<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain
La GRC en période de croissance Gouvernance Gestion des risques GRC Conformité
La GRC en temps de crise Transversalité impossible Approche financière : provisionner les risques Gouvernance Gestion des risques GRC Conformité Réussir à passer l audit au plus bas coût
En temps de crise, les objectifs sont simples Optimiser / Rationaliser les moyens (de sécurité) Piloter au plus juste / réagir en temps réel Réduire les coûts opérationnels Se focaliser sur les priorités («Must Have») Gouvernance Gestion des risques Dans ce contexte, existe-il encore des opportunités stratégiques pour les RSSI? GRC Conformité Autour d un projet fédérateur Qui démontrent de la valeur pour le Métier Qui préparent l avenir (pour les jours meilleurs) Dans un budget contraint Gestion des Gouvernance risques GRC Conformité Gouvernance Gestion des risques GRC Gouvernance Gestion des risques GRC Conformité Conformité
Trois propositions d opportunités Gestion des Gouvernance risques GRC Conformité Appliquer les outils du Décisionnel / BI à la gestion de la sécurité Gestion des Gouvernance risques GRC Du Contrôle d Accès piloté par les risques Conformité Gestion des Gouvernance risques GRC Conformité Factoriser pour réduire les coûts de développement : mise en place d un Framework de gestion centralisée de la sécurité
Du décisionnel pour la sécurité
Pourquoi du décisionnel? Corréler les événements / traces d activité Exemple : habilitation provisionnement contrôle d accès Constitution d un entrepôt de données de sécurité (Identity Analytics / Identity Warehouse / Identity Mining) Publier de l information «haut niveau» Indicateurs, tableaux de bord À destination de la sécurité, de l IT, du Métier Pilotage de l activité du RSSI Consolidation et restitution en temps réel Permet d optimiser les moyens de sécurité mis en œuvre par rapport aux objectifs fixés
1 Un reporting Sécurité unifié Avec Oracle BI Publisher Extraction de données 2 Création du modèle par un utilisateur Métier 3 Génération au format 4 Envoi attendu Oracle Identity Mgmt Oracle BI Publisher PDF RTF E-mail Oracle GRC Systems Rapports pré-configurés Créer/Modifier des rapports via outils Web / Office HTML Excel Imprimante Oracle Database Security Options Publier les rapports d audit Planifier et produire les rapports XML EDI EFT Fax Office Adobe Web Stockage
1 Un reporting Sécurité unifié Avec Oracle BI Publisher Extraction de données 2 Création du modèle par un utilisateur Métier 3 Génération au format 4 Envoi attendu Oracle Identity Mgmt Oracle BI Publisher PDF RTF E-mail Oracle GRC Systems Rapports pré-configurés Créer/Modifier des rapports via outils Web / Office HTML Excel Imprimante Oracle Database Security Options Publier les rapports d audit Planifier et produire les rapports XML EDI EFT Fax Office Adobe Web Stockage
Stratégie de mise en œuvre Gestion des Gouvernance risques GRC Conformité Positionner le reporting comme une composante maîtresse de votre projet de gestion des identités Décliner et diffuser des rapports : Pour tous les utilisateurs Pour le management Pour les responsables applicatifs Pour l Audit Progressivement ouvrir l accès de l outil à d autres populations fonctionnelles : RH, Finances, DG Les identités deviennent des actifs de l entreprise Ex : impact d une réorganisation sur la répartition par Direction des Contrôleurs Financiers dans SAP
Ce que font nos clients avec BI Publisher et leur gestion des identités Compte-rendu mensuel RH Alignement des employés RH et des utilisateurs dans le référentiel d identités, récapitulatifs des mouvements et statistiques Suivi des demandes sur l Intranet Conformité des accès de bout en bout Corréler les demandes d habilitations et les tentatives d accès Tableau de bord RSSI de la gestion des identités Suivi des indicateurs de performance : Temps moyen de traitement des demandes d accès Nombre de comptes orphelins dans les ressources critiques Nombre moyen de demandes d approbation par manager Nombre de réinitialisations de mot de passe en Self-Service Nombre de comptes non utilisés depuis plus de 30 jours Nombre de tentatives d accès refusées sur le portail d entreprise
Du contrôle d accès piloté par les risques
Exemple : accès extranet client Approche «classique» Sécurité périmétrique de type «péage» Inscription renforcée Authentification forte multifacteur A l intérieur de l enceinte, monitoring de sécurité «bas niveau» (IDS / IPS ) et ses résultats Les coûts de déploiement et de maintenance sont élevés Le ressenti des utilisateurs est dégradé Des transactions légitimes peuvent être bloquées Et la fraude n est pas évitée pour autant http://www.theregister.co.uk/2006/07/13/2- factor_phishing_attack/ Ce qui est important, c est de savoir adapter dynamiquement le niveau de sécurité selon le niveau de risque
La proposition de valeur : Oracle Adaptative Access Manager Authentification renforcée Contrôle d Accès dynamique et contextuel Analyse comportementale User Context 3 RD Party Apps/Data Location Device Context OAAM Context Historical Data Context Context Context Claviers virtuels personnalisés Analyse de l «empreinte digitale» de l utilisateur (accès, device, localisation) Parcours d authentification dépendant du contexte (mot de passe, OTP, centre d appels, certificat ) Maintenance aisée Consolidation du «contexte de sécurité» (accès, heure, authentification, comportement, historique ) Scoring de risque associé à la transaction Application d un comportement dynamique en fonction du score Intégration multi-canal / CRM Historisation du contexte de sécurité de chaque événement Analyse en ligne / hors ligne des traces d activité Détection et monitoring de comportements à risque Génération d alertes et d actions de remédiation
Stratégie de mise en œuvre Gestion des Gouvernance risques GRC Conformité OAAM est une brique à part entière de votre stratégie de gestion des risques Pour adopter OAAM, il faut commencer par le mode «hors ligne» Analyse des traces des serveurs Web, détection et reporting des comportements à risque, là où les méthodes classiques n ont pas levé l alerte Ajustement progressif des règles en mode simulé Déploiement progressif de modes d intégration «en ligne» plus poussés (proxy, services Web )
Exemples Clients Objectifs Protèger les informations clients, sans impacter l expérience utilisateur Résultats Vérification de l identité client sur son empreinte numérique (PC, localisation, comportement) Renforcement de la confiance client en matière de sécurité de leurs transactions en ligne Implémentation en 8 semaines, sans interruption de l activité Objectifs Renforcer l authentification pour assurer la conformité FFIEC Se prémunir contre des attaques par détection de fraude Intégration dans un existant SSO SiteMinder pour 2 Millions d utilisateurs Résultats Mise en place d une surveillance temps réel des phases d authentification et de comportement pour détecter une fraude potentielle Renforce la confiance clients dans les services en ligne sans impacter l expérience utilisateur 16
Exemples Clients Objectifs Protèger les informations clients, sans impacter l expérience utilisateur Résultats Vérification de l identité client sur son empreinte numérique (PC, localisation, comportement) Renforcement de la confiance client en matière de sécurité de leurs transactions en ligne Implémentation en 8 semaines, sans interruption de l activité Objectifs Renforcer l authentification pour assurer la conformité FFIEC Se prémunir contre des attaques par détection de fraude Intégration dans un existant SSO SiteMinder pour 2 Millions d utilisateurs Résultats Mise en place d une surveillance temps réel des phases d authentification et de comportement pour détecter une fraude potentielle Renforce la confiance clients dans les services en ligne sans impacter l expérience utilisateur 17
Factoriser pour réduire les coûts de développement : mise en place d un Framework de gestion centralisée de la sécurité
Encore un framework? Tout le monde a déjà adopté son framework de développement : Pour unifier le socle technique Pour rationnaliser les compétences requises Pour mettre en place des méthodes communes Pour permettre la réutilisation Mais ces frameworks apportent peu en matière de sécurité Au final, dans chaque application, on réinvente : La gestion des comptes et des moyens d authentification La gestion des autorisations (par écran, par attribut, par transaction )
La proposition de valeur : Oracle Entitlement Server Externaliser la gestion de la sécurité : Authentification Autorisations fines Modèle d habilitations (rôles ) Navigation / Affichage En s appuyant sur les référentiels existants Oracle Entitlements Server Custom Apps Demande Référentiels Utilisateurs Accord Vérification d accès Services Packaged Apps d identités Refus Données Databases d habilitations
Cycle de vie des habilitations Faites évoluer vos stratégies de sécurité sans modifier vos applications Responsable audit/conformité Responsable applicatif Développeur Developer Oracle Entitlements Server Administrateur de sécurité Oracle Confidential For Internal Use Only
Stratégie de mise en œuvre Gestion des Gouvernance risques GRC Conformité OES est un outil qui se vend de l interne Simplifie et allège le travail des développeurs Donne au responsable applicatif la maîtrise de ses habilitations Améliore la visibilité sur les droits et les accès aux applications pour l Audit et le Métier Le premier projet doit permettre d enclencher une adoption plus générale À l occasion de la refonte d une application critique
Cas Client: Institution Financière Enjeux Métiers Réduire l exposition au risque lors des prises de décision de crédit pour les grands comptes Protéger les informations confidentielles et être en mesure de l attester et de le prouver Transparence, flexibilité et efficacité de l architecture de sécurité SolutionOracle Mise en place d une gestion centralisée des politiques d habilitations métiers, et propagation dans les différents sytèmes de gestion du risque (Credit, Marché, Opérationnel) Permet aux utilisateurs fonctionnels de maintenir les habilitations pour les utilisateurs applicatifs par géographie et secteurs verticaux Return On Investment Services d autorisation externalisés pour 20 applications dans un environnement central. Déploiement et gestion du changement rapide des politiques d habilitations et des mécanismes de contrôle d accès
Cas Client : Banque d Affaire Privée Protection des applications sensibles de gestion du risque Enjeux Métiers Proposer un service sur mesure de haut niveau tout en controllant les coûts et les risques. Pénetrer de nouveaux marchés avec des outils de trading innovants. Offrir un accès rapide aux responsables de clientèle au travers d un portail sécurisé. Solution Oracle Portail collaboratif fournissant les informations produits, marchés, suivi des ordres, tableaux de bord OES permet de retreindre les vues en fonction du rôle de l utilisateurs (Executive, Commercial, controleur ) Return On Investment Elaboration d une infrastructure de gestion centralisée des politiques d habilitations intégrée au Portail. Evolutif vers une gestion partagée des politiques de sécurité à propager dans les différentes applications métiers et services du portail.
Conclusion
Conclusion : c est le moment! De tirer parti de la crise en répondant aux challenges du Métier : Plus Agile : des solutions de sécurité qui améliorent la façon de travailler Plus Sécurisé : visibilité et contrôle de vos processus En Conformité : gestion maîtrisée de sa sécurité et des risques, traçabilité et auditabilité Gouvernance Gestion des risques GRC Conformité
Questions?
28