AGENDA. LA GESTION DES RISQUES Arbitre de la sécurité des systèmes d information

Transcription

1 AGENDA LA GESTION DES RISQUES Arbitre de la sécurité des systèmes d information MARDI 7 JUIN 2011 De 8h30 à 14h00 Centre Etoile Saint-Honoré Paris 8 e En partenariat avec

2 8h30 - Accueil / Petit déjeuner 9h00 Les outils et les pratiques de la gestion des risques dans l'entreprise - par François Beaume, Président de la commission SI de l' AMRAE 9h20 La continuité des services Cloud : comment protéger les ressources critiques?, - par Caroline Fabre, Responsable des offres de services de secours et de continuité d'activité, IBM France 9h40 10h30 Table Ronde Du risque technique au risque stratégique De la nécessité de passer d une protection de l infrastructure à la protection des informations et des identités - par Laurent Heslault, Security Strategist, Symantec France 10h50 - Pause

3 11h10 Répondre aux problématiques de Gouvernance, Risque et Conformité de l'entreprise - par Sebastien Mazas, Head of Governance Risk and Compliance Consulting Services France / Espagne et Abdelbaset Latreche, Principal Consultant PA-DSS & Risk Management EMEA, Verizon 11h30 Rétro appréciation des risques : une clé pour simplifier la sécurité et optimiser les investissements? - par Julien Steunou, Chef du département conseil sécurité, Risk Consulting et Dominique Assing, Consultant Sénior, BT France 11h50 12h30 Table Ronde - Du risque stratégique au développement des opportunités À l'ère du Web 2.0, quelle stratégie de sécurité adopter pour assurer la meilleure protection pour les données de l'entreprise? - par Florent Fortune, Directeur Technique EMEA, Websense 12h50 - Cocktail déjeunatoire

4 Association pour le Management des Risques et des Assurances de l Entreprise Outils et pratiques de la gestion des risques informatiques dans l Entreprise François Beaume AMRAE, Président de la Commission Système d Information Dalkia, Responsable Risk Management AMRAE - Conférence CIO 7 Juin 2011

5 Risques liés aux Systèmes d Information : une illustration récente FORMATION (parmi d autres) / AMRAE - Conférence CIO 7 Juin 2011

6 Quelques constats FORMATION Les Systèmes d Information sont : en évolution, voire mutation, constante, Évolution des architectures et des usages : mobilité, nomadisme, etc. VM, SAN, SaaS, Cloud computing, etc. complexes à appréhender dans leur globalité ou détail, Extension et morcellement du SI : Management (clients, fournisseurs, etc.), Téléphonie (VoIP), Production (ou logistique, régulation cf. SCADA), Services généraux sur IP, etc. Interopérabilité, complexité de l intégration des systèmes. techniques certes, mais pas seulement : Aspects organisationnels (projet, maintenance, administration, sous-traitance, infogérance, etc.) Aspects humains (interne, externe) Les risques associés le sont également! AMRAE - Conférence CIO 7 Juin 2011

7 Une typologie de risques liés FORMATION au SI Conception d ensemble Opérationnalisation Gestion quotidienne et maintenance Retour d expérience et veille technologique Conception du SI nonconforme à l organisation Inadéquation des solutions aux besoins métiers ou transverses Architecture SI incohérente Choix logiciels incohérents Défaut d intégration et d interfaçage des systèmes entre eux Non-pertinence du choix du degré d internalisation Capacité du réseau insuffisante Attaques contre le Système d Information (spams, virus, hacking, etc.) Défaut de performance et de disponibilité du Système d Information Défaillance dans la maintenance préventive Défaillance dans la maintenance corrective Défaillance du processus de restauration d activité du SI Défaillance dans la veille technologique des logiciels Défaillance dans la veille technologique des matériels et installations Défaillance dans le retour d expérience AMRAE - Conférence CIO 7 Juin 2011

8 Une typologie de risques liés aux Données FORMATION et au Reporting Gestion des bases de données Traitement de l information et confidentialité Gestion des documents administratifs Gestion des tableaux de bord Données non pertinentes Destruction ou corruption de données Inaccessibilité des données Défaillance dans la conception du modèle de traitement de l information Défaillance dans la mise en œuvre du traitement de l information Non-conformité des documents administratifs Défaillance dans la communication des tableaux de bord Défaut dans la production des éléments constitutifs de l analyse Non-respect des réglementations portant sur les données Défaut de traçabilité du traitement des informations Divulgation d informations sensibles

9 En synthèse FORMATION Les risques majeurs sont généralement d origine humaine et peuvent être regroupés en quatre principales catégories : Risques organisationnels Incapacité à assurer la traçabilité et la crédibilité de l information Perte d opportunité par manque de veille technologique et d intelligence économique Continuité de l activité non assurée Risques liés aux infrastructures Continuité de l activité non assurée Effets secondaires d un événement (incendie puis extinction par ex.) Risques humains Elément aggravant dans la gestion d une crise Perte ou vol d information confidentielle (interne ou client) avec ou sans utilisation frauduleuse Risques externes Intrusion dans le SI et atteinte au niveau de service en des endroits et des moments clés Perte ou vol d information confidentielle (interne ou client) avec ou sans utilisation frauduleuse AMRAE - Conférence CIO 7 Juin 2011

10 Quels impacts? FORMATION Le risque se définit souvent en Entreprise comme tout événement dont la survenance est susceptible d entraver l atteinte des objectifs de l Entreprise. Il s agit, en d autres termes, d un "danger probable". Les risques liés aux Systèmes d Information eux-mêmes peuvent être "catastrophiques" au niveau opérationnel, moins au niveau corporate dans la plupart des grandes entreprises. Plus difficiles à percevoir, les risques liés à la gestion de l information, et notamment sa diffusion, constituent la majeure partie des risques concernés par la gestion de crise. Il faut prendre en compte les conséquences directes et indirectes de la réalisation d un risque.

11 Quel apport du Risk Management? FORMATION Le Risk Management à pour objectif de permettre : L identification, l analyse et l évaluation des risques De permettre in fine de les hiérarchiser et d en prioriser le traitement De définir les plans de traitement appropriés : Réduction : prévention et/ou protection Financement : rétention et/ou transfert à l assurance De suivre l évolution des risques dans le temps, la mise en œuvre des plans d actions et l efficacité des moyens de traitement. Cette fonction transverse irrigue l Entreprise par le déploiement et l animation d une organisation de type ERM Enterprise Risk Management AMRAE - Conférence CIO 7 Juin 2011

12 Outils et pratiques : illustration (1/3) FORMATION Outils de pilotage (décision et management), notamment : Cartographie globale des risques, pour : Identifier les risques, En mesurer l impact global, Les prioriser et allouer les ressources pour les traiter. Cartographie spécifique des risques SI Analyse de risques liés aux Projets

13 Outils et pratiques : illustration (2/3) FORMATION Outils de détection, notamment : Veille technologique, sur les menaces informatiques, etc. Sensibilisation et formation des collaborateurs.

14 Outils et pratiques : illustration (3/3) FORMATION Outils de gestion : Sécurisation : protection PCs et logiciels contre les attaques, virus, etc. Encryption des supports, sécurisation des stockages Tests Principes de contrôle interne : Séparation des taches Habilitation, autorisation, etc. Formalisation dans les processus Automatisation des contrôles Audits

15 L AMRAE en quelques chiffres FORMATION 800 membres 450 membres participants 350 membres associés Existe depuis congrès annuel FERMA / IFRIMA 450 entreprises dont : 37 entreprises du CAC entreprises du SBF 120 Organisations publiques AMRAE - Conférence CIO 7 Juin 2011

16 "Le risque étant la condition du succès, sa bonne gestion FORMATION en est une garantie." L'AMRAE, association régie par la loi 1901, a pour mission d'apporter aux entreprises les moyens de réussir leur mutation dans le domaine de la gestion des risques, de par leur appréhension et contrôle, la maîtrise de leurs coûts dont les dépenses d'assurances et ce par des programmes de formation et l'organisation de manifestations professionnelles. L AMRAE est une association professionnelle dont les membres sont les acteurs majeurs des métiers du risque en entreprise : responsables de la gestion de risques, gestionnaires des programmes d assurances, ou encore responsables des activités d animation du contrôle interne comme les directeurs financiers, juridiques, ressources humaines, qualité, sécurité ou audit interne. Les échanges d'informations et d'expériences entre les membres, au travers de nombreuses réunions et travaux des Commissions et Groupes Thématiques, permettent d'accroître leur professionnalisme et leur crédibilité en vue de mieux protéger les résultats et optimiser les coûts du risque de leurs entreprises. AMRAE - Conférence CIO 7 Juin 2011

17 Quelques réalisations de la commission Systèmes d Information FORMATION RM et RSSI : Deux métiers s unissent pour la gestion des risques liés au Système d Information Une publication AMRAE - CLUSIF Panorama SIGR 2011 mais également 2010, 2009, 2008 Cahiers techniques téléchargeables sur le site amrae.fr L infogérance : Externalisation de services informatiques et gestion des risques Cahier technique téléchargeable sur le site amrae.fr Une publication AMRAE - CLUSIF En prévision pour Septembre 2011 : Evaluation financière d un incident de sécurité (AMRAE CLUSIF) AMRAE - Conférence CIO 7 Juin 2011

18 La continuité des services dans le contexte du Cloud Computing Comment protéger les ressources critiques?

19 Ce que nos clients recherchent? ibm.com/ciostudy 2

20 IBM Business Continuity and Recovery Services Notre métier : la continuité des activités En Région Parisienne 14 km 3,8 km Pôle NO 41,5 km Pôle Est 56 km 13,5 km Pôle Sud 0,6 km 3

21 2 axes d actions pour assurer la continuité du Cloud Sécurité Redondance Sauvegarde Qualité Formation Infrastructure Datacentre. Anticiper les risques restants Plan de continuité MCO Adapter le dispositif

22 Les Datacentres sont des ressources critiques, à haute technicité, un hébergement en campus permet d en assurer la disponibilité maximale La résilience du Datacentre Caractéristiques Campus très hautement sécurisés (en Tier III au moins) Sites stratégiquement localisés offrant des services de proximité Stratégie d efficacité énergétique green Design et urbanisation de data Center Puissance électrique et capacité de refroidissement importantes, Accès vers les opérateurs réseaux Expertise sur site 24/7 Accès strictement contrôlés 5

23 IBM, premier acteur des services de continuité a un positionnement particulier par rapport aux purs hébergeurs Accompagnement stratégique Optimisation Services opérationnels Résilience Conseil Services managés Gestion du Service Services Proximité Urbanisation Gestion de Crise Infrastructures Capacité Telécom Evolutivité Level/Tier Stratégie Anticipation Command center

24 Les informations : autre point sensible pour les services de protection distribués en mode Cloud Computing Sauvegarder/archiver automatiquement des données Firewall Serveurs du Data Center Clients Internet Site de récupération distant Desktop Etablissements Servers & PCs PCs & Laptops mobiles Sauvegarde des ordinateurs individuels des employés mobiles Plateformes de services de protection des données à distance 7 Données Serveurs & PC

25 Mais tous les risques ne peuvent être évités Dual site Site de secours Réplication de données L apport du Cloud aux solutions pour les situations de sinistre Secours à froid Secours à chaud Site de repli Secours tiède

26 Réduire l impact Le cloud BCRS permettra d aborder différemment la continuité des infrastructures et en particulier des environnements Cloud Alerte Une plus grande réactivité dans la mise à disposition permettant une approche plus intelligente et plus flexible de la continuité

27 Réduire l impact Les services de continuité BCRS in the IBM Cloud permettent l accès et la gestion des différents services (prévention, pilotage et secours) Ex: Cloud Managed BU / Archivage Virtualisation / SOA Ex : Cloud Recovery Resource Request System Management Infrastructure Scheduling Workflow Provisioning Monitoring Metering Security Storage Management Migration Resource Pool Workloads Hardware Software Storage Networking Component Workloads Hardware Software Storage Networking Component

28 Business Intelligence will provide information to the company that no one in the industry has ever seen, and will open up opportunities that were not previously considered. Utilities CIO, USA Des techniques et des approches nouvelles pour transformer l information en action

29 Le futur proche grâce aux nouvelles technologies et en particulier le Cloud Computing s ouvre vers une nouvelle approche

30 Les risques évoluent constamment Mieux anticiper, c est aussi mieux gérer ces risques pour mieux adapter le dispositif au meilleur coût Modèle prédictif consolidant l ensemble des menaces corrélées avec les infrastructures surveillées permettent de mettre en alerte des ressources de mitigation

31 Notre ambition Mettre à profit les approches innovantes pour ouvrir de nouvelles voies vers des solutions de continuité toujours plus intelligentes

32 Business Intelligence will provide information to the company that no one in the industry has ever seen, and will open up opportunities that were not previously considered. Utilities CIO, USA Les focus des DGs dans les 5 prochaines années Les focus des DSIs dans les 5 prochaines années Getting closer to customer 88% Insight and intelligence 79% People skills 81% Client intimacy 71% Insight and intelligence 76% People skills 66% Enterprise model changes Risk management 57% 55% Internal collaboration & Communications Risk management 64% 50% Industry model changes 54% Enterprise model changes 48% Revenue model changes 54% Industry model changes 39% Revenue model changes 35% Source: 2010 CEO Study Q13: Which of the following dimensions will you focus on more to realize your strategy in the new economic environment over the next 5 years? (n=1,523); 2011 CIO Study, Q13: Where will you focus IT to help your organization s strategy over the next 3 to 5 years? (n=3,018)

33 Les infrastructures de BCRS Pôle NO Pôle Est Pôle Sud 16

34 Merci de votre attention En savoir plus : Caroline Fabre caroline.fabre@fr.ibm.com ibm.com/services/fr/secours

35 TABLE RONDE Du risque technique au risque stratégique Avec la participation de : Animée par Bertrand Lemaire, Chef des informations CIO Patrick Chambet Marie-Noëlle Gibon Michel Juvin Olivier Ligneul Nicolas Ruff Philippe Salaün Architecte Sécurité du SI, Bouygues Télécom Présidente de l' AESCM et Directeur de l'innovation, des Systèmes d'information et Auditeur, Groupe La Poste RSSI, Lafarge Chef du bureau assistance et conseil, ANSSI Expert sécurité, EADS Security Labs Responsable du Plan de Continuité d'entreprise et de la gestion de crise, CNP Assurances

36 Protection de l information : nouvelle approche de gestion des risques Patrice Payen Expert Gestion des Risques et Conformité Conférence LMI CIO - Gestion des Risques 1

37 Partenaires L entreprise connectée Mobilité Services cloud Employés Collaboration Société Clients Médias Riches Conférence LMI CIO - Gestion des Risques 2

38 L informatique doit évoluer pour répondre aux nouvelles demandes System-Centric Information-Centric Données : centralisées, structurées Infrastructure : physique Focus IT : tâches systèmes Données : distribuées, non structurées Infrastructure : physique, virtuelle, Cloud, mobile Focus IT : l information Conférence LMI CIO - Gestion des Risques 3

39 CONFIDENTIEL La sécurité dans un monde ouvert LA VALEUR DE L INFORMATION Risques et conformité Facilitateur de business Convoitise Conférence LMI CIO - Gestion des Risques 4

40 Notre approche de la protection de l information Stocker Administrer Protéger Restaurer RISQUE Gouvernance INFORMATION Politiques Identification Conformité Rémédiation Gestion du risque PHYSIQUE VIRTUEL CLOUD MOBILE COÛT Infrastructure Intelligence VALEUR Classifier Découvrir Possession Accès Conférence LMI CIO - Gestion des Risques 5

41 Quid des politiques de sécurité en France? Part des sociétés ayant une politique de sécurité des TIC sociétés de 10 salariés ou plus, France métropolitaine. Source : Insee, enquête TIC 2010, statistique publique Conférence LMI CIO - Gestion des Risques 6

42 Mois entre chaque évaluation Dépense relative en conformité des règlementations L automatisation réduit les coûts d audits et maximise les retours L automatisation augmente la fréquence des audits qui réduisent le risque Les organisations matures qui automatisent voient leurs coûts baisser jusqu à 54% % 80% 60% moins 54% 3 40% % 0 moins mature plus mature 0% moins mature plus mature Conférence LMI CIO - Gestion des Risques * Basé sur une enquête auprès de 3280 companies Source: IT Policy Compliance Group 7

43 La gouvernance et la gestion des risques est un problème complexe à la dimension de l entreprise TECHNICAL CONTROLS Automatically identify deviations from technical standards Identify critical vulnerabilities POLICY PROCEDURAL CONTROLS REPORT REMEDIATE Define and manage policies for multiple mandates with out-ofthe-box policy content. Map policies to control statements Replace paper-based surveys with web-based questionnaires to evaluate if polices were read and understood Gather results in one central repository and deliver dynamic webbased dashboards and reports Remediate deficiencies based on risk via integration with popular ticketing systems DATA CONTROLS Tight integration with Symantec Data Loss Prevention to prioritize assessment and remediation of assets based on value of data EVIDENCE 3 rd PARTY EVIDENCE Combine evidence from multiple sources and map to policies ASSETS CONTROLS Conférence LMI CIO - Gestion des Risques 8

44 Symantec propose une solution globale et intégrée TECHNICAL CONTROLS Symantec Control Compliance Suite Standards Manager Symantec Control Compliance Suite Vulnerability Manager POLICY PROCEDURAL CONTROLS REPORT REMEDIATE Symantec Control Compliance Suite Policy Manager Symantec Control Compliance Suite Response Assessment Manager Symantec Control Compliance Suite (Infrastructure) Symantec ServiceDesk 7.0 DATA CONTROLS Symantec Data Loss Prevention Discover EVIDENCE 3 rd PARTY EVIDENCE Symantec Control Compliance Suite (Infrastructure) ASSETS CONTROLS Conférence LMI CIO - Gestion des Risques 9

45 Symantec Control Compliance Suite Conférence LMI CIO - Gestion des Risques 10

46 Gouvernance et gestion du risque de bout en bout Demandes HIPPA SOX GLBA FISMA Basel Cobit ISO PCI NERC Contrôles Cartographier Implémentation Assets Assigner That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Illustrates Sample Text there to Illustrates the Text within without a any the Text within a PowerPoint meaning Slide. and PowerPoint just Slide. there to Illustrates the Text within a PowerPoint Slide. Politiques Déployer Personnes Mesurer That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Illustrates Sample Text there to Illustrates the Text within without a any the Text within a PowerPoint meaning Slide. and PowerPoint just Slide. there to Illustrates the Text within a PowerPoint Slide. Contrôles Techniques Analyse du risque That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Illustrates Sample Text there to Illustrates the Text within without a any the Text within a PowerPoint meaning Slide. and PowerPoint just Slide. there to Illustrates the Text within a PowerPoint Slide. Contrôles Procéduraux Mesurer Conférence LMI CIO - Gestion des Risques 11

47 Adresser les défis de la sécurité à tous les niveaux INFRASTRUCTURE Protection et administration INTELLIGENCE Information et identité GOUVERNANCE Politiques et risques Protection contre les attaques ciblées et personnalisées Sécuriser les environnements virtuels et dans le Cloud Administrer et sécuriser les données des terminaux mobiles Classifier les données sensibles Découvrir où se trouvent les données Appliquer du chiffrement Surveiller les menaces visant les informations Développer, faire appliquer et évaluer les politiques Identifier et authentifier Priorité de rémédiation en fonction du risque Rapports multi-niveaux pour gérer le risque Conférence LMI CIO - Gestion des Risques 12

48 Merci de votre attention. Copyright 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Conférence LMI CIO - Gestion des Risques 13

49 Répondre aux problématiques de Gouvernance, Risque et Conformité de l'entreprise (GRC) Sébastien MAZAS Head of Governance Risk and Compliance Professional Services France Abdelbaset LATRECHE Principal Consultant PA-DSS & Risk Management - EMEA IT News Info : 7 juin Verizon. All Rights Reserved. PTEXXXXX XX/09

50 Verizon en quelques chiffres Revenus Investissements Pays Employés Clients $106.6 Milliards $120+ Milliards % ,700+ villes Fortune Bénéficiez de la puissance d un partenaire IT pour opérer à l échelle mondiale Confidential and proprietary material for authorized Verizon Business personnel only.

51 Verizon Business Des infrastructures globales pour répondre à nos clients partout dans le monde Etats Unis France Bureaux 6 Employés Réseau Fibre 800 Km MAN 16 Europe/Middle East/Africa Amérique du Sud Un réseau IP mondial 2,700+ Villes 159+ Pays Km de Fibre 200+ Data Centers 4,200+ Réseaux clients Managés Asie Pacifique 3 Confidential and proprietary material for authorized Verizon Business personnel only.

52 2009 Verizon. All Rights Reserved. PTEXXXXX XX/09 Définition

53 GRC, une définition Gouvernance, Risques, Conformité Comment une organisation comprend les attentes de ses parties prenantes, puis gère ses activités afin de répondre avec efficacité à ces attentes, tout en gérant ses risques et en se conformant aux lois, règlements et autres obligations. Traduction libre de Open Compliance and Ethics Group 5 Confidential and proprietary material for authorized Verizon Business personnel only.

54 Rapport d enquête 2011 sur les compromissions de données 2009 Verizon. All Rights Reserved. PTEXXXXX XX/09

55 Rapport d enquête 2011 sur les compromissions de données Un nouveau venu dans le rapport : 2010 Les services secrets américains 2011 unités de luttes contre le crime Néerlandaise Nombre de cas x 2 Des résultats intéressants Attaques externes hautement automatisées, indécelables Réseaux de fraude interne complexes, Attaques à l échelle de pays 7 Confidential and proprietary material for authorized Verizon Business personnel only.

56 Qui est l origine des compromissions de données? Attaques internes : retour à la «normale» en 2010 : Echantillon des Services Secrets Néerlandais Très forte croissance des attaques externes Rq : baisse des compromissions liées aux partenaires 8 Confidential and proprietary material for authorized Verizon Business personnel only.

57 Quels types de données ont été volées? 9 Confidential and proprietary material for authorized Verizon Business personnel only.

58 Comment les victimes découvrent la compromission? Anti-virus (1%) IDS (<1%) Log review (0%) 10 Confidential and proprietary material for authorized Verizon Business personnel only.

59 Comment les compromissions se produisentelles? Piratage et malware en tête Les défauts d authentification en support Les attaques physiques augmentent Les attaques sur les réseaux sociaux continuent 11 Confidential and proprietary material for authorized Verizon Business personnel only.

60 Comment les compromissions se produisentelles? Moins ciblée : c est l occasion qui fait le larron! Les partenaires sont les premiers informés La plupart auraient pu facilement être évitées! La conformité à PCI-DSS est encore loin 12 Confidential and proprietary material for authorized Verizon Business personnel only.

61 Comment les compromissions se produisentelles? Les points de vente non surveillés Distributeurs, Pompes à essences Effraction et Skimmers Les vieilles recettes sont toujours au goût du jour Suppression des données inutiles Contrôles d accès 13 Confidential and proprietary material for authorized Verizon Business personnel only.

62 2009 Verizon. All Rights Reserved. PTEXXXXX XX/09 Les apports de la GRC

63 GRC, une définition plus détaillée La GRC est un ensemble de personnes, de processus et de technologies qui permet à une organisation de : - Comprendre et hiérarchiser les attentes de ses parties prenantes. - Définir les objectifs (business) en cohérence avec les risques encourus. - Atteindre les objectifs tout en optimisant le niveau de risque. - dans le respect des contraintes légales, contractuelles, internes, sociales et éthiques. - Fournir des informations pertinentes, fiables et en temps opportun aux parties prenantes. - Permettre la mesure de la performance et de l'efficacité du système. Traduction libre de GRC Capability Model, Red Book, Confidential and proprietary material for authorized Verizon Business personnel only.

64 Approche Sectorielle Finance Healthcare Public Sector PCI Consulting Governance & Risk Management CISO assistance Monetic Basel II, SOX, Solvency Security Policies ISO 27001/27002 Risk Analysis (EBIOS, ISO 27005) HIPAA/HITECH Security Policies ISO 27001/27002 Risk Analysis (EBIOS, ISO 27005) FISMA, RGS Retail Governance & Risk Management PCI Consulting CISO assitance Virtual CISO Utilities Security Policies ISO 27001/27002 Risk Analysis (EBIOS, ISO 27005) NERC CIP 16 Confidential and proprietary material for authorized Verizon Business personnel only.

65 GRC, de constantes évolutions Nouvelles normes de gestion des risques : - ISO (Security Risk Management, 2008) - ISO (Generic Risk Management, 2009) Evolutions des standards de conformité existant : - PCI DSS 2.0, 28 Octobre PA DSS 2.0, 28 Octobre COBIT 5 (Sortie prévue en 2011) - Bâle III, Septembre Solvency II, requis en Confidential and proprietary material for authorized Verizon Business personnel only.

66 Les Tendances de la GRC Une plus grande maturité / industrialisation Aujourd hui»approches disparates»mature pour l informatique interne Demain :»Approche globale»nouveaux postes (Risk Manager ou Compliance Manager). Tendances à l externalisation Cloud Computing, ASP/SaaS Meilleur maitrise de ces processus Alignement aux bonnes pratiques (ITIL, ISO ) Enjeux sur l informatique externe et les environnements hybrides 18 Confidential and proprietary material for authorized Verizon Business personnel only.

67 La GRC en application par Verizon Business Des projets maitrisés Une méthodologie basée sur des standards internationaux Gestion de projet : PMI-PMBOK Audit : ISO/IEC 19011:2002 Un savoir faire permettant de gérer des projets complexes Organisations regroupant des métiers variés Architectures hétérogènes avec une couverture internationale Des outils pour le suivi et le reporting,» Tableaux de bords» Plans de mises en conformité» Programme de gestion de la sécurité (c.f. RSA conférence oct. 2010) 19 Confidential and proprietary material for authorized Verizon Business personnel only.

68 La GRC en application par Verizon Business Un accompagnement adapté Des programmes d accompagnement adaptés aux besoins de nos clients Un accompagnement de la sensibilisation à la certification Une expertise technique au service de nos clients» Indépendante de tout partenariat» Limitée au besoin des projets Une capitalisation d année en année et une industrialisation des processus 20 Confidential and proprietary material for authorized Verizon Business personnel only.

69 La GRC en application par Verizon Business Une organisation au service de la sécurité Une couverture nationale et internationale Couverture par métiers ou par domaine technique Projets internationaux avec une gestion de projet transverse Knowledge management au niveau européen et mondial» Mailing list» Portails collaboratifs» Participation à des groupes de travail liés aux standards utilisés - Une organisation avec un language commun «Lead practice» et «Subject Mater Experts»» Assurent le même niveau de compréhension à travers le monde QA process : QSA dédiés à la validation des rapports» Obligation du PCI-SSC» La même qualité à travers le monde Des locaux dédiés à la sécurité Au sein d un Datacenter Respect de contraintes réglementaires : Verizon Business est certifiée «CB» Synergie avec les services de Verizon Scans de vulnérabilité (services ASV) MSS / SOC : validation d architecture et conformité 21 Confidential and proprietary material for authorized Verizon Business personnel only.

70 Merci Une stabilité financière Des Solutions complètes Une couverture mondiale Une expertise mondiale Des solutions et des services mondiaux qui répondent aux besoins de nos clients 22 Confidential and proprietary material for authorized Verizon Business personnel only.

71 Rétro appréciation des risques une clé pour simplifier la sécurité et optimiser les investissements? Julien STEUNOU - Responsable département conseil sécurité Dominique ASSING Consultant sécurité senior

72 Opérateur mondial de services télécoms et IT Approche globale Ancrage local BT France en quelques chiffres collaborateurs 10 sites et 30 agences Certification ISO pour nos activiés conseil et intégration Leader des services infrastructures réseaux avec équipements déployés et équipements maintenus par an en France Leader de la sécurité avec équipements réseau supervisés en France Un portefeuille de clients «BT est reconnue comme un fournisseur de services fiables et de haute qualité pour les grandes entreprises multisites» Current Analysis, Septembre 2010 «Seul BT savait répondre à notre besoin de connectivité dans des endroits du monde complexe à connecter tels que le Nigeria.» Geoservices Manager Bevierre Jean-Loup, IT Operations «BT a la couverture de réseau mondial la plus large de toutes les sociétés que nous avons approchées.» Fredyan, Global IT Manager, Global MedcoEnergi

73 Etat de l art et réalité du pilotage de la sécurité L état de l art Les systèmes de management de la sécurité de l information (SMSI) mettent l appréciation des risques au cœur du pilotage de la sécurité. La démarche, qui aboutit au plan de traitement des risques, implique que les investissements dans des mesures de sécurité visent à réduire des risques identifiés, avec une justification et un retour sur investissement. et la réalité Une partie importante des mesures de sécurité existantes dans nos entreprises a été décidée en dehors d un processus de gestion des risques. Sans lien entre les mesures de sécurité et le risque couvert, l efficience des mesures ne peut être calculée = problème du calcul du ROI en sécurité Et en attendant, les coûts ne sont pas maitrisés. Rétro appréciation des risques Juin 2011

74 Conséquence de la perte du lien «mesure de sécurité / risque couvert» Coupées de la gestion par les risques, certaines mesures de sécurité sont devenues dogmatiques, historiques et deviennent très difficiles à remettre en question ou à faire évoluer. Coûts d exploitation ou effets de bord de ces mesures explosent et personne n est capable de les justifier de manière formelle. En l absence du lien avec la gestion des risques, les volontés de changement s enlisent dans des débats d experts technique Rétro appréciation des risques Juin 2011

75 Rétro appréciation de risque? La rétro appréciation des risques est une démarche inverse : Partir des mesures de sécurité existantes pour retrouver : les actifs protégés les risques couverts Revenir sur l efficience des mesures Grandes étapes : Identifier les actifs protégés par la mesure Identifier et mesurer les risques originels (= risque si aucune mesure) Analyser la réduction du risque apportée par la mesure Méthodologie identique : ISO27005, EBIOS Rétro appréciation des risques Juin 2011

76 Objectifs de la rétro appréciation des risques Objectifs Replacer les mesures de sécurité existantes dans le contexte de la gestion des risques = sortir du débat technique Challenger les mesures de sécurité existantes, voire convaincre de l inutilité de certaines mesures par une démonstration forte Résultats attendus Simplifier la sécurité Identifier les mesures qui ne servent à rien, justifier celles qui servent Meilleure compréhension du périmètre géré Améliorer l efficience des investissements de sécurité pour répondre aux risques de l entreprise Mettre en place les indicateurs qui permettent de suivre dans le temps l efficacité des mesures de sécurité Sponsors Dépends du point de blocage : RSSI, DSI, Direction Rétro appréciation des risques Juin 2011

77 Illustration : chantier de transformation bloqué L existant Architecture technique comprenant 67 firewalls Firewall exclusivement en mode liste blanche (= tout ce qui n est pas explicitement autorisé est interdit). Plusieurs millier de règles sur certains firewalls. 40 demandes d ouverture de flux par jour (= 100 gestes technique pour changer les configurations). SLA important. -> Complexité et coûts exponentiels -> Manque de maitrise des configurations = incidents de production, dégradation des performances Les solutions envisagées Ouverture de bouquets de services ou filtrage d une seule direction Passage de certains firewall en mode liste noire, voir remplacement par des IPS Suppression de firewalls, création de zones de confiance Les freins équipe sécurité technique formatée par 15 ans de mode liste blanche, convaincue que cela dégraderait le niveau de sécurité Pas de liens avec la gestion des risques = débat ne dépassant pas le plan technique Enlisement des projets d évolution Rétro appréciation des risques Juin 2011

78 Bénéfices de la rétro appréciation des risques Identification des actifs protégés par les firewalls Travail qui n avait jamais été fait! Découverte que certains firewalls de datacenter protégeaient des actifs n étant pas dans des réseau du datacenter, source de complexité dans les règles Appréciation des risques sur ces actifs Méthode simple et pragmatique mais restant sur du quantitatif et en monétaire Analyse de la réduction des risques apportée par les firewalls Identification de manques et de doublons dans le dispositif Calcul du rapport entre la valorisation des actifs / risques et les coûts d exploitation des firewalls Mise en place d un plan de traitement des risques efficient Démonstration par un calcul mathématique que d autres mesures (IPS) amenaient à un risque résiduel acceptable pour un coût nettement moindre Equipe mise dans une dynamique de gestion de la sécurité par les risques Diminution des coûts de 30% sur 3 ans Niveau de sécurité amélioré par des moyens mis au bon endroit Rétro appréciation des risques Juin 2011

79 Illustration : mesure inutile L existant Entreprise secteur industriel de 1200 collaborateurs RSSI prenant ses fonctions, souhaitant faire une évaluation de toutes les mesures de sécurité en place dans l organisation Une mesure pressentie inutile apparait rapidement : Mesure de changement de mot de passe pour tous les collaborateurs tous les mois Utilisateurs mécontents, incompréhension Mauvaise image de la sécurité (et du RSSI) Mesure de sécurité jamais remise en question Mesure de sécurité historique, en place depuis l installation de l Active Directory au début des années 2000 Mesure présente dans beaucoup de guide de bonne pratique Comment mesurer l efficience de cette mesure en l absence de lien avec la gestion des risques? Rétro appréciation des risques Juin 2011

80 Bénéfices de la rétro appréciation des risques Analyse de l influence de la mesure sur les composantes du risque De quelles vulnérabilités la mesure réduit la probabilité d exploitation? De quelles menaces la mesure réduit la probabilité d occurrence? Quel est le risque originel? Risque couvert = brute force du mot de passe en plus de 1 mois, utilisation d un mot de passe volé après 1 mois Identification des autres risques non couverts par la mesure Autres risques pesant sur les mot de passe = social engineering, fishing, shoulder surfing, keylogger Tous ces risques ne sont pas couvert ou bien partiellement Ratio risque couvert / risque induit Démonstration que cette mesure n est pas efficiente et peut être supprimée Suppression justifiée du changement récurrent des mots de passe Responsabilisation des utilisateurs sur le changement de leur mot de passe sur certains événements Prise de fonction du RSSI facilitée Rétro appréciation des risques Juin 2011

81 Une clé pour simplifier la sécurité et optimiser les investissements? Deux utilisations de la retro appréciation des risques : Revue de toutes les mesures de sécurité existantes pour simplifier les dispositifs et identifier celles qui consomment du budget sans être efficaces Déblocage d un chantier de transformation d une mesure de sécurité enlisé dans un débat technique et atteindre les objectifs de gain de productivité Et en plus : Permet de (re)lancer le pilotage de la sécurité par les risques Donne une compréhension étendue du périmètre Rétro appréciation des risques Juin 2011

82 Questions? Ne pas hésiter! Rétro appréciation des risques Juin 2011

83 Rétro appréciation des risques Juin 2011

84 TABLE RONDE Du risque stratégique au développement des opportunités Animée par Bertrand Lemaire, Chef des Informations CIO Avec la participation de : Patrick Chambet Etienne Papin Philippe Salaün Architecte Sécurité du SI, Bouygues Télécom Avocat associé au Cabinet Féral-Schuhl & Sainte-Marie Administrateur de l'afcdp

85 À l'ère du Web 2.0, quelle stratégie de sécurité adopter pour assurer la meilleure protection pour les données de l'entreprise? Florent Fortuné Directeur Technique - Websense

86 Quelque chose a changé Rich Internet Applications Cloud Computing Social Web

87 Les priorités IT Le Web Social Cloud Computing Mobilité Les risques de perte de données Le contenu malveillant Perception de la sécurité

88 Reseaux Sociaux et Marketing 2,261,579 fans 7,219,611 fans

89 Applications & Données convergent vers le Web Software as a Service Platform as a Service Infrastructure as a Service Branch Office Headquarters Branch Office

90 Les attaques combinées Les attaques sont aujourd hui sophistiquées et ciblées La principale finalité est le vol de données Les attaques utilisent principalement le Web et le Mail Les malmares sont principalement hébergés sur des sites légitimes «SEO poisoning» et les «Rogue AV» ont fortement augmentés en 2010

91 Profiling du Cybercriminel Les «bidouilleurs en herbe» Motivation: Notoriété Compétence: Faible Exemple: Accès aux comptes twitter de personnalités en 2009

92 Profiling du Cybercriminel Les «hacktivistes» Motivation: motivations sociales, politiques, religieuses Compétence: Faible a modéré Exemple: WikiLeaks doit être l exemple le plus marquant de ces derniers mois

93 Profiling du Cybercriminel Les «cybervoleurs» Motivation: gains financiers rapides Compétence: modéré Exemple: Le phishing sur le tremblement de terre qui a touché le Japon en mars 2011

94 Profiling du Cybercriminel Les «super Ninjas» Motivation: : beaucoup d argent. Ces personnes ciblent les données confidentielles Compétence: Forte / Expert Exemple:Opération Aurora en 2009/2010 ciblait les entreprises américaines

95 Profiling du Cybercriminel Les «cybersoldats» Motivation: Cyberguerre? Militaire? Compétence: Expert Exemple:Stuxnet constitue un parfait exemple de cette méthode d attaque

96 Entreprise & Web 2.0/ Web Social?

97 Entreprise & Web 2.0/ Web Social?

98 Ce que disent nos Clients.

99 Ce que disent nos Clients.

100 Facebook Réseaux Sociaux ou...?

101 Une Nouvelle dimension

102 Facebook Scams

103 Osama bin Laden

104 Osama bin Laden

105 Security Labs Technologies

106 Solutions Inadaptées Filtrage d URL Anti-Virus traditionnel Réputation Analyse parallèle DLP-LITE Classification dans le Cloud Inadaptées au Web dynamique / 2.0 Remède versus prévention problème de Volumétrie (taille de Base.) Ne protège pas contre les sites compromis (70% sites) Pas contexte, Aucune correlation Problème de Faux positif/négatif et aucun contexte Accès restreint aux propriétés, détectable, latence (500MS +)

107 TRITON: Sécurité de Contenu Unifié

108 Websense Sweeps Forrester Waves Forrester sees a growing market demand for consolidated content security suites rather than point products. Websense alone leads the content security suite market because of its current functionality and suiteoriented product strategy. Forrester Wave : Content Security Suites, Q