Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Transcription

1 Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher

2 Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur à celui du trafic de drogue (# 1000 M $) Parmi les cyber-attaques récentes Turbomeca (janvier à septembre 2010) espionnage industriel Bercy (décembre à mars 2011) 150 PC «visités» Commission Européenne (mars 2011) # attaque Bercy Sony Online Entertainment (avril-mai 2011) vol de données personnelles et d informations cartes AG AFAI 24 Mai

3 De nombreuses menaces Cyber-attaques Incidents d exploitation Mauvaise gestion de projet Mauvaise gestion de la production Mauvaise gestion des incidents Erreurs humaines Non respect des procédures Défaillance d un prestataire Insuffisance de contrôle Insuffisance de compétence AG AFAI 24 Mai

4 Risque informatique (quelques caractéristiques) Menaces à caractère dynamique Large éventail de menaces et d événements à prendre en compte Prépondérance d événements touchant à l immatériel, difficiles à appréhender Impacts stratégiques, opérationnels, légaux et juridiques, financiers, sur la réputation et l image souvent importants Le risque informatique est complexe Il faut le gérer avec des outils adaptés pour faciliter le management par le risque informatique AG AFAI 24 Mai

5 Risque informatique (définition) Risque métier lié à l utilisation, la possession, l exploitation, l implication, l adoption ou au poids de l informatique au sein d une entreprise. Il est constitué des événements qui pourraient avoir un impact sur les affaires. Risques de l entreprise (Risk IT) Risque stratégique Risque environnemental Risque de marché Risque de crédit Risque opérationnel Risque de non-conformité Risque informatique AG AFAI 24 Mai

6 Risque informatique (catégories) Risk IT distingue 3 catégories de risque informatique Risque informatique Génération de valeur/ bénéfices grâce à l informatique Réalisation de programmes et projets informatiques Fourniture de services et exploitation informatiques Exemples Technologie génératrice de nouvelles initiatives affaire/métier Technologie génératrice d efficience pour les opérations Qualité des projets Pertinence des projets Maîtrise des projets Interruptions de service informatique Problèmes de sécurité Problèmes de non-conformité Valeur affaire/métier Manque à gagner Perte Gain Préservation Valeur affaire/métier AG AFAI 24 Mai

7 Principales normes et référentiels Référentiel Norme COSO ERM 2004 Management des risques de l entreprise Cadre de référence AIRMIC, Alarm, IRM 2010 Management des risques de l entreprise Management du risque AS/NZS Management du risque ISO Management du risque - Principes et lignes directrices ISO Gestion des risques - Techniques d'évaluation des risques ISO/IEC Guide Management du risque - Vocabulaire ISO ISO ISO ISO Technologies de l'information Techniques de sécurité Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire Systèmes de management de la sécurité de l'information - Exigences Code de bonne pratique pour le management de la sécurité de l'information Gestion des risques en sécurité de l'information CRAMM 2005 EBIOS 2010 MEHARI 2010 OCTAVE 2007 AG AFAI 24 Mai

8 Structure du référentiel Risk IT Domaine (ex. ER) Modèle de maturité synthétique Modèle de maturité détaillé Processus (ex. ER2) Tableau RACI Objectifs et métriques Activité (ex. ER2.1) Éléments d entrée/sortie AG AFAI 24 Mai

9 Le modèle Risk IT Gouvernance des risques Intégrer au management des risques de l entreprise Etablir et maintenir une vision commune des risques Prendre en compte le risque dans les décisions affaire/métier 3 domaines 9 processus 47 bonnes pratiques Gérer les risques Objectifs affaire/ métier Analyser les risques Exprimer les risques Réagir aux événements Communication Collecter les données Maintenir le profil de risque Traitement des risques Evaluation des risques AG AFAI 24 Mai

10 ZOOM SUR 3 PROCESSUS DE RISK IT AG AFAI 24 Mai

11 GR2 : Intégrer au management des risques de l entreprise Définir et maintenir l autorité relative au management des risques informatiques Coordonner la stratégie en matière de risques informatiques avec la stratégie en matière de risques affaire/métier Harmoniser les pratiques de management des risques informatiques avec celles de management des risques de l entreprise Fournir les ressources adéquates pour le management des risques informatiques Obtenir une assurance indépendante sur le management des risques informatiques Intégration AG AFAI 24 Mai

12 Management des risques informatiques : responsabilité et autorité L acteur porte la responsabilité et/ou a une autorité partielle L acteur a toute autorité sur le processus Acteur Gouvernance des risques Vision commune des risques Intégration au MRE Décisions tenant compte des risques Evaluation des risques Collecter les données Analyser les risques Maintenir le profil de risque Traitement des risques Exprimer les risques Gérer les risques Réagir aux événements Conseil d administration Président Directeur Général ou Directeur Général DG (CEO) Directeur des risques DR (CRO) Directeur Informatique DI (CIO) Directeur financier DF (CFO) Comité des risques de l entreprise Responsable affaire/métier Propriétaire de processus affaire/métier Fonctions de contrôle des risques Directeur des Ressources Humaines (DRH) Conformité et Audit AG AFAI 24 Mai

13 ER2 : Analyser les risques Définir le périmètre de l analyse des risques informatiques Estimer les risques informatiques Identifier les options de traitement des risques Faire faire une revue de l analyse des risques par un pair Appréciation AG AFAI 24 Mai

14 Appréciation des risques Tolérance au risque Scénarios de risque informatique spécifiques et affinés Estimer la fréquence et l impact Risque Analyse des risques AG AFAI 24 Mai

15 Appréciation des risques Risk IT propose une méthode d analyse des risques basée sur l analyse de scénarios Risk IT propose des aides pour évaluer la fréquence et l importance des risques pour les affaires/métiers Type de menace Malveillance Accident/erreur Défaillance Naturelle Exigence externe Evénement Divulgation Interruption Modification Vol Destruction Conception inefficace Exécution inefficace Règles et réglementations Mauvaise utilisation + + Actif / Ressource Personnes et organisation Processus Infrastructure (installations) Infrastructure informatique Information Applications [Acteur] Interne (personnel, sous-traitant) Externe (concurrent, étranger, partenaire affaire/métier, régulateur, marché) + Scénario de risque + Eléments temporels Durée Périodicité d occurrence (critique, non-critique) Temps de détection AG AFAI 24 Mai

16 Scénarios génériques RISK IT 1 Choix de programme informatique 2 Nouvelles technologies 3 Choix de technologie 4 Prise de décision en matière d investissement informatique 5 Responsabilité informatique 6 Intégration informatique au sein des processus affaire/métier 7 État de l infrastructure technique 8 Ancienneté du logiciel applicatif 9 Agilité et flexibilité de l architecture 10 Conformité règlementaire 11 Implémentation de logiciel 12 Fin de projet informatique 13 Coût de projet informatique 14 Réalisation de projet 15 Qualité projet 16 Choix/ performance des tiers fournisseurs 17 Vol d infrastructure 18 Destruction d infrastructure 19 Personnel informatique 20 Expertise et compétence informatique 21 Intégrité du logiciel 22 Infrastructure (matériel) 23 Performance logiciel 24 Capacité système 25 Ancienneté de l infrastructure logicielle 26 Logiciel malveillant 27 Attaques logicielles 28 Supports d information 29 Performance des services publics 30 Action revendicative 31 Intégrité des (bases de) données 32 Intrusion logique 33 Erreurs d exploitation informatique 34 Conformité contractuelle 35 Environnement 36 Catastrophes naturelles AG AFAI 24 Mai

17 Inventorier les contrôles TR2 : Gérer les risques Surveiller l alignement opérationnel sur les seuils de tolérance au risque Traiter les expositions aux risques et les opportunités découvertes Mettre en place des contrôles Réaliser un rapport sur la progression du plan d actions concernant les risques informatiques Traitement AG AFAI 24 Mai

18 Traitement des risques Analyse des risques Risques dépassant le niveau de tolérance Choisir les options de traitement des risques Options de traitement des risques 1. Eviter 2. Réduire/Atténuer 3. Partager/Transférer 4. Accepter Paramètres de sélection du traitement des risques Coût de traitement pour ramener les risques dans les niveaux de tolérance Ampleur des risques Capacité à mettre en œuvre le traitement Efficacité du traitement Efficience du traitement Traitement des risques Traitements des risques hiérarchisés Hiérarchiser les options de traitement des risques Plan d actions concernant les risques Niveau de risque actuel Hiérarchisation du traitement des risques Étude d opportunité Ne rien faire Gain rapide Étude d opportunité Ratio efficacité/coût AG AFAI 24 Mai

19 Réduction des risques Risk IT capitalise sur les bonnes pratiques de contrôle et de management de COBIT et Val IT Contrôle indispensable Référence du contrôle Libellé du contrôle 1. Choix de programme informatique Oui PO1 PO1.1 Gestion de la valeur informatique Objectif de contrôle COBIT / Pratique clé de management Val IT Travailler avec les affaires/métiers pour s assurer que le portefeuille d investissements informatiques de l entreprise contient des programmes ou projets dont les analyses de rentabilité sont solides. Reconnaître qu il y a des investissements obligatoires, indispensables et discrétionnaires qui diffèrent en complexité et en degré de liberté pour ce qui est de l attribution des crédits. Les processus informatiques doivent fournir aux programmes des composants informatiques efficaces et efficients et des alertes, au plus tôt, pour tout écart par rapport au plan, par exemple, en ce qui concerne les coûts, les délais et les fonctionnalités, susceptible d avoir des conséquences sur les résultats attendus des programmes. Les services informatiques doivent être rendus sur la base de contrats de services (CS ou Service Level Agreement SLA) équitables et applicables. La responsabilité finale de l obtention des bénéfices et du contrôle des coûts est clairement assignée et supervisée. Établir une appréciation juste, transparente, reproductible et comparable des analyses de rentabilité qui tient compte de la valeur financière, du risque de ne pas fournir une capacité et de ne pas réaliser les bénéfices attendus. Effet sur la fréquence Effet sur l impact Important AG AFAI 24 Mai

20 Contenu de Risk IT Le Référentiel Risk IT Description du modèle (domaines, processus, activités) Modèles de maturité, tableaux RACI, objectifs et métriques, éléments d entrée/sortie Le Guide Utilisateur Risk IT Guide pratique de mise en place du management des risques informatiques dont Description des scénarios génériques et du traitement des risques à l aide de COBIT et Val IT Comparaison de Risk IT avec COSO ERM, ISO et ISO Outils complémentaires du Guide Utilisateur 7 documents Word d aide à la mise en œuvre AG AFAI 24 Mai

21 AFAI, ISACA et Risk IT L AFAI a réalisé l adaptation en français de Risk IT avec la participation de chapitres francophones L ISACA a mis en place une certification spécifique Parrainage jusqu au 30 juin 2011 L AFAI proposera une formation au management des risques informatiques basée sur Risk IT dans le courant du second semestre 2011 AG AFAI 24 Mai