Embed Size (px)
Citation preview
CDROML’amélioration continue de la gestion des risques
René FELLIngénieur HES en informatiqueAdministrateur chez CDROM
CDROM en quelques motsLe Centre de Données Romand est situé au Noirmont, à 1000 m, dans le canton du Jura
C’est un centre conçu selon la norme ANSI/TIA 942 – Tier 2
Il a pour vocation d’offrir des services d’hébergement à des clients très divers tels que :- secteur public : informatique du canton du Jura; centre secondaire pour le canton de Berne
- secteur privé : multinationales, instituts financiers, PME
Il offre également des services de type Cloud privé (Suisse)
Il constitue enfin une excellente plateforme de départ pour des services IaaS, PaaS et SaaS (en collaboration avec plusieurs sociétés informatiques partenaires)
Les menaces liées à un DatacenterL’approvisionnement énergétique
L’approvisionnement télématique
L’inondation
L’incendie
La radioactivité
La destruction (volontaire ou non)
La malveillance
La maladresse
…
Les invités surprise !
Quelques ressources à disposition (pour un Datacenter)
ANSI/TIA 942Les recommandations indispensables au moment de la conception (physique et technique) du Datacenter
COBIT Le référentiel, le guide des bonnes pratiques pour la gestion optimale et surveillée des processus liés à l’informatique et à son organisation Ouvrage et méthode élaborés par un organisme indépendant (ISACA)
ISO La norme 27001 (sécurité de l’information)La norme 9001 (gestion de la qualité)- Audit externe- Certification- Un processus d’amélioration continue
Les entreprises spécialisées en sécuritéSécurité physique (bâtiments, accès, surveillance,…)Sécurité informatique et télécommunications
COBIT : Le guide des bonnes pratiques en matière de gouvernance informatique
COBIT 5
Les aspects plus spécifiquement liés à la gestion des risques
1
2
EDS03 : Définir sa ligne rouge
COBITRACI Chart
processus LSS04« Gérer la continuité »
1 2 3 4
Gouverner débute par concevoirTIA-942
Telecommunications Infrastructure Standard for Data Centers
Pour aider à la conception d’un Datacenter, TIA – 942, qui est un ouvrage (payant) de plusieurs centaines de pages, propose 4 types d’implémentation standards répertoriés selon leur degré d’aboutissement en termes de sécurité.
Ce sont les « Tiers »
Exemple de schéma proposé dans TIA-942
Se positionnerExemple : TIA 942 - Tiers
TIER 3
TIER 2 TIER 2
L’utilité de COBIT ?«Framework» permettant de construire un Système de Management de la Qualité
C’est avant tout un outil d’audit, de validation des processus
Il est recommandable de l’utiliser sélectivementQu’est-ce que je traite immédiatement ?
Qu’est-ce que je traite demain ?
Qu’est-ce que je fais traiter par d’autres ?
Qu’est-ce que je peux raisonnablement laisser de côté (pour l’instant)
Objectif : Construire son Système de Management de la QualitéEcrire et valider les processus et les procédures
Les assigner à des rôles
Assigner les rôles à des collaborateurs
Trouver un outil adéquat pour sa diffusion
SMQ
Une des clés du succès : le suivi
key performance indicator (KPI)
SMQ
Suivre = surveiller, mesurer et agirRisques identifiés Impact
SécuritéRisque initial
Incidents /an
Problèmes /an
Maximumtoléré
Mesures préconisées par les opérateurs du Centre de Données
Accès non autorisé auxzones critiques du DC
+++ Très faible
0 0 0 / 0 -
Approvisionnement électrique primaire
+ Assez élevé
3 0 3 / 1 -
Approvisionnementtélématique fournisseur 1
++ Moyen 2 0 5 / 0 -
…
Panne de climatisation +++ Moyen 5 2 3 / 0 Améliorer le système de redémarrage automatique des climatiseurs après une coupure de courant
Pollution dans le centre +++ Elevé 2 0 3 / 0 Informer et surveiller les artisans qui opèrent dans le DC
SMQ
La gestion des risques au quotidienNiveau opérationnel
Surveiller et agir selon les processus définisFaire preuve de sens pratique, improviser si nécessairePrendre les actions nécessaires en cas d’incident ou de problèmeRapporter au management rationnellementFaire des propositions d’amélioration
Niveau managérialValider la consistance des processus prescritsAdapter le contenu du SMQSurveiller l’application du SMQRapporter à la direction (dans un langage approprié)Travailler par lots et par étapesPlanifier les prochaines étapes du plan de sécurité
COBIT
SMQ
Gérer les risques sur le long termeNiveau Direction et CA (Gouvernance)
Ecouter les managers et les collaborateurs qui sont sur le terrain
Analyser les risques concrets (selon statistique d’incidents et de problèmes avérés)
Analyser les risques hypothétiques (rencontrés dans des entreprises similaires)
Imaginer les risques futurs (veille technologique, lectures)Se faire aider par des experts
Lire, participer à des évènements, dialoguer avec ses pairs
Anticiper – Réajuster la ligne rouge – Parfaire sa stratégie et sa politique de sécurité
Se donner les moyens - Prévoir les budgets nécessaires
Comprendre ce que le marché attend (mes produits correspondent-ils toujours à la demande ?)
Rêves et réalitésMieux vaut traiter l’essentiel tout de suite que la totalité dans 5 ans
Positionner les cales de manière pragmatique
Les bons improvisateurs ont aussi une carteà jouer dans un environnement qui changetrès rapidement
Les défis sont devant nous, pas dans le passé
On ne peut que minimiser le risque global
Communiquer …Direction (autoritaire)
Aucune donnée ne doit sortir de l’entreprise !
Management (soumis)Tout doit être géré en interne !
Opérationnel (amusé ou désabusé)Collaborateur (honnête) : Super! On va garder notre emploi !
Collaborateur (espion) : Super! Tout est à notre disposition !
Communiquer avec efficienceDirection (un message court, clair et complet)
Notre politique de sécurité doit rendre impossible que nos données puissent être divulguées à des tiers
Management (compétent et empathique)Nous allons :
1. Cloisonner nos données
2. Crypter nos données
3. Nous assurer que la restitution des données globales ne soit possible que sous certaines conditions
4. Définir des procédures claires en ce qui concerne la manipulation des données
5. Etablir des contrats de travail / fourniture de prestations très stricts au niveau de la confidentialité
6. Suivre la mise en application des directives touchant tous les aspects de la sécurité
Opérationnel (attentif, appliqué)Nous allons appliquer les procédures et les consignes, parce que nous en comprenons les enjeux
Conclusions - 1Les ouvrages de référence, les normes et les bonnes pratiques sont très utiles
Trier ce qui est utile et surtout, exploitable et efficient dans son propre contexte
S’aligner aux besoins des utilisateurs ou des clients
Un suivi de l’actualité et de l’évolution des technologies est indispensableLa notion de risque est en perpétuelle évolution. Sa compréhension et sa gestion doivent évoluerparallèlement.
Une des clés du succès est de trouver l’équilibre entre :Le cout des conséquences d’un risque <-> Le cout de la maitrise du risque
Quid d’une assurance ?
Conclusions - 2Rédiger une Charte-Sécurité compréhensible par tous est une bonne idée
Une certification est rassurante et motivanteC’est une étape couteuse et fastidieuse, mais à forte valeur ajoutée
Elle valide (ou non) la politique de sécurité adoptée. Elle ne fait - à notre avis - pas partie des toutes premières priorités
Pensez à rédiger un processus pour les cas imprévus !
Merci de votre attention !
