Cybersécurité : Évaluation et gestion des risques

Introduction à l'évaluation et la gestion des risques

• S'assurer de la conformité avec la loi en vigueur
• Protéger l'organisation de pertes inacceptables
• Décrire le modèle de gestion des risques (RMF)
• Appliquer les processus de gestion des risques NIST/ISO

Caractériser les exigences de sécurité du systèmeDéfinir le système

• Imposer les limites de la sécurité du système
• Préciser les interconnexions du système
• Incorporer les caractéristiques uniques des systèmes de contrôle industriel (ICS) et des systèmes basés sur le cloud

Identifier les composants de risques

• Estimer l'impact en cas de mise en danger de la confidentialité, de l'intégrité et de la disponibilité, adopter un modèle adéquat pour catégoriser les risques du système

Définir les étapes d'une gestion des risques réussie

• Documenter les décisions critiques en termes d'évaluation et de gestion des risques dans le plan de sécurité du système (SSP), nommer des personnes qualifiées aux rôles de gouvernance des risques

Sélectionner des contrôles de sécurité adéquatsAttribuer une ligne de base des contrôles de sécurité

• Rechercher les familles de contrôles de sécurité
• Déterminer la ligne de base à partir des risques pour la sécurité du système

Adapter la ligne de base pour correspondre au système

• Examiner la structure des contrôles, des améliorations et des paramètres de sécurité
• Lier les couvertures de contrôle à la ligne de base sélectionnée
• Juger du besoin d'une assurance améliorée
• Distinguer les contrôles spécifiques à un système, compensatoires et non applicables

Réduire les risques via une mise en œuvre des contrôles efficaceSpécifier l'approche de la mise en œuvre

• Maximiser l'efficacité de la sécurité en intégrant la sécurité
• Réduire les risques résiduels dans les anciens systèmes via les éléments de sécurité "bolt-on"

Appliquer les contrôles NIST/ISO

• Améliorer la robustesse du système à travers la sélection de composants évalués et validés
• Coordonner les approches de mise en œuvre aux contrôles administratifs, opérationnels et techniques
• Fournir la preuve de la conformité à travers des documents

Évaluer la portée et la profondeur de la conformitéDévelopper un plan d'évaluation

• Prioriser la profondeur de l'évaluation du contrôle
• Optimiser la validation à travers le séquencement et la consolidation
• Vérifier la conformité à travers les tests, les interviews et les analyses

Formuler une recommandation d'autorisation

• Évaluer le risque général pour la sécurité du système
• Réduire les risques résiduels
• Publier le plan d'action et jalons (POA&M), l'évaluation des risques et la recommandation

Autoriser l'exploitation du systèmeAligner autorité et responsabilité

• Quantifier la tolérance au risque organisationnel, élever les décisions d'autorisation dans des scénarii à haut risque

Créer une décision basée sur les risques

• Estimer l'impact sur le système opérationnel
• Peser les risques résiduels contre l'utilité opérationnelle
• Délivrer une autorisation de fonctionnement (ATO

Maintenir une conformité continueJustifier une réautorisation continue

• Mesurer l'impact des changements sur la posture de la sécurité du système, exécuter la gestion de la configuration efficace, réaliser une réévaluation de contrôle périodique

Préserver une posture de sécurité acceptable

• Livrer une formation initiale et de suivi de conscience de la sécurité, collecter des métriques de sécurité continues
• Mettre en œuvre la gestion des vulnérabilités, la réponse aux incidents et les processus de continuité des activités