Download pdf - Comment définir une stratégie de sécurité en adéquation avec enjeux métiers - Philippe Le Berre - iCompetences RSI2012

© 2012 Consulare sàrl, tous droits réservés.

‘ Savoir, prévoir et décider ‘

Sécurité des Systèmes d’Informa?on : Piloter la Sécurité du SI pour créer la confiance

Comment définir une Stratégie de Sécurité des Systèmes d’Informa?on ?


Les Hommes, l’Organisa;on et la Stratégie

Première par;e Quel RSSI pour quelle organisa;on ?

Deuxième par?e

Comprendre comment l’organisa?on et ses dirigeants pensent (le risque et la sécurité)

Troisième par?e

Etablir, présenter et suivre un Stratégie

2


« La performance d’un manager ne dépend

pas directement de lui même mais de la

performance des autres. »

3

Le RSSI et les Autres …


Le RSSI est-‐il un Manager ou un Contributeur Individuel?

4

Manager

•  Équipe •  Processus •  Infrastructure • Autorité •  Budget

Contributeur Individuel

•  Liberté •  Transversalité •  Coaching • Anima?on •  Conseil

© 2012 Consulare sàrl, tous droits réservés. 5

Ou se posi;onne le RSSI dans l’organisa;on et ou lui voudrait-‐il être ?


Dans une organisa;on à forte composante ‘Risques Opéra;onnels’, le RSSI ira « naturellement » vers la Direc;on des Risques

6


Dans une organisa;on à très forte pression réglementaire

7


Dans une organisa;on ou la traduc;on de tout risque est principalement légal (juridique)

8


Une phase de transi;on, et de recherche, une posture transversale entre les acteurs de la conformité et de la gouvernance

9


Dans une organisa;on avec une vision transversale purement technologique

10


Exemple de matrice RACI d’ac;vités de la sécurité

Ac;vités RSSI DSI Contrôle Interne

Mé;ers Direc;on Général

Ges?on de projets RA C I I

Contrôles et inves?ga?ons de la sécurité de l’informa?on

R C A C

Ges?on et anima?on de la sensibilisa?on du personnel RA I C

Conseil et assistance aux u?lisateurs RA C

Conseil et assistance aux en?tés liées à Lorem Ipsum R I C A

Hypervision et contrôle de la sécurité opéra?onnelle de l’informa?on

RA C I I

Résolu?on et suivi des incidents liés à la sécurité de l’informa?on

RA C C I

Gouvernance des standards de la sécurité de l’informa?on

RA C C C

Ges?on des « sauf-‐conduit » pour la sécurité de l’informa?on

R A C I


Autre exemple de matrice RACI dans une PSSI



13

Première par?e Quel RSSI pour quelle organisa?on ?

Deuxième par;e

Comprendre comment l’organisa;on et ses dirigeants pensent (le risque et la sécurité)

Troisième par?e



Exper;se Techniques

Respon

sabilité •  PDG

•  DSI •  RSSI

•  Incident escala?on manager •  Security management

staff •  Security expert

•  Security opera?on team

•  Administrateur Système

•  Employés

•  management

Dans l’écosystème IT, le niveau de responsabilité ne va pas de paire avec l’exper;se technique

14


Peut-‐on assumer que toutes les décisions sur les risques et la sécurité s(er)ont prises de façon ra;onnelle ?

�  La faillite du système ra?onnel n’est pas du à la logique mais aux capacités de l’homme. ◦  Qui peut être capable de savoir et comprendre tout complètement et

immédiatement ? ◦  Qui peut l’être en n’ayant de surcroît aucun ego, passé, présent et futur ?

�  Nous avons tous recours à des “subterfuges” qui nous font passer outre la ra?onalité.

�  Nous oscillons sur notre performance moyenne à prendre les bonnes décisions.

�  La dualité ◦  Une moi?é est un planificateur avec une perspec?ve à long terme ◦  L’autre moi?é cherche les résultats à court terme. ◦  Ces deux par?es sont en lule permanente.

15


�  La pandémie éclate et pourrait tuer 600 personnes, l’on vous demande de décider entre deux approches pour gérer la situa?on :

◦  L’approche A permet de sauver 200 personnes.

◦  L’approche B, il y a une probabilité de 33% de tous les sauver et 67% de ne sauver aucun.

�  Votre choix ? 16

U;lisez des simula;ons de situa;on pour comprendre les dirigeants, vos interlocuteurs (1/2)

�  La pandémie éclate et pourrait tuer 600 personnes, l’on vous demande de décider entre deux approches pour gérer la situa?on :

◦  L’approche A entraine la mort de 400 personnes.

◦  L’approche B, il y a une probabilité de 33% que personne ne meurt et 67% que les 600 meurent.

�  Votre choix ?


•  Vous vous rendez à un spectacle pour lequel vous avez acheté un ?cket à 50 €. En arrivant vous vous apercevez que vous avez perdu le ?cket. Que faites-‐vous ?

q Vous rachetez un ?cket à 50 € ? q Vous rentrez chez vous ?

17

U;lisez des simula;ons de situa;on pour comprendre les dirigeants, vos interlocuteurs (2/2)

•  Vous vous rendez à un spectacle avec un billet de 50 € dans votre portefeuille. En arrivant vous vous apercevez que vous avez perdu le billet. Que faites-‐vous ? q Vous achetez quand même un

?cket à 50 € ? q Vous rentrez chez vous ?


Le Regret de la Décision

� Le psychologue David Bell définit le Regret de la Décision comme la focalisa?on sur ce que l’on aurait pu avoir ou aleindre si on avait pris la bonne décision.

� Nous sommes tous les vic?mes de notre dernier maux.

� Combien seriez-‐vous prêt à payer pour ne pas avoir à savoir ? (que vous avez pris la mauvaise décision)

18


Et maintenant nous pouvons travailler !

•  Nous voilà armer pour travailler sur une stratégie car : – Nous savons ou se situe le RSSI et pourquoi.

– Nous savons comment les par?es prenantes à la Sécurité & Ges?on des Risques du SI fonc?onnent intellectuellement.

19


Première par?e Quel RSSI pour quelle organisa?on ?

Deuxième par?e

Comprendre comment l’organisa?on et ses dirigeants pensent (le risque et la sécurité)

Troisième par;e



20


Une stratégie pour …

21

« Gouverner selon un cours op.mum à

travers des condi.ons changeantes vers un

objec.f prédéterminé. »


L’Objec;f est toujours, d’une façon ou d’une autre, le main;en ou l’améliora;on du niveau de maturité

22

NIST PRISMA -‐ IT Security Maturity

Level 1 Policies A-‐

Level 2 Procedures B+

Level 3 Implementa?on B-‐

Level 4 Test B+

Level 5 Integra?on C+

Choisissez-‐en un et restez lui fidèle !


Faites ce que vous savez faire !

•  Iden?fiez le niveau de maturité.

•  Définissez un niveau de maturité à aleindre qui vous semble possible pour l’organisa?on (il vaut mieux sur-‐performer que rater !)

•  Assurez-‐vous en amont que l’aleinte du niveau de maturité peut être validé par un audit (interne ou externe) ou benchmark.

•  U?lisez l’échelle de temps pour fixer l’objec?f, et notamment en donnant une existence avec un nom à cele stratégie, ie. Cap 2016 ou Safe 2015 etc.

23


Avant le plan d’ac;ons et d’ini;a;ves commencez par mebre en place les boucles de gouvernance !

•  Les boucles de gouvernances sont essen?elles sans elle vous ne pourrez gouverner ! –  Journal des décisions et arbitrages (très important). –  Processus de prises des décisions et rendus des arbitrages. –  Suivi des budgets et inves?ssements (cash rule). –  Séances, steering commilee, review board, etc. – Métriques, indicateurs, scoring.

•  Ces boucles doivent faire par?e intégrante de votre Stratégie et elles doivent donne le ton.

24


Le plan d’ac;ons et les ini;a;ves

•  Un bon plan d’ac?ons garde toujours une marge de manœuvre et il n’est jamais figé au-‐delà de 6 ou 12 mois.

•  Panachez toujours ac?ons et ini?a?ves sur la même période. L’une est agir maintenant et l’autre préparer la suite.

•  Assurez-‐vous de « quick-‐win » sur toutes les échelles de temps du plan d’ac?on (de repor?ng).

•  Panachez les par?es technologiques et processus sur toute les périodes. Les deux sont toujours liés et si vous n’avez pas iden?fié la par?e processus impacté par la technologie réfléchissez !

•  Le suivi, les boucles de gouvernance, …

25


Processus Menaces

Processus Audit

Processus Evaluation

Risques

Processus de Crise

Processus D’Anticipation

« selon un cours op.mum à travers des condi.ons changeantes » = surveiller comme du lait sur le feu les prodromes et les crises IT

26

GRC IN A BOX


Indicateur = Métriques techniques + Métriques de Processus (Organisa;on & Personne)

27


C O N S U L A R E ‘ Savoir, prévoir et décider ‘

C O N S U L A R E

Rue de la Rotisserie 8

CH-1204 Genève Suisse

[email protected] +33(0)6.60.46.30.84 +41 (0)79.915.2611 www.consulare.fr

‘ Savoir, prévoir et décider ‘

28