Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité ? Hervé Schauer Hervé Schauer Consultants

Retour sur investissementen sécurité

Comment essayer de démontrerl'utilité de vos investissements en sécurité ?

Hervé Schauer<[email protected]>

Hervé Schauer Consultants

Les journées Microsoft de la sécurité informatiqueLes journées Microsoft de la sécurité informatique3 mars 20063 mars 2006

Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite22 / 36 / 36

Hervé Schauer Consultants Hervé Schauer Consultants www.hsc.frwww.hsc.fr

Société de conseil en sécurité des systèmes d'information depuis Société de conseil en sécurité des systèmes d'information depuis 19891989

Prestations intellectuelles d'expertise en toute indépendancePrestations intellectuelles d'expertise en toute indépendance

Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personneldélégation de personnel

Prestations : conseil, études, audits, tests d'intrusion, formationsPrestations : conseil, études, audits, tests d'intrusion, formations

Domaines d'expertiseDomaines d'expertise

Sécurité Windows / Unix et linux / embarquéSécurité Windows / Unix et linux / embarqué

Sécurité des applicationsSécurité des applications

Sécurité des réseauxSécurité des réseaux

TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique, ...TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique, ...

Organisation de la sécuritéOrganisation de la sécurité

CertificationsCertifications

CISSP, ISO 27001 Lead Auditor, ProCSSICISSP, ISO 27001 Lead Auditor, ProCSSI


PlanPlan

Avant-proposAvant-propos

Exemple d'incidentExemple d'incident

Exemples d'orientation de Exemples d'orientation de ROSIROSI

Amélioration de la productivitéAmélioration de la productivité

Diminution des incidentsDiminution des incidents

Analyse de risqueAnalyse de risque

Enjeux métiersEnjeux métiers

Meilleures pratiquesMeilleures pratiques

BenchmarkingBenchmarking

Les transparents sont disponibles sur www.hsc.fr

ROSIROSI

DéfinitionsDéfinitions

Pourquoi ?Pourquoi ?

Facteur de succès de la sécuritéFacteur de succès de la sécurité

Coûts de la sécuritéCoûts de la sécurité

Courants d'approche du ROSICourants d'approche du ROSI

Choix du ROSIChoix du ROSI

Positionnement du projetPositionnement du projet

Grille d'orientation d'argumentaireGrille d'orientation d'argumentaire

Grille des apports pour la SSIGrille des apports pour la SSI

Dossier d'argumentationDossier d'argumentation

ConclusionConclusion

Prochains rendez-vousProchains rendez-vous


Avant-propos : ClusifAvant-propos : Clusif

Clusif Clusif ((www.clusif.asso.frwww.clusif.asso.fr))

Groupe de travail ROSI de février 2003 à mai 2004Groupe de travail ROSI de février 2003 à mai 2004

Ernst & Young, HSC, Lynx, Microsoft, SIVAErnst & Young, HSC, Lynx, Microsoft, SIVA

Publication du document "Retour sur investissement en sécurité des Publication du document "Retour sur investissement en sécurité des systèmes d'information, quelques clés pour argumenter" en octobre systèmes d'information, quelques clés pour argumenter" en octobre 20042004

http://www.hsc.fr/presse/clusif/RoSI.pdfhttp://www.hsc.fr/presse/clusif/RoSI.pdf

Présentation basée sur ce document du ClusifPrésentation basée sur ce document du Clusif

Présentation déjà donnée en 2005, que Microsoft m'a Présentation déjà donnée en 2005, que Microsoft m'a demandé de refaire aux journées Microsoftdemandé de refaire aux journées Microsoft


http://www.internetweek.com/news/166401649


Exemple d'incidentExemple d'incident

Vente d'informations nominatives et confidentielles à des Vente d'informations nominatives et confidentielles à des escrocsescrocs

Coût de l'incident : 11 millions de dollarsCoût de l'incident : 11 millions de dollars

Mauvaise gestion de l'informationMauvaise gestion de l'information

Analyse de risque aurait pu révéler qu'il fallait avoir un contrôle strict de Analyse de risque aurait pu révéler qu'il fallait avoir un contrôle strict de la divulgation de l'informationla divulgation de l'information

Enjeux propres à ce métier auraient peut être exigés d'investir dans un Enjeux propres à ce métier auraient peut être exigés d'investir dans un contrôle strict des personnes auxquelles étaient vendues les donnéescontrôle strict des personnes auxquelles étaient vendues les données

Pratiques des gens gérant et revendant des données nominatives Pratiques des gens gérant et revendant des données nominatives beaucoup plus strictes que ce qui était pratiqué chez ChoicePointbeaucoup plus strictes que ce qui était pratiqué chez ChoicePoint

Plusieurs orientations de raisonnement sont possibles pour Plusieurs orientations de raisonnement sont possibles pour montrer qu'il aurait pu être plus rentable d'investir au préalable montrer qu'il aurait pu être plus rentable d'investir au préalable dans une meilleure gestion de la sécurité de l'informationdans une meilleure gestion de la sécurité de l'information


Exemples d'orientation de ROSIExemples d'orientation de ROSI

Amélioration de la productivitéAmélioration de la productivité

Diminution des incidentsDiminution des incidents

Analyse de risqueAnalyse de risque

Enjeux métiersEnjeux métiers

Meilleures pratiquesMeilleures pratiques

BenchmarkingBenchmarking


ROSI orientéROSI orientéAmélioration de la productivitéAmélioration de la productivité

Pas spécifique à la sécuritéPas spécifique à la sécurité

Avantage : Avantage : intuitif car pas spécifique à la sécuritéintuitif car pas spécifique à la sécurité

Limites : Limites : ne marche pas toujours car souvent technologiquene marche pas toujours car souvent technologique

ExempleExemple

Scénario :Scénario :

Entreprise utilisant une équipe de 5 personnes chargées principalement Entreprise utilisant une équipe de 5 personnes chargées principalement d'établir les droits d'accès et les mots de passe, et de les enregistrer ou d'établir les droits d'accès et les mots de passe, et de les enregistrer ou les faire enregistrer dans l'ensemble des systèmes et applicationsles faire enregistrer dans l'ensemble des systèmes et applications

Solution :Solution :

Déploiement d'une solution de gestion des identités de 250 kDéploiement d'une solution de gestion des identités de 250 k€€

ROSI :ROSI :

Réduction de la charge de travail, diminution de 5 à 2 personnes, coût de Réduction de la charge de travail, diminution de 5 à 2 personnes, coût de fonctionnement passé de 400 k€ à 160 k€fonctionnement passé de 400 k€ à 160 k€


ROSI orienté Incidents ou SinistralitéROSI orienté Incidents ou Sinistralité

ALE : Annual Loss of ExpectancyALE : Annual Loss of Expectancy

Pertes annuelles prévisibles à partir de la fréquence de survenance d'un Pertes annuelles prévisibles à partir de la fréquence de survenance d'un incident et coût financier de son impactincident et coût financier de son impact

ROSI : différence entre l'ALE actuel et l'ALE futur + le coût de la solutionROSI : différence entre l'ALE actuel et l'ALE futur + le coût de la solution

LimitesLimites

Calcul de probabilité donc bases d'incidents et effort de modélisationCalcul de probabilité donc bases d'incidents et effort de modélisation

Pas de distinction occurence faible/impact élevé et occurence élevée/impact Pas de distinction occurence faible/impact élevé et occurence élevée/impact faiblefaible

ExempleExemple

ScénarioScénarioAttaque virale généralisée couteraît 1MAttaque virale généralisée couteraît 1M€ avec une probabilité € avec une probabilité d'occurence de 70%d'occurence de 70%

SolutionSolutionDiminution de la probabilité de 20% par le déploiement d'une nouvelle Diminution de la probabilité de 20% par le déploiement d'une nouvelle infrastructure anti-virale de 150 kinfrastructure anti-virale de 150 k€€

ROSI : 70% x 1MROSI : 70% x 1M€ - (70-20)% x 1M€ - 150 k€ = 50 k€€ - (70-20)% x 1M€ - 150 k€ = 50 k€


ROSI orienté Analyse de risquesROSI orienté Analyse de risques

Comparaison du Comparaison du risque potentiel maximalrisque potentiel maximal par rapport au coût de par rapport au coût de la solutionla solution

Avantage : approche largement employéeAvantage : approche largement employée

LimitesLimites

Technique de quantification différentes d'une méthode à une autre, d'un Technique de quantification différentes d'une méthode à une autre, d'un expert à l'autreexpert à l'autre

Scénarios de risques non-exhaustifs et hypothèses des scénarios Scénarios de risques non-exhaustifs et hypothèses des scénarios susceptibles d'être remises en causesusceptibles d'être remises en cause

ExempleExemple

ScénarioScénarioServeur de production sur un site non-sécurisé redondé localement, en Serveur de production sur un site non-sécurisé redondé localement, en cas de sinistre majeur sur le site la perte est évaluée à 15Mcas de sinistre majeur sur le site la perte est évaluée à 15M€€

SolutionSolutionHébergement sur un site distant sécurisé : 4MHébergement sur un site distant sécurisé : 4M€€

ROSI :ROSI :

Coût de la solution de 4MCoût de la solution de 4M€ par rapport à celui du sinistre de 15M€€ par rapport à celui du sinistre de 15M€


ROSI orienté Enjeux métiersROSI orienté Enjeux métiersLa sécurité est génératrice de richesses dans votre activitéLa sécurité est génératrice de richesses dans votre activité

Gain de part de marché, avantage concurrentielGain de part de marché, avantage concurrentiel

Amélioration de la qualité d'un service, de l'image de marque, de la confiance Amélioration de la qualité d'un service, de l'image de marque, de la confiance du clientdu client

AvantageAvantage

Utilise le langage métier et fédère l'organismeUtilise le langage métier et fédère l'organisme

LimitesLimites

N'utilise pas d'analyse coût/bénéficesN'utilise pas d'analyse coût/bénéfices

Difficile à expliquer et difficile d'atteindre les bons interlocuteursDifficile à expliquer et difficile d'atteindre les bons interlocuteurs

ExempleExemple

ScénarioScénarioServeur d'assurance avec fichier nominatif non-protégé : clients, biens Serveur d'assurance avec fichier nominatif non-protégé : clients, biens assurés, ...assurés, ...

SolutionSolutionSécurisation du serveur, ajout d'un contrôle d'accès, authentification forteSécurisation du serveur, ajout d'un contrôle d'accès, authentification forte

ROSI : enjeu lié à l'image et au risque juridiqueROSI : enjeu lié à l'image et au risque juridique


ROSI orienté Meilleures pratiquesROSI orienté Meilleures pratiques

AvantageAvantage

Alternative à l'analyse de risqueAlternative à l'analyse de risque

LimiteLimite

Beaucoup pensent que les meilleures pratiques ne sont pas pour euxBeaucoup pensent que les meilleures pratiques ne sont pas pour eux

ExempleExemple

ScénarioScénarioUn audit de sécurité révèle que l'ERP d'une société cotée n'a pas de Un audit de sécurité révèle que l'ERP d'une société cotée n'a pas de ségrégation des tâches et de traçabilité, ouvrant la possibilité à des ségrégation des tâches et de traçabilité, ouvrant la possibilité à des fraudes internesfraudes internes

SolutionSolutionIntervention d'un cabinet d'expertise en sécurité pour reconstruire la Intervention d'un cabinet d'expertise en sécurité pour reconstruire la sécurité applicativesécurité applicative

ROSIROSI

La direction n'étant pas sensibilisée à la fraude interne c'est le La direction n'étant pas sensibilisée à la fraude interne c'est le respect de la loi sur la sécurité financière qui les a fait déciderrespect de la loi sur la sécurité financière qui les a fait décider


ROSI orienté BenchmarkingROSI orienté Benchmarking

Comparatif de performance des entreprisesComparatif de performance des entreprises

AvantagesAvantages

Les dirigeants apprécientLes dirigeants apprécient

LimitesLimites

Ne prends pas en compte les spécificités locales et pousse à faire Ne prends pas en compte les spécificités locales et pousse à faire pareilpareil

ExempleExemple

ScénarioScénarioUn audit de sécurité de service en ligne révèle un serveur très mal conçu Un audit de sécurité de service en ligne révèle un serveur très mal conçu où tous les clients peuvent visualiser les informations des tiers. Jamais un où tous les clients peuvent visualiser les informations des tiers. Jamais un service du secteur n'a été vu dans un tel état.service du secteur n'a été vu dans un tel état.

SolutionSolutionRé-écrire l'applicationRé-écrire l'application

ROSIROSI

Rejoindre la majorité, ne pas faire pire que les autresRejoindre la majorité, ne pas faire pire que les autres


ROSI : DéfinitionsROSI : Définitions

ROSI : ROSI : Return On Security InvestmentReturn On Security Investment

Retour sur investissement en sécuritéRetour sur investissement en sécurité

ROSI vient de ROI : ROSI vient de ROI : Return On InvesmentReturn On Invesment

Gain financier d'un projet de sécurité au regard de son coût Gain financier d'un projet de sécurité au regard de son coût totaltotal

Net : en monnaie constanteNet : en monnaie constante

Investissements et fonctionnementInvestissements et fonctionnement

Sur une période d'analyse donnéeSur une période d'analyse donnée

Projet de sécurité : projet où la sécurité est plus importanteProjet de sécurité : projet où la sécurité est plus importante

TCO : TCO : Total Cost of OwnershipTotal Cost of Ownership

Coût total associé au cycle déploiement/maintenanceCoût total associé au cycle déploiement/maintenance


ROSI : DéfinitionROSI : Définition

Le ROSI relativise les coûts par rapport aux bénéficesLe ROSI relativise les coûts par rapport aux bénéfices

Point de retour : date à partir de laquelle les gains dépassent les Point de retour : date à partir de laquelle les gains dépassent les coûtscoûts

Le ROSI est plutôt la valeur ajoutée d'un investissement Le ROSI est plutôt la valeur ajoutée d'un investissement en sécuritéen sécurité

Le retour sur investissement n'est plus uniquement une notion Le retour sur investissement n'est plus uniquement une notion financièrefinancière


ROSI : Pourquoi ?ROSI : Pourquoi ?

Manière de travailler, d'analyser et de décider repose de plus Manière de travailler, d'analyser et de décider repose de plus en plus sur des tableaux de chiffresen plus sur des tableaux de chiffres

Certains dirigeants prennent leurs décisions face à des tableaux ExcelCertains dirigeants prennent leurs décisions face à des tableaux Excel

Ceux qui prennent en compte d'autres dimensions exigent quand Ceux qui prennent en compte d'autres dimensions exigent quand même des tableaux Excel avec des chiffresmême des tableaux Excel avec des chiffres

Le tableau Excel marche pour tous les types de projetsLe tableau Excel marche pour tous les types de projets

Management demande des tableaux des coûtsManagement demande des tableaux des coûts

Dans les rapports d'audit de sécuritéDans les rapports d'audit de sécurité

Lors des réunions de restitution des résultatsLors des réunions de restitution des résultats

Tableau des coûts associés aux risques encourus et aux Tableau des coûts associés aux risques encourus et aux recommendations proposéesrecommendations proposées

Pas toujours dans la compétence de l'auditeurPas toujours dans la compétence de l'auditeur


ROSI : Pourquoi ?ROSI : Pourquoi ?

Raisons historiques du pourquoi fait-on de la sécurité ne Raisons historiques du pourquoi fait-on de la sécurité ne suffisent plus toujours au managementsuffisent plus toujours au management

Management applique la notion de ROI à des aspects Management applique la notion de ROI à des aspects immatérielsimmatériels

Sécurité protège principalement un patrimoine immatériel Sécurité protège principalement un patrimoine immatériel →→ pas pas de raison d'y échapperde raison d'y échapper

Principaux facteurs d'influence actuels auprès des Principaux facteurs d'influence actuels auprès des directions :directions :

Obligations réglementairesObligations réglementaires

Sensibilisation à la gestion des risquesSensibilisation à la gestion des risques

ROSI : piste complémentaire à l'existantROSI : piste complémentaire à l'existant


ROSI : Facteur de succès de la sécuritéROSI : Facteur de succès de la sécurité

La sécurité doit s'intégrer dans la manière de faire avec La sécurité doit s'intégrer dans la manière de faire avec d'autres sujets :d'autres sujets :

Réseaux : planification, déploiement, supervision, ...Réseaux : planification, déploiement, supervision, ...

Applications : développement, déploiement, performance, gestion, ...Applications : développement, déploiement, performance, gestion, ...

La sécurité pourra ainsi mieux s'intégrer dans la vie du La sécurité pourra ainsi mieux s'intégrer dans la vie du système d'informationsystème d'information

La sécurité commence à apparaître dans le discours des gens La sécurité commence à apparaître dans le discours des gens en dehors du monde de la sécuritéen dehors du monde de la sécurité

Plus vue comme quelque chose de séparée.Plus vue comme quelque chose de séparée.

Intégrée de manière multi-dimentionelleIntégrée de manière multi-dimentionelle



Coûts organisationnels, humains, techniquesCoûts organisationnels, humains, techniques

La sécurité est de l'organisation et des hommesLa sécurité est de l'organisation et des hommes

La sécurité n'est pas des licences logiciellesLa sécurité n'est pas des licences logicielles

CoûtsCoûts ponctuelsponctuels etet récurrentsrécurrents

CoûtsCoûts tangiblestangibles ouou intangiblesintangibles



Coûts ponctuelsCoûts ponctuels

Investissements liés à la mise en Investissements liés à la mise en place et au déploiement des place et au déploiement des dispositifs de sécuritédispositifs de sécurité

Coûts des conséquences directes Coûts des conséquences directes des incidents de sécuritédes incidents de sécurité

Pertes de productionPertes de production

Remplacement des matérielsRemplacement des matériels

Frais d'assuranceFrais d'assurance

Frais d'investigationFrais d'investigation

Pénalités de retardPénalités de retard

Pertes de parts de marchéPertes de parts de marché

Dommages et intérêtsDommages et intérêts

Coûts de reconstitutionCoûts de reconstitution

Coût récurrentsCoût récurrents

Coûts d'exploitation et Coûts d'exploitation et d'administration des dispositifs de d'administration des dispositifs de sécuritésécurité

Coûts de mise à jour des Coûts de mise à jour des dispositifs et de leurs procéduresdispositifs et de leurs procédures

Plus des 2/3 du coût totalPlus des 2/3 du coût total



Coûts tangiblesCoûts tangibles

MesurablesMesurables

InvestissementsInvestissements

Maintenance et supportMaintenance et support

Prime d'assurancePrime d'assurance

Baisse de productivité où Baisse de productivité où l'équivalent financier est l'équivalent financier est chiffrablechiffrable

Perte de revenusPerte de revenus

Remplacement ou Remplacement ou reconstitutionreconstitution

Coût intangiblesCoût intangibles

Difficilement mesurablesDifficilement mesurables

Baisse de productivité difficile Baisse de productivité difficile à mesurerà mesurer

Perte de réputation ou de la Perte de réputation ou de la confiance des clientsconfiance des clients

Perte de part de marchéPerte de part de marché

Non-conformité à la législationNon-conformité à la législation

Poursuites juridiquesPoursuites juridiques


Courants d'approche du ROSICourants d'approche du ROSI

Arguments évoqués dans la littératureArguments évoqués dans la littérature

Arguments technologiquesArguments technologiques

Généralisation d'outils ou de procéduresGénéralisation d'outils ou de procédures

Réduction du nombre d'incidentsRéduction du nombre d'incidents

Amélioration de la convivialité pour les utilisateursAmélioration de la convivialité pour les utilisateurs

Arguments métiersArguments métiers

Analyse de risque, assurance, confiance, concurrence dans le secteurAnalyse de risque, assurance, confiance, concurrence dans le secteur

Arguments réglementaires et normatifsArguments réglementaires et normatifs

Lois : Sarbanes-Oxley, sécurité financière, informatique & libertésLois : Sarbanes-Oxley, sécurité financière, informatique & libertés

Normes : ISO 27001 (anciennement BS7799-2)Normes : ISO 27001 (anciennement BS7799-2)

Propres au métier : CRBF 97-02, Bâle II, HIPAAPropres au métier : CRBF 97-02, Bâle II, HIPAA


Choix du ROSI : approche CLUSIFChoix du ROSI : approche CLUSIF

Combiner aspects quantitatif et qualitatif en trois étapes :Combiner aspects quantitatif et qualitatif en trois étapes :

Orientation du projetOrientation du projet

Projet plutôt Projet plutôt métiermétier

Projet plutôt Projet plutôt sécurité des SIsécurité des SI

Cartographie contextuelle du projetCartographie contextuelle du projet

Quatre axes complémentaires selon le contexteQuatre axes complémentaires selon le contexte

Performance, amélioration de la productivitéPerformance, amélioration de la productivité

RisquesRisques

Sinistralité, incidentsSinistralité, incidents

Enjeux businessEnjeux business

Trois facteurs influencent l'approcheTrois facteurs influencent l'approche

Contexte économique, humain et intrinsèque aux projetsContexte économique, humain et intrinsèque aux projets

Synthèse des apports potentiels pour la sécuritéSynthèse des apports potentiels pour la sécurité


Statistiques incidentsCoût des pertes

(ALE)

MenacesRisques potentiels

Aspects réglementaires

Objectifs métiersApports SSI / enjeux

du projet

Gains de productivitéEconomies de

fonctionnement

Performance /Productivité

Baisse de la sinistralité

Prévention des risques

Enjeux business

PROJETDominante MÉTIER

Dominante SÉCURITÉ des SI

Nature du projet(dominante technique / non technique)

(contexte intrinsèque)

Secteur d’activité / Métier(contexte économique)

Interlocuteurs / commanditaires

(contexte humain)

CARTOGRAPHIE CONTEXTUELLECARTOGRAPHIE CONTEXTUELLE

GRILLE D’ORIENTATION D’ARGUMENTAIRE

POSITIONNEMENT DU PROJET

GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES

Métrique quantitative Critères qualitatifs


Positionnement/orientation du projetPositionnement/orientation du projet

Projet plutôt Projet plutôt métiermétier

Financé par une maîtrise d'ouvrage opérationnelle ou fonctionnelleFinancé par une maîtrise d'ouvrage opérationnelle ou fonctionnelle

Développer l'argumentaire orienté vers l'atteinte des intérêt ou des Développer l'argumentaire orienté vers l'atteinte des intérêt ou des objectifs du métierobjectifs du métier

Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration de l'anti-virus par les gestionnaires améliore la qualité du service rendu de l'anti-virus par les gestionnaires améliore la qualité du service rendu aux usagers et diminue les appels au supportaux usagers et diminue les appels au support

Projet plutôt Projet plutôt sécurité des SIsécurité des SI

Développer l'argumentaire sécuritéDévelopper l'argumentaire sécurité

Réduction d'un risque opérationnelRéduction d'un risque opérationnel

Exemple : mise à disposition d'une solution de chiffrement pour chaque Exemple : mise à disposition d'une solution de chiffrement pour chaque type d'assistant personnel permet aux employés de protéger les données type d'assistant personnel permet aux employés de protéger les données de l'entreprise vis-à-vis de la perte de l'assistant personnelde l'entreprise vis-à-vis de la perte de l'assistant personnel


Contexte du projetContexte du projet

EconomiqueEconomique

Culture de gestion du risque déjà existante dans le métier ?Culture de gestion du risque déjà existante dans le métier ?

Environnement législatif ou réglementaire fort ?Environnement législatif ou réglementaire fort ?

Savoir faire industriel représente un avantage concurrentiel ?Savoir faire industriel représente un avantage concurrentiel ?

HumainHumain

Pour chaque intervenant : commanditaire, chef de projet, responsable de Pour chaque intervenant : commanditaire, chef de projet, responsable de service, équipes études ou opérationnels :service, équipes études ou opérationnels :

Niveau technique, sensibilité à la sécurité, intérêt pour le projet, ...Niveau technique, sensibilité à la sécurité, intérêt pour le projet, ...

IntrinsèqueIntrinsèque

Dominante technologique : importance des expertsDominante technologique : importance des experts

Dominante organisationnelle : amélioration des processus interneDominante organisationnelle : amélioration des processus interne

Dominante comportementale : tributaire de la culture sécuritaireDominante comportementale : tributaire de la culture sécuritaire

GRILLE D’ORIENTATION D’ARGUMENTAIRE





Faire sa propre grilleFaire sa propre grille

Garder les questions pertinentes pour son projetGarder les questions pertinentes pour son projet

Ajouter ses propres questionsAjouter ses propres questions

Faire ses propres pondérationsFaire ses propres pondérations

Envisager plusieurs grilles pour un même projetEnvisager plusieurs grilles pour un même projet

Culture latine vs anglo-saxonneCulture latine vs anglo-saxonne

Plusieurs sites géographiquesPlusieurs sites géographiques

Contexte général très différentContexte général très différent

Faire répondre au même questionnaire à plusieurs personnesFaire répondre au même questionnaire à plusieurs personnes


Grille des apports pour la SSIGrille des apports pour la SSI

Arguments du projet sécurité en lui-mêmeArguments du projet sécurité en lui-même

Son volet sécurité dans le cas d'un projet métierSon volet sécurité dans le cas d'un projet métier

Pour chaque axePour chaque axe

Performance, Risques, Sinistralité, Enjeux businessPerformance, Risques, Sinistralité, Enjeux business

Construire son ROSIConstruire son ROSI

Déterminer les métriques quantitatives et les critères qualitatifsDéterminer les métriques quantitatives et les critères qualitatifs

Rappel des coûts du projetRappel des coûts du projet

Investissements, fonctionnementInvestissements, fonctionnement

GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES


Grille des apports pour la SSI escomptésGrille des apports pour la SSI escomptés


Dossier d'argumentationDossier d'argumentation

Gérer la sécurité comme un projet comme les autresGérer la sécurité comme un projet comme les autres

Réunir les argumentsRéunir les arguments

Objectifs stratégiquesObjectifs stratégiques

Economies d'échelleEconomies d'échelle

Contraintes réglementairesContraintes réglementaires

Alignement avec la culture d'entrepriseAlignement avec la culture d'entreprise

Plan de financementPlan de financement

Solliciter les acteurs-clésSolliciter les acteurs-clés

Contrôle interne, finance, managementContrôle interne, finance, management


ConclusionConclusion

ROSI : instrument récent et sophistiquéROSI : instrument récent et sophistiqué

Pas d'approche unique mais des arguments clésPas d'approche unique mais des arguments clés

Fonctions du contexte, de la nature du projet, des interlocuteursFonctions du contexte, de la nature du projet, des interlocuteurs

Tout n'est pas quantifiable : les éléments intangibles doivent Tout n'est pas quantifiable : les éléments intangibles doivent s'apprécier autrements'apprécier autrement

Utile à ceux qui sont déjà mature en sécurité et qui souhaitent Utile à ceux qui sont déjà mature en sécurité et qui souhaitent optimiser les dépenses en sécuritéoptimiser les dépenses en sécurité

Usages des grilles CLUSIF parfois long et fastidieuxUsages des grilles CLUSIF parfois long et fastidieux

Commencez avec des cas simplesCommencez avec des cas simples

Questions [email protected]

www.hsc.fr


Prochains rendez-vousProchains rendez-vous

Conférence ISO17799 / ISO27001Conférence ISO17799 / ISO27001 : 7 mars 2006 : 7 mars 2006

http://www.issafrance.org/

Formation ISO27001 Lead AuditorFormation ISO27001 Lead Auditor : :

Certification ISO27001 Lead Auditor par Certification ISO27001 Lead Auditor par LSTILSTI

http://www.hsc.fr/services/formations/

Rencontres SécuritéRencontres Sécurité : 6 avril 2006, Paris : 6 avril 2006, Paris

http://www.rencontresecurite.com/

Formations techniques SecurityCertifiedFormations techniques SecurityCertified : : 24-28 avril,29 mai-2 juin24-28 avril,29 mai-2 juin

Permettant de passer la Permettant de passer la certification SCNPcertification SCNP

http://www.hsc.fr/services/formations/

Paris : 20-24 marsGenève : 27-31 marsToulouse : 5-9 juin


RéférenceRéférence

Retour sur investissement en sécurité, quelques clés pour Retour sur investissement en sécurité, quelques clés pour argumenter, document du CLUSIFargumenter, document du CLUSIF

http://www.hsc.fr/presse/clusif/RoSI.pdfhttp://www.hsc.fr/presse/clusif/RoSI.pdf

Plusieurs exemples et plusieurs tableaux de référencePlusieurs exemples et plusieurs tableaux de référence

Composants Projet

Quantitatif Qualitatif

Financier Métriques opérationnellesConformitéRèglement

(1 à 5)

Assurancequalité(1 à 5)

Image(1 à 5)

Confort(1 à 5)

Economie

Gains Performance Sinistralité Appelssupports

Incidents 1 : un peu efficace à 5 : très efficace

Concentrateur VPN1,67*1255,5

*12 = 25 160,22 ¤

(19,17*270)*12=

62110,8 ¤

Connexionssupp :23,25

4,65*270=

1255,5

3 5 5 3

Pare-feux sites distants111 600 ¤(risques

couverts)

(intrusion,

)0,4/an

0,06(électrique, incendie,pannes.. )

3 4 2 2

Lignes télécoms 18 620 ¤ 1 Mb/s na 4 na 4 (débits)

Clients (Auth. Forte) comptabilisé comptabilisé 5(Auth. Forte)

5(tracabilité)

5(Auth bio)

4(Fiabilité)

5(Auth. Forte)

5 na 4(Admin.)

Sites dist.Transfert

datas3600 ¤

Applications Intersites 3 Na 5

Acquisition 300*165 ¤ =


RessourcesRessources

Sur Sur www.hsc.fr vous trouverez des présentations sur vous trouverez des présentations sur

Infogérance en sécuritéInfogérance en sécurité

Sécurité des réseaux sans filSécurité des réseaux sans fil

Sécurité des SANSécurité des SAN

Sécurité des bases de donnéesSécurité des bases de données

SPAMSPAM

ISO 27001 et ISO 17799ISO 27001 et ISO 17799

Sécurité de la voix sur IPSécurité de la voix sur IP

etcetc

Sur Sur www.hsc-news.com vous pourrez vous abonner à la vous pourrez vous abonner à la newsletter HSCnewsletter HSC


Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com

Documents

Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité ? Hervé Schauer Hervé Schauer Consultants