SEC101 13 06 25
OIV -> Opérateurs d'importance Vitale
Concepts Fondamentaux du risque :
Définitions :
- ISO 31000 : Effet de l'incertitude sur l'atteinte des objectifs
- Formule classique : Risque = Probabilité * Impact
- Vision moderne : Risque = Menace * Vulnérabilité * Impact
Gestion des Risques
- Processus d'identification, d'évaluation et de traitement des risques
- Approche systématique et continue
- Intégration dans la gouvernance organisationnelle
Analyse des Risques
- Phrase du precessus de gestion des risques
- Compréhension détaillée de la nature du risque
- Estimation du niveau de risque
Classification des Risques
Par nature :
- Risques Stratégiques -> business
- Risques opérationnels
- Risques techniques
- Risques réglemettaires
Par Origine :
- Risques internes
- Risques externes
- Risques mixtes
Cycle de vie standard (ISO 31000)
Contexte -> Surveillance et revenue -> Traitement des risques -> identification des risques -> Analyse des risques -> Evaluations des risques
Communication et consultation
- Parties prenantes
- Modalités
EBIOS Risk Manager
- Cadrages et socles de sécurité
- Source de risque
- Scénarios stratégiques
- Scénarios opérationnels
- Traitement du risque
Aventage :
- Moderne
- prise en compte du contexte métier
- méthode francaise
- gratuite
Limites :
- Compexité de mise en oevure
- Necessite une expertise importante
- chronophage
- moins connue à l'internationnal
MEHARI
- Classification des enjeux
- Odit de mesure
- Analyse de l'odit (des risques)
- Plan de sécrité
Avantage :
- Approche quantitative
- Base de connaissance riche
- Claculs automatisés
- Résultat reproductibles
- Suivi dans le temps facilité
Limite
- Complexité de paramétrage
OCTAVE Allegro
NIST Risk Management Framework
- Stratégie organisationnelle de gestion des risques
- Classification
- Selection de sécurité
- Déploiement des controles
- Test d'efficacité
- Décision d'acceptation du risuqe
- Surveillance continu
ISO 27005
FAIR
- Risk = TEF * LEM
- TEF = Threat Event Frequency
- LEM = Loss event magnitude
AMDEC
- Préparation
- Constitution d'equipe
- Définition du perimètre
- Décomposition fonctionnelle
- Analyse
- identifiaction des modes de défaillance
- Analyse des causes
- Evaluation des effet
- Evaluation
- Gravité (G)
- Occurence (O)
- Détéction (D)
- Critcité = G * O * D
- Actions
- priorisation selon criticité
- plan d'action correctives
- Suivi et mise à jour
Etude de cas
Lab 1 : Analyse EBIOS Express
Objectif : Réaliser une analyse EBIOS simplifiée de l’Active Directory (AD)
Identifier 5 valeurs métier critiques
- Authentification des utilisateurs (SSO, accès ERP/CRM)
- Annuaire d’entreprise (gestion des identités)
- Continuité des opérations (accès réseau, services)
- Intégrité des configurations systèmes (GPO, DNS)
- Traçabilité & conformité (logs, audits AD)
Lister 10 biens supports essentiels
- DC-PARIS-01 (contrôleur principal + FSMO)
- DC-PARIS-02 (Global Catalog + DNS)
- DC-LYON-01 (DHCP + AD)
- DC-LILLE-01 (R&D + DNS)
- DNS intégré à l’AD
- Base NTDS.dit (contenu de l’annuaire)
- GPO « Server-Security-Baseline »
- Comptes Domain Admins
- SQL-PARIS-01 (ERP, CRM)
- Outil de monitoring MONITOR-PARIS-01
Définir 3 scénarios de risque majeurs
- Compromission d’un compte « Domain Admin »
- Attaque de ransomware via GPO modifiée
- Altération de la réplication AD (rupture de disponibilité inter-sites)
Évaluer vraisemblance et impact
- Compromission Admin → Impact 5 / Vraisemblance 4
- GPO détournée → Impact 4 / Vraisemblance 3
- Rupture de réplication → Impact 3 / Vraisemblance 2
Proposer 5 mesures prioritaires
- Mise en œuvre de l’authentification MFA pour les comptes privilégiés
- Revue des délégations AD et durcissement des GPO
- Surveillance active via SCOM (alertes critiques AD)
- Segmentation réseau des DC (VLAN Management)
- Test mensuel de restauration AD (System State)
Lab 2 : Matrice de Risque AD
Objectif : Construire votre matrice de risque spécifique
Placer vos scénarios identifiés
- Ex : Compromission Admin → Zone critique (rouge)
- GPO détournée → Zone haute (orange)
- Réplication AD dégradée → Zone moyenne (jaune)
Ajuster selon votre contexte
- Contrainte : fonctionnement 24/7 sur les sites critiques
- Maintenance limitée : impacte les mesures applicables
- Services externalisés : Azure AD / ADFS → nouveaux vecteurs
Identifier zones rouges
- Compromission de comptes à privilèges
- Absence de logs fiables sur événements critiques
Prioriser les actions
- MFA, surveillance avancée (SIEM), cloisonnement
- Quick wins : suppression comptes inactifs, révision mots de passe
Lab 3 : Plan d'Action
Objectif : Créer une roadmap de sécurisation AD
Partir des risques identifiés
- Compromission comptes
- Propagation via GPO
- Attaque persistante (APT)
Définir mesures court terme
- Revue immédiate des droits Domain Admins
- Application GPO de baseline sur tous les DC
- Activation logs avancés sur MONITOR-PARIS-01
Planifier actions long terme
- Mise en place d’un PAM (Privileged Access Management)
- Migration partielle vers Azure AD + segmentation
- Réécriture des scripts de maintenance et surveillance
Estimer efforts et coûts
- MFA : faible coût / impact fort
- PAM : effort élevé / ROI sécurité important
- Surveillance : moyen coût / gain visibilité élevé
Créer planning projet
- Phase 1 (1 mois) : mesures urgentes / quick wins
- Phase 2 (3 mois) : surveillance et durcissement GPO
- Phase 3 (6 mois) : PAM + restructuration AD