Les responsabilités professionnelles (responsabilités gouvernementales) font référence aux tâches de travail spécifiques que les employés effectuent régulièrement.

Les descriptions de poste ne sont pas spécifiques au processus de recrutement et doivent être conservées tout au long de la vie de l'organisation.

La sélection des candidats pour des postes spécifiques est basée sur les niveaux de sensibilité et de classification définis dans la description de poste.

La vérification des antécédents comprend

En examinant les informations en ligne sur le réseau social d'un individu, on peut rapidement obtenir une image globale de son attitude, de son intelligence, de sa loyauté, de son bon sens, de sa diligence, de son honnêteté, de son respect, de sa cohérence et de son respect des normes sociales et/ou de la culture d'entreprise.

Mener des entretiens avec des candidats qualifiés

Comment recruter des employés satisfaisants, vous devez décrire les responsabilités du poste en détail

L'intégration est le processus d'ajout de nouveaux employés dans une organisation

Signer un contrat de travail

Accord de non-divulgation (NDA)

Accord de non-concurrence (NCD)

Les gestionnaires doivent périodiquement examiner ou vérifier la description de poste, les tâches, les privilèges et les responsabilités de chaque employé tout au long de son emploi.

Analyse du comportement des utilisateurs (UBA)

Analyse du comportement des utilisateurs et des entités (UEBA)

Les informations collectées par la surveillance UBA/UEBA peuvent être utilisées pour améliorer les politiques, procédures, formations et programmes de sécurité du personnel associés.

L'offboarding est le processus inverse de l'onboarding, c'est-à-dire lorsqu'un employé quitte l'entreprise et que son identité est supprimée du système IAM.

Un processus de démission complet : Cela peut inclure la désactivation et/ou la suppression de comptes d'utilisateurs, la révocation de certificats, la révocation de codes d'accès et la résiliation d'autres privilèges spécifiquement accordés. Il est courant de désactiver le compte d'un ancien employé afin que son identité soit conservée pendant plusieurs mois à des fins d'audit.

Pendant le processus de licenciement, il est important d'avoir une relation solide entre le service de sécurité et le service des ressources humaines (RH) pour maintenir le contrôle et minimiser les risques.

Questions de sécurité de démission

Licencié : le timing est primordial

Un accord de niveau de service (SLA) est une méthode permettant de garantir qu'une organisation fournissant un service maintient des niveaux de service appropriés sur la base d'un accord entre le prestataire de services, le fournisseur ou l'entrepreneur et l'organisation cliente.

Les SLA et les contrôles pour les fournisseurs, les consultants et les sous-traitants constituent un élément important de la réduction et de l'évitement des risques.

Système de gestion des fournisseurs (VMS) : VMS est une solution logicielle qui aide à la gestion et à l'achat de services de dotation en personnel, de matériel, de logiciels et d'autres produits et services requis.

L'externalisation est un terme qui fait généralement référence au recours à un tiers externe, tel qu'un fournisseur, un consultant ou un entrepreneur, plutôt que d'effectuer des tâches ou des opérations en interne. L'externalisation peut être une option de réponse au risque connue sous le nom de risque de transfert ou d'affectation.

La conformité est l'acte de se conformer ou d'adhérer à des règles, politiques, réglementations, normes ou exigences.

La conformité est une forme administrative ou managériale de contrôle de sécurité

L'application de la conformité fait référence aux sanctions ou aux conséquences imposées en cas de non-respect des politiques, des formations, des meilleures pratiques et/ou des réglementations.

La conformité est aussi une question de réglementation

Quelques définitions de la vie privée

Informations personnellement identifiables (PII)

Le Règlement général sur la protection des données (RGPD) de l’Union européenne (Règlement [UE] 2016/679)

Lois et réglementations américaines sur la confidentialité

La gestion des risques est un processus détaillé

L’objectif principal de la gestion des risques est de réduire les risques à un niveau acceptable

Les risques pour l’infrastructure informatique ne concernent pas uniquement les ordinateurs

Deux éléments fondamentaux de la gestion des risques

La sensibilisation aux risques est le travail effectué pour accroître la sensibilisation aux risques au sein d'une organisation. La sensibilisation aux risques aide l'organisation à comprendre l'importance de se conformer aux politiques de sécurité et aux conséquences des défaillances de sécurité.

tolérance au risque

Actif : un actif peut être tout ce qui est utilisé dans un processus ou une tâche métier. L'essentiel est de protéger les actifs et d'être rentable.

Évaluation des actifs : l'évaluation des actifs est la valeur monétaire attribuée à un actif en fonction d'un certain nombre de facteurs, notamment son importance pour l'organisation, son utilisation dans les processus clés, le coût réel et les dépenses non monétaires telles que le temps, l'attention, la productivité et la R&D, etc. ).

Menace : tout événement potentiel pouvant survenir et entraîner des conséquences néfastes ou inattendues pour une organisation ou un actif spécifique constitue une menace.

Agent/agent de menace : un agent de menace ou un acteur de menace exploite délibérément une vulnérabilité.

Incidents de menace : les incidents de menace sont une exploitation accidentelle et intentionnelle des vulnérabilités.

Vecteur de menace : le vecteur de menace ou vecteur d'attaque fait référence au chemin ou aux moyens utilisés par une attaque ou un attaquant pour accéder à une cible afin de causer du tort. Les externes ne peuvent pas être éliminés, car les pirates eux-mêmes ne peuvent pas les contrôler.

Vulnérabilité : La vulnérabilité est une faiblesse d'un actif, une faiblesse des mesures de protection ou des contrôles, ou un manque de mesures de protection ou de mesures/contrôles. Elle est interne et crée souvent un passif (technique ou de gestion).

Exposition : l'exposition est la probabilité qu'une menace cause des dommages à un actif.

Risque : Le risque est la possibilité ou la probabilité qu'une menace exploite une vulnérabilité pour causer des dommages à un actif et la gravité des dommages qui peuvent être causés.

Sauvegarde : Une sauvegarde, un contrôle de sécurité, un mécanisme ou un contrôle de protection est tout ce qui élimine ou réduit une vulnérabilité, ou protège contre une ou plusieurs menaces spécifiques.

Attaque : une attaque fait référence à un acteur menaçant qui tente délibérément d'exploiter une vulnérabilité pour causer des dommages, une perte ou une fuite d'actifs.

Violation : une violation, une intrusion ou une pénétration se produit lorsqu'un mécanisme de sécurité est contourné ou bloqué par un acteur menaçant.

L'analyse des risques commence par un inventaire de tous les actifs de l'organisation. Une fois l'inventaire terminé, chaque actif doit être évalué.

Coût annuel des mesures de protection < Perte annuelle attendue de la production

Méthodes d'évaluation de la valeur

Un élément fondamental de la gestion des risques consiste à identifier et à examiner les menaces.

Cela implique de créer une liste aussi exhaustive que possible des menaces pesant sur les actifs identifiés de l'organisation. La liste doit inclure les acteurs de la menace ainsi que les événements de menace

Lorsque vous dressez une liste de menaces, veillez à prendre en compte les menaces provenant de diverses sources.

Une liste détaillée et formelle d'exemples, de concepts et de classifications de menaces

Dans la plupart des cas, ce sera une équipe qui effectuera l'évaluation et l'analyse des risques.

L'évaluation/l'analyse des risques relève principalement de la responsabilité de la haute direction.

La haute direction est chargée de lancer et de soutenir l'analyse et l'évaluation des risques en définissant la portée et les objectifs du travail.

Le risque est individuel, ou du moins spécifique à l’organisation, en fonction de ses actifs, de ses menaces, de ses agents/sujets de menace et de leur tolérance au risque.

méthodes d'évaluation des risques

L'objectif de l'évaluation des risques est d'identifier les risques (sur la base de combinaisons actifs-menaces) et de les hiérarchiser par importance.

Le mélange d'analyses quantitatives et qualitatives dans le processus final d'évaluation des risques d'une organisation est appelé évaluation hybride ou analyse hybride.

Méthodes d'analyse qualitative des risques

Méthodes d’analyse quantitative des risques

Atténuation des risques, atténuation, réduction (atténuation des risques) : réduire le risque ou atténuer le risque fait référence à la mise en œuvre de mesures de protection, de contrôles de sécurité

Affectation des risques : l'affectation des risques ou le transfert des risques fait référence au transfert des pertes causées par les risques à une autre entité ou organisation.

Dissuasion des risques : la dissuasion des risques est le processus visant à dissuader les contrevenants potentiels à la sécurité et à la politique.

Évitement des risques : l'évitement des risques est le processus de sélection d'options ou d'activités alternatives moins risquées que l'option par défaut, générique, opportune ou bon marché. Par exemple, choisir de prendre l’avion jusqu’à votre destination (plutôt que de vous y rendre en voiture) est un moyen d’éviter les risques.

Acceptation du risque : L'acceptation du risque ou la tolérance au risque est le résultat d'une analyse coûts/avantages montrant que le coût des mesures de contrôle dépassera les pertes potentielles causées par le risque.

Rejet du risque : Une réponse à un risque inacceptable mais possible consiste à rejeter ou à ignorer le risque.

Risque inhérent (risque initial/de départ) : il s'agit du niveau de risque naturel, natif ou par défaut qui existe dans un environnement, un système ou un produit avant que des efforts de gestion des risques ne soient effectués.

Risque résiduel : risque que la direction choisit d'accepter plutôt que d'atténuer.

Risque total : fait référence au risque total auquel l'organisation est confrontée sans mettre en œuvre de mesures de protection.

Lacune de contrôle : fait référence au risque réduit par la mise en œuvre de mesures de protection

Pour chaque combinaison actif-menace (c’est-à-dire risque identifié), une liste de mesures de protection possibles et disponibles doit être dressée.

Facteurs influençant le coût annuel des mesures de protection (ACS)

Formule de calcul coût/bénéfice pour des mesures de protection spécifiques contre des risques spécifiques pour des actifs spécifiques

Diverses formules liées à l'analyse quantitative des risques

Les contrôles de sécurité, les contre-mesures de sécurité et les mesures de protection peuvent être administratifs, logiques/techniques ou physiques. Ces trois mécanismes de sécurité doivent être mis en œuvre selon un concept à plusieurs niveaux et une approche de défense en profondeur pour offrir un maximum d'avantages (voir Figure 2.4). Approche en trois volets

Contrôles administratifs : politiques et procédures spécifiées conformément à la politique de sécurité d'une organisation et à d'autres réglementations ou exigences.

Contrôles logiques/techniques : les mesures incluent des mécanismes matériels ou logiciels qui gèrent l'accès et assurent la sécurité des ressources et des systèmes informatiques.

Contrôles physiques : mécanismes de sécurité conçus pour protéger les installations et les objets du monde réel

Le « contrôle de sécurité » fait référence à l'exécution de diverses tâches de contrôle

Contrôles préventifs : déployer des contrôles préventifs pour contrecarrer ou empêcher au préalable la survenue d'activités involontaires ou non autorisées.

Contrôles dissuasifs : déployer au préalable des contrôles dissuasifs pour prévenir les violations des politiques de sécurité.

Contrôles de détection : déployer des contrôles de détection pour détecter ou détecter une activité inattendue ou non autorisée,

Contrôles compensatoires : contribuez à améliorer et à prendre en charge les politiques de sécurité en fournissant diverses options pour d'autres contrôles existants.

Contrôles correctifs : petits événements qui modifient l'environnement pour restaurer le système à un état normal suite à l'apparition d'une activité imprévue ou non autorisée. après

Contrôle réparateur : une extension du contrôle correctif, mais avec des capacités plus avancées et plus complexes, après coup

Contrôle des instructions : utilisé pour guider, limiter ou contrôler le comportement des sujets afin de forcer ou d'encourager les sujets à se conformer aux politiques de sécurité.

Évaluation du contrôle de sécurité (SCA) : évaluation formelle de divers mécanismes d'une infrastructure de sécurité basée sur des références ou des attentes en matière de fiabilité.

Les objectifs de SCA sont de garantir l'efficacité des mécanismes de sécurité, d'évaluer la qualité et la rigueur des processus de gestion des risques d'une organisation et de générer des rapports sur les forces et les faiblesses de l'infrastructure de sécurité déployée.

Les agences fédérales mettent en œuvre la SCA basée sur la norme NIST SP 800-53 Rev.5 « Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations »

SCA est défini comme un processus gouvernemental

Les avantages fournis par les contrôles de sécurité doivent être contrôlables et mesurables

Reporting sur les risques : comprend la préparation d'un rapport sur les risques et la présentation du rapport aux parties prenantes

Registre des risques ou journal des risques : est un document d'inventaire des risques qui répertorie tous les risques identifiés au sein d'une organisation ou d'un système ou au sein d'un seul projet.

Matrice des risques ou carte thermique des risques : est une forme d’évaluation des risques effectuée sur un graphique ou un tableau de base. On parle parfois d’évaluation qualitative des risques.

Points de test : quelles sont les parties et les publics concernés à prendre en compte ?

Points de test : Tenez compte du contenu du rapport, des mesures d'amélioration ou des suggestions d'amélioration.

La sécurité évolue constamment. Par conséquent, toute solution de sécurité mise en œuvre devra être mise à jour au fil du temps.

Évaluer les programmes de gestion des risques d'entreprise (ERM) à l'aide du modèle de maturité des risques (RMM)

Niveau RMM

Risques liés aux équipements existants

Un cadre de risque est un guide ou une approche sur la manière d'évaluer, de gérer et de surveiller les risques.

cadre de gestion des risques (CGR)

Modélisation des menaces en phase de conception, security by design

Cadre de cybersécurité (CSF)

Document ISO/IEC 31000 « Gestion des risques – Guide »

Autres cadres

persuader quelqu'un d'accomplir une action non autorisée

Convainquez quelqu’un de révéler des informations confidentielles.

Formez le personnel aux attaques d’ingénierie sociale et à la manière de reconnaître les signatures d’attaques courantes.

L'authentification est requise lors de l'exécution d'activités pour des personnes par téléphone.

Définit les informations restreintes qui ne doivent jamais être communiquées via des communications textuelles telles que des appels téléphoniques ou des e-mails standard.

Vérifiez toujours les informations d'identification du personnel de maintenance et vérifiez qu'une personne autorisée a effectué l'appel de service réel.

Ne suivez jamais les instructions d'un e-mail sans vérifier les informations auprès d'au moins deux sources indépendantes et fiables

Soyez prudent lorsque vous traitez avec une personne que vous ne connaissez pas ou qui ne vous connaît pas, que ce soit en personne, par téléphone ou sur Internet/en ligne.

La mesure la plus importante pour se défendre contre les attaques d’ingénierie sociale est l’éducation et la sensibilisation des utilisateurs.

Autorité : c'est une technique efficace car la plupart des gens sont susceptibles de répondre avec soumission à l'autorité. La clé est de convaincre la cible que l'attaquant est une personne disposant d'autorisations internes ou externes valides.

Intimidation : peut parfois être considérée comme un dérivé du principe d’autorité. L'intimidation utilise l'autorité, la confiance ou même la menace de préjudice pour pousser quelqu'un à exécuter un ordre ou une instruction.

Consensus : ou preuve sociale, c'est l'acte d'exploiter les tendances naturelles d'une personne. Les gens ont tendance à imiter ce que font ou ont fait les autres dans le passé.

Rareté : est une technique utilisée pour faire estimer à quelqu'un qu'un objet a une valeur plus élevée en raison de sa rareté. Cela peut être lié à des produits qui ne sont fabriqués qu'en petites quantités ou avec des opportunités limitées, ou cela peut être lié aux quelques produits qui restent après la vente de la majeure partie du stock.

Familiarité : ou appréciation est un principe d'ingénierie sociale qui tente d'exploiter la confiance inhérente d'une personne dans des choses familières.

Confiance : selon ce principe d’ingénierie sociale, l’attaquant s’efforce d’établir une relation avec la victime.

Urgence : souvent associée à la pénurie, car celle-ci représente un plus grand risque de passer à côté d'une situation, d'où la nécessité d'agir rapidement.

L'obtention d'informations est l'activité de collecte ou d'agrégation d'informations provenant de systèmes ou de personnes.

Une préposition est un terme, une expression ou une phrase ajoutée au début ou au titre d'autres communications. Les prépositions sont souvent utilisées pour affiner ou établir un prétexte pour des attaques artificielles, telles que le spam, les canulars et le phishing.

Le phishing est une forme d'attaque technique qui vise à voler les informations d'identification ou l'identité de toute cible potentielle.

Téléchargements drive-by : lorsque les utilisateurs visitent un site Web, des logiciels malveillants sont installés à leur insu. Les téléchargements drive-by exploitent les vulnérabilités des navigateurs ou des plug-ins

Mesures défensives contre le phishing

Le spear phishing est une forme de phishing plus ciblée, dans laquelle les messages sont conçus spécifiquement pour cibler un groupe spécifique d'utilisateurs.

Protégez-vous contre le spear phishing

Le Whaling est une variante du spear phishing qui cible des individus spécifiques de grande valeur (par titre, secteur d'activité, reportages dans les médias, etc.) tels que les PDG et autres cadres supérieurs. Manager, administrateur ou client fortuné.

Le phishing ou smishing par SMS (Short Message Service) est une attaque d'ingénierie sociale qui se produit sur ou via des services de messagerie texte standard.

Le vishing (c'est-à-dire le phishing vocal) ou SplT (Internet Telephone Spam) est un phishing mené via n'importe quel système de communication téléphonique ou vocale.

Chemin

Le spam est tout type d'e-mail indésirable et/ou non sollicité.

Le surf sur l'épaule est un type d'attaque d'ingénierie sociale qui se produit généralement dans le monde réel ou en face-à-face.

La navigation sur l'épaule se produit lorsque quelqu'un est capable de voir le clavier ou le moniteur d'un utilisateur.

Une arnaque à la facture est une attaque d’ingénierie sociale qui consiste généralement à fournir une fausse facture puis à inciter fortement au paiement dans le but de voler des fonds à une organisation ou à un individu.

Un canular est une forme d’ingénierie sociale conçue pour amener une cible à effectuer des actions susceptibles de causer des problèmes ou de dégrader sa sécurité informatique.

L'usurpation d'identité est l'acte d'assumer l'identité de quelqu'un d'autre

Vous pouvez vous connecter via personnel, téléphone, e-mail ou compte de la personne ou par tout autre moyen de communication. L'usurpation d'identité peut également être appelée déguisement, tromperie ou même fraude d'identité.

La filature se produit lorsqu'une entité non autorisée utilise l'autorisation d'un employé légitime pour entrer dans une installation à l'insu de l'employé.

Un problème similaire au suivi est celui du ferroutage. Le piggybacking se produit lorsqu'une entité non autorisée obtient le consentement d'une victime par tromperie et entre dans un établissement avec l'autorisation du personnel légitime.

Les leurres surviennent lorsque les attaquants placent des clés USB, des disques ou même des portefeuilles dans des endroits où les employés peuvent les rencontrer.

Portes doubles disponibles pour éviter

La plongée dans les poubelles consiste à fouiller dans des déchets, des équipements abandonnés ou des sites abandonnés pour obtenir des informations sur une organisation ou un individu cible.

Les collections typiques comprennent d'anciens calendriers, des feuilles d'appel, des procès-verbaux de réunion manuscrits, des formulaires de rebut, des boîtes de produits, des manuels d'utilisation, des post-it, des rapports imprimés ou des feuilles de test d'imprimante.

Le vol d'identité et la fraude d'identité font référence à tous les types de délits qui impliquent l'obtention et l'utilisation illégales des données personnelles d'une autre personne de manière frauduleuse ou trompeuse, généralement à des fins financières.

Fraude : qualifier quelque chose de faux de vrai. La fraude d'identité consiste à prétendre faussement être quelqu'un d'autre en utilisant des informations volées à la victime.

Tromperie : désigne tout acte de dissimulation d'une identité valide, Ceci est généralement accompli en utilisant une autre identité.

La faute de frappe est la pratique consistant à capturer et à rediriger le trafic lorsqu'un utilisateur saisit de manière incorrecte le nom de domaine ou l'adresse 1P d'une ressource cible.

Mauvaise orthographe du nom de domaine

Détournement d'URL

Une campagne d'influence est une attaque d'ingénierie sociale qui tente de guider, de façonner ou de changer l'opinion publique. Les pirates informatiques peuvent lancer de telles attaques contre des individus ou des organisations, mais la plupart des campagnes d’influence semblent être menées par les États-nations contre leurs ennemis extérieurs réels ou perçus.

guerre hybride

réseaux sociaux

Une condition préalable à la mise en œuvre d’une formation à la sécurité est la sensibilisation à la sécurité. L'objectif de la sensibilisation à la sécurité est d'amener les utilisateurs à donner la priorité à la sécurité et à le reconnaître.

Tout le personnel doit être pleinement conscient de ses propres responsabilités et obligations en matière de sécurité. Ils sont formés pour savoir quoi faire et quoi ne pas faire.

La formation consiste à apprendre aux employés à effectuer leurs tâches professionnelles et à suivre les politiques de sécurité. La formation est généralement organisée par l'organisation et s'adresse à des groupes d'employés ayant des fonctions similaires.

L'éducation est un travail plus détaillé dans lequel les étudiants/utilisateurs apprennent bien plus que ce dont ils ont réellement besoin pour accomplir leurs tâches professionnelles.

Changer l’orientation des objectifs de formation. Parfois l’accent est mis sur l’individu, parfois sur le client, parfois sur l’organisation.

Modifiez l’ordre ou l’orientation des sujets de formation. Vous pouvez concentrer une formation sur l’ingénierie sociale, la suivante sur la sécurité mobile et la suivante sur la sécurité du domicile et des voyages.

Utiliser diverses méthodes de présentation, telles que des présentations en direct, des vidéos préenregistrées, des logiciels informatiques/logiciels de simulation, des expériences de réalité virtuelle (RV), des formations hors site, des sites Web interactifs ou des lectures assignées à partir de didacticiels préparés ou de livres prêts à l'emploi.

Grâce à des jeux de rôle, les participants incarnent des attaquants et des défenseurs, et différentes personnes sont autorisées à proposer des idées liées à la défense ou à la réponse à une attaque.

Il est important que tous les supports de formation soient soumis à des révisions régulières du contenu. Les examens permettent de garantir que les supports de formation et les présentations sont alignés sur les objectifs commerciaux, la mission de l'organisation et les objectifs de sécurité.

Le moyen le plus efficace de détecter et d’évaluer le travail social