Principes de bon sens pour une gouvernance cyber sécurité efficiente

Logo

Principes de bon sens pour une gouvernance cyber sécurité efficienteStéphane Adamiste, Information Security Consultant

Fribourg, 6 Septembre 2016

2Événement cybersécurité |

ETUDE DE CAS

Critères de sélection

■ Financement capex vs opex

■ Ressources IT Développement / intégration /

exploitation / maintenance vs configuration / contract management / service level management

■ Sécurité / Protection de la vie privée Gérées en interne vs déléguées

06.09.2016 |

Ce nouveau CRM, on le met chez nous ou

dans le cloud?

Design freepik.com

Facteur limitant n°1: Sécurité / Protection de la vie privée

3Événement cybersécurité |

FACTEURS LIMITANT L’ADOPTION DU CLOUD EN 2014 – UE28

06.09.2016 |

Risques au niveau de la sécurité

Incertitudes concernant les lois applicables, la

juridiction, les mécanismes de

résolution de litiges

Incertitudes quant à la localisation des

données

Problèmes d’accès aux données ou aux

logiciels

Difficultés de se désabonner ou de

changer de fournisseur de services

Coûts importants liés à l’achat de services

CC

Connaissances insuffisantes sur le

CC

Petites et moyennes Grandes

Source: Eurostat (code des données en ligne: isoc_cicce_obs

70

60

50

40

30

20

10

0

4Événement cybersécurité |

POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT?

Symptômes

■ Difficulté à atteindre un consensus - blocage

■ Décision arbitraire

■ Frustration

06.09.2016 |

Boss IT Finances

Marketing

Sécurité

Lorsqu’elles parlent de sécurité, ces personnes parlent-elles de la même chose?

5Événement cybersécurité |

■ «La sécurité, c’est la protection contre les attaques informatiques»Architecte d’entreprise

■ «Cette application n’a pas besoin de sécurité, les données sont publiques» Chef de projet senior

■ «Pour notre sécurité, nous n’avons pas besoin de nous protéger avec des murs de 20m. 5m, ça suffit. Nous ne sommes pas une banque»Chief Technical Officer, membre de la Direction (licencié depuis)

a.k.a. Inventaire à la PrévertLA SÉCURITÉ, C’EST QUOI POUR VOUS?

06.09.2016 |

6Événement cybersécurité |

CONSEIL #1: DÉFINIR «SÉCURITÉ»

■ A, I, C

■ Bonus: Conformité, traçabilité, non-répudiation, authenticité

■ Management de la sécurité = gestion des risques qui pèsent sur le patrimoine informationnel

06.09.2016 |

7Événement cybersécurité |

CONSEIL #1BIS: DÉFINIR LE RÔLE DE LA FONCTION SÉCURITÉ

■ La fonction sécurité évalue les risques

■ Elle propose des mesures de traitement pour les risques identifiés

■ Elle évalue le risque résiduel

06.09.2016 |

La fonction sécurité ne prend pas de décision.

8Événement cybersécurité |

POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT?

Symptômes

■ Difficulté à atteindre un consensus - blocage

■ Décision arbitraire

■ Frustration

06.09.2016 |

Lorsqu’elles parlent de sécurité, ces personnes parlent-elles de la même chose?

Protection des données personnelles

LPDDonnées privées

Données

sensiblesNSA

Patriot

Act

9Événement cybersécurité | 06.09.2016 |

PROTECTION DES DONNÉES PERSONNELLES EN SUISSE: ENTRE MYTHES ET RÉALITÉS

[…]

[…]

10Événement cybersécurité |

CONSEIL #2: EXPLICITER LES CONCEPTS LIÉS À LA PROTECTION DES DONNÉES PERSONNELLES

06.09.2016 |

Personnes concernées

Agence nationale de protection des données

Bénéficient d’un droit d’accès, de rectification, de suppression de leurs données personnelles

Traite les données en respect de la directive EC95/46 (bientôt du règlement 2016/679)

Tiers

Responsable du traitement

Contrôle l’application de la directive

Transfert de données vers un pays assurant un «niveau de protection adéquat»

Traite les données de façon licite, conformément au principe de la bonne foi et de proportionnalité, dans le but qui est indiqué lors de leur collecte.

11Événement cybersécurité |

Avant

LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP MANAGEMENT

Symptômes

■ Sécurité = FUD

■ Risques acceptés

■ Sécurité perçue comme trop technique pour le management

■ CSO = fusible

■ Faible culture sécurité dans les organisations

06.09.2016 |

12Événement cybersécurité |

Changement de paradigme en cours

LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP MANAGEMENT

06.09.2016 |

Tendances

■ La responsabilité des CEO’s commence a être prise en compte

■ Les «cyberattaques» sont entrées dans les radars de type «Global risks lanscape»

■ La législation va bientôt obliger à annoncer les brèches de sécurité

■ Les organisations se font pirater

13Événement cybersécurité |

CONSEIL #3: COMMENT ÉTABLIR UN CANAL DE COMMUNICATION AVEC LE TOP MANAGEMENT

06.09.2016 |

■ La fonction risque rapporte au CEO / conseil d’administration

■ La fonction risque sera enchantée de compléter son radar

■ Adopter l’échelle de mesure du risque de la société

■ Agréger les risques pour leur donner plus de poids

L’Enterprise risk management est votre ami

14Événement cybersécurité |

CONSEIL #4 : FAIRE PRONONCER AU TOP MANAGEMENT LA PHRASE «LA SÉCURITÉ, C’EST IMPORTANT POUR NOTRE BUSINESS»

06.09.2016 |

Quick

win of

the year ■ C’est la Direction qui définit la culture d’entreprise

■ Les employés ont une forte propension à vouloir plaire à leur management

■ Si la Direction montre l’exemple, c’est encore mieux

15Événement cybersécurité |

RÉSUMÉ

Pour une gouvernance sécurité efficiente: reconcentrez-vous sur les fondamentaux

06.09.2016 |

ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 556 63 11

www.elca.ch

Contact

16

Thank you.

Événement cybersécurité | | © ELCA

Stéphane Adamiste

06.09.2016 |

Information Security Consultant

stephane.adamiste@elca.ch

+41 78 918 96 29