WebCyber 14

 

Les 4 grands types de risque Cyber

 

Anecdote Cybersécurité

Un dirigeant de PMI expliquait  à un Expert de WebCyber :

« Je n’ai jamais fait l’objet d’une Cyber attaque. Je n’en ressens donc pas le risque. »

« Je ne sais pas en quoi consiste une Cyber attaque. Je ne vois donc pas le risque que je cours ou que court mon entreprise. »

« Je n’ai aucune idée de la façon de je peux évaluer ces risques que je ne perçois pas. »

« Je ne connais pas leur probabilité de se réaliser. »

« je ne sais pas calculer l’exposition financière que me font courir ces risques »

 

Alors, ajoutait-il, je ne peux me protéger contre quelque chose d’inconnus. Je n’en ai tout simplement pas envie.

L’expert Webcyber lui a répondu que la bonne question n’était pas « Vais-je faire l’objet d’une Cyber Attaque ? Quelle en est la probabilité ? ». Car la réponse était OUI et la probabilité donc à 100%. La bonne question était « Quand vais-je faire l’objet d’une Cyber attaque ?

Serais-je suffisamment préparer pour amoindrir les risques qu’elle me fera courir.

Alors cet article va vous en livrer un aperçu de ces risques pour clarifier vous éclairer sur les dispositions à prendre.

  

Qu’est-ce qu’un risque Cyber ?

 

Un risque Cyber , c’est l’éventualité d’un événement qui peut causer un dommage.

Chaque mot a son poids.

Un événement peut être imprévu, provoqué ou non. Ce peut être une erreur d’un outil ou une erreur humaine ou la combinaison des deux.

L’éventualité souligne qu’il n’est pas sûr qu’il se produise dans un délai qui peut être cerné ou prévisible. Tous les jours, il peut arriver…  ou non.

 

Comment faire une typologie en matière de risque Cyber?

 

Trois critères permettent de classer risque Cyber.

  1. CRITERE 1 : L’auteur de l’événement

Ce peut être un collaborateur qui provoque l’événement, un fournisseur, un client, un partenaire ou un tiers extérieur malveillant. Il est possible de briefer les collaborateurs pour qu’ils ne provoquent pas de tels événements. Si, malgré le brief, ils le provoquent, on parlera de faute. Il n’est pas possible de briefer les fournisseur, client, ou partenaire. S’ils provoquent un tel événement, on parlera d’erreur. Pour les tiers extérieurs malveillants, on peut être sût qu’ils chercheront à être le plus malveillant possible, le plus rapidement possible pour le plus grand bénéficie pour eux.

  1. CRITERE 2 : La probabilité d’occurrence de l’événement

Y a-t-il une probabilité que cela ne se produis pas ? Ou si l’on veut plutôt être pessimiste en se disant que cela se produira forcément : Quand cela va-t-il passer ? Le délai d’attente doit surtout être vu comme un délai de préparation pour éviter que la Cyberattaque produise les effets escomptés par les Cyber attaquants et un délai de préparation pour réagir au mieux avec toute l’efficacité souhaitable le jour de l’attaque.

  1. CRITERE 3 : Le dommage prévisible.

Un assureur évalue un dommage en termes financiers. Cela est correct mais limitatif. Il faut donc compléter l’évaluation des dommages.

Il peut y avoir des dommages en termes de performance économique : Productivité, perte de clients, réfactions sur retard de livraison, échecs de négociations.

Il peut y avoir des dommages en termes de réputation. La Cyber attaque aura montré une faiblesse de l’entreprise et certains concurrents peuvent la souligner et en faire un argument de compétitivité.

Comment se fixer des objectifs sur chaque risque Cyber?

 

Quatre règles s’imposent.

  1. REGLE 1 : La personnalisation.

Il n’y a pas deux entreprises identiques et même si elles sont similaires, l’analyse des risques doit absolument être personnalisée car elle dépend des hommes et femmes de l’entreprise qui, évidemment, ne sont dans aucune autre. Elle dépend aussi des dispositifs techniques déjà mis en place. Elle dépend de l’attention portée par le management à la sécurisation des risques- ainsi que du temps laissé disponible pour s’en occuper.

  1. REGLE 2 : La quantification.

Il s’agit de donner des valeurs concrètes aux probabilités, aux délais, aux dommages. Cette quantification sera probablement très approximative au début mais, avec le retour d’expérience, s’affinera progressivement. Il est toujours riche d’enseignement de se demander pourquoi on éprouve le besoin de changer un quantum.

  1. REGLE 3 : L’assurance optimale.

 Tout n’a pas besoin d’être assuré par une compagnie d’assurance. L’entreprise doit inventorier les risques contre lesquels elle peut rester son propre assureur. Pour le reste, le montant de l’assurance dépendra de la couverture des dommages et des franchises acceptées. Il faudra avoir préalablement conduit une analyse assez fine.

    REGLE 4 : Le reporting de suivi.

Les Cyber attaques sont nombreuses et les technologies changent. Les outils de protection évoluent très vite et les comportements humains évoluent aussi, bien que beaucoup plus lentement. Les situations changent donc assez rapidement et une comparaison de la situation d’aujourd’hui par rapport au référentiel d’il y a 6 mois est nécessaire. Les quatre critères ci-dessus des risques auront évolué.

 

WebCyber 14

TYPOLOGIE DES RISQUES CYBER

 

  • Les risques Cyber d’origine interne

 Ce sont des risques dont l’événement est généré par des comportements de collaborateurs internes à l’entreprise.

L’entreprise- peut donc informer, former, rappeler à l’ordre ces personnes pour qu’elles se conforment aux dispositions arrêtées par l’entreprise.

En voici une première liste.

  1. Envoyer des informations qui ne devraient pas l’être
  2. Ouvrir et conserver un mail reçu par erreur
  3. Confier à des tiers des codes (identifiants et mots de passe) strictement personnels
  4. Envoyer des informations à une personne non habilitée
  5. Ouvrir le mail d’un expéditeur inconnu
  6. Ouvrir la pièce jointe d’un expéditeur inconnu
  7. Donner des droits d’accès indus à un collaborateur
  8. Donner des droits d’accès indus à un client
  9. Donner des droits d’accès indus à un fournisseur
  10. Donner des droits d’accès indus à un inconnu

 

  • Les risques Cyber d’origine externe connue

 

Ce sont des risques dont l’événement est généré par des comportements de clients, fournisseurs, partenaires. L’entreprise peut donc discuter avec ces personnes.

La même liste est applicable, mais l’entreprise ne peut pas imposer ses règles prudentielles. Elle devra les négocier, en abandonner certaines, en renforcer d’autres.

 

  1. Envoyer des informations qui ne devraient pas l’être
  2. Ouvrir et conserver un mail reçu par erreur
  3. Confier à des tiers des codes (identifiants et mots de passe) strictement personnels
  4. Envoyer des informations à une personne non habilitée
  5. Ouvrir le mail d’un expéditeur inconnu
  6. Ouvrir la pièce jointe d’un expéditeur inconnu
  7. Donner des droits d’accès indus à un collaborateur
  8. Donner des droits d’accès indus à un client
  9. Donner des droits d’accès indus à un fournisseur
  10. Donner des droits d’accès indus à un inconnu

 

  • Les risques Cyber d’origine externes inconnue

 

Ce sont ceux auxquels on pense le plus souvent quand on parle de Cyber attaque. Mais leur probabilité d’occurrence dépend des faiblesses dans la gestion des risques mentionnés ci-dessus.

  1. Prendre la main sur un PC pour accéder aux codes
  2. Utiliser un PC entreprise pour des attaques malveillantes
  3. Voler tout ou partie des données individuelles
  4. Voler tout ou partie des données de l’entreprise
  5. Détruire tout ou partie des données
  6. Empêcher l’accès aux données
  7. Polluer les données et les rendre fausses
  8. Mettre les données sur le Black Web
  9. Revendre les données
  10. Générer des pannes épisodiques
  11. Présenter une demande de rançon

 

  • Les risques Cyber indirects

 

Ils sont la conséquence des risques mentionnés ci-dessus et leur impact peut être tout aussi important.

Impacter les collaborateurs avec une surcharge de travail considérable

  1. Générer un préjudice financier très important
  2. Arnaque au Président
  3. Détruire la réputation auprès des partenaires, clients et fournisseurs
  4. Générer d’autres préjudices (commercial, image, confiance)
  5. Être un traumatisme pour les équipes et les dirigeants
  6. Être un délit difficilement détectable, prouvable et condamnable
  7. Laisser seul face à votre traumatisme

  

Conclusion

 

En conclusion de cet article, il y a effectivement beaucoup de travail pour aboutir à un inventaire quantifié des risques.

Sans doute, lors du lancement de votre démarche de Cybersécurité, vous aurez besoin d’un renfort ponctuel en temps et savoir-faire pour mener à bien votre analyse. Cet expert pourra aussi vous conseiller sur les fournisseurs complémentaires nécessaires et sur le meilleur profil du RSSI.

Ayez à cœur d’impliquer dans votre démarche d’analyse de Cyber sécurité TOUS les acteurs internes. Et si vous avez besoin d’un acteur externe pour vous aider, Webcyber est à votre disposition.

  •  NB Ces risques vont être sécurisés de façon coordonnée par les acteurs de la Cybersécurité, dans un ensemble d’actions concertées. Un autre article de Webcyber présente ces acteurs et ces actions.