Nouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services

Transcription

1 Nouveaux enjeux, Risque en évolution : omment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services Sylvain Defix Senior Solutions Manager 2 juin

2 Airport BBI Ouverture prévisionnelle : Oct 2011 Actuellement: ~ 2017 oût prévisionnels : 1.7 Md Révision: 5.3 Mrd Raison: Inconformité sur la législation protection incendies 2 juin

3 Pont existant depuis 15 ans Le pont est solide et sécurisé L absence de route n aide pas à son utilisation Pas de planification globale 2 juin

4 Objectif irréaliste? 2 juin

5 Il n existe pas de solution unique convenant à tous! 2 juin

6 Surestimer vos risques 2 juin

7 Surestimer vos capacités de défense 2 juin

8 e qui a mal tourné? Défaut de conformité Sécurité IT: PI-DSS, FDA 21 FR Part 11, National data protection laws, Planning irréaliste Sécurité IT: Timing, budget, Isolated planning Sécurité IT: DLP sans NA Solution adaptée à vos besoins Sécurité IT: mauvais dimensionnement Not knowing your risks Sécurité IT: Défaut dans la gestion des risques 2 juin

9 onstruire un Plan Stratégique En tant que DSI/RSSI vous avez besoin d un plan qui: Se base sur votre profil de risque et votre sensibilité aux risques Est adapté à la taille de votre organisation Est réaliste ouvre l intégralité de votre activité métier Est conforme avec les standards de l industrie et le contexte législatif local/ international Est soutenu par l équipe de direction 2 juin

10 La sécurité IT, bien plus que de la technologie 2 juin

11 Global Enterprise Methodology Notre approche pour évaluer, améliorer et gérer votre sécurité de l information Développé par NTT om Security y ohérente et consistante globalement Strategy Management Operations Governance Risk & ompliance Enterprise Security Architecture Security Operations 2 juin

12 Risk Management WideAngle Global Enterprise Methodology Risk Remediation Project & Service Management Risk Insight Risk Insight: The base to your information security Risk Insight Express Risk Insight Enterprise Risk Insight M&A Risk Insight Incident Risk Insight Focus on: loud Big Data Industry 4.0 e-business Risk Insight Offsec Enterprise Security Architecture Secure Infrastructure Technical Design Implementation Documentation Secure Data Secure Applications Secure Identity Secure Device Secure Operations Operational Services GR MSS Outtasking SaaS Support Governance Risk ompliance Awareness BM 2 juin

13 Aperçu Risk Insight Une prestation de service intelligente basée sur 100aine d évaluation d organisations europénnes, asiatiques et américaines Notre expérience issue de plus de 6000 engagements de conseil Nos recherches (en propre ou issu de tierces parties) L expertise et la connaissance de la plus large communauté sécurité au monde Une analyse de vos initiatives métiers stratégiques et vos risques IT propres Le développement d un plan de transformation qui répond à vos attentes et votre contexte Aligne les résultats sur les standards et normes en vigueur de gestion de l IT et de la sécurité 2 juin

14 Risk Insight Séquencement des activités Lancement Revue de la base documentaire existante Politiques Guidelines Documents Techniques Réunions de travail GR Infrastructure Données Applications Identité Equipements Opérations Synthèse, réation d u profil de risque & Recommendations Restitution 2 juin

15 Revue documentaire et réunions de travail GR Infrastructure Données Applications Identité Device Opérations Politiques, Guidelines, Sensibilisation, Firewalls, IPS/IDS, VPN, RAS, Mail, Web, LAN/WAN, Datacenter, Données structurées ou non, classification, chiffrement, Annuaire, Groupware, ERP/RM, développement, Provisioning/deprovisioning des utilisateurs, authentification, hiffrement, Firewall perso., AV, sauvegarde, Gestion des logs, supervision, gestion des correctifs, processus, 2 juin

16 Risk Insight Les Résultats Revue des vulnérabilités potentielles Liste des contrôles de sécurité Synthèse et priorisation des contrôles Présentation des risques résiduels Benchmark avec vos concurrents (avant et après l implémentation des contrôles recommendés) Recommendation concernant l implémentation des contrôles de sécurité (incluant dépendance time/budget planning and dependencies 2 juin

17 Remote User 08 Laptop Internet ustomer Smartphone Laptop 14 Remote Service Provider Employee Service Provider ustomer Smartphone A 05 Public loud Service 2 A 03 A 08 T 03 Public loud 12 Internet I MPLS Router Firewall Boutiques (POS) A Boutique User Laptop I 01 Public loud Service 1 11 Router Firewall Regional HQ / Manufacturing Sites I A 07 Laptop User I 06 I 02 Eroom (document sharing tool) Storage Media 09 Application Server Proxy DMZ A 02 Firewall Router Flat Network (LAN) 02 Access Point I 05 Laptop 01 External User 07 T Laptop User A 04 I A 06 I T 04 T 01 Laptop Admin Smart Phone Security Admin Server HR RM SAP DHP / DNS / LDAP / TAAS / R.POS (User) AD Server Mailserver (Re-Insourced) Application Server Database Server 04 Printer 2 juin

18 Effectiveness Risk Insight Exemple de livrable: Priorisation Relative ost Year 1 Years 2-3 Years omms and Ops Security Access ontrol Asset Management Organisation of Information Security Human Resources Security Priority of Implementation Information Security Risk Management Business ontinuity Management Information Systems 4 Acquisition, Development and ontrol 6 2 Information Security Policy ompliance Physical and Environmental Security Information Security Incident Management juin

19 Risk Insight Example de livrable: Benchmark lient urrent Typical ompetitor lient Target Industry Leader Risk Exposure Information Security Risk Management Information Security Policy Organisation of Information Security Asset Management Human Resources Security Physical and Environmental Security ommunications and Operations Security Access ontrol Information Systems (Acquisition, Development & Maintenance) Information Security Incident Management Business ontinuity Management ompliance 2 juin

20 Risk Insight oût fixe et délais maîtrisés 8 days Document review Kickoff 1 day 15 days Delivery of documents Kickoff Workshops 10 days Workshops finished reation risk profile and recommendations 5 days Draft risk profile Review Phase 1 day Presentation Risk profile & Recommendations Start implementations Week juin

21 Risk Insight: Les fondations de votre sécurité de l information Evaluation de votre posture sécurité Présentation de vos risques IT Benchmarking avec vos concurrents Un programme clair et compréhensible Une méthodologie consistante et globale Une base pour une approche programmatique fiable et soutenue par votre management 2 juin

22 Merci Patrick Schraut Tel.: +49 (172)