La cartographie des risques permet d’analyser et interroger les risques dans leurs caractéristiques spatiales. Elle intervient à plusieurs échelles et peut représenter soit la répartition spatiale des aléas, soit celle des enjeux, soit celle des vulnérabilités, soit une combinaison des trois facteurs.
Il faut absolument gérer la cybersécurité par la maitrise des risques. Et avec le risque il y a toujours trois temps : En premier lieu, il faut connaitre les risques auxquels on est confrontés : c’est la phase d’identification. Ensuite, il faut avoir une connaissance approfondie de ces risques et disposer de métriques précises. C’est ce que l’on appelle la quantification. À partir de là, il faut mettre en place une méthode normalisée et structurée de traitement des risques identifiés, mais aussi une démarche permettant de rendre cette analyse dynamique en réévaluant les risques en permanence. Ces étapes primordiales constituent le processus de gestion des risques car en concaténant toute l’information, on devient plus agile et donc plus performant.
Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminialité, l’atteinte à l’image, l’espionnage, le sabotage.
« Une violation de données » est un incident de sécurité au cours duquel les données sensibles, protégées ou confidentielles sont copiées, transmises, consultées, volées ou utilisées par une personne qui n’y est pas autorisée. »
Les données pouvant faire l’objet d’une violation peuvent être d’ordre personnelles (état civil, CNI, …), bancaires (cartes de crédit,), financières, médicales, commerciales, …
Anticiper, c’est intégrer l’intelligence collective aux process établis, c’est développer une approche globale et collaborative pour adresser les risques collectivement.
Anticiper, c’est pouvoir s’appuyer sur des solutions collaboratives et des technologies innovantes qui doivent se mettre au service des décideurs afin de les guider au travers d’indicateurs fiables vers une prise de décision éclairée. Il faut avoir une posture résiliante, travailler sur une prise de conscience générale, sur la formation et sur la souveraineté numérique à l’échelle nationale mais aussi Européenne.
EBIOS Risk Manager est la méthode d’appréciation et de traitement des risques numériques publiée par l’ANSSI avec le soutien du Club EBIOS. Cette méthodologie propose une boîte à outils modulaire, compatible avec les référentiels normatifs en vigueur, que ce soit en matière de gestion des risques ou en matière de cybersécurité.
EBIOS Risk Manager, première solution labellisée par l’ANSSI, fournit les éléments nécessaires à la communication permettant, ainsi, d’identifier et d’évaluer les risques et de déterminer les mesures de sécurité pour les atteindre en inscrivant les entreprises, du secteur public comme du privé et ce, quelles que soient leurs tailles, dans une démarche d’amélioration continue.
La mise en place d’un registre des traitements est obligatoire pour les sociétés de plus de 250 salariés. Il s’applique aux entreprises qui sont en-deçà de cet effectif dès lors que le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, qu’il n’est pas occasionnel ou qu’il porte sur des catégories particulières de données, par exemple : les données sur des origines raciales ou ethniques, opinions politiques, convictions religieuses, philosophiques ou appartenance syndicale, données génétiques ou biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou celles concernant la vie ou l’orientation sexuelle et enfin celles relatives à des condamnations pénales.
Oui, avant même l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), EGERIE avait commencé à développer les outils nécessaires à la mise en conformité en matière de protection des données à caractère personnel.
EGERIE Privacy Manager propose donc d’accompagner les DPO (Data Protection Officer) et CIL (Correspondant Informatique et Libertés) dans leur adaptation aux nouvelles règles européenne en matière de protection des données personnelles et aux modalités de mise en œuvre de ces obligations .
Le principe de Privacy By Design se retrouve au cœur du Règlement Général pour la Protection des Données (RGPD). L’article 25 de ce cadre législatif qui a pour but de protéger la vie privée des citoyens européens, intitulé « Protection des données dès la conception et protection des données par défaut » prévoit ce principe dit de Privacy by Design.
Au moyen d’une interface conviviale et via une approche dynamique, la plateforme logicielle EGERIE permet d’avoir une vision globale et centralisée de la cartographie des risques cyber et des mesures de sécurité à mettre en œuvre permettant, ainsi, de développer une véritable stratégie de cybersécurité pour l’entreprise.
La solution repose sur deux briques fonctionnelles et technologiques essentielles permettant d’optimiser les analyses de risques et d’atteindre un niveau de performance élevé : EGERIE Risk Manager et EGERIE Privacy Manager. Grâce à sa technologie, son moteur d’analyse et ses bibliothèques métiers et normatives, la plateforme EGERIE élabore la cartographie des risques cyber et rationalise leur gouvernance.
Le logiciel met à disposition de nombreuses bases de connaissances d’experts à partir desquelles les situations à risques peuvent être modélisées et déclinées (bibliothèques complètes des systèmes types, catalogues de menaces, de vulnérabilités, de mesures de sécurité …).
Aujourd’hui, les entreprises accélèrent leur transformation numérique ce qui les oblige à repenser les métiers et les manières de les exercer. Par ailleurs, elles sont confrontées à l’obligation de s’adapter « à marche forcée » aux injonctions géopolitiques et réglementaires. Et le risque y est omniprésent. Aussi, seule une pratique holistique du Risk Management permet de le maîtriser, c’est-à-dire de sécuriser les stratégies et leurs trajectoires, de protéger les équipes et les actifs.
De nos jours, plus de 6 millions de données sont volées ou perdues quotidiennement et plus des trois quarts des entreprises européennes de toute taille appréhendent une augmentation des cyberattaques, visant leurs actifs et/ou leurs données surtout à caractère personnel (Source : Breachindex 2019). Face à l’augmentation de ces risque cyber et de ces opérations de déstabilisation, il est aujourd’hui primordial de fournir, aux entreprises et aux organisations, les moyens d’assurer une meilleure protection et une sécurisation de leurs systèmes. La question n’étant plus de savoir comment réagir à une attaque mais comment l’anticiper.
Pour détecter rapidement les sources d’intrusions ou être le plus réactif et efficient possible face à l’incident, les entreprises doivent donc s’attacher à obtenir un maximum de visibilité sur leurs infrastructures. Il est donc nécessaire de réaliser des diagnostics réguliers et de savoir à quelle menace on est potentiellement exposé. Toutefois, la sécurité économique au sein d’une entreprise ou d’une organisation ne peut se résumer à des mesures techniques ou organisationnelles ponctuelles. Pour être pleinement efficace, elle suppose la mise en œuvre d’une véritable politique indispensable à la préservation de ses intérêts, de ses savoir-faire et de son capital informationnel.
Car toute entreprise dispose d’une quantité d’informations conséquente, qu’elles soient produites en interne ou émanant de tiers extérieurs (fournisseurs, clients, partenaires financiers, etc.). Elles ne peuvent bien évidemment pas être protégées toutes de la même façon, au risque de paralyser l’activité de l’entreprise. Une analyse précise des risques est donc un préalable indispensable pour identifier les informations qui sont véritablement stratégiques.
Fondées sur des normes et réglementations françaises et internationales, les technologies EGERIE sont reconnues par les autorités les plus strictes : EGERIE a reçu le Label Serveur EBIOS Risk Manager délivré par l’ANSSI. La plateforme logicielle EGERIE intègre les référentiels normatifs et bases de connaissances suivants :
– PCIDSS, ISO 27001, ISO 27002, HDS, LPM, NIS
– NIST Cybersecurity Framework, MITRE ATT&CK
– Référentiels CNIL
Plusieurs normes méthodologiques d’analyse de risques sont également intégrées par EGERIE : ISO 27005, EBIOS v2, EBIOS 2010, EBIOS Risk Manager, méthodes simplifiées (risques et mesures), ISO 21434.
