Nouveaux enjeux, Risque en évolution : omment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services Sylvain Defix Senior Solutions Manager 2 juin 2015 1
Airport BBI Ouverture prévisionnelle : Oct 2011 Actuellement: ~ 2017 oût prévisionnels : 1.7 Md Révision: 5.3 Mrd Raison: Inconformité sur la législation protection incendies 2 juin 2015 2
Pont existant depuis 15 ans Le pont est solide et sécurisé L absence de route n aide pas à son utilisation Pas de planification globale 2 juin 2015 3
Objectif irréaliste? 2 juin 2015 4
Il n existe pas de solution unique convenant à tous! 2 juin 2015 5
Surestimer vos risques 2 juin 2015 6
Surestimer vos capacités de défense 2 juin 2015 7
e qui a mal tourné? Défaut de conformité Sécurité IT: PI-DSS, FDA 21 FR Part 11, National data protection laws, Planning irréaliste Sécurité IT: Timing, budget, Isolated planning Sécurité IT: DLP sans NA Solution adaptée à vos besoins Sécurité IT: mauvais dimensionnement Not knowing your risks Sécurité IT: Défaut dans la gestion des risques 2 juin 2015 8
onstruire un Plan Stratégique En tant que DSI/RSSI vous avez besoin d un plan qui: Se base sur votre profil de risque et votre sensibilité aux risques Est adapté à la taille de votre organisation Est réaliste ouvre l intégralité de votre activité métier Est conforme avec les standards de l industrie et le contexte législatif local/ international Est soutenu par l équipe de direction 2 juin 2015 9
La sécurité IT, bien plus que de la technologie 2 juin 2015 10
Global Enterprise Methodology Notre approche pour évaluer, améliorer et gérer votre sécurité de l information Développé par NTT om Security y ohérente et consistante globalement Strategy Management Operations Governance Risk & ompliance Enterprise Security Architecture Security Operations 2 juin 2015 11
Risk Management WideAngle Global Enterprise Methodology Risk Remediation Project & Service Management Risk Insight Risk Insight: The base to your information security Risk Insight Express Risk Insight Enterprise Risk Insight M&A Risk Insight Incident Risk Insight Focus on: loud Big Data Industry 4.0 e-business Risk Insight Offsec Enterprise Security Architecture Secure Infrastructure Technical Design Implementation Documentation Secure Data Secure Applications Secure Identity Secure Device Secure Operations Operational Services GR MSS Outtasking SaaS Support Governance Risk ompliance Awareness BM 2 juin 2015 12
Aperçu Risk Insight Une prestation de service intelligente basée sur 100aine d évaluation d organisations europénnes, asiatiques et américaines Notre expérience issue de plus de 6000 engagements de conseil Nos recherches (en propre ou issu de tierces parties) L expertise et la connaissance de la plus large communauté sécurité au monde Une analyse de vos initiatives métiers stratégiques et vos risques IT propres Le développement d un plan de transformation qui répond à vos attentes et votre contexte Aligne les résultats sur les standards et normes en vigueur de gestion de l IT et de la sécurité 2 juin 2015 13
Risk Insight Séquencement des activités Lancement Revue de la base documentaire existante Politiques Guidelines Documents Techniques Réunions de travail GR Infrastructure Données Applications Identité Equipements Opérations Synthèse, réation d u profil de risque & Recommendations Restitution 2 juin 2015 14
Revue documentaire et réunions de travail GR Infrastructure Données Applications Identité Device Opérations Politiques, Guidelines, Sensibilisation, Firewalls, IPS/IDS, VPN, RAS, Mail, Web, LAN/WAN, Datacenter, Données structurées ou non, classification, chiffrement, Annuaire, Groupware, ERP/RM, développement, Provisioning/deprovisioning des utilisateurs, authentification, hiffrement, Firewall perso., AV, sauvegarde, Gestion des logs, supervision, gestion des correctifs, processus, 2 juin 2015 15
Risk Insight Les Résultats Revue des vulnérabilités potentielles Liste des contrôles de sécurité Synthèse et priorisation des contrôles Présentation des risques résiduels Benchmark avec vos concurrents (avant et après l implémentation des contrôles recommendés) Recommendation concernant l implémentation des contrôles de sécurité (incluant dépendance time/budget planning and dependencies 2 juin 2015 16
Remote User 08 Laptop Internet ustomer Smartphone Laptop 14 Remote Service Provider Employee Service Provider ustomer Smartphone A 05 Public loud Service 2 A 03 A 08 T 03 Public loud 12 Internet I 04 06 MPLS Router Firewall Boutiques (POS) A 01 10 Boutique User Laptop I 01 Public loud Service 1 11 Router Firewall Regional HQ / Manufacturing Sites I 07 15 A 07 Laptop User I 06 I 02 Eroom (document sharing tool) 05 16 Storage Media 09 Application Server Proxy DMZ A 02 Firewall Router Flat Network (LAN) 02 Access Point I 05 Laptop 01 External User 07 T 02 03 Laptop User A 04 I 08 05 A 06 I 03 13 T 04 T 01 Laptop Admin Smart Phone Security Admin Server HR RM SAP DHP / DNS / LDAP / TAAS / R.POS (User) AD Server Mailserver (Re-Insourced) Application Server Database Server 04 Printer 2 juin 2015 17
Effectiveness Risk Insight Exemple de livrable: Priorisation Relative ost Year 1 Years 2-3 Years 4-5 14 12 10 8 omms and Ops Security Access ontrol Asset Management Organisation of Information Security Human Resources Security Priority of Implementation Information Security Risk Management Business ontinuity Management Information Systems 4 Acquisition, Development and ontrol 6 2 Information Security Policy ompliance Physical and Environmental Security Information Security Incident Management 0-3 -2-1 0 1 2 3 2 juin 2015 18
Risk Insight Example de livrable: Benchmark lient urrent Typical ompetitor lient Target Industry Leader Risk Exposure 1 2 3 4 5 Information Security Risk Management Information Security Policy Organisation of Information Security Asset Management Human Resources Security Physical and Environmental Security ommunications and Operations Security Access ontrol Information Systems (Acquisition, Development & Maintenance) Information Security Incident Management Business ontinuity Management ompliance 2 juin 2015 19
Risk Insight oût fixe et délais maîtrisés 8 days Document review Kickoff 1 day 15 days Delivery of documents Kickoff Workshops 10 days Workshops finished reation risk profile and recommendations 5 days Draft risk profile Review Phase 1 day Presentation Risk profile & Recommendations Start implementations Week1 2 3 4 5 6 7 2 juin 2015 20
Risk Insight: Les fondations de votre sécurité de l information Evaluation de votre posture sécurité Présentation de vos risques IT Benchmarking avec vos concurrents Un programme clair et compréhensible Une méthodologie consistante et globale Une base pour une approche programmatique fiable et soutenue par votre management 2 juin 2015 21
Merci Patrick Schraut Tel.: +49 (172) 827 8068 Email: Patrick.Schraut@NTTomSecurity.com