La petite histoire d un gros programme de cybersécurité

Transcription

1 La petite histoire d un gros programme de cybersécurité Éric G. Hébert, CISM, CISSP Consultant Directeur du programme cybersécurité, Banque Nationale Présentation au CQSI, 20 Octobre 2015

2 LA NAISSANCE 2

3 IL ÉTAIT UNE FOIS, UN ORGANISME RÉGLEMENTAIRE

4 6 VOLETS Organisation et ressources Évaluation du cyber-risque et du contrôle Connaissance situationnelle Gestion du risque de menace et de vulnérabilité Gestion des incidents liés à la cybersécurité Gouvernance de la cybersécurité - 4 -

5 89 REQUIS!!! *IFF = Institution Financière Fédérale

6 ON FAIT QUOI? Malheureusement, on a perdu le napkin original - 6 -

7 PREMIÈRES QUESTIONS EXISTENTIELLES Comment s assurer que nos choix sont en lien avec les requis Comment être sûr que nous avons la capacité de tout livrer Combien ça va couter (±100%) Combien de temps ça va prendre Comment gérer tout ça de façon optimale et réaliste 7

8 L ENFANCE 6 MOIS) 8

9 LES PREMIERS PAS Maintenant que nous savons quoi faire, vient le défi du comment : Identifier les sources de financement Trouver les bonnes ressources (tout un défi) Ne pas oublier des bureaux Séquencer les projets, commencer à structurer un programme S arrimer aux façons de faire de l entreprise Apprendre comment fonctionnent les projets dans l entreprise Communiquer, Communiquer, Communiquer Faire la montée en charge 9

10 BON BIEN TANT QU A FAIRE UN PROGRAMME,.. 10

11 DONC 11

12 LEÇONS APPRISES, ENFANCE Le plus grand défi de cette période est de prendre le contrôle et structurer l ensemble. Il faut arrimer les projets en cours Il faut commencer à établir prendre des décisions en fonction d une vision et d une cible globale Il faut commencer à structurer une reddition formelle Phase pourtant la plus critique La façon dont l évolution se déroule à ce stade fixe les attentes pour la suite 12

13 LEÇONS APPRISES, ENFANCE C est le temps d aller chercher les meilleurs, de monter vos équipes C est aussi le temps d ajuster les évaluations (± 50%) Il vous reste encore de la marge de manœuvre, mais faites-y attention Vous savez aussi que vous avez intérêt à vous organiser C est le temps de montrer des premiers quick wins C est le temps de monter un roadshow Communiquer communiquer communiquer 13

14 L ADOLESCENCE 9 MOIS) 14

15 EXTRAIT D UNE RENCONTRE D ÉQUIPE Administratif: Changement de fréquence de cette rencontre: de bi-mensuelle à mensuelle. Manque de ressources (techniques surtout) Connaissez-vous un bon PCO? Ne pas retarder les déploiements (escalader, exemple : URL et Fw- HEB) Bien terminer les projets (Opérationnalisation) Important dans un contexte de vérif. Avec du recul: Manque d organisation Accent sur l opérationnel et les projets (vs stratégique et tactique) Pas de gouvernance Pas d emphase sur les éléments programme

16 ON COMMENCE À S OCCUPER DE LA REDDITION 16

17 CONSTATS SUR CETTE PHASE On arrête de gérer des projets, on commence à gérer un programme On définit officiellement la gouvernance et on optimise la reddition On a maintenant un peu d expérience avec la haute direction, on prend un certain recul et on ajuste Communiquer communiquer communiquer 17

18 ÉVOLUTION

19 Infrastructures de sécurité Cybermenaces IAM Pl.action Calendrier: Initiatives de sécurité Q Q Q Q Q Q Q Q FEB MAR APR MAY JUN JUL AUG SEP OCT NOV DEC JAN FEB MAR APR MAY JUN JUL AUG SEP OCT NOV DEC JAN OFSI Coordination Application Security Access Access DDOS1 DDOS2 DLP IDS/IPS DLP 2 Decommission Admin rights Consultant PC s SIEM (Security Incident and Event Monitoring) APT Vulnerability Scan NAC Wi-Fi PKI (servers) Décom Firewall DDOS Test DLP 19

20 LEÇONS APPRISES À ce moment, vous devez être en contrôle et savoir ou vous vous en allez. Sinon, cherchez-vous un autre emploi! De surcroit, vous avez intérêt à maitriser cette phase. Sinon, inutile de passer à ma suivante. Communiquer communiquer communiquer Vous vous ferez reprocher de ne pas assez communiquer 20

21 L AGE ADULTE 20 MOIS +) 21

22 UN PEU PLUS FACILE Le programme est maintenant structuré La gouvernance est en place Les suivis sont bien implantés La reddition est rodée Les projets roulent bien Plusieurs sont livrés ou bien en voie de l être Les équipes sont motivées et connaissent les façons de faire du programme L équipe livre les résultats attendus Une certaine routine commence à s installer 22

23 23

24 ATTENTION À ce stade, il faut garder un œil sur la motivation et le rythme Sans égard à cette dernière, il faut faire attention aux relâchements: Entraine des délais supplémentaires Entraine des couts supplémentaires C est facile de moins communiquer 24

25 TOUTE UNE GESTION FORMELLE Révision utilisation des ressources (capacity planning) hebdo Révision financière (hebdo) Conciliation financière (mensuel) Statut des projets (hebdo) Statut financier (mensuel) Suivis projets (hebdo) Rencontres d équipe (mensuel) Comité exécutif programme (mensuel) Reddition à la haute direction (bimensuel) Et j en passe 25

26 DEVINEZ-QUOI! On va vous surveiller plus étroitement pour vous aider (et c est OK) On va vous auditer (ça, c est plate ;-) 26

27 POURQUOI CA A RÉUSSI - STRATÉGIQUE Appui indéfectible de la très haute direction Priorité d entreprise (et communiquée) La confiance y a été développée et entretenue Ramener/présenter les informations au bon niveau et de la bonne façon Leur faire prendre les décisions qui leur reviennent Soutien et participation impliquée des exécutifs Beaucoup de marge de manœuvre Les budgets requis sont au rendez-vous Communiquer communiquer communiquer 27

28 DIFFICILE DE DEMANDER MIEUX Un risque financier qualifié de «systémique» implique qu'il existe une probabilité non négligeable de dysfonctionnement tout à fait majeur, c'est-à-dire une grave dégradation - sinon paralysie - de l'ensemble du système financier : sur la totalité d'une filière économique, sur une vaste zone géographique, voire à l'échelon planétaire. Par le biais des engagements croisés, des effets-dominos, puis des faillites en chaîne, cela peut conduire à un effondrement du système financier mondial. 28

29 POURQUOI CA A RÉUSSI - TACTIQUE Confiance de et envers l équipe de livraison Implication de la gestion du changement et des parties prenantes Régler les problèmes au fur et à mesure Prendre des décisions rapidement (faire des calls) a aidé à ne pas ralentir les projets et ne pas saper le moral Rien n est pire qu un projet qui n avance pas! Savoir comment et pourquoi dire non Communiquer communiquer communiquer 29

30 POURQUOI CA A RÉUSSI - OPÉRATIONNEL Communication serrée avec les équipes d exploitation Rencontres pour expliquer les impacts projets aux parties prenantes opérationnelles À l écoute des besoins, tout au long et pas seulement à la fin Formation lorsque requis Utilisation de ressources opérationnelles prêtées dans les projets Ne pas hésiter à aller chercher de l expertise externe, lorsqu appropriée Transfert de connaissances systématique Communiquer communiquer communiquer 30

31 POURQUOI CA A RÉUSSI Les 5 règles Pas de surprises Gros bon sens Escalader les bonnes choses aux bons moments Avoir du fun GSD 31

32 QU EST CE QU ON POURRAIT FAIRE MIEUX Documenter plus, documenter mieux Mieux opérationnaliser Communiquer communiquer communiquer Quelques mots sur les portées 32

33 EN CHIFFRES 6 chargés de projets temps plein 1.5 PCO Plus de 30 personnes temps plein au programme Plus de 60 contributeurs temps partiel Plusieurs dizaines de M$ Programme de 3 ans 38 projets au total (variable) 21 complétés 9 en cours 8 non démarrés 33

34 REPORTING EXÉCUTIF Sommaire exécutif : Initiatives de sécurité (1/4) Projet Date due* % Var Statut Commentaires BSIF Projet 1 Q % +2% - Commentaires de haut niveau, principalement des faits saillants de la dernière période et éléments à venir 34

35 ROADMAP COMPLET (1 DE 2) Planification initiale En planification) Dépassement Q Q Q Q Q Q Q Q Q Q Q INITIATIVES Coordination BSIF Sécurité Applicative BSIF X X Protection DDOS1 Protection DDOS2 DLP Entreprise BSIF BSIF BSIF Complété Complété Complété X Complété IPS-IDS DLP XYZ X X SIEM APT Detection BSIF BSIF BSIF BSIF Complété Complété Complété Vulnerability Scan NAC BSIF BSIF Complété X Complété X Complété X Complété X 35 X

36 ROADMAP COMPLET (2 DE 2) Planification initiale En planification) Dépassement Q Q Q Q Q Q Q Q Q Q Q INITIATIVES X Tests DDOS 2015 X X X X X PROJETS 2016 BSIF Complété Complété Complété Complét NAC Pt2 XYZ Réseau serveurs critiques Remédiations DDOS X X X Tests DDOS 2016 BSIF BSIF BSIF BSIF En En Planification Planification 0% 0% En En Planification Planification 0% 0% En En Planification Planification 0% 0% En En Planification Planification 0% 0% En En Planification Planification 0% 0% En En Planification Planification 0% 0% En En Planification Planification 0% 0% 0% 0% 36

37 NIVEAUX DE RISQUES Q2 status STRATEGIC ACTION PLANS Description Q Q Q Q Q Q Q Q Q Q Q Q INTERNAL FRAUD RISK Expected Status Achieved Status Investment Actual cumulative Investment Yearly expected Projects DLP-1 FW Checkpt Access mngnt DLP-2 EXTERNAL FRAUD RISK Expected Status Achieved Status Investment Actual cumulative Investment Yearly expected Projects DDOS2 SIEM ph1 SIEM ph2 ACHIEVEMENT GRADE

38 LA VIEILLESSE

39 CE QUI S EN VIENT Le rythme effréné commence à ralentir On commence à faire le bilan Gestion des départs Diminution de l intérêt Toute bonne chose à une fin

40 PÉRIODE OU L ON SE REMÉMORE NOS BONS SOUVENIRS 40

41 41

42 TESTS DDOS

43 POST-MORTEM

44 RENDU ICI, Au-delà du contexte, de l organisation, de l argent, du risque et toutes les autres choses qui animent le quotidien Au-delà de la gouvernance, de la structure, de la reddition, de l équipe de la gestion de projet et de la gestion financière, En fin de compte, le succès repose sur des personnes et sur la capacité d entrer en relation avec ces dernières. Donc

45 PRINCIPES DE BASE 45

46 LA GESTION DES RELATIONS Auprès des individus Leur faire confiance Les écouter Ne les pas les critiquer Vous intéresser à eux Les respecter non seulement pour ce qu ils vous apportent mais aussi pour qui ils sont Les aider lorsqu ils rencontrent des difficultés

47 LA GESTION DES RELATIONS Auprès des équipes Mériter leur confiance Les écouter Prendre des décisions rapides, mais celles qui vous reviennent! Les supporter lorsqu il y a des difficultés Parler à tous, régulièrement Ne jamais critiquer si les choses ne fonctionnement pas comme vous le voulez Les guider et leur indiquer la destination, pas la route à suivre Leur apprendre la différence entre parfait et good enough

48 LA GESTION DES RELATIONS Auprès des exécutifs Les mettre en confiance Parler leur langage Être CONCIS et savoir se taire Être honnête et intègre avec soi-même Faire la job politique (pre-boarding) Ne pas les confronter de façon directe Se mettre à leur place, ce qui veut dire se projeter dans un rôle plus large pour comprendre leurs préoccupations

49 QUESTIONS?