jean-marc robert - cours.etsmtl.ca · actifs de l’organisation (données des clients, données...
TRANSCRIPT
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 2
Sécurité des systèmes d’information
� Considérer le coût des incidents suivants:� Le vol de données personnelles de clients
� La perte de réputation suite à une faille de sécurité
� La perte de propriété intellectuelle
� Une amende suite au non-respect d’une législation
� La panne d’un système transactionnel de vente suite à une panne de réseau
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 3
Intégration au cœur de l’organisation
Gouvernance de sécurité[Julia Allen –Governing for Entreprise Security]
(1) Définir des attentes claires pour la conduite (comportements et actions) de l’organisation gouvernée.
(2) Diriger, contrôler et influencer l’organisation pour qu’elle puisse atteindre ces attentes.
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 4
Intégration au cœur de l’organisation
Gouvernance de sécurité[NIST – Information Security Handbook: A Guide for Managers]
Suivre un processus (1) établissant et maintenant un cadre conceptuel(2) supportant la structure managériale et les processus de l’organisationpour fournir l’assurance que les stratégies liées à la sécurité de l’information� soient alignées sur les objectifs d’affaires� soient cohérentes avec les lois et les réglementations en vigueur� soient sous la responsabilité de personnes désignées
afin de gérer les risques de façon adéquate.
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 5
Caractéristiques d’un programme de sécurité
� Moteur� Étant basé sur l’analyse de risque
� Les objectifs d’affaires déterminent les actions à poser.
� Étant vu comme une exigence d’affaires
� Implication� Englobant toute l’organisation
� Personnes, produits, processus et procédures, politiques, technologies, information, etc.
� Rendant les dirigeants imputables et responsables� Définissant clairement les rôles et les responsabilités ainsi que séparant les
fonctions� Ayant les ressources nécessaires
� Personnel compétent, moyens financiers adéquats
� Sensibilisant et formant le personnel
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 6
Caractéristiques d’un programme de sécurité
� Déploiement� Étant décrit et mis en œuvre par des politiques et des procédures cohérentes
� Étant planifié et géré de façon intégrée� Avec les autres cycles de planification : stratégique, investissement, opérationnel
� Étant mesurable et mesuré� Particulièrement difficile. Peu de littérature sur les mesures de sécurité
� Étant intégré dans toutes les phases du cycle de développement des systèmes� Acquisition, élicitation des exigences, architecture et conception du système,
développement, tests, opération, maintenance et destruction
� Étant revu et audité de façon régulière
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 7
Porté
� La sécurité est un problème technique� Réseau technique (matériel,
logiciel, infrastructure)
� Exigences techniques (protéger le périmètre)
� Actifs matériels (ordinateurs, serveurs, bases de données)
� Spécialité technique (administrateurs système et TI)
� La sécurité est un problème de l’organisation� Réseau organisationnel
(personnes, processus, divisions opérationnelles)
� Actifs de l’organisation (données des clients, données des employés, communication)
� Exigences de l’organisation (vie privée, protection des actifs informationnels)
� Compétence maîtresse de l’organisation.
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 8
Appropriation
� Le département TI s’approprie la sécurité.� Le département TI est le premier
demandeur et bénéficiaire de la sécurité.
� Le personnel technique est responsable de la sécurité.
� Le CSO/CISO est un conseiller technique.
� L’organisation s’approprie la sécurité.� L’organisation est le demandeur et
bénéficiaire de la sécurité.� Les décideurs comprennent les
enjeux de sécurité et ont un rôle important à jouer.
� Tous les employés sont conscients de leur responsabilité face à la sécurité.
� Le CSO/CISO fait partie des décideurs de l’organisation et joue un rôle de conseiller auprès des divers intervenants.
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 9
Point de mire
� La sécurité est un point de mire occasionnel.� La sécurité n’est considérée que
lorsqu’il y a une panne ou une annonce importante.
� La sécurité n’est considérée que pour répondre à une loi ou une réglementation.
� La sécurité est intégrée aux processus de l’organisation.� La sécurité fait partie du plan
d’affaires - stratégique, investissement, opérationnel.
� L’analyse de risque est basée sur les objectifs d’affaires.
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 10
Financement
� La sécurité est une dépense.� Les gains dus à la sécurité ne sont
pas mesurés ou sont difficiles àmesurer.
� Le retour sur l’investissement n’est pas requis ou quantifiable.
� La sécurité est un investissement.� Les gains dus à la sécurité sont
mesurés.
� Le retour sur l’investissement est quantifiable en termes de chiffre d’affaires.
� Les dépenses et les investissements de sécurité font partie de tout projet ou tout processus.
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 11
Objectif
� L’objectif est la sécurité.� Les menaces, les vulnérabilités et
les moyens de protection sont les principaux objectifs.
� L’objectif est la continuité des affaires et, ultimement, la résilience.� Continuité organisationnelle
� Préservation de la réputation et de la confiance.
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 12
Gouvernance
� Analyse de risque� Fonction des objectifs d’affaires.
� Politiques de sécurité définissant les objectifs de sécurité� Fonction de l’analyse de risque et de la priorisation des risques identifiés
� Moyens de contrôle intégrés dans les processus� Protection, détection et réaction
� Audits� Vérifier si les objectifs de sécurité sont bien atteints
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 13
Programme de sécurité intégré
AO assets owner CFO chief financial officer IA/EA internal/external audit BAC board audit committee CIO chief information officer OP operational personnelBLE business line executive CPO chief privacy officer PR public RelationsBM business managers CSO chief security officer X-team Principaux dirigeantsBRC board risk committee GC general counselCA certification agent HR director human resources
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 18
Conclusion – La pointe de l’iceberg
� Cette présentation repose sur diverses publications du Software Engineering Institute(SEI) de Carnegie Mellon University (CMU).� Groupe sur la gouvernance
� Programme Networked Systems Survivability Program
� Toutefois, la gouvernance des TI est un très vaste domaine� ITIL
� CoBIT
� …
qui doit traiter de la sécurité.
� À vous de trouver le cadre le plus approprié pour vous!
Jean-Marc Robert, ETS MTI 719 - Sécurité et Gouvernance v1.1 19
Références
� Julia H. Allen, Governing for Entreprise Security, Rapport technique, Software Engineering Institute, CMU, 76 pages, 2005.
� Jody R. Westby et Julia H. Allen, Governing for Enterprise Security (GES) Implementation Guide, Rapport technique, Software Engineering Institute, CMU, 116 pages, 2007.
� Pauline Bowen, Joan Hash et Mark Wilson, Information Security Handbook: A Guide for Managers, NIST SP800-100, 178 pages, 2006.