Sécurité Numérique Agile
  • Introduction
  • A qui s'adresse ce guide ?
  • La prise en compte incrémentale du risque
  • L'atelier d'analyse des risques
  • Le premier atelier
  • Notion de risques: les bases à connaître et à transmettre
  • Que faire après chaque atelier ?
  • Les ateliers suivants, itération après itération
  • Se préparer à une démarche d'homologation
  • Témoignages
  • Contribuer à ce guide
  • Fiches mémo
  • Mémo: structurer votre politique de sécurité
  • Mémo: les clés pour identifier vos risques numériques dimensionnants
  • Mémo: le canevas de l'analyse des risques
  • Mémo: un exemple complet
  • Glossaire
  • Bibliographie
Powered by GitBook
On this page

Le premier atelier

PreviousL'atelier d'analyse des risquesNextNotion de risques: les bases à connaître et à transmettre

Last updated 6 years ago

Préalablement au premier atelier, ou en début de séance, il est important de définir le périmètre de l’analyse : qu’est-ce qui est « dedans », et engage la responsabilité de l’équipe et de sa hiérarchie; qu’est-ce qui est « dehors » et relève éventuellement d’autres acteurs.

Pour lancer ce premier atelier vous pouvez proposer le cadrage suivant: « Nous sommes un mois après le lancement du produit, et vous découvrez avec horreur un article dans la presse nationale qui fait état d’une énorme faille de sécurité exploitée avec succès. Quels sont les scénarios de menaces possibles qui vous viennent à l’esprit ? »

Cet exercice permettra de concentrer l’attention des participants sur les enjeux et besoins de sécurité les plus importants, et permettra d’amorcer la discussion. Une fois que celle-ci cesse de produire de nouvelles idées, proposez aux participants de formaliser ce qui a émergé de l’atelier en consultant la section suivante.

N'hésitez pas à ordonnancer dès ce premier atelier les grandes étapes qui guideront votre démarche de sécurité numérique. Si celle-ci s'inscrit dans une homologation de sécurité, consultez la section « Se préparer à une démarche d'homologation ».

En amont de cet atelier, vous pouvez explorer pour vous-même, et inviter les participant à prendre connaissance, d'autres éléments de cadrage qui pourront s'avérer structurants : les référentiels réglementaires et normatifs applicables, les guides d'hygiène numérique qui constitueront le socle de sécurité du produit, les bases de connaissances susceptibles de guider l'analyse des risques, la stratégie d'homologation visée.

Un exemple suivi pas à pas: Le.Taxi

Afin d'illustrer concrètement la démarche proposée, nous avons choisi de rendre compte du premier cas réel dans lequel elle a été utilisée. Il s'agit de la plateforme nationale Le.Taxi donnant accès aux informations de disponibilité et de géolocalisation des véhicules des opérateurs de taxi participants, développée dans le cadre des Startups d'État afin de proposer aux usagers des taxis la même qualité de service que leur proposent les VTC.

Pour ce système d'information nous avons donc déroulé l'ensemble de la démarche telle qu'elle est présentée dans ce guide, du premier atelier (organisé alors que le système était en production depuis quelque temps), jusqu'à la constitution d'un dossier en vue d'une homologation temporaire et la décision d'homologation par la DINSIC. Nous présentons ci-dessous plusieurs exemples extraits de ces ateliers et de leurs livrables, et vous trouverez également l'analyse de risque complète en fiche mémo.