FIC 2016 atelier Gestion de crise: RSSI Groupe SNCF, EDF, Airbus, Ministeres

Atelier FIC 2016: notes  rapides par Jean Philippe Bichard 

 

Atelier-A03-FIC-2016-SNCF-EDF-CYBERISQUES-NEWS-AIRBUS-MINISTERES

Salle comble pour l'atelier A03 sur la gestion de crise

lundi 25 janvier au FIC 2016 à Lille

 

INFOGRAPHIE-ARTICLES-ATELIER-FIC2016-GESTION-DE-CRISE-RSSI-GROUPE

 

 

Rappel thématique :

Plusieurs incidents récents, à l’image de l’attaque subie par TV5 Monde, ont joué un rôle moteur dans la prise de conscience de l’impact d’un incident de sécurité sur une entreprise, que ce soit en termes de production, financiers ou d'image. Si le déni n’est plus de mise, beaucoup restent cependant persuadés que la gestion d’un incident se fera simplement grâce aux outils de sécurité mis en place. Mais quels sont les impacts en matière opérationnelle ? Quelles particularités y a-t-il à prendre en compte au niveau de l’environnement de l’entreprise ?

 

 

Sujets abordés :

Partage de l'information :

Un point central de recueil de l'info est nécessaire. Les CERT et les SOCs ont leur utilité tout comme les réseaux entre RSSI et une approche sectorielle pour un échange plus « vertical » en amont des alertes officielles (ANSSI par exemple). Il faut travailler en capillarité avec de plus en plus une approche sectorielle.

 

RSSI / Outils « pirates » de certains « users » :

Parmi certains incidents à gérer certains peuvent provenir d'usage abusif d'outils non « homologués » (ex : dropbox). Le RSSI peut chercher a fournir des outils « sécurisés » en amont avec des solutions de « chiffrement » par exemple.

 

 

Crise et exercices de crise :

Définition d'une crise : quand tout ce qui a été prévu est dépassé. A l'évidence pour Nous RSSI, la partie Cyber est transversale mais traverse tous les métiers. En matière de risques Métier c'est donc le métier qui détient la décision. Le métier a le dernier mot en cas de crise. On peut parler de « risques métiers » car identifiés par les « métiers » ; A noter : éléments de langage pré-définis et cellule de communication interne en première ligne en cas de « crise ». Exercices de crise : il faut isoler , établir un état des lieux et informer la DG. Il faut aussi déléguer, entre dans la crise et savoir en sortir avec une réaction adaptée. Il faut aussi laisser les équipes travailler « calmement » tant en forensic qu'en rétablissement des services même en mode dégradé.

 

 

Management et gestion de crise :

Nous RSSi ne sommes pas toujours présents voire rarement au CODIR. En revanche, des Comités stratégiques peuvent faire « l'intermédiaire » entre Nous et le COMEX. Il serait souhaitable que le RSSI soit rattaché au COMEX directement. Cyberassurance et gestion de crise pour mandataires sociaux ? Est ce que la cyberassurance protège contre le « pénal » en europe ? En gestion de crise, il faut aussi mesurer l'influence par une veille sur les réseaux sociaux d'une part mais en amont sur le « darknet » pour potentiellement « anticiper ».

 

Gestion de crise et systèmes ICS / Scada :

C'est un point complexe car irrésolu : les environnements ICS / Scada demeurent tres exposés. Les MAJ sont impossibles car les risques existent : sureté de fonctionnement menacée d'une part avec risque d interruption de process et risque avec les patch de modifier des déroulements de process. Maintien des équipements en état car risque de ne plus être couvert par les garanties « constructeurs »

Qui gère les Si ICS / Scada ? Automaticiens / informaticiens culture différentes, RSSi indus nécessaire ? Des opérations de patching remettent elles en cause la garantie d'un automate ? Vulnérabilités et Scada embarqués ?

 

 

Iot (objets connectés pas forcément intelligents) mais a coup sur causeurs de trouble « cyber »

Certains sont de véritables BotNet. Qui les gère ? Comment ? Sur quelles bases ? Un homme politique de premier plan aux Etats Unis aurait demandé a ce que l'on « ouvre » en chirurgie à nouveau pour changer son pacemaker émetteur de signaux de traçabilité. Drones et Scada : ioT BtoB connectés aux SI ICS / SCADA ?

 

 

Réglementation et Juridique

Dans le secteur de la Santé il existe une obligation de déclaration des incidents de sécurité survenus sur n'importe quel SI et pas seulement des notifications suite a des atteintes sur données médicales/persos. Est ce que toute MAJ apportée à un appareil médical remet en cause sa garantie ?

@jpbichard                            

@cyberisques

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires