Un Groupe pharmaceutique exploite plusieurs sites de production de principes actifs et opère de nombreux systèmes d’informations au cœur de ses opérations. Face à un risque de Cyber attaques grandissant dans un secteur sensible, il souhaite identifier ses systèmes critiques et caractériser les menaces qui pèsent sur ses activités pour pouvoir mettre en œuvre les moyens de protections adaptés.
Nos consultants certifiés EBIOS® RM déploient l’approche promue par l’ANSSI en partenariat avec la société I-Tracing, expert en cybersécurité. Nous apportons notre vision de conseil en opération pour déterminer les valeurs clés métiers afin de limiter le risque d’atteinte à l’intégrité, la disponibilité et la confidentialité du SI et ses conséquences sur la production et les patients.
Principale réalisation : cartographie des risques Cyber
Après avoir identifié les missions essentielles à l’atteinte des objectifs des sites de production, nous avons cartographié les processus métier et les informations clés nécessaires à leur atteinte. Nous avons qualifié leur criticité en fonction de leur besoin de sécurité (Disponibilité, Intégrité, Confidentialité et Traçabilité) et avons associé les plus essentielles aux supports nécessaires à leur réalisation (matériels informatique, applicatif, réseau, personnel).
Nous avons identifié les évènements redoutés par les opérationnels et avons évalué leur niveau de gravité en fonction de leur impact humain, juridique, règlementaire, de réputation et financier.
En nous appuyant sur nos benchmarks, nous avons identifié et qualifié les menaces sur le secteur (espionnage, hacktivisme…) en termes de probabilité et de modes d’actions. Nous avons ensuite établi les scénarios d’attaque cyber les plus critiques en prenant en compte les parties prenantes de l’écosystème (prestataires, partenaires…) et déterminé les chemins d’attaque techniques possibles en qualifiant leur vraisemblance.
Nous avons enfin évalué la robustesse des dispositifs de protection et de continuité d’activité en place afin de bâtir une proposition d’un plan d’actions managérial et technique visant à renforcer la maîtrise du risque Cyber.
Chiffres clés :
20 processus et informations à protéger
10 scénarios d’attaque avec impact majeur
15 recommandations dont 7 majeures
