t Vice-président Directeur, réinventer la sécurité des ... · Sortir des sentiers battus pour le recrutement ... de l’optimisation des processus et de ... ordre de priorité

réinventer la sécurité des

informations

ABN Amro Martijn Dekker, Vice-président Directeur, Directeur de la sécurité informatique

Airtel Felix Mohan, Vice-président Directeur et Directeur de la sécurité informatique Monde

AstraZeneca siMon stricklanD, Responsable de la sécurité Monde

Automatic Data Processing rolanD cloutier, Vice-président, Responsable de la sécurité

The Coca-Cola Company renee guttMann, Directrice de la sécurité informatique

EMC Corporation Dave Martin, Vice-président et Responsable de la sécurité

FedEx Denise D. wooD, Vice-présidente Corporate de la sécurité informatique, Responsable de la sécurité des systèmes d’information, Directrice Risque informatique

Fidelity Investments tiM Mcknight, Vice-président exécutif, Sécurité et risque informatique dans l’entreprise

HDFC Bank vishal salvi, Responsable de la sécurité des systèmes d’information et Vice-président Directeur

HSBC Holdings plc. bob roDger, Responsable Groupe de la sécurité des infrastructures

Intel MalcolM harkins, Vice-président président, Directeur de la sécurité et de la confidentialité

Johnson & Johnson Marene n. allison, Vice-présidente monde de la sécurité informatique

JPMorgan Chase anish bhiMani, Directeur du risque informatique

Nokia Petri kuivala, Responsable de la sécurité des systèmes d’information

SAP AG ralPh saloMon, Vice-président Sécurité informatique et Risque

TELUS kenneth haertling, Vice-président et Directeur de la sécurité

T-Mobile USA williaM boni, Responsable de la sécurité des systèmes d’information (RSSI) et Vice-président, Sécurité de l’informatique d’entreprise

Walmart Stores, Inc. jerry r. geisler iii, Service du responsable de la sécurité des systèmes d’information

Security for Business Innovation Council

Une initiative professionnelle parrainée par RSA

De nouvelles compétences

incontournables

Évolution de la mission

de sécurité informatique

Des perspectives de collaboration

émergentes

Mieux comprendre l’optimisation de l’utilisation des ressources

Recommandations immédiatement

exploitables

Cartographie des rôles au

sein de l’équipe élargie

Rapport établi à partir d’entretiens avec le

Dans ce raPPort :

t

Bâtir une équipe élargie de pointe

les recommandations des dirigeants global 1000

2 | rapport du security for business innovation council | RSA, la division Sécurité d’EMC

Points clés du raPPort 1

1. introduction : des équiPes en Pleine mutation 2

2. un nouveau cahier des charges 3

Tableau 1 : La mission de la sécurité informatique aujourd’hui >>>>>>>>>>> 4

3. enjeux et Possibilités 6

4. recommandations 7

1. Redéfinir et renforcer les compétences fondamentales >>>>>>>>>>>>>>>> 7

2. Déléguer les opérations de routine >>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9

3. Emprunter ou louer les services d’experts >>>>>>>>>>>>>>>>>>>>>>>> 10

4. Accompagner les propriétaires de risques dans la gestion des risques >>> 10

5. Engager des spécialistes de l’optimisation des processus >>>>>>>>>>>>> 11

6. Bâtir des relations stratégiques >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 11

7. Sortir des sentiers battus pour le recrutement >>>>>>>>>>>>>>>>>>>>> 12

conclusion 13

À ProPos du security for business innovation council 13

annexe

Tableau 2 : Illustration d’une équipe élargie de pointe pour la sécurité informatique >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14

auteurs 16

* Sommaire

Clause de non-responsabilité : Ce rapport du Security for Business Innovation Council (le « rapport ») comprend des informations et des éléments (constituant collectivement le

« contenu ») qui sont modifiables sans préavis. RSA Security LLC, EMC Corporation et chacun des auteurs du Security for Business Innovation Council (désignés collectivement

comme les « auteurs ») rejettent expressément toute obligation de tenir le contenu à jour. Le contenu est fourni « EN L’ÉTAT ». Les auteurs n’émettent aucune garantie expresse ou tacite

quant à l’utilisation du contenu, notamment mais sans s’y limiter, en termes de valeur marchande, de pertinence, de non-violation, d’exactitude ou d’adéquation à une fin particulière.

Le contenu vise à informer le public et ne constitue pas une prestation de conseil juridique de la part de RSA Security LLC, de sa société mère, EMC Corporation, de leurs avocats ni

des auteurs de ce rapport du SBIC. Vous ne devez pas agir ni renoncer à agir sur la base des informations fournies par le contenu sans consulter un avocat inscrit au barreau dans votre

juridiction. Les auteurs déclinent toute responsabilité en cas d’erreur constatée dans le contenu ou pour des dommages de quelque nature que ce soit résultant de ou liés à l’utilisation de

ce rapport (y compris l’intégralité de son contenu), notamment mais sans s’y limiter les dommages directs, immatériels, accessoires, particuliers, indirects ou punitifs, que ce soit dans le

cadre d’un contrat ou de la responsabilité civile ou toute autre responsabilité juridique, même si les auteurs ont connaissance de la possibilité de tels erreurs ou dommages. Les auteurs

déclinent également toute responsabilité en cas d’erreurs ou d’omissions constatées dans quelque partie que soit du contenu.

RSA, la division Sécurité d’EMC | rapport du security for business innovation council | 1

Que Faut-il Pour gérer les risques qui pèsent sur les ressources informatiques dans l’entreprise mondialisée d’aujourd’hui ? Bien plus qu’il n’y a pas si longtemps. Ces 18 derniers mois, les contraintes se sont même renforcées face à l’explision du nombre de cyberattaques, à l’engouement immodéré pour les nouvelles technologies, à la vigilance accrue des autorités et à l’essor de l’entreprise hyperconnectée.

la Mission De la sécurité informatique ne se limite plus « à la mise en œuvre et à l’application des contrôles de sécurité » ; elle inclut désormais des activités techniques et stratégiques avancées : analyse du risque stratégique, évaluation des actifs, intégrité de la chaîne logistique informatique, renseignement informatique, analytique des données de sécurité, entreposage des données et optimisation des processus.

alors MêMe Que De nouvelles compétences deviennent indispensables, la pénurie de professionnels qualifiés est un obstacle de taille à la mise en place d’une équipe efficace.

heureuseMent, Dans De nombreuses organisations, les collaborateurs qui n’appartiennent pas au service Sécurité commencent à reconnaître leur part de responsabilité dans les risques qui pèsent sur les ressources informatiques qu’ils utilisent, et admettent qu’il leur faut collaborer activement avec le service Sécurité pour gérer ces risques.

Pour Porter ses Fruits, la sécurité informatique doit s’appuyer sur une action transversale, avec des procédures profondément ancrées dans les processus métier.

Points clés du rapportl’éQuiPe élargie réunit ainsi des personnels du service informatique, des diverses entités et d’autres fonctions telles que les services achats, juridique et marketing.

l’éQuiPe sécurité inForMatiQue principale se charge de diriger et de coordonner l’action globale et s’acquitte des tâches nécessitant des connaissances spécialisées ou un traitement centralisé.

sePt recoMManDations permettent de bâtir une équipe élargie qui saura gérer efficacement les risques de cybersécurité et optimiser l’utilisation des ressources humaines disponibles, et de s’assurer qu’elle dispose des compétences requises.

1. reDéFinir et renForcer les coMPétences FonDaMentales : Concentrer l’action de l’équipe principale sur l’amélioration des compétences dans quatre domaines clés : Renseignement sur les risques informatiques et analytique des données de sécurité, gestion des données de sécurité, conseil en matière de risque, et conception et validation des contrôles.

2. Déléguer les oPérations De routine : Attribuer les processus de sécurité récurrents et bien établis au service informatique, aux différentes entités et/ou à des fournisseurs de services externes.

3. eMPrunter ou louer les services D’exPerts : Pour les spécialisations poussées, rattacher à l’équipe des experts issus de l’organisation ou venant de l’extérieur.

4. accoMPagner les ProPriétaires De risQues Dans la gestion Des risQues : Collaborer avec l’entreprise dans la gestion des risques de cybersécurité et coordonner une approche cohérente. Faciliter la tâche de l’entreprise et faire prendre conscience des responsabilités.

5. engager Des sPécialistes De l’oPtiMisation Des Processus : Intégrer à l’équipe des personnes expérimentées et/ou certifiées dans le domaine de la qualité, de la gestion de projet ou de programme, de l’optimisation des processus et de la fourniture de services.

6. bâtir Des relations stratégiQues : Adopter une position d’influence sur les principaux acteurs, tels que les détenteurs des « actifs attrayants », les cadres intermédiaires et les fournisseurs de services externes.

7. sortir Des sentiers battus Pour le recruteMent : Compte tenu du manque d’expertise immédiatement disponible, le développement des compétences est la seule véritable solution à long terme pour la plupart des organisations. Plusieurs cursus peuvent se révéler précieux : administration des bases de données, développement logiciel, analyse stratégique, renseignement militaire, droit et confidentialité, science des données, mathématique ou histoire.


i vous aviez pénétré dans un service de sécurité informatique

voici quelques années, vous auriez certainement rencontré une équipe de techniciens. Vous auriez entendu des conversations sur les protections périmétriques, les listes de conformité et les mises à jour antivirus. Aujourd’hui, ce service aurait un profil bien différent. Les équipes se transforment en groupes pluridisciplinaires composés, entre autres, d’analystes des menaces, de conseillers en risque, d’experts en science des données et de spécialistes des processus. Les discussions qui les animent traitent désormais de gestion des risques stratégiques, d’analyse des données, de validation des contrôles et de gouvernance des fournisseurs de services.

Selon les organisations, cette transformation se trouve à différents stades, mais la plupart d’entre elles reconnaissent qu’il est nécessaire d’adopter une nouvelle approche de la sécurité informatique.

S

Pour répondre à cette question, voici le premier volet d’une série de rapports consacrée à la réinvention des programmes de sécurité informatique des grandes entreprises, qui s’appuie sur l’expertise et la vision de quelques-uns des décideurs les plus affluents dans ce domaine, réunis au sein du Security for Business Innovation

Council (SBIC). Ce premier rapport présente les nouvelles compétences incontournables et explique en quoi la sécurité informatique relève de la responsabilité de l’ensemble de l’entreprise. Il formule des recommandations précises et faciles à mettre en œuvre pour réunir une équipe élargie de pointe.

De fait, une étude récente a montré qu’au second rang des priorités budgétaires des entreprises mondiales se trouvait la refonte complète des programmes de sécurité informatique.1 Un simple ajout de solutions ad-hoc ou la mise en place d’améliorations progressives ne suffit plus. Mais quelles sont les caractéristiques précises d’un programme de sécurité informatique innovant ?

1 Introduction : Des équipes en pleine mutation

1 Enquête mondiale sur la sécurité informatique, Ernst & Young, novembre 2012


a mission de la sécurité informatique ne se limite plus « à la mise en œuvre et à l’application des contrôles de sécurité » ; elle inclut désormais un spectre bien plus large d’activités. Pour bâtir une équipe optimisée,

qui réunit les meilleures compétences, il est indispensable de définir un cahier des charges.

Que faut-il pour gérer les risques qui pèsent sur les ressources informatiques dans l’entreprise mondialisée d’aujourd’hui ? Bien plus qu’il n’y a pas si longtemps. Ces 18 derniers mois, les contraintes se sont même renforcées face à l’explosion du nombre de cyberattaques, à l’engouement immodéré pour les nouvelles technologies, à la vigilance accrue des autorités et à l’essor de l’entreprise hyperconnectée.

Les organisations se voient désormais dans l’obligation d’adopter une posture proactive sur la question des risques de cybersécurité. Pour parvenir à ce changement, elles doivent mettre en place de nouvelles approches pour se défendre contre les menaces avancées, pour intégrer la sécurité informatique dans les stratégies technologiques et commerciales, et pour garantir l’efficacité et l’efficience de ces processus sécuritaires.

De nouvelles activités techniques et stratégiques sont désormais incontournables, notamment :

D Gestion des risques informatiques / Analyse des risques stratégiques et des bénéfices• Pour systématiser la prise de décision risque/

bénéfice

D Inventaire et évaluation des actifs• Pour hiérarchiser les stratégies de protection par

ordre de priorité et se concentrer sur la sauvegarde des actifs attrayants

D Gestion des risques tiers / intégrité de la chaîne logistique informatique• Pour évaluer le nombre croissant de fournisseurs

de services et de composants système acquis dans le monde entier

D Renseignement sur les risques informatiques et analyse des menaces• Pour appréhender l’environnement hostile et

reconnaître les indicateurs d’attaque

D Analytique des données de sécurité• Pour mettre en œuvre des techniques analytiques

avancées afin de détecter les anomalies dans les comportements système ou utilisateur au sein des environnements IT

D Gestion des données de sécurité et entreposage des données • Pour développer une stratégie et une infrastructure

globales qui permettent de collecter des données à partir de différentes sources et de les exploiter à différentes fins, notamment la détection des menaces, la surveillance des contrôles et le reporting de conformité

D Optimisation des processus de sécurité• Pour formaliser l’amélioration de l’efficacité des

processus de sécurité

D Agilité des contrôles • Pour atteindre des objectifs en matière de contrôles

de sécurité en s’appuyant sur des méthodes novatrices en réponse à des tendances telles que le Cloud ou l’informatique mobile

Aspect clé de la stratégie d’équipe, la définition d’une mission permet de déterminer « qui fait quoi ». Le tableau 1 décrit la mission de sécurité informatique en vigueur dans d’importantes organisations actuelles, en répertoriant les activités les plus classiques et celles qui sont de plus en plus poussées. Dans les organisations qui adoptent un programme convergé, d’autres tâches peuvent également être envisagées, comme la fraude, l’e-discovery, la confidentialité, la qualité des produits et/ou la sécurité physique de la mission. Si ce rapport porte sur les composantes de la sécurité informatique, il tient également compte de la nécessaire coordination avec d’autres activités connexes.

2 Un nouveau cahier des charges

L


Tableau 1

Gestion de programme

• Déterminer la stratégie globale et planifier le programme de gestion de la sécurité informatique

• Veiller à ce que le programme respecte les besoins stratégiques essentiels de l’organisation

• Assurer la coordination avec les tâches connexes comme la fraude, l’e-discovery, la sécurité physique, la sécurité des produits et/ou la confidentialité

Politique et normes de sécurité

• Développer et documenter les directives et règles globales qui encadrent la protection des informations dans l’organisation

• Élaborer l’intégralité des contrôles administratifs, techniques et physiques utilisés dans l’organisation pour assurer la sécurité informatique (c’est-à-dire, le framework de contrôles) : contrôle d’accès, chiffrement, identification et authentification, configuration, gestion, surveillance, consignation des audits, sécurité applicative et formation/sensibilisation (du personnel et des clients)

• Envisager les différentes contraintes dictées par les différentes législations et réglementations (ex. : SOX, HIPAA, PCI)

• S’assurer que les contrôles sont agiles et qu’ils suivent l’évolution de l’environnement d’activité et des menaces

Mise en œuvre des contrôles

• Implémenter les contrôles en fonction des politiques et normes en vigueur et des facteurs environnementaux internes et externes

Application des contrôles

• Appliquer les contrôles en fonction des politiques et normes en vigueur et des facteurs environnementaux internes et externes

Conception des contrôles (architecture de sécurité)

• Développer de nouveaux contrôles ou de nouvelles méthodologies de mise en œuvre des contrôles en fonction de l’évolution de l’activité, de l’informatique et du paysage des menaces

• Couvre également les techniques de développement d’applications ; la spécification, le déploiement, la personnalisation et/ou le développement de nouvelles technologies de sécurité ; et de nouveaux accords et procédures pour utilisateurs finaux

Surveillance/validation des contrôles

• Évaluer tous les contrôles pour vérifier qu’ils respectent normes et politiques

• S’assurer que tous les contrôles sont en vigueur et fonctionnent comme prévu

• Vérifier que tous les contrôles sont surveillés et validés de manière homogène

Réaction/résilience en cas d’incident

• Coordonner et gérer la réaction de l’organisation aux incidents de sécurité, notamment la continuité d’activité et la reprise après sinistre

Évaluation du risque de sécurité

• Évaluer les risques d’un programme, d’un processus, d’un projet, d’une initiative ou d’un système en fonction de la valeur des informations, des ressources de données, des menaces et vulnérabilités concernées, de la probabilité d’un préjudice, de l’impact pour l’organisation (ex. en termes de réputation, de manque à gagner ou de non-respect de la réglementation) et de l’estimation des pertes

Gestion des risques informatiques / Analyse des risques stratégiques et des bénéfices

• Établir l’appétence au risque des propriétaires de risques et les niveaux de tolérance autorisés

• À partir de l’évaluation des risques d’un programme, d’un processus, d’un projet, d’une initiative ou d’un système particuliers, formuler une stratégie d’atténuation et d’élimination des risques

• Adopter un processus cohérent pour déterminer le rapport risques/bénéfices pour l’entreprise

• Définir les contrôles à mettre en place pour ramener le risque à un niveau acceptable

• Intégrer le risque informatique au framework/programme de gestion des risques de l’entreprise

La mission de la sécurité informatique aujourd’huiLa liste va des activités les plus classiques à celles qui sont de plus en plus poussées.

un nouveau cahier des charges


Tableau 1

Inventaire et évaluation des actifs

• Dresser un inventaire complet des processus métier, des données sensibles et des systèmes d’information utilisés par l’organisation

• Établir un état des lieux complet des processus métier et des flux de données afin de comprendre les processus et les données qui doivent être protégés, et formuler des stratégies de protection

• Identifier, à tous les niveaux de l’entreprise au sens large, les utilisateurs privilégiés qui ont accès aux systèmes stratégiques

• Déterminer la valeur des ressources afin de hiérarchiser les stratégies de protection par ordre de priorité

Gestion des risques tiers / intégrité de la chaîne logistique informatique

• Veiller à effectuer une évaluation des risques avant que l’organisation n’établisse une relation avec une entité tierce

• Mettre au point un processus d’audit préalable pour l’évaluation des fournisseurs et des partenaires

• Évaluer les risques d’une collaboration continue avec les fournisseurs et les partenaires

• Comprendre la chaîne logistique informatique et évaluer la sécurité des matériels et logiciels utilisés dans l’environnement informatique de l’entreprise

• Accroître l’efficience par des évaluations communes et une surveillance continue des contrôles

Renseignement sur les risques informatiques et analyse des menaces

• Appréhender l’environnement hostile par rapport aux ressources de l’entreprise (identité, capacités, motivations, cibles)

• Réunir des renseignements sur les menaces qui pèsent sur l’organisation

• Gérer les sources de renseignement, interpréter les données, mener une analyse et produire des rapports et des alertes sur les menaces

• Intégrer la modélisation des menaces et les renseignements tout au long du processus et du cycle de vie de la gestion de la sécurité

Analytique des données de sécurité

• Recourir à des techniques analytiques avancées et à la science des données pour analyser les données de sécurité enrichies des renseignements recueillis

• Développer des requêtes, des algorithmes et des modèles de données permettant de détecter ou de prédire des actes malveillants

Gestion des données de sécurité et entreposage des données

• Élaborer une stratégie et une infrastructure de gestion des données pour agréger et analyser les données de sécurité issues de diverses sources (systèmes de sécurité, bases de données, applications, sources de menaces) avec différents objectifs (ex. détection des menaces, gestion des risques et conformité de l’entreprise, surveillance des contrôles en continu)

• Bâtir un entrepôt décisionnel pour les données de sécurité

Optimisation des processus de sécurité

• Effectuer un suivi et une évaluation homogènes de l’efficacité des processus de sécurité et implémenter des améliorations en s’appuyant sur des méthodologies de gestion de la qualité, de gestion de projet et de fourniture de services.

Planification à long terme

• Examiner les tendances à venir en matière stratégique, technologique et réglementaire afin de formuler des stratégies de sécurité proactive. Par exemple, des développements technologiques tels que l’Internet des objets et l’informatique vestimentaire donnent naissance à de nouveaux enjeux sécuritaires.

un nouveau cahier des charges


a création d’une équipe Sécurité informatique efficace fait face à un certain nombre de problématiques conjoncturelles :

D L’expertise est une qualité rare et la fidélisation des talents est difficile.• Les spécialistes de la sécurité et des risques

stratégiques sont très prisés.

D Les budgets sont limités.

D Les équipes de sécurité travaillent déjà au maximum de leur capacité.

D Pour capter l’attention du conseil d’administration, un sens aigu des affaires est indispensable.• Alors que l’importance de la sécurité informatique

croît au sein de la stratégie d’entreprise, les acteurs de la sécurité doivent avoir des connaissances approfondies de l’activité entrepreneuriale.

La bonne nouvelle, c’est que des opportunités commencent à apparaître :

D La prise de conscience s’accroît.• Des utilisateurs finaux aux

dirigeants, la prise de conscience des problématiques de sécurité est plus élevée que jamais en raison du battage médiatique, de l’exposition à de véritables cyberattaques ou de la pression réglementaire.

D L’entreprise au sens large s’approprie les risques• Dans de nombreuses organisations,

un virage idéologique s’opère : les collaborateurs qui n’appartiennent pas au service Sécurité commencent à reconnaître leur part de responsabilité dans les risques qui pèsent sur les ressources informatiques qu’ils utilisent, et admettent qu’il leur faut collaborer activement avec le service Sécurité pour gérer ces risques.

D La filière de la sécurité séduit de plus en plus de professionnels• À l’heure actuelle, la sécurité informatique est

attrayante parce qu’elle couvre de nouveaux aspects, tels que l’analyse des risques stratégiques, le renseignement informatique et la science des données. Les citations dans la presse et l’apparition de la défense du cyberespace au cinéma avivent également l’intérêt pour cette discipline, ce qui peut favoriser le recrutement.

L3 Enjeux et possibilités

D L’offre des fournisseurs de services s’accroît.• Alors que le marché répond à une demande

croissante, les organisations se tournent de plus en plus facilement vers des fournisseurs de services de sécurité externes afin de réduire les coûts, de bénéficier d’une expertise pointue, de faire face à un pic d’activités ou d’obtenir des évaluations indépendantes.

C’est impressionnant : d’une attitude de méfiance vis-à-vis des personnels chargés de la sécurité, nous sommes arrivés au stade où les différentes entités font appel à nos services de conseil centralisés pour déployer des stratégies d’atténuation des risques. Et la tendance s’accélère parce que les entités se rendent compte qu’elles ont besoin de gérer elles-mêmes leurs risques, plutôt que de se reposer sur quelqu’un d’autre pour les résoudre, ou de tout simplement les ignorer. »

dave marTin Vice-président et Responsable de la sécurité, EMC Corporation«


our porter ses fruits, la sécurité informatique doit s’appuyer sur une action transversale, avec des procédures

profondément ancrées dans les processus métier. L’équipe élargie de sécurité informatique peut comprendre les éléments suivants :

D Le personnel du service informatique qui met en œuvre et applique les contrôles de sécurité

D Les gestionnaires chargés de l’élimination des risques au sein des entités

D Les acheteurs professionnels qui mettent en œuvre les protocoles de contrôle de la qualité des fournisseurs et d’évaluation des risques de ces partenaires

D Le service Confidentialité qui se charge du suivi réglementaire

D Le personnel marketing qui surveille les médias sociaux pour collecter des informations sur les menaces potentielles

L’équipe Sécurité informatique principale se charge de diriger et de coordonner l’action globale et s’acquitte des tâches nécessitant des connaissances spécialisées ou un traitement centralisé. Certains personnels effectuant des tâches de sécurité en dehors de l’équipe principale peuvent être des subordonnés directs ou indirects ; d’autres peuvent intervenir dans le cadre des normes de sécurité ou des contrats de niveau de service. Le tableau 2 de l’Annexe présente les différents rôles au sein d’une équipe élargie (équipe Sécurité principale, service informatique, fonctions de l’entreprise et fournisseurs de services).

Les recommandations suivantes permettent de bâtir une équipe élargie qui saura gérer efficacement les risques de cybersécurité et optimiser l’utilisation des ressources humaines disponibles. Selon le niveau de maturité de l’organisation, ces conseils peuvent aider à entamer une démarche, à valider une approche ou à accélérer les avancées dans des domaines particuliers.

4 Recommandations

P Redéfinir et renforcer les compétences fondamentales

Déléguer les opérations de routine

Emprunter ou louer les services d’experts

Accompagner les propriétaires de risques dans la gestion des risques

Engager des spécialistes de l’optimisation des processus

Bâtir des relations stratégiques

Sortir des sentiers battus pour le recrutement

1. Redéfinir et renforcer les compétences fondamentales

Dans les organisations les plus réputées, l’équipe Sécurité informatique principale se concentre sur l’amélioration des compétences dans quatre domaines principaux : renseignement sur les risques informatiques et analytique des données de sécurité, gestion des données de sécurité, conseil en matière de risque, et conception et validation des contrôles.

Suivant la taille de l’équipe principale et le niveau de spécialisation, les différents membres peuvent traiter des tâches spécifiques ou couvrir plusieurs domaines. Chacun de ces domaines nécessite un ensemble de compétences qui sont souvent nouvelles pour les membres de l’équipe. Les personnels existants doivent dès lors acquérir les compétences requises par le biais de la formation et/ou l’équipe principale doit acquérir de nouveaux membres ou faire appel à des fournisseurs de services.


recommandations

« L’expertise de l’équipe Sécurité principale doit avant tout servir à conseiller, à orienter, à promouvoir la stratégie, à identifier et expliquer les risques à l’entreprise, à comprendre les menaces et à faire progresser l’organisation. Elle ne doit pas s’encombrer des activités opérationnelles quotidiennes et routinières. »

bOb rOdger Responsable Groupe de la sécurité des infrastructures, HSBC Holdings, plc.

2. gestion des données de sécuritéAlors qu’elles se livrent à l’analyse des données pour

la détection des menaces, les organisations se rendent compte de la nécessité de mettre en place une stratégie et une infrastructure globales pour la gestion des données de sécurité. Il s’agit d’agréger les données de sécurité recueillies dans l’ensemble de l’environnement informatique, notamment les logs, flux de données et données non structurées provenant des systèmes, des bases de données et des applications métier. L’exploitation de ces données peut dépasser le cadre de la détection des menaces et servir d’autres objectifs, tels que la gestion des risques stratégiques, la veille de conformité et la surveillance continue des contrôles.

D Compétences individuelles clés : assurer l’interface entre le service informatique et les autres fonctions en impliquant les architectes de la gestion des données de l’entreprise

D Compétences opérationnelles clés : cartographier les flux de données de sécurité sur l’ensemble de l’environnement informatique de l’organisation

D Compétences techniques clés : compétences informatiques fondamentales : architecture de stockage, architecture de traitement, schéma de base de données, normalisation et élimination des blocages sur les réseaux

3. conseil en matière de risqueL’équipe principale a une mission de conseil auprès de

l’entreprise concernant la gestion des risques qui pèsent sur les ressources informatiques, notamment en termes de sécurité, de confidentialité, de respect de la législation et de la réglementation et d’e-discovery. L’équipe principale doit être parfaitement informée des processus métier. Ses membres doivent être en mesure de collaborer avec les parties prenantes afin d’évaluer les risques, de mesurer la valeur des ressources, de déterminer les stratégies d’atténuation des risques et de veiller à ce que les risques soient évoqués lors du lancement des projets. Les tierces parties constituent une source de risques en plein essor. Le sourçage mondial et les stratégies de Cloud computing amènent les organisations à recourir davantage à des fournisseurs de services externes et à collaborer avec de nouveaux partenaires commerciaux et fournisseurs.

1. renseignement sur les risques informatiques et analytique des données de sécurité

Compte tenu de la surenchère dans le paysage des menaces, la plupart des organisations dans le monde doivent impérativement améliorer la détection des menaces, en adoptant une approche spécifiquement axée sur le renseignement (consultez à ce sujet le rapport du SBIC intitulé Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security). Cela implique d’une part de recueillir et de consolider des données de renseignement informatique issues de sources internes (ex. capteurs dans les systèmes informatiques et applications métier) et de sources externes (ex. sources de menaces gouvernementales ou grand public), et d’autre part d’utiliser des techniques analytiques avancées afin d’isoler les indicateurs d’attaques ou des modèles de comportements anormaux. L’équipe principale doit être en mesure de concrétiser la prise de conscience de la situation dans l’ensemble de l’organisation.

Pour déterminer les sources de données pertinentes et mener des analyses judicieuses, il est indispensable de parfaitement comprendre la nature réelle de l’environnement de l’entreprise, de déterminer les ressources à protéger et d’identifier le paysage des cybermenaces. Les équipes de sécurité commencent à exploiter la puissance des technologies du Big Data, dans l’objectif de détecter, mais également de prédire, les attaques.

D Compétences individuelles clés : réseautage interne et externe pour développer de bonnes sources de renseignement ; communication pour établir des rapports et présenter des synthèses de renseignements

D Compétences opérationnelles clés : conception d’un processus de renseignement de bout en bout, avec obtention et filtrage des données, analyses, communication des résultats, prise de décision sur les risques et intervention

D Compétences techniques clés : analyse (identifier des liens entre des données sans rapport apparent), techniques d’analytique des données et science des données


recommandations

Il est donc primordial de disposer des compétences nécessaires pour réaliser l’audit préalable et l’évaluation en continu des tierces parties et pour évaluer les matériels et les logiciels.

D Compétences individuelles clés : leadership, réseautage interne pour une connaissance approfondie des stratégies de l’entreprise, communication (écouter, s’exprimer clairement, mener des conversations difficiles, être sensible aux nuances culturelles et organisationnelles)

D Compétences opérationnelles clés : état des lieux et cartographie des processus métier, des frameworks de gestion des risques, des protocoles d’évaluation des risques tiers et de validation des contrôles (y compris les évaluations communes), gestion des fournisseurs de services externes et des communautés logistiques

D Compétences techniques clés : évaluation des risques, mesure des différents risques et de l’appétence au risque à tous les niveaux de l’organisation suivant une méthode normalisée, automatisation de la gestion du risque et des activités d’évaluation des fournisseurs, surveillance en continu des contrôles

4. conception et validation des contrôlesL’équipe principale doit envisager comme des priorités

la conception de contrôles innovants alignés sur les objectifs stratégiques et l’élaboration de techniques de test avancées pour la validation des contrôles. Cette démarche couvre également la recherche et le développement, ainsi que l’évaluation et le déploiement de nouvelles technologies de sécurité. Les analystes des contrôles doivent concevoir des mécanismes permettant de prouver que les contrôles fonctionnent comme prévu, mais aussi de vérifier qu’ils offrent une protection optimale contre les menaces les plus récentes et qu’ils favorisent l’agilité de l’entreprise.

D Compétences individuelles clés : traduire les contraintes stratégiques et réglementaires en contraintes de sécurité, assurer la liaison avec l’architecture d’entreprise

D Compétences opérationnelles clés : réaliser l’état des lieux du framework de contrôles de l’organisation, développer des protocoles d’évaluation et d’attestation des contrôles

D Compétences techniques clés : architecture de sécurité, sécurité applicative, sécurité mobile, sécurité du Cloud, surveillance des contrôles en continu, procédures de test avancées et analyse des contrôles de sécurité

2. Déléguer les opérations de routine

Les équipes de sécurité classiques préfèrent s’occuper de tout, mais une telle approche ne peut perdurer. En déléguant les opérations de sécurité routinières à d’autres groupes internes ou à des fournisseurs de services externes, l’équipe principale est libre de renforcer sa proactivité et son approche stratégique, optimisant son expertise technique et ses capacités de gestion des risques stratégiques. En outre, grâce à l’évolutivité et à la spécialisation, le recours à des fournisseurs de services peut non seulement réduire les coûts, mais également accroître la qualité.

Les processus bien établis et faciles à reproduire se prêtent particulièrement à la délégation. Il s’agira par exemple d’allouer l’exploitation des pare-feu, l’authentification, les systèmes de prévention des intrusions et/ou les logiciels antivirus à des groupes dépendant du service informatique ou à des partenaires MSSP (Managed Security Service Provider). Le provisionnement de l’accès des utilisateurs au niveau application et l’administration des comptes utilisateur reviendront aux entités de l’entreprise. Les développeurs seront formés à la sécurité des applications et disposeront des outils nécessaires pour détecter les vulnérabilités. Une solution Security-as-a-Service pourra être envisagée pour les analyses et les tests.

À mesure qu’elle distribue les activités, l’équipe principale doit veiller à conserver un niveau suffisant de maîtrise et de contrôle en définissant des cahiers des charges, des normes et des contrats de niveau de service exhaustifs. Elle doit également disposer d’une expertise technique suffisante en matière de sécurité et de gestion des fournisseurs afin de garantir une supervision efficace. Les organisations qui ont certaines réticences à externaliser la sécurité peuvent obtenir des résultats équivalents en « sous-traitant » les tâches à des groupes informatiques internes. Mais quel que soit le type de fournisseurs de services, le degré de supervision à prévoir sera le même.

L’équipe principale doit également procéder à une évaluation en continu afin de déterminer les tâches pour lesquelles la délégation est susceptible de déboucher sur un gain d’efficacité ou de rentabilité. Par exemple, elle peut dans un premier temps prendre en charge le déploiement et l’exploitation d’une nouvelle technologie de sécurité, mais une fois que cette technologie est normalisée, son exploitation peut être déléguée.


3. Emprunter ou louer les services d’experts

Souvent, l’équipe principale ne dispose pas de l’expertise nécessaire dans certains domaines spécialisés. Des spécialistes externes au service de sécurité peuvent combler cette lacune. Par exemple, certaines équipes de sécurité font appel à des analystes des données missionnés par des fournisseurs de services ou d’autres unités de l’organisation, telles que la fraude ou le marketing. Le Big Data est certes un aspect récent de la sécurité, mais d’autres activités de l’entreprise recourent à des techniques d’analytique des données depuis des années.

S’il est irréalisable ou trop coûteux d’intégrer certains experts à plein temps, par exemple les spécialistes de la malveillance informatique ou des analystes du renseignement sur les cybermenaces, les organisations peuvent se tourner vers des fournisseurs de services de manière régulière. L’équipe principale peut également faire appel à des talents supplémentaires pour faire face à un pic d’activité ou pour pallier le départ d’un membre de l’équipe. Une autre solution consiste à créer un partenariat avec un cabinet de conseil en sécurité, qui peut fournir des professionnels polyvalents et hautement qualifiés dans ce domaine. Ils peuvent renforcer les compétences de l’équipe principale et apporter un point de vue indépendant.

Pour résoudre des problèmes particulièrement complexes, il est souvent judicieux de faire intervenir des experts techniques, par exemple un consultant en architecture de sécurité spécialiste d’une technologie bien précise. Gardez à l’esprit que l’équipe principale doit disposer d’un niveau suffisant de connaissances en interne afin de mettre en œuvre l’expertise externe.

recommandations

« L’équipe Sécurité informatique est traditionnellement tournée vers la technologie. Mais elle doit de plus en plus assumer un rôle de liaison avec l’entreprise, intégrer les contraintes de l’activité dans l’organisation de sécurité pour ensuite faire valoir le point de vue de la sécurité auprès de l’entreprise. »

Felix mOhan Vice-président Directeur et Directeur de la sécurité des systèmes d’information Monde, Airtel

S’il me manque une compétence stratégique, je la développe ou je l’achète. Vous devez savoir privilégier le développement ou l’achat en fonction du coût total de possession. Pour certaines compétences, il est plus judicieux de faire appel à un fournisseur de services. »

marene n. allisOn Vice-présidente Monde de la sécurité

informatique, Johnson & Johnson

4. Accompagner les propriétaires de risques dans la gestion des risques

Généralement, les cadres dirigeants de l’entreprise ont la responsabilité des décisions en matière de gestion des risques liés à des opérations telles que le lancement d’un nouveau produit ou service, à des programmes du type BYOD (Bring Your Own Device), aux ressources informatiques comme les sites Web destinés à la clientèle ou aux processus métier comme le reporting financier. À mesure que les dirigeants d’entreprise reconnaissent que la gestion des risques de cybersécurité leur incombe, un nombre croissant d’organisations désignent des « gestionnaires de risques de sécurité informatique » au sein des entités, qui ont la charge d’assainir les risques.

L’équipe principale a pour rôle de mener les activités de gestion des risques informatiques et de collaborer avec l’entreprise dans la gestion des risques de cybersécurité. Il s’agit notamment de coordonner une approche cohérente pour l’identification des risques, l’évaluation, l’atténuation, l’élimination et le reporting, de mesurer le rapport risques/bénéfices, de déterminer l’appétence au risque et les niveaux de tolérance, et d’incorporer le risque informatique dans le programme global de gestion des risques de l’entreprise. Avec des objectifs clés : faciliter la tâche de l’organisation et l’aider à s’approprier la responsabilité des risques en fournissant des outils en self-service, en ancrant la gestion des risques dans les processus métier et en mettant en œuvre l’automatisation.

«


5. Engager des spécialistes de l’optimisation des processus

L’expertise des processus est devenue une caractéristique incontournable pour une équipe de pointe. L’équipe doit compter des personnes expérimentées en matière de qualité, de gestion de projet ou de programme, d’optimisation des processus et de fourniture de services, et qui peuvent être formées à la sécurité. Envisagez d’embaucher des personnes bénéficiant de certifications, par exemple dans le domaine de l’amélioration des processus (Six Sigma), de la gestion des services (ITIL), de la gouvernance informatique (COBIT) et/ou de l’architecture d’entreprise (TOGAF). Certaines équipes principales ont su s’appuyer sur des experts en processus ou des professionnels de la gestion de programme issus d’autres secteurs de l’organisation, tels que le service qualité ou l’unité de gestion des programmes d’entreprise.

L’intégration d’experts des processus permet de répondre à la demande toujours plus forte d’amélioration des processus. Par exemple, compte tenu du paysage des menaces, certaines organisations souhaitent que la correction des systèmes stratégiques s’effectue en quelques heures, et non en plusieurs semaines. Les entités veulent réduire l’impact de la sécurité sur les processus métier afin de minimiser les conflits pour les utilisateurs finaux et les périodes d’interruption pour les serveurs. Les organismes de réglementation souhaitent renforcer les contrôles sur l’accès aux informations ; par exemple, que la révocation des privilèges expirés s’effectue en quelques minutes plutôt qu’en plusieurs jours. De plus en plus, le service Sécurité devra mesurer la productivité des investissements de sécurité et présenter des améliorations quantifiables dans le temps. Cela concerne également la reproductibilité des processus, l’agilité et la capacité d’évolution.

6. Bâtir des relations stratégiques

L’équipe principale doit disposer de relations solides dans l’ensemble de l’organisation afin de rassembler le nombre croissant de collaborateurs ayant des responsabilités en matière de sécurité, de créer un environnement collaboratif et de veiller à ce que les membres de l’équipe élargie comprennent leur rôle et s’acquittent de leurs tâches. Elle se doit de toucher tous les secteurs de l’entreprise et d’intervenir à tous les niveaux. Elle doit bénéficier aussi d’une position d’influence auprès des acteurs clés, par exemple ceux qui contrôlent les investissements technologiques et prennent les décisions de nature stratégique.

L’une des relations les plus importantes concerne les détenteurs des « actifs attrayants » de l’organisation, par exemple les jeux de données et les processus métier couvrant des éléments de propriété intellectuelle ou des données exclusives. L’encadrement intermédiaire est aussi un allié précieux, qui permettra d’ouvrir des voies importantes. Les prestataires BPO (Business Process Outsourcing, externalisation des processus métier) doivent aussi constituer une cible privilégiée. L’équipe principale doit tisser un solide réseau de contacts auprès des BPO en matière de sécurité et collaborer avec eux pour mettre en place des normes de haute sécurité et garantir le partage des informations dans toute la communauté.

recommandations

« Notre organisation de sécurité s’appuie sur un principe fondamental : le respect des procédures. Nos processus sont rigoureusement documentés et validés. Comment pouvons-nous améliorer leur efficacité ? Les rendre plus efficients ? Avons-nous oublié quelque chose ? Vous avez besoin de personnes expérimentées en matière de processus et de qualité si vous voulez asseoir la crédibilité de vos dirigeants. »

denise d. WOOd Vice-présidente Corporate de la sécurité informatique, Responsable de la sécurité des systèmes d’information,

Directrice Risque informatique, FedEx Corporation

Pour une cyberentreprise étendue, identifiez vos principaux fournisseurs de services et bâtissez de solides relations de travail avec eux. Ne laissez aucune place aux personnes nuisibles parce que vous avez élevé la conformité au rang des bonnes pratiques de sécurité dans l’ensemble de votre écosystème. »

William bOni Directeur Corporate de la sécurité informatique, Vice-président, Sécurité de l’informatique d’entreprise, T-Mobile USA


7. Sortir des sentiers battus pour le recrutement

La sécurité informatique est un domaine qui attire de plus en plus, mais à court terme, le secteur va connaître une pénurie de professionnels dotés de compétences immédiatement disponibles pour la cybersécurité et le conseil en matière de risques. Il est particulièrement ardu de trouver des talents disposant d’un savoir-faire dans les technologies de sécurité émergentes. Certaines organisations s’adressent à des partenaires MSSP pour assurer l’intérim, car elles rencontrent des difficultés dans le recrutement et/ou la fidélisation des talents dotés de certaines compétences techniques. Qui plus est, les équipes Sécurité ont besoin de professionnels capables de transcender l’expertise technique afin d’animer des discussions constructives avec les principales parties prenantes.

Une stratégie de recrutement en continu est essentielle pour bâtir une équipe Sécurité efficace. Collaborez avec les entités et les ressources humaines pour évaluer les besoins et les sources potentielles de compétences. De plus en plus, les organisations recrutent des personnes extérieures au domaine de la sécurité, mais qui présentent de précieuses compétences et qui peuvent être formées à la sécurité. On peut ainsi envisager de créer en interne une « école de la

cybersécurité ». Une autre approche consiste à permettre aux différents individus qui composent l’équipe de suivre des formations et de passer des certifications en externe, et/ou à mettre en place des programmes de mentorat. Outre les jeunes diplômés, les nouvelles recrues peuvent être des personnes du service informatique ou d’autres secteurs internes, qui souhaitent orienter leur carrière dans le domaine de la sécurité. Elles constituent souvent les meilleurs éléments, parce qu’elles apportent à l’équipe leur connaissance de l’organisation et des réseaux bien établis.

Compte tenu du manque d’expertise immédiatement disponible, le développement des compétences est la seule véritable solution à long terme pour la plupart des organisations. Faites preuve d’ouverture d’esprit lorsque vous recherchez des personnes à former pour des postes de sécurité. Il existe une large palette de cursus de valeur : administration des bases de données, développement logiciel, analyse stratégique, renseignement militaire, droit ou confidentialité. Certaines équipes principales ont récemment embauché des experts en science des données qui avaient travaillé sur le séquençage de l’ADN. Des personnes dotées de connaissances théoriques dans le domaine de l’économétrie ou des mathématiques peuvent développer leurs compétences techniques pratiques. Des historiens ou des journalistes sont susceptibles d’apporter d’excellentes compétences en matière d’investigation. La fidélisation étant un enjeu crucial lorsque l’on forme des personnes pour développer des compétences prisées en matière de sécurité, il est important d’offrir une perspective d’évolution claire et attrayante aux différents membres de

l’équipe, et une rémunération cohérente avec les pratiques en vigueur sur le marché.

Plusieurs organisations forment également des partenariats avec des universités pour favoriser le développement d’un vivier de talents dans le domaine de la sécurité. Ces partenariats visent notamment à créer des programmes de développement du leadership, à adapter les enseignements aux besoins de l’industrie et à proposer des stages ou des opportunités de coopération. De telles collaborations au niveau universitaire ou même dans l’enseignement du second degré peuvent contribuer à former des travailleurs potentiels dans le secteur de la cybersécurité.

« Lorsque vous intégrez de nouvelles personnes dans votre organisation, vous devez absolument privilégier la diversité des courants de pensée. Cet aspect est d’autant plus incontournable aujourd’hui que les évolutions qui touchent l’entreprise devancent largement les capacités de la sécurité. Une approche innovante est donc indispensable pour résoudre ces problèmes. »

Jerry r. geisler iii Service du responsable de la sécurité des systèmes d’information, Walmart Stores Inc.

Compte tenu du manque d’expertise immédiatement disponible, le développement des compétences est la seule véritable solution à long terme pour la plupart des organisations.


ConclusionLes équipes de sécurité informatique sont en

pleine mutation afin de répondre aux contraintes d’un environnement toujours plus exigeant. La prise de conscience des questions de sécurité aboutit à une modification de l’importance accordée par la sécurité informatique au sein des organisations, qui passe du statut de niche technique à une démarche réellement coopérative. Les organisations découvrent également que le respect des exigences de sécurité impose de porter une plus grande attention aux processus. À l’heure actuelle, une équipe Sécurité efficace connaît parfaitement les processus métier et comprend que de bons processus de sécurité sont indispensables pour accomplir sa mission. Le prochain volet de cette série de trois rapports sur la mutation de la sécurité informatique se penchera sur la manière dont les organisations de premier plan repensent et optimisent leur processus. Le troisième rapport traitera de la place des nouvelles technologies dans un programme de sécurité informatique moderne, porté par une équipe créative et visionnaire.

À propos du Security for Business innovation Council

l’innovation stratégiQue aPParaît en tête Des priorités de la plupart des entreprises, les cadres dirigeants s’efforçant de tirer parti de la mondialisation et des technologies pour créer de la valeur et renforcer l’efficacité. Et pourtant, il manque toujours un maillon à la chaîne. Bien que l’innovation stratégique soit alimentée par les systèmes informatiques, la protection de ces derniers n’est pas jugée stratégique dans bien des cas, même lorsque les entreprises font face à une pression réglementaire croissante et à la montée des cybermenaces. De fait, la sécurité informatique est souvent reléguée au second rang des préoccupations, rattachée à la hâte à la fin d’un projet ou, pire, tout simplement ignorée. Mais en l’absence d’une politique de sécurité adaptée, l’innovation stratégique peut être aisément étouffée ou exposer l’organisation à des risques majeurs.

chez rsa, nous Pensons Que les éQuiPes sécurité sont de véritables partenaires dans le processus d’innovation stratégique et qu’elles peuvent contribuer à atteindre des

résultats sans précédent. Le moment est venu d’adopter une nouvelle approche. La sécurité doit passer du statut de spécialité technique à celui de stratégie d’entreprise. Si la plupart des équipes Sécurité ont pris conscience que la sécurité doit être en phase avec l’activité de l’entreprise, elles sont encore nombreuses à lutter pour traduire cette approche en plans d’action concrets. Elles savent où elles doivent aller, mais ne sont pas sûres du chemin à suivre. C’est la raison pour laquelle RSA collabore avec quelques-uns des plus grands responsables Sécurité au monde pour alimenter le débat au sein du secteur et tracer une voie.

rsa a réuni un grouPe De caDres éMinents Dans le domaine de la sécurité, issus d’entreprises du classement Global 1000 dans différents secteurs d’activité, afin d’établir le Security for Business Innovation Council. Nous menons une série d’entretiens approfondis avec les membres de ce conseil afin de publier leurs idées dans une série de rapports et de parrainer des études indépendantes dans ces domaines. Consultez le site www.rsa.com/securityforinnovation pour afficher les rapports ou accéder aux études. Ensemble, nous pouvons accélérer cette mutation stratégique.


M e M b r e s d e l ’ é q u i p e

é q u i p e s é c u r i t é i n f o r M a t i q u e

p r i n c i p a l es e r v i c e i n f o r M a t i q u e e n t r e p r i s e

f o u r n i s s e u r s d e s e r v i c e s ( u s a g e s

c o m m u n s )

• Un large éventail de spécialistes

• Des individus peuvent assumer plusieurs rôles

• Convergence possible avec les équipes e-discovery, sécurité physique et/ou sécurité des produits

Personnels impliqués dans des rôles de sécurité stratégiques et opérationnels

Branches d’activité et domaines fonctionnels (ex. Confidentialité, RH, Marketing, Juridique, Audit, Logistique)

Consultants dotés d’une expertise technique, partenaires MSSP (Managed Security Service Provider) et fournisseurs de services Cloud (SaaS)

Gestion de programme

Le Directeur de la sécurité informatique dirige le programme et préside le « Comité Risque informatique » transversal.

Le Directeur des services informatiques participe au « Comité Risque informatique ».

Certains cadres dirigeants participent au « Comité Risque informatique ».

politique et normes de sécurité

Établir la politique et les normes

Conseiller sur la politique et les normes

Conseiller sur la politique et les normes

Mise en œuvre des contrôles

• Gérer et superviser la mise en œuvre des contrôles

• Effectuer la mise en œuvre des contrôles dans les cas de figure complexes

Mettre en œuvre les contrôles suivant les normes de sécurité ou fournir des services respectant les SLA de sécurité

Favoriser la mise en œuvre des contrôles

Les partenaires MSSP fournissent de services de mise en œuvre des contrôles dans le respect des SLA de sécurité.

application des contrôles

• Gérer et superviser l’application des contrôles

• Appliquer des contrôles plus récents ou plus complexes

Appliquer les contrôles suivant les normes de sécurité ou fournir des services respectant les SLA de sécurité

Veiller à ce que les opérations de l’entreprise respectent les contrôles de sécurité.

Les partenaires MSSP fournissent de services d’application des contrôles dans le respect des SLA de sécurité.

validation des contrôles

• Effectuer l’évaluation des contrôles et développer des outils avancés de test et d’analyse des contrôles

• Mettre en œuvre la surveillance continue des contrôles

Les partenaires MSSP fournissent des services (ex. vérification des codes source, analyse des vulnérabilités)

conception des contrôles (architecture de sécurité)

• Piloter la conception de nouveaux contrôles de sécurité

• Travailler avec l’architecture informatique de l’entreprise

Conseiller sur la conception de nouveaux contrôles de sécurité

Conseiller sur la conception de nouveaux contrôles de sécurité

réaction/résilience en cas d’incident

Gérer et coordonner la réaction sur l’ensemble de l’organisation

Travailler sur les aspects techniques de la réaction

Travailler sur la dimension juridique, RP et RH de la réaction

Les experts techniques effectuent la recherche de preuves et l’analyse des programmes malveillants

A Annexe Illustration d’une équipe élargie de pointe pour la sécurité informatique

La direction et le conseil d’administration supervisent le programme.

Activités Responsabilités spécifiques

Tableau 2


évaluation du risque de sécurité

• Gérer le programme d’évaluation du risque

• Effectuer des évaluations de risques dans des situations plus complexes

• Fournir des outils pour faciliter l’évaluation des risques

Effectuer l’évaluation du risque à l’aide des outils fournis par l’équipe principale

• Effectuer l’évaluation du risque à l’aide des outils fournis par l’équipe principale

• Le personnel juridique conseille sur les risques juridiques et de conformité

Tendance émergente : les évaluations de risques sont effectuées par des fournisseurs de services dans le cadre des SLA de sécurité

Gestion des risques informatiques / analyse des risques stratégiques et des bénéfices

• Promouvoir les activités de gestion des risques

• Intervenir auprès du service informatique et de l’entreprise

• Formuler des conseils en matière de gestion des risques

• Fournir des outils pour faciliter la gestion des risques

• Collaborer avec l’équipe principale pour gérer les risques

• Faciliter la correction des risques identifiés

• Fournir des rapports réguliers sur le statut des risques

• Collaborer avec l’équipe principale pour gérer les risques

• Faciliter la correction des risques identifiés

• Fournir des rapports réguliers sur le statut des risques

Gestion des risques tiers / intégrité de la chaîne logistique informatique

• Promouvoir la gestion des risques par des tiers et le programme d’intégrité de la chaîne logistique

• Établir des normes et fournir des outils pour l’évaluation des tiers, des matériels et des logiciels

• Effectuer des audits préalables et évaluer les tiers à l’aide des outils fournis par l’équipe principale

• Évaluer les matériels et les logiciels à l’aide des outils fournis par l’équipe principale

• Effectuer des audits préalables et évaluer les tiers à l’aide des outils fournis par l’équipe principale

• La logistique intègre des évaluations de sécurité dans le processus logistique

• Le personnel juridique conseille sur les risques juridiques et de conformité, et rédige les contrats

Les experts techniques effectuent des audits préalables et évaluent les tiers à l’aide des outils fournis par l’équipe principale

inventaire et évaluation des actifs

Piloter le développement d’un registre

Intervenir auprès de l’équipe principale pour répertorier et évaluer les ressources

Intervenir auprès de l’équipe principale pour répertorier et évaluer les ressources

renseignement sur les risques informatiques et analyse des menaces

• Gérer le programme de renseignement

• Coordonner les sources

Partager les renseignements recueillis, tels que les e-mails de phishing

Partager les renseignements recueillis, tels que la surveillance des médias sociaux

Les experts techniques fournissent des sources et une analyse des menaces

analytique des données de sécurité

Piloter le développement de requêtes et de modèles

Conseiller et/ou fournir des services d’analytique des données

Conseiller et/ou fournir des services d’analyse des données

Les experts techniques ou les partenaires MSSP fournissent des services d’analytique des données

Gestion des données de sécurité et entreposage des données

Piloter la stratégie de gestion des données de sécurité et bâtir l’entrepôt des données de sécurité

• Piloter la stratégie globale de gestion des données de l’organisation

• Conseiller sur la stratégie de sécurité et les sources de données telles que les logs réseau

Conseiller sur les sources de données telles que les logs d’applications ou de bases de données

• Les experts techniques fournissent des sources de menaces

• Les partenaires MSSP fournissent des sources à partir des logs du système de sécurité

optimisation des processus de sécurité

Piloter l’optimisation des processus de sécurité dans l’ensemble de l’organisation

Conseiller et faciliter la mise en œuvre des améliorations

Conseiller et faciliter la mise en œuvre des améliorations

planification à long terme

Examiner les tendances à venir en matière stratégique, technologique et réglementaire afin de formuler des stratégies de sécurité proactive.

Collaborer sur les tendances à venir et les stratégies proactives

Collaborer sur les tendances à venir et les stratégies proactives


Auteurs du rapport Security for Business Innovation Council

marene n. allisOn Vice-présidente Monde de la sécurité informatique, johnson & johnson

anish bhimani CISSP Responsable de la sécurité des systèmes d’information, jPmorgan chase

marTiJn dekker Vice-président Directeur, Directeur de la sécurité informatique, abn amro

Jerry r. geisler iii GCFA, GCFE, GCIH, Service du responsable de la sécurité des systèmes d’information, Walmart stores, inc.

renee guTTmann Responsable de la sécurité des systèmes d’information, the coca-cola company

malcOlm harkins Vice-président, Directeur de la sécurité et de la confidentialité, intel

kenneTh haerTling Vice-président et Directeur de la sécurité, telus

peTri kuivala Responsable de la sécurité des systèmes d’information, nokia

dave marTin CISSP Vice-président et Responsable de la sécurité, emc corporation

Tim mcknighT CISSP Vice-président exécutif, Sécurité et risque informatique dans l’entreprise, fidelity investments

Felix mOhan Vice-président Directeur et Directeur de la sécurité des systèmes d’information Monde, airtel

rOberT rOdger Responsable Groupe de la sécurité des infrastructures, hsbc holdings, plc.

ralph salOmOn CRISC Vice-président Sécurité informatique et Risque, saP ag

vishal salvi CISM Responsable de la sécurité des systèmes d’information et Vice-président Directeur, hdfc bank limited

simOn sTrickland Responsable de la sécurité Monde, astraZeneca

denise d. WOOd Vice-présidente Corporate de la sécurité informatique, Responsable de la sécurité des systèmes d’information, Directrice Risque informatique, fedex corporation

William bOni CISM, CPP, CISA Directeur Corporate de la sécurité informatique, Vice-président, Sécurité de l’informatique d’entreprise, t-mobile usa

rOland clOuTier Vice-président, Responsable de la sécurité, automatic data Processing, inc.

Pour consulter la biographie complète des membres du SBIC, rendez-vous sur http://france.emc.com


©2013 EMC Corporation. Tous droits réservés. 231038-H12227 CISO RPT 0813

EMC, EMC2, le logo EMC, RSA et le logo RSA sont des marques déposées ou des marques

commerciales d’EMC Corporation aux États-Unis et/ou dans d’autres pays. Tous les autres

produits ou services mentionnés sont la propriété de leurs détenteurs respectifs.

®

Documents

t Vice-président Directeur, réinventer la sécurité des ... · Sortir des sentiers battus pour le recrutement ... de l’optimisation des processus et de ... ordre de priorité