Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org
Agenda Les enjeux liés aux systèmes d information La gestion des risques liés aux SI Les risques liés au SI, la part de la SSI RSSI, ligne métier, missions Articulation avec le contrôle permanent Articulation avec l audit interne. Colloque 2012 des banques centrales francophones 2
ENJEUX LIÉS AU SYSTÈME D INFORMATION
Les enjeux du SI dans le tertiaire Dématérialisation de l argent Dématérialisation de la connaissance information processus Dématérialisation de la relation client Dématérialisation de la mémoire de l entreprise archives et même documents originaux («dématique») Secteur tertiaire : des hommes, des bâtiments et des octets. Colloque 2012 des banques centrales francophones 4
Les enjeux du SI dans le tertiaire Facteur d aggravation chainage de systèmes d information SI à effet systémique hyper réactivité des marchés surmédiatisation, dans certaines circonstances. Des enjeux tels que la SSI mérite une «union sacrée» pour le meilleur usage des compétences dans l évitement du risque systémique. Colloque 2012 des banques centrales francophones 5
LES RISQUES LIÉS AUX SYSTÈMES D INFORMATION
Rappels sur l ensemble des risques liés au SI Risques induits par les systèmes construits pour les métiers défaut de confidentialité, erreurs, indisponibilité, manque d auditabilité, infractions réglementaires, traités par l analyse de risque des projets et l application des politiques de sécurité. Risques induits par les infrastructures informatiques indisponibilité, traité par l analyse de risque au moment de la conception, application des meilleures pratiques de résilience, audits. Risques induits par les activités des informaticiens erreurs, malveillance traité par découpage de l activité en processus normalisés, cartographie des risques, formalisation des procédures, séparation des pouvoirs Colloque 2012 des banques centrales francophones 7
Rappels sur l ensemble des risques liés au SI Risques induits par les bâtiments malveillance liée à des défauts de sécurité physique, accidents (incendie), traités par analyse de risque, adoption des meilleures pratiques, audits. Risques induits par le niveau de performance économique de l informatique et la stratégie défaut d agilité des métiers, excédent de charges, mauvais alignement stratégique traités par benchmarks, consultation des métiers, contrôle budgétaire, gouvernance, consultants extérieurs Risques découlant de l exécution des projets non-conformité des livraisons (carences fonctionnelles), retards méthodologie d exécution de projets, audits, formalisation du pilotage des projets, suivi des projets au niveau requis Colloque 2012 des banques centrales francophones 8
Rappels sur l ensemble des risques liés au SI Risques traités par les RSSIs Risques induits par les systèmes construits pour les métiers Risques induits par les infrastructures informatiques Le périmètre peut varier d un établissement à l autre (nuance fraude vs SSI). Ce qui compte, c est l exhaustivité de la couverture des risques par des branches complémentaires. Colloque 2012 des banques centrales francophones 9
UN ACTEUR CENTRAL, LE RSSI
RSSI RSSI = acteur spécialisé du contrôle permanent pour rappel : Contrôle interne Contrôle périodique Contrôle permanent Niv. Contrôle permanent réalisé par 3 Inspection Générale 2.2 Acteur spécialisé indépendant de l activité considérée 2.1 Management, contrôleur au sein de l activité RSSI 1 Opérateur Colloque 2012 des banques centrales francophones 11
Des missions étendues Définir une cartographie des risques Énoncer les risques auxquels l entreprise est exposé Définir les traitements prioritaires Fixer les règles (politiques de sécurité, notes de procédures, etc.) Animer le dispositif de gouvernance Fournir les méthodes (définition, entretien, formation) Alerter et organiser la mise en place et le suivi de plans d action Définir des plans de contrôle Colloque 2012 des banques centrales francophones 12
Des missions étendues Exercer des contrôles, évaluer les risques Informer les décideurs Conseiller les propriétaires de systèmes d information et les maîtres d œuvre Mener une veille sur les menaces et les parades Animer le processus d analyse de risque Sensibiliser à tous les niveaux de l entreprise Parangonner l entreprise Sponsoriser des projets de sécurité Dans les groupes, animer la ligne métier des RSSI. Colloque 2012 des banques centrales francophones 13
Des missions variables selon les environnements Certains RSSI jouent un rôle opérationnel dans la gestion des habilitations, l exploitation de systèmes de sécurité. En matière de reprise des activités informatiques, le rôle des RSSI est défini de manière très variable d une entreprise à l autre. L allocation précise de cette mission doit être vérifiée. Des missions peuvent être réparties sur différentes personnes ou directions. Ce qui compte est leur exécution. L audit vérifie le fait que les missions sont attribuées, les moyens permettant de les exécuter sont octroyés, les livrables résultant de ces missions existent. Lerattachement du RSSI est secondaire par rapport à ces points. Colloque 2012 des banques centrales francophones 14
QUELLE COMPLÉMENTARITÉ EN MATIÈRE DE CONTRÔLES?
Pourquoi rechercher la complémentarité? Les compétences en SSI sont encore rares, demande une connaissance transverse de l informatique (systèmes d exploitation, réseaux, programmation, pratiques de production, technologies de stockage, de virtualisation) et des notions juridiques, la SSI est assez peu présente dans les cursus des écoles et universités. Les métiers sont excédés par les sollicitations multiples. L efficience concerne aussi le contrôle qui participe à la performance des entreprises. Dans un environnement bien coordonné, à ressources égales, on détecte davantage de choses. Colloque 2012 des banques centrales francophones 16
Audit vs contrôle permanent Le contrôle permanent : forte couverture, certitude moyenne Contrôles nombreux, couverture étendue mais certitude moyenne Colloque 2012 des banques centrales francophones 17
Audit vs contrôle permanent L audit : faible couverture, certitude élevée Périmètre audité réduit Certitude accrue sur zone connexe Colloque 2012 des banques centrales francophones 18
Audit vs contrôle permanent Audits incorrectement répartis Ressources gaspillées Faible certitude sur une grande partie de l univers d audit Colloque 2012 des banques centrales francophones 19
Audit vs contrôle permanent Audits correctement répartis Ressources identiques au cas précédent Réduction de la zone à faible certitude Colloque 2012 des banques centrales francophones 20
Pourquoi rechercher la complémentarité? Le RSSI attendra une bonne répartition des audits soit sur une année, soit sur plusieurs années. - qui seront focalisés sur les sujets à forts enjeux - et s appuieront donc sur des référentiels qui en garantiront l objectivité. Cela demande une concertation préalable, respectueuse des prérogatives de l auditeur. La répétition peut être souhaitable en cas de constats de déficiences majeures. Colloque 2012 des banques centrales francophones 21
Étagement des contrôles, une science pas si simple Le contrôle interne : apporteur d assurance raisonnable, aux dirigeants, sur le bon équilibre entre désir de développement et prises de risques. Un mauvais étagement des contrôles gaspillage de ressources sollicitations multiples des opérationnels sur des sujets identiques : mauvaise acceptation => données de mauvaise qualité. Une logique de consolidation pas d assurance raisonnable le management n aura qu une consolidation de la perception des opérateurs assurant les contrôles de niveau 1! Perte de vue de la finalité des contrôles! Colloque 2012 des banques centrales francophones 22
Quels contrôles de niveau 2.2 (RSSI) Des contrôles originaux, pas des consolidations! Renouer avec le principe d assurance raisonnable se poser la question de la valeur ajoutée du contrôle (finalité), privilégier la qualité des assurances apportées, introduire une rupture. Exemple test d intrusion s affranchit des assurances données par tous les contributeurs à l élaboration d un système (intégrateurs, opérateurs de pare-feux, développeurs, etc), apporte un fort niveau de certitude. mais coûteux. croisements d information utiliser les résultats d un contrôle à d autres fins statistiques du helpdesk sur le nombre de désinfections de postes à confronter aux assurances données par les contrôles de niveau 2.1 alimentés par les consoles de gestion des antivirus Un contrôle de niveau 1 alimente un contrôle de niveau 2.2 pour conforter ou infirmer un contrôle de niveau 2.1! L étagement des contrôles doit être révisé régulièrement car la maturité des opérationnels s accroît (exemple des scans de vulnérabilité). Colloque 2012 des banques centrales francophones 23
Quels contrôles de niveau 2.2 (RSSI) Des contrôles validant les efforts et investissements KPI (Key Performance Indicators) Exemple : combien d attaques bloquées par mon dispositif de filtrage Internet? Des contrôles illustrant le niveau d exposition à des risques significatifs KRI (Key Risk Indicators) Exemple : nombre de systèmes «abrités» ayant été atteints par une tentative d intrusion. Le RSSI attendra, de la part de l audit, des indicateurs des deux catégories car il a besoin de justifier les investissements et niveaux de ressources le R.O.I de la sécurité est un sujet délicat : toute aide est bienvenue. Colloque 2012 des banques centrales francophones 24
Répartition des contrôles Cas d entreprises multiples Dans les groupes, lorsque des services sont rendus entre entreprises, se pose la question de la répartition des contrôles chaque entreprise a son dispositif de contrôle interne, réputé compétent, les clients de l entreprise qui fournit le service ont besoin de garanties (encore les assurances raisonnables), il s agit d apporter cette assurance en utilisant au mieux les compétences disponibles. Le RSSI de l entité faitière conçoit un plan de contrôle réparti. Le responsable des contrôles permanents eut être appelé à en valider la pertinence (répartition). L audit interne ou externe vérifie que, tel que conçu, le plan apporte bien aux «clients» de la prestation les assurances raisonnables cible de l audit, méthodologie employée. Colloque 2012 des banques centrales francophones 25
Répartition des contrôles Cas d entreprises multiples Prestations externes L approche sera similaire en matière de prestations fournies par une entreprise extérieure : Un équilibre est à trouver entre le recours à la compétence des contrôleurs prestataires et la compétence du client. La question est : «qui apporte la garantie d assurance raisonnable?» auditeur tiers? superviseur? tiers sous la supervision du superviseur? Les choses évoluent rapidement dans ce sens. Colloque 2012 des banques centrales francophones 26
RÉFÉRENTIELS D AUDIT
Recours à un référentiel reconnu Garantie d objectivité L audit doit susciter une envie de progresser. L envie de progresser résulte d un sentiment de justice des conclusions de l audit. L objectivité du référentiel employé pour l audit est donc un facteur important d évolution des pratiques. Deux sources de référentiels interne, externe. Colloque 2012 des banques centrales francophones 28
Référentiel interne Textes de gouvernance sur lesquels l audit basera ses vérifications sur la bonne mise en œuvre du dispositif de gouvernance Politiques de sécurité de nombreuses normes sont applicables à l entreprise peu d entre elles sont obligatoires (dépend des pays) elles peuvent être contradictoires elles ne répondent pas toujours à une logique d analyse de risque il reste donc utile qu existe un jeu de règles propres à l entreprise rapportées, autant que possible, aux normes (ISO 270XX, etc) découlant de l analyse de risque ce sont les politiques de sécurité. Politiques de sécurité L audit doit valider la qualité du jeu de politiques de sécurité couverture (dans l absolu ou vis-à-vis des normes), degré d abstraction / précision, applicabilité. Colloque 2012 des banques centrales francophones 29
Référentiel interne Analyse Analyse de de risque Analyse de risque risque Normes Normes Normes Politiques de sécurité Standards Systèmes & organisations Plans de contrôle Audits Colloque 2012 des banques centrales francophones 30
ANALYSE DE RISQUE
Objectif du dispositif de maîtrise de la SSI Que chaque système dispose du juste niveau de résistance aux risques Donc Disponibilité Intégrité Confidentialité Preuve préjudice en cas d occurrence d un risque D I C P facilité d usage, potentiel commercial, coût Colloque 2012 des banques centrales francophones 32
Une démarche : l analyse de risque Quelle que soit la méthode, deux livrables essentiels des mesures à appliquer techniques, organisationnelles, contractuelles, un risque résiduel à faire ratifier par le sponsor du projet (métier). Un enjeu pour le RSSI : une pratique de l analyse de risque, au moins sur les projets à enjeux. Colloque 2012 des banques centrales francophones 33
Une démarche : l analyse de risque Ce que l audit apporte : vérification de l existence d une méthode l existence de conditions d applications du degré d application de la ratification effective du risque résiduel, au bon niveau de responsabilité de l application réelle des mesures (en conformité avec le calendrier fixé). Audit des projets à l aune de l analyse de risque, pas d un absolu théorique sinon : décrédibilisation de la démarche d analyse de risque, porteuse de progrès sécuritaire des entreprises, un projet sans analyse de risque est bien plus préjudiciable qu un projet analysé et comportant un risque connu et accepté. Colloque 2012 des banques centrales francophones 34
CONSTITUTION DES PLANS
Constitution de plans L une des missions du RSSI Le RSSI produit un plan annuel Constats du contrôle permanent Constats du contrôle périodique Application de la politique de sécurité Nouvelles menaces Incidents Plan annuel Colloque 2012 des banques centrales francophones 36
L audit au service du plan Le plan d action SSI n est pas le fruit du hasard : il résulte de diverses influences. L audit doit s assurer de l existence d un plan, régulièrement révisé, du rationnel qui a régi la définition du plan, de la bonne exécution du plan. Du point de vue du RSSI il est préférable que l audit renvoie au plan, plutôt que s y substituer. Ainsi, l audit renforce la cohérence plutôt que favoriser la dispersion. Colloque 2012 des banques centrales francophones 37
CONCLUSION
Conclusion Le contrôle périodique amène des certitudes sur une zone restreinte de l univers d audit Le contrôle permanent amène une connaissance moins certaine sur un large périmètre L un compense les faiblesses de l autre : 1+1=3 En période contrainte, il faut rechercher les synergies entre niveaux de contrôle pour mieux utiliser l expertise côté contrôle pour mieux focaliser les efforts côté contrôlé. La concertation ne remet pas en cause la primauté de l audit. Le RSSI, est, lui-même, assujetti au contrôle mais, en tant qu acteur du contrôle permanent, il a besoin du renfort de l audit. Colloque 2012 des banques centrales francophones 39
Conclusion L audit, sans dériver vers le laxisme, doit rester incitatif. reconnaître les points positifs porter les jugements négatifs sur la base de références objectives internes : politiques de sécurité, textes de gouvernance externes : normes reconnues et méthodes d audit, pratiques observées sur la Place. L idée est de constituer un éco-système de contrôle qui ne soit pas antinomique de la performance de l entreprise. Le contrôle interne peut alors devenir un instrument de pilotage. Colloque 2012 des banques centrales francophones 40