Il est coutumier de décomposer la gestion de la sécurité de l’information en trois temps complémentaires : la prévention, la détection et la réaction. Le premier temps consiste à comprendre ses risques et à en prévenir la survenance. Or, si de bonnes pratiques permettent effectivement de prévenir au mieux la survenance d’incidents, nul n’est capable de garantir qu’un incident ne surviendra jamais. La détection et la réaction sont donc essentielles à un dispositif général de gestion de la sécurité de l’information.
L’enjeu pour le RSSI, et pour l’organisme dans son ensemble, est donc de préparer au mieux ses capacités à détecter les incidents et à répondre de la façon la plus à même de limiter les conséquences. Car in fine, c’est bien la limitation des conséquences, des impacts, qui est importante pour préserver l’organisme.
En termes de pilotage cela correspond au fait de ne pas dépenser toutes ses ressources en prévention mais de garder des moyens pour affiner la détection et préparer la réaction. Cela consiste également en la capacité à tirer des leçons de ces incidents pour adapter et corriger ses mécanismes de prévention/détection/réaction.
D’un point de vue opérationnel, cela implique de nombreuses actions, techniques ou juridiques par exemple, permettant de traiter les différents niveaux : confinement, résolution technique, maîtrise de la communication, investigation et forensics, actions juridiques, relation avec les autorités, conséquences sur l’organisation, etc.
Au-delà de la gestion opérationnelle, il est intéressant de se poser la question de la posture à tenir face aux incidents connus : en effet, avoir connaissance des incidents en cours chez un organisme, partenaire ou non, pourrait permettre de mieux se défendre. Mais comment connaître les informations sur des incidents en cours lorsqu’on n’est ni OIV ni sur l’InterCERT ? Quels dispositifs pourrait-on alors mettre en place pour permettre une meilleure information des organismes sans que cela pose problème par ailleurs ?
PROGRAMME
- Luména DULUC (CLUSIF) : Actualités du CLUSIF
- Thierry CHIOFALO (CLUSIF) : Agenda de la conférence
- Nicolas GENET (ARIADNEXT) : RETEX : Quand le PC du RSSI disparaît
- Angeline VAGABULLE (écrivaine) : RETEX : Après la crise NotPetya : quelles leçons, quelles améliorations
- Pierre RAUFAST (CERT Michelin) : RETEX : Exercice cyber-crise : comment évaluer la qualité de la décision ?
- PAUSE CAFÉ
- Mot de l’invité : Jean-Marc GRÉMY et Luména DULUC (CLUSIF) : Retour sur l’incident de février
- Animation Henri CODRON (CLUSIF) : Table ronde et Questions-Réponses
- François BEAUVOIS (CERT PJ) : RETEX sur le traitement judiciaire des incidents
- Fabien AUFRECHTER (HAVAS) : La communication de crise
- Inti ROSSENBACH (RandoriSec) : Biais cognitifs et organisationnels
- Rubin SFADJ (Pythagore Avocats) et Pierre-Guillaume GOURIO-JEWELL (expert cyber) : AVIS D’EXPERT : Approche pluridisciplinaire de la chaîne de responsabilité
Cette conférence a été organisée avec le soutien de nos sponsors
