Embed Size (px)
Citation preview
Logo
Principes de bon sens pour une gouvernance cyber sécurité efficienteStéphane Adamiste, Information Security Consultant
Fribourg, 6 Septembre 2016
2Événement cybersécurité |
ETUDE DE CAS
Critères de sélection
■ Financement capex vs opex
■ Ressources IT Développement / intégration /
exploitation / maintenance vs configuration / contract management / service level management
■ Sécurité / Protection de la vie privée Gérées en interne vs déléguées
06.09.2016 |
Ce nouveau CRM, on le met chez nous ou
dans le cloud?
Design freepik.com
Facteur limitant n°1: Sécurité / Protection de la vie privée
3Événement cybersécurité |
FACTEURS LIMITANT L’ADOPTION DU CLOUD EN 2014 – UE28
06.09.2016 |
Risques au niveau de la sécurité
Incertitudes concernant les lois applicables, la
juridiction, les mécanismes de
résolution de litiges
Incertitudes quant à la localisation des
données
Problèmes d’accès aux données ou aux
logiciels
Difficultés de se désabonner ou de
changer de fournisseur de services
Coûts importants liés à l’achat de services
CC
Connaissances insuffisantes sur le
CC
Petites et moyennes Grandes
Source: Eurostat (code des données en ligne: isoc_cicce_obs
70
60
50
40
30
20
10
0
4Événement cybersécurité |
POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT?
Symptômes
■ Difficulté à atteindre un consensus - blocage
■ Décision arbitraire
■ Frustration
06.09.2016 |
Boss IT Finances
Marketing
Sécurité
Lorsqu’elles parlent de sécurité, ces personnes parlent-elles de la même chose?
5Événement cybersécurité |
■ «La sécurité, c’est la protection contre les attaques informatiques»Architecte d’entreprise
■ «Cette application n’a pas besoin de sécurité, les données sont publiques» Chef de projet senior
■ «Pour notre sécurité, nous n’avons pas besoin de nous protéger avec des murs de 20m. 5m, ça suffit. Nous ne sommes pas une banque»Chief Technical Officer, membre de la Direction (licencié depuis)
a.k.a. Inventaire à la PrévertLA SÉCURITÉ, C’EST QUOI POUR VOUS?
06.09.2016 |
6Événement cybersécurité |
CONSEIL #1: DÉFINIR «SÉCURITÉ»
■ A, I, C
■ Bonus: Conformité, traçabilité, non-répudiation, authenticité
■ Management de la sécurité = gestion des risques qui pèsent sur le patrimoine informationnel
06.09.2016 |
7Événement cybersécurité |
CONSEIL #1BIS: DÉFINIR LE RÔLE DE LA FONCTION SÉCURITÉ
■ La fonction sécurité évalue les risques
■ Elle propose des mesures de traitement pour les risques identifiés
■ Elle évalue le risque résiduel
06.09.2016 |
La fonction sécurité ne prend pas de décision.
8Événement cybersécurité |
POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT?
Symptômes
■ Difficulté à atteindre un consensus - blocage
■ Décision arbitraire
■ Frustration
06.09.2016 |
Lorsqu’elles parlent de sécurité, ces personnes parlent-elles de la même chose?
Protection des données personnelles
LPDDonnées privées
Données
sensiblesNSA
Patriot
Act
9Événement cybersécurité | 06.09.2016 |
PROTECTION DES DONNÉES PERSONNELLES EN SUISSE: ENTRE MYTHES ET RÉALITÉS
[…]
[…]
10Événement cybersécurité |
CONSEIL #2: EXPLICITER LES CONCEPTS LIÉS À LA PROTECTION DES DONNÉES PERSONNELLES
06.09.2016 |
Personnes concernées
Agence nationale de protection des données
Bénéficient d’un droit d’accès, de rectification, de suppression de leurs données personnelles
Traite les données en respect de la directive EC95/46 (bientôt du règlement 2016/679)
Tiers
Responsable du traitement
Contrôle l’application de la directive
Transfert de données vers un pays assurant un «niveau de protection adéquat»
Traite les données de façon licite, conformément au principe de la bonne foi et de proportionnalité, dans le but qui est indiqué lors de leur collecte.
11Événement cybersécurité |
Avant
LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP MANAGEMENT
Symptômes
■ Sécurité = FUD
■ Risques acceptés
■ Sécurité perçue comme trop technique pour le management
■ CSO = fusible
■ Faible culture sécurité dans les organisations
06.09.2016 |
12Événement cybersécurité |
Changement de paradigme en cours
LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP MANAGEMENT
06.09.2016 |
Tendances
■ La responsabilité des CEO’s commence a être prise en compte
■ Les «cyberattaques» sont entrées dans les radars de type «Global risks lanscape»
■ La législation va bientôt obliger à annoncer les brèches de sécurité
■ Les organisations se font pirater
13Événement cybersécurité |
CONSEIL #3: COMMENT ÉTABLIR UN CANAL DE COMMUNICATION AVEC LE TOP MANAGEMENT
06.09.2016 |
■ La fonction risque rapporte au CEO / conseil d’administration
■ La fonction risque sera enchantée de compléter son radar
■ Adopter l’échelle de mesure du risque de la société
■ Agréger les risques pour leur donner plus de poids
L’Enterprise risk management est votre ami
14Événement cybersécurité |
CONSEIL #4 : FAIRE PRONONCER AU TOP MANAGEMENT LA PHRASE «LA SÉCURITÉ, C’EST IMPORTANT POUR NOTRE BUSINESS»
06.09.2016 |
Quick
win of
the year ■ C’est la Direction qui définit la culture d’entreprise
■ Les employés ont une forte propension à vouloir plaire à leur management
■ Si la Direction montre l’exemple, c’est encore mieux
15Événement cybersécurité |
RÉSUMÉ
Pour une gouvernance sécurité efficiente: reconcentrez-vous sur les fondamentaux
06.09.2016 |
ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 556 63 11
www.elca.ch
Contact
16
Thank you.
Événement cybersécurité | | © ELCA
Stéphane Adamiste
06.09.2016 |
Information Security Consultant
+41 78 918 96 29
