnes raisons de travailler ensemble ! Nous partageons
en effet une ambition commune, mais nos connaissances et nos expériences sont
complémentaires. Cela nous permet de nous enrichir mutuellement. C’est extrêmement
précieux et j’en perçois pleinement les bénéfices en matière d’accompagnement et de dialogue
avec nos propres bénéficiaires. Car c’est une réalité, nous parlons des langages différents et
nous n’avons pas la même expérience du risque numérique. Ce guide est donc le fruit d’un
travail d’équipe soutenu et passionné de la part de nos collaborateurs respectifs. Ils se sont,
d’une certaine manière, glissés dans la peau de la cible sans jamais cesser de la consulter,
pour répondre à ses préoccupations et lui permettre d’entrevoir toutes les perspectives d’un
investissement dans la sécurité numérique, à plus ou moins long terme.
Le risque numérique appartient-il toujours à la catégorie des « nouvelles menaces » ou
est-il devenu un incontournable ?
Brigitte Bouquot : Le risque numérique est vraiment devenu incontournable, mais nous avons
encore du chemin à parcourir pour le maitriser ! Les décideurs, éclairés par les risk managers,
en ont bien pris la mesure et le mettent progressivement au centre de la politique globale de
gestion des risques. Mais c’est un écosystème bien plus vaste, industrie par industrie, qui doit
s’organiser pour mieux l’appréhender. Je pense en particulier aux assurances dont l’offre se
précise et s’étoffe. Le transfert à l’Assurance joue un rôle non négligeable dans l’engagement
du dirigeant et dans la bonne résilience de l’organisation, qu’elle soit petite ou grande. Mais
pour être durable, il suppose que l’entreprise connaisse mieux son risque numérique.
Guillaume Poupard : Les technologies numériques sont devenues des compagnons de tous
les jours, au travail comme dans la vie. Elles sont une incontestable source d’opportunités,
mais avec elles se développent de nouvelles menaces, toujours plus sophistiquées et
destructrices. Cet état de fait pousse les organisations à se repenser et à appréhender le
risque qui pèse sur elles dans une logique d’amélioration continue. Ai-je encore besoin de
rappeler que le risque zéro n’existe pas ? Sans doute, car une cyberattaque peut rapidement
mettre en péril la survie de l’organisation qui la subit ou, sans aller jusque-là, nuire gravement
et durablement à son image et à la confiance qu’on lui accorde. Impossible donc d’ignorer
ces enjeux et les réponses que nous tentons d’y apporter pour accompagner avec réalisme
chaque acteur dans cette démarche, quels que soient son activité, la criticité de celle-ci, son
niveau de maturité ou ses moyens.
PRÉFACE
Brigitte BOUQUOT, présidente de l’AMRAE
Guillaume POUPARD, directeur général de l’ANSSI
5
Ce guide est né du constat suivant : le risque numérique qui pèse chaque jour
davantage sur les organisations peut aller jusqu’à mettre en péril leur survie
et celle de leurs parties prenantes. Selon l’ANSSI et l’AMRAE, il doit donc être
considéré comme un risque à traiter au plus haut niveau de l’organisation et non
plus seulement comme un risque dont l’évitement est l’affaire d’experts techniques.
Ce guide propose aux dirigeants et aux risk managers une démarche progressive
pour construire étape par étape une politique de gestion du risque numérique au
sein de leur organisation
(cf. Figure 1 – Démarche progressive de construction d’une
politique de gestion du risque numérique). Dans le cas où cette politique existe déjà
et nécessite d’être consolidée ou réorientée, le lecteur pourra y puiser les conseils
et ressources utiles.
La démarche proposée permet de :
PRENDRE LA MESURE DU RISQUE NUMÉRIQUE : cette partie permet au
lecteur de positionner son organisation dans le contexte de compétition
économique au sein duquel elle évolue tout en appréhendant la place
du risque numérique dans cette équation. Aujourd’hui, la réponse des
organisations face au risque numérique figure parmi les enjeux les plus
stratégiques. A l’instar d’autres risques de cette envergure (métier,
juridique, commercial, financier, etc.), la gestion du risque numérique
nécessite une approche holistique impliquant de nombreuses parties
prenantes au sein de l’organisation.
COMPRENDRE LE RISQUE NUMÉRIQUE ET S’ORGANISER (étapes 1 à 6) :
cette partie s’attache à décrire la gouvernance à mettre en œuvre en vue
d’initier la construction d’une stratégie de sécurité numérique. A chacune
de ces étapes, dirigeants et risk managers auront le souci de valoriser les
investissements inhérents à la gestion du risque numérique.
BÂTIR SON SOCLE DE SÉCURITÉ (étapes 7 à 11) : cette partie introduit
les principes de protection, de défense et de résilience appliqués au
risque numérique. Y sont également abordés les processus et mesures
de sécurité numérique à mettre en œuvre pour décliner la stratégie
préalablement définie.
PILOTER SON RISQUE NUMÉRIQUE ET VALORISER SA CYBERSÉCURITÉ
(étapes 12 à 15) : cette partie décrit les mécanismes d’amélioration
continue en matière de gestion des risques cyber. Cela comprend
également les mécanismes de pilotage de la performance, indispensables
à l’organisation pour rester compétitive.
INTRODUCTION
6
Figure 1 – Démarche progressive de construction .
d’une politique de gestion du risque numérique
1
Mise en place
d’une gourvernance
2
Comprendre son activité
numérique
3
Appétence
au risque
4
Scenarios
d’exposition
12 -15
Mesure de la performance
Amélioration Continue / Valorisation
5 - 6
Définir sa stratégie
de sécurité numérique
11
Réponse et
Résilience
7
L’humain au
centre du jeu
8
Homologuer
ses SI critiques
9
Bâtir sa
protection
10
Orienter sa
défense
7
Figure 1 – Démarche progressive de construction .
d’une politique de gestion du risque numérique
PRENDRE LA MESURE
DU RISQUE NUMÉRIQUE
8
Mondialisation économique et interconnexion
La transformation numérique touche tous les pans de la société (entreprises,
administrations, citoyens, etc.) et a donné naissance à un nouvel espace de
communication et de partage d’informations : le cyberespace.
Il a pour caractéristique de s’affranchir des frontières traditionnelles entre
Etats - qu’elles soient territoriales ou politiques - et renverse la notion
d’espace-temps.
Espace de création de valeur mais aussi d’échange et d’affrontement, le
cyberespace est devenu le théâtre d’interactions sociales, techniques,
économiques, opérationnelles et politiques. Dans cette nouvelle
dimension, les règles de la concurrence évoluent et les attaquants
redoublent d’ingéniosité pour parvenir à leurs fins. Qu’ils s’agissent
d’individus isolés ou de groupes opérant depuis le territoire national ou
l’étranger, les attaquants exploitent les nouveaux rapports de force issus
de la mondialisation, de l’hypermédiatisation et des nouveaux usages
numériques.
Les attaques issues de ces stratégies offensives peuvent profiter des
relations de confiance entre parties prenantes (par exemple, une
entreprise et son fournisseur) en vue d’impacter de manière imprévisible
et fulgurante les organisations. Dans certains cas, ces attaques leur sont
fatales.
Manager le risque numérique nécessite de mettre
en œuvre une approche holistique faisant appel à
tous les acteurs de l’organisation. L’AMRAE décrit
cette approche par le concept des « trois lignes de
maîtrise
1
».
Pour être efficace, une politique de management du
risque numérique nécessite donc d’être comprise et
soutenue par l’ensemble des parties prenantes de
l’organisation, à commencer par son dirigeant.
1
Cf. Figure 2 - Les trois lignes de maîtrise, p13
9
Le risque numérique, d’un risque technique à un risque
d’entreprise
Durant de nombreuses années, les entreprises et collectivités ont mis en
œuvre une gestion des risques IT portant sur la seule sécurité de leurs
systèmes d’information. Celle-ci se basait sur des critères tels que la
confidentialité, l’intégrité et la disponibilité et s’appliquait principalement
aux activités transverses ou de support.
Avec la transformation numérique de l’ensemble des acteurs de la
société et de leur interconnexion croissante, la gestion des risques IT
a progressivement évolué au sein des organisations vers une gestion
globale du risque numérique. Ce dernier, au regard du contexte décrit
précédemment, pèse de plus en plus fortement sur l’activité des
organisations.
Une vision holistique des risques
L’évolution du risque numérique dans l’organisation engage dorénavant
la responsabilité du dirigeant vis-à-vis de sa gestion et de son traitement.
Cette responsabilité est accentuée par les réglementations actuelles
(RGPD
2
, NIS
3
, LPM
4
, etc.).
Devant l’accroissement du risque numérique et sa propension à gagner
toutes les activités de l’organisation, les dirigeants doivent définir avec
les conseils d’administration et les directions métiers de nouveaux seuils
d’acceptabilité du risque (appétence aux risques). Ces risques ne sont pas
limités à la seule organisation mais concernent également les parties
prenantes de la chaîne de valeur avec lesquelles ils doivent être partagés.
L’évolutivité et la transversalité de cette catégorie de risque obligent
dorénavant les dirigeants à reconsidérer leur modèle de gestion des
risques de telle sorte que le risque numérique rejoigne les préoccupations
stratégiques, économiques ou juridiques des organisations.
Pour acquérir cette vision holistique des risques et veiller à ce qu’ils soient
clairement corrélés aux objectifs de l’organisation, qu’elle soit publique
ou privée, un comité des risques numériques doit être mis en place. Une
attention particulière sera portée à sa capacité à s’affranchir des silos
fonctionnels, métiers et opérationnels existants.
2
Règlement général sur la protection des données (RGPD)
3
Directive européenne Network and Information Security (NIS)
4
Loi de programmation militaire (LPM)
10
11
COMPRENDRE
LE RISQUE NUMÉRIQUE ET S’ORGANISER
12
5
Le comité des risques numériques s’inscrit dans une gouvernance globale de maîtrise du risque
numérique lorsque celle-ci est prévue par l’organisation.
Une bonne gouvernance du risque numérique passe
par la mise en place d’un comité dédié et adapté aux
réalités de l’organisation.
Son rôle est de définir la stratégie de sécurité
numérique de l’organisation, de s’assurer de sa
mise en œuvre, de piloter la performance et de
valoriser les investissements réalisés.
Définir un cadre de gouvernance du risque numérique
La gouvernance du risque numérique s’inscrit dans une démarche de long
terme et doit pouvoir trouver sa place dans le fonctionnement habituel de
l’organisation. Elle est pilotée par un comité des risques numériques
5
.
L’objectif du comité est de mettre en œuvre la stratégie de sécurité
numérique en s’appuyant sur une connaissance actualisée des risques
numériques qui pèsent sur les activités de l’organisation. Il est présidé
par la direction générale de l’organisation et accueille a minima un
représentant de chacunes des trois lignes de défense ainsi qu’un membre
en charge du développement des activités.
ÉTAPE 1.
Définir un cadre de gouvernance .
du risque numérique
13
6
L’AMRAE et l’IFACI ont adapté le concept dans un ouvrage répondant aux attentes de leurs cibles :
Trois lignes de maîtrise pour une meilleure performance : fiabiliser la stratégie par une gestion
organisée des risques, AMRAE et IFACI, 2015.
Le concept dit des « trois lignes de défense » est né d’un
partenariat entre l’
European Confederation of Institutes of
Internal Auditing
(ECIIA) et la Federation of European Risk
Management Associations
(FERMA).
L’Association de Management des Risques et des
Assurances de l’Entreprise (AMRAE) et l’Institut Français
de l'Audit et du Contrôle Internes (IFACI) proposent un
modèle de gouvernance des risques fondé sur « trois
lignes de maîtrise
6
».
1. La première ligne de maîtrise rassemble les fonctions
opérationnelles et les responsables métiers.
2. La deuxième ligne de maîtrise regroupe les spécialistes
des risques (y compris numériques) à même d’assister
les fonctions opérationnelles dans l’identification et
l’évaluation des principaux risques relevant de leur
domaine d’expertise.
3. La troisième ligne de maîtrise assure une fonction
d’audit (interne ou externe selon la taille de l’organisation)
indépendante et liée au plus haut niveau de l’organisation.
Figure 2 - Les trois lignes de maîtrise
Fonctions participant au dispositif de maîtrise globale des risques
Modèle des trois lignes de maîtrise
1
ère
ligne .
de maîtrise
2
ème
ligne .
de maîtrise
3
ème
ligne .
de maîtrise
Conseil d'administration / Comité d'audit
Direction générale
Audit externe
Régulateurs
Management
opérationnel
S.I.
Juridique
HSE
R.H
Finance
Contrôle
de gestion
…
Audit
interne
Assurance
Gestion des risques
Conformité
Contrôle interne
14
1. Rédiger et maintenir à jour la Politique de Sécurité des Systèmes
d’Information (PSSI) qui régit la gestion du risque numérique.
2. Définir la stratégie de sécurité numérique de l’organisation et
les investissements nécessaires à sa mise en œuvre.
3. Veiller en priorité à la sécurité des services numériques les
plus critiques. Ces services ou ces systèmes d’information font
l’objet d’une homologation de sécurité
7
.
4. Assurer le pilotage de la performance et l’amélioration continue
de la gestion du risque numérique.
5. Définir une stratégie de valorisation des investissements
réalisés dans le champ de la sécurité numérique.
7
Cf. Étape 8 - Homologuer ses services numériques critiques
Les missions du comité des risques numériques :
Les organisations FERMA et ECIIA ont également publié
un guide de recommandations sur l'organisation interne
nécessaire à la gestion des risques numériques :
At the
Junction of Governance and Cyber-security
, FERMA et
ECIIA, 2017, www.ferma.eu.
15
ÉTAPE 2. Comprendre son activité numérique
Appréhender et comprendre son activité numérique
précèdent toute démarche de gestion du risque
numérique.
L’activité d’une organisation repose sur des
processus et informations qui la lient à ses
fournisseurs, ses clients, ses administrés, ses
partenaires, etc. Ces valeurs métiers
8
, comme les
nomme l’ANSSI, sont elles-mêmes supportées par
des services et systèmes d’information qu’il importe
de cartographier très tôt.
Identifier ses valeurs métiers et biens supports critiques
L’identification des valeurs métiers et des biens supports
9
les plus critiques
se fait en partant des missions de l’organisation qui lui permettent de créer
de la valeur pour descendre progressivement vers les services numériques
qui les sous-tendent.
Dans un premier temps, l’objectif n’est pas d’être exhaustif mais de faire
ressortir les activités principales et les services numériques ou les systèmes
d’information les plus essentiels. Ce niveau de détail est suffisant pour
construire ses pires scénarios de risque
10
et pour identifier les services
numériques et les systèmes d’information qui feront l’objet d’une attention
spécifique du comité à travers une démarche d’homologation de sécurité
11
.
Pour les services numériques les moins critiques, les mesures de sécurité
qui s’appliquent de manière systématique reposent sur une approche par
conformité aux normes et bonnes pratiques et sur la contruction d’un socle
de sécurité.
8
Valeur métier (business asset) : composante essentielle à l’accomplissement des missions de
l’organisation. Il peut s’agir d’un service, d’une fonction support, d’une étape d’un projet ou de toute
information ou savoir-faire associé. EBIOS Risk Manager, ANSSI, 2018, www.ssi.gouv.fr/ebios.
9
Bien support (supporting asset) : composante du système d’information sur laquelle repose une ou
plusieurs valeurs métier. Un bien support peut être de nature numérique, physique ou organisation
-
nelle. EBIOS Risk Manager, ANSSI, 2018, www.ssi.gouv.fr/ebios
10
Cf. Étape 4 – Construire ses pires scénarios de risque
11
Cf. Étape 8 – Homologuer ses services numériques critiques
16
Cartographier son écosystème
La transformation numérique plonge l’organisation dans un écosystème
très intégré avec ses diverses parties prenantes. On parle alors d’entreprise
étendue, incluant l’organisation dans une chaîne globale de production. Le
corolaire est que le risque numérique ne s'arrête pas aux frontières de
l’organisation.
C’est pourquoi il est indispensable de mener un travail de cartographie de
l’écosystème de l’organisation afin d’avoir une vision de ses interactions
et de ses flux. De même, parce que l’écosystème influence l’organisation
dans sa gestion des risques, le dirigeant doit inclure dans la définition de
l’appétence aux risques
12
de l’organisation ses parties prenantes, leurs
niveaux de menace et les principes de partage du risque.
Enfin, les acteurs de l’écosystème évoluant au gré des opportunités
économiques, cette cartographie pourra être mise à jour à travers une
activité de veille de l’information
13
.
Identifier le cadre légal et réglementaire qui régit ses
activités numériques
Le dirigeant doit connaitre les exigences légales et réglementaires
applicables à son organisation et être capable d’apprécier son niveau de
conformité à leur égard. S’il n’est pas toujours facile d’identifier le cadre
légal et réglementaire applicable à son organisation, initier la réflexion
selon les axes ci-dessous permet toutefois de dresser un état des
lieux assez complet de sa situation en vue d’en dégager les obligations
afférentes.
• Les missions et activités de l’organisation : exigences de sécurité
incluses dans les contrats passés avec ses clients, fournisseurs ou
partenaires.
• Le secteur d’activité : exigences particulières de protection en fonction
du secteur d’activité de l’organisation (public, santé, nucléaire,
transports, finances, etc.).
12
Cf. Étape 3 – Définir son seuil d’acceptation des risques
13
Cf. Étape 12 – Connaissance : de la veille à l’analyse
Pour aider l’organisation à cartographier son écosystème
et évaluer la menace numérique qui pèse sur elle, l’ANSSI
propose une approche simple et efficace capable de
mettre en évidence les parties prenantes qui fragilisent
le plus l’organisation (cf. atelier 3 de la méthode EBIOS
Risk Manager).
17
• La nature de l’organisation : l’Etat peut par exemple attribuer les statuts
particuliers d’opérateur d’importance vitale (OIV) ou d’opérateur de
service essentiel (OSE) à l’organisation.
• La nature des informations manipulées : exigences applicables à la
manipulation de certaines informations sensibles (par exemple, les
données à caractère personnel).
• Le cadre national et international : contraintes légales nationales et
internationales ayant pour objectifs la protection des populations et
l’économie des nations.
Pour l’aider à déterminer le cadre légal et réglementaire
qui lui est applicable et l’assister dans sa démarche de
mise en conformité, l’organisation peut avoir recours à
des compétences externes spécialisées dans le conseil
juridique.
18
ÉTAPE 3.
Connaître son seuil d’acceptation
des risques
L’appétence aux risques est le niveau de risque
qu’un dirigeant accepte de prendre pour soutenir les
activités et le développement de son organisation.
Elle appuie les décisions stratégiques et oriente les
opérations.
Comment connaître son appétence aux risques
L’appétence aux risques est fortement liée à la culture de l’organisation,
à son secteur économique, ses implantations et à sa stratégie de
développement. Elle formalise les attentes des instances dirigeantes en
matière de prise de risques. Fruit d'échanges avec les parties prenantes
de l’organisation (banques, assurances
14
, partenaires, clients ou
fournisseurs
15
, etc.), l’appétence aux risques définit le seuil d’acceptation
des risques de l’organisation.
Pour être efficace, l’appétence aux risques doit être régulièrement
réévaluée au moyen d’indicateurs de performance
16
et à la lumière
des évolutions
17
que connait l'environnement (sociales, techniques,
économiques, environnementales et politiques).
14
Cf. Étape 6 – Mettre en place des polices d'assurance adaptées
15
Cf. Étape 2 – Comprendre son activité numérique
16
Cf. Étape 14 – Agilité : l’amélioration continue et la performance
17
Cf. Étape 12 – Connaissance : de la veille à l’analyse
Une méthode d’aide à la définition d’une politique d’appétence
aux risques est proposée dans l’ouvrage Management du
risque : une approche stratégique, AFNOR édition, 2018.
19
ÉTAPE 4.
Construire ses pires scénarios .
de risque
Associée à une approche par conformité aux bonnes
pratiques
18
, l’identification et la quantification
financière des scénarios de cyberattaque les plus
critiques pour l’organisation, constituent l’étape
initiale de la stratégie de sécurité numérique.
Adopter une approche par conformité aux risques les
plus vraisemblables
Le respect de normes
19
et de bonnes pratiques en matière de sécurité
des systèmes d’information permet d’anticiper la survenance des
cyberattaques les plus vraisemblables. En prenant ainsi connaissance des
mesures de sécurité numériques indispensables à la construction du socle
de sécurité
20
, l’organisation devient capable de recentrer son analyse de
risque en s’intéressant aux scénarios les plus critiques pour son activité..
Identifier les scénarios de cyberattaque critiques
21
Le comité des risques numériques élabore des scénarios de
cyberattaque susceptibles d’impacter une ou plusieurs activités vitales
pour l’organisation. Ces impacts peuvent être numériques, physiques,
financiers, liés à la réputation ou encore juridiques. Le niveau de risque est
ensuite défini en fonction de la gravité de ces impacts et de la vraisemblance
de ces scénarios. La vraisemblance reflète le degré de faisabilité ou de
possibilité qu’un attaquant aboutisse à son objectif (cf. Figure 3).
18
Guides techniques et recueils de bonnes pratiques élémentaires de l’ANSSI -
https://www.ssi.gouv.fr/bonnes-pratiques/
19
Famille ISO/IEC 27000 - Systèmes de management de sécurité de l'information, ISO - www.iso.org
20
Cf. Étapes 9, 10 et 11
21
Les ateliers 2 et 3 de la méthode d’analyse des risques EBIOS Risk Manager de l’ANSSI peuvent
aider à identifier les scénarios de risque numérique les plus critiques. EBIOS Risk Manager, ANSSI,
2018 - www.ssi.gouv.fr/ebios/
20
Quelle que soit la structure de l’organisation, le comité doit fonder
l’élaboration de ces scénarios sur les questions suivantes.
• Quels sont les évènements redoutés qui peuvent impacter les valeurs
métiers de l’organisation ?
• Quels sont les attaquants susceptibles de porter atteinte aux activités
de l’organisation et quels sont leurs objectifs ?
• Mes systèmes d’information sont-ils suffisamment robustes pour
résister à une cyberattaque ciblée ?
• Quels sont les risques tiers qui peuvent impacter l’organisation (risque
d’image négative, de non-conformité, sanitaire, environnemental, etc.) ?
L’élaboration de scénarios de cyberattaque permet de mettre
en évidence l’existence de systèmes d’information (internes
ou externes) qui, dans un premier temps, n’avaient pas été
identifiés comme critiques.
Les services numériques critiques identifiés à l’étape 2
devront faire l’objet d’une attention spécifique de la part du
comité des risques numériques. Cela se traduira notamment
par la mise en œuvre d’une démarche d’homologation de
sécurité
22
.
Quantifier les impacts des scénarios de cyberattaque
critiques
Quantifier financièrement les impacts des scénarios de cyberattaque les
plus critiques éclaire la prise de décision quant aux options de traitement
des risques. Afin de déterminer le coût de la réussite d’un scénario de
cyberattaque, une analyse financière peut être menée en tenant compte
des éléments suivants :
• les engagements contractuels conclus avec les tiers ou le non-respect
des contraintes légales et réglementaires applicables ;
• les pertes d’exploitation et de production ;
• la perte ou la destruction d’informations essentielles ;
• la remédiation des systèmes d’information et la reprise d’activité.
22
Cf. Étape 8 – Homologuer ses services numériques critiques
21
Cependant, certains coûts sont plus difficiles à estimer. C’est notamment
le cas de ceux engendrés par une perte de confiance ou une atteinte à
l’image. Pour estimer le coût de tels impacts, la mise en oeuvre d’une
stratégie de veille de l’information
23
permettra à l’organisation de
s’informer sur les cyberattaques à l’encontre d’organisations de tailles et
d’activités similaires.
23
Cf. Étape 12 – Connaissance : de la veille à l’analyse
La description précise des conséquences d’un
scénario peut respecter différentes phases : la
crise, la remédiation et l’amélioration.
Pour chacune d‘elles, les participants doivent
spécifier quelles sont les parties impactées et à
quel niveau. Ces données seront interprétées pour
évaluer les hypothèses en montants financiers.
La crédibilité des estimations financières est
capitale dans la prise de décision des dirigeants
vis-à-vis de la stratégie de sécurité numérique.
22
Communiquer sur les risques numériques
Activité Evénement redouté Impact
Pertes financières
estimées
Gravité Vraisemblance
Scénario
de risque
Création.
/ R&D
Copie des données de
R&D et fabrication de
contrefaçons
Impact financier
Impact sur l’image et la confiance
25 % du CA 4 - Catastrophique Vraisemblable R1
Fabrication
Fuite d’information
sur les procédés de
fabrication
Impact juridique
Impact sur l’image et la confiance
25 % du CA 3 - Majeur Vraisemblable R2
Indisponibilité de la
chaine de production
Impact financier
Impact sur les objectifs de production
80 k€/jour 4 - Catastrophique Très vraisemblable R3
Facturation /
Commande
Vol de la base clients/
fournisseurs
Impact juridique
Impact concurrentiel
4 % du CA 4 - Catastrophique Vraisemblable R4
Indisponibilité du
système de facturation
Impact financier
Impact sur les objectifs de commande
80 k€/jour 3 - Majeur Vraisemblable R5
Fuite des données
commerciales
Impact financier 25 % du CA 3 - Majeur Très vraisemblable R6
Livraison
Corruption des bons de
livraison
Impact sur l’image et la confiance
Impact sur les livraisons
80 k€/jour 4 - Catastrophique Très vraisemblable R7
Figure 3 – Exemple de formalisation de scénarios de risque numérique
Le risk manager a pour mission de retranscrire de façon intelligible les
différents scénarios de risque numérique en décrivant leur gravité et leurs
impacts, y compris financiers. Cette synthèse des scénarios pesant sur
l'activité de l’organisation sera présentée au dirigeant. Cela orientera le
dirigeant dans ses prises de décision en matière de stratégie de sécurité
numérique.
23
Activité Evénement redouté Impact
Pertes financières
estimées
Gravité Vraisemblance
Scénario
de risque
Création.
/ R&D
Copie des données de
R&D et fabrication de
contrefaçons
Impact financier
Impact sur l’image et la confiance
25 % du CA 4 - Catastrophique Vraisemblable R1
Fabrication
Fuite d’information
sur les procédés de
fabrication
Impact juridique
Impact sur l’image et la confiance
25 % du CA 3 - Majeur Vraisemblable R2
Indisponibilité de la
chaine de production
Impact financier
Impact sur les objectifs de production
80 k€/jour 4 - Catastrophique Très vraisemblable R3
Facturation /
Commande
Vol de la base clients/
fournisseurs
Impact juridique
Impact concurrentiel
4 % du CA 4 - Catastrophique Vraisemblable R4
Indisponibilité du
système de facturation
Impact financier
Impact sur les objectifs de commande
80 k€/jour 3 - Majeur Vraisemblable R5
Fuite des données
commerciales
Impact financier 25 % du CA 3 - Majeur Très vraisemblable R6
Livraison
Corruption des bons de
livraison
Impact sur l’image et la confiance
Impact sur les livraisons
80 k€/jour 4 - Catastrophique Très vraisemblable R7
24
ÉTAPE 5.
Définir sa stratégie de sécurité
numérique et de valorisation
Le dirigeant doit décider du traitement des risques
numériques identifiés en fonction des enjeux et
objectifs stratégiques de son organisation. Sur la
base de ces choix, le comité des risques numériques
établit la stratégie de sécurité numérique et définit
les objectifs prioritaires, les ressources allouées et
les étapes visant à atteindre le niveau de maturité
cyber visé.
Investir dans la sécurité numérique représente un
coût mais cela répond à une attente forte des clients et
partenaires de l’organisation. Il est donc possible d’en
faire un avantage compétitif en adoptant une approche
de type
Cyber Business Partner (cf. Étape 15).
Analyse des risques numériques
La phase d’analyse des risques correspond aux choix et arbitrages faits
par le dirigeant au regard des enjeux et objectifs de son organisation. Ces
choix doivent s’appuyer sur :
• la vraisemblance d’exploitation des chemins d’attaques et l’impact des
pires scénarios sur l’organisation ;
• la capacité des mesures de sécurité en place à empêcher la survenance
des scénarios ;
• les ressources financières, humaines et techniques disponibles.
En tenant compte de ces critères, le dirigeant sera en mesure de choisir
les options de traitement des risques à retenir telles que la mise en œuvre
de mesures de sécurité, l’évolution des processus métiers ou encore le
transfert contractuel des risques vers des tiers externes (sous-traitants,
assurances, etc.).
Stratégie de sécurité numérique
Les options de traitement des risques sont déclinées dans la stratégie de
sécurité numérique qui sera pilotée par le comité des risques numériques.
Cette stratégie comprend quatre axes :
• l’implémentation progressive du socle de sécurité afin de faire converger
celui-ci avec la politique de sécurité des systèmes d’information (PSSI).
25
La mise en œuvre du socle de sécurité est détaillée dans la section «
BÂTIR SON SOCLE DE SÉCURITÉ ».
• la mise en œuvre d’une réponse aux scénarios de cyberattaque
critiques. Cette réponse se traduit par l’établissement d’un plan
d’amélioration continue de la sécurité (PACS) incluant une démarche
d’homologation
24
.
• la valorisation de la sécurité numérique par la communication en vue
de développer un avantage concurrentiel
25
.
• une politique de transfert de risque efficace vers le marché de
l’assurance pour compléter le schéma de gestion de risque. Cette
politique doit être pensée de façon globale mais détaillée par une
équipe spécifique incluant le risk manager, le courtier et l’assureur
(cf. Étape 6).
Construire une réponse aux scénarios de cyberattaque
critiques
La réponse aux scénarios de cyberattaque critiques requiert l’intervention
d’experts en sécurité des systèmes d'information. Après avoir identifié les
chemins d’attaque qui permettent la réalisation de ces scénarios critiques,
ils proposent pour chacun d’eux des mesures de mitigation. Celles-ci
visent à réduire la vraisemblance du scénario et à augmenter la difficulté
pour l’attaquant d’atteindre son objectif.
Ces mesures peuvent s’appuyer sur des solutions techniques (numériques
ou analogiques), humaines (internes ou externes) ou organisationnelles
(notamment dans l’évolution des processus métiers). Elles seront ensuite
consolidées dans le PACS (cf. exemple Figure 4).
Plan d’amélioration continue de la sécurité (PACS)
Lorsque le comité des risques numériques consolide les mesures de
mitigation dans le PACS, il a pour objectif de faire progresser l’organisation
en matière de sécurité numérique. Ce faisant, il s’engage sur la stratégie
de sécurité numérique à moyen et long termes et doit prendre en
considération les contraintes financières de l’organisation, l’optimisation
des coûts et les investissements nécessaires à cette montée en maturité.
Lors de la construction du PACS, le comité des risques numériques peut
par exemple indiquer : les mesures envisagées pour chacun des scénarios
de cyberattaque critiques, le porteur du projet, les ressources nécessaires,
une estimation du coût de la mise en œuvre, de sa complexité et les délais
de mise en œuvre impartis.
24
Cf. Étape 7 – Homologuer ses systèmes d’information critiques
25
Cf. Étape 15 – Valorisation : la cybersécurité, un avantage compétitif
26
Plan d'Amélioration Continue de la Sécurité (PACS)
Mesure de sécurité
Scénarios
de risque
Responsable Complexité Coût estimé Echéance Priorité
Nature Mesure
Facteur
humain
Sensibilisation
renforcée aux
méthodes
d’hameçonnage
R4/R6
Responsable
sécurité
+ 5 k€ 3 mois P2
Protection
des données
Protection renforcée
des données de
création, de fabrication
et de livraison sur le SI
(pistes : chiffrement,
cloisonnement)
R1/R2/
R4/R6
Responsable
informatique
++ 15 k€ 3 mois P1
Résilience
Plan de continuité
d’activité avec un
partenaire / .
sous-traitant
R3/R5
Responsable
opérationnel
+++ 30 k€ 1 mois P2
Résilience
Contrat d’assurance
cyber / responsabilité
civile
R3/R5/R7
Responsable
financier
++ 5 k€/an 1 mois P1
Figure 4 – Exemple de plan d’amélioration continu de la sécurité (PACS)
Comme dans tout système de management, le comité doit réévaluer les
pires scénarios au regard de l’avancement du PACS. Via cette revue, il
permet ainsi d’apprécier l’efficacité des mesures implémentées et le
retour sur investissement de ces dernières.
27
Mesure de sécurité
Scénarios
de risque
Responsable Complexité Coût estimé Echéance Priorité
Nature Mesure
Facteur
humain
Sensibilisation
renforcée aux
méthodes
d’hameçonnage
R4/R6
Responsable
sécurité
+ 5 k€ 3 mois P2
Protection
des données
Protection renforcée
des données de
création, de fabrication
et de livraison sur le SI
(pistes : chiffrement,
cloisonnement)
R1/R2/
R4/R6
Responsable
informatique
++ 15 k€ 3 mois P1
Résilience
Plan de continuité
d’activité avec un
partenaire / .
sous-traitant
R3/R5
Responsable
opérationnel
+++ 30 k€ 1 mois P2
Résilience
Contrat d’assurance
cyber / responsabilité
civile
R3/R5/R7
Responsable
financier
++ 5 k€/an 1 mois P1
26
Cf. Étape 15 – Valorisation : la cybersécurité, un avantage compétitif
Valoriser son investissement dans la sécurité numérique
Les stratégies de sécurité d’une part et de valorisation d’autre part peuvent
être conduites de manière simultanée et ce, dès le départ. Ainsi, pour
transformer l’effort d’investissement en avantage concurrentiel, le comité
des risques numériques peut envisager les investissements de sécurité à
l’aune de leurs impacts sur les risques et de la valorisation que l’on peut
en faire
26
.
28
ÉTAPE 6.
Mettre en place des polices
d'assurance adaptées
Parmi les mesures permettant d'améliorer la
résilience de l’organisation, la mise en place d'une
police d'assurance cyber adaptée est essentielle.
En effet, l'assurance peut permettre à l’organisation
d'encaisser le choc financier d'une éventuelle crise et,
en particulier, les pertes de revenu liées à l'arrêt de
l'activité durant la crise.
Grâce à l'ensemble des travaux déjà réalisés pour
maîtriser son risque numérique, l’organisation doit
avoir une idée plus claire de son risque résiduel et des
impacts potentiels d'une crise non seulement sur son
activité, mais aussi sur ses parties prenantes.
Faire l’inventaire des couvertures existantes
Avant de se mettre en quête d'une assurance spécifique, l’organisation doit
d'abord faire un état des lieux de ses polices d’assurance dans le cas où
l’une d’elle prévoirait la couverture d’incidents numériques. En effet, il est
tout à fait possible que le risque numérique soit partiellement couvert au
titre de dommages ou en termes de responsabilité civile.
Aujourd’hui toutefois, les couvertures classiques ne couvrent que très
partiellement le risque numérique. S’il est parfois possible d’interpréter
certaines clauses en faveur d’une prise en charge de ce type de risque, les
assureurs sont généralement peu enclins à les couvrir. Ainsi, on tend de
plus en plus vers une exclusion explicite du risque numérique des contrats
d'assurance classiques, au profit de polices d’assurance plus spécifiques.
Figure 5 - Les quatre piliers d'une politique d'assurance cyber
Principaux piliers d'une police d'assurance cyber
• Évaluations de
maturité
• Accès à des
revendeurs agréés
• Information sur la
cyber sécurité
• Enquêteurs
numériques
• Services juridiques
spécialisés
• Notification d'incident
• Surveillance de la
notation de crédit
• Plateforme d'appel
• Gestion et communica-
tion de crise
• Frais engendrés par
l'activation du plan de
continuité ou de reprise
d'activité
• Pertes de revenus
• Frais de reconstruction
des systèmes
d'information et/ou
de restauration des
données
• Frais juridiques et
financiers issus
de réclamations
pour atteinte à
la vie privée ou
défaillance de la
sécurité des SI
PRÉVENTION
ASSISTANCE
OPÉRATIONS
RESPONSABILITÉ
29
Identifier la meilleure couverture
Une fois son bilan assurantiel achevé, l’organisation peut se mettre en
quête d'une couverture spécifique. Contrairement aux polices classiques
qui séparent les conséquences pour l’organisation (assurance dommage)
de celles sur les tiers (assurance responsabilité), l'assurance cyber peut
offrir une couverture des risques directs et indirects. Généralement, ces
différents aspects se retrouvent ventilés dans quatre piliers suivants :
• Prévention : l'assureur va aider l’organisation à mettre en place ou
améliorer la gestion de son risque numérique, en lui apportant son
support dans l’application des démarches décrites dans cet ouvrage.
Ainsi, la mise en place d'une police peut permettre à l’organisation
d'améliorer sa gestion du risque numérique grâce, notamment, au
diagnostic et recommandations émis par l’assureur.
• Assistance : en cas d'événement, l'assureur entrera en jeu pour
apporter son expertise et permettre ainsi de sortir plus vite de la crise.
En aidant au redémarrage rapide de l’activité, il peut permettre de
réduire le montant des pertes.
• Couverture des opérations : l'assureur couvre les pertes financières
directement subies par l’organisation : pertes d'exploitation, de
revenus et dépenses supportées pour faire face à la crise.
• Couverture de la responsabilité : l'assureur va couvrir le coût des
recours et dommages éventuellement subis par des tiers.
Compte tenu de ses différents leviers d’intervention, l'assurance cyber est
un outil complexe qui requiert une véritable expertise. Il peut être judicieux
de recourir aux services d’un courtier d'assurance au fait des enjeux de
sécurité numérique et du contexte dans lequel évolue l’organisation
concernée.
L'assurance cyber étant un produit encore récent, il n'existe pas pour le
moment de véritable standard de marché.
30
Quatre conseils pour trouver la meilleure assurance cyber
• Se faire conseiller par un courtier qui connaît le sujet cyber
mais aussi le secteur dans lequel évolue l’organisation.
Il soutiendra la réflexion sur le niveau de couverture
d’assurance nécessaire.
• Bien préparer la documentation à fournir aux assureurs en
vue de l’évaluation du risque.
• Comparer les offres. Il peut y avoir de grandes différences
entre les polices proposées, surtout si la couverture prévoit
des spécificités relatives à l'activité de l’organisation
(aviation, maritime, construction, etc.).
• Prendre le temps de mener à bien chaque étape pour
disposer d’une connaissance fine de ses enjeux avant de se
tourner vers le marché de l'assurance. L'objectif n'est pas
de souscrire une police pour se rassurer, mais de s’engager
pour un contrat véritablement adapté aux besoins de
l’organisation.
Dans le document Preparing for Cyber Insurance ,
publié en octobre 2018, la
Federation of European
RIsk Management Associations
(FERMA),
Insurance Europe (représentant les assureurs)
et la Fédération européenne des intermédiaires
d'assurance (BIPAR) livrent un grand nombre
d'éléments pour dialoguer avec le marché, vérifier
de façon précise les conditions d'un éventuel
contrat d’assurance cyber et comparer les offres.
www.ferma.eu
Eprouver la solution choisie
La mise en place d'une assurance cyber n'est pas qu'une case à cocher. La
police souscrite doit répondre aux besoins et à l'intérêt de l’organisation.
Un bon moyen de s'assurer de la pertinence de son choix est, avant de
s’engager, de tester les polices à l'aune des scénarios de risques identifiés
par l’organisation.
L’organisation pourra ainsi évaluer la pertinence de sa couverture et,
éventuellement, activer certaines variables (prix et montants, champ de la
couverture, etc.).
31
BÂTIR
SON SOCLE DE SÉCURITÉ
32
ÉTAPE 7. Placer l'humain au centre du jeu
L’humain est à l'origine et au cœur du dispositif.
Parce qu’il est au centre du jeu, il est souvent une
cible privilégiée des attaquants.
En incluant pleinement le facteur humain dans la
PSSI, il est possible d’obtenir des collaborateurs
une participation active à la sécurité numérique
de l’organisation suivie de résultats rapides et
significatifs pour un coût raisonnable.
Sensibilisation et exercices
Le facteur humain est l’un des leviers d'action privilégiés par les
attaquants. Il est donc essentiel de l’inclure dans la stratégie de sécurité
numérique de l’organisation. Pour y parvenir, des actions de sensibilisation
ou la conduite d’exercices réalistes
27
peuvent être organisées. L’enjeu
est de développer une véritable culture de la sécurité numérique de telle
sorte que les membres de l’organisation, appuyés de procédures de
sécurité, parviennent à déjouer les pièges les plus courants tendus par les
attaquants.
Acquisition et maintien des compétences
Pour les équipes dont la spécialité relève de la sécurité des systèmes
d’information ou de l’informatique, l’acquisition et le maintien de
compétences à l’état de l’art est à inclure dans le plan de formation
annuel. Ces formations peuvent prendre la forme de programmes en ligne
(MOOC
28
), de stages ou de formations continues
29
.
Les actions menées à chaque niveau (sensibilisation, exercices)
doivent être renouvelées à intervalles réguliers pour être
véritablement efficaces car les équipes se transforment, les
bonnes pratiques s’évaporent et la menace ne cesse d’évoluer.
27
Scénarios de crise ou jeux de rôles (serious game). Les serious games en sécurité et cybersécurité pour le
grand public et les professionnels, CCI,
www.cci.fr/web/presse/actualite-fiche/-/asset_publisher/9FDf/content/actu-:-serious-games-pr-pro
28
Améliorez vos connaissances et compétences en matière de sécurité numérique avec le MOOC
SecNumAcadémie de l’ANSSI. www.secnumacademie.gouv.fr
29
L’ANSSI a développé le label de formation SecNumedu-FC. Il référence les établissements proposant des
formations continues dans le domaine de la sécurité du numérique.
www.ssi.gouv.fr/particulier/formations/secnumedu-fc-labellisation-de-formations-continues-en-
cybersecurite/formations-continues-labellisees-secnumedu
33
ÉTAPE 8.
Homologuer ses services
numériques critiques
Cette démarche est préalable à l’instauration de
la confiance dans les services numériques de
l’organisation. Grâce à une démarche itérative et
pérenne, elle assure une maitrise des risques portant
sur les services numériques les plus critiques et
participe à la valorisation des investissements dans
la sécurité numérique.
La démarche d’homologation
30
engage et responsabilise le dirigeant vis-à-
vis des risques numériques qui pèsent sur les services numériques les plus
critiques de son organisation. Elle garantit que les risques sont connus de lui
et maîtrisés par ses équipes.
Cette démarche permet de constituer un véritable dossier de sécurité des
services numériques et systèmes d’information critiques. Elle mobilise
également les équipes et ressources nécessaires à son déroulement dans
le cadre d’une démarche itérative. Ce dernier aspect assure une révision
périodique du dossier de sécurité et des risques résiduels dans le cycle de
vie des systèmes d’information.
Elle est menée par les responsables métiers avec l’assistance du responsable
de la sécurité des systèmes d’information (RSSI) et du directeur des
systèmes d’information (DSI) et comprend le passage par une commission
d’homologation, présidée par le dirigeant. A cette occasion, les risques
numériques, les réponses aux pires scénarios et la stratégie de traitement
des risques lui sont présentés.
La démarche d’homologation peut être engagée par le dirigeant en parallèle
de la construction du socle de sécurité de son organisation.
30
L’homologation de sécurité en neuf étapes simples, ANSSI, 2017, www.ssi.gouv.fr/guide-homologation-securite
31
Instruction générale interministérielle n° 1300, SGDSN, 2011, www.ssi.gouv.fr/igi1300
32
Référentiel général de sécurité (RGS), ANSSI, 2014, www.ssi.gouv.fr/rgs
33
Politique de sécurité des systèmes d’information de l’État, (PSSIE), ANSSI, 2014, www.ssi.gouv.fr/pssie
34
Loi de programmation militaire 2014 à 2019, www.legifrance.gouv.fr
Dans certains cas, la démarche d’homologation peut être obligatoire.
Citons par exemple l’instruction générale interministérielle
n°1300
31
, le référentiel général de sécurité (RGS)
32
, la politique des
systèmes d'information de l'État (PSSIE)
33
et la loi de programmation
militaire
34
(LPM).
34
ÉTAPE 9. Bâtir sa protection
Protéger les activités métiers et les biens supports
de l’organisation passe par la mise en œuvre de
mesures de sécurité. Ces mesures se situent au
carrefour de considérations organisationnelles,
numériques et physiques.
Elles sont sélectionnées sur la base d’une approche
par conformité vis-à-vis des différents référentiels
de sécurité (légal, réglementaire, etc.) s’appliquant
à l’organisation.
Eléments juridiques de protection
Une politique de prévention contractuelle active doit être déployée pour
ne pas s’exposer à des poursuites parfois pénales de la part des clients et
partenaires, quelle que soit leur nationalité. La responsabilité du dirigeant
et la réputation de l’organisation en dépendent. A ce titre, il est essentiel
d’observer quelques points d’attention juridiques :
• les obligations légales et réglementaires auxquelles l’organisation est
soumise ;
• les contrats établis avec les tiers et notamment les sous-traitants (la
juridiction applicable des éléments contractuels, la responsabilité civile
professionnelle, les annexes de sécurité
35
) ;
• un « plan d’assurance sécurité » fourni par les tiers.
Gestion de projets métiers
Toute évolution métier doit tenir compte des aspects de sécurité numérique
et ce, le plus tôt possible. Afin de ne pas contraindre les métiers par des
mesures trop lourdes vis-à-vis des besoins de sécurité, il est conseillé
d’intégrer la sécurité de manière agile
36
dans les projets.
La mise en œuvre de mesures de protection juridiques à même
de protéger l’organisation dans un environnement en constante
évolution nécessite des compétences particulières en matière
de conseil juridique.
35
Les annexes de sécurité sont des exigences de sécurité contractuellement imposées aux parte-
naires, sous-traitants et fournisseurs.
35
Etre attentif au niveau de sécurité numérique des composants dès la
conception des architectures informatiques -
security by design (ou
« sécurité par conception ») - permet de limiter les vulnérabilités applicatives.
Enfin, la conduite d’un audit de sécurité
37
technique ou organisationnel par
une entreprise tierce et indépendante
38
est une bonne manière de clore le
projet et la démarche de sécurité afférente.
Maîtrise des usages numériques
L’usage professionnel et personnel des moyens informatiques
(ordinateurs et téléphones mobiles, tablettes, supports amovibles, etc.),
les déplacements et l’accès à des réseaux sans-fil dans l’organisation
ou en dehors, sont autant de sources de menaces pour les systèmes
d’information de l’organisation. Il convient d’anticiper ces situations afin
de réduire son exposition à de telles menaces.
Les usages propres à chaque organisation doivent être maîtrisés et
inscrits dans la PSSI de l’organisation. De plus, chaque usage ou moyen
doit s’accompagner d’une procédure de maintien en condition de sécurité.
Il en va de même pour la manipulation et l’accès aux informations les plus
sensibles de l’organisation. Il est indispensable de maîtriser leur diffusion
et leur exposition, notamment vis-à-vis de personnes ou d’espaces que ces
données ne concernent pas (par exemple, des données de R&D accessibles
par un stagiaire ou depuis un salon professionnel).
Barrières de protection numérique
Protéger ses activités métiers et biens supports, c’est aussi mettre en
œuvre des mesures de protection applicatives, systèmes et réseaux.
36
L’ANSSI met à la disposition des organisations un guide méthodologique pour les accompagner dans
le développement sécurisé des projets et la gestion du risque numérique en mode agile. Agilité & sécurité
numérique, ANSSI, 2018, www.ssi.gouv.fr/uploads/2018/11/guide-securite-numerique-agile-anssi-pa-v1.pdf
37
Cf. Étape 14 – Agilité : l’amélioration continue et la performance
38
Les PASSI sont des prestataires de service qualifiés par l’ANSSI spécialisés dans les activités d’audit de la
sécurité numérique. www.ssi.gouv.fr/pass
39
Recommandations sur le nomadisme numérique, ANSSI, 2018 - www.ssi.gouv.fr/nomadisme-numerique
Sécurité numérique - Bonnes pratiques à l’usage des professionnels en déplacement, ANSSI, 2019 -
www.ssi.gouv.fr/bonnes-pratiques-professionnels-en-deplacement
Pour aider les dirigeants à prévenir les risques numériques
engendrés par les usages en vigueur dans l’organisation,
l’ANSSI publie des guides de bonnes pratiques appliquées
à certains publics et/ou situations
39
.
36
Cet arsenal de mesures techniques vise à limiter la conduite d’actions
malveillantes sur les composants numériques et informations métiers afin
de préserver leur disponibilité, leur confidentialité ou encore leur intégrité.
L’ajout de mesures de protection numérique peut engendrer un effet
contraire si elles sont pourvues de vulnérabilités. Elles deviennent pour
les attaquants des portes d’entrée supplémentaires vers les systèmes
d’information. Il est donc important de choisir avec soin ses produits ou
services de sécurité numérique et d’entretenir une relation de confiance
avec le fabricant ou l’éditeur de celles-ci.
Dans certains cas, les organisations peuvent être soumises à des
réglementations spécifiques en matière de protection numérique. Les
opérateurs d’importance vitale
40
(OIV) et les opérateurs de service
essentiel
41
(OSE) doivent ainsi se référer aux textes réglementaires
les concernant pour orienter leurs choix en matière de solutions et de
prestations
42
de sécurité numérique.
Barrières de protection physique
La maîtrise du risque numérique passe aussi par la maîtrise de son
environnement physique et de ses locaux. Un contrôle d’accès physique
aux systèmes d’information les plus critiques doit être mis en œuvre et
associé à un système de vidéo protection. Pour compléter les moyens de
protection physiques, il est fortement recommandé de prévoir des moyens
d’alerte, voire de protection, contre les incidents environnementaux
(incendie, inondation, surchauffe, etc.).
Toutefois, les moyens de protection précités demeurent des systèmes
d’information à part entière. A ce titre, ils peuvent être exposés aux
cyber-menaces et doivent être pris en compte dans les scénarios de risque.
Certaines organisations des secteurs de la recherche, de la
défense ou de l’industrie sont soumises à des réglementations
spécifiques en matière de protection physique.
Il convient alors de se rapprocher du Secrétariat général de
la défense et de la sécurité nationale (SGDSN) pour prendre
connaissance des réglementations spécifiques à la sécurité des
secteurs d’activités d’importance vitale (SAIV), à la protection
du potentiel scientifique et technique de la nation (PPST) ou
encore à la protection du secret de la défense nationale (PSDN).
40
Loi de programmation militaire (LPM)
www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france
41
Directive européenne Network and Information Security (NIS)
www.ssi.gouv.fr/entreprise/reglementation/directive-nis
42
Certification et qualification de sécurité délivrée par l’ANSSI, Les Visas de sécurité de l’ANSSI,
www.ssi.gouv.fr/administration/visa-de-securite
37
43
Cf. Étape 6 – Placer l'humain au centre du jeu
44
Prestataires de détection des incidents de sécurité (PDIS) - www.ssi.gouv.fr/pdis
ÉTAPE 10.
Orienter sa défense et anticiper sa
réaction
Défendre son organisation et ses activités métiers
contre les cyberattaques, c’est orienter sa défense
en fonction des pires scénarios de risque identifiés.
La mise en œuvre de moyens de détection, de
journalisation et de corrélation adaptés participera
à la détection des cyberattaques. Tandis que les
processus d’identification et de gestion d’une .
cyberattaque permettront de contenir et maîtriser
ses impacts sur les activités de l’organisation.
Détecter les cyberattaques
Détecter les cyberattaques consiste avant tout à orienter ses moyens de
détection vers les chemins et méthodes empruntés par les attaquants
43
.
Des dispositifs de détection des cyberattaques visant les biens supports
et activités métiers identifiés comme les plus critiques doivent être mis en
œuvre sur décision des RSSI et DSI. Ces dispositifs peuvent être placés sur
les réseaux bureautiques mais aussi sur les réseaux de production ainsi que
sur les postes utilisateurs, les postes nomades et les accès Internet.
Journalisation et corrélation
En complément des dispositifs de détection, il est recommandé de mettre en
œuvre un système de journalisation qui enregistre les événements relatifs
à l’accès aux systèmes d’informations et aux données sensibles. Ces
évènements et journaux sont ensuite corrélés et analysés pour contribuer
efficacement à la détection des cyberattaques.
En fonction du cadre légal et réglementaire de l’organisation,
celle-ci peut avoir l’obligation de recourir à des prestataires de
service qualifiés par l’ANSSI spécialisés dans les activités de
détection des cyberattaques
44
.
38
Qualifier et gérer une cyberattaque
Qualifier une cyberattaque consiste à identifier les activités et biens supports
affectés par l’attaque et, surtout la gravité de ces impacts. Il s’agit alors de
réagir, de traiter et de classer les incidents. Pour ce faire, il convient de
répondre aux questions suivantes :
• que faire lors de la détection d’un incident ?
• qui alerter ?
• quelles sont les premières mesures à appliquer ?
• quelle est l’impact de la cyberattaque sur le fonctionnement de mon
organisation ?
Une procédure d’escalade doit être définie pour gérer les incidents au juste
niveau de responsabilité (métiers, DSI, RSSI) et décider du déclenchement
ou non de la cellule de crise pour les organisations les plus importantes ou
soumises à des obligations spécifiques. Enfin, la gestion d’une cyberattaque
doit intégrer une phase d’analyse post-incident qui permettra d’améliorer
l’efficacité des mesures de sécurité initialement déployées.
45
Les bons réflexes en cas d'intrusion de son système d'information, CERT-FR, 2002,
www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002
En cas d’acte ou de suspicion de cyber-criminalité, la plateforme
cybermalveillance.gouv.fr peut accompagner les entreprises :
• en les mettant en relation avec des prestataires de proximité
compétents pour identifier la nature de l’incident et remettre
les systèmes en état de fonctionnement ;
• en les redirigeant vers d’autres plateformes (PHAROS, Perceval,
signal spam, etc.) ;
• en mettant à leur disposition de nombreux contenus et conseils
pratiques.
Le Centre gouvernemental de veille, d'alerte et de réponse aux
attaques informatiques (CERT-FR) produit et met à disposition
un certain nombre de notes d’information, de bulletins
d’actualité et d’alertes
45
.
39
46
Cf. Étape 3 – Définir son seuil d’acceptation des risques
ÉTAPE 11.
Faire preuve de résilience .
en cas de cyberattaque
La résilience d’une organisation à la suite d’une
cyberattaques relève de sa capacité à maintenir
son activité malgré la survenance d’une action
malveillante à son encontre.
Activer la cellule de crise
Si le fonctionnement de l’organisation est fortement impacté par la
cyberattaque, le comité des risques numériques doit être convoqué et la
cellule de crise constituée. Les membres de la cellule définissent et lancent
les actions à mettre en œuvre pour limiter les impacts de la cyberattaque en
cours et prévenir la propagation de la crise et ses effets de bord (financiers,
juridiques, opérationnels, professionnels ou d’image). Si l’impact de l’attaque
est proche des limites de l’appétence au risque
46
, alors le plan de continuité
d'activité (PCA) doit être activé.
La communication de crise
La communication de crise fait partie intégrante du dispositif de gestion de
crise. Transverse, elle poursuit deux objectifs :
• la réduction des impacts directs de la cyberattaque (alerte des parties
prenantes, instructions et coordination des opérations) ;
• et la préservation de la réputation (médiatique, financière, juridique,
etc.) de l’organisation.
Pour mener à bien ces deux objectifs, il est nécessaire de mener un travail
d’anticipation, tant sur le volet organisationnel (définition d’un dispositif de
communication de crise, entrainement des communicants, etc.) que sur le
volet opérationnel (identification de scénarios types, définition de plans de
communication dédiés, préparation d’éléments de réponse clés en main,
etc.).
40
Relations avec les autorités
En cas de cyberattaque, il est nécessaire de prendre contact avec les forces
de police ou de gendarmerie afin de les informer de la situation. Vous pouvez
solliciter les services territoriaux de police ou de gendarmerie de proximité.
En cas de dépôt de plainte, il est recommandé de se faire assister par un
avocat spécialisé afin de déterminer les infractions pénales dont vous ou
votre organisation êtes victime.
Le Plan de Continuité d’Activité (PCA)
Le PCA vise à garantir la survie de l’organisation à la suite d’une cyberattaque.
Il organise le redémarrage des activités le plus rapidement possible avec le
minimum de perte d’informations, avec ou sans l’assistance d’un prestataire.
Pour être pertinent, le PCA prend appui sur l’étude des pires scénarios. Il
constitue un chapitre essentiel de la politique de sécurité de l’organisation
et doit être revu, testé et enrichi à intervalles réguliers pour rester efficace.
Pour vous aider dans la constitution de votre PCA, vous
pouvez vous appuyer sur les ressources suivantes :
- ISO 22301 : 2012 Systèmes de management de la continuité
d'activité - www.iso.org
- Guide pour réaliser un plan de continuité d’activité,
SGDSN, 2015 - www.sgdsn.gouv.fr/uploads/2016/10/
guide-pca-sgdsn-110613-normal.pdf
- Plan de continuité d’activité à l’usage du chef d’entreprise
en cas de crise majeure, DGE, 2015 - www.entreprises.
gouv.fr/files/files/directions_services/politique-et-
enjeux/entrepreneuriat/Guide-PCA-en-cas-de-crise-
majeure.pdf
En fonction du cadre légal et réglementaire dans lequel
s’inscrit l’organisation (OIV, OSE, etc.), celle-ci peut être
dans l’obligation d’informer l’ANSSI de tout incident cyber. .
www.ssi.gouv.fr/en-cas-dincident
41
Le Plan de Reprise d’Activité (PRA)
L’objectif du PRA est de procéder à la reconstruction des systèmes
d’information et des données afin de redémarrer les applications et
processus métiers le plus rapidement possible en cas de cyberattaque
critique. Le PRA est constitué d’un ensemble de procédures techniques,
organisationnelles et de sécurité et peut s’appuyer sur des partenaires et
prestataires externes.
Tout comme le PCA, le PRA prend appui sur l’étude des pires scénarios.
Intégré à la politique de sécurité de l’organisation, il doit être revu, challengé
et enrichi à intervalles réguliers pour rester efficace.
Relation avec votre assureur
Durant la gestion de crise, l’activation de la police d’assurance souscrite
lors de l’étape 6 peut se révéler nécessaire. Cela permet notamment à
l’organisation de bénéficier de ressources spécifiques supplémentaires pour
l’aider à gérer la crise et revenir au plus vite à une situation normale. Selon
la couverture d’assurance choisie et la gravité de l’incident, les ressources
suivantes peuvent intervenir :
• des experts cyber, pour gérer l’incident et mener les investigations
nécessaires à sa qualification et à sa maitrise ;
• des experts système, pour aider à la reconstruction des systèmes
d’information et à la restauration des données ;
• des conseillers juridiques pour préserver les responsabilités civile et
pénale de l’organisation et de son dirigeant ;
• des conseillers en communication de crise afin d’assister le dirigeant
dans la gestion de la crise, en limiter les impacts et de préserver
l’image de l’organisation.
L’assurance cyber permet également d’amortir le choc financier, en
particulier, les pertes de revenu liées à l'arrêt de l'activité.
Enfin, l’assurance peut permettre de faire face aux frais potentiels
engendrés pour compenser les dommages causés à des tiers du fait de
l’incident survenu. La prise en compte de cet aspect est essentiel pour
préserver la réputation et la crédibilité de l’organisation vis-à-vis de ses
parties prenantes.
42
43
PILOTER SON RISQUE
NUMÉRIQUE ET VALORISER SA CYBERSÉCURITÉ
44
ÉTAPE 12. Connaissance : de la veille à l’analyse
Devant la transformation numérique, l’organisation
n’a pas d’autre choix que d’être à l’écoute du monde
dans lequel elle évolue. Il lui est vital de comprendre
son environnement et ses dynamiques pour anticiper
les menaces et leurs impacts.
Cibler et structurer sa démarche de veille
Comme spécifié dans l’étape 2, le comité des risques numériques doit
inclure dans le cadre de la gestion du risque numérique de l’organisation
la mise en place d’une démarche de veille de l’information continue et
itérative. La stratégie de veille adoptée a pour objectif le maintien à jour
des connaissances de l’organisation vis-à-vis de ses activités, de son
écosystème (concurrence, e-réputation, aspects juridiques, capacité
technologique, développement numérique, etc.), des sources de menace
et méthodes d’attaques.
Repositionner l’organisation dans son environnement
Le maintien à jour des connaissances sectorielles, métiers et transverses
de l’organisation aide le comité des risques numériques dans sa prise de
décision face à de nouvelles menaces, vulnérabilités ou contraintes légales
et réglementaires.
45
ÉTAPE 13. Engagement : de l’adhésion à l’action
Obtenir l’engagement de ses collaborateurs et des
parties prenantes de l’organisation dans la stratégie
de sécurité numérique permet de gagner en agilité
face à la menace.
Ainsi, l’exploitation du facteur humain comme
vecteur d’attaque est réduite, tandis que l’acuité
des collaborateurs face aux pièges tendus par les .
cyber-attaquants est renforcée.
Fédérer ses collaborateurs et parties prenantes
C’est au travers de la mise en œuvre d’un véritable plan d’engagement,
découlant de la stratégie de sécurité numérique, que les différents
acteurs (internes et externes) de l’organisation se sentiront pleinement
impliqués dans la démarche de gestion du risque
47
. Ainsi il sera possible
de considérer l'humain comme un acteur de défense plutôt que comme un
vecteur d’attaque.
Ce plan d’engagement repose sur trois axes :
• L’autorité. Le dirigeant doit communiquer auprès de ses collaborateurs
et parties prenantes les informations de contexte (économiques,
politiques, etc.), les impacts des risques numériques sur l’organsation
(pertes financières, chômage technique, etc.), les enjeux de la sécurité
numérique (protection des données et du savoir-faire, fraude et
corruption, maintien de la production, etc.), et les missions et objectifs
de chacun.
• Les compétences. Les collaborateurs doivent être entrainés et formés,
ainsi leurs compétences seront maintenues dans le temps.
• Les moyens. Les moyens informatiques fournis aux collaborateurs et
parties prenantes doivent leur permettre d’accomplir leurs activités
dans le respect de la PSSI et des procédures de sécurité numérique.
47
Cf. Étape 7 – Placer l'humain au centre du jeu
46
ÉTAPE 14.
Agilité : l’amélioration continue .
et la performance
En inscrivant sa stratégie de gestion du risque
numérique dans une démarche itérative
d’amélioration continue, l’organisation s’adapte aux
nouvelles menaces, renforce son socle de sécurité et
maitrise ses investissements.
L’engagement comme indicateur de performance
La mesure de l’engagement des collaborateurs et parties prenantes en
tant qu’acteurs de la défense de l’organisation doit être menée de manière
régulière au travers d’enquêtes et de questionnaires internes.
Cet indicateur permet notamment de détecter les signaux faibles d’une
démotivation ou d’une incompréhension des enjeux de la sécurité
numérique de la part des différents acteurs (internes et externes) de
l’organisation.
Stratégie d’audit et de contrôle
La mise en place d'une stratégie efficace d’audit et de contrôle permet de
s’assurer du maintien du niveau de sécurité de l’organisation. Les audits
et contrôles portent sur la conformité des mesures organisationnelles,
numériques ou physiques. Ils mettent en évidence les points de vigilance
et de non-conformité à l’égard des référentiels et de la mise en œuvre du
PACS.
La stratégie d’audit et de contrôle doit être revue à intervalles réguliers
pour y intégrer les évolutions de l’organisation et de son environnement.
47
S’adapter en permanence à la menace
La démarche d’amélioration continue portée par le comité des risques
numériques doit s’appuyer sur :
• la stratégie de veille de l’information ;
• les outils de mesure de la performance (indicateurs et tableau de bord) ;
• les résultats des actions de contrôle et d’audit.
En intégrant la connaissance des nouvelles menaces, les objectifs de la
stratégie de sécurité numérique et la correction des non-conformités
d’audits, l’organisation est en mesure d’adapter de manière dynamique sa
stratégie de gestion du risque.
Elle devient ainsi capable de faire évoluer son PACS de manière agile et
d’anticiper le risque numérique et ses impacts (cf. Figure 6).
En fonction du cadre légal et réglementaire de l’organisation,
celle-ci peut avoir l’obligation de recourir à des prestataires
de service qualifiés par l’ANSSI spécialisés dans les activités
d’audit de la sécurité numérique. www.ssi.gouv.fr/passi
48
Figure 6 – Cycle d’amélioration continue
Indicateurs &
tableau de bord
Non conformitésNouveaux renseignements
Stratégie PACS
Stratégie n-1 PACS -1
N
S
N
S
49
Piloter la performance
Pour permettre au comité des risques numériques de piloter correctement
la gestion du risque numérique, celui-ci doit se doter d‘outils de mesure
prenant la forme d’indicateurs (stratégiques, de pilotage, opérationnels,
organisationnels ou techniques).
Pour être pleinement exploitables, ces données peuvent par la suite
rejoindre des tableaux de bord dynamiques en vue d’obtenir une
représentation visuelle de l’atteinte des objectifs et ainsi faire émerger les
tendances ou les dérives.
Exemple d’indicateurs
Stratégiques De pilotage Opérationnels
Etat de la
gouvernance
du risque
numérique
- Fréquence des comités des
risques numériques
- Fréquence des audits de
conformité
- Fréquence de revue de la
stratégie de traitement des
risques
- Nombre de dérogations à la
PSSI
- Fréquence de revue de la
réglementation
- Fréquence de réévaluation des
scénarios de cyberattaque
Etat du risque
numérique
- Taux de couverture des
risques
- Taux des parties prenantes
critiques
- Taux d’analyse des risques
sur les nouveaux projets
- Taux de SI critiques couverts
par une homologation
- Nombre de non-conformités
ouvertes
- Taux d’avancement du PACS
- Fréquence des tests de PCA
- Nombre de pertes ou
vols d’équipements et
terminaux
- Pourcentage des
systèmes identifiés
comme vulnérables
- Taux de mise à jour
antivirus et correctifs
sur les postes et
serveurs
- Nombre de composants
opérationnels (matériel
et applicatif) obsolètes
ou non maintenus
50
Figure 7 – Exemple d’indicateurs
Exemple d’indicateurs
Stratégiques De pilotage Opérationnels
Etat de la
gestion des
incidents de
sécurité
- Nombre d’incidents de
sécurité maitrisés
- Nombre d’incidents de
sécurité non maîtrisés
- Temps d’interruption des
activités
- Nombre de
cyberattaques détectées
- Taux de disponibilité des
applications métiers
critiques
- Pourcentage d’incidents
de sécurité en fonction
des environnements
(messagerie, intranet,
extranet, etc.)
Etat de la
documentation
de sécurité
- Fréquence de revue de la
politique de sécurité
- Fréquence de revue des
processus de sécurité
métiers
- Nombre de nouvelles
procédures de sécurité
rédigées
Etat des
actions de
sensibilisation,
formation et
entrainement
- Taux de sensibilisation
- Taux de compétence des
équipes
- Nombre d’exercices de crise
réalisés
- Attestations de
sensibilisation
- Attestations de
formation pour les
administrateurs
51
ÉTAPE 15.
Valorisation : la cybersécurité, .
un avantage compétitif
Evaluer le retour sur investissement des efforts
consacrés à la sécurité numérique reste difficile,
tout comme de quantifier leurs bénéfices.
En valorisant ces investissements et en adoptant une
approche
Cyber Business Partner , l’organisation
peut développer son avantage concurrentiel,
aborder de nouveaux marchés, générer de la
croissance et faire évoluer positivement et
stratégiquement son image.
Développer une approche de type .
Cyber Business Partner
Une gestion structurée du risque numérique portée par une démarche
pérenne
48
induit des investissements humains et financiers, dont il est
difficile d’apprécier la rentabilité.
A contrario, les parties prenantes poussées par la transformation
numérique attendent de l’organisation qu’elle aille au-delà de la simple
gestion du risque numérique et qu’elle se positionne véritablement comme
un tiers de confiance numérique.
En adoptant une approche
cyber business partner auprès des acteurs
de son écosystème (clients, partenaires, fournisseurs et investisseurs),
l’organisation apporte ainsi la garantie d’une maturité cyber compatible
avec le seuil d’acceptation du risque de ses parties prenantes.
Elle valorise ainsi les investissements de sa stratégie de sécurité numérique
pour les transformer en avantages concurrentiels. L'organisation apporte
alors à l'ensemble de son écosystéme des valeurs autres que le coût telles
que la confiance, la proactivité ou encore l’optimisation d’investissements
49
.
48
Cf. Étape 8 – Homologuer ses services numériques critiques
49
Cf. Étape 5 – Définir sa stratégie de sécurité numérique et de valorisation
52
Dès lors, l'organisation peut s’appuyer sur cette valorisation comme gage
de confiance pour :
• générer de la croissance et saisir des opportunités de développement
auprès de ses investisseurs et partenaires ;
• rationaliser et optimiser sa police d’assurance cyber auprès de son
assureur ;
• accéder à de nouveaux marchés (notamment sensibles) en se
positionnant comme opérateur de confiance maitrisant l’ensemble de
la chaine de production et d’approvisionnement.
Enfin, en associant cette démarche à une stratégie de communication,
l’organisation influera sur le niveau de maturité cyber de son écosystème
et fera évoluer positivement son image de marque.
Aujourd’hui, cet élément commence à être pris en compte par certains
organismes tels que les agences de notation. Certaines organisations
ont vu l‘évaluation de la qualité de leur crédit sanctionnée du fait d’un
événement cyber.
Les organisations doivent être capables d’anticiper dès aujourd’hui les
attentes futures de clients, de régulateurs et d‘investisseurs vis-à-vis de
leur capacité à gérer le risque numérique et à leur apporter des garanties.
53
54
Bibliographie
Étape 1
FERMA et ECIIA,
At the Junction of Governance and Cyber-security, FERMA et ECIIA,
2017, www.ferma.eu
IFACI et AMRAE,
Trois lignes de maîtrise pour une meilleure performance, 2015,
www.amrae.fr
Étape 2
ANSSI,
EBIOS Risk Manager , 2018, https://www.ssi.gouv.fr/ebios
Étape 3
SUTRA G.,
Management du risque : une approche stratégique , Afnor éditions, 2018
Étape 4
ANSSI,
Guides techniques aux recueils de bonnes pratiques ,
www.ssi.gouv.fr/bonnes-pratiques
International Organization for Standardization, Famille ISO/IEC 27000 - Systèmes de
management de la sécurité de l'information, ISO, www.iso.org
Étape 6
FERMA, BIPAR et Insurance Europe
Preparing for Cyber Insurance , 2018, www.ferma.eu
Étape 8
ANSSI,
L’homologation de sécurité en neuf étapes simples , 2017,
http://www.ssi.gouv.fr/guide-homologation-securite
SGDSN,
Instruction générale interministérielle n° 1300 , 2011,
www.ssi.gouv.fr/igi1300
ANSSI,
Le Référentiel général de sécurité (RGS ), 2014, www.ssi.gouv.fr/rgs
ANSSI,
La Politique de sécurité des systèmes d’information de l’État, (PSSIE) , 2014,
http://www.ssi.gouv.fr/pssie
Étape 9
ANSSI,
Agilité & sécurité numérique – Méthode et outils à l’usage des équipes
projet,
2018, https://www.ssi.gouv.fr/administration/guide/agilite-et-securite-
numeriques-methode-et-outils-a-lusage-des-equipes-projet
ANSSI,
Recommandations sur le nomadisme numérique , 2018,
www.ssi.gouv.fr/nomadisme-numerique
ANSSI,
Bonnes pratiques à l’usage des professionnels en déplacement , 2019 -
www.ssi.gouv.fr/bonnes-pratiques-professionnels-en-deplacement
Étape 10
CERT-FR,
Les bons réflexes en cas d'intrusion de son système d'information :
CERTA-2002-INF-002, 2002, www.cert.ssi.gouv.fr
55
Étape 11
International Organization for Standardization,
ISO 22301:2012 Systèmes de
management de la continuité d'activité
, 2012, www.iso.org
SGDSN,
Guide pour réaliser un plan de continuité d’activité , 2015 -
www.sgdsn.gouv.fr
DGE,
Plan de continuité d’activité à l’usage du chef d’entreprise en cas de crise
majeure
, 2015, www.entreprises.gouv.fr
Autres ressources utiles
AMRAE et CESIN,
Cyber risques - Outil d’aide à l’analyse et au traitement
assurantiel
, 2015, www.amrae.fr
IFACI,
Cyber-risques : Enjeux, approches et gouvernance , 2018, https://docs.ifaci.com
Fédération Française de l’Assurance,
Anticiper et minimiser l’impact d’un cyber
risque sur votre entreprise
, 2017, www.ffa-assurance.fr
ANSSI,
Guide pour la cartographie du système d’information, 2018,
www.ssi.gouv.fr/guide/cartographie-du-systeme-dinformation
AMRAE,
La Cartographie: un outil de gestion des risques , Collection Maîtrise des
Risques, 2010, www.amrae.fr
AMRAE,
La Communication sur les Risques, Collection Maîtrise des risques, 2016,
www.amrae.fr
AMRAE, PME et ETI ;
La gestion des risques est aussi pour vous ! , Collection Maîtrise
des risques, 2018, www.amrae.fr
IFIE et AMRAE,
Le Risk Manager & l’Intelligence Economique , Collection Maîtrise
des risques, 2010, www.amrae.fr
AMRAE,
Les Plans de Continuité d’Activité, Collection Maîtrise des risques, 2015,
www.amrae.fr
CLUSIF et AMRAE,
Risk Manager et Responsable sécurité du système d’information :
deux métiers s’unissent pour la gestion des risques liés aux Systèmes d’Information,
Collection Maîtrise des risques, 2008, www.amrae.fr
AMRAE,
Trajectoire vers un Enterprise Risk Management , Collection Maîtrise des
risques, 2012, www.amrae.fr
IRT System X,
La maîtrise du risque cyber sur l’ensemble de la chaîne de sa valeur
et son transfert vers l’assurance
, www.irt-systemx.fr
DARSA J.-D. et DUFOUR N.,
Le coût du risque - Un enjeu majeur pour l’entreprise,
GERESO édition, 2018, 2e édition
Revue de la Gendarmerie nationale,
Sécurité et vie privée by design, décembre 2018
Lcl TORRISI C.,
kit de sensibilisation des atteintes à la sécurité économique, édité par
l'INHESJ et la DGGN,
2019, https://inhesj.fr https://www.gendarmerie.interieur.gouv.fr
56
Association pour le Management des Risques et des Assurances de l’Entreprise
AMRAE • 80 boulevard Haussmann 75008 Paris
www.amrae.fr • amrae@amrae.fr
Agence nationale de la sécurité des systèmes d’information
ANSSI • 51, boulevard de la Tour-Maubourg • 75 700 PARIS 07 SP
www.ssi.gouv.fr • communication@ssi.gouv.fr
Elaborée par l’ANSSI et l’AMRAE, la démarche décrite
dans ce guide s’appuie sur l’expérience des principaux
acteurs de la maitrise du risque numérique.
En 15 étapes, cet ouvrage de référence accompagne les
dirigeants et dirigeantes des organisations publiques
ou privées de toute taille dans une démarche qui draine
des enjeux stratégiques, économiques, d’image…
Parce que demain, l’organisation responsable et
génératrice de confiance sera celle qui s’attache à
maitriser le risque numérique, leurs directions doivent
le comprendre, soutenir les mesures nécessaires et
apprendre à valoriser cet investissement.
ISBN : 979-10-97351-01-4
www.amrae.fr
www.ssi.gouv.fr CONTROLLING
THE DIGITAL RISK
THE TRUST ADVANTAGE
CONTROLLING
THE DIGITAL RISK
THE TRUST ADVANTAGE
2
3
Introduction........................................................................................5
TAKING A READING OF THE DIGITAL RISK ......................................7
UNDERSTANDING THE DIGITAL RISK AND GETTING ORGANISED .11
Step 1 Defining a governance framework for the digital risk..............12
Step 2 Understanding one's digital activity..........................................15
Step 3 Know your risk acceptance threshold.......................................18
Step 4 Building one's worst risk scenarios..........................................19
Step 5 Defining one's digital security and promotion strategy............24
Step 6 Setting up suitable insurance policies......................................28
BUILDING YOUR SECURITY BASELINE ..........................................31
Step 7 Humans at the centre of the game...............................................32
Step 8 Accrediting one's critical digital services.....................................33
Step 9 Building one's protection..............................................................34
Step 10 Orienting one's defence and anticipating
the reaction there of..................................................................................37
Step 11 Showing resilience in the event of a cyberattack......................39
MANAGING ONE'S DIGITAL RISK AND PROMOTING ONE'S
CYBERSECURITY...........................................................................43
Step 12 Knowledge: from watch to analysis............................................44
Step 13 Commitment: from adhesion to action......................................45
Step 14 Agility: continuous improvement and performance..................46
Step 15 Promotion: cybersecurity, a competitive advantage.................51
Bibliography........................................................................................54
CONTENTS
4
Why did AMRAE and ANSSI decide to take up the pen together?
Brigitte Bouquot: We have been building a trusted relationship for several years
now, and it is bearing fruit—our perspectives on risk are complementary: AMRAE
focuses on economic objectives at the heart of corporate governance; ANSSI
focuses deliver on technology at the heart of national security standards. And
this is the key to deliver robust answers to the issues raised by the development
of the digital economy in cyberspace. Only a joint and holistic approach enable
us to make progress in mastering risk and setting standards for companies.
This guide translates into deeds this shared will. It is often said that we have to
transform ourselves in order not to disappear. That is particularly true in regard
to digital risk! A company must take digital risks, but it must also deploy risk
management strategies to master them. We need to address that without further
delay. Tomorrow, the responsible and trusted company will be able to control this
risk. Don’t forget that it is above all a matter of competitiveness, not of constraint.
Guillaume Poupard: We have plenty of good reasons to work together! We share
a common vision and our knowledge and experience are complementary. It
allows us to mutually enrich each other. It is very helpful in matter of support
and dialogue with our own beneficiaries. This is a reality: we speak different
languages and we do not share the same experience with digital risk. This guide
is the fruit of the sustained work carried out by our respective staff. To meet the
expectations of leaders and risk managers, they were involved in the discussions
to address the prospects of an investment in security.
Does digital risk still belong to the category of the “new threats” or has it
become unavoidable?
Brigitte Bouquot: Digital risk has become truly unavoidable, but there is still
some way to go before we master it! Leaders, informed by risk-managers, have
taken full measure of digital risk and have gradually placed it at the center
of overall risk management strategy. However, an entire ecosystem needs
to be organized, industry by industry, to provide a complete answer to these
challenges. I particularly have in mind insurance groups, whose offers are
becoming clearer and larger. Risk transfer to insurance plays a significant role
in a leader’s commitment and in the resiliency of large or small companies. But
if a compagny wants to be sustainable, it has to have a deeper knowledge of its
digital risk.
Guillaume Poupard: Digital technologies have become daily partners at work
and at home. They provide incredible opportunities as well as sophisticated and
destructive threats. This encourages organisations to rethink themselves and to
adopt a continuous improvement approach. Do I need to remind you that zero
risk does not exist? Unfortunately, yes. Indeed, cyberattacks can jeopardize the
survival of the organization or seriously compromise its image and its reliability.
It is now impossible to ignore these issues and we do our best to guide each
actor through this process, whatever their size, activity, maturity or resources.
Brigitte BOUQUOT, Chairperson of AMRAE
Guillaume POUPARD, Director General of ANSSI
FOREWORD
5
This guide owes its existence to the following observation: the digital risk that
bears down increasingly every day on organisations can go as far as putting
their very survival in peril and the one of their stakeholders. According to ANSSI
(National Cybersecurity Agency of France) and AMRAE (French Association for
Risk Management and Company Insurance), this must be considered as a risk
to be treated at the highest level of the organisation, and no longer just as a risk
of which the avoidance is the affair of technical experts.
This guide provides managers and risk managers with a progressive approach
to build, Step by Step, a digital risk management policy within their organisation
(cf. Figure 1 – Progressive approach to build a digital risk management policy).
In the event this policy already exists and needs to be consolidated or reoriented,
the reader will find useful resources and advice in it.
The proposed approach makes it possible to:
TAKING A READING OF THE DIGITAL RISK: this part allows the reader
to position their organisation in its economic competition context while
assessing the place that the digital risk holds in this equation. Today,
the response that organisations give to the digital risk is among the
most strategic issues. Like the other risks of this scale (business, legal,
commercial, financial, etc.), digital risk management requires a holistic
approach that involves many stakeholders within the organisation.
UNDERSTANDING THE DIGITAL RISK AND GETTING ORGANISED (Steps
1 to 6): this part strives to describe the governance to be implemented
in order to initiate the building of a digital security strategy. At each one
of these Steps, managers and risk managers will have the concern of
promoting the investments inherent to digital risk management.
BUILDING YOUR SECURITY BASELINE (Steps 7 to 11): this part
introduces the principles of protection, defence and resilience applied
to the digital risk. Also addressed are the digital security processes
and measures to be implemented in order to set down the previously-
defined strategy.
MANAGING ONE'S DIGITAL RISK AND ENHANCING ONE'S
CYBERSECURITY (Steps 12 to 15): this part describes the continuous
improvement mechanisms in terms of cyber risk management. This
also includes the mechanisms for managing performance, essential
for the organisation to remain competitive.
INTRODUCTION
6
Figure 1 – Progressive approach to build a digital risk management policy
1
Setting up governance
2
Understanding one's
digital activity
3
Assessing
one's appetite for risk
4
Exposure
scenarios
12 -15
Measuring performance
Continuous improvement/Promotion
5 - 6
Defining one's digital
security strategy
11
Response and
Resilience
7
Humans at the centre
of the game
8
Accrediting one's critical
information systems
9
Building
one's protection
10
Orienting
one's defence
7
Figure 1 – Progressive approach to build a digital risk management policy
TAKING A READING
OF THE DIGITAL RISK
8
Economic globalisation and interconnection
The digital transformation is affecting all facets of society (companies,
administrations, citizens, etc.) and has given rise to a new space for
communicating and sharing information: cyberspace.
It has the characteristic of overcoming the traditional borders between
States – whether they are territorial or political and upsets the notion of
space-time.
A space for creating value but also for exchanging and confronting,
cyberspace has become the theatre of social, technical, economic,
operational and political interactions. In this new dimension, competition's
rules are changing and attackers are Stepping up their ingenuity in order
to achieve their goals. Whether involving isolated individuals or groups
operating from a national territory or abroad, attackers are exploiting the
new power relations stemming from globalisation, hypermediatisation and
new digital uses.
Attacks stemming from these offensive strategies can take advantage of
trusted relationships between stakeholders (for example, a company and
its supplier) in order to unpredictably and swiftly affect organisations. In
some cases, these attacks will be fatal for them.
Digital risk management requires implementing a
holistic approach that calls upon all the stakeholders
in the organisation. AMRAE describes this approach
using the concept of the "three lines of defence
1
".
To be effective, a digital risk management policy
therefore requires being understood by and
obtaining the support of all of the organisation's
stakeholders, starting with its manager.
1
Cf. Figure 2 – The three lines of defence, p13
9
The digital risk, from a technical risk to a company risk
For many years, companies and public entities have implemented IT risk
management only for the security of their information systems. This risk
management was based on criteria such as confidentiality, integrity and
availability, and was applied primarily to cross-organisational or support
activities.
With the digital transformation of all of society's stakeholders and of their
increasing interconnection, IT risk management has progressively moved
within organisations towards a global management of digital risk. The
latter, in light of the context described here in above, is bearing down more
and more heavily on the activity of organisations.
A holistic view of risks
The changes in digital risk in the organisation now entail the criminal
liability of the manager with respect to the management and processing
thereof. This liability is accentuated by current regulations (GDPR
2
, NIS
3
,
MPL
4
, etc.).
With the increase of digital risk and its propensity to spread to all of the
organisation's activities, managers must define with the boards and
the business teams new risk acceptance thresholds (appetite for risk).
These risks are not limited to the organization only, they also concern the
stakeholders of the value chain with who they shall be shared.
The development and the transversality of this risk category now requires
managers to reconsider their risk management model in such a way that
the digital risk becomes part of the strategic, economic and legal concerns
of organisations.
In order to acquire this holistic view of risks and ensure that they are clearly
correlated with the organisation's objectives, whether public or private, a
digital risk committee must be set up. Particular attention will be given
to its ability to overcome the existing functional, business and operational
silos.
2
General Data Protection Regulation (GDPR)
3
European directive Network and Information Security (NIS)
4
French military planning law (MPL)
10
11
UNDERSTANDING
THE DIGITAL RISK AND GETTING ORGANISED
12
5
The digital security committee is part of a global governance of the digital risk when the latter is
planned by the organization.
A good risk governance entails setting up a
committee that is devoted and adapted to the
realities of the organisation.
Its role is to define the organisation's digital security
strategy, to ensure its implementation, to manage
the performance and to promote the investments
made.
Defining a governance framework for the digital risk
Digital risk governance is part of a long-term approach and must be able to
find its place in the normal operation of the organisation. It is managed by
a digital security committee.
5
The objective of the committee is to implement the digital security strategy
by making use of up-to-date knowledge of the digital risks that bear down
on the organisation's activities. It is chaired by the general management
of the organisation and is comprised of at least one representative from
each one of the three lines of defence as well as a member in charge of the
development of the activities.
STEP 1.
Defining a governance framework
for the digital risk
13
6
AMRAE and IFACI have adapted the concept in a work that meets the expectations of their targets:
Three lines of defence for better performance: increasing the reliability of the strategy through
organised risk management, AMRAE and IFACI, 2015.
Functions that participate in the global control system of risks
The so-called concept of the "three lines of defence"
has its roots in a partnership between the European
Confederation of Institutes of Internal Auditing (ECIIA)
and the Federation of European Risk Management
Associations (FERMA).
The French Association for Risk Management and
Company Insurance (AMRAE) and the French Institute
of Internal Audit and Control (IFACI) offer a risk
governance model based on "three lines of defence "
6
.
1. The first line of defence groups together the
operational functions and the business managers.
2. The second line of defence includes the risk
specialists (including digital risks) able to assist the
operational functions in identifying and evaluating
main risks that concern their area of expertise.
3. The third line of defence ensures an independent
audit function (internal or external according to
the size of the organisation) that is linked to the
organisation's highest level.
Model of the three lines of defence
1
st
line .
of defence
2
nd
line .
of defence
3
rd
line .
of defence
Board of directors/Audit committee
General management
External audit
Regulators
Operational
management
I.S.
Legal
HSE
H.R.
Finance
Management
control
…
Internal .
Audit
Insurance
Risk Management
Compliance
Internal Control
Figure 2 – The three lines of defence
14
1. Drafting and updating the Information Systems Security Policy
(ISSP) that governs digital risk management.
2. Defining the organisation's digital security strategy and the
investments required to implement it.
3. Giving priority to the security of the most critical digital services.
These digital services or these information systems are the
object of security accreditation
7
.
4. Ensuring the management of the performance and continuous
improvement in digital risk management.
5. Defining a strategy for promoting the investments made in the
field of digital security.
7
Cf. Step 8 – Accrediting one's critical digital services
The missions of the digital risk committee are as follows:
The FERMA and ECIIA organisations have also published
a recommendation guide of the internal organisation
required for digital risk management: At the Junction of
Governance and Cyber-security, FERMA and ECIIA, 2017,
www.ferma.eu.
15
STEP 2.Understanding one's digital activity
One's digital activity must be assessed and understood
before any digital risk management approach.
An organisation's activity is based on processes
and information that link it to its suppliers, its
customers, its constituents, its partners, etc.
These business assets
8
, as ANSSI calls them, are
themselves supported by services and information
systems that need to be mapped very early.
Identifying one's business assets and critical supporting
assets
Identifying the most critical business assets and supporting assets
9
is done
starting with the organisation's missions that allow it to create value and
then working progressively downward to the underlying digital services.
First, the objective is not to be exhaustive but to detect the main activities
and digital services or information systems that are the most essential.
This level of detail is enough to build one's worst risk scenarios
10
and to
identify the digital services and the information systems that the committee
will give special attention to through a Step of security accreditation
11
.
For the least critical digital services, the security measures that apply
systematically are based on an approach through conformity with standards
and best practices and the building of a security baseline.
8
Business asset: essential component in accomplishing the organisation's missions. This can be a
service, a support function, a Step in a project and any related information or know-how. EBIOS Risk
Manager, ANSSI, 2018, www.ssi.gouv.fr/ebios.
9
Supporting asset: component of the information system on which one or several business assets
are based. A supporting asset can be of a digital, physical or organisational nature. EBIOS Risk
Manager, ANSSI, 2018, www.ssi.gouv.fr/ebios
10
Cf. Step 4 – Building one's worst risk scenarios
11
Cf. Step 8 – Accrediting one's critical digital services
16
Mapping one's ecosystem
Digital transformation plunges the organisation into a highly integrated
ecosystem with its various stakeholders. This is referred to as the extended
enterprise, including the organisation in a global production chain. The
corollary is that the digital risk does not stop at the organisation’s borders.
That is why it is essential to conduct mapping work of the organisation's
ecosystem in order to get a view of its interactions and its flows. Likewise,
because the ecosystem influences the organisation in its risk management,
the manager has to include in the definition of the organisation's appetite
for risk
12
, its stakeholders, their threat levels and the principles of risk
sharing.
Finally, as the stakeholders of the ecosystem develop along with the
flow of economic opportunities, this mapping can be updated through an
information watch activity
13
.
Identifying the legal and regulatory framework that
governs one's digital activities
The manager must know the legal and regulatory requirements that apply
to their organisation and be able to appreciate their level of conformity
in this respect. Although it is not always easy to identify the legal and
regulatory framework that applies to one's organisation, initiating reflection
according to the lines hereinbelow does however make it possible to draw
up a rather complete situational analysis in order to identify the related
obligations therefrom.
• The missions and activities of the organisation: security requirements
included in the contracts concluded with its customers, suppliers or
partners.
• The activity sector: particular protection requirements according to
the organisation's activity sector (public, health, nuclear, transport,
finance, etc.).
12
Cf. Step 3 – Defining the risk acceptance threshold
13
Cf. Step 12 – Knowledge: from watch to analysis
In order to help the organisation to map its ecosystem
and assess the digital threat that bears down on it, ANSSI
proposes a simple and effective approach that can reveal
the stakeholders that weaken the organisation the most
(cf. workshop 3 of the EBIOS Risk Manager method).
17
• The nature of the organisation: the State can for example grant the
special statuses of Operator of Critical Infrastructure (OIC) or of
Operator of Essential Services (OES) to the organisation.
• The nature of the information handled: requirements that apply to the
handling of some sensitive information (for example, personal data).
• The national and international framework: national and international
legal constraints that have for objective the protection of populations
and the economy of nations.
In order to help it determine the legal and regulatory
framework that applies to it and help it in its compliance
approach, the organisation can have recourse to
specialised external skills in terms of legal counsel.
18
STEP 3.Know your risk acceptance threshold
The appetite for risk is the level of risk that a manager
accepts to take in order to support the activities and
the development of their organisation. It supports
the strategic decisions and orients operations.
How to know one's appetite for risk
The appetite for risk is strongly linked to the organisation's culture, its
economic sector, its locations and its development strategy. It formalises
the expectations of the managing bodies in terms of risk taking. The fruit
of exchanges between the organisation's stakeholders (banks, insurance
companies
14
, partners, customers or suppliers
15
, etc.), the appetite for risk
defines the organisation's risk acceptance threshold.
To be effective, the appetite for risk must be reassessed on a regular basis
using performance indicators
16
and in light of the developments
17
that
exist in the environment (social, technical, economic, environmental and
political).
14
Cf. Step 6 – Setting up suitable insurance policies
15
Cf. Step 2 – Understanding one's digital activity
16
Cf. Step 14 – Agility: continuous improvement and performance
17
Cf. Step 12 – Knowledge: from watch to analysis
A method for assistance in defining a risk appetite policy is
proposed in the work "Management du risque : une approche
stratégique", AFNOR edition, 2018.
19
STEP 4.Building one's worst risk scenario
Combined with an approach through conformity
with best practices
18
, identifying and financially
quantifying the cyberattack scenarios that are the
most critical for the organisation form the initial
Step of the digital security strategy.
Adopting an approach through conformity for the most
likely risks
Compliance with standards
19
and best practices in terms of information
systems security makes it possible to anticipate the occurrence of the
most likely cyberattacks. By thus becoming aware of the digital security
measures that are essential for building the security baseline
20
, the
organisation becomes able to orient its risk analysis by focussing on the
most critical scenarios for its activity.
Identifying the critical cyberattack scenarios
21
The digital risk committee develops cyberattack scenarios that are likely
to affect one or several activities that are vital for the organisation. These
impacts can be digital, physical, financial, linked to the reputation or legal.
The risk level is then defined according to the severity of these impacts
and the likelihood of these scenarios. The likelihood of a scenario reflects
the degree of feasibility or of the possibility that an attacker reaches their
objective (cf. Figure 3).
18
ANSSI's technical guides and basic best practices collections -
https://www.ssi.gouv.fr/en/best-practices
19
ISO/IEC 27000 family - Information security management systems, ISO - www.iso.org
20
Cf. Steps 9, 10 and 11
21
Workshops 2 and 3 of ANSSI's EBIOS Risk Manager risk analysis method can help in identifying the
most critical digital risk scenarios. EBIOS Risk Manager, ANSSI, 2018 - www.ssi.gouv.fr/ebios
20
Regardless of the organisation's structure, the committee must base the
development of its scenarios on the following questions.
• What are the feared events that can affect the organisation's business
assets?
• Which attackers are able to infringe upon the organisation's activities
and what are their target objectives?
• Are my information systems robust enough to withstand a targeted
cyberattack?
• What are the other risks that can affect the organisation (negative
image, non-compliance, sanitary, environmental, etc.)?
Developing cyberattack scenarios makes it possible to reveal
the existence of information systems (internal or external)
that, at first, were not identified as critical.
The critical digital services identified in Step 2 must be
given special attention by the digital risk committee. This
in particular results in implementing a Step of security
accreditation
22
.
Quantifying the impacts of critical cyberattack scenarios
Financially quantifying the impacts of the most critical cyberattack
scenarios helps to make decisions as to the options for treating risks. In
order to determine the cost of a successful cyberattack scenario, a financial
analysis can be conducted, taking the following elements into account:
• the contractual commitments concluded with third parties or the non-
compliance with applicable legal and regulatory constraints;
• operating and production losses;
• the loss or destruction of essential information;
• remediation of the information systems and resuming activity.
22
Cf. Step 8 – Accrediting one's critical digital services
21
However, some costs are more difficult to estimate. This is in particular
the case for those generated by a loss of trust or damage to the image.
To estimate the cost of such impacts, setting up an information watch
strategy
23
will allow the organisation to get information on cyberattacks
targeting organisations of a similar size and with similar activities.
23
Cf. Step 12 – Knowledge: from watch to analysis
The precise description of a scenario’s
consequences can include different phases: crisis,
remediation, improvement.
For each one of them, participants must specify
which parties are impacted and at what level. This
data will be interpreted in order to evaluate the
hypothesis in financial amounts.
The credibility of financial estimations is capital in
managers decision making regarding the digital
security strategy.
22
Communicating on digital risks
Figure 3 – Example of the formalisation of digital risk scenarios
The risk manager has for mission to transcribe in an intelligible manner
the various digital risk scenarios by describing their severity and their
impacts, including financial impacts. This synthesis of scenarios that bears
down on the activity of the organisation will be presented to the manager.
This will orient the manager in making their decisions in terms of digital
security strategy.
Activity Feared event Impact
Estimated financial
losses
Severity Likelihood
Risk
scenario
Création.
/ R&D
Copying of R&D data
and manufacturing
counterfeit products
Financial impact
Impact on the image and trust
25% of the turnover 4 - Catastrophic Likely R1
Manufacturing
Information leak on
the manufacturing
processes
Legal impact
Impact on the image and trust
25% of the turnover 3 - Major Likely R2
Unavailability of the
production chain
Financial impact
Impact on production goals
€80k/day 4 - Catastrophic Very Likely R3
Billing / Order
Theft of the customer/
supplier database
Legal impact
Competitive impact
4 % of the turnover 4 - Catastrophic Likely R4
Unavailability of the
billing system
Financial impact
Impact on order goals
€80k/day 3 - Major Likely R5
Leakage of commercial
data
Financial impact 25% of the turnover 3 - Major Very Likely R6
Delivery
Corruption
of delivery slips
Impact on the image and trust
Impact on distribution goals
€80k/day 4 - Catastrophic Very Likely R7
23
Activity Feared event Impact
Estimated financial
losses
Severity Likelihood
Risk
scenario
Création.
/ R&D
Copying of R&D data
and manufacturing
counterfeit products
Financial impact
Impact on the image and trust
25% of the turnover 4 - Catastrophic Likely R1
Manufacturing
Information leak on
the manufacturing
processes
Legal impact
Impact on the image and trust
25% of the turnover 3 - Major Likely R2
Unavailability of the
production chain
Financial impact
Impact on production goals
€80k/day 4 - Catastrophic Very Likely R3
Billing / Order
Theft of the customer/
supplier database
Legal impact
Competitive impact
4 % of the turnover 4 - Catastrophic Likely R4
Unavailability of the
billing system
Financial impact
Impact on order goals
€80k/day 3 - Major Likely R5
Leakage of commercial
data
Financial impact 25% of the turnover 3 - Major Very Likely R6
Delivery
Corruption
of delivery slips
Impact on the image and trust
Impact on distribution goals
€80k/day 4 - Catastrophic Very Likely R7
24
STEP 5.
Defining one's digital security and
promotion strategy
The manager must decide on the treatment of
the digital risks identified according to their
organisation's stakes and strategic objectives. Based
on these choices, the digital risk committee draws up
the digital security strategy and defines the priority
objectives, the resources allocated and the Steps
aimed at achieving the target level of cyber maturity.
Investing in digital security represents a cost but
it is a response to the strong expectation of the
organisation's customers and partners. It is therefore
possible to turn this into a competitive advantage by
adopting an approach of the Cyber Business Partner
type: (cf. Step 15).
Analysing digital risks
The analysis phase of digital risks corresponds to the choices and
decisions made by the manager concerning their organisation's stakes and
objectives. These choices must be based on:
• the likelihood of the exploitation of attack paths and the impact of the
worst scenarios on the organisation;
• the ability of the security measures in place to prevent the scenarios
from occurring;
• the financial, human and technical resources available.
Taking account these criteria, the manager will be able to choose the risk
treatment options to be selected such as implementing security measures,
changing the business processes or transferring the risks through
contracts to external third parties (subcontractors, insurances, etc.).
Digital security strategy
The risk treatment options are listed in the digital security strategy that
will be managed by the digital risk committee. This strategy includes four
lines:
• progressive implementation of the security baseline in order to have
the latter converge with the Information System Security Policy (ISSP).
Details on implementing the security baseline are provided in section
"BUILDING YOUR SECURITY BASELINE".
25
• the implementing of a response to critical cyberattack scenarios. This
response results in establishing of a Security Continuous Improvement
Plan (SCIP) including a Step of accreditation
24
.
• promoting digital security through communication so as to develop a
competitive advantage
25
.
• an effective risk transfer policy to the insurance market to supplement
the risk management process. This policy must be elaborated in a global
way but detailed by a specific team that includes the risk manager, the
broker and the insurer (cf. Step 6).
Building a response to critical cyberattack scenarios
The response to critical cyberattack scenarios requires intervention from
experts on information systems security. After having identified the attack
paths that allow these critical scenarios to take place, they propose, for
each one of them, mitigation measures. The latter aims to reduce the
likelihood of the scenario and to increase the difficulty for the attacker to
achieve their objective.
These measures can be based on technical solutions (digital or analogue),
human (internal or external) or organisational (in particular through
changing business processes). They will then be consolidated into an
action plan, also called a Security Continuous Improvement Plan (SCIP)
(cf. example Figure 4).
Security Continuous Improvement Plan (SCIP)
When the digital risk committee consolidates the mitigation measures in
the SCIP, it has for objective to push forward the organisation in terms
of digital security. Doing this, it is making a commitment on the digital
security strategy in middle and long terms and must take into consideration
the organisation's financial constraints, optimising of costs and the
investments required for this increase in maturity.
During the building of the SCIP, the digital risk committee can for example
indicate: the measures considered for each one of the critical cyberattack
scenarios, the leader of the project, the required resources, an estimate of
the cost for the implementation and the complexity thereof and the allotted
time frame for implementation.
As with any management system, the committee has to reassess the worst
scenarios in light of the progress with the SCIP. Through this review, it thus
makes it possible to assess the effectiveness of the measures implemented
and the return on investment for the latter.
24
Cf. Step 7 – Accrediting one's critical information systems
25
Cf. Step 15 – Promotion: cybersecurity, a competitive advantage
26
Security continuous improvement plan (PACS)
Figure 4 – Example of a Security Continuous Improvement Plan (SCIP)
Security measures
Risk
scenarios
Manager Complexity Estimated cost Time frame Priority
Nature Measure
Human factor
Reinforced awareness
of the methods of
phishing
R4/R6 Security manager + €5k 3 months P2
Data
protection
Reinforced protection
of the creation,
manufacturing and
delivery data on the
information system
(solutions: encryption,
partitioning)
R1/R2/
R4/R6
IT manager ++ €15k 3 months P1
Resilience
Business continuity
plan with a partner/
subcontractor
R3/R5 Operational manager +++ €30k 1 month P2
Resilience
Cyber/civil liability
insurance contract
R3/R5/R7 Financial manager ++ €5k/year 1 month P1
27
Promoting one's investment in digital security
The security strategy on the one hand and the promotion strategy on the
other hand can be conducted simultaneously and this, right from the start.
Thus, to transform the investment effort into a competitive advantage, the
digital risk committee can consider the security investments in light of
their impact on the risks and on the promotion that can be made of them
26
.
26
Cf. Step 15 – Promotion: cybersecurity, a competitive advantage
Security measures
Risk
scenarios
Manager Complexity Estimated cost Time frame Priority
Nature Measure
Human factor
Reinforced awareness
of the methods of
phishing
R4/R6 Security manager + €5k 3 months P2
Data
protection
Reinforced protection
of the creation,
manufacturing and
delivery data on the
information system
(solutions: encryption,
partitioning)
R1/R2/
R4/R6
IT manager ++ €15k 3 months P1
Resilience
Business continuity
plan with a partner/
subcontractor
R3/R5 Operational manager +++ €30k 1 month P2
Resilience
Cyber/civil liability
insurance contract
R3/R5/R7 Financial manager ++ €5k/year 1 month P1
28
STEP 6.
Setting up suitable insurance
policies
Among the measures that make it possible to improve
the organisation's resilience, setting up a suitable cyber
insurance policy is essential. Indeed, insurance can
allow the organisation to take on the financial impact of
a crisis and, in particular, the losses of income linked to
a stoppage of the activity during the crisis.
Thanks to all the work already done to control one's
digital risk, the organisation must have a clearer idea of
its residual risk and of the potential impacts of a crisis
not only on its activity, but also on its stakeholders.
Taking an inventory of the existing coverage
Before starting to look for specific insurance, the organisation must first
analyse its insurance policies in the event one of them would cover digital
incidents. Indeed, it is entirely possible for the digital risk to be partially
covered in terms of damage or in terms of civil liability or product liability.
Today however, conventional coverage covers the digital risk only very
partially. Although it is sometimes possible to interpret some clauses in
favour of coverage for this type of risk, insurers are generally reluctant
to cover them. Thus, the trend is increasingly an explicit exclusion of the
digital risk from conventional insurance policies, moving towards more
specific insurance policies.
Figure 5 – The four pillars of a cyber insurance policy - © Ferma
Key pillars of a cyber insurance policy
• Pre-breach
assessments
• Access to prevented
vendors
• Cybersecurity
information
• Forensic investigators
• Legal services
• Notification
• Credit monitoring
• Call center services
• Crisis management/
public relations
• Costs incurred to keep
or return the business
to operational
• Loss of revenue;
income, turnover
• Costs incurred to
recreate / restore data
and information
• Legal costs and
damages from claims
allerging privacy
breach or network
security failure
PREVENTION ASSISTANCE OPERATIONS
LIABILITY
29
Identifying the best coverage
Once its insurance assessment is complete, the organisation can begin
the search for specific coverage. Contrary to conventional policies that
separate the consequences for the organisation (damage insurance)
from those on third parties (liability insurance), cyber insurance can offer
coverage for direct and indirect risks. Generally, these various aspects are
broken down into four pillars:
• prevention: the insurer will assist the organisation in setting up or
in improving the management of its digital risk, by providing it with
support in applying the approaches described in this document. Thus,
the setting up of a policy can allow the organisation to improve its
digital risk management thanks, in particular, to the diagnosis and
recommendations issued by the insurer;
• assistance: in case of an event, the insurer will come into play to provide
its expertise and thus make it possible to come out of the crisis faster.
By helping to quickly restart the activity, they can make it possible to
reduce the amount of the losses;
• coverage of operations: the insurer covers the financial losses directly
incurred by the organisation: operating and revenue losses and
expenses incurred to handle the crisis;
• liability coverage: the insurer will cover the cost of recourse and
damages that may be incurred by third parties.
In light of its various intervention levers, cyber insurance is a complex tool
that requires genuine expertise. It may be judicious to have recourse to the
services of an insurance broker who is familiar with the stakes regarding
digital security and the context in which the organisation in question
operates.
As cyber insurance is a relatively recent product, there is still no real
market standard.
30
Four recommendations to find the best cyber insurance
• Get advice from a broker who knows the cyber subject but
also the sector in which the organisation operates. They will
lend support in reflecting on the required level of insurance
coverage.
• Carefully prepare the documentation to be given to the
insurer to assess the risk.
• Compare the offers. There can be substantial differences
between the offers proposed, especially if the coverage
involves specifics concerning the activity of the organisation
(aviation, maritime, construction, etc.).
• Take the time to conduct each Step correctly in order to have
detailed knowledge of the stakes involved before turning to
the insurance market. The objective is not to take out a policy
in order to reassure oneself, but to commit to a contract that
is genuinely adapted to the needs of the organisation.
In the document Preparing for Cyber Insurance,
published in October 2018, the Federation of
European Risk Management Associations (Ferma),
Insurance Europe (representing insurers) and the
European Federation of Insurance Intermediaries
(BIPAR) provide a large amount of advice for
dialoguing with the market, accurately checking
the conditions of a possible cyber insurance
contract and comparing the offers.
www.ferma.eu
Test the selected solution
Setting up cyber insurance is not just a box to be ticked. The subscribed
policy must meet the organisation's needs and interests. A good way to
ensure the relevance of one's choice is, before committing, to test the
policies in light of the risk scenarios identified by the organisation.
The organisation can thus evaluate the relevance of its coverage and,
possibly, activate certain variables (prices and amounts, scope of coverage,
etc.).
31
BUILDING
YOUR SECURITY BASELINE
32
STEP 7.Humans at the centre of the game
Humans are the origin and at the core of the system.
Because they are at the centre of the game, humans
are often a privileged target of attackers.
By fully including the human factor into the
Information System Security Policy (ISSP), it is
possible to obtain active participation in digital
security for the organisation from employees,
followed by significant and quick results at a
reasonable cost.
Awareness raising and exercises
The human factor is one of the attackers' privileged action levers. It is
therefore essential to include it in the organisation's digital security
strategy. To achieve this, efforts to increase awareness can be made
or realistic exercises
27
can be organised. The challenge is to develop a
genuine culture for digital security in such a way that the members of the
organisation, with the help of security procedures, are able to thwart the
most common traps set by attackers.
Acquiring and maintaining skills
For teams whose speciality concerns the security of information or IT
systems, acquiring and maintaining skills at the state of the art is to be
included in the annual training plan. This training can take the form of
online programmes (MOOC
28
), training sessions or continuing education
programmes
29
.
The actions carried out at each level (awareness, exercises)
have to be renewed at regular intervals in order to really be
effective because teams transform, best practices evaporate
and the threat never stops changing.
27
Crisis scenarios or role playing (serious game). Serious games for security and cybersecurity for
the general public and professionals, CCI, www.cci.fr/web/presse/actualite-fiche/-/asset_publi-
sher/9FDf/content/actu-:-serious-games-pr-pro (French only)
28
Improve your knowledge and skills in terms of digital security with the ANSSI's SecNumAcadémie
MOOC. www.secnumacademie.gouv.fr/ (French only)
29
ANSSI has developed the SecNumedu-FC training label. It lists the establishments that offer conti-
nuing education programmes in the area of digital security. www.ssi.gouv.fr/particulier/formations/
secnumedu-fc-labellisation-de-formations-continues-en-cybersecurite/formations-continues-la-
bellisees-secnumedu/ (French only)
33
STEP 8.
Accrediting one's critical digital
services
This Step is prior to instilling trust in the
organisation's digital services. Thanks to an iterative
and sustainable approach, it provides risk control
concerning the most critical digital services and
participates in promoting the investments in digital
security.
The Step of accreditation
30
is a commitment made by the top managers in
terms of the most critical digital risks for which they are held accountable
that bear down on their organisation. It guarantees that they are aware of the
risks and that the latter are controlled by their teams.
This Step makes it possible to form a genuine security dossier for digital
services and critical information systems. It also involves the teams and
resources required for the unfolding thereof in the framework of an iterative
approach. The latter aspect provides a periodic review of the security dossier
and of the residual risks in the life cycle of information systems.
It is conducted by the business managers, assisted by the Chief Information
Security Officer (CISO) and the Chief Information Officer (CIO) and includes
going through an accreditation commission, chaired by the top manager.
On this occasion, the digital risks, the responses to the worst scenarios and
the strategy for treating risks are presented to them.
The Step towards accreditation can be initiated by the top manager in parallel
with the building of the organisation's security baseline.
30
Security accreditation in nine simple Steps, ANSSI, 2017, www.ssi.gouv.fr/guide-homologation-se-
curite (French only)
31
Interministerial General Instruction no. 1300, SGDSN, 2011, www.ssi.gouv.fr/igi1300 (French only)
32
The General Security Baseline (RGS), ANSSI, 2014, www.ssi.gouv.fr/rgs (French only)
33
The State Information Systems Security Policy (SISSP), ANSSI, 2014, www.ssi.gouv.fr/pssie (French only)
34
The Military planning law 2014 to 2019, www.legifrance.gouv.fr
In some cases, the Step towards accreditation can be mandatory.
In France, mention can be made for example of Interministerial
General Instruction no. 1300
31
, the General Security Baseline
(RGS)
32
, the State Information Systems Security Policy (SISSP)
33
and
the Military planning law
34
(MPL).
34
STEP 9.Building one’s protection
Protecting the organisation's business activities
and its supporting assets entails setting up security
measures. These measures are at the crossroads of
organisational, digital and physical considerations.
They are selected based on an approach through
conformity with respect to the various security
reference standards (legal, regulatory, etc.) that
apply to the organisation.
Legal elements of protection
An active contractual prevention policy must be deployed in order to
avoid exposure to proceedings that are sometimes criminal, initiated by
customers and partners, regardless of their nationality. The liability of the
manager and the reputation of the organisation depend on it. As such, it is
essential to observe a few legal points of attention:
• the legal and regulatory obligations that the organisation is subjected to;
• the contracts established with third parties and with subcontractors in
particular (the applicable jurisdiction of the contractual elements, the
professional civil liability, the security annexes );
• a "security assurance plan" supplied by
35
third parties.
Business project management
Any business change must take into account the digital security aspects
and this, as early as possible. So as to avoid limiting the businesses by
excessively restrictive measures with regards to security needs, it is
recommended to integrate security in an agile manner
36
into the projects.
The implementation of legal protection measures able to protect
the organisation in a constantly changing environment requires
special skills in terms of legal council.
35
The security annexes are security requirements that are imposed by contract on partners,
subcontractors and suppliers.
35
Being attentive to the level of digital security of components right from the
design stage of the IT architectures – security by design – makes it possible
to limit application vulnerabilities.
Finally, conducting a technical or organisational security audit
37
by a third-
party and independent company
38
is a good way to close out the project and
the related security Step.
Controlling digital uses
The professional and personal use of IT resources (computers and mobile
telephones, tablets, removable media, etc.), and travel and access to
wireless networks inside and outside of the organisation, are all sources
of threats for the organisation's information systems. These situations
should be anticipated in order to reduce one's exposure to such threats.
The uses proper to each organisation must be controlled and listed
in the organisation's ISSP. In addition, each use or resource has to be
accompanied by a security operating procedure.
The same applies for handling and access to the organisation's most
sensitive information. It is indispensable to control the distribution thereof
and their exposure, in particular with regards to people or spaces that this
data does not concern (for example, R&D data that can be accessed by a
trainee or from a professional trade fair).
36
ANSSI makes available to organisations a methodological guide to support them in the secure
development of projects and the management of the digital risk in agile mode. Agility & digital security,
ANSSI, 2018 - www.ssi.gouv.fr/uploads/2018/11/guide-securite-numerique-agile-anssi-pa-v1.pdf
37
Cf. Step 14 – Agility: continuous improvement and performance
38
PASSI (cybersecurity audit service providers) are ANSSI-qualified service providers specialised in
digital security audit activities - www.ssi.gouv.fr/passi (French only)
39
Recommendations on digital mobility, ANSSI, 2018 - www.ssi.gouv.fr/nomadisme-numerique
(French only)
Digital security – Good practices for the use of travelling professionals, ANSSI, 2019
www.ssi.gouv.fr/en/guide/the-travel-advice-booklet
To assist managers in preventing the digital risks generated
by the current uses in the organisation, ANSSI publishes
best practices guides applied to certain audiences and/or
situations
39
.
36
Digital protective barriers
Protecting one's business activities and one's supporting assets is also
implementing application, system and network protective measures.
This arsenal of technical measures is aimed at limiting the conducting of
malicious actions on digital components and business information so as to
preserve their availability, their confidentiality and their integrity.
Adding digital protective measures can generate the opposite effect if they
contain vulnerabilities. For attackers, they become additional entry points
to the information systems. It is therefore important to carefully choose
one's digital security products and services and to maintain a relationship
of trust with the manufacturer or the publisher of the latter.
In some cases, organisations can be subjected to specific regulations in
terms of digital protection. Operators of Critical Infrastructure (OIC)
40
and
Operators of Essential Services
41
(OES) must thus refer to the regulatory
texts that concern them in order to direct their choices in terms of solutions
and services
42
for digital security.
Physical protective barriers
Controlling the digital risk also entails controlling one's physical
environment and one's premises. Physical access control to the most
critical information systems must be implemented and associated with a
video protection system. To supplement the physical means of protection,
it is highly recommended to provide means of alert, and even protection,
against environmental incidents (fire, flood, overheating, etc.).
However, the aforementioned means of protection remain information
systems as a whole. As such, they can be exposed to cyber-threats and
must be taken into account in the risk scenarios.
Some organisations in the research sectors, defence or industry
are subjected to specific regulations in terms of physical
protection.
In France, the General secretariat for defence and national
security should be contacted to get information on the
regulations specific to the security of sectors of critical
importance, to the protection of the Nation’s scientific and
technical potential or to the protection of national defence
secrecy.
40
Military planning law (MPL)
www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france (French only)
41
European directive Network and Information Security (NIS)
www.ssi.gouv.fr/entreprise/reglementation/directive-nis (French only)
42
Security certification and qualification delivered by ANSSI, ANSSI's security Visas,
www.ssi.gouv.fr/en/security-visa
37
43
Cf. Step 6 – Humans at the centre of the game
44
Security incident detection service providers - www.ssi.gouv.fr/pdis (French only)
STEP 10.
Orienting one's defence and
anticipating the reaction thereof
Defending one's organisation and its business
activities against cyber-threats is orienting one's
defence according to the worst risk scenarios
identified. Implementing suitable means of detection,
logging and correlation will participate in detecting
cyberattacks. While the processes for identifying
and managing a cyberattack will make it possible to
contain and control its impacts on the organisation's
activities.
Detecting cyberattacks
Detecting cyberattacks consists first and foremost in directing one's
detection methods towards the paths and methods used by the attackers
43
.
Systems for detecting cyberattacks aimed at the supporting assets and
business activities identified as the most critical must be implemented as
decided by the CISOs and IT management. These systems can be placed on
the office networks but also on the production networks as well as on the
user stations, mobile devices and Internet access points.
Logging and correlation
In addition to detection devices, it is recommended to implement a logging
system that records the events concerning access to the information
systems and to sensitive data. These events and logs are then correlated
and analysed to effectively contribute to detecting cyberattacks.
In France, according to the organisation's legal and regulatory
framework, the latter may have the obligation to make use of
ANSSI-qualified service providers specialised in the activities
of detecting cyberattacks
44
.
38
Qualifying and managing a cyberattack
Qualifying a cyberattack consists in identifying the activities and the
supporting assets affected by the attack, and especially the severity of these
impacts. This then entails reacting, treating and classifying the incidents. To
do this, it should be answered the following questions:
• what to do when an incident is detected?
• who to alert?
• which first measures to apply?
• what is the impact of the cyberattack on the operation of my
organisation?
An escalation procedure has to be defined to manage the incidents at the
correct level of responsibility (businesses, internal IS services, CISO) and
decide whether or not to trigger the crisis unit for the largest organisations
or those subjected to specific obligations. Finally, the management of a
cyberattack must integrate a post-incident analysis phase that makes it
possible to improve the effectiveness of the security measures that were
initially deployed.
45
Good reflexes in case one's information system is infiltrated, CERT-FR, 2002,
www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002 (French only)
In France, in case of an act of or suspected cybercrime,
the cybermalveillance.gouv.fr platform can lend support to
companies:
• by putting them in contact with competent proximity service
providers to identify the nature of the incident and get the
systems back into operating condition;
• by redirecting them to other platforms (PHAROS, Perceval,
signal spam, etc.);
• by making substantial contents and practical advices available
to them.
The Government watch, alert and response centre against IT
attacks, CERT-FR in France, produces and makes available
a certain number of informative notes, news bulletins and
alerts
45
.
39
46
Cf. Step 3 – Defining the risk acceptance threshold
STEP 11.
Showing resilience in the event of a
cyberattack
An organisation's resilience after a cyberattack
depends on its ability to maintain its activity despite
the occurrence of a malicious action against it.
Activating the crisis unit
If the operation of the organisation is strongly affected by the cyberattack, the
digital risk committee must be convened and the crisis unit has to be formed.
The members of the unit define and launch the actions to be implemented
in order to limit the impacts of the cyberattack in progress and prevent the
propagation of the crisis and its edge effects (financial, legal, operational,
professional or image). If the impact of the attack is close to the risk appetite
thresholds , then the business continuity plan (BCP) has to be activated.
Crisis communication
Crisis communication is an integral part of the crisis management system.
Being transversal, it pursues two objectives:
• reducing the direct impacts of the cyberattack (alerting stakeholders,
instructions and operation coordination);
• and preserving the organisation's reputation (media, financial, legal,
etc.).
To successfully carry out these two objectives, it is necessary to conduct
anticipatory work, from an organisational standpoint (defining a crisis
communication system, training communicators, etc.) as well as from an
operational standpoint (identifying typical scenarios, defining dedicated
communication plans, preparing turnkey response elements, etc.).
40
Relations with the authorities
In case of a cyberattack, it is necessary to contact the police in order to
inform them of the situation. You can solicit the territorial police services
in the vicinity. In the event a complaint is filed, it is recommended that you
obtain the assistance of a specialised lawyer in order to determine the
criminal infractions that you or your organisation are a victim of.
The Business continuity plan (BCP)
The Business continuity plan (BCP) aims to guarantee the organisation's
survival after a cyberattack. It organises the restarting of the activities as
quickly as possible with a minimum loss of information, with or without the
assistance of a service provider. To be relevant, a BCP is based on a study
of the worst scenarios. It forms an essential chapter of the organisation's
security policy and must be reviewed, tested and enhanced on a regular
basis in order to remain effective.
To assist you in forming your BCP, you can make use of the
following resources:
• ISO 22301: 2012 Business continuity management systems
- www.iso.org
• Guide pour réaliser un plan de continuité d'activité, SGDSN,
2015 - www.sgdsn.gouv.fr/uploads/2016/10/guide-pca-
sgdsn-110613-normal.pdf (French only)
• Plan de continuité d’activité à l’usage du chef d’entreprise
en cas de crise majeure, DGE, 2015 - www.entreprises.
gouv.fr/files/files/directions_services/politique-et-
enjeux/entrepreneuriat/Guide-PCA-en-cas-de-crise-
majeure.pdf (French only)
According to the legal and regulatory framework in which the
organisation operates (OCI, OES, etc.), the latter may have the
obligation of informing its national security agency.
In France: www.ssi.gouv.fr/en-cas-dincident (French only)
41
The Disaster recovery plan (DRP)
The objective of the Disaster recovery plan (DRP) is to rebuild the information
systems and data in order to restart the applications and business processes
as quickly as possible in case of a critical cyberattack. The DRP is formed
from a set of technical, organisational and security procedures and can rely
on partners and external service providers.
Just like the BCP, the DRP is based on a study of the worst scenarios.
Integrated into the organisation's security policy, it must be reviewed, tested
and enhanced on a regular basis in order to remain effective.
Relations with your insurer
During crisis management, activating the insurance policy taken out in Step
6 may be required. This can in particular allow the organisation to benefit
from specific additional resources to assist with managing the crisis and
returning to a normal situation as quickly as possible. According to the
selected insurance coverage and the severity of the incident, the following
resources can intervene:
• cyber experts, to manage the incident and conduct the investigations
required in order to qualify and control it;
• system experts, to assist in rebuilding information and restoring data;
• legal advisers for protecting civil and criminal liabilities of the
organisation and of its manager;
• crisis communication advisers in order to assist the manager in
managing the crisis, limiting the impacts of it and preserving the
organisation's image.
Cyber insurance can also lessen the financial impact, especially losses of
revenue linked to the stoppage of the activity.
Finally, insurance can make it possible to handle the potential costs incurred
to offset the damages caused to third parties because of the incident that
occurred. Taking this aspect into account is essential in order to preserve
the organisation's reputation and credibility with regard to its stakeholders.
42
43
MANAGING ONE'S
DIGITAL RISK AND PROMOTING ONE'S CYBERSECURITY
44
STEP 12.Knowledge: from watch to analysis
Faced with digital transformation, the organisation
has no other choice than to be aware of the world in
which it operates. It is vital for it to understand its
environment and its momentum in order to anticipate
the threats and the impacts thereof.
Targeting and structuring one's watch approach
As specified in Step 2, the digital risk committee has to include in the
framework of the organisation's digital risk management the setting
up of a continuous and iterative information watch approach. The watch
strategy adopted has for purpose to keep the organisation's knowledge up
to date in terms of its activities, its ecosystem (competition, e-reputation,
legal aspects, technological capacity, digital development, etc.), the threat
sources and attack methods.
Repositioning the organisation in its environment
Keeping the sector, business and transversal knowledge of the organisation
up to date helps the digital risk committee when making decisions when
faced with new threats, vulnerabilities or legal and regulatory constraints.
45
STEP 13.Commitment: from adhesion to action
Obtaining the commitment from one's employees
and the organisation's stakeholders to the digital
security strategy makes it possible to increase agility
when faced with a threat.
Thus, the exploitation of the human factor as an
attack vector is reduced, while the acuity of the
employees faced with the traps that have been set by
attackers is reinforced.
Federating one's employees and stakeholders
It is through implementing a real commitment plan, stemming from the
digital security strategy, that the organisation's various stakeholders
(internal and external) will feel fully involved in the process of managing
the risk
47
. It will thus be possible to consider humans as a defensive factor
rather than as an attack vector.
The commitment plan is based on three lines:
• Authority. The manager must communicate with their employees and
stakeholders the contextual information (economic, political, etc.), the
impacts of the digital risks on the organisation (financial losses, partial
unemployment, etc.), the stakes of digital security (protection of data
and of know-how, fraud and corruption, maintaining production, etc.),
and the missions and objectives of every individual;
• The skills. Employees have to be drilled and trained, as such their skills
will be maintained over time;
• The resources. The IT resources provided to the employees and
stakeholders must allow them to fulfil their activities in compliance
with the Information System Security Policy (ISSP) and digital security
procedures.
47
Cf. Step 7 – Humans at the centre of the game
46
STEP 14.
Agility: continuous improvement and
performance
By including its digital risk management strategy in
an iterative approach of continuous improvement,
the organisation adapts to new threats, reinforces its
security baseline and controls its investments.
Commitment as a performance indicator
Measuring employee and stakeholder commitment as actors in the defence
of the organisation must be carried out on a regular basis through internal
surveys and questionnaires.
This indicator in particular makes it possible to detect the weak signals
of demotivation or of a lack of understanding of the stakes regarding
digital security from the various stakeholders (internal and external) of the
organisation.
Audit and control strategy
Setting up of an effective audit and control strategy makes it possible to
ensure the maintaining of the organisation's level of security. The audits
and controls concern the compliance with organisational, digital or
physical measures. They highlight "the points of vigilance" and the points
of non-compliance with regards to standards and the implementation of
the Security Continuous Improvement Plan.
The audit and control strategy must be reviewed on a regular basis in order
to incorporate the changes in the organisation and its environment.
47
Constantly adapting to the threat
The Step of continuous improvement carried out by the digital risk
committee must be based on:
• the information watch strategy;
• the tools for measuring performance (indicators and dashboard);
• the results of the control and audit actions.
By integrating the knowledge of new threats, the objectives of the digital
security strategy and the correcting of audit non-conformities, the
organisation is able to dynamically adapt its risk management strategy.
It thus becomes capable of changing its Security Continuous Improvement
Plan (SCIP) in an agile manner and of anticipating the digital risk and its
impacts: (cf. Figure 6).
In France, according to the organisation's legal and regulatory
framework, the latter may have the obligation to make use of
ANSSI-qualified service providers specialised in the activities of
auditing digital security. www.ssi.gouv.fr/passi
48
Indicators & Dashboard
Non-conformitiesNew Information
Strategy Security Continuous
Improvement plan (SCIP)
Strategy n-1 SCIP n-1
N
S
N
S
Figure 6 – Cycle of continuous improvement
49
Performance management
In order to enable the digital risk committee to correctly steer the
management of the digital risk, the latter must be provided with
measuring tools in the form of indicators (strategic, steering, operational,
organisational or technical).
In order to be fully usable, this data can afterwards become part of dynamic
dashboards in order to obtain a visual representation of the achievement of
the objectives and thus bring out trends or deviations.
Examples of indicators
Strategic Steering Operational
State of the
governance
of the digital
risk
- Frequency of the digital risk
committees
- Frequency of the compliance
audits
- Frequency of the review of the
risk treatment strategy
- Number of ISSP exemptions
- Frequency of the review of
regulations
- Frequency of the reassessment
of the cyberattack scenarios
-
State of the
digital risk
- Rate of coverage of the risks
- Rate of critical stakeholders
- Rate of analysis of the risks on
new projects
- Rate of critical IS covered by
an accreditation
- Number of open non-
conformities
- Rate of progress of the SCIP
- Frequency of the BCP tests
- Number of losses or thefts
of equipment and terminals
- Percentage of systems
identified as vulnerable
- Update rate for anti-virus
and patches on stations
and servers
- Number of operational
components (hardware
and application) that are
obsolete or not maintained
State of the
management
of security
incidents
- Number of controlled security
incidents
- Number of non-controlled
security incidents
- Activity interruption time
- Number of cyberattacks
detected
- Rate of availability of
the critical business
applications
- Percentage of security
incidents according to
the environments (email,
intranet, extranet, etc.)
50
Figure 7 – Example of indicators
Examples of indicators
Strategic Steering Operational
State of the
security do-
cumentation
- Frequency of the review of
the security policy
- Frequency of the review
of the business security
processes
- Number of new security
procedures drafted
State of the
awareness,
training
and drilling
actions
- Rate of awareness
- Rate of competency of the
teams
- Number of crisis exercises
conducted
- Awareness certificates
- Training certificates for
administrators
51
STEP 15.
Promotion: cybersecurity, .
a competitive advantage
Assessing the return on investment of the efforts
devoted to digital security remains difficult, as well
as quantifying the benefits thereof.
By promoting these investments and by adopting a
Cyber Business Partner approach, the organisation
can develop its competitive advantage, tackle new
markets, generate growth and change its image
positively and strategically.
Developing Cyber Business Partner approach
A structured management of the digital risk based on a sustainable
approach
48
induces human and financial investments, of which it is difficult
to assess the profitability.
On the contrary, the stakeholders that are affected by digital transformation
expect that the organisation goes beyond the simple management of the
digital risk and that it positions itself truly as a third party of digital trust.
By adopting a Cyber Business Partner approach with the stakeholders in its
ecosystem (customers, partners, suppliers and investors), the organisation
provides the guarantee of a cyber maturity that is compatible with the risk
acceptance threshold of its stakeholders.
Promotes the investments of its digital security strategy in order to
transform them into competitive advantages. The organisation provides
its entire ecosystem with values other than the cost, such as trust,
proactiveness or investment optimisation
49
.
48
Cf. Step 8 – Accrediting one's critical digital services
49
Cf. Step 5 – Defining one's digital security and promotion strategy
52
The organisation can then make use of this promotion as a token of trust
for:
• generating growth and seizing development opportunities with its
investors and partners;
• rationalising and optimising its cyber insurance policy with its insurer;
• accessing new markets (especially sensitive ones) by positioning itself
as a trusted operator that controls the entire production and supply
chain.
Finally, by associating this approach with a communication strategy, the
organisation will influence the level of cyber maturity of its ecosystem and
will make its brand image change in a positive way.
Today, this aspect is starting to be taken into account by some organisations
such as scoring agencies. Some organisations have seen the quality
assessment of their credit sanctioned due to a cyber event.
Organisations have to be able to anticipate as of now the future expectations
of customers, regulators and investors in terms of their ability to handle
the digital risk and to provide them with guarantees.
53
54
Bibliography
Step 1
FERMA and ECIIA, At the Junction of Governance and Cyber-security, FERMA and
ECIIA, 2017, www.ferma.eu
IFACI et AMRAE, Trois lignes de maîtrise pour une meilleure performance, 2015,
www.amrae.fr (French only)
Step 2
ANSSI, EBIOS Risk Manager , 2018, https://www.ssi.gouv.fr/ebios/
Step 3
SUTRA G., Management du risque : une approche stratégique , Afnor éditions, 2018
(French only)
Step 4
ANSSI, Technical and good practices guides , www.ssi.gouv.fr/en/publications
International Organization for Standardization, Famille ISO/IEC 27000 - Information
security management systems, ISO, www.iso.org
Step 6
FERMA, BIPAR and Insurance Europe Preparing for Cyber Insurance , 2018,
www.ferma.eu
Step 8
ANSSI, L’homologation de sécurité en neuf étapes simples , 2017,
http://www.ssi.gouv.fr/guide-homologation-securite (French only)
SGDSN, Instruction générale interministérielle n° 1300 , 2011,
www.ssi.gouv.fr/igi1300 (French only)
ANSSI, Le Référentiel général de sécurité (RGS ), 2014, www.ssi.gouv.fr/rgs (French
only)
ANSSI, La Politique de sécurité des systèmes d’information de l’État, (PSSIE) , 2014,
http://www.ssi.gouv.fr/pssie (French only)
Step 9
ANSSI, Agilité & sécurité numérique – Méthode et outils à l’usage des équipes
projet, 2018, https://www.ssi.gouv.fr/administration/guide/agilite-et-securite-
numeriques-methode-et-outils-a-lusage-des-equipes-projet (French only)
ANSSI, Recommandations sur le nomadisme numérique , 2018,
www.ssi.gouv.fr/nomadisme-numerique (French only)
ANSSI, Digital security - Best practices for business travelers , 2019 -
www.ssi.gouv.fr/en/guide/the-travel-advice-booklet
Step 10
CERT-FR, Les bons réflexes en cas d'intrusion de son système d'information :
CERTA-2002-INF-002, 2002, www.cert.ssi.gouv.fr (French only)
55
Step 11
International Organization for Standardization, ISO 22301: 2012 Business continuity
management systems, 2012, www.iso.org
SGDSN, Guide pour réaliser un plan de continuité d’activité , 2015 -
www.sgdsn.gouv.fr (French only)
DGE, Plan de continuité d’activité à l’usage du chef d’entreprise en cas de crise
majeure, 2015, www.entreprises.gouv.fr (French only)
Additional helpful resources
AMRAE et CESIN, Cyber risques - Outil d’aide à l’analyse et au traitement
assurantiel, 2015, www.amrae.fr (French only)
Institut Français de l’audit et du contrôle internes, Cyber-risques : Enjeux,
approches et gouvernance , 2018, https://docs.ifaci.com (French only)
Fédération Française de l’Assurance, Anticiper et minimiser l’impact d’un cyber
risque sur votre entreprise , 2017, www.ffa-assurance.fr (French only)
ANSSI, Mapping the information system, 2018,
www.ssi.gouv.fr/guide/mapping-the-information-system
AMRAE, La Cartographie: un outil de gestion des risques , Collection Maîtrise des
Risques, 2010, www.amrae.fr (French only)
AMRAE, La Communication sur les Risques, Collection Maîtrise des risques, 2016,
www.amrae.fr (French only)
AMRAE, PME et ETI ; La gestion des risques est aussi pour vous ! , Collection Maîtrise
des risques, 2018, www.amrae.fr (French only)
IFIE, Le Risk Manager & l’Intelligence Economique , Collection Maîtrise des risques,
2010, www.amrae.fr (French only)
AMRAE, Les Plans de Continuité d’Activité, Collection Maîtrise des risques, 2015,
www.amrae.fr (French only)
CLUSIF et AMRAE, Risk Manager et Responsable sécurité du système d’information :
deux métiers s’unissent pour la gestion des risques liés au Systèmes d’Information,
Collection Maîtrise des risques, 2008, www.amrae.fr (French only)
AMRAE, Trajectoire vers un Enterprise Risk Management , Collection Maîtrise des
risques, 2012, www.amrae.fr (French only)
IRT System X, La maîtrise du risque cyber sur l’ensemble de la chaîne de sa valeur
et son transfert vers l’assurance ,
www.irt-systemx.fr (French only)
DARSA J.-D. et DUFOUR N., Le coût du risque - Un enjeu majeur pour l’entreprise,
GERESO édition, 2018, 2e édition (French only)
Revue de la Gendarmerie nationale, Sécurité et vie privée by design, décembre 2018
(French only)
Lcl TORRISI C. , kit de sensibilisation des atteintes à la sécurité économique, édité
par l'INHESJ et la DGGN, 2019, https://inhesj.fr https://www.gendarmerie.interieur.
gouv.fr (French only)
56
Association pour le Management des Risques et des Assurances de l’Entreprise
AMRAE • 80 boulevard Haussmann 75008 Paris
www.amrae.fr • amrae@amrae.fr
Agence nationale de la sécurité des systèmes d’information
ANSSI • 51, boulevard de la Tour-Maubourg • 75 700 PARIS 07 SP
www.ssi.gouv.fr • communication@ssi.gouv.fr
ISBN: 979-10-97351-02-1
The approach described in this guide has been developed
by ANSSI and AMRAE. It builds on the experience of the
principal actors involved in digital risk control.
In 15 steps, this reference work supports public or
private organisations of all sizes through a process
that drains strategic, economic and reputation issues.
Tomorrow, the responsible and trusted organisation
will be able to control the digital risk. That said, leaders
have to understand it, implement the appropriate
actions and learn to value this investment.
www.amrae.fr
www.ssi.gouv.fr
Guide AMRAE / ANSSI : Maîtrise du risque numérique - L'atout confiance
Selon l’ANSSI et l’AMRAE, il doit donc être considéré comme un risque à traiter au plus haut niveau de l’organisation et non plus seulement comme un risque dont l’évitement est l’affaire d’experts techniques.
Ce guide propose aux dirigeants et aux Risk managers une démarche progressive pour construire étape par étape une politique de gestion du risque numérique au sein de leur organisation .
Dans le cas où cette politique existe déjà et nécessite d’être consolidée ou réorientée, le lecteur pourra y puiser les conseils et ressources utiles.
DOCUMENTS À TÉLÉCHARGER
Guide AMRAE / ANSSI : Maîtrise du risque numérique - L'atout confiance
TÉLÉCHARGER
AUTRES PUBLICATIONS SUR LE MÊME SUJET