Adventis. Contrôle de conformité de la politique de sécurité d une entreprise SOX, ISO17799, Bâle II

Transcription

1 Adventis Contrôle de conformité de la politique de sécurité d une entreprise SOX, ISO17799, Bâle II Jeff Primus Senior Business Consultant CISSP 1

2 Agenda Présentation d Adventis Les défis des entreprises Standards, Lois régulatrices, Meilleures pratiques Implémenter la conformité de la politique de sécurité 2

3 Adventis Société de services, de conseil et d intégration dans les domaines de l IT et de la sécurité Siège principal à Pully Principaux Clients Multinationales et grandes entreprises suisses Alliances & Partenariats Altiris, AudioSmartCard, Cisco, Citrix, Compuware, InfoVista, Microsoft, Smarts, Symantec, VMware + 10 ans d activité sur le marché Croissance continue 3

4 Plan-Implement Protect Manage-Optimize Service de consultance, Architecture, Design Gestion de la sécurité SLM & Business Application Monitoring Gestion automatisée de l infrastructure 4

5 Nos références Relations de confiance 5

6 Les défis des entreprises 6

7 Les défis des entreprises PRESSIONS REGLEMENTAIRES + de 40 pays ont adopté de nouvelles législations sur l e-commerce ISO FISMA HIPAA GLBA PATRIOT Bâle II NERC Sarbanes-Oxley Protection des données (directive UE) Confidentialité PRESSIONS OPERATIONNELLES Consolidation de l infrastructure Budgets informatiques Dépendances des constructeurs Complexité informatique Exigences de connectivité Applications et processus professionnels MENACES Vulnérabilités de sécurité Rapidité et complexité des attaques Pannes (composants, systèmes et applications) Sinistres affectant l ensemble du site/catastrophes naturelles 7

8 Les défis des entreprises Gramm-Leach Bliley November 12, 1999 Sarbanes Oxley Act of 2002 June 15, Basel II Accord 2006 Federal Privacy Act (& Ext) 1988 California State Senate Bill July 1, 2003 Health Insurance Portability & Accountability Act April 21, 2005 Small Health Plans April 21, 2006 Nouvelle loi sur la révision EU Data Protection Directive December 11, 2003 EU Privacy & Electronic Communication Directive December 11, 2003 Federal Information Security Management Act July 31, 2004 Signature électronique International USA Australia European Union CH Pre

9 9

10 Mécanisme de régulation à 3 niveaux COSO, COBIT, ISO17799 SOX, BASEL II Gouvernance de la Sécurité IT Alignement Gestion risques Démontrer la valeur Maturité Audit Evaluation des processus IT Actionnaire Management Service Informatique 10

11 Standards, Lois régulatrices, Meilleures pratiques 11

12 Les piliers de la sécurité Schéma d organisation Cadre légal Charte Bonne pratique Intégrité POLITIQUE GENERALE Disponibilité IS017799, COSO, COBIT, Bâle II Conventions Base de référence STANDARDS Actions recommandées Guides utilisateurs GUIDES DE SECURISATION Analyse de risque Procédures de gestion Actions détaillées pour implémenter la politique de sécurité PROCEDURES Processus Meilleures pratiques Rapports d activité Installation Configuration Maintenance Confidentialité 12

13 Sarbanes-Oxley (SOX) POUR QUELLE ENTITE? SOX concerne les sociétés cotées sur les marchés financiers nord américains DECLENCHEURS CxOs Pénalités et sanctions Aide pour la Gouvernance Corporative Opportunité pour améliorer les processus Pourquoi? SOX exige que les directeurs généraux et directeurs financiers (CEO et CFO) engagent leur responsabilité sur la fiabilité des informations Implications Business/IT Obligation légale de l appliquer Exigence d un rapport d évaluation Assurer la transparence des contrôles et leur efficacité Obligation d utiliser un cadre référentiel Garantir l intégrité des données 13

14 Les impacts de SOX sur la sécurité S A R B A N E S - O X L E Y A C T «Temps réel»: Rapport des changements des conditions financières Audits réguliers des contrôles internes par les CEOs & CFOs & auditeurs externes CEOs & CFOs engagent leur responsabilité sur la fiabilité des informations 14

15 COSO : Cadre référentiel pour SOX The process to determine whether internal control is adequately designed, effective, executed & adaptive The process which ensures that relevant information is identified & communicated in a timely manner The policies and procedures to ensure that actions to manage risk are identified, executed & timely The identification and analysis of internal & external risks that impact an organization s objectives Creates foundation for effective control COSO (Committee of the Sponsoring Organization of the Treadway Commission) 15

16 Etapes pour la conformité SOX 8. Document Results 9. Build Sustainability Business Value 1. Plan & Scope 2. Perform Risk Assessment 3. Identify Controls 4. Document Control Design 5. Evaluate Control Design 6. Evaluate Operational Effectiveness 7. Determine Material Weakness SOX Compliance 16

17 Bâle II POUR QUELLE ENTITE? Bâle II concerne les établissements financiers européens DECLENCHEURS CxOs Aide pour la Gouvernance Corporative Gérer les risques Opportunité pour améliorer les processus Pourquoi? Bâle II demande la bonne gestion du risque de crédit, de marché et opérationnel Permet de diminuer la mobilisation de 15% de fonds propres Implications Business/IT Responsabilisation de la direction Impose la séparation des rôles Assurer la gestion des risques Assurer la transparence des contrôles et leur efficacité 17

18 Deux démarches fortement imbriquées SOX Bâle II 1. Comprendre et cartographier les métiers de base 2. Décomposer en processus 3. Lister les applications informatiques postes de travail compétences concernées systèmes de pilotage 4. Obtenir la validation de la direction 18

19 BS / ISO / ISO POUR QUELLE ENTITE? Tous les types d entreprises DECLENCHEURS Aide pour la Gouvernance Corporative Opportunité pour améliorer les processus Volonté de minimiser les risques et protéger les biens Pourquoi? LE standard de sécurité adopté internationalement et qui propose un ensemble des meilleures pratiques Implications Business/IT Assurer la continuité du business Protéger les biens des menaces internes et externes Adoption d une approche proactive Guide pour le management 19

20 Sécurisation du système d information par étapes Que protéger et pourquoi? Liste des biens sensibles De quoi les protéger? Liste des menaces MEHARI ou EBIOS ISO Exemples Quels sont les risques? Comment protéger? Liste des impacts et probabilités Liste des contre-mesures 20

21 BS / ISO / ISO Politique Conformité COBIT PO9 Evaluer les risques COBIT DS5 Assurer la sécurité Organisation Continuité Classification & Contrôle BS ISO Développement & Maintenance Personnes Contrôle d accès Communication & Exploitation Sécurité Physique 21

22 Principe de l amélioration continue : PDCA AGIR & AMELIORER Analyser les axes d amélioration Plan d actions de changements Accompagnement des changements Intégrité STRATEGIE ENTREPRISE Confidentialité Information Disponibilité PLANIFIER Définition de la politique et des directives de sécurité Evaluer les risques Organisation de la sécurité Définition des plans d action Classification des ressources des informations et des processus Contrôle d accès Sécurité physique CONTROLER Conformité Audit Définition des tableaux de bord Contrôle des procédures Data Applications PERSONNEL TECHNOLOGIES INSTALLATIONS DEPLOYER Déploiement des directives Développement et maintenance des systèmes Implémentation d un BCP / DRP Sécurité & Ressources humaines Sensibilisation des utilisateurs Création d une charte utilisateur Mise en conformité avec les lois 22

23 Implémenter la conformité de la politique de sécurité 23

24 Avantages de l implémentation d un cadre de conformité : Intégrité POLITIQUE GENERALE STANDARDS GUIDES DE SECURISATION Disponibilité Aide à améliorer la sécurité par étape, gère les risques d une manière proactive Aide à être aligné avec les lois régulatrices et à intégrer la sécurité dans les processus internes Aide à optimiser la gestion de votre budget informatique Permet des prises de décision plus faciles et argumentées Fournit une historisation permettant de démontrer les progrès réalisés PROCEDURES Confidentialité Vous permet de répondre aux questions : Quel est le niveau de sécurité de mon entreprise? Nos biens sont-ils suffisamment protégés? Quelles sont les priorités sécuritaires? Sommes-nous prêts pour un audit? 24

25 Les défis pour implémenter la politique de sécurité Un grand nombre de systèmes, d applications et de bases de données Environnement hétérogène Manque de ressources Architectures distribuées Multitude de contrôles Mot de passe Paramètres réseau Gestion des droits d accès Gestion d inventaires des applicatifs Problèmes liés aux Systèmes d Opérations (Windows, Unix, Linux ) Conclusion :: Très Très difficile à gérer sans l aide d outils appropriés 25

26 Facteurs clefs de succès Personnes Technologie Processus 26

27 Facteurs clefs de succès Procéder par «cercles concentriques» Intégration avec les différentes technologies et ne perturbant pas le bon fonctionnement de l existant Capacité de corrélation Architecture n-tier Contrôle de la conformité global Gestion de changements Flexibilité pour la mise à jour des politiques et standards utilisés Capacité de démontrer la conformité lors des audits Organiser et faire vivre un suivi régulier des audits 27

28 Monitoring de la conformité de la politique de sécurité Web Server Customers File Servers Partners Database Servers Branch Office Fire wall Groupware Servers Modems Wireless Device Telecommuters 28

29 Architecture 3 niveaux GUI Manager Clients 29

30 Scalabilité GUI 1 GUI 2 Manager Clients 30

31 Structure de domaine HQ Lausanne Geneva Finance New York Berlin Engineering 31

32 Merci pour votre attention Je reste à votre disposition pour toutes questions ultérieures. Pour me contacter : jeff.primus@adventis.ch 32

33 Adventis Contrôle de conformité de la politique de sécurité d une entreprise SOX, ISO17799, Bâle II Jeff Primus Senior Business Consultant CISSP 33