audit si - comment suivre et maitriser le niveau de maturité en sécurité - faycal belghami -...
DESCRIPTION
Séminaire International – Risques et Sécurité des Systèmes d’Information Organisé par iCompetences.comCe séminaire de référence examine l’ensemble des méthodes, des techniques et des outils de mise en œuvre pratique en matière de gestion des risques et de la sécurité des systèmes d’information. Basé sur de nombreux exemples et cas réels reflétant les situations les plus diverses – tailles, types d’organisations, domaines d’activité et profils utilisateurs – et illustré autour des bonnes pratiques internationales, ce séminaire, très pragmatique et directement opérationnel, dresse un état de l’art complet du management des risques et de la sécurité des systèmes d’information dans les entreprises aujourd’hui.Cet événement vous garantit, à travers les interventions de nos conférenciers et les opportunités de networking, des moments d’échange, d’apprentissage, et de réflexion de très haut niveau avec des experts internationaux venant d’une vingtaine de pays. Pour plus d’information, merci de nous contacter sur [email protected]TRANSCRIPT
QANTARA consulting
AUDIT SI
COMMENT SUIVRE ET MAITRISER LE NIVEAU DE MATURITE EN SECURITE DE L’INFRASTRUCTURE, DES APPLICATIONS, DE
L’ORGANISATION ET DES PROCESSUS ?
© 2102 QANTARA consulting
Le concept “Capability Maturity Model”
Modèle de maturité que le Software Engineering Institute (SEI), de l’université Carnegie-Mellon, a conçu pour mesurer la capacité à développer des logiciels.
Le modèle présente 5 niveaux : Inexistant / Initial à Optimisé
L’atteinte d’un niveau de maturité est conditionné par la mise en œuvre de “processus clés”
L’ évaluation du niveau de maturité répond à trois besoins :
une mesure relative de la situation actuelle ;
une manière efficace de désigner le but à atteindre ;
un outil permettant de mesurer la progression vers l'objectif.
Le but est généralement de trouver où se situent les problèmes et comment établir des priorités pour les résoudre.
© 2102 QANTARA consulting
Des usages et destinataires différents dans la pratique
Assurer le pilotage des processus ;
Communiquer et dialoguer avec les responsables de processus, identifier des projets, des dispositifs de contrôle .. .
Aider à identifier, prioriser, arbitrer et optimiser les investissements ;
Evaluer la complexité de mise en œuvre de plans d’actions ou de recommandations d’audit ;
Illustrer la progression en matière de création de valeur ;
Démontrer aux sponsors métier l’atteinte des objectifs, et illustrer les bénéfices obtenus après mise en œuvre des projets
…
© 2102 QANTARA consulting
Modèle générique du COBITTM: Maturity Model for Internal Control
• 5 Optimisé : Les processus ont atteint le niveau des meilleures pratiques, suite à une amélioration constante et à la comparaison avec d'autres entreprises (Modèles de Maturité). L'informatique est utilisée comme moyen intégré d'automatiser le flux des tâches, offrant des outils qui permettent d'améliorer la qualité et l'efficacité et de rendre l'entreprise rapidement adaptable.
• 4 Géré : Il est possible de contrôler et de mesurer la conformité aux procédures et d'agir lorsque certains processus semblent ne pas fonctionner correctement. Les processus sont en constante amélioration et correspondent à une bonne pratique. L'automatisation et les outils sont utilisés d'une manière limitée ou partielle.
• 3 Défini : On a standardisé, documenté et communiqué des procédures via des séances de formation. Toutefois, leur utilisation est laissée à l'initiative de chacun, et il est probable que des écarts seront constatés. Concernant les procédures elles-mêmes, elles ne sont pas sophistiquées mais formalisent des pratiques existantes.
• 2 Reproductible : Des processus se sont développés jusqu'au stade où des personnes différentes exécutant la même tâche utilisent des procédures similaires. Il n'y a pas de formation organisée ou de communication des procédures standard, et la responsabilité est laissée à l'individu. On se repose beaucoup sur les connaissances individuelles, d'où une probabilité d'erreurs.
• 1 Initialisé : On constate que l'entreprise a pris conscience de l'existence du problème et de la nécessité de l'étudier. Il n'existe toutefois aucun processus standardisé, mais des approches dans ce sens tendent à être appliquées individuellement ou au cas par cas. L'approche globale du management n'est pas organisée.
• 0 Inexistant : Absence totale de processus identifiables. L'entreprise n'a même pas pris conscience qu'il s'agissait d'un problème à étudier.
© 2102 QANTARA consulting
COBITTM: Des critères d’évaluation disponible pour chaque processus IT
© 2102 QANTARA consulting
Modèle du Gartner
© 2102 QANTARA consulting
Modèle IT Security Maturity du NIST – PRISMA
IT Security Maturity Level 1: Policies
IT Security Maturity Level 2: Procedures
IT Security Maturity Level 2: Implementation
IT Security Maturity Level 2: Test
IT Security Maturity Level 2: Integration
© 2102 QANTARA consulting
Modèle de l’OpenGroup : O-ISM3
© 2102 QANTARA consulting
Maturité et Impact sur l’Audit Interne
© PROTIVITI - 2012 IT Audit Benchmarking Survey
© 2102 QANTARA consulting
Maturité & Sécurité
© 2102 QANTARA consulting
Investissements de Sécurité, Maturité et Risques
© 2011 Vicente Aceituno – Introducing ISM3
© 2102 QANTARA consulting
Gestion des Risques
de Sécurité de l’Information
Exemple de démarche
« Radars de Maturité »
© 2102 QANTARA consulting
Contexte
Programme mondial de lutte contre la fraude (Rogue Trading) arrivé en fin de période
Plusieurs millions d’euros d’investissements en sécurité de l’information
Renforcement et déploiement mondial de « Security Risk Managers »
Renforcement de la MOA Sécurité
Multiplication des outils, et des contrôles
Mais… Changement d’équipe et perte de knowledge
Responsabilités opérationnelles diluées
Peu de procédures de contrôle documentées
Faible visibilité sur l’efficacité des contrôles
Plusieurs processus nouveaux à mettre en place (IS Risk Strategy, Exceptions Mgt, …)
… et une nouvelle stratégie à définir !
© 2102 QANTARA consulting
Année 1 – Mise en place de la démarche
Définition d’une échelle de maturité (5 niveaux) de gestion des risques liés à la sécurité de l’information
Identification des domaines de sécurité et des objectifs de sécurité associés
Sélection des principaux axes de reporting (métier, géographique, risques clés pour le métier: Confidentialité, Fraude: Rogue Trading, Conformité, Continuité des activités)
Conception du modèle (outillé et paramétrable)
Documentation du processus et la méthode d’évaluation
Identification des personnes à contacter pour les interviews
Communication des objectifs et processus d’évaluation
Réalisation des interviews et collecte de la documentation utile
Analyse des informations collectées et alimentation du modèle
Evaluation des niveaux de maturité des processus de sécurité
Pondération des résultats et présentation sous forme de « radars »
Discussion des premier du résultats avec les interviewés et correction
Communication des résultats aux participants et parties prenantes
© 2102 QANTARA consulting
Domaines mappés avec Bale II, l’ISO 27002 et échelle de maturité inspirée du COBITTM
Implication des responsables métier
Lors de l’évaluation, prise en compte :
Des résultats du RCSA (Risk & Control Self Assessment) de l’exercice
Des recommandations de sécurité “ouvertes” (audit interne, autres),
De l’historique des incidents de sécurité et pertes opérationnelles
De la contribution (attendue) des initiatives de sécurité prévues dans le plan stratégique de sécurité
Pondération des résultats par
la contribution des dispositifs en place à la réduction des risques de sécurité du SI
Le périmètre couvert par les activités de contrôle identifiées (initial et cible connue)
Année 1 – Principaux éléments considérés
© 2102 QANTARA consulting
Représentation graphique
0 1 2 3 4 5 6 7 8 9
10
A - Information Security Governance
B - Compliance and Controls
C - Identity and Access Management
D - Information Availability
E - Information Confidentiality
F - Application Security
G - Network Security
H - Systems Security
I - Security Logs
J - Operations
K - Information Security Events
L - HR / End-Users Security
Série1
Série2
© 2102 QANTARA consulting
Année 1 - Résultats
Première mesure partagée de la situation actuelle permettant de fixer une cible atteignable
Utilisation du modèle pour sélectionner les projets contribuant fortement à l’atteinte des objectifs de réduction des risques de sécurité
Amélioration du dialogue avec les lignes métier et support du Top Mgt ayant conduit à une meilleure priorisation et allocation des ressources
Des projets candidats écartés au bénéfice de ceux contribuant fortement à réduire les risques de confidentialité de l’information (SSO, Workstation Security, Server compliance, DLP, eDiscovery, …)
Pour réaliser des études afin d’évaluer le niveau de conformité IT, contruire une méthodologie d’évaluation des risques liés à l’outsourcing et offshoring IT, aux JV…)
Pour mettre en place, en baseline, un dispositif de gouvernance des contrôles de sécurité
Documentation des processus et des contrôles
Réalisation de test indépendants des conception et d’efficacité des contrôles
© 2102 QANTARA consulting
Année 2 – Retours d’expérience et amélioration du modèle
Réduction du nombre des personnes à contacter pour les interviews
Revue des objectifs de contrôle
Revue des poids associés
Adaptation des critères de notation
Amélioration de l’outil (automatisation et reporting)
Mise en place d’une fréquence de mise à jour mensuelle pour tenir compte de l’avancement des projets et initiatives de sécurité composant le programme de gestion des risques de sécurité de l’information
Présentation aux sponsors lors des comités de pilotage du programme
Visibilité plus importante
Pérennisation du modèle
© 2102 QANTARA consulting
Situation initiale, actuelle et cible (3 à 5 ans)
0 1 2 3 4 5 6 7 8 9
10
A - Information Security Governance
B - Compliance and Controls
C - Identity and Access Management
D - Information Availability
E - Information Confidentiality
F - Application Security
G - Network Security H - Systems Security
I - Security Logs
J - Operations
K - Information Security Events
L - HR / End-Users Security
© 2102 QANTARA consulting
Année 2 - Résultats
Nette amélioration du niveau de maturité sur l’ensemble des domaines de sécurité de l’information
D’un outil d’évaluation de la maturité à un outil de pilotage de la stratégie de sécurité de l’information
Duplication de la démarche au niveau de la Direction des Risques Opérationnels pour intégrer l’ensemble des activités du Groupe et disposer d’une vision globale
Adaptation de la démarche à la filiale en charge de la gestion de l’infrastructure
© 2102 QANTARA consulting
Points d’attention
Charge importante de mise à jour annuelle (20-25j selon l’importance de
l’organisation)
Automatiser
Disponibilité des interlocuteurs
Anticiper les RDVs …
Possible confusion : Niveau de maturité / Niveau de couverture des risques
Communiquer sur les objectifs et limites du modèle