Le nouvel opus des guides cyber-résilience de l’APSSIS est en ligne !

Au programme : Les Cyberattaques 

La première édition de ce présent guide de cyber résilience est sortie en octobre 2020, et ce n’est pas un hasard si, sur la série des six guides, c’est le seul à être régulièrement mis à jour. La menace cyber évolue constamment, les modes d’attaques de 2020 ont complètement changé en 2023, ce qui justifie amplement cette troisième version.

La première mise à jour (v2) avait essentiellement consisté en des changements dans les éléments techniques de protection du réseau : évolutions dans les dispositifs techniques, rajout de points de contrôle, etc. Cette v3 change radicalement car elle introduit, en sus, des modifications de niveau organisationnel : approche ISO 27001, mise sous contrainte après une phase de BUILD des mesures techniques, etc. Cette v3 se cale aussi sur la toute dernière version de l’annexe A de la norme ISO 27001-2022, qui est articulée autour de 4 grandes parties (et non plus 14 chapitres comme l’était la version précédente).

Les mesures techniques sont externalisées au sein d’un fichier tableur, ce qui facilite et la lecture, et les prochaines évolutions.

Nous n’insisterons jamais assez sur le fait que, pour ce qui concerne des sujets aussi techniques que la protection contre les attaques cyber, la « quincaillerie » technique (matériels et logiciels), les dispositions techniques (quoi protéger) sont inutiles sans une démarche systémique. Protéger un Active Directory en nettoyant une bonne fois pour toute les comptes à privilège est inefficace sur le moyen terme sans dispositif de contrôle visant à vérifier que personne, sur un coin de table et dans l’urgence, n’a créé un nouveau compte à privilège qui ne sera jamais dé-provisionné. Dit autrement, si ce présent guide constitue le Plan de la démarche générale et si les adminsys mettent en oeuvre l’ensemble des dispositions techniques (ce qui constitue le Do), alors sans vérifications régulière (le Check) ni correction des dérives (le Act), le niveau de protection retombera inexorablement. Le fait d’inscrire une mesure technique de protection dans un cycle PDCA est aussi appelé « mise sous contrainte » par les experts de la conformité. Mettre sous contrainte un nombre restreint de mesures techniques est préférable à dérouler le Plan et le Do sans le Check ni le Act de toutes les mesures de protection décrites dans le présent guide. Dit autrement encore une fois, la maîtrise PDCA d’un périmètre restreint est plus important que la dispersion.

Cette troisième version tente de s’inscrire dans cette vision globale.

Retrouvez le guide ici : https://www.apssis.com/nos-actions/publication/712/guide-cyber-resilience-opus-2-version-3-cyberattaques.htm

Les guides cyber-résilience

L'APSSIS remercie ses partenaires Olfeo, Evolucare, Orange Cyberdefense et l’Agence du Numérique en Santé pour leur participation à la rédaction de ce nouvel ouvrage.

Cette publication s’inscrit dans la suite des précédents guides de cyber résilience et de leurs mises à jour (Tome 1 : les mots de passe ; Tome 2 : les cyberattaques ; Tome 3 : les habilitations d’accès aux données métier, Tome 4 : la protection du Cloud ; Tome 5 : les indicateurs et Tome 6 : la Gouvernance) et publiés avec l’ambition de constituer un corpus de référence sur les questions relatives à la sécurité du SI.

Des guides numériques en libre accès

Avec le soutien de l’APSSIS, ce nouvel ouvrage est publié sous licence Creative Common, ce qui permet sa libre diffusion, copie et réutilisation à des fins non-commerciales.