Player is loading...
Définir une stratégie de cybersécurité selon vos risques
Nicolas Frey, Membre fondateur, Association suisse pour le label de cybersécurité, cyber-safe.ch
Friday, Nov. 20, 2020 · 9 a.m. · 12m 26s
Embed
Transcriptions
Note: this content has been automatically generated.
00:00:01
si vous effectuez la commande
00:00:08
avec ses intéressant comme expérience à l'auditoire vide
00:00:12
donc en deux mots je présente nicolas frais chez un ingénieur su plutôt liée à
00:00:17
la technique qu'ont envoyé au front de temps en temps ingénieur dans la sécurité
00:00:23
avec une information moins spécialisé dans la gestion de risques
00:00:27
pour commencer je tiens à remercier madame formulaire monsieur melo et
00:00:31
tout les organisateurs de l'événement un nouveau permettrait ici de
00:00:36
venir présenter un peut nous aider au mieux aux PME
00:00:41
donc l'objectif aujourd'hui hein pour moi c'
00:00:45
est donner quelques indices aux différents chefs d'entreprise qui
00:00:48
peut être là et qui nous écoutent eux de manière alors permettre à un de mettre en place une
00:00:54
stratégie la plus adapté possible en termes de cyber sécurité
00:00:58
et en c la numérisation des entreprises c'est
00:01:03
quelque chose qui augmenté un ce qu'on appelle la surface d'attaque savent augmentait le risque pour les entreprises
00:01:09
et cette importance direct considéré au minimum le risque
00:01:13
pourra évaluer si des mesures qui doivent être mises en oeuvre
00:01:17
pour commencer j'aimerais rapidement revenir sur la notion de risque donc pourquoi
00:01:22
en risque existe ni à 3 éléments constitutifs il faut créer en danger
00:01:27
il faut quelque chose qui puisse venir à attaquer vaut bien eux ces dangers
00:01:32
je vais pas m'arrêter dessus vous les connaissez on en parle beaucoup les journaux
00:01:36
parlent beaucoup les photos virus les virus les coeurs etc un les pannes informatiques ça
00:01:42
c'est pas négliger non plu il faut qu'en plus d'un danger yen
00:01:46
vulnérabilité que la protection un q. i. mise en place un seuil défaillante donc
00:01:52
ok pas de protection les vulnérabilités en voir venir un petit peu en détail
00:01:57
dessus souvent eux les éléments qu'on cherche armes à corriger avant tout un et
00:02:03
en 3 éléments un troisième élément ses biens il faut qui quelque chose à perdre
00:02:08
et ça c'est souvent quelque chose qui relativement ignoré dans le domaine c'est à dire que vous avez rien à perdre pas de
00:02:14
risque la même manière ainsi vous avez beaucoup à perdre vous avez
00:02:17
beaucoup de risques ces làdessus j'aimerais me pencher avec vous aujourd'hui
00:02:22
presses et pour essayer de mieux comprendre ce que vous avez à perdre et comment un le protéger de manière adéquate
00:02:30
j'aime bien représentés cible risque sous cette forme sous
00:02:33
la forme un graphique avec l'impact et la probabilité donc
00:02:40
l'impact sait combien ça vous coûter si vous avez quelque chose à probabilité c.
00:02:45
ikea probabilité ça vous arrive au vu de votre situation des protections existantes
00:02:50
donc le risque c l c l air qu'on voit ici ce qu'on appelle
00:02:54
le coût du dommage un c'est la multiplication grosso modo de l'impact par la probabilité
00:03:00
évidemment qu'une société qui va ainsi numérisées qui part dans une transition importante elle va
00:03:07
augmenter dans la probabilité que celui arrive quelques petits et plus d'outils et à plus
00:03:12
de probabilité pas no un de contournement mais aussi l'impact c'estàdire plus vous
00:03:19
êtes numérisés pouvez plus vous avez d'impact heures en termes financiers lorsqu'un incident se produit
00:03:27
donc comment corriger ça comment adapter un à la situation notre société c'est en
00:03:32
mettant en place de stratégies et sa jolie la stratégie de venir d'en haut
00:03:37
c la direction qui doit se saisir du problème qui doit comprendre les risques et qui doit imposer stratégique un
00:03:44
par expérience on voit souvent un des personnes qui disent oh bah ça c'est pas mon truc ces trucs
00:03:49
de light i. celle haiti guy de gérer sa non pour que ça fonctionne bien ça doit être saisi
00:03:55
depuis léo et léa sadate maîtrisé par la direction et
00:03:59
un par la suite important d'identifier les cibles risque
00:04:03
combien ça vous coûte si vous avez défaillance et
00:04:06
quelles sont les protections existantes et finalement pour agir
00:04:11
vous devez réduire les risques en impact en modifiant
00:04:14
sur l'impact sur la probabilité donc dans une stratégie
00:04:18
vous devez en mettre en place en axe pour l'organisation avec
00:04:21
notamment des processus vous devez à gérer les compétences humaines sancerre
00:04:26
avec les problèmes de phishing et compétences humaines sont extrêmement importantes aujourd'
00:04:30
hui saine des feuilles a un effet notable et l'infrastructure informatique
00:04:35
mais pas uniquement l'infrastructure en avant par feu antivirus si tout le reste
00:04:39
et pas en place il vous sera pas aussi utile qu'on peut croire
00:04:44
donc en mettant en place des différentes mesures là je
00:04:47
prends l'exemple de sauvegarde vous allez pouvoir réduire son impact
00:04:50
sur la probabilité d'un cas de sauvegardes spécifiques si vous
00:04:53
avez une perte de données ou que vous avez minime panne majeure
00:04:57
un c. e. n sauvegardant sentant sauvegarde qui fonctionnent eux qui vous permettra de récupérer vos données donc ça veut dire qu'elle a été testé
00:05:03
avant que vous avez nous sauve garder en place vous avez pas modifier
00:05:06
la probabilité que ça arrive par compte l'impact sera réduit d'autant
00:05:11
la même manière si vous former aux utilisateurs qui sont sensibles et qui savons qui peut à ce qui fonde comment
00:05:17
faire attention vous allez pouvoir réduire la probabilité un qu'
00:05:21
un événement de type c beurre un se produit chez vous
00:05:24
et finalement je passe rapidement sur vous avez un risque résiduel en bout
00:05:28
de moment ça coûte plus cher de prendre des mesures eux que
00:05:33
le risque en luimême donc au bout de moments vous pouvez toujours porté sur les assurances mais c'est important de réduire de deux ans maximum
00:05:39
le risque avec les mesures que vous pouvez prendre en interne
00:05:44
en quelques mots les différentes protections vulnérabilité donc on disait l'
00:05:47
aspect humain les mots de passe et données privées de phishing
00:05:51
les lacs top les téléphones etc les aspects techniques antivirus
00:05:57
par feu monitoring important vous devez surveiller savoir ce qui se passe
00:06:01
un les aspects organisationnels à gérer votre politique de mot de passe la sauvegarde c'est bien l'
00:06:06
organisation soit sauvegarde nécessite des processus et de réflexion
00:06:10
autour des chartes utilisateur pour les responsabiliser etc votre protection
00:06:15
les protections que vous avez ne sont jamais parfaite ça ressemble comme vous voyez censé slide ça ressemble à
00:06:21
des tranches d'emmental non pas des grilles heures comme on entend souvent mais bien l'emmental réellement des
00:06:26
trous dans vos protections donc si vous en été qu'une seule ça va pas bien fonctionné formatrice série
00:06:32
pays reste toujours un petit chemin peut un peu en
00:06:35
attaquant donc un réfléchissez à sa protection ne suffit pas
00:06:40
il faut bien à mettre en place en réfléchissant à votre situation sinon ça donnait situation comme ça
00:06:47
ça vous donne situation où vous avez de protection qui fonctionne pas parce qu'
00:06:52
elle a pas été mise en place dans un contexte adapté avec une vision globale
00:06:58
donc comment estce qu'on n'élabore maintenant la stratégie vous devez réfléchir à ce que vous avez à perdre
00:07:05
j'ai revient c'est vraiment important c'est pas question faciles à résoudre
00:07:09
un mais vous devez vous poser la question de savoir quelles données vous avez
00:07:13
quel type de données se trouve un de votre entreprise et ce
00:07:17
que vous avez des données type administrative certainement mais a aussi
00:07:21
des données peut être recherche et développement propriété intellectuelle données médicales soumise
00:07:27
GPD réfléchissez à tout les types de données que vous avez
00:07:30
et si vous les faire cette démarche tout seul vous pouvez apprendre un fichier excel et vous mettez à gênes colonne
00:07:36
tout les types de données que vous avez décidé de réfléchir comme ça aux différents types de données ou estce qu'elle
00:07:41
se trouve que son âge chez google amazon sur vos propres
00:07:44
serveurs chaffaut maniaque ou ailleurs et pour chaque type de données
00:07:49
ensuite vous pouvez vous poser la question de savoir quelles valeurs elles ont sur 3
00:07:55
axes ces 3 axes standard à la l'acronyme et facile à retenir CIA
00:08:00
confidentialité intégrité accessibilité ou disponibilité
00:08:04
en bon français la confidentialité
00:08:08
vous dites pour chaque type de données kelley l'impact si les données sont publiées sur internet demain
00:08:15
donc si c'est votre carnet d'adresses évoqué cet être en
00:08:17
plein milieu cicero contrat ça peut vraiment devenir à ennuyeux et cie
00:08:23
par hasard vous avez la recherche et développement un qu'il accessible par un concurrent alors là ça peut comment ça
00:08:28
va coûter très cher donc posez vous la question quel impact sur votre chiffre d'affaire à un sur vos nouveaux contrats
00:08:35
un sur les contrats existants si vous avez un père de confidentialité pour chacun de
00:08:40
vos types de donner la même manière intégrité si ces données sont modifiées retrace u.
00:08:46
un par quelques uns malveillant quel impact estce que ça peut avoir et
00:08:49
au final la disponibilité de vous donner si vous donnez ne sont plus accessibles
00:08:54
un si demain vous arrivez au travail épique vos données sont plus là pour une raison x y combien ça va vous coûter
00:09:01
combien de personnes seront là vous allez payer les salaires mais les personnes finalement le
00:09:05
pont pas travailler à sa banque ou un ça sert à quelque chose vous devez évaluer
00:09:11
déjà donné au minimum en ordre de grandeur à chacune de ces valeurs pour
00:09:14
chacun de vos types de données donc vraiment stratégie c'est du leader ship
00:09:21
vous devez évaluer les biens et comment un
00:09:24
attaquant peu un faire du mal à avon valeur
00:09:29
et puis priorisés par ce que des mesures correctives nous allons trouver nous avons trouvé à l'appel
00:09:34
un peu partout maintenant la vraie problématique cette prioriser vos mesures
00:09:38
à dire que vous avez pas trop pour pouvoir tout faire donc vous allez voir choisir ce que vous allez faire en premier
00:09:43
pour ça il existe plusieurs outils non vous met en place à
00:09:47
avec le label sévères ces fonds vous met en place un outil gratuit
00:09:51
qui vous permet déjà d'évaluer votre situation ligne assez facilement si vous voulez aller plus loin dans les
00:09:56
démarches à un petit peu plus onéreuses à eux et
00:10:00
mes oeufs plus profonde vous avez des normes minimales la
00:10:03
confédération qui représente une bonne référence mais qui sont déjà assez ambitieuse un suivant le type d'entreprise que
00:10:09
vous avez puis ensuite des frais mort communiste ou les au 27'000 ancienne société déjà d'une certaine taille
00:10:17
un pour évaluer la valeur de vos données on
00:10:21
organise un événement gratuit un atelier le 4 décembre
00:10:25
auquel on vous convier volontiers le but c'est de
00:10:27
faire une heure ensemble à évaluer un via notre formulaire
00:10:32
les types de données que vous avez à la fin duquel un vous allez recevoir
00:10:36
en rapport complet sur l'état vos cibles risque donc on vous invite cordialement à les recevoir par mel un
00:10:43
courant semaine prochaine une invitation à un pour cet atelier
00:10:47
qui vous permettra si vous souhaitez vallée plus en détail
00:10:53
juste quelques mots sur eux sur la belle si après cette évaluation gratuite vous souhaiter
00:10:58
aller plus loin à ce que nos propose un bonne cadence label c'est d'aller
00:11:03
faire un audit sur place pour vérifier votre situation de faire des scan de vulnérabilité et
00:11:08
des thèses de phishing pour vérifier sur le terrain à l'état réel de vos protections
00:11:14
un but c'est vous fournir en plan grotte appliqué c'est
00:11:17
à dire et recevoir en rapport avec les prochaines mesures par priorité
00:11:21
quelle est la prochaine mesure la mesure la plus importante à prendre votre situation et ensuite
00:11:26
nous allons effectuant suivi pendant deux ans un de l'entreprise qui a effectué la belle
00:11:32
en quelques mots nous sommes un in association
00:11:35
à but non lucratif on a créé
00:11:38
un label par un processus participatif voyez si
00:11:42
un nombre d'acteurs académiques mais aussi étatique
00:11:46
et des spécialistes qui ont participé à aller à la création des exigences
00:11:52
et si important de comprendre ce que nous ne vendons pas de solution nous sommes là pour
00:11:57
définir un état des lieux des films stratégie pour les PME mais nous allons
00:12:02
pas essayez de vous vendre pare feu antivirus sont produits ya pas d'intérêt cachés dans la démarche
00:12:07
ah là je me réjouis un de pouvoir continuer à cette réflexion avec vous le 4 décembre pour
00:12:13
ceux qui sont intéressés eux je vous souhaite un
Conference Program
Introduction
Fabrice Delaye, Journaliste scientifique, Heidi News
Nov. 20, 2020 · 8:30 a.m.
216 views
Mots de bienvenue
Olivier Sandoz, Directeur général adjoint, FER Genève
Nov. 20, 2020 · 8:32 a.m.
Mots de bienvenue
Nathalie Fontanet, Conseillère d'Etat chargée du département des finances et des ressources humaines (DF)
Nov. 20, 2020 · 8:40 a.m.
Définir une stratégie de cybersécurité selon vos risques
Nicolas Frey, Membre fondateur, Association suisse pour le label de cybersécurité, cyber-safe.ch
Nov. 20, 2020 · 9 a.m.
Risques légaux en cas de cyberattaque: comment prévenir plutôt que guérir?
Philipp Fischer, Avocat associé, OBERSON ABELS
Nov. 20, 2020 · 9:20 a.m.
Session de questions-réponses en interaction avec les participants
Panel
Nov. 20, 2020 · 9:30 a.m.
Comment devenir le leader de sa transformation digitale?
Yvan Cognasse, EMEA Executive Architect, Oracle & directeur de programme, HEG Genève
Nov. 20, 2020 · 9:50 a.m.
Un lancement e-commerce réussi en 8 semaines
Benjamin Gietzendanner & Tomas Vera, Resp: Senior Manager Consulting, Stratégie et transformation d'entreprises, PwC - Manager Consulting, Innovation et transformation digitale PwC
Nov. 20, 2020 · 10:10 a.m.
203 views
Cyber résilience et cybersécurité, pierres d'achoppement de la transformation digitale
Corentin Moirant, Cyer Security Engineer
Nov. 20, 2020 · 10:30 a.m.
103 views
Session de questions-réponses en interaction avec les participants
Panel
Nov. 20, 2020 · 10:50 a.m.
Recommended talks
La transformation numérique et les administrations publique
Cédric Roy, chef de la direction opérationnelle, E-Government Suisse
May 3, 2018 · 9:32 a.m.
301 views
What are the challenges facing the health system in the face of the digitalization of family life?
Maddalena Di Meo, CEO & founder, BABY & KIDS CARE (Switzerland)
June 7, 2019 · 2:29 p.m.
622 views