LA CYBERSÉCURITÉ au service de la compétitivité Panorama des initiatives du ministère de l Economie François Thill, Conseiller en sécurité de l'information Agenda Situation actuelle Stratégie Gestion des risques la lingua franca De la gestion des risques vers la gouvernance De la gouvernance vers la compétitivité 2 1
Situation actuelle... les menaces sont efficaces et nous? 3 La convergence des technologies La convergence vers la monoculture des systèmes http://www.geneticliteracyproject.org 2
Les vulnérabilités Les vulnérabilités Zero Day Vulnérabilités humaines Photos by Justin Baeder and Ricardo Martins L'évolution des menaces (LU) Les menaces sont efficaces et hautement dangereuses : 50% cybercriminalité 40% cyberespionnage 10% cyberactivisme Michael Surran : http://commons.wikimedia.org/wiki/file:boy_with_commodore_vic_20_%281984%29.jpg 3
Les sous traitants Les sous traitants La qualité des service des sous traitants Jordy Meow: Gunkanjima. A view from the school. Ce n'est plus un défi individuel Cessez de lutter seul il s'agit d'un défi sociétal Nous avons besoin de compétences et de ressources humaines Nous devons réduire les coûts et la complexité Nous devons créer des structures de gouvernance Rootology: Rowboat with oars and two passengers. 4
Stratégie La sécurité pour tous ensemble 9 Stratégie La démocratisation de la sécurité Analyse des risques Identification de synergies Mutualisation des efforts Coopération Vers une gouvernance éclairée Réduction de l'effort de conformité Photo: Alexandre Dulaunoy 5
Accessibilité par la gestion des risques Le principe de la proportionnalité et de la nécessité : vous indique où investir vous montre les priorités La gestion des risques doit fournir des résultats fiables 6
La gestion des risques doit fournir des résultats comparables Photo: Ionutzmovie La gestion des risques doit être réitérable 7
L analyse des risques lingua franca Définition du périmètre Définition de l'appétit du risque Définition des actifs primaires et de leurs criticité Identification des actifs secondaires Identification des vulnérabilités de ces actifs Ident. des menaces exploitant les vulns de ces actifs Estimation et évaluation des risques La réduction, refus, transfert, acceptation des risques Risque = Impact attendu x Menace x Vulnérabilité La clé : contextualisation Contextualisation Taxonomie commune Objets du risque contextualisés Moins de subjectivité inclure CERT Menaces avec leurs probabilités Vulnérabilités avec leur aisance d'exploitation Objets du risque prédéfinis adaptés à la maturité évolutifs Agrégation; identification des risques systémiques Simulation; scénarios Figure 4: Modélisation de risques Gestion continue des risques 16 Jürgen Lousberg 8
14.12.2015 Stratégie la création de synergies Nombreuses synergies potentielles Éducation Organisation (Gestion du risque, Politique de sécurité) Technologie (Protection, Incidents, Indicateurs) Photo: Lena Thill Synérgies au niveau du contexte Il est possible de mutualiser! Au niveau du traitement des risques Au niveau des états des lieux et indicateurs Au niveau des ressources humaines (réserve Cyber) Photo: Mammut 9
Stratégie, collaboration, coopération, coordination Coopérer sur base de la lingua franca au Luxembourg à l international Photo: Lena Thill Stratégie les services Photo: Lena Thill 10
De la gestion des risques vers la gouvernance... de modèles de risques vers les exigences... 21 De la gestion des risques vers la gouvernance La gouvernance éclairée L'analyse des risques au service de la gouvernance. Pour le bénéfice de la communauté. Sur base de métriques objectives. Photo: Monceau 11
La convergence Gouvernance d'un modèle de risques vers les exigences Définition de la portée minimale Définition de la granularité minimale Quels actifs, menaces et vulnérabilités Matrice d'acceptation des risques Impact égocentrique Impact centré sur le client (data protection regulation) Jürgen Lousberg 23 De la gouvernance vers la compétitivité vers la compétitivité 24 12
De la gouvernance vers la compétitivité Harmonisation des régulateurs Référentiels d exigence harmonisés Analyse des risques harmonisées Reporting harmonisé Réduction des coûts de conformité Photo: Bill Greycey Merci François Thill 13
Les projets phares pour l'écosystème CASES : MONARC CIRCL : MISP & AIL AWARE : hack4kids Les projets phares CASES Méthode Optimisée d analyse des Risques Cases MONARC Réduction de l effort individuel : 80% Intérêt international accru : CH, DE, AT, BE, FR, EU 14
Les projets phares CIRCL MISP Malware Information Sharing Platform Les projets phares CIRCL AIL Analysis of Information Leaks 15
Les projets phares AWARE Hack4Kids Merci François Thill 16