Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Transcription

1 Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005

2 Du contrôle permanent à la maîtrise globale des SI Les SI 10 ans après le livre blanc L ère de l Internet et de l entreprise étendue La Gouvernance des SI COBIT et les autres standards de gouvernance des SI (SSI) Le RSSI Acteur majeur de la gouvernance des SI 2

3 Les SI 10 ans après le Livre Blanc Une évolution continue des technologies : Années 1960 : l ère du Mainframe Années 1980 : l ère du PC Années 2000 : l ère de l Internet (Internet, Intranet, Extranet) Une évolution continue des SI bancaires imposée par : Le marché et le métier : - Concentrations (fusions, acquisitions, regroupements de moyens) - Spécialisation et partenariats - Automatisation toujours plus poussée du back, du middle et du front office (réingénierie des processus, refonte des systèmes de distribution, mise en place d ERP, de CRM, de KM, etc.) La réglementation : - Anti Blanchiment - IFRS - Bâle II - 3

4 L ère de l Internet : l entreprise étendue Source : DELL, IBM, SUN, NOKIA 4

5 L ère de l Internet : l entreprise étendue L'espace global Partenaires L'espace d'influence Site Site Fournisseurs Personnel nomade Personnel sédentaire Projet Fonctions Métiers Filiale Clients Actionnaires Institutions Unité d'affaire Site Filiale Distributeurs L'espace local Source : Michel Grundstein, 2002 Concurrents Réseau informel Réseau formel interne Réseau formel externe 5

6 Gouvernance des SI : définition La gouvernance des systèmes d information relève du conseil d administration et de la direction générale Partie intégrale de la gouvernance d entreprise, elle s appuie sur une direction, une organisation et des processus dont l objectif est de faire en sorte que l informatique permette la mise en œuvre et la réalisation de la stratégie et des objectifs de l entreprise 6

7 Les cinq dimensions de la gouvernance des SI 7

8 COBIT : modèle de gouvernance des SI SE1 Gérer la performance des SI SE2 Surveiller le contrôle interne SE3 Superviser la gouvernance des SI SE4 S assurer de la conformité réglementaire Surveiller et Evaluer Objectifs de l entreprise Information efficacité efficience confidentialité intégrité disponibilité conformité fiabilité Ressources Informatiques compétences applications informations infrastructures PO1 Définir un plan informatique stratégique PO2 Définir l architecture de l information PO3 Déterminer l orientation technologique PO4 Définir l organisation et les relations de travail PO5 Gérer l investissement informatique PO6 Faire connaître les buts et les orientations du management PO7 Gérer les ressources humaines PO8 Gérer la qualité PO9 Evaluer les risques PO10 Gérer les projets Planifier et Organiser DS1 Définir et gérer des niveaux de service DS2 Gérer des services tiers DS3 Gérer la performance et la capacité DS4 Assurer un service continu DS5 Assurer la sécurité des systèmes DS6 Identifier et imputer les coûts DS7 Instruire et former les utilisateurs DS8 Assister et conseiller les clients DS9 Gérer la configuration DS10 Gérer les problèmes et les incidents DS11 Gérer les données DS12 Gérer les installations DS13 Gérer l exploitation Distribuer et Supporter Acquérir et Mettre en place AMP1 Trouver des solutions informatiques AMP2 Acquérir des applications et en assurer la maintenance AMP3 Acquérir une infrastructure technologique et en assurer la maintenance AMP4 Développer les procédures et en assurer la maintenance AMP5 Acquérir les ressources des SI AMP6 Gérer les changements AMP7 Installer les systèmes et les valider 8

9 Compléter COBIT : autres standards (1) Planifier et Organiser PO9 Evaluer les risques MEHARI EBIOS CRAMM OCTAVE COSO Enterprise RM FERMA 9

10 Compléter COBIT : autres standards (2) Distribuer et Supporter ITIL (IT Infrastructure Library) Gestion des services informatiques Business perspective Software Asset Management Planning to implement Service Management Service Support Service Delivery ICT* Infrastructure management Service Support : (5 processus et 1 fonction - service desk) - incident management - problem management - configuration management - change management - release management - service desk Service Delivery : (5 processus) - service level management - capacity management - financial management for IT services - availability management - IT service continuity management Application management Security management * ICT = Information Communication Technology 10

11 Compléter COBIT : autres standards (3) Distribuer et Supporter DS5 Assurer la sécurité des systèmes Chapitre ISO : 2005 Nombre de catégories Nombre de contrôles Politique de sécurité 1 2 Organisation de la sécurité de l'information 2 11 Gestion des biens 2 5 Sécurité liée aux ressources humaines 3 9 Sécurité physique et environnementale 2 13 Gestion de l exploitation et des télécommunications Contrôle d'accès 7 25 Acquisition, développement et maintenance des SI 6 16 Gestion des incidents liés à la sécurité 2 5 Gestion du plan de continuité de l'activité 1 5 Conformité

12 Compléter COBIT : autres standards (4) Distribuer et Supporter DS5 Assurer la sécurité des systèmes (suite) Systems Security Engineering - Capability Maturity Model (SSE-CMM V3 2003) 129 bonnes pratiques Security Engineering Process Area PA01 Administer Security Controls PA02 Assess Impact PA03 Assess Security Risk PA04 Assess Threat PA05 Assess Vulnerability PA06 Build Assurance Argument PA07 Coordinate Security PA08 Monitor Security Posture PA12 Ensure Quality Project and Organizational Process Area PA13 Manage Configuration PA14 Manage Project Risk PA15 Monitor and Control Technical Effort PA16 Plan Technical Effort PA17 Define Organization s Systems Engineering Process PA18 Improve Organization s Systems Engineering Process PA19 Manage Product Line Evolution Source : Carnegie Mellon University PA09 Provide Security Input PA10 Specify Security Needs PA11 Verify and Validate Security PA20 Manage Systems Engineering Support Environment PA21 Provide Ongoing Skills and Knowledge PA22 Coordinate with Suppliers ISO :

13 Compléter COBIT : autres standards (5) Distribuer et Supporter DS5 Assurer la sécurité des systèmes (suite) - ISO : Gestion de la sécurité des TI et des communications 1 Concepts et modèles pour la gestion de la sécurité (2004) 2 Gestion des risques de la sécurité des TI (en cours de réécriture) 3 Techniques pour la gestion de la sécurité des TI (1998) 4 Sélection de sauvegardes (2000) 5 Guide pour la sécurité de gestion du réseau (2001) - ISO : Critères d évaluation pour la sécurité TI ( ) 1 Introduction et modèle général 2 Exigences fonctionnelles de sécurité 3 Exigences d assurance de sécurité - ISO : Gestion d incidents de sécurité de l information (2004) - 13

14 Compléter COBIT : autres standards (6) Surveiller et Evaluer ERSI-CAP : dispositif permanent de contrôle interne ERSI-CAP, c est : un référentiel compilant les bonnes pratiques Référentiel (CRBF , 01, ERSI, COBIT, ISO 17799, MARION, ) Source : Jean-Claude Hillion un progiciel fonctionnant en mode intranet Suivi des plans d actions Initialisation et mise en place de l organisation Reporting Référentiel Analyse de risques Plans d actions Mise à jour du référentiel Evaluation 14

15 Le RSSI : acteur majeur de la gouvernance des SI «Sa mission première est de définir la politique de sécurité du SI et de veiller à son application» (CIGREF Nomenclature 2005) Élément clé de la maîtrise du risque, cette politique repose principalement sur l identification et l évaluation des risques du SI «Il assure un rôle de conseil, d assistance, d information, de formation et d alerte il est l interface reconnue pour les problématiques de sécurité de tout ou partie du SI» (CIGREF) Interlocuteur privilégié de la direction des SI, des métiers, de la direction des risques, de l audit, du responsable du PCA, du responsable de la conformité, du responsable des assurances, etc. «Il effectue un travail de veille technologique et réglementaire sur son domaine et propose les évolutions qu il juge nécessaires» (CIGREF) Au-delà du contrôle permanent, il a un rôle proactif dans la gouvernance des SI 15