Votez pour les idées de livrables qui vous intéressent
Le backlog est à votre disposition. Vos priorités et centres d'intérêts sont les nôtres ! En votant et commentant les suggestions qui vous intéressent, vous avez le pouvoir d'influencer l'ordre de sortie des futures productions du blog AG Net.
Envoyez votre idée à 20 pour qu'elle soit examinée
Rechercher les vulnérabilités par actif qui sont identifiées (par exemple: connues par identification à partir du référentiel CVE, par évaluation des menaces et des risques des actifs; à partir des notifications des fournisseurs de systèmes/actifs/technologies; à partir des actions correctives déployées lors de leur exploitation pour cause d'incident de sécurité observé) et qui sont documentées (par exemple: accessibles, utilisables, non obsolètes et maintenus; par une évaluation des risques exécutée par le fournisseur d'actifs et/ou l'organisation) garantissant une compréhension suffisante du ou des risques de cybersécurité exposés.
Rapports sur les vulnérabilités pour identifier les tendances dans lesquelles les applications sont les plus sensibles, les menaces les plus dommageables et les contrôles qui fonctionnent.
Ref: REQ_FUNC_VUL-2
Rechercher la tolérance au risque qui est clairement exprimée (par exemple identifiée, sélectionnée, alignée sur les buts et objectifs de l'organisation) et déterminée (par exemple: hiérarchisée; à contraintes définies) dans un état utilisable comme référence pour la stratégie de gestion des risques et le soutien aux activités d'évaluation des risques.
Ref: REQ_FUNC_RSK-3
Rechercher les preuves de bonne compréhension (exemple: attestation de formation par les personnels; résultats de campagnes de sensibilisation et/ou d'entretiens qui ont confirmés la compréhension) et de bons usages des critères de tolérance (ex: niveau de risque adéquat accepté/respecté dans l'analyse de risque effectuée sur les projets) en fonction de son rôle dans les infrastructures critiques et les analyses des risques spécifiques au secteur déjà réalisées par l'organisation.
Ref: REQ_FUNC_RSK-2
Identifier les politiques de sécurité manquantes (par exemple: rédigées uniquement) ou partielles (par exemple: publications partielles; procédures non révisées; limites manquantes des politiques d'actifs requises) qui sont requises par l'organisation avec (par exemple: incident de transmission; confirmation de la mission de réception/lecture par les parties; problème identifié concernant la disponibilité d'accès à la politique) ou sans problème lors de leur communication aux parties.
Ref: REQ_FUNC_GOV-1
Rechercher dans les journaux d'audit concernant les analyses de vulnérabilité (par exemple: les mesures proactives) effectuées sur les actifs de l'organisation et sur l'étendue de sa responsabilité (par exemple: les appareils de leurs clients lorsqu'il sont inclus dans les services fournis dans le cadre du SLA).
Ref: REQ_FUNC_VUL-1
Organisation, planification et suivi des programmes de formation relatifs aux activités de sécurité et aux comportements attendus des membres de l'organisation et des parties prenantes (ex. partenaires, fournisseurs).
Veiller à ce que les employés soient formés et au courant de toutes les politiques et procédures pertinentes.
Exemples:
- Assurance que toute l'organisation sait comment réagir dans les premières minutes après un incident grâce à une formation sur le plan de réponse.
- Exercices de plans de continuité d'activité.
- Formations sur la sécurité des personnes et la violence au travail.
- Gérer les exercices de test de reprise après sinistre.
Ref: REQ_FUNC_TRT-1
Rechercher des menaces (par exemple: des agents de menace) qui sont identifiées (par exemple: à partir d'évaluations et d'analyses de risques effectuées; à partir de sources d'informations sur les vulnérabilités exposées lors de l'utilisation de technologies, y compris l'exposition aux agents de menace qui sont mis en œuvre par les actifs identifiés de l'organisation) concernant les risques de cybersécurité (par exemple: contre les opérations de l'organisation, des actifs et des individus; dans un contexte d'utilisation ou une situation où les actifs et/ou les informations sont gérés).
Ref: REQ_FUNC_THI-1
Rechercher les impacts potentiels identifiés (ex : impact business identifié lors d'une évaluation des risques, d'une analyse d'impact business ou issus d'impacts observés lors d'une situation de crise vécue lors de l'exploitation des actifs) et catalogués. Trouver les probabilités évaluées (ex : lors de l'analyse des risques et de l'évaluation du niveau d'impact potentiel). Le périmètre de recherche prend en compte les impacts sur les actifs et les opérations déjà en production opérationnelle, mais également issus des projets en construction concernant de nouveaux actifs ou des évolutions d'actifs existants.
Ref: REQ_FUNC_RSK-6
Rechercher les risques de cybersécurité qui sont évalués (par exemple: en cours, finalisés et cohérents, revus) en tenant compte des menaces, des vulnérabilités, des probabilités et des analyses d'impact effectuées avec une visibilité réaliste pour leur gestion (par exemple: identification des mesures de contrôle à mettre en œuvre) concernant les actifs existants, et/ou futur (par exemple: projets en cours). Ce périmètre prend en compte les processus initialisés et/ou finalisés d'identification, d'évaluation, d'analyse des risques.
Ref: REQ_FUNC_RSK-5
Rechercher les processus de gestion des risques de cybersécurité concernant la chaîne d'approvisionnement définis par l'organisation avec un niveau de qualité sous contrôle (par exemple: les processus identifiés, établis, documentés, finalisés, revus, approuvés, accessibles, déployés, maintenus), qui sont applicables par les parties prenantes (par exemple: les projets, les gestionnaires d'actifs, le centre des opérations de sécurité, les fournisseurs) et qui sont compris (par exemple: la formation exécutée; les attestations de lecture/compréhension existantes; les preuves disponibles de l'application des processus, les SLA observés).
Ref: REQ_FUNC_RSK-1
Rechercher, organiser, créer et maintenir des plans d'intervention de sécurité (par exemple: BCP, DRP, coordination) soutenant les activités de sécurité et la résilience de l'organisation ou des filiales.
Exemples:
- Permettre de créer un nouveau type de plan (par exemple concernant un risque, un type d'actif, un périmètre information/ressources, un type d'incident, une catégorie d'incident suivi...).
- Recherche de plans cohérents/non cohérents (par exemple basés sur les états).
- Critères de recherche pour une navigation rapide (par exemple, parties prenantes, rôle, responsabilité).
- Identifier les plans de récupération/réponse qui ont été gérés/exécutés conformément aux exigences de gouvernance, par rapport aux plans non appliqués/conformes/avec problème.
- Plan de gestion des vulnérabilités.
Ref: REQ_FUNC_RESP-2
Gérer et exécuter des activités visant à empêcher l'expansion d'un événement (par exemple: un incident de sécurité) afin de réduire ses effets et aider à éradiquer l'événement.
Exemple d'atténuation des effets concernant :
- vulnérabilités nouvellement identifiées.
- incidents de sécurité.
- événement de sécurité modifiant l'état du niveau de risque (par exemple hors du seuil défini).
Ref: REQ_FUNC_RESP-1
Rechercher des politiques, des procédures et des processus (pour gérer et surveiller les exigences réglementaires, juridiques, de risque, environnementales et opérationnelles de l'organisation) qui définissent une politique de sécurité de l'information organisationnelle établie, applicable (par exemple: statut valide de la définition, de l'approbation, de la révision et de la publication), et communiquée (par exemple sans problème de réception par celles-ci) aux parties prenantes pour informer de la gestion du risque cybersécurité.
Ref: REQ_FUNC_GOV-2
Recherchez des systèmes d'information externes (par exemple: services de réglementation, plateformes de partenaires, systèmes tiers ou écosystèmes) qui sont connus (par exemple: concernant des données, des personnels, des appareils, des outils) et identifiés de manière cohérente (accessible par API) en fonction de la stratégie de risque mise en place par l'organisation et de l'importance relative par rapport aux objectifs commerciaux.
Ref: REQ_FUNC_API-1
Réaliser l'analyse des événements de sécurité et des anomalies (par exemple: sur un événement non encore analysé; sinon, compléter l'analyse précédente existante effectuée concernant le même événement) pour comprendre l'impact potentiel (par exemple sur l'actif) généré et faire une catégorisation (par exemple: faible criticité, aucun impact, impact dans le seuil de tolérance au risque établi uniquement considéré comme acceptable, impact critique justifiant une catégorisation comme "incident de sécurité"); et identifier les types d'attaque (par exemple sur la base des connaissances du référentiel Mitre ATT@CK) et les objectifs/effets (par exemple: impact niveau et conséquences observés, risque réalisé) ciblés par l'événement lorsqu'il a été identifié comme une infraction.
Flux de travail avancé de gestion des pertes et des incidents, y compris la capture, la notification, le routage et l'escalade, les enquêtes et l'analyse des causes profondes des pertes et des incidents.
Ref: REQ_FUNC_DEI-2
Rechercher les impacts qui ont été identifiés (par exemple à partir d'analyses automatiques/semi-automatiques ou manuelles) et causés par des incidents de sécurité.
Catalogue des impacts réels gérés avec preuve de cycle de vie maîtrisé (par exemple initialisé, en atténuation, en remédiation, atténué et toujours présent, remédié et annulé...).
Ref: REQ_FUNC_DEI-1
Capacités de flux de travail pour identifier et ordonner séquentiellement avec/sans contrainte (par exemple: sur la base de métriques et/ou d'étapes à vérifier) les tâches et activités servant un ou plusieurs objectifs (par exemple: tester un plan de réponse efficace; comprendre l'applicabilité d'une procédure de sécurité) qui sont en rapport à une action (par exemple: des sous-tâches) ou une activité (par exemple: des tâches permanentes).
Ref: REQ_FUNC_BEI-1
Organiser la collecte d'attestations confirmant qu'un sujet de sécurité (par exemple juridique, risque, environnemental) ou un livrable (par exemple politique, procédure, processus opérationnel) est compris par toutes les parties nécessaires.
- Automatiser la soumission des attestations (par exemple aux parties prenantes d'une politique de sécurité à comprendre/appliquer).
- Gérer les preuves « lues et comprises » collectées, complétées par des pistes d'audit qui documentent la distribution des politiques.
- Configurer et modifier facilement plusieurs listes de personnels regroupées par équipes, unités commerciales, fonctions, etc.
- Produire des rapports sur l'état d'achèvement et envoyer des rappels/alertes d'escalade sur le dé-alignement avec la réglementation/la norme/les certifications incomplètes.
Ref: REQ_FUNC_AWC-1
Rechercher les exigences de cybersécurité exigées par les lois et/ou réglementaires, qui sont valides (par exemple: spécifiées, validées, revues, approuvées, publiées), qui sont maintenues (par exemple: versions gérées, avec historique des révisions et traces de révisions selon les changements de réglementation) et qui ont été comprises par les parties prenantes (par exemple avec preuve de communication, lecture, compréhension confirmée par les attestations recueillies).
Ref: REQ_FUNC_AUM-4
La recherche prouve l'état de compréhension concernant les politiques et procédures qui ont été distribuées, lues et comprises par toutes les parties nécessaires.
Sur la base du suivi de l'achèvement des attestations, donner de la visibilité sur les preuves «lues et comprises» collectées, complétées par des pistes d'audit qui documentent la distribution des politiques.
L'état compris est attesté par une attestation recueillie auprès de chaque partie prenante (ex: lecture, contrôle d'adoption).
Les attestations (par exemple: preuve de lecture et de compréhension) sont liées à des sources de normes et de réglementations et/ou à des politiques/procédures.
Ref: REQ_FUNC_AUM_3
Identifier les politiques ou procédures qui n'ont pas été confirmées comme comprises par certaines parties prenantes (par exemple: parce qu'elles n'ont pas été promues; où une bonne compréhension n'a pas été validée auprès des parties), ou qui ont été partiellement comprises (par exemple: toutes les personnes n'ont pas répondu et/ou les attestations n'ont pas été recueillies; certaines personnes interrogées ont donné des attestations intégrant des problèmes de compréhension notifiés).
Ref: REQ_FUNC_AUM-2
Faciliter la mise à jour des livrables de sécurité (par exemple: les politiques, les certifications) avec des alertes automatisées déclenchées par l'évolution de la réglementation qui génère un impact (par exemple: un besoin d'évolution de la politique de sécurité de l'organisation en fonction d'une nouvelle exigence réglementaire; une perte potentielle de certification selon une nouvelle loi modifiée), et avec notification au propriétaire du livrable impacté.
- Facilitez l'analyse prospective de la réglementation avec un référentiel central et dynamique pour les contenus réglementaires structurés, les mises à jour et la documentation probante.
- Flux quotidien automatisé sur les lois, réglementations, bulletins et directives nouvelles ou révisées qui sont adaptés à votre secteur.
- Modifications réglementaires interprétées dans un langage simple par des experts de l'industrie.
- Former les employés sur les nouvelles réglementations avec notre collection de contenus basés sur les risques.
Ref: REQ_FUNC_AUM-1
Rechercher tous les appareils et systèmes physiques qui sont détenus/exploités par une ou plusieurs organisations (par exemple: dans un groupe, au sein de filiales) avec une identification valide (par exemple: connue avec un identifiant ou un format de nomenclature) compatible avec leur importance relative pour les objectifs commerciaux (par exemple avec des objectifs connus, des missions assurées, de fonctions de l'organisation) et la stratégie de risque de l'organisation (par exemple selon un niveau de criticité).
Ref: REQ_FUNC_ASC-4
Rechercher toutes les plates-formes logicielles et applications qui sont détenues/exploitées par une ou plusieurs organisations (par exemple: limite de propriété, groupe de filiales) avec une identification valide (par exemple: connue avec un type d'identifiant de précision, ou respectant une nomenclature), compatible avec leurs importances relatives pour les objectifs commerciaux (par exemple: des objectifs connus, missions, fonctions de l'organisation) et la stratégie de risque de l'organisation (par exemple selon leur niveau de criticité).
Ref: REQ_FUNC_ASC-3
Rechercher des flux de données associés avec les communications de l'organisation, permettant la compréhension et la traçabilité des flux d'échanges.
Ref: REQ_FUNC_ASC-2
Rechercher des ressources (par exemple, du matériel, des appareils, des données, des logiciels, du personnel, des systèmes) prenant en charge une hiérarchisation basée sur leur classification, leur criticité et leur valeur commerciale.
Ref: REQ_FUNC_ASC-1
Rechercher des processus de gestion des risques de cybersécurité définis par l'organisation avec un niveau de qualité sous contrôle (par exemple: documentés, finalisés, revus, approuvés, accessibles, déployés, maintenus), qui sont applicables par les parties prenantes (par exemple: projets, gestionnaires d'actifs, centre des opérations de sécurité...) et qui sont compris (par exemple: formation exécutée; attestations de lecture/compréhension existantes; preuves d'application des processus).
Ref: REQ_FUNC_RSK-4