QANTARA consulting

AUDIT SI

COMMENT SUIVRE ET MAITRISER LE NIVEAU DE MATURITE EN SECURITE DE L’INFRASTRUCTURE, DES APPLICATIONS, DE

L’ORGANISATION ET DES PROCESSUS ?

© 2102 QANTARA consulting

Le concept “Capability Maturity Model”

Modèle de maturité que le Software Engineering Institute (SEI), de l’université Carnegie-Mellon, a conçu pour mesurer la capacité à développer des logiciels.

Le modèle présente 5 niveaux : Inexistant / Initial à Optimisé

L’atteinte d’un niveau de maturité est conditionné par la mise en œuvre de “processus clés”

L’ évaluation du niveau de maturité répond à trois besoins :

une mesure relative de la situation actuelle ;

une manière efficace de désigner le but à atteindre ;

un outil permettant de mesurer la progression vers l'objectif.

Le but est généralement de trouver où se situent les problèmes et comment établir des priorités pour les résoudre.

© 2102 QANTARA consulting

Des usages et destinataires différents dans la pratique

Assurer le pilotage des processus ;

Communiquer et dialoguer avec les responsables de processus, identifier des projets, des dispositifs de contrôle .. .

Aider à identifier, prioriser, arbitrer et optimiser les investissements ;

Evaluer la complexité de mise en œuvre de plans d’actions ou de recommandations d’audit ;

Illustrer la progression en matière de création de valeur ;

Démontrer aux sponsors métier l’atteinte des objectifs, et illustrer les bénéfices obtenus après mise en œuvre des projets

…

© 2102 QANTARA consulting

Modèle générique du COBITTM: Maturity Model for Internal Control

• 5 Optimisé : Les processus ont atteint le niveau des meilleures pratiques, suite à une amélioration constante et à la comparaison avec d'autres entreprises (Modèles de Maturité). L'informatique est utilisée comme moyen intégré d'automatiser le flux des tâches, offrant des outils qui permettent d'améliorer la qualité et l'efficacité et de rendre l'entreprise rapidement adaptable.

• 4 Géré : Il est possible de contrôler et de mesurer la conformité aux procédures et d'agir lorsque certains processus semblent ne pas fonctionner correctement. Les processus sont en constante amélioration et correspondent à une bonne pratique. L'automatisation et les outils sont utilisés d'une manière limitée ou partielle.

• 3 Défini : On a standardisé, documenté et communiqué des procédures via des séances de formation. Toutefois, leur utilisation est laissée à l'initiative de chacun, et il est probable que des écarts seront constatés. Concernant les procédures elles-mêmes, elles ne sont pas sophistiquées mais formalisent des pratiques existantes.

• 2 Reproductible : Des processus se sont développés jusqu'au stade où des personnes différentes exécutant la même tâche utilisent des procédures similaires. Il n'y a pas de formation organisée ou de communication des procédures standard, et la responsabilité est laissée à l'individu. On se repose beaucoup sur les connaissances individuelles, d'où une probabilité d'erreurs.

• 1 Initialisé : On constate que l'entreprise a pris conscience de l'existence du problème et de la nécessité de l'étudier. Il n'existe toutefois aucun processus standardisé, mais des approches dans ce sens tendent à être appliquées individuellement ou au cas par cas. L'approche globale du management n'est pas organisée.

• 0 Inexistant : Absence totale de processus identifiables. L'entreprise n'a même pas pris conscience qu'il s'agissait d'un problème à étudier.

© 2102 QANTARA consulting

COBITTM: Des critères d’évaluation disponible pour chaque processus IT

© 2102 QANTARA consulting

Modèle du Gartner

© 2102 QANTARA consulting

Modèle IT Security Maturity du NIST – PRISMA

IT Security Maturity Level 1: Policies

IT Security Maturity Level 2: Procedures

IT Security Maturity Level 2: Implementation

IT Security Maturity Level 2: Test

IT Security Maturity Level 2: Integration

© 2102 QANTARA consulting

Modèle de l’OpenGroup : O-ISM3

© 2102 QANTARA consulting

Maturité et Impact sur l’Audit Interne

© PROTIVITI - 2012 IT Audit Benchmarking Survey

© 2102 QANTARA consulting

Maturité & Sécurité

© 2102 QANTARA consulting

Investissements de Sécurité, Maturité et Risques

© 2011 Vicente Aceituno – Introducing ISM3

© 2102 QANTARA consulting

Gestion des Risques

de Sécurité de l’Information

Exemple de démarche

« Radars de Maturité »

© 2102 QANTARA consulting

Contexte

Programme mondial de lutte contre la fraude (Rogue Trading) arrivé en fin de période

Plusieurs millions d’euros d’investissements en sécurité de l’information

Renforcement et déploiement mondial de « Security Risk Managers »

Renforcement de la MOA Sécurité

Multiplication des outils, et des contrôles

Mais… Changement d’équipe et perte de knowledge

Responsabilités opérationnelles diluées

Peu de procédures de contrôle documentées

Faible visibilité sur l’efficacité des contrôles

Plusieurs processus nouveaux à mettre en place (IS Risk Strategy, Exceptions Mgt, …)

… et une nouvelle stratégie à définir !

© 2102 QANTARA consulting

Année 1 – Mise en place de la démarche

Définition d’une échelle de maturité (5 niveaux) de gestion des risques liés à la sécurité de l’information

Identification des domaines de sécurité et des objectifs de sécurité associés

Sélection des principaux axes de reporting (métier, géographique, risques clés pour le métier: Confidentialité, Fraude: Rogue Trading, Conformité, Continuité des activités)

Conception du modèle (outillé et paramétrable)

Documentation du processus et la méthode d’évaluation

Identification des personnes à contacter pour les interviews

Communication des objectifs et processus d’évaluation

Réalisation des interviews et collecte de la documentation utile

Analyse des informations collectées et alimentation du modèle

Evaluation des niveaux de maturité des processus de sécurité

Pondération des résultats et présentation sous forme de « radars »

Discussion des premier du résultats avec les interviewés et correction

Communication des résultats aux participants et parties prenantes

© 2102 QANTARA consulting

Domaines mappés avec Bale II, l’ISO 27002 et échelle de maturité inspirée du COBITTM

Implication des responsables métier

Lors de l’évaluation, prise en compte :

Des résultats du RCSA (Risk & Control Self Assessment) de l’exercice

Des recommandations de sécurité “ouvertes” (audit interne, autres),

De l’historique des incidents de sécurité et pertes opérationnelles

De la contribution (attendue) des initiatives de sécurité prévues dans le plan stratégique de sécurité

Pondération des résultats par

la contribution des dispositifs en place à la réduction des risques de sécurité du SI

Le périmètre couvert par les activités de contrôle identifiées (initial et cible connue)

Année 1 – Principaux éléments considérés

© 2102 QANTARA consulting

Représentation graphique

0 1 2 3 4 5 6 7 8 9

10

A - Information Security Governance

B - Compliance and Controls

C - Identity and Access Management

D - Information Availability

E - Information Confidentiality

F - Application Security

G - Network Security

H - Systems Security

I - Security Logs

J - Operations

K - Information Security Events

L - HR / End-Users Security

Série1

Série2

© 2102 QANTARA consulting

Année 1 - Résultats

Première mesure partagée de la situation actuelle permettant de fixer une cible atteignable

Utilisation du modèle pour sélectionner les projets contribuant fortement à l’atteinte des objectifs de réduction des risques de sécurité

Amélioration du dialogue avec les lignes métier et support du Top Mgt ayant conduit à une meilleure priorisation et allocation des ressources

Des projets candidats écartés au bénéfice de ceux contribuant fortement à réduire les risques de confidentialité de l’information (SSO, Workstation Security, Server compliance, DLP, eDiscovery, …)

Pour réaliser des études afin d’évaluer le niveau de conformité IT, contruire une méthodologie d’évaluation des risques liés à l’outsourcing et offshoring IT, aux JV…)

Pour mettre en place, en baseline, un dispositif de gouvernance des contrôles de sécurité

Documentation des processus et des contrôles

Réalisation de test indépendants des conception et d’efficacité des contrôles

© 2102 QANTARA consulting

Année 2 – Retours d’expérience et amélioration du modèle

Réduction du nombre des personnes à contacter pour les interviews

Revue des objectifs de contrôle

Revue des poids associés

Adaptation des critères de notation

Amélioration de l’outil (automatisation et reporting)

Mise en place d’une fréquence de mise à jour mensuelle pour tenir compte de l’avancement des projets et initiatives de sécurité composant le programme de gestion des risques de sécurité de l’information

Présentation aux sponsors lors des comités de pilotage du programme

Visibilité plus importante

Pérennisation du modèle

© 2102 QANTARA consulting

Situation initiale, actuelle et cible (3 à 5 ans)

0 1 2 3 4 5 6 7 8 9

10

A - Information Security Governance

B - Compliance and Controls

C - Identity and Access Management

D - Information Availability

E - Information Confidentiality

F - Application Security

G - Network Security H - Systems Security

I - Security Logs

J - Operations

K - Information Security Events

L - HR / End-Users Security

© 2102 QANTARA consulting

Année 2 - Résultats

Nette amélioration du niveau de maturité sur l’ensemble des domaines de sécurité de l’information

D’un outil d’évaluation de la maturité à un outil de pilotage de la stratégie de sécurité de l’information

Duplication de la démarche au niveau de la Direction des Risques Opérationnels pour intégrer l’ensemble des activités du Groupe et disposer d’une vision globale

Adaptation de la démarche à la filiale en charge de la gestion de l’infrastructure

© 2102 QANTARA consulting

Points d’attention

Charge importante de mise à jour annuelle (20-25j selon l’importance de

l’organisation)

Automatiser

Disponibilité des interlocuteurs

Anticiper les RDVs …

Possible confusion : Niveau de maturité / Niveau de couverture des risques

Communiquer sur les objectifs et limites du modèle