05 janvier 2020

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#281 L’appréciation du risque cyber ? [podcast NoLimitSecu]

#281 L’appréciation du risque cyber ? [podcast NoLimitSecu]

#281 L'appréciation du risque cyber ? [podcast NoLimitSecu]

les méthodes d’appréciation du risque cyber pour les entreprises : ça sert à quoi ?

A l’invitation de l’équipe de No Limit Secu, j’ai participé comme « contributeur » au débat instauré entre les invités, pro de la matière.

Pour accéder à la page web de l’épisode #251, cliquez sur ce lien : https://www.nolimitsecu.fr/methodes-appreciation-des-risques/

Le présent post de blog n’est pas un résumé de ce qu’il s’est dit dans le podcast du 5 janvier 2020.

J’ai simplement profité de l’occasion pour faire un point juridique complet sur certains aspects abordés (ou non) dans cet épisode.

PS : bonne année 2020 !!!


La notion de « risque » en termes de sécurité des systèmes d’information était « la vraisemblance d’occurences » d’une cyber attaque !

Cette notion de risque cyber semble aujourd’hui pouvoir se résumer comme « les effets de l’incertitude sur les objectifs« .

Pourquoi des méthodes d’appréciation du risque cyber pour les entreprises ?

La menace existe, cela ne fait aucun doute. Il faut donc (dans l’ordre) analyser cette menace cyber,  puis l’apprécier (la qualifier) puis la piloter (le « management » du risque).
Piloter ses risques cyber ? « On ne peut pas tout faire » (oui, désolé pour les juristes, le risque ZERO n’existe pas en matière de sécurité des systèmes d’information – oubliez vos « garanties » et autres « obligations de résultat »).
Alors ? Il faut « formaliser les risques » (ne pas se contenter d’une appréciation personnelle subjective) et PRIORISER ceux des risques identifiés comme les plus graves (vulnérabilité, menaces, etc.).
Nous, juristes, comme vous, « tech », devons apprendre à vivre avec ces menaces et accepter qu’elles ne puissent toutes faire l’objet d’une prévention technique.

les méthodes d’appréciation du risque cyber pour les entreprises : petite introduction (en BD) dans le slider ci-dessous

les méthodes d’appréciation du risque cyber pour les entreprises : le niveau de sécurité des OIV et la méthode d’évaluation EBIOS RM de l’ANSSI

OUI ! Il faut aller lire les référentiels de l’ANSSI si vous voulez comprendre :
https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/

les méthodes d’appréciation du risque cyber pour les entreprises : OSE et FSN (enfin) une définition de la « sécurité »

En résumé et en 1 slide (avant d’aller chercher le détail dans le slider ci-dessous), voici une définition légale de la notion de « sécurité » qui devrait mettre tous les juristes d’accord.


les méthodes d’appréciation du risque cyber pour les entreprises : la « sécurité » détaillée dans le slider ci-dessous

les méthodes d’appréciation du risque cyber pour les entreprises : quel niveau de sécurité pour les OSE ?

Pour bien comprendre l’articulation entre OIV et OSE, retenez que les OSE sont comme les OIV, opèrent des infrastructures informatiques essentielles pour la société civile (là où les OIV sont critiques au sens militaires du terme).
Cette classe à part d’opérateur est imposée par la Directive UE « N.I.S. » du 6 juillet 2016.
Résumé rapide dans le slider ci-dessous (ou plus détails dans ma présentation en ligne).

les méthodes d’appréciation du risque cyber pour les entreprises : FSN un exemple concret d’approche de la sécurité « par les risques »

La seule législation qui explicite clairement aux juristes ce que doit être une approche de la sécurité pour les risques ? La Directive NIS appliquées aux FSN.
F.S.N. ? « Fournisseurs de Service Numérique ». Ma présentation détaillée sur les FSN est accessible depuis ce lien. Résumé dans le slider ci-dessous.

les méthodes d’appréciation du risque cyber pour les entreprises – RGPD article 32 : quelle sécurité technique pour les « Responsables de Traitement » (de données à caractère personnel) ?

Le slider ci-dessous vous permettra de mettre le nez dans 3 problèmes précis posés par le RGPD :

  • la notion de risque dans le RGPD
  • les PIA (Privacy Impact Assessment) ou AIPD (Analyse d’Impact relative à la Protection  des Données personnelles)
  • la notion de « risque pour les droits et libertés des personnes »

les méthodes d’appréciation du risque cyber pour les entreprises : le générique en BD !!! (merci aux éditions Delcourt / Soleil)

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ