A2 Évaluation de la capacité de réponse aux incidents
A3
A3

Paysage de menaces

A4 Renseignements sur les menaces

Quel est l’objectif ?

Tous les pays dépendent de la résilience numérique pour leur prospérité économique. Fournir des conseils stratégiques sur les menaces ambiantes permet aux pays d’identifier les secteurs prioritaires et leurs menaces afin de prendre des décisions fondées sur les risques et adaptées à leur situation économique particulière.

Pourquoi y procéder ?

Comprendre en détail les conséquences particulières de tout dommage ou perte de capacité résultant d’une attaque ou d’un accident permet à un pays de se concentrer sur la protection et la résilience plutôt que sur la simple défense. L’examen des menaces ambiantes fournit un aperçu général des menaces connues et émergentes. Ceci est particulièrement important pour les économies émergentes où l’impact d’un cyberincident national pourrait avoir des conséquences disproportionnées sur la croissance économique.

Quels sont les résultats courants ?

  1. Donner la priorité aux services/organisations essentiels, par ex. les opérateurs d’importance vitale tels que les services publics et les réseaux gouvernementaux, ainsi que des rôles et responsabilités clairement définis pour la prise en charge des risques associés
  2. Identifier les acteurs de la menace et leurs motivations propres au pays
  3. Corrélation entre les menaces ambiantes et la cyberstratégie nationale, le cas échéant ; sinon, quelle pourrait être la corrélation
  4. Comprendre les besoins en matière de renseignements sur les menaces

Comment l’activité est-elle exécutée ?

Service de consultants avec des ateliers organisés. Analyse des principales menaces par rapport à une liste hiérarchisée de capacités et d’organisations nationales. Analyse des écarts par rapport à des pays similaires avec un degré de maturité plus élevé.

Dans quelle mesure un pays peut-il le faire lui-même facilement ?

Une aide extérieure sera nécessaire pour développer les bases et mettre en place la maintenance continue. Une fois qu’un processus a été établi, qu’une prise de conscience a été suscitée et que les priorités ont été identifiées, il s’agit alors d’un processus relativement simple.

Quels sont les guides de bonnes pratiques disponibles ?

L’ENISA (NCSC et tous les principaux fournisseurs de solutions de sécurité) fournit un rapport régulier sur le paysage des cybermenaces – des cadres d’analyse des risques standards qui permettent de définir les points faibles spécifiques.

  • L’efficacité de cette activité est considérablement améliorée avec une bonne compréhension de ce qu’est l’Opérateur d’Importance Vitale (OIV) et l’Infrastructure essentielle de l’information (IEI), avant de fournir des conseils stratégiques sur le contexte des menaces. Une série d’ateliers dans le but de développer cette compréhension est facile à mettre en œuvre et aide à sensibiliser.
  • Avoir des rôles et des responsabilités clairement définis au sein des organisations responsables de la sécurité dirigera le risque attribué à chaque menace. Adopter cette initiative, ainsi qu’avoir une bonne compréhension des capacités nationales de surveillance et de détection, ajoutera également de la valeur au travail. Encore une fois, cela peut être développé par le biais d’ateliers.

Coût

6 580 $ pour des ateliers animés visant à développer la compréhension, suivis de 13 160 $ pour un service mensuel d’accompagnement personnalisé et de développement d’un an.

Durée

Environ 1 semaine pour les ateliers d’initiation, suivie d’un projet souple de 12 mois pour augmenter la capacité nationale. Selon le degré de soutien dont le pays a besoin, il pourrait s’agir d’un accompagnement personnalisé d’un jour par mois ou 4 jours par mois pour fournir des capacités entièrement intégrées et conservées.

En 2019, CYSIAM a été sollicité pour travailler avec une organisation d’un pays du Moyen-Orient responsable de la sécurité de certains réseaux publics et qui venait de subir une cyberattaque grave. L’initiative principale de CYSIAM était d’aider l’organisation à se remettre de l’attaque, d’effectuer une analyse post-incident et d’aider à développer formellement sa reconnaissance des menaces propres à son pays. Ils avaient déjà une bonne appréciation des points faibles des organisations dont ils étaient responsables ; cependant, ils n’avaient pas officiellement mené d’activité en ce qui concerne les menaces ambiantes et ne comprenaient donc pas pleinement la menace stratégique. La nature de l’incident a incité l’organisation à faire appel à une expertise externe et indépendante pour adopter une approche stratégique de la cybersécurité plutôt que de se concentrer uniquement sur les contrôles techniques.

CYSIAM a d’abord aidé l’organisation à comprendre la cause profonde de l’incident récent et, à l’aide d’analyses et de renseignements sur les menaces, a pu le relier à une campagne de ransomware en cours. Une fois la menace immédiate identifiée, il était relativement facile de cartographier les menaces existantes et émergentes pour aider les défenseurs du réseau et les gestionnaires non techniques à comprendre les risques et à élaborer un plan de correction pour cet incident isolé. Cependant, l’organisation a reconnu qu’une démarche plus proactive était nécessaire.

Alors que l’organisation comprenait parfaitement ses priorités et ses vulnérabilités existantes, CYSIAM a organisé une série d’ateliers de modélisation du paysage des menaces et a utilisé un certain nombre de sources pour fournir des conseils stratégiques sur les menaces actuelles et émergentes. Il s’agissait principalement des rapports de sécurité annuels du NCSC, de l’ENSIA ETL et de l’analyse open source Mandiant Fire-Eye des menaces existantes, nouvelles et émergentes. Cette activité de cartographie des menaces a permis aux responsables non techniques de l’organisation de prendre des décisions prioritaires pour les investissements actuels et futurs en matière de prévention et a permis aux cyberdéfenseurs de se concentrer sur la résilience.

En raison de l’analyse de vulnérabilité réalisée sur l’organisation, du soutien fourni à l’équipe de sécurité pour tirer des leçons de l’incident et développer une compréhension aboutie et une hiérarchisation efficace de leurs responsabilités, CYSIAM a pu facilement extraire des données sur les menaces, analyser le contexte et appliquer les parties concernées à leur organisation. Plus important encore, les organisations et le personnel impliqués ont pu modifier radicalement leurs propres capacités en utilisant une combinaison de la sensibilisation aux vulnérabilités, de la hiérarchisation des réseaux et des données open source dans le contexte des cybermenaces.

La prochaine échéance consiste à développer leur propre rapport sur le contexte des menaces stratégiques une fois qu’une base solide a été établie.

  1. Identifier le domaine technique à protéger
  2. Identifier les rôles et les responsabilités pour protéger le domaine technique
  3. Définir l’infrastructure et les services essentiels
  4. Découvrir et analyser les points faibles de l’infrastructure, des services ainsi que des infrastructures et services de soutien
  5. Effectuer une modélisation des menaces basée sur les tendances nationales et internationales en matière de cybermenaces
  6. Cartographier les menaces concernant les faiblesses et augmenter la résilience aux cyberincidents potentiels