Livre Blanc. Simplifiez-vous la sécurité informatique. Accenture 2010 Reproduction interdite sans autorisation écrite préalable

Transcription

1 Livre Blanc Simplifiez-vous la sécurité informatique Accenture 2010

2 Avant-propos Ce livre blanc, qui constitue, à la date de publication, un point de vue d Accenture sur les thèmes qui y sont traités, a été rédigé sur la base de retour d expériences d Accenture mais ne saurait être considéré comme un document exhaustif ou ayant valeur d engagement d Accenture. Les informations contenues dans ce livre blanc sont fournies pour consultation uniquement et Accenture ne formule aucune garantie de quelque nature que ce soit concernant l ensemble des informations qu il contient. Accenture ne pourra donc en aucun cas être tenue responsable de quelque oubli, erreur ou imprécision contenu dans ce livre blanc. Ce livre blanc, propriété d Accenture, ne peut être reproduit, stocké, transmis, pour quelque raison que ce soit, sous quelque forme que ce soit ou par quelque moyen (mécanique, électronique, photocopie, enregistrement, etc.) que ce soit, sans la permission écrite d Accenture. Toute utilisation ou reproduction intégrale ou partielle de ce livre blanc faite sans le consentement d Accenture est illicite. Cette représentation ou reproduction par quelque procédé que ce soit constituerait une contrefaçon sanctionnée par les dispositions des articles L et suivants du Code de la Propriété Intellectuelle et, de manière générale, une atteinte aux droits d Accenture Accenture. Tous droits réservés. Accenture /22

3 Sommaire AVANT-PROPOS SYNTHESE LE CYCLE DE VIE «R.I.S.C» ORGANISER LA SECURITE INFORMATIQUE AU SEIN DE L ENTREPRISE ASSURER LE SUIVI DE LA SECURITE EVOLUTION DE LA GOUVERNANCE SECURITE AU SEIN DES ENTREPRISES LE PERIMETRE A PROTEGER ET LES BESOINS DE SECURITE IDENTIFICATION DES VULNERABILITES IDENTIFICATIONS DES RISQUES TROUVER LES RISQUES METIERS CARTOGRAPHIER LES RISQUES SELECTION DES RISQUES A TRAITER GESTION DES RISQUES ET DONNEES SENSIBLES DE L ENTREPRISE UNE SITUATION A RISQUE POUR LES ENTREPRISES FRANÇAISES UNE GESTION DES RISQUES INTEGRANT LA PROTECTION DES DONNEES SENSIBLES PLANS D ACTIONS ET PRIORITES ET POURQUOI NE FERAIT-ON PAS DES ECONOMIES? OPPORTUNITES DE REDUCTION DE COUTS DES NORMES DE GESTION DE RISQUE, POUR QUOI FAIRE? MAINTENIR LA SECURITE DANS LE TEMPS SECURITY OPERATING CENTER CONDUIRE SOI-MEME LA SECURITE LA BOITE A OUTILS SECURITE ECHELLES DE NOTATION POUR LE PILOTAGE DE LA SECURITE INDICATEURS DE PILOTAGE DE LA SECURITE TABLEAU DE BORD DE SECURITE CONCLUSION Accenture /22

4 1. Synthèse Une sécurité informatique simple à mettre en œuvre, performante et peu coûteuse c est possible. Pour les entreprises, les normes et les technologies de sécurité informatique semblent souvent contraignantes et bien loin de leurs impératifs métiers. Il convient donc de revenir à l essentiel, c'est-à-dire d identifier la nature du périmètre à sécuriser, de protéger «l ADN de l entreprise» regroupant tout à la fois savoir-faire, informations commerciales, données privées, informations financières. Les mesures de protection adaptées sont déjà bien souvent présentes dans l entreprise : il suffit de les identifier et de les organiser afin d assurer et de pérenniser un niveau de sécurité conforme à ses besoins. Ce livre blanc apporte un éclairage pragmatique sur la mise en œuvre de la sécurité informatique : que ce soit en matière de protection des données, de pilotage par les risques, de tableau de bord sécurité, l objectif est de mettre la sécurité informatique au service de la performance du métier. Points à retenir - La nécessité incontournable de travailler avec des acteurs externes, qu ils soient clients, partenaires ou prestataires induit de nouvelles menaces sur le SI des entreprises. - Il est possible de tirer parti de ces menaces et de satisfaire aux contraintes réglementaires en mettant en œuvre de façon proactive une organisation et une gestion de la sécurité informatique. - Cette démarche conduit à une maitrise des risques, mais également à une maîtrise voire une diminution des coûts des systèmes d information par la mise en œuvre d automatisation et de rationalisation des services rendus par l informatique. 2. Le cycle de vie «R.I.S.C» L organisation de la sécurité informatique au sein de l entreprise suit un cycle à 4 temps «R.I.S.C» : 4) Évolution et amélioration Continue 1) Recensement des Besoins de sécurité 3) Surveillance et pilotage 2) Implémentation des mesures de sécurité La mise en œuvre de ce cycle implique la définition d une gouvernance de la sécurité informatique qui sera adaptée à la nature de l activité et aura pour mission de démarrer et d entretenir le cycle. Accenture /22

5 Le recensement des besoins de sécurité sera réalisé en répondant aux cinq questions suivantes : - Quelles sont les activités critiques de mon organisation? - Quelle est la disponibilité souhaitée de mes systèmes d information? - Quelle résistance à l altération des données et des traitements dois-je mettre en œuvre? - Quel est le niveau de confidentialité à prendre en compte pour les données et les traitements? - Faut-il conserver des traces des transactions numériques? L implémentation des mesures de sécurité au regard de ces besoins se fera selon un ordre de priorité établi à partir des impératifs de l activité de l organisation concernée La surveillance et le pilotage seront mises en œuvre selon une démarche rationnelle et pragmatique Les retours d expérience ainsi que les évolutions seront traitées selon un processus d amélioration continue Points à retenir Les bonnes pratiques en matière de sécurité informatique conduisent à l organisation d un cycle à quatre temps «R.I.S.C»: - Recensement des Besoins de sécurité informatique - Implémentation des mesures pertinentes au regard de ces besoins - Surveillance et pilotage de la sécurité informatique - Évolution et amélioration Continue de la sécurité informatique 3. Organiser la sécurité informatique au sein de l entreprise Activité à part entière au sein des entreprises, la sécurité informatique doit être gérée avec la même rigueur que la gouvernance informatique ou les activités métiers. Au-delà de la gestion de l intégrité, de la confidentialité, de la disponibilité, le responsable sécurité peut aujourd hui s appuyer sur une approche simple et efficace : la gestion de la sécurité informatique par les risques. Le marché présente de nombreuses initiatives de sécurité comme la mise en place de solutions de sécurité, ou la création de plans de continuité (PCA) qui ont une portée plus «Tactique» que «Stratégique». Une vision «tactique» de la sécurité peut sembler apporter une solution immédiate suite à la survenance brutale d un problème (ex: infection virale, crash d un Datacenter). La mise en œuvre d une application ou d une technologie constitue alors une «rustine». S appuyer uniquement sur ce type d approche peut ainsi s avérer préjudiciable : Ralentissement ou blocage de l activité métier Création d un puzzle de technologies/solutions difficilement gérable pour les équipes informatiques Création «d effets dominos», et même introduction de nouvelles faiblesses dans le S.I Augmentation des coûts liés à la mise en œuvre de la sécurité Le pilotage de la sécurité par les risques est une approche «stratégique» car elle permet d acquérir une vision globale de la sécurité à travers les activités métiers de l entreprise. Elle facilite ainsi à la fois la mise en place immédiate de solutions de sécurité «curatives» sans pour autant perdre le lien avec les besoins de sécurité de l entreprise. La planification dans la durée des actions de sécurité, leurs liens avec les besoins métiers et la connaissance des coûts associés permettent ainsi au responsable sécurité de «piloter» plutôt que «réagir» face à l évolution des menaces et des enjeux de sécurité. Accenture /22

6 3.1. Assurer le suivi de la sécurité Assurer le suivi de la sécurité consiste à définir et à mettre en place «la Gouvernance de la sécurité informatique». Il s agit d établir et de maintenir un pilotage structuré de la sécurité informatique afin de s assurer que les stratégies de sécurité de l organisation sont conformes aux objectifs de l activité et compatibles avec les lois et les règlementations qui lui sont applicables. Ce pilotage a des formes variables selon les organisations et comporte trois caractéristiques principales : Alignement sécurité / métier Aligner l'informatique avec les objectifs de la direction des métiers et la direction Stratégique. Responsabilisation de performance Obtenir des bénéfices métiers tangibles avec les investissements de sécurité grâce à la supervision des initiatives de sécurité dans toute l'entreprise. Sécurité opérationnelle Conduire la sécurité tout en mettant en œuvre les standards et les investissements d'infrastructure nécessités par le développement de l activité Comme détaillé dans les deux schémas suivants, la Gouvernance de la sécurité informatique établit le lien entre la gouvernance d une organisation et une gestion efficace de la sécurité. Accenture /22

7 3.2. Evolution de la gouvernance sécurité au sein des entreprises Etant donné que le rôle de l'informatique a évolué au fil du temps, la gouvernance de la sécurité est devenue de plus en plus une question tombant sous la responsabilité de la direction des métiers. Ce mouvement permet de concilier deux impératifs qui semblaient autrefois contradictoires : sécuriser les systèmes d informations et favoriser le développement des activités métier. 4. Le périmètre à protéger et les besoins de sécurité Le périmètre à protéger contient les principaux processus métiers de l entreprise (ex : logistique, ressources humaines, marketing, etc.) Il s agit d évaluer pour chacun des processus les besoins de protection en termes de disponibilité, confidentialité, intégrité. On peut utiliser pour cela des échelles d évaluations créées sur mesure (par exemple graduées de 1 à 4). Ce type d échelle permet d exprimer les objectifs de performance de chacun des processus métier (ex : la chaine logistique doit être capable d expédier une palette de produit en 12h en province). Accenture /22

8 Souvent, on s appuie sur les contrats de service existants pour construire cette échelle des besoins métiers : Étant donné que les processus métiers s appuient pour l essentiel sur des moyens informatiques pour fonctionner (serveurs, applications, télécom), il faut identifier pour chacun de ces moyens informatiques les objectifs de performance visés afin d obtenir un fonctionnement compatible avec les exigences des contrats de services. Il suffit désormais à la direction métier d évaluer son «besoin de sécurité» selon une échelle qu elle contribuera à définir elle-même (voir exemples ci-dessous). Besoin de sécurité 1 Faible 2 Modéré 3 Critique 4 Stratégique Besoin métier CUIVRE BRONZE ARGENT OR Disponibilité Intégrité Confidentialité Preuve 1 Faible Indisponibilité maximale tolérée > à 24h 2 Modéré Indisponibilité maximale tolérée de 24h 3 Critique Indisponibilité maximale tolérée de 4h. Délai de traitement et performances définis par contrat de service 4 Stratégique Indisponibilité maximale tolérée de 1h. Délai de traitement et performances définis par contrat de service Corrections possibles avec une gêne opérationnelle mineure sans impact financier Impacts sensibles ; corrections possibles avec une gêne opérationnelle ou une perte financière faible Impacts critiques ; corrections difficiles d erreurs sur les données avec une perte financière conséquente Impacts stratégiques ; impossibilité de corriger les conséquences d erreurs portant sur des données sensibles. Informations publiques ou internes au Groupe et dont la divulgation involontaire à l extérieur n est pas susceptible de créer un préjudice significatif Informations internes à diffusion limitée, dont la divulgation en dehors du cadre des personnes auxquelles elles sont destinées pourrait entraîner un préjudice modéré Informations confidentielles, dont la divulgation entraînerait un préjudice significatif pour l organisation concernée Informations relevant du secret, dont la divulgation entraînerait un préjudice majeur Pas d utilisation de la traçabilité ou uniquement afin d améliorer la qualité Traçabilité nécessaire afin de répondre à un incident ou une contestation Contraintes contractuelles de traçabilité Les preuves et contrôles font partie des fonctionnalités essentielles du système ou relèvent de contraintes légales Une fois l échelle créée il ne reste plus qu à évaluer chacun des besoins métiers. Accenture /22

9 Exemple d évaluation des besoins de sécurité métiers : Plateforme technique Besoins sécurité Disponibilité Intégrité Confidentialité Preuve Infocentre BRONZE ARGENT ARGENT BRONZE Portail clients ARGENT ARGENT ARGENT BRONZE Intranet ARGENT ARGENT ARGENT BRONZE ZOS OR ARGENT ARGENT ARGENT Points à retenir L évaluation des besoins de sécurité peut être utilisée dans de nombreux contextes : - Evaluation de la maturité de la sécurité (par exemple lors d un rachat d entreprise ou lors de la mie en place d un partenariat nécessitant un partage d informations) - Définition d un plan d action sécurité (court, moyen ou long terme) - Sécurisation d un projet ou d un développement - Mise en œuvre d un Plan de Continuité d Activité (PCA) 5. Identification des vulnérabilités Cette activité permet pour chaque plateforme informatique (=groupe de serveurs + applications) de faire un état des lieux des points faibles. La recherche des vulnérabilités peut représenter un travail long et fastidieux s il n est pas mené à l aide de l une des trois techniques d identification des vulnérabilités ci-dessous : Il est nécessaire de réaliser une liste contenant un nombre réduit de vulnérabilités en ne choisissant par exemple que celles qui apparaissent régulièrement dans les incidents de sécurité rencontrés au sein de l entreprise. On peut utilement s appuyer sur des bibliothèques de menaces et de vulnérabilités telles que celle d EBIOS par exemple. En complément il ne faut pas hésiter à s appuyer sur des sources d informations pertinentes permettant d identifier rapidement ces vulnérabilités (exemple : responsable des applications métiers, responsables des infrastructures, responsables sécurité, etc..). Chaque plateforme dispose ainsi d un couple de menace/vulnérabilité associée à une probabilité d occurrence (= «chance» que cette vulnérabilité soit exploitée). Cette probabilité d occurrence peut s appuyer sur une échelle permettant de déterminer «la facilité» d exploitation de la vulnérabilité dont voici ci-dessous un exemple : Echelle de probabilité d'occurrence Niveau Description 0 Totalement improbable ou infaisable 1 Faiblement probable ou nécessité de moyens très importants ou de connaissances très élevées dans le domaine considéré 2 Moyennement probable ou besoin d'un certain niveau d'expertise ou du matériel spécifique 3 Fortement probable ou réalisable avec des moyens standards ou avec un faible niveau de connaissance 4 Certain ou réalisable par tout public Accenture /22

10 Afin d illustrer l évaluation de la probabilité d occurrence des vulnérabilités, considérons l exemple suivant : Une société dispose pour son site de «e-commerce» d un cluster de serveur «Apache» en version 2.0. L entreprise ne peut pas changer de version pour des raisons d incapacité à redévelopper une partie de son application web. Or, cette version de serveur «Apache» comporte une vulnérabilité connue permettant de bloquer le système. Pour éviter l exploitation facile de cette vulnérabilité (via des «outils» disponibles sur internet) il suffit de protéger l accès au site via un reverse proxy. Cette mesure de sécurité a permis de réduire la probabilité d occurrence de cette vulnérabilité. Exemple d un tableau d évaluation des vulnérabilités : Plateforme Menaces Vulnérabilités Probabilité d'occurrence Plateforme e-commerce ATTEINTE À LA DISPONIBILITÉ DU PERSONNEL Sous-dimensionnement de l'organisation 4 (probabilité certaine car il existe un sous effectif avéré dans l équipe technique) Plateforme logistique Plateforme e-commerce ATTEINTE À LA DISPONIBILITÉ DU PERSONNEL DYSFONCTIONNEMENT LOGI- CIEL Absence de plan de formation à la maintenance des nouveaux systèmes Absence de remontée d'information pour le traitement centralisé des dysfonctionnements 2 (probabilité moyenne car une partie des équipes ont été formées aux nouvelles applications et plateformes) 3 (fortement probable car actuellement aucun système n est supervisé) A chaque mise à jour de l analyse de risque ces mesures de sécurité seront réévalués et notamment leur probabilité d occurrence. Ainsi le renforcement des mesures de sécurité aura pour effet de réduire de plus en plus la probabilité d occurrence d une vulnérabilité. Il convient de noter qu une partie de ces vulnérabilités disparaitront au fur et à mesure de la mise en place de plans d actions sécurité ciblés comme par exemple : Le renforcement des équipes techniques réduisant ainsi la vulnérabilité de «sous dimensionnement de l organisation» La mise en œuvre d une supervision applicative et/ou sécurité permettant de supprimer la vulnérabilité «Absence de remontée d'information pour le traitement centralisé des dysfonctionnements» La mise en place de plan de formation/sensibilisation adapté supprimant la vulnérabilité «Absence de plan de formation à la maintenance des nouveaux systèmes» Accenture /22

11 Points à retenir La découverte des vulnérabilités peut s appuyer sur deux méthodes complémentaires : - Audit exhaustif des vulnérabilités des plateformes par des «scan» de vulnérabilités - Interview des responsables d applications et des infrastructures afin d obtenir une vue actualisée des incidents et faiblesses de fonctionnement de ces systèmes L évaluation de la probabilité d occurrence d une vulnérabilité permet de prendre en compte les mesures de sécurité existantes. Ainsi plus une mesure de sécurité sera efficace plus difficile sera l exploitation de la vulnérabilité par une menace. A chaque mise à jour de l analyse de risque les mesures de sécurité sont réévaluées et peuvent en fonction des cas : - Soit disparaitre grâce à l effet d un plan d action ciblé sur cette vulnérabilité - Soit être réduites (=réduction de l apparition de la vulnérabilité) grâce au renforcement des mesures existantes ou a l ajout de nouvelles mesures Identifications des risques L identification des risques s appuie sur la liste de vulnérabilités identifiée dans l étape précédente. A ce stade, il convient de créer une «bibliothèque» de risques métiers pertinents pour l entreprise. En effet, l intitulé d un risque ne porte en soit pas grande information s il n est pas relié au vocabulaire «métier» de l entreprise. Cette liste sera utilisée au moment du calcul des «notes» de risque. Egalement, les critères d évaluation et de pondération des risques seront choisis en fonction des spécificités de l entreprise (probabilité d occurrence de chaque menace, capacité à détecter une menace, etc.) Trouver les risques métiers En cherchant à constituer la «bibliothèque» de risques métiers il est nécessaire de garder à l esprit que ces risques serviront à expliquer de manière concrète aux parties prenantes les résultats de l analyse de risque. Il est donc impératif que les risques soient compréhensibles pour les destinataires de l analyse de risque. Ainsi, si nous prenons comme exemple une entreprise de taille moyenne fabriquant des composants électroniques pour les domaines spatial et automobile, la bibliothèque de risques pertinents pour cette entreprise pourrait être : Le risque d indisponibilité du personnel stratégique (cette société recrute et emploie des talents qui sont le moteur de son innovation. Une partie de ces personnels disposent également d un savoir-faire spécifique dans la production de composants électroniques de dernière génération) Le risque de perte ou de fuite de données (Cette société dépose des brevets et élabore des processus de fabrication innovants. Elle développe par ailleurs pour des clients des procédés et produits innovants) Le risque de perte d image et de réputation (Cette société est certifiée ISO 9001 et dispose d une exposition médiatique très forte) Le risque d une perte d exploitation (l ensemble de ses chaines de production de composants électroniques sont intégralement automatisées. Par ailleurs l ensemble de sa chaine de facturation et de gestion du poste client est externalisé à des tiers) Accenture /22

12 Cartographier les risques Obtenir une liste de risques, à la Prévert, ne sert pas à grand-chose. Tout au mieux à brouiller un peu plus la lecture de la situation. Il est important de garder une vision orientée métier, pour cela il faut réaliser une cartographie des risques. Il devient ainsi possible de comprendre rapidement les enjeux de sécurité sur leurs activités (généralement une perte de disponibilité de leurs outils ou bien de confidentialité) et de mettre en œuvre des plans d actions sécurité pragmatiques : 5.2. Sélection des risques à traiter Il est intéressant de traiter les risques pour chacun des processus métiers. Les plans d actions peuvent ainsi être déclinés par processus métier et ainsi profiter de synergies (budgétaires, ressources) avec des projets métiers. Le traitement des risques peut amener à identifier plusieurs voies différentes dans la mise en œuvre des actions correctives : Certains risques peuvent être couverts par des assurances adéquates ou par des contrats avec des partenaires (ex : site de backup co-hébergé chez un partenaire ou une filiale du groupe) Traitement des risques par des moyens technologiques ou des solutions : c est le plus souvent ce type d approche qui est mené par les responsables informatiques et sécurité. Dans ce cas de figure on implémente au sein du S.I un panel de solutions logicielles/matérielles diminuant l impact des risques traités (ex : solution de sauvegarde, chiffrement des données sensibles, contrôles d accès, etc.). Ce type de mesures est généralement sous la maitrise des directions informatiques. Traitement des risques par des procédures; une nouvelle organisation du travail des ressources IT, métiers et/ou des partenaires externes permet de réduire significativement l impact du risque. Le plan de traitement des risques est une étape importante car elle permet aux métiers, IT, directions générales de prendre acte de la situation (listes des risques) et d imaginer le moyens de les réduire. Chaque partie prenante prend pour ce qui la concerne les plans d actions à mener. L ensemble de ces plans d actions constitue le socle pour l élaboration d une feuille de route dédiée à la «sécurité» et à la «gestion du risque». Accenture /22

13 Afin d ordonnancer dans le temps la mise en œuvre de ces traitements, on peut s appuyer sur une première évaluation du coût de ces plans d actions : Coût humain (effort en nombre de jours homme qu ils soient effectués en interne ou par des prestataires externes) Coût financier : coût d acquisition d un logiciel par exemple ou d un serveur, coût de construction d un local sécurisé, etc. Réduction de l impact du risque : ce point permet de découper un plan d actions en plusieurs phases afin d obtenir un bénéfice quantifiable rapidement sans avoir à attendre la fin de «l effet tunnel» d un long plan d action. Le coût est aussi généralement un argument pour découper les plans d actions en plusieurs étapes afin de répartir l investissement dans le temps. La réalisation des plans d actions peut être faite de manière distribuée au sein de l entreprise. Les métiers restent décideurs des plans d actions à mener et sont les principaux moteurs de la sécurité au sein de l entreprise. 6. Gestion des risques et données sensibles de l entreprise Comme nous l avons présenté dans les chapitres précédents, la gestion des risques IT est pertinente pour l entreprise si elle fournit une vue des risques par processus métier. Afin de rendre pertinente cette vue, il convient d évaluer et de traiter les risques portant également sur les données sensibles de l entreprise Une situation à risque pour les entreprises Françaises Les entreprises connaissent actuellement de nouvelles transformations concernant les usages de leurs outils informatiques ainsi qu un changement important du comportement des utilisateurs. Des faits précis nous renseignent aujourd hui sur la nature et la portée de ces transformations et de leurs impacts sur la protection des données sensibles et des risques associés pour les entreprises. Ainsi, Accenture a conduit en 2009 une étude complète sur l état des lieux des pratiques de gestion et de protection des données privées. Cette étude repose sur deux sondages mondiaux faisant intervenir plus de 5500 décideurs d entreprises et plus de consommateurs. Constats Evolution des usages des outils informatiques et des comportements «à risques» des utilisateurs Situation actuelle Il existe un changement radical dans les comportements des jeunes générations d utilisateurs (individus âgés de moins de 28 ans) par rapport aux générations précédentes : 45 % des jeunes actifs reconnaissent utiliser des médias sociaux au travail, avec ou sans le feu vert de leur employeur. On constate un non respect des règles de sécurité informatique de l entreprise par l imprudence ou le mépris affiché de près des deux tiers (66 %) des jeunes actifs. Beaucoup vont jusqu à enfreindre les règles établies dans l entreprise en installant et en utilisant les équipements et applications externes qui ont leur faveur. À titre d exemple, 39 % se ser- Accenture /22

14 vent de téléphones mobiles non fournis par leur employeur à des fins professionnelles. Ce constat vaut également pour la messagerie instantanée (33 %) et les sites de réseaux sociaux (43 %). Une faible confiance des consommateurs vis-à-vis de la protection de leurs données personnelles Encore de trop nombreux cas de pertes de données sensibles non expliquées De nombreux cas de pertes d informations Moins de 50% des consommateurs interrogés se sentent en confiance avec les moyens de protection mis en place par les organismes avec lesquels ils partagent leurs informations personnelles «Top 6» des brèches constatées lors de pertes de données sensibles : - 30 % - Raison inconnue - 19 % - Pirates informatiques - 16 % - Documents papiers perdus - 15 % - Appareils perdus ou volés - 12 % - Destruction par un tiers - 8% - Données de sauvegarde manquantes Près de 60% des entreprises consultées reconnaissent avoir perdu des informations sensibles telles que des données relatives à leurs employés, clients ou partenaires. 27% de ces entreprises admettent que ces pertes ont été constatées au cours de trois épisodes ou plus au cours de deux dernières années. Malgré cette situation à risque portant sur les données sensibles des entreprises, on constate néanmoins une bonne sensibilisation des entreprises françaises à la gestion de la protection des données : 83% pensent qu elles doivent prendre des mesures adéquates pour sécuriser les données personnelles des consommateurs et des clients. (moyenne mondiale : 71%) 62% pensent qu il est nécessaire d avoir des politiques spécifiques permettant une gestion efficace de la confidentialité des données. (moyenne mondiale : 57%, Allemagne : 83% et Belgique : 75%) 79% pensent qu il est important d obtenir la permission des consommateurs et des clients avant de partager leurs données personnelles. (moyenne mondiale : 52%) 6.2. Une gestion des risques intégrant la protection des données sensibles Actuellement, la politique de protection des données est souvent portée par les aspects réglementaires. Il convient désormais d élargir ou de remplacer ce type de politique par une approche plus globale prenant en compte le cycle de vie des données au sein de l entreprise (depuis la collecte ou la création jusqu à la destruction). Ainsi la définition d un standard de protection des données peut s appuyer sur sept pratiques spécifiques : 1. Assigner explicitement les rôles de supervision, de propriétaire et responsabilité vis-à-vis de la protection et la confidentialité des données au sein de l organisation 2. Intégrer la protection des données à la gestion des risques IT permettant ainsi : d identifier, de suivre et contrôler où les données sont générées et comment elles transitent à travers l organisation Accenture /22

15 3. Evaluer les technologies de protection et confidentialité des données afin de quantifier les bénéfices qu elles peuvent apporter par rapport aux besoins de sécurité des métiers 4. Construire un plan de sensibilisation pour les employés et fournir un support pour sa mise en œuvre au sein de l entreprise 5. Réexaminer les investissements concernant la protection et la confidentialité des données afin de s assurer qu ils couvrent le cœur des activités de l entreprise : les personnes, les processus métiers et les technologies sous-jacentes 6. Choisir de manière adéquate des partenaires et fournisseurs capable de garantir un niveau de protection et confidentialité des données en ligne avec les besoins de l entreprise (ex : Accenture possède une organisation dédiée à la protection des données) 7. Définir et mettre en œuvre des politiques, des procédures et des équipes capables de gérer la réponse aux incidents de sécurité Points à retenir Les données de l entreprise doivent être intégrées systématiquement à la gestion des risques IT. Ainsi, les points clés du succès dans la mise en œuvre de la protection des données sensibles sont : Appuyer la démarche de protection des données sur des besoins métiers Mener l analyse de risque IT sur le périmètre des données (intégrer l expression des besoins de sécurité métier concernant les données) Adapter les solutions de sécurité existantes pour créer de nouvelles mesures de protection des données. Sur le périmètre restant non couvert, choisir une solution technologique spécialisée et viser un périmètre métier/technique initial réduit. Ajouter progressivement à l agenda sécurité la protection des données (gouvernance sécurité, audit) 7. Plans d actions et priorités A chaque risque fort, il sera nécessaire d identifier un plan d actions pour limiter son impact sur l entreprise. Les plans d actions sont nombreux (exemples : contrats, technologies, processus, humains, etc..). Un exemple de plan d actions à 3 ans est donné ci-dessous : Accenture /22

16 8. Et pourquoi ne ferait-on pas des économies? Afin de comprendre les enjeux en matière d économies liées à la sécurité, on pourrait imaginer de «classer» les pratiques en matière d investissement sécurité selon trois catégories : - La prise en compte de la sécurité en amont, c est à dire pendant l élaboration et durant l ensemble du cycle de construction d un projet, d une activité ou d une DSI. Cette prise en compte en amont permet d anticiper les risques auxquels le projet, l activité ou la DSI (ex : application, infrastructure, projets métiers, etc..) sera confronté et donc de définir les meilleurs plans d actions possibles vis-àvis des risques. Cette approche permet également d intégrer des tests de sécurité (sécurité du code, tests de vulnérabilité, etc.) et de minimiser les incidents de sécurité. Dans ce cas de figure, un positionnement du coût de la sécurité autour de 5% du montant d un projet, du budget d un centre de profit, ou d une DSI semble réaliste. - La prise en compte de la sécurité après l élaboration et durant l ensemble du cycle de construction d un projet, d une activité ou d une DSI. Cette prise en compte en «en cours de route» permet d intégrer des tests de sécurité (sécurité du code, tests de vulnérabilité, etc.) et de minimiser les incidents de sécurité. Dans ce cas de figure, un positionnement du coût de la sécurité autour de 10% du montant d un projet, du budget d un centre de profit, ou d une DSI semble réaliste. - La prise en compte de la sécurité a postériori, c est à dire lorsqu un incident survient, lorsqu un partenaire l exige ou encore sous la contrainte de réglementations ou lois non identifiées initialement. Dans ce cas de figure, le coût de la sécurité se situe autour de 15% du montant d un projet, du budget d un centre de profit ou d une DSI. A ce coût purement «sécurité» il convient d ajouter les coûts annexes (ex : perte d image interne ou externe). Le graphique suivant illustre un exemple de modèle d évaluation d un coût «acceptable» de la sécurité informatique : Accenture /22

17 Points à retenir Exemples d ordres de grandeur du coût de la sécurité sur un budget de DSI : - Au moins 2% du budget sera alloué au Plan de Continuité d activité (cellule de crise, tests, mise à jour) - De 3% à 10% du budget seront alloués à la gestion de la sécurité selon le type d activité à sécuriser et la maturité en termes matière de sécurité informatique Exemples d ordres de grandeur du coût de la sécurité sur un budget de projet : - Autour de 5% si la sécurité est «pensée» dès la conception du projet - Autour de 10% si la sécurité est implémentée durant la mise en œuvre du projet - Autour de 15% (plus le coût des «dommages collatéraux») si la sécurité est mise en œuvre après la recette du projet 8.1. Opportunités de réduction de coûts Les bonnes pratiques de rationalisation associées aux technologies actuelles telles que la virtualisation des postes de travail, des serveurs, des réseaux ou des applications permettent de gérer l automatisation de la sécurité : dès lors, celle-ci sera portée par les services au fur et à mesure qu ils sont demandés et provisionnés. Par exemple : un catalogue de services comportant 3 types de serveurs (petit, moyen, grand) et 3 types de postes de travail (bureau, portable, mobile) permet de gérer la sécurité des équipements informatiques en se limitant à 6 composants. De plus, un processus automatisé permettant de prendre en compte les demandes des utilisateurs via un «self-service utilisateur» permet à la sécurité «technique» d être provisionnée automatiquement sur chaque composant lors de sa livraison. Les technologies de virtualisation permettent ensuite d automatiser intégralement les mises à jour de sécurité (montées de versions, patches, etc.). De ce fait, une gestion de la sécurité de ce type inclut une détection et une élimination automatisées des vulnérabilités, ce qui engendre de facto une réduction des coûts : - d administration du parc d équipements - de maintenance des équipements et des chaînes applicatives - de mises à jour, en permettant notamment une réduction des indisponibilités planifiées et une diminution drastique des équipes en charge des montées de version - de helpdesk, par exemple en intégrant au self service utilisateur une gestion automatique des mots de passe Enfin, il convient d analyser les évitements de coûts : - diminution observable des taux de remplacement de certains matériels - diminution observable de l indisponibilité des systèmes - diminution observable de perte d image (interne ou externe) du fait de la disparition de certains types d incidents (ex : attaque par code malveillant) En prenant en compte les éléments ci-dessus, il est possible de concevoir des projets de sécurisation avec un retour sur investissement entre 6 et 18 mois. Accenture /22

18 9. Des normes de gestion de risque, pour quoi faire? Nous avons recensé ci-dessous un extrait des remarques de nos clients avant de mettre en œuvre la gestion des risques IT : - «Appliquer une norme de gestion de risque IT est difficile, même en lisant les bonnes pratiques du domaine» - «Nous avons mené une seule campagne d analyse de risque et après nous nous sommes arrêtés, c était trop complexe pour nos collaborateurs dans nos filiales» «Nous ne savons pas par quoi commencer» - «Je n ai pas besoin d analyser mes risques, je possède les dernières technologies de sécurité» - «Je passe plus de temps à conduire les analyses de risques qu à traiter les risques» - «Je ne sais pas comment faire pour mettre en œuvre les solutions et les contrôles de sécurité» La réponse à ces questions réside dans la nécessité de construire une gestion des risques IT adaptée à l activité et au contexte de l organisation qui va la porter. Points à retenir Pour mettre en place une gestion des risques IT «pratico-pratique», les normes, les règlements ou les politiques de sécurité doivent être déclinés dans l entreprise, c'est-à-dire adaptés à chaque activité de l entreprise. Une entreprise comprenant trois activités distinctes aura ainsi trois déclinaisons de sa politique de sécurité et le plus souvent trois correspondants de sécurité répondant au RSSI ou au DSI. 10. Maintenir la sécurité dans le temps Security Operating Center L acronyme SoC (Security Operating Center) désigne un centre de supervision et d'administration de la sécurité capable de fournir des services de détection et de traitement des incidents de sécurité. Le SoC va notamment réaliser une collecte des traces remontées par les composants de sécurité (exemple : les firewalls), les analyser, identifier les incidents de sécurité et définir les actions à réaliser pour chaque type de problème de sécurité rencontré. Accenture /22

19 Les exigences réglementaires, la nécessité de maîtriser à tout instant la sécurité du système d information ou un besoin de tracer les transactions peuvent conduire à la mise en œuvre d un SoC. Enfin, la nécessité de couvrir des périmètres hétérogènes, complexes ou étendus géographiquement poussent souvent les entreprises à se tourner vers des prestataires capables de traiter cette problématique à moindre coût Conduire soi-même la sécurité Une organisation plus légère peut être montée pour les périmètres les plus simples. Il n en reste pas moins que le cycle R.I.S.C devra être mis en œuvre et suivi dans tous les cas, cette fonction incombant au DSI si l entreprise ne souhaite pas créer de poste de RSSI. Attention toutefois, cette option implique que le DSI passera au minimum de 10 à 25 jours par an à gérer la sécurité. 11. La boîte à outils sécurité Afin de simplifier encore la mise en œuvre du pilotage de la sécurité, une «boîte à outil sécurité» peut être définie. Elle permet le partage d éléments de sécurité informatique simples au sein de l entreprise (au besoin traduits dans l ensemble des langues pertinentes pour l entreprise). Nous avons listé ci-dessous quelques exemples d outils couramment utilisés : Echelles de notation pour le pilotage de la sécurité Cet exemple d échelle montre combien il est facile de sélectionner la «note» correspondant à la situation de l entreprise. Cette notation permettra ensuite d alimenter des indicateurs de maturité de la sécurité. Accenture /22

20 11.2. Indicateurs de pilotage de la sécurité De la même manière, des indicateurs seront choisis de façon à permettre un pilotage «terrain» de la sécurité. L exemple ci-dessous montre 4 indicateurs essentiels au suivi du cycle «R.I.S.C» Code Définition Périodicité Publié par Remarques IS-T-1 Evolution des incidents de sécurité T DSI IS-M-2 Sensibilisation à la sécurité M RH IS-T-3 Audits internes de sécurité T DSI IS-A-4 Tests du PCA A EQUIPE PCA Comparaison du nombre d incidents de sécurité avec la période précédente Pourcentage des collaborateurs sensibilisés à la sécurité sur la période Atteinte ou non du nombre d audits de sécurités fixés par objectif sur la période Atteinte ou non du nombre de tests de PCA fixés par objectif sur la période Tableau de bord de sécurité Enfin, le suivi de l avancement de chaque plan d action sécurité pourra être piloté par des tableaux de bord simples et compréhensibles comme celui cité dans l exemple ci-dessous : Accenture /22

21 12. Conclusion La sécurité informatique doit être comprise par tous les acteurs de l entreprise et pilotée par des instruments de suivi simples à mettre en œuvre. Un outillage technologique permet de simplifier ce pilotage et de réaliser une maîtrise continue des risques informatiques, conduisant à une meilleure maîtrise des coûts. Ainsi, la mise en œuvre d une sécurité intégrée à l IT génère de nombreux bénéfices immédiats et tangibles : réduction des coûts de support, réduction des indisponibilités, meilleur reporting, simplification et meilleure «lisibilité» de l offre IT vis-à-vis des métiers. Les défis posés par l interconnexion massive des environnements, l arrivée du «cloud computing», de nouveaux cadres législatifs (Hadopi 2, Loppsi 2, ) et les besoins grandissants d échanges marchands sur internet exposent les entreprises à de nouveaux risques qu elles se doivent de devancer et de maîtriser. L IT du futur comportera certainement une «Sécurité 2.0», véritable enjeu stratégique, permettant une complète maitrise des risques avec des applications, des systèmes et des utilisateurs totalement virtualisés. Accenture /22

22 A propos d'accenture Accenture est une entreprise internationale de conseil en management, technologies et externalisation. Combinant son expérience, son expertise et ses capacités de recherche et d innovation développées et mises en œuvre auprès des plus grandes organisations du monde sur l ensemble des métiers et secteurs d activités, Accenture aide ses clients - entreprises et administrations - à renforcer leur performance. Avec plus de employés intervenant dans plus de 120 pays, Accenture a généré un chiffre d'affaires de 21,58 milliards de dollars au cours de l'année fiscale clôturée le 31 août Site Internet : Votre contact Emmanuel Gazay Responsable de l offre sécurité et gestion des risques IT France emmanuel.gazay@accenture.com Accenture France Tél. : , avenue de France Paris cedex 13 Copyright 2010 Accenture Tous droits réservés. La marque Accenture, son logo et la signature «High Performance. Delivered.» sont la propriété d'accenture. Accenture /22