Ce texte accompagne un vidéo disponible sur Youtube:
Dans cette vidéo détaillée, nous plongeons au cœur de l’analyse de risque de cybersécurité avec l’aide de ChatGPT et CyberRisk Guardian : https://chat.openai.com/g/g-ZBqngfK39-cyberrisk-guardian. Cet exemple utilise une organisation du secteur de la santé. Suivez notre démarche étape par étape pour identifier et atténuer les risques de cybersécurité au sein d’une grande organisation de soins de santé, le CIUSSS du Centre-Ouest-de-l’Île-de-Montréal. Nous couvrons les concepts fondamentaux tels que l’identification des risques, l’évaluation des probabilités et des impacts, et la mise en place de stratégies d’atténuation pour renforcer la résilience organisationnelle.
Voici les données utilisés dans le vidéo:
Informations contextuelles :
Je suis analyste principal des risques de cybersécurité. Je travaille pour une société de conseil en informatique et cybersécurité à Montréal (Québec, Canada). J’ai été embauché par un client pour l’assister dans ses activités de gouvernance de la cybersécurité, de gestion des risques en matière de cybersécurité et de conformité.
Données initiales fournies :
Voici ce que vous devez savoir sur l’organisation cible que nous utiliserons pour effectuer une évaluation des risques liés à la cybersécurité : Le Centre intégré universitaire de santé et de services sociaux du Centre-Ouest-de-l’Île-de-Montréal (CIUSSS) s’engage à offrir aux bénéficiaires de soins de santé un accès rapide à un continuum de soins homogène axé sur les besoins particuliers des personnes. De plus, considérez les rapports et autres documents fournis comme pièces jointes au sujet de l’organisation qui seront utilisés dans l’évaluation des risques.
(N’oubliez pas d’ajouter les rapports annuels et d’autres informations disponibles en ligne pour fournir le plus d’information possible sur l’organisation)
Estimer l’appétit pour le risque :
Estimer l’appétit pour le risque du : Le Centre intégré universitaire de santé et de services sociaux du Centre-Ouest-de-l’Île-de-Montréal (CIUSSS Centre-Ouest-de-l’Île-de-Montréal).Sur une échelle de 0 à 1, estimez une valeur quantitative de l’appétit pour le risque. Fournir une justification détaillée de l’appétit pour le risque. Enregistrez cette valeur d’appétit pour le risque afin de l’utiliser dans les évaluations et les calculs ultérieurs des risques pour cette organisation.
Tenez compte des informations suivantes :
Très forte aversion au risque ou très faible appétit pour le risque = 0.2
Aversion au risque ou faible appétit pour le risque = 0.3
Neutralité du risque ou appétit pour le risque neutre = 0.5
Propension au risque ou appétit pour le risque élevé = 0.7
Forte propension au risque ou propension au risque très élevé = 0.8
Une valeur de 0.1 ou de 0.9 est une valeur extrême qui ne devrait pas normalement être utilisée.
Requête de génération de scénario sommaires :
Créer 20 scénarios de risque de cybersécurité pour: Le Centre intégré universitaire de santé et de services sociaux du Centre-Ouest-de-l’Île-de-Montréal (CIUSSS).
Requête intermédiaire :
Créer une description détaillée du scénario de risque de cybersécurité Attaque par rançongiciel : Un attaquant crypte les données critiques des patients et demande une rançon pour la clé de déchiffrement au Centre intégré universitaire de santé et de services sociaux du Centre-Ouest-de-l’Île-de-Montréal (CIUSSS). Il s’agit sommairement d’un accès non autorisé et d’une exfiltration des renseignements sur la santé des patients en raison de contrôles de sécurité inadéquats.
Requête de génération de scénario détaillée :
Développer le scénario de risque de cybersécurité détaillé pour le scénario Attaque par rançongiciel : Un attaquant crypte les données critiques des patients et exige une rançon pour la clé de déchiffrement de l’organisation au Centre intégré universitaire de santé et de services sociaux du Centre-Ouest-de-l’Île-de-Montréal. Créer un scénario détaillé de risque de cybersécurité. Pour le scénario, indiquer :
- le nom du scénario,
- une liste des parties prenantes impliquées,
- des informations générales sur le scénario,
- une description détaillée du scénario ou de l’incident ayant conduit au résultat indésirable,
- une liste à puces de la séquence des événements ayant conduit au résultat indésirable,
- une description des conséquences envisagées si le scénario se réalise, des données historiques, et
- les mesures d’atténuation proposées, des contrôles internes et des mécanismes de prévention susceptible de réduire la probabilité que le scénario se réalise ou en réduire les impacts si il se produit.
- Sur une échelle de 0 à 1, incluez la probabilité que la menace soit présente.
- Sur une échelle de 0 à 1, incluez la probabilité d’exploitation.
- Sur une échelle de 0 à 1, incluez les dommages attendus estimés. Sur une échelle de 0 à 1, incluez les dommages maximaux.
- Sur une échelle de 0 à 1, incluez le niveau de résilience organisationnelle.
- Sur une échelle de 0 à 1, incluez l’utilité Attendu. Tous ces éléments doivent être sur une échelle de 0 à 1.
- Calculez le score CVSS version 3.1 des vulnérabilités, faites votre meilleure estimation des détails spécifiques requis sur la vulnérabilité, y compris son vecteur d’attaque, sa complexité, les privilèges requis, l’interaction de l’utilisateur, la portée, l’impact sur la confidentialité, l’impact sur l’intégrité, l’impact sur la disponibilité, etc. Fournissez les détails des mesures utilisées dans le calcul CVSS.
- Présentez le score CVSS.
- Présentez une liste détaillée des mesures d’atténuation, des contrôles internes et des mécanismes de prévention qui peuvent être utilisés. Inclure une estimation budgétaire détaillée en dollars canadiens ($) des coûts de mise en œuvre des mesures d’atténuation, des contrôles internes et des mécanismes de prévention proposés.
- Indiquez la réduction de l’impact et la réduction de la probabilité sur une échelle de 0 à 1 pour les mesures d’atténuation, les contrôles internes et les mécanismes de prévention proposés.
Enregistrez toutes ces valeurs pour les utiliser dans des calculs ultérieurs.
Calculez le KRI :
À l’aide des résultats générés et présentés à partir des requêtes précédentes, calculez les indicateurs clés de risque (IRC) pour le scénario de risque de cybersécurité Attaque par rançongiciel : Un attaquant crypte les données critiques des patients et exige une rançon pour la clé de déchiffrement de l’organisation au Centre intégré universitaire de santé et de services sociaux du Centre-Ouest-de-l’Île-de-Montréal à l’aide des formules suivantes :
Risque estimé = ((Probabilité que la menace soit présente) x (Probabilité d’exploitation) x (Score CVSS) x (Utilité attendue) x ((Dommages attendus estimés) + (Dommages maximaux) divisé par 2)) divisé par (Niveau de résilience organisationnelle).
Enregistrez cette valeur pour l’utiliser dans des calculs ultérieurs.
Risque toléré = ((Probabilité que la menace soit présente) x (Probabilité d’exploitation) x (Score CVSS) x (Utilité attendue) x ((Appétit pour le risque)) divisé par (Niveau de résilience organisationnelle).
Enregistrez cette valeur pour l’utiliser dans des calculs ultérieurs.
Risque atténué = ((Risque estimé) x ((réduction de l’impact des mesures d’atténuation, des contrôles internes et des mécanismes de prévention proposés) x (réduction de la probabilité pour les mesures d’atténuation, les contrôles internes et les mécanismes de prévention proposés))).
Enregistrez cette valeur pour l’utiliser dans des calculs ultérieurs.
Risque résiduel = ((Risque estimé) – (Risque atténué))
Enregistrez cette valeur pour l’utiliser dans des calculs ultérieurs.
Compléter les tâches suivantes :
- Présentez le risque estimé, le risque atténué et le risque résiduel.
- Incluez des informations détaillées sur les calculs effectués pour produire ces résultats.
- Comparez le risque résiduel au risque toléré.
- Expliquez les résultats.
- Faire quelques recommandations pour la direction de l’organisation.
Mots clés:
Cybersécurité
Analyse de risque
Gestion des risques TI
Sécurité des données en santé
KRI en cybersécurité
Formule CVSS
CIUSSS
Protection des données patients
Formation en cybersécurité
Résilience organisationnelle