Gouvernance de la sécurité des systèmes d information

Transcription

1 Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév Acadys - all rights reserved

2 PRÉSENTATION DU CABINET IT6 L Essentiel de Management des Systémes d Information

3 Nos pôles de compétences IT6 Academy IT6 Consulting IT6 Solutions 3 3

4 Nos domaines de compétences 4 4

5 Pôle Consulting SI Audit de la sécurité des systèmes d information Audit technique, test d intrusion interne et externe ISO 2700x CEH MEHARI, Assistance à la maîtrise d ouvrage dans les projets d intégration et de choix de solutions Pôle Consulting Elaboration du schéma directeur informatique Accompagnement à la mise en place d un système de management de la sécurité de l information (SMSI) ISO Assistance à la mise en place du Help Desk, SLAs (ITIL) La mise en place d un PMO Plan de continuité d activité des organisations (PCA) 5 5

6 Pôle Academy Notre structure organise des formations et des séminaires dont les thèmes sont d'actualité. Ces formations et séminaires sont animés par des experts nationaux et internationaux. Tendances Management et Gouvernance Gestion de la performance Les ERP métier Audit des SI : COBIT Tableaux de bord : BSC Management de projets: PMP Gestion des services informatiques: ITIL Audit des systèmes d Information: CISA Tendances Technologies La sécurité des systèmes d information: ISO Gouvernance des systèmes d information Schémas directeurs Formation RSSI Formation techniques sur la sécurité informatique Management des services ISO

7 Dimension Internationale Interventions à l internationale France Suisse Maroc Mauritanie Côte d ivoire Niger Gabon Togo Benin Djibouti 7 7

8 2003 Acadys - all rights reserved Gouvernance de la sécurité des systèmes d information

9 Importance des SI Citoyens CLIENTS EN INTENE Partenaires: Départements ministériels, banques, SI Organismes Parties prenantes Fournisseurs 9 9

10 Pensée Aujourd hui, la concurrence n est plus industrielle mais informationnelle Robert Kaplan 10

11 Les 5 piliers de la Gouvernance SI Aujourd hui, la gouvernance SI telle que définie par l ITGI et l ISACA se résume aux 5 problématiques suivantes : Alignement stratégique Création de Valeur Gestion du risque Mesure de performance Gestion des ressources 11

12 Référentiels ISO PMBoK 12

13 13

14 COBIT 5: un cadre business complet pour la gouvernance des IT HISTORIQUE Evolution du champ d application Governance pour les enterprises IT Governance IT Management Control Audit COBIT1 COBIT2 COBIT3 Val IT 2.0 (2008) Risk IT (2009) COBIT4.0/4.1 COBIT /

15 COBIT 5 COBIT 5 a pour objectifs d aider les entreprises à optimiser la création de la valeur à travers les SI en assurant une gestion adéquate des risques liés aux SI COBIT 5 permet que les systèmes d information et les technologies qui les supportent soient gouvernés et gérés selon une démarche d amélioration continue, tout en préservant une vision globale du business et en servant les intérêts des parties prenantes internes et externes de l entreprises COBIT 5 propose des leviers et des principes génériques qui sont utiles pour toute entreprises indépendamment de sa taille, son secteur d activité, et de son système d information ISACA. All rights reserved. 15

16 16

17 Les Principes COBIT 5 Répondre aux besoins des parties prenantes Séparation des activités de la gouvernance et du management Principes COBIT 5 Couvrir les besoins de l entreprise de manière globale et complète favoriser une approche globale et continue Utiliser un seul framework intégré 17

18 18

19 Gouvernance de la sécurité SI A travers COBIT 5, ISACA définit la gouvernance de la sécurité SI comme une activité qui doit assurer: La Confidentialité: tous les éléments liés au secret et seules les personnes habilitées peuvent accéder aux informations stockées, L Intégrité: tous les éléments capables de corrompre le contenu des données, La Disponibilité: tous les éléments susceptibles d'interrompre la production : pannes informatiques, électriques ou de télécommunications, 19

20 COBIT 5 pour la sécurité SI Orientations, guidelines et benifices Principes (Objectifs) Leviers Intégrer d autres standards ISACA. All rights reserved. 20

21 Guidelines et Orientations de COBIT 5 pour la sécurité SI Prendre en compte le contexte de l entreprise et les attentes des parties prenantes Gestion des risques Garder le risque à un niveau acceptable. Assurer la disponibilité du système et des services. Etre en conformité avec les lois et réglementations. S aligner avec d autres référentiels et standards ISACA. All rights reserved. 21

22 Bénéfices attendues à travers COBIT 5 Augmenter la satisfaction des parties prenantes vis à vis la sécurité SI Assurer la prise en compte de la sécurité SI comme préoccupation vivante de l entreprise (Stratégie, Conception, Mise en œuvre, Exploitation et Amélioration) Sensibiliser sur les risques SI et améliorer la prise de décision (annulation, réduction, transfert et acceptantce) Améliorer la prévention, la détection et la reprise Réduire l impact des incidents de sécurité SI Gérer la sécurité SI en considérant la balance coût / impact Assurer une meilleure compréhension des enjeux de la sécurité SI (Ex: Internes / Externes) ISACA. All rights reserved. 22

23 Sécurité SI: Les leviers de COBIT 5 COBIT 5 propose 5 leviers importants pour assurer une bonne gouvernance de la sécurité SI Principes (objectifs), politiques, chartres et procédures Processus Structure organisationnelle Culture, éthique et comportements Ressources humaines et compétences ISACA. All rights reserved. 23

24 Principes de la sécurité SI (ISACA, ISF et ISC2) Support er le business Défendre le business Promouvoir un comportement Responsable Se concentrer sur le business Fournir une qualité et une valeur ajoutée aux parties prenantes Adopter une méthode d analyse de risque Protéger les actifs informationnels Prendre en compte L éthique Prendre en compte la culture Etre conforme aux lois et règlementations en vigueur Mesurer la performance du processus de sécurité Evaluer les vulnérabilités actuelles et futures Une amélioration contuinue de la sécurité SI Se concentrer sur le business et applications critiques Intégrer la sécurité dans les phases de développement 24

25 Levier: Principes, Politiques et procédures Principes Politiques Mandatory Information Security Standards, Frameworks and Politiques spécifiques Procédures Generic Information Security Standards, Models Documentation 25

26 Politiques de la sécurité SI Les politiques de sécurité SI inclut: la gestion des accès Le volet RH Gestion des incidents Gestion des actifs informationnels COBIT 5 propose les champs suivant pour chaque politique: Périmètre Validité Les objectifs On peut à ce niveau combiner avec la ISO (plus précis) 26

27 Levier: Processus de la sécurité SI Source: COBIT 5 for Information Security, figure ISACA 27 All rights reserved ISACA. All rights reserved. 27

28 Levier: Structure organisationnelle Pour COBIT 5 l amélioration de la sécurité SI passe la mise en place d une structure organisationnelle (RSSI ) : Fait partie de l organisation et rattaché à la DG En tant que manager du processus sécurité SI, il fait appliquer les exigences en termes de sécurité, ces exigences sont traduites en documents d objectifs, politiques, règles et procédures Produit les rapports sur les incidents de sécurité Assure la mise à jour des informations de sécurité pour tous les actifs informationnels Assure les études de risque sur la sécurité SI A un rôle transverse mais n a pas forcément une autorité hiérarchique Doit être associé à la gestion des changements Le RSSI doit être supporté par un CSSI et des CLSI 28

29 Levier: Culture, Ethics et comportements Prise en compte de la culture et des comportements, Exemple : Le système de valeur au sein de l organisation Adhésion des utilisateurs aux règles de la sécurité SI Le niveau hiérarchique de prise en compte de la sécurité SI (Top management, responsables, utilisateurs, DSI, ) La sensibilisation des utilisateurs La capacité à intégré des bonnes pratiques (gestion de changement) Leadership au sein de l organisation La capacité d agir en cas d incidents (réactivité puis proactive) 29

30 Levier: Ressources humaines Pour une gestion efficace et efficient de la sécurité SI, COBIT 5 recommande de développer au sein de l entreprise les compétences suivantes: Gouvernance de la sécurité SI Gestion des risques SI Gestion opérationnelle et technique de la sécurité SI 30

31 31

32 32

33 Mise en oeuvre de la sécurité SI Pour COBIT 5 le mise en œuvre de la sécurité SI dépend de plusieurs facteurs liés à l environnement de l entreprise: La culture et éthique Les lois et réglementation en vigueurs L existent en termes de procédures et bonne pratiques Le niveau des compétences disponibles Business plan et les intentions stratégiques Le style de management L appétit aux risques COBIT 5 ne propose pas de démarche précise de mise en œuvre effective de la sécurité SI 33

34 34

35 Démarche de mise en œuvre: GlobaLSecuR Parties prenantes Principes, Objectifs et politique de la sécurité d information Evaluation de la sécurité physique et environnement Analyse des risques MEHARI Evaluation Technique Evaluation Organisationnelle ISO27002 Portefeuille Projets Priorisation des projets Portefeuille de projets prioritisé SecuR Indicateurs SSI 35

36 Dix facteurs clés de sucées 1. L audit est un très bon point de départ: il faut en profiter pour lancer le cycle PDCA 2. La politique de sécurité SI est un levier important: ne pas chercher le document mais privilégier une démarche 3. Tout ce qu'est mesurable est améliorable: il faut mettre en place des indicateurs et des tableaux de bord pour mesurer la sécurité SI 4. La gestion des risques n es pas un projet informatique: responsabiliser les métiers 5. Les tests d intrusion sont importants pour sensibiliser les parties prenantes et accélérer la mise ne œuvre du processus sécurité SI 6. Le RSSI est un élément clé: il faut «le trouver» et le rattacher au plus haut niveau 7. Les référentiels vont vous aider: mais il faut toujours contextualiser et adapter 8. Le top management est sensible aux lois et réglementations: il faut en profiter pour l impliquer 9. Ça va tellement vite: penser toujours à la formation (gouvernance, management, technique, ) et à l assistance externe 10. L ANSI est un vrai levier de réussite pour améliorer la sécurité SI dans le pays, il a un grand rôle à jouer, elle peut vous aider 36

37 L Essentiel de Management des Systémes d Information Merci de votre attention 37