n spécial Assises de la Sécurité 2009



Documents pareils
Prestations d audit et de conseil 2015

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

THEORIE ET CAS PRATIQUES

ISO conformité, oui. Certification?

Piloter le contrôle permanent

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Les pratiques du sourcing IT en France

Périmètre d Intervention. Notre Offre

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

HySIO : l infogérance hybride avec le cloud sécurisé

L Application Performance Management pourquoi et pour quoi faire?

D ITIL à D ISO 20000, une démarche complémentaire

Créer un tableau de bord SSI

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Comment réussir la mise en place d un ERP?

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Vers un nouveau modèle de sécurité

Table des matières. Partie I CobiT et la gouvernance TI

Sécurité des Systèmes d Information

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Gestion des Incidents SSI

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

Programme de formation " ITIL Foundation "

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN

de la DSI aujourd hui

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

Novembre Regard sur service desk

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Présentation à l EIFR. 25 mars 2014

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE

Introduction à ITIL V3. et au cycle de vie des services

L innovation au cœur des processus et des systèmes

Plan de maîtrise des risques de la branche Retraite Présentation générale

ITIL v3. La clé d une gestion réussie des services informatiques

LIVRE BLANC. Dématérialisation des factures fournisseurs

La conformité et la sécurité des opérations financières

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

dans un contexte d infogérance J-François MAHE Gie GIPS

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

PASSI Un label d exigence et de confiance?

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Copyright Agirc-Arrco Mars QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC)

COMMUNIQUE DE PRESSE CONJOINT MODELLIS & DATAVALUE CONSULTING

Business Emergency Solutions. kpmg.fr

Réussir l externalisation de sa consolidation

La fonction d audit interne garantit la correcte application des procédures en vigueur et la fiabilité des informations remontées par les filiales.

Excellence. Technicité. Sagesse

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

La B.I. au secours des Managers de transition 72

GÉNÉRATEUR DE PERFORMANCE CONSEIL EN SYSTÈMES D INFORMATION

Maîtriser les mutations

CRIP 17/09/14 : Thématique ITIL & Gouvernance

Le management des risques de l entreprise Cadre de Référence. Synthèse

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Systèmes et réseaux d information et de communication

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Enquête ITIL et la performance en entreprise 2007 CONNECTING BUSINESS & TECHNOLOGY

étude de rémunérations

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

Catalogue de services standard Référence : CAT-SERVICES-2010-A

Les Services Managés appliqués à la Mobilité

Panorama général des normes et outils d audit. François VERGEZ AFAI

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Regard sur hybridation et infogérance de production

PLAQUETTE METIERS. Part of the Orange Group

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Aligner le SI sur la stratégie de l entreprise

e-business, EAI et Business Intelligence Le triptyque gagnant profondément les structures des organisations et par conséquence

PÉRENNISER LA PERFORMANCE

Modernisation SI & Télécom des Samu-Centres 15. Assemblée Générale SUdF

La réponse aux enjeux des RH du 21 ème siècle

Gestion des risques, contrôle interne et audit interne

ITSMby Diademys. Business plan. Présentation

Catalogue des formations 2015

Information Technology Services - Learning & Certification.

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

A. Le contrôle continu

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation?

Chapitre 1 : Introduction au contrôle de gestion. Marie Gies - Contrôle de gestion et gestion prévisionnelle - Chapitre 1

Sofiprotéol : la gestion de portefeuille de projets au carré

groupesolucom Devenez architecte d infrastructure

Transcription:

n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif de son périmètre. Si l audit de sécurité ponctuel est un de ses outils classiques pour évaluer les faiblesses techniques, il est insuffisant pour garantir à tout instant le niveau de sécurité de son SI. La mise en place du contrôle permanent de la sécurité des SI permet de pallier ce manque, en garantissant une maîtrise continue du niveau de sécurité. Parce qu il est l élément central du dispositif de contrôle du RSSI, ainsi qu une partie intégrante du contrôle interne de l entreprise, nous avons choisi de dédier cette Lettre Sécurité spéciale Assises de la Sécurité au contrôle permanent qui sera également le thème de l atelier que nous animerons. Nous ferons ainsi le point sur les raisons de cette récente évolution, mais aborderons surtout les éléments clés de la réussite d un projet de mise en œuvre du contrôle permanent de la sécurité. Ces derniers sont le choix d une cible cohérente et pragmatique et celui d une stratégie de mise en œuvre qui se doit progressive et intégrée à l existant pour obtenir l adhésion de tous. Chrystel-Anne Pomel (Natixis) et Philippe Stévenin (SNCF) ont accepté de partager leurs expériences riches en enseignements sur la mise en place d un tel projet, et je les en remercie chaleureusement. Bonne lecture à tous! Frédéric GOUX Directeur Practice Sécurité & risk management n spécial Assises de la Sécurité 2009 Le contrôle permanent : vers un pilotage au quotidien de la sécurité du SI Pour répondre aux préoccupations des Directions générales et à la multiplication des sollicitations, les DSI doivent aujourd hui pouvoir s engager à tout moment, et de façon probante, sur le niveau de sécurité du SI. Complément naturel des audits, le dispositif de contrôle permanent est aujourd hui présenté comme l outil idéal pour répondre à ces attentes. Mais quels objectifs lui assigner, comment définir le dispositif idéal et surtout comment le déployer efficacement? Autant de questions que nous vous proposons d aborder dans ce dossier. Il est aujourd hui rare pour un DSI de pouvoir passer plus de quelques jours sans être interrogé sur le niveau de confiance qu il accorde à son SI. Devenu comptable de la sécurité de la majorité des informations et des outils des métiers, il doit pouvoir à tout moment rassurer sur ce point, et bien souvent indiquer comment il compte améliorer encore ce niveau de sécurité. Car l importance de la sécurité du SI pour l entreprise est désormais évidente : en tant que support des processus métiers, le SI embarque naturellement de nombreux dispositifs de contrôle essentiels à la fiabilité des informations (contrôles d intégrité, référentiels, contrôle des accès, etc.). Mais le SI induit également des risques propres : interruptions de services, corruption de données, divulgation d informations, etc. Risques d autant plus critiques qu ils sont de nature très transverse : lorsqu ils sont avérés, ils peuvent rapidement toucher tous les processus métiers supportés par le SI! La mise sous contrôle de la sécurité du SI Depuis des années, pour répondre à l inquiétude légitime liée à ces risques, les audits de sécurité ont été généralisés, permettant ainsi de vérifier régulièrement que le système audité est toujours au «bon» niveau de sécurité. Réalisés avec une fréquence relativement faible (pour un système donné), ils ne permettent pas néanmoins de disposer de façon pérenne d une évaluation d ensemble. Or, «disposer d une vision partielle et ponctuelle du niveau de sécurité SI d un processus n est pas suffisant» explique Chrystel-Anne Pomel, adjointe au RSSI de Natixis et ses filiales. C est pourquoi dans de nombreux domaines (comme le contrôle des comptes) l audit intègre désormais, en plus de vérifications ponctuelles «sur pièces», une évaluation du dispositif de contrôle interne lui-même. Ainsi, Suite en page 2 DÉCRYPTAGES P4 Une cible de contrôle permanent à adapter au contexte de l entreprise P6 Insuffler progressivement une culture de contrôle

n spécial Assises de la Sécurité 2009 il devient possible de s engager sur ce qui se passe entre deux photographies «instantanées», donc sur le maintien du niveau de sécurité entre les audits. Cette notion de contrôle interne, qui fit son grand retour aux Etats-Unis en 2003 via le Sarbanes-Oxley Act (puis la Loi de Sécurité Financière en France), est définie comme le «processus, mis en œuvre par l ensemble de l entreprise, visant à disposer d une assurance raisonnable quant à l atteinte des objectifs fixés» dans différents domaines : objectifs financiers ou opérationnels, conformité à la réglementation et bien sûr sécurité de l information! Concrètement, le contrôle interne recouvre ainsi toutes les mesures prises au quotidien pour maîtriser les processus (politiques, procédures, etc.), les vérifications effectuées par les opérationnels dans le cadre de leurs activités courantes, et plus généralement la «culture de contrôle» de l organisation. Pour développer cette maîtrise des processus, de nombreuses organisations ont ainsi défini et mis en œuvre, souvent sous la houlette du RSSI, des procédures, des responsabilités, et le reporting associé, via des démarches ITIL, CMMI ou ISO 27001 selon les thèmes adressés. Concrètement, en matière de sécurité SI, des processus d habilitation, de sauvegarde ou de gestion des changements ont ainsi été définis. Le contrôle permanent : un nouveau Graal en matière de sécurité du SI? Sur ces bases, il est alors possible de vérifier régulièrement que les mesures de maîtrise des risques sont bien définies et implémentées par les opérationnels. Il s agit en effet de vérifier que la pertinence et la qualité de réalisation des contrôles sont adaptées aux enjeux : c est l objet du dispositif de contrôle permanent. Le contrôle permanent devient alors un élément clé du dispositif global de contrôle interne : en s appuyant sur les auto-évaluations effectuées par les opérationnels, et bien souvent en menant des contrôles complémentaires, il permet de s engager de façon pérenne sur le niveau de sécurité du SI, et également de répondre plus aisément aux exigences d audit. Prenons, à titre d exemple, le cas du processus de sauvegarde des données : un audit de sécurité se contentera de contrôler que les «Portraits Chrystel-Anne POMEL Responsable adjointe de la Direction de la sécurité du SI de Natixis et ses filiales Chrystel-Anne POMEL est responsable adjointe de la Direction de la sécurité du système d information (SSI) de Natixis et de ses filiales. Elle assure notamment le pilotage de grands projets transverses liés à la sécurité sur l ensemble du périmètre de Natixis et de ses filiales. «Adossé au groupe BPCE, n 2 du secteur bancaire français, Natixis compte trois métiers cœurs : la banque de financement et d investissement, l épargne et les services financiers spécialisés. Rattachée à la Direction de la conformité, la Direction SSI joue pour l ensemble du groupe un rôle de conseil (par exemple l élaboration des politiques de sécurité) et de contrôle en matière de sécurité du SI. Dans ce cadre, la mise en place d un dispositif de contrôle permanent est essentielle pour garantir et améliorer le niveau de maîtrise du SI en matière de sécurité. Elle constitue une étape majeure de la stratégie de contrôle permanent de l ensemble des risques du SI de Natixis. Ce projet ambitieux et complexe qui concerne directement les différents pôles informatiques et leurs responsables sécurité est piloté au plus haut niveau par la Direction des systèmes d information et la Direction de la conformité qui en attendent une amélioration significative de la visibilité sur le niveau de sécurité du SI du groupe.» «La mise en place d un dispositif de contrôle permanent est essentielle pour garantir et améliorer le niveau de maîtrise du SI en matière de sécurité» Chrystel-Anne POMEL 2 La Lettre Sécurité N 20 Octobre 2009

sauvegardes prévues ont bien été effectuées, généralement par sondage sur quelques supports. Le contrôle interne apportera un premier niveau de garantie, en décrivant le cadre méthodologique (politique, procédures et modes opératoires) à appliquer. Le contrôle permanent, en vérifiant à une fréquence régulière (quotidienne, hebdomadaire, etc.) que ce cadre est bien respecté, ou que les écarts sont bien identifiés et traités, apporte finalement un niveau de confort encore plus élevé. «Un dispositif de contrôle permanent permet, par le biais d un cadre méthodologique et d un catalogue d outils, d avoir des résultats opposables à l échelle du groupe en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI» ajoute Philippe Stévenin, Responsable sécurité informatique et télécoms entreprise du groupe SNCF. On le voit, convaincre du bien-fondé d une telle approche n est pas réellement délicat : chacun conçoit aisément qu un contrôle plus fréquent, même moins poussé, complète heureusement des vérifications plus approfondies mais ponctuelles. En revanche, les vraies difficultés apparaissent lorsqu il s agit de définir concrètement le processus de contrôle, son périmètre, l organisation associée, etc. Et plus encore lorsqu il s agit d établir le plan d évolution vers le Graal que l on a ainsi fait miroiter aux clients de la DSI. Ce sont ces deux aspects que nous vous proposons d approfondir dans la suite de ce dossier. Florian CARRIERE «Un dispositif de contrôle permanent permet d avoir des résultats opposables en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI» Philippe STÉVENIN Phillippe STÉVENIN Responsable sécurité informatique et télécoms entreprise du groupe SNCF Philippe STÉVENIN, Responsable sécurité informatique et télécoms entreprise (RSIT-E), est en charge du pôle Sécurité des SI (DSIT-SEC) sur le périmètre du groupe SNCF. Il assure notamment, le pilotage des budgets et des projets liés à la sécurité des SI, l assistance à maîtrise d ouvrage sécurité sur les projets, le pilotage des raccordements des accès externes au SI, la coordination de la gestion de crise SSI et l animation des cellules de gestion opérationnelle de la sécurité et d audits & contrôles de la sécurité du SI. «Mis en place en 2007 au sein de la SNCF, le plan de contrôle SSI est un vrai succès avec une adhésion totale de toute l entreprise. La SNCF n est pas soumise à des contraintes réglementaires spécifiques, aussi la mise en œuvre d un plan de contrôle s inscrit dans une démarche de prise de mesure terrain des risques liés à la sécurité du SI. L équipe Audits & contrôles de la sécurité du SI est constituée aujourd hui de 5 personnes et la mise en œuvre du plan de contrôle mobilise environ 10 ETP au niveau des relais opérationnels et des équipes locales. L équipe Audits & contrôles est en charge de la réalisation des audits et contrôles de niveau 2 et du pilotage de la réalisation des contrôles de niveau 1 par les opérationnels.* Pour les contrôles de niveau 2, cette équipe réalise tous les ans plus d une cinquantaine de contrôles basés sur une quinzaine de méthodologies ciblées (gestion des sauvegardes, sécurité des applications web, sécurité physique et environnementale des locaux IT, gestion des infogérants, etc.). Pour les contrôles de niveau 1, l équipe pilote tous les ans la réalisation de plus de 60 autocontrôles (comprenant 200 points de contrôle) au sein des différentes entités avec une mise à disposition progressive de l outil auprès des filiales du groupe». La SNCF en quelques chiffres : 201 000 collaborateurs 25 milliards d euros de chiffre d affaires Plus de 1 000 filiales * Voir explication de la notion de «niveaux» dans l article page 4. Octobre 2009 La Lettre Sécurité N 20 3

n spécial Assises de la Sécurité 2009 Une cible de contrôle permanent à adapter au contexte de l entreprise Comment définir sa cible en matière de contrôle permanent de la sécurité? Il faut tout d abord définir son «modèle» de contrôle (à deux ou trois niveaux) et l organisation associée, puis les contrôles à réaliser à chaque niveau. Le maître-mot : construire en s appuyant sur les organisations et pratiques existantes... Un modèle de contrôle à deux ou trois niveaux En fonction du contexte de l entreprise (réglementaire, organisationnel, etc.), le contrôle interne se décline en un modèle à deux ou trois niveaux. Le contrôle permanent de la sécurité, qui s inscrit dans la démarche globale de contrôle interne, se décline selon le même modèle. Le niveau 1 comprend les contrôles réalisés «au quotidien» par les équipes opérationnelles elles-mêmes (remontées d indicateurs, contrôles techniques et méthodologiques, etc.). Il est intégré à leurs procédures et processus réguliers, selon le principe de «l autocontrôle». Il s agit par exemple de s assurer que les infections virales sont maîtrisées par consultation quotidienne des logs et reporting au niveau d une console centrale, de revoir de manière régulière les droits utilisateur d une application, de s assurer que l application des correctifs de sécurité se fait en accord avec Modèle à deux ou trois niveaux la politique de sécurité, etc. Ces contrôles de niveau 1 sont souvent largement automatisés et industrialisés. Le niveau 2 comprend les contrôles permettant, d une part, de vérifier la validité des contrôles de niveau 1 effectués par les opérationnels et, d autre part, de faire le lien avec la maîtrise des risques métiers et stratégiques. C est le niveau des «contrôles de conformité». Il s agit par exemple de vérifier que les contrôles de droits d accès sont effectivement menés et suivis de mesures correctives, de conduire des revues des tests PCA, etc. Le niveau 2 est réalisé par une équipe indépendante des équipes opérationnelles, et idéalement indépendante de la DSI. Il peut s agir de la «filière contrôle», en charge du fonctionnement du dispositif de contrôle interne au sein de l entreprise ou, par délégation, de la filière sécurité (RSSI) : par exemple une cellule «contrôles» rattachée au RSSI, agissant par délégation de la Direction du contrôle interne ou de la Direction de l audit et des risques. Le niveau 3 est en dehors du périmètre du contrôle permanent : il comprend les contrôles périodiques diligentés par une entité externe au contrôle permanent (Inspection générale, Contrôle général, etc.). Il intègre également les audits externes. Dans le secteur bancaire où le contrôle est largement développé et réglementé, les trois niveaux existent le plus souvent. Dans d autres secteurs, les fonctions de niveau 2 et 3 peuvent ne pas être dissociées ou être réalisées par les mêmes équipes. Les processus de contrôle et les outils associés Le contrôle permanent de la sécurité s articule autour de plusieurs processus clés à décliner dans l entreprise. Il comprend tout d abord les processus de définition et de pilotage du contrôle permanent, incluant l identification du «périmètre ciblé» : que faut-il intégrer dans le contrôle permanent de la sécurité? Et par quoi commencer? Ce choix doit être réalisé en prenant en compte notamment la réglementation s appliquant à l entreprise, les référentiels qu elle utilise, mais en considérant aussi des critères liés aux actifs à protéger : actifs critiques, spécifiquement menacés, faisant l objet d incidents ou d attaques répétés. Le choix du périmètre ciblé en priorité peut aussi s appuyer dans un premier temps sur le «ressenti terrain» des experts sécurité et des équipes opérationnelles : «dans notre cas, les analyses de risques SSI sont arrivées bien après la mise en œuvre du plan de contrôle. Si elles permettent de relativiser les thèmes et périmètres à contrôler en fonction des enjeux métiers, les contrôles SSI que nous avons réalisés jusque là nous aident à objectiver les analyses de risques en les confrontant aux réalités du terrain» indique Philippe Stévenin (SNCF). Le contrôle permanent inclut également des processus de pilotage et de réalisation des contrôles de niveau 1 et 2. Dans ce cadre, il faut d abord choisir les contrôles à effectuer. Ceci peut être réalisé à l aide de référentiels méthodologiques pour disposer des mêmes techniques et échelles d évaluation pour l ensemble des contrôles. L utilisation de référentiels de mesure partagés entre métiers et IT (COBIT par exemple) est souvent mise en avant. Comme l explique Chrystel-Anne 4 La Lettre Sécurité N 20 Octobre 2009

Pomel (Natixis), utiliser un référentiel reconnu comme COBIT, qui dépasse le seul domaine de la sécurité SI, permet de fédérer plus facilement les approches existantes comme ITIL ou CMMI. «L enjeu est de s appuyer sur un référentiel permettant d adosser les moyens informatiques mis en œuvre et leur niveau de sécurité avec les enjeux business de Natixis», affirme-t-elle. «De plus, cela permet de disposer d un langage commun avec l Inspection générale». «Pour autant», comme l explique Philippe Stévenin, «les contrôles doivent aussi être pragmatiques et proches des réalités opérationnelles ; il ne faut pas se baser uniquement sur des référentiels». Ainsi, pour les contrôles de niveau 1 notamment, il est le plus souvent préférable de définir les contrôles de manière conjointe avec les opérationnels et ainsi d insérer les contrôles dans les processus existants, élément clé de réussite de la démarche. Des outils techniques pour réaliser les contrôles sur le SI doivent également être identifiés pour permettre la mesure du niveau de vulnérabilité des composants SI. Ces outils contribuent à l automatisation des contrôles. À ce titre, l élaboration de fiches de contrôles permanents, selon un formalisme standard, est un passage obligé. Ces documents doivent légitimer les contrôles menés, en présentant les objectifs et la démarche retenue. Enfin, un processus de suivi du contrôle permanent coordonné par le niveau 2 est nécessaire. Il doit répondre à trois objectifs : mesurer le niveau de sécurité du SI et la qualité des contrôles au moyen d échelles de mesures communes piloter la démarche sécurité en identifiant les chantiers d amélioration tenir informé les décideurs en alimentant les tableaux de bord sécurité du SI. «L efficacité de ce dispositif dans le temps implique la mise en place d un suivi régulier. Un reporting adapté aux différents niveaux hiérarchiques est essentiel» confirme Chrystel-Anne Pomel. Formaliser et coordonner les pratiques existantes Le plus souvent, la démarche de contrôle permanent de la sécurité ne fait que formaliser, structurer et renforcer des pratiques existantes : «le message vers les porteurs de contrôles est simple : vous faites du contrôle permanent depuis des années sans le savoir ; cette démarche contribue à mettre en évidence la qualité de votre travail» conclut Chrystel-Anne Pomel. Il reste cependant à cadrer, coordonner et structurer «de bout en bout» la filière de contrôle permanent, tout en évitant les redondances de responsabilités et de contrôles, pour obtenir une vue d ensemble répondant aux objectifs de contrôle et de maîtrise des risques. Sylvain ROGER Processus clés du contrôle permanent Octobre 2009 La Lettre Sécurité N 20 5

n spécial Assises de la Sécurité 2009 Insuffler progressivement une culture de contrôle La mise en place d un dispositif de contrôle permanent de la sécurité du SI constitue un projet à part entière qui doit être adapté à la taille et au contexte de l entreprise. La réussite d un tel projet est fortement liée à la possibilité de fournir des résultats à court terme et de créer une dynamique pour insuffler une culture de contrôle au sein de l entreprise. Véritable projet transverse, la mise en place d un dispositif de contrôle permanent de la sécurité doit avant tout bénéficier d un appui fort de la Direction générale en termes de légitimité et de ressources allouées à sa mise en œuvre. Aussi, comme l explique Philippe Stévenin (SNCF), «il faut commencer par mobiliser la Direction générale en expliquant que, sans contrôles réguliers, le RSSI ne dispose pas d indicateurs pertinents pour justifier sa stratégie sécurité et les budgets engagés pour couvrir les risques». Privilégier une stratégie de mise en œuvre par étapes Avant toute chose, il est préférable d identifier et de définir les points de contrôle le plus en amont possible, par exemple dès la formalisation des politiques de sécurité ou la définition des mesures de sécurité dans les projets. Ensuite, deux approches concurrentes sont possibles : choisir un domaine et le traiter exhaustivement ou bien, au contraire, choisir des points de contrôle répartis sur différents domaines. Selon Chrystel-Anne Pomel (Natixis), «la seconde approche a l avantage de commencer à sensibiliser toutes les équipes, sans les solliciter excessivement». Pour faire connaître la nouvelle organisation de contrôle permanent et privilégier des retours d expérience rapides et fréquents, il est recommandé d opter pour une stratégie de mise en œuvre progressive. «Il faut compter plusieurs années pour installer un dispositif de contrôle permanent complet et «industrialisé» : les lots et leur déploiement doivent intégrer cette donnée, atteindre des objectifs concrets rapidement pour éviter «l effet tunnel» et la démotivation devant l ampleur des actions à mener» ajoute Chrystel-Anne Pomel. Une première phase pilote (cadencée, par exemple, sur une première année) peut être l occasion de développer la culture de contrôle au sein des différentes entités et de familiariser l entreprise avec la réalisation de contrôles permanents à grande échelle. Le choix des thèmes et périmètres des «contrôles pilotes» doit être opéré en fonction des activités critiques de l entreprise, en cohérence avec l analyse des risques, en ciblant si possible des périmètres démonstratifs pour interpeller les décideurs. Comme le précise Philippe Stévenin, «dans un premier temps, pour faire réagir et sensibiliser la Direction, il est intéressant de réaliser une prise de mesure sur des sujets que l on suppose mal maîtrisés (par exemple la gestion des habilitations)». Une autre approche consiste à choisir des périmètres fonctionnels suffisamment délimités pour permettre aux acteurs d appréhender complètement la démarche et de s investir à la hauteur de leurs moyens sur un nombre limité de points de contrôle. Aussi, selon Chrystel-Anne Pomel, «privilégier dans un premier temps les domaines d excellence de la DSI est le meilleur moyen pour créer la dynamique nécessaire». Faire adhérer rapidement l ensemble des acteurs Une fois le périmètre de «contrôles pilotes» défini, les équipes opérationnelles (relais sécurité et entités contrôlées) doivent être accompagnées dans la réalisation des contrôles. L appui de la Direction est certes essentiel pour initier la démarche de mise en œuvre d un dispositif de contrôle permanent, mais il est tout aussi important de faire adhérer rapidement l ensemble des acteurs impliqués dans la réalisation et le suivi des contrôles en communiquant sur l organisation et sur les résultats des 6 La Lettre Sécurité N 20 Octobre 2009

«contrôles pilotes». L objectif à moyen terme est de créer une dynamique dans laquelle les entités deviendront pleinement actrices des contrôles et solliciteront directement la filière SSI pour réaliser des contrôles sur des périmètres perçus comme faiblement sécurisés ou sensibles. Pour faciliter la conduite du changement, il convient de : Communiquer «positivement» sur le dispositif mis en place : la démarche de contrôle permanent n est pas définie dans un objectif répressif, mais bien en vue d améliorer la sécurité du SI et peut présenter de réels avantages pour les équipes : déclenchement de financement de plans d améliorations de la sécurité, mise en oeuvre et donc amélioration de la qualité de service sur leur périmètre, etc. Porter une attention particulière à la formalisation de recommandations applicables. Comme l explique Chrystel-Anne Pomel, «le dispositif de contrôle permanent doit permettre des relations constructives avec les équipes contrôlées : nous attendons de ces contrôles qu ils favorisent des recommandations opérationnelles, concrètes, allant au-delà du simple constat d absence de procédure». Ne pas négliger la charge nécessaire au suivi et à la mise en œuvre des plans d actions : selon Philippe Stévenin, «il est difficile d assurer un réel suivi de l ensemble des recommandations émises dans le cadre des contrôles (plusieurs centaines par an). Aussi, il convient d isoler annuellement 4 ou 5 actions critiques au niveau de l entreprise et de s en occuper en priorité. C est également le rôle de la filière Sécurité d identifier les actions critiques, de les suivre et de susciter des décisions de la Direction pour lancer de grands projets sécurité». S appuyer sur les retours d expérience A l issue de la phase de réalisation des «contrôles pilotes», un retour d expérience doit être réalisé, afin d identifier les réussites et les faiblesses de la démarche et de mettre en évidence les axes d amélioration pour les évolutions futures du plan de contrôle. Ce retour d expérience doit porter aussi bien sur la démarche globale de contrôle (organisation, pilotage et moyens mis en œuvre) que sur chaque contrôle individuellement, et s appuie sur différentes sources d information : interviews de certaines entités qui ont participé à la réalisation des contrôles (adhésion à la démarche, accompagnement des équipes, attentes pour les évolutions futures, etc.), étude de la pertinence des résultats remontés au regard de la charge réelle associée à la mise en œuvre de chaque contrôle, etc. Il doit mettre en évidence l efficacité des différents contrôles (thèmes et périmètres organisationnels) et permettre d arbitrer sur les contrôles qu il est opportun de maintenir, abandonner ou faire évoluer. Avec l extension du périmètre, il s agira ensuite de définir et de mettre en œuvre des outils pour faciliter l industrialisation du plan de contrôle : collecte des informations auprès des équipes opérationnelles, suivi des plans d actions, reporting, etc. Toutefois, même en phase d industrialisation, pour poursuivre la démarche d amélioration continue et de réévaluation de l efficacité du dispositif, il est important de continuer la formalisation de retours d expérience à intervalles réguliers (par exemple tous les ans). En effet, le contrôle permanent ne mesure bien entendu que ce pour quoi il a été conçu, il doit luimême être mis sous contrôle et à cet effet, il est essentiel de maintenir une démarche de réalisation d audits périodiques. Enfin, pour conclure, une dernière réflexion : d un point de vue opérationnel, le contrôle permanent peut être perçu comme un nouveau niveau de contraintes et de règles fastidieuses à respecter. Ce serait malheureusement occulter l apport de ce dispositif à mettre en évidence les contributions de chacun dans une démarche d amélioration du niveau de sécurité du SI. Or il s agit là, comme chacun sait, de la meilleure incitation possible à la performance Il conviendra donc de s en souvenir chaque fois que la résistance au changement remettra en cause la motivation collective à avancer vers ce but commun. Vincent ROYER Octobre 2009 La Lettre Sécurité N 20 7

Solucom en bref Solucom 5 ème acteur du conseil SI en France Solucom est un cabinet de conseil en management et système d information. Les clients de Solucom sont dans le top 200 des grandes entreprises et administrations. Pour eux, Solucom est capable de mobiliser et de conjuguer les compétences de près de 1 000 collaborateurs. Sa mission? Porter l innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d information un véritable actif au service de la stratégie de l entreprise. Solucom s appuie pour cela sur une palette d offres, organisée en 6 practices, alignées sur les enjeux 2009 de ses clients et sur une organisation lui permettant de conjuguer sans couture l ensemble des compétences présentes au sein de ses équipes : Stratégie & management Transformation SI Gouvernance SI Télécoms & innovation Architecture SI Sécurité & risk management. Pour en savoir plus : www.solucom.fr Une practice Sécurité & risk management au service de votre actualité Forte de 150 consultants, la practice Sécurité & risk management de Solucom intervient sur tous les aspects de la sécurité des systèmes d information. Voici un rapide tour d horizon des thématiques majeures sur lesquelles nous intervenons actuellement. Audit et management de la sécurité : de l audit ponctuel au contrôle permanent Fiabiliser leur engagement quant au niveau de sécurité du SI est une préoccupation récente des DSI et des RSSI. Si ces derniers sont rompus aux audits de sécurité des SI, ils sont généralement moins confiants sur le niveau de sécurité garanti en dehors de ces contrôles ponctuels. Ainsi, nous accompagnons actuellement plusieurs clients dans la mise en place de leur processus de contrôle permanent, afin d assurer au quotidien la maîtrise des processus et mesures de sécurité mis en œuvre pour diminuer les risques, et améliorer ainsi le niveau de sécurité. Identity management : enfin de véritables réalisations pour la fédération d identités Autre sujet en plein essor, longtemps cantonné à la veille technologique, voire aux études d opportunité, la fédération d identités aborde aujourd hui une nouvelle phase, celle des réalisations concrètes. Au-delà des gains attendus par les équipes informatiques, les véritables moteurs de ce service sont le confort et l ergonomie qu il offre aux utilisateurs finaux. Nous menons actuellement plusieurs projets visant à faciliter et à sécuriser les échanges entre différents types d acteurs. Plan de continuité d activité : la pandémie grippale s impose dans les PCA Enfin, une menace actuellement très médiatisée : si de nombreuses entreprises avaient écarté le scénario de pandémie grippale lors de la constitution de leur Plan de Continuité d Activité (PCA), elles se voient aujourd hui contraintes de prendre en compte rapidement cette menace. Solucom accompagne en ce moment plusieurs de ses clients dans l élaboration de leur réponse à la grippe A. La menace de pandémie requiert à la fois une organisation sans faille et des outils SI opérationnels (le plus souvent en travail à distance) pour les activités critiques. Une gestion de crise efficace est bien sûr nécessaire, afin de permettre la réactivité et des réponses adaptées à l évolution de la pandémie avec à la clé un exercice grandeur nature cet automne! Depuis 2008, Solucom est certifié ISO/IEC 27001:2005 pour ses prestations d audits de sécurité des systèmes d information. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Florian Carrière, Marion Couturier, Clotilde Henriot, Brieg Le Dean, Laurent Perruche, Sylvain Roger, Vincent Royer. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN 1995-1975 La Lettre Sécurité revue trimestrielle de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, 100-101 terrasse Boieldieu La Défense 8 92042 Paris-La-Défense solucom@solucom.fr http://www.solucom.fr abonnement : lettresecurite@solucom.fr

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back