Alexandre Fernandez Toro.

Transcription

1 Alexandre Fernandez Toro

2 Comment suis-je arrivé au risque business? Par le risque SI Dans le cadre d un projet ISO ISO Mise en place d un SMSI Application des principes de l ISO 9001 à la sécurité des SI Le but est de fournir de la confiance aux parties prenantes en matière de sécurité du SI Appréciation des risques Une des toutes premières étapes imposées par la norme

3 Appréciation des risques Points d attention Conclusion

4 Foisonnement de méthodes EBIOS MEHARI ISO Nombreuses déclinaisons Méthodes maison Foisonnement de fournisseurs compétents Mon choix ISO simplifiée Réalisée en interne, sans aide externe Inconvénient : ça prend du temps Avantage : parfaite maîtrise de la démarche

5 L appréciation des risques n est pas une science exacte C est une modélisation Avec tous les «à peu près» liés à toute modélisation Ce ne sont pas les formules et les critères de l appréciation des risques qui vous aideront à identifier les risques C est l humain : travail conjoint entre Le RSSI Les métiers La direction générale (pour faire le lien avec le risque business)

6 A quoi sert une appréciation des risques? A mettre à plat les principaux risques sur le SI A vérifier qu on n a rien oublié d important A faire prendre conscience aux métiers des risques sur le SI (lien avec le risque business) à sensibiliser les métiers sur la sécurité des SI A générer un plan de traitement des risques A informer la direction sur les risques sur le SI à sensibiliser la direction sur les risques sur le SI (lien avec le risque business)

7 Démarche générale Définition du périmètre Inventaire des actifs d information (quelle granularité?) Valorisation des actifs d information (quels critères?) Menaces et vulnérabilités Probabilité d occurrence Calcul du niveau de risque (quelle formule?) Traitement du risque (quels critères?) Risque résiduel Etc Chacune de ces étapes pose des problèmes très concrets Il faut être très pragmatique sur chacune de ces étapes

8 A l issue de l appréciation des risques Identifier chaque mesure de sécurité en réduction de risque On se sert souvent de la norme ISO Regrouper ces mesures par grande famille Cela conduit à X projets de sécurité C est le plan de traitement des risques

9 C est ici que se fait le lien avec le risque business Il est très utile de faire valider par le CODIR Les risques résiduels Le plan de traitement des risques La DG et les directeurs découvriront les risques réels liés au SI dont ils n avaient absolument pas conscience et ils vous feront découvrir des risques sur lesquels vous seriez passé complètement à côté.

10 Appréciation des risques Points d attention Conclusion

11 Différence d échelle entre Le temps de la sécurité (donc de la gestion du risque) Le temps des projets d entreprise La gestion du risque Partie émergée de l iceberg Appréciation des risques Plan de traitement des risques Restitution au CODIR Partie immergée de l iceberg Attention à «l effet Power Point»! Projets de sécurisation puis sécurité opérationnelle

12 Risques business Risques SI Il y a souvent un delta entre les deux approches du risque

13 La DSI est malmenée par le cloud Pour survivre, l entreprise doit S adapter dès aujourd hui au contexte de demain Penser autrement Remettre profondément en question son organisation Refondre en profondeur ses processus métier (business) C est une chance pour la DSI Les nouveaux processus sont de plus en plus intégrés dans le SI Exemples : CRM, industrie, services, etc La DSI est le grand architecte de chacun de ces projets La DSI est donc la mieux placée pour aider l entreprise dans sa mutation La DSI sera de mieux en mieux placée pour gérer le risque business Risque business de plus en plus proche du risque SI

14 Appréciation des risques Points d attention Conclusion

15 L appréciation des risques est un outil très puissant de clarification, de planification et de sensibilisation à la sécurité Ce n est pas l appréciation des risques qui fera sortir le SI de la zone d humiliation C est la sécurité opérationnelle qui s ensuit

16 La gestion du risque business implique à la fois Un soin sur des aspects très techniques tels que La modélisation des risques La mesure du niveau de sécurité du SI Etc Une vision sur le devenir de l entreprise Par les projets de mutation, généralement portés par la DSI Toute la difficulté de la gestion du risque business réside dans ce «grand écart» Court-termisme/vision à long terme

17