comment définir une stratégie de sécurité en adéquation avec enjeux métiers - philippe le...
DESCRIPTION
Séminaire International – Risques et Sécurité des Systèmes d’Information Organisé par iCompetences.comCe séminaire de référence examine l’ensemble des méthodes, des techniques et des outils de mise en œuvre pratique en matière de gestion des risques et de la sécurité des systèmes d’information. Basé sur de nombreux exemples et cas réels reflétant les situations les plus diverses – tailles, types d’organisations, domaines d’activité et profils utilisateurs – et illustré autour des bonnes pratiques internationales, ce séminaire, très pragmatique et directement opérationnel, dresse un état de l’art complet du management des risques et de la sécurité des systèmes d’information dans les entreprises aujourd’hui.Cet événement vous garantit, à travers les interventions de nos conférenciers et les opportunités de networking, des moments d’échange, d’apprentissage, et de réflexion de très haut niveau avec des experts internationaux venant d’une vingtaine de pays. Pour plus d’information, merci de nous contacter sur [email protected]TRANSCRIPT
© 2012 Consulare sàrl, tous droits réservés.
‘ Savoir, prévoir et décider ‘
Sécurité des Systèmes d’Informa?on : Piloter la Sécurité du SI pour créer la confiance
Comment définir une Stratégie de Sécurité des Systèmes d’Informa?on ?
© 2012 Consulare sàrl, tous droits réservés.
Les Hommes, l’Organisa;on et la Stratégie
Première par;e Quel RSSI pour quelle organisa;on ?
Deuxième par?e
Comprendre comment l’organisa?on et ses dirigeants pensent (le risque et la sécurité)
Troisième par?e
Etablir, présenter et suivre un Stratégie
2
© 2012 Consulare sàrl, tous droits réservés.
« La performance d’un manager ne dépend
pas directement de lui même mais de la
performance des autres. »
3
Le RSSI et les Autres …
© 2012 Consulare sàrl, tous droits réservés.
Le RSSI est-‐il un Manager ou un Contributeur Individuel?
4
Manager
• Équipe • Processus • Infrastructure • Autorité • Budget
Contributeur Individuel
• Liberté • Transversalité • Coaching • Anima?on • Conseil
© 2012 Consulare sàrl, tous droits réservés. 5
Ou se posi;onne le RSSI dans l’organisa;on et ou lui voudrait-‐il être ?
© 2012 Consulare sàrl, tous droits réservés.
Dans une organisa;on à forte composante ‘Risques Opéra;onnels’, le RSSI ira « naturellement » vers la Direc;on des Risques
6
© 2012 Consulare sàrl, tous droits réservés.
Dans une organisa;on à très forte pression réglementaire
7
© 2012 Consulare sàrl, tous droits réservés.
Dans une organisa;on ou la traduc;on de tout risque est principalement légal (juridique)
8
© 2012 Consulare sàrl, tous droits réservés.
Une phase de transi;on, et de recherche, une posture transversale entre les acteurs de la conformité et de la gouvernance
9
© 2012 Consulare sàrl, tous droits réservés.
Dans une organisa;on avec une vision transversale purement technologique
10
© 2012 Consulare sàrl, tous droits réservés.
Exemple de matrice RACI d’ac;vités de la sécurité
Ac;vités RSSI DSI Contrôle Interne
Mé;ers Direc;on Général
Ges?on de projets RA C I I
Contrôles et inves?ga?ons de la sécurité de l’informa?on
R C A C
Ges?on et anima?on de la sensibilisa?on du personnel RA I C
Conseil et assistance aux u?lisateurs RA C
Conseil et assistance aux en?tés liées à Lorem Ipsum R I C A
Hypervision et contrôle de la sécurité opéra?onnelle de l’informa?on
RA C I I
Résolu?on et suivi des incidents liés à la sécurité de l’informa?on
RA C C I
Gouvernance des standards de la sécurité de l’informa?on
RA C C C
Ges?on des « sauf-‐conduit » pour la sécurité de l’informa?on
R A C I
© 2012 Consulare sàrl, tous droits réservés.
Autre exemple de matrice RACI dans une PSSI
© 2012 Consulare sàrl, tous droits réservés.
Les Hommes, l’Organisa;on et la Stratégie
13
Première par?e Quel RSSI pour quelle organisa?on ?
Deuxième par;e
Comprendre comment l’organisa;on et ses dirigeants pensent (le risque et la sécurité)
Troisième par?e
Etablir, présenter et suivre un Stratégie
© 2012 Consulare sàrl, tous droits réservés.
Exper;se Techniques
Respon
sabilité • PDG
• DSI • RSSI
• Incident escala?on manager • Security management
staff • Security expert
• Security opera?on team
• Administrateur Système
• Employés
• management
Dans l’écosystème IT, le niveau de responsabilité ne va pas de paire avec l’exper;se technique
14
© 2012 Consulare sàrl, tous droits réservés.
Peut-‐on assumer que toutes les décisions sur les risques et la sécurité s(er)ont prises de façon ra;onnelle ?
� La faillite du système ra?onnel n’est pas du à la logique mais aux capacités de l’homme. ◦ Qui peut être capable de savoir et comprendre tout complètement et
immédiatement ? ◦ Qui peut l’être en n’ayant de surcroît aucun ego, passé, présent et futur ?
� Nous avons tous recours à des “subterfuges” qui nous font passer outre la ra?onalité.
� Nous oscillons sur notre performance moyenne à prendre les bonnes décisions.
� La dualité ◦ Une moi?é est un planificateur avec une perspec?ve à long terme ◦ L’autre moi?é cherche les résultats à court terme. ◦ Ces deux par?es sont en lule permanente.
15
© 2012 Consulare sàrl, tous droits réservés.
� La pandémie éclate et pourrait tuer 600 personnes, l’on vous demande de décider entre deux approches pour gérer la situa?on :
◦ L’approche A permet de sauver 200 personnes.
◦ L’approche B, il y a une probabilité de 33% de tous les sauver et 67% de ne sauver aucun.
� Votre choix ? 16
U;lisez des simula;ons de situa;on pour comprendre les dirigeants, vos interlocuteurs (1/2)
� La pandémie éclate et pourrait tuer 600 personnes, l’on vous demande de décider entre deux approches pour gérer la situa?on :
◦ L’approche A entraine la mort de 400 personnes.
◦ L’approche B, il y a une probabilité de 33% que personne ne meurt et 67% que les 600 meurent.
� Votre choix ?
© 2012 Consulare sàrl, tous droits réservés.
• Vous vous rendez à un spectacle pour lequel vous avez acheté un ?cket à 50 €. En arrivant vous vous apercevez que vous avez perdu le ?cket. Que faites-‐vous ?
q Vous rachetez un ?cket à 50 € ? q Vous rentrez chez vous ?
17
U;lisez des simula;ons de situa;on pour comprendre les dirigeants, vos interlocuteurs (2/2)
• Vous vous rendez à un spectacle avec un billet de 50 € dans votre portefeuille. En arrivant vous vous apercevez que vous avez perdu le billet. Que faites-‐vous ? q Vous achetez quand même un
?cket à 50 € ? q Vous rentrez chez vous ?
© 2012 Consulare sàrl, tous droits réservés.
Le Regret de la Décision
� Le psychologue David Bell définit le Regret de la Décision comme la focalisa?on sur ce que l’on aurait pu avoir ou aleindre si on avait pris la bonne décision.
� Nous sommes tous les vic?mes de notre dernier maux.
� Combien seriez-‐vous prêt à payer pour ne pas avoir à savoir ? (que vous avez pris la mauvaise décision)
18
© 2012 Consulare sàrl, tous droits réservés.
Et maintenant nous pouvons travailler !
• Nous voilà armer pour travailler sur une stratégie car : – Nous savons ou se situe le RSSI et pourquoi.
– Nous savons comment les par?es prenantes à la Sécurité & Ges?on des Risques du SI fonc?onnent intellectuellement.
19
© 2012 Consulare sàrl, tous droits réservés.
Première par?e Quel RSSI pour quelle organisa?on ?
Deuxième par?e
Comprendre comment l’organisa?on et ses dirigeants pensent (le risque et la sécurité)
Troisième par;e
Etablir, présenter et suivre un Stratégie
Les Hommes, l’Organisa;on et la Stratégie
20
© 2012 Consulare sàrl, tous droits réservés.
Une stratégie pour …
21
« Gouverner selon un cours op.mum à
travers des condi.ons changeantes vers un
objec.f prédéterminé. »
© 2012 Consulare sàrl, tous droits réservés.
L’Objec;f est toujours, d’une façon ou d’une autre, le main;en ou l’améliora;on du niveau de maturité
22
NIST PRISMA -‐ IT Security Maturity
Level 1 Policies A-‐
Level 2 Procedures B+
Level 3 Implementa?on B-‐
Level 4 Test B+
Level 5 Integra?on C+
Choisissez-‐en un et restez lui fidèle !
© 2012 Consulare sàrl, tous droits réservés.
Faites ce que vous savez faire !
• Iden?fiez le niveau de maturité.
• Définissez un niveau de maturité à aleindre qui vous semble possible pour l’organisa?on (il vaut mieux sur-‐performer que rater !)
• Assurez-‐vous en amont que l’aleinte du niveau de maturité peut être validé par un audit (interne ou externe) ou benchmark.
• U?lisez l’échelle de temps pour fixer l’objec?f, et notamment en donnant une existence avec un nom à cele stratégie, ie. Cap 2016 ou Safe 2015 etc.
23
© 2012 Consulare sàrl, tous droits réservés.
Avant le plan d’ac;ons et d’ini;a;ves commencez par mebre en place les boucles de gouvernance !
• Les boucles de gouvernances sont essen?elles sans elle vous ne pourrez gouverner ! – Journal des décisions et arbitrages (très important). – Processus de prises des décisions et rendus des arbitrages. – Suivi des budgets et inves?ssements (cash rule). – Séances, steering commilee, review board, etc. – Métriques, indicateurs, scoring.
• Ces boucles doivent faire par?e intégrante de votre Stratégie et elles doivent donne le ton.
24
© 2012 Consulare sàrl, tous droits réservés.
Le plan d’ac;ons et les ini;a;ves
• Un bon plan d’ac?ons garde toujours une marge de manœuvre et il n’est jamais figé au-‐delà de 6 ou 12 mois.
• Panachez toujours ac?ons et ini?a?ves sur la même période. L’une est agir maintenant et l’autre préparer la suite.
• Assurez-‐vous de « quick-‐win » sur toutes les échelles de temps du plan d’ac?on (de repor?ng).
• Panachez les par?es technologiques et processus sur toute les périodes. Les deux sont toujours liés et si vous n’avez pas iden?fié la par?e processus impacté par la technologie réfléchissez !
• Le suivi, les boucles de gouvernance, …
25
© 2012 Consulare sàrl, tous droits réservés.
Processus Menaces
Processus Audit
Processus Evaluation
Risques
Processus de Crise
Processus D’Anticipation
« selon un cours op.mum à travers des condi.ons changeantes » = surveiller comme du lait sur le feu les prodromes et les crises IT
26
GRC IN A BOX
© 2012 Consulare sàrl, tous droits réservés.
Indicateur = Métriques techniques + Métriques de Processus (Organisa;on & Personne)
27
© 2012 Consulare sàrl, tous droits réservés.
C O N S U L A R E ‘ Savoir, prévoir et décider ‘
C O N S U L A R E
Rue de la Rotisserie 8
CH-1204 Genève Suisse
[email protected] +33(0)6.60.46.30.84 +41 (0)79.915.2611 www.consulare.fr
‘ Savoir, prévoir et décider ‘
28