Le dossier cybersécurité de {{ $organization['name'] }} (nom de la collectivité) utilise la méthode Cybersécurité Mutualisée des Territoires (CMT) qui permet aux communes de moins de cinq mille habitants d’évaluer et de développer leur maturité en matière de cybersécurité.
La méthode CMT s’adresse aux élus et décideurs des collectivités territoriales avec pour objectif de leur permettre de mieux appréhender le phénomène des cybermenaces et de leur permettre d’agir simplement et efficacement pour contrer les dangers du cyberespace.
La méthodologie CMT est adossée/couplée au logiciel Madis cyber qui permet de garantir le cadre méthodologique défini en quatre ateliers :
Atelier A : Votre perception du danger cyber
Atelier B : Vos mesures de protection
Atelier C : Votre plan d’action priorisé
Atelier D : Votre maturité à la cybersécurité
Ce dossier est produit par le logiciel Madis cyber.
{{-- 2. Analyse des risques --}}A travers le premier atelier, le référent sécurité de {{ $organization['name'] }} prend connaissance des dangers auxquels sont exposés les collectivités de moins de 5 000 habitants puis il est guidé par l’outil Madis cyber pour transformer sa vision du sujet en une évaluation utilisable dans une analyse des risques.
En synthèse, la perception du danger cyber qui pèse sur {{ $organization['name'] }} est la suivante :
| Dangers | Niveau de dangers |
|---|---|
| {{$dangerLevel->danger['name']}} {{$dangerLevel->level['value']}} | {{$dangerLevel->level['name']}} |
| Niveau de danger | Description |
|---|---|
| {{$level['name']}} | {{$level['description']}} |
A travers le deuxième atelier, le référent sécurité de {{$organization['name']}} est guidé afin d’identifier l’ensemble des mesures de sécurité déjà mises en œuvre au sein de sa collectivité. Cela lui permet ensuite d’obtenir une évaluation de la vraisemblance des scénarios d’attaques les plus fréquents dans les collectivités de moins de 5 000 habitants et de connaître son niveau d’exposition.
En synthèse, l’analyse des risques cyber donne les résultats illustrés ci-dessous :
On peut évaluer la maturité des mesures de sécurité mises en place actuellement telle que :
{{-- graphe mesures de securité --}} @foreach ($evaluation->measureLevels as $k => $action){{$action->measure['short_name']}}
@include('pdf.dossierCyberSecurite.measure_circle')Au regard des mesures de sécurité déjà en place, nous estimons que les attaquants peuvent exploiter les scénarios d’attaques suivants :
{{-- todo mettre graphe + legende couleur--}}L’exposition aux principaux dangers identifiés dans le domaine de la cybersécurité concernant les collectivités est donc le suivant (cf. niveau d’exposition au risque cyber)
{{-- todo mettre graphe + legende --}}L’évolution de la maturité cyber permet d’évaluer non seulement la capacité de la collectivité à mettre en œuvre le plan d’action cyber mais aussi d’assurer que l’utilisation de Madis cyber apporte un réel bénéfice aux acteurs du plan d’action.
La maturité en matière cybersécurité est la suivante.
L’indice synthétique de maturité en date du {{ $date }} est de {{ number_format(collect($maturityData['data'])->avg(), 1, ',') }}. (moyenne arrondie inf 0,1 des axes)
{{ $organization['name'] }} a arbitré sur la base des préconisations de cybersécurité un plan d’action réaliste et pragmatiques adapté à son contexte. Chaque action est assignée et planifiée afin de faciliter le suivi et la mise en œuvre.
{{ $organization['name'] }} s’engage à mettre en œuvre les actions suivantes :
| Nom court | Titre du niveau | Date planifiée | Personne en charge |
|---|---|---|---|
| {{$action->measure['short_name']}} | {{$action->measure['level'.$action->expected_level.'_preconized_label']}} | {{date('d/m/Y',strtotime($action->end_date))}} | {{$action->manager}} |
Les actions identifiées doivent permettre de réduire significativement le niveau d’exposition aux risques cyber.
En conclusion, voici les gains attendus sur les risques présents avec la réalisation du plan d’action.
Les risques cyber résiduels sont les risques pour lesquels vous n’avez pas mis en place de mesures de protection :
@foreach($residualRisks as $residual)• {{$residual->name}}
@endforeach @if (count($residualRisks) === 0)Vous n'avez aucun risque résiduel
@endif {{-- 4. Politique de cybersécurité --}}La politique de sécurité permet de visualiser quelles sont les mesures de sécurité mises en œuvre au sein de {{ $organization['name'] }}.
@foreach ($evaluation->measureLevels as $k => $measure)La collectivité ne dispose pas d’une politique de sécurité établie dans ce domaine.
@else
@for ($i = 1; $i < ($measure->actual_level + 1); $i++)
{{$measure->measure['level'.$i.'_actual_label']}}
@endfor
Statut : Appliqué
@for ($i = 1; $i < ($measure->expected_level + 1); $i++)
{{$measure->measure['level'.$i.'_actual_label']}}
@endfor
Statut : Applicable {{ \Carbon\Carbon::parse($measure->end_date)->format('d/m/Y') }}
Le référent cybersécurité est la personne désignée par le représentant de {{ $organization['name'] }} comme étant responsable de la démarche d’amélioration de la cybersécurité.
{{-- Mettre le texte correspondant à la mission --}}Missions du référent cybersécurité :
{!! $organization['bilan1'] !!}
Ressources annuelles recommandées
Le référent cybersécurité dispose au moins de 10 jours alloués annuellement.
Le RSSI mutualisé est le dispositif mis en œuvre par votre OPSN pour vous assister dans la démarche d’amélioration de votre cybersécurité.
Missions du RSSI mutualisé :
{!! $organization['bilan2'] !!}
« Par méthode, j’entends des règles certaines et aisées, grâce auxquelles tous ceux qui les auront exactement observées, n’admettront jamais rien de faux pour vrai, et sans se fatiguer l’esprit en efforts inutiles, mais en augmentant toujours [comme] par degrés leur science, parviendront à la connaissance vraie de toutes les choses dont [leur esprit] sera capable » René DESCARTES
Elle repose sur des fondamentaux :
Transparence de la démarche produisant un résultat incontestable (Story board)
Adhérence aux standards de sécurité des acteurs de référence ACYMA, ANSSI, CNIL (Cross référence avec EBIOS RM)
Elle a pour but d’augmenter massivement et rapidement la protection des petites collectivités contre les cyberattaques et, pour ces raisons, elle est fondée sur 2 principes dont on ne peut s’écarter :
Contextualisation aux communes de moins de 5000 habitants et pas plus
Dynamique collective au travers d’ateliers territoriaux regroupant des décideurs
Elle répond à trois objectifs opérationnels de ces collectivités :
Comprendre la cybersécurité et agir
Maintenir la vigilance
Se positionner en comparaison avec les autres collectivités
Elle est ancrée dans une logique d’aide à la décision
Production d’indicateurs visuels simple à comprendre
Le décideur est en maîtrise de ses choix
Elle est définie dans un système de management qui se décompose en 5 processus
• Processus Comprendre et agir
• Processus Maintenir la vigilance
• Processus Gérer les demandes
• Processus Informer
• Processus Piloter
Elle s’appuie sur un logiciel qui garantit la conformité à la méthode, optimise le déroulement des sessions collectives, gère les cycles opérationnels pour permettre aux collectivités de s’améliorer dans le temps.
En synthèse, la perception du danger cyber qui pèse sur la collectivité est la suivante :
| Dangers | Niveau de dangers |
|---|---|
| {{$dangerLevel->danger['name']}} | {{$dangerLevel->level['name']}} |
En synthèse, les mesures de sécurité opérationnelles dans la collectivité sont les suivantes :
@foreach($evaluation->measureLevels as $action) @endforeach
|
||||
| PERCEPTION DU DANGER | ||
|---|---|---|
| Echelle | Poids | Critères d'évaluation |
| Critique | 10 | La collectivité sera fortement impactée; la résolution prendra plusieurs mois; les séquelles seront perceptibles sur plusieurs années. |
| Important | 3 | La collectivité sera fortement impactée; la résolution prendra plusieurs mois; les séquelles seront perceptibles sur plusieurs mois. |
| Limité | 0,9 | La collectivité sera faiblement impactée; la résolution prendra plusieurs mois; aucunes séquelles ne seront perceptibles. |
| Négligeable | 0,1 | La collectivité sera faiblement impactée; la résolution prendra quelques jours; aucunes séquelles ne seront perceptibles. |
Danger
Elément, personne, groupe de personne ou organisation susceptible d’engendrer un risque (assimilé au terme « source de risque » de la méthode EBIOS RM).
Cyberespace
Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques. (ANSSI)
Cybersécurité
État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense. (ANSSI)
Risque
Danger ou péril dans lequel l’idée de hasard est accusée mais avec la perspective d’un quelconque avantage possible (dictionnaire de la langue philosophique)
Un risque est associé à la possibilité qu’un danger connu exploite un scénario d’attaque connu sur un composant et nuise à l’organisme (Inspiré de la norme ISO 27000).
Risque cyber
Risque portant sur le système d’information ayant pour origine le cyberespace.
Système d’Information
Ensemble des ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d’une organisation.