AGENDA. LA GESTION DES RISQUES Arbitre de la sécurité des systèmes d information

Documents pareils
GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Accompagner nos clients vers.cloud. Nicolas Luneau Business Development Manager Symantec.cloud

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

HySIO : l infogérance hybride avec le cloud sécurisé

en SCÈNE RATIONAL Rational Démonstration SDP : automatisation de la chaîne de développement Samira BATAOUCHE sbataouche@fr.ibm.com

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

DU RÉSEAU AU BIG DATA UNE OFFRE GLOBALE DE GESTION DE LA DONNÉE. Bruno Fleisch - Responsable Produits Tarik Hakkou Responsable du pôle «Data»

Vers un nouveau modèle de sécurité

Conférence Bales II - Mauritanie. Patrick Le Nôtre. Directeur de la Stratégie - Secteur Finance Solutions risques et Réglementations

Stratégie d externalisation des services pour les établissements

The Path to Optimized Security Management - is your Security connected?.

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Protection des données en environnement Windows

Vers un nouveau modèle de sécurisation

Déterminer les enjeux du Datacenter

infrastructures réseaux

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Optimisez la gestion de vos projets IT avec PPM dans le cadre d une réorganisation. SAP Forum, May 29, 2013

Stratégie IT : au cœur des enjeux de l entreprise

Gérer la volumétrie croissante des données et besoins d'infrastructure par un archivage intelligent. Symantec Enterprise Vault

L'infonuagique, les opportunités et les risques v.1

La Sécurité des Données en Environnement DataCenter

Philippe Sainte-Beuve. Directeur Technique - Europe de l Ouest

Cloud Computing Stratégie IBM France

Panorama général des normes et outils d audit. François VERGEZ AFAI

..seulement 5% des serveurs x86 sont virtualisés!

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

HUAWEI TECHNOLOGIES CO., LTD. channelroad. A better way. Together.

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Découverte et investigation des menaces avancées PRÉSENTATION

FOURNIR UN SERVICE DE BASE DE DONNÉES FLEXIBLE. Database as a Service (DBaaS)

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

D ITIL à D ISO 20000, une démarche complémentaire

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Club ISO Juin 2009

L infrastructure Sécurité de Microsoft. Active Directory RMS. Microsoft IAG

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

mieux développer votre activité

ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE

Atteindre la flexibilité métier grâce au data center agile

Stratégies de protection de l information

.Réinventons l innovation.

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

PANORAMA DES MENACES ET RISQUES POUR LE SI

La Gouvernance IT en France : de nombreuses avancées, encore beaucoup à faire

ILM ou Archivage Une démarche Métier

AUDIT CONSEIL CERT FORMATION

accompagner votre transformation IT vers le Cloud de confiance

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Symantec Control Compliance Suite 8.6

L UNIVERS INSTANTANÉ:

Insight Software Live

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

SAN07 IBM Social Media Analytics:

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Transformation vers le Cloud. Premier partenaire Cloud Builder certifié IBM, HP et VMware

Sécuriser l entreprise étendue. La solution TRITON de Websense

Solutions McAfee pour la sécurité des serveurs

ITIL et les outils. À l ordre du jour. senté par Johanne L HeureuxL. Consultante. Mise en contexte Quelques exemples.

SAP Runs SAP Reporting Opérationnel & BI avec HANA et SAP Analytics. Pierre Combe, Enterprise Analytics Juin, 2015

VCE La solution d'infrastructure convergée pour accélerer la modernisation de vos environnments Retour d'expérience client SOGECLAIR

Accenture accompagne la première expérimentation cloud de l État français

Atelier A10 Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI?

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

APX et VCE, Modèle d industrialisation de l intégration et du déploiement. Olivier BERNARD, VCE

La sécurité IT - Une précaution vitale pour votre entreprise

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

LES APPROCHES CONCRÈTES POUR LE DÉPLOIEMENT D INFRASTRUCTURES CLOUD AVEC HDS & VMWARE

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Garantir une meilleure prestation de services et une expérience utilisateur optimale

tech days AMBIENT INTELLIGENCE

Le Cloud, un paradoxe bien français!

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

Priorités d investissement IT pour [Source: Gartner, 2013]

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

PCI DSS un retour d experience

Pensezdifféremment: la supervision unifiéeen mode SaaS

ITIL : Premiers Contacts

Gestion des autorisations / habilitations dans le SI:

1. GOUVERNANCE IT (INFORMATIQUE ET TÉLÉCOMS)

WEB15 IBM Software for Business Process Management. un offre complète et modulaire. Alain DARMON consultant avant-vente BPM

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Les marchés Security La méthode The markets The approach

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

Cycle Innovation & Connaissance 12 petit déjeuner Mardi 15 mai Cloud Computing & Green IT : nuages ou éclaircies?

Section I: Le Contexte du DATA CENTER Pourquoi l AGILITE est Nécessaire dans le DataCenter

La gestion des risques IT et l audit

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Transcription:

AGENDA LA GESTION DES RISQUES Arbitre de la sécurité des systèmes d information MARDI 7 JUIN 2011 De 8h30 à 14h00 Centre Etoile Saint-Honoré Paris 8 e En partenariat avec

8h30 - Accueil / Petit déjeuner 9h00 Les outils et les pratiques de la gestion des risques dans l'entreprise - par François Beaume, Président de la commission SI de l' AMRAE 9h20 La continuité des services Cloud : comment protéger les ressources critiques?, - par Caroline Fabre, Responsable des offres de services de secours et de continuité d'activité, IBM France 9h40 10h30 Table Ronde Du risque technique au risque stratégique De la nécessité de passer d une protection de l infrastructure à la protection des informations et des identités - par Laurent Heslault, Security Strategist, Symantec France 10h50 - Pause

11h10 Répondre aux problématiques de Gouvernance, Risque et Conformité de l'entreprise - par Sebastien Mazas, Head of Governance Risk and Compliance Consulting Services France / Espagne et Abdelbaset Latreche, Principal Consultant PA-DSS & Risk Management EMEA, Verizon 11h30 Rétro appréciation des risques : une clé pour simplifier la sécurité et optimiser les investissements? - par Julien Steunou, Chef du département conseil sécurité, Risk Consulting et Dominique Assing, Consultant Sénior, BT France 11h50 12h30 Table Ronde - Du risque stratégique au développement des opportunités À l'ère du Web 2.0, quelle stratégie de sécurité adopter pour assurer la meilleure protection pour les données de l'entreprise? - par Florent Fortune, Directeur Technique EMEA, Websense 12h50 - Cocktail déjeunatoire

Association pour le Management des Risques et des Assurances de l Entreprise Outils et pratiques de la gestion des risques informatiques dans l Entreprise François Beaume AMRAE, Président de la Commission Système d Information Dalkia, Responsable Risk Management AMRAE - Conférence CIO 7 Juin 2011

Risques liés aux Systèmes d Information : une illustration récente FORMATION (parmi d autres) / http://www.lemondeinformatique.fr/actualites/lire-l-attaque-contre-lockheed-martin-marque-une-nouvelle-ere-du-cyber-espionnage-33828.html AMRAE - Conférence CIO 7 Juin 2011

Quelques constats FORMATION Les Systèmes d Information sont : en évolution, voire mutation, constante, Évolution des architectures et des usages : mobilité, nomadisme, etc. VM, SAN, SaaS, Cloud computing, etc. complexes à appréhender dans leur globalité ou détail, Extension et morcellement du SI : Management (clients, fournisseurs, etc.), Téléphonie (VoIP), Production (ou logistique, régulation cf. SCADA), Services généraux sur IP, etc. Interopérabilité, complexité de l intégration des systèmes. techniques certes, mais pas seulement : Aspects organisationnels (projet, maintenance, administration, sous-traitance, infogérance, etc.) Aspects humains (interne, externe) Les risques associés le sont également! AMRAE - Conférence CIO 7 Juin 2011

Une typologie de risques liés FORMATION au SI Conception d ensemble Opérationnalisation Gestion quotidienne et maintenance Retour d expérience et veille technologique Conception du SI nonconforme à l organisation Inadéquation des solutions aux besoins métiers ou transverses Architecture SI incohérente Choix logiciels incohérents Défaut d intégration et d interfaçage des systèmes entre eux Non-pertinence du choix du degré d internalisation Capacité du réseau insuffisante Attaques contre le Système d Information (spams, virus, hacking, etc.) Défaut de performance et de disponibilité du Système d Information Défaillance dans la maintenance préventive Défaillance dans la maintenance corrective Défaillance du processus de restauration d activité du SI Défaillance dans la veille technologique des logiciels Défaillance dans la veille technologique des matériels et installations Défaillance dans le retour d expérience AMRAE - Conférence CIO 7 Juin 2011

Une typologie de risques liés aux Données FORMATION et au Reporting Gestion des bases de données Traitement de l information et confidentialité Gestion des documents administratifs Gestion des tableaux de bord Données non pertinentes Destruction ou corruption de données Inaccessibilité des données Défaillance dans la conception du modèle de traitement de l information Défaillance dans la mise en œuvre du traitement de l information Non-conformité des documents administratifs Défaillance dans la communication des tableaux de bord Défaut dans la production des éléments constitutifs de l analyse Non-respect des réglementations portant sur les données Défaut de traçabilité du traitement des informations Divulgation d informations sensibles

En synthèse FORMATION Les risques majeurs sont généralement d origine humaine et peuvent être regroupés en quatre principales catégories : Risques organisationnels Incapacité à assurer la traçabilité et la crédibilité de l information Perte d opportunité par manque de veille technologique et d intelligence économique Continuité de l activité non assurée Risques liés aux infrastructures Continuité de l activité non assurée Effets secondaires d un événement (incendie puis extinction par ex.) Risques humains Elément aggravant dans la gestion d une crise Perte ou vol d information confidentielle (interne ou client) avec ou sans utilisation frauduleuse Risques externes Intrusion dans le SI et atteinte au niveau de service en des endroits et des moments clés Perte ou vol d information confidentielle (interne ou client) avec ou sans utilisation frauduleuse AMRAE - Conférence CIO 7 Juin 2011

Quels impacts? FORMATION Le risque se définit souvent en Entreprise comme tout événement dont la survenance est susceptible d entraver l atteinte des objectifs de l Entreprise. Il s agit, en d autres termes, d un "danger probable". Les risques liés aux Systèmes d Information eux-mêmes peuvent être "catastrophiques" au niveau opérationnel, moins au niveau corporate dans la plupart des grandes entreprises. Plus difficiles à percevoir, les risques liés à la gestion de l information, et notamment sa diffusion, constituent la majeure partie des risques concernés par la gestion de crise. Il faut prendre en compte les conséquences directes et indirectes de la réalisation d un risque.

Quel apport du Risk Management? FORMATION Le Risk Management à pour objectif de permettre : L identification, l analyse et l évaluation des risques De permettre in fine de les hiérarchiser et d en prioriser le traitement De définir les plans de traitement appropriés : Réduction : prévention et/ou protection Financement : rétention et/ou transfert à l assurance De suivre l évolution des risques dans le temps, la mise en œuvre des plans d actions et l efficacité des moyens de traitement. Cette fonction transverse irrigue l Entreprise par le déploiement et l animation d une organisation de type ERM Enterprise Risk Management AMRAE - Conférence CIO 7 Juin 2011

Outils et pratiques : illustration (1/3) FORMATION Outils de pilotage (décision et management), notamment : Cartographie globale des risques, pour : Identifier les risques, En mesurer l impact global, Les prioriser et allouer les ressources pour les traiter. Cartographie spécifique des risques SI Analyse de risques liés aux Projets

Outils et pratiques : illustration (2/3) FORMATION Outils de détection, notamment : Veille technologique, sur les menaces informatiques, etc. Sensibilisation et formation des collaborateurs.

Outils et pratiques : illustration (3/3) FORMATION Outils de gestion : Sécurisation : protection PCs et logiciels contre les attaques, virus, etc. Encryption des supports, sécurisation des stockages Tests Principes de contrôle interne : Séparation des taches Habilitation, autorisation, etc. Formalisation dans les processus Automatisation des contrôles Audits

L AMRAE en quelques chiffres FORMATION 800 membres 450 membres participants 350 membres associés Existe depuis 1993 1 congrès annuel FERMA / IFRIMA 450 entreprises dont : 37 entreprises du CAC 40 82 entreprises du SBF 120 Organisations publiques AMRAE - Conférence CIO 7 Juin 2011

"Le risque étant la condition du succès, sa bonne gestion FORMATION en est une garantie." L'AMRAE, association régie par la loi 1901, a pour mission d'apporter aux entreprises les moyens de réussir leur mutation dans le domaine de la gestion des risques, de par leur appréhension et contrôle, la maîtrise de leurs coûts dont les dépenses d'assurances et ce par des programmes de formation et l'organisation de manifestations professionnelles. L AMRAE est une association professionnelle dont les membres sont les acteurs majeurs des métiers du risque en entreprise : responsables de la gestion de risques, gestionnaires des programmes d assurances, ou encore responsables des activités d animation du contrôle interne comme les directeurs financiers, juridiques, ressources humaines, qualité, sécurité ou audit interne. Les échanges d'informations et d'expériences entre les membres, au travers de nombreuses réunions et travaux des Commissions et Groupes Thématiques, permettent d'accroître leur professionnalisme et leur crédibilité en vue de mieux protéger les résultats et optimiser les coûts du risque de leurs entreprises. AMRAE - Conférence CIO 7 Juin 2011

Quelques réalisations de la commission Systèmes d Information FORMATION RM et RSSI : Deux métiers s unissent pour la gestion des risques liés au Système d Information Une publication AMRAE - CLUSIF Panorama SIGR 2011 mais également 2010, 2009, 2008 Cahiers techniques téléchargeables sur le site amrae.fr L infogérance : Externalisation de services informatiques et gestion des risques Cahier technique téléchargeable sur le site amrae.fr Une publication AMRAE - CLUSIF En prévision pour Septembre 2011 : Evaluation financière d un incident de sécurité (AMRAE CLUSIF) AMRAE - Conférence CIO 7 Juin 2011

La continuité des services dans le contexte du Cloud Computing Comment protéger les ressources critiques?

Ce que nos clients recherchent? ibm.com/ciostudy 2

IBM Business Continuity and Recovery Services Notre métier : la continuité des activités En Région Parisienne 14 km 3,8 km Pôle NO 41,5 km Pôle Est 56 km 13,5 km Pôle Sud 0,6 km 3

2 axes d actions pour assurer la continuité du Cloud Sécurité Redondance Sauvegarde Qualité Formation Infrastructure Datacentre. Anticiper les risques restants Plan de continuité MCO Adapter le dispositif

Les Datacentres sont des ressources critiques, à haute technicité, un hébergement en campus permet d en assurer la disponibilité maximale La résilience du Datacentre Caractéristiques Campus très hautement sécurisés (en Tier III au moins) Sites stratégiquement localisés offrant des services de proximité Stratégie d efficacité énergétique green Design et urbanisation de data Center Puissance électrique et capacité de refroidissement importantes, Accès vers les opérateurs réseaux Expertise sur site 24/7 Accès strictement contrôlés 5

IBM, premier acteur des services de continuité a un positionnement particulier par rapport aux purs hébergeurs Accompagnement stratégique Optimisation Services opérationnels Résilience Conseil Services managés Gestion du Service Services Proximité Urbanisation Gestion de Crise Infrastructures Capacité Telécom Evolutivité Level/Tier Stratégie Anticipation Command center

Les informations : autre point sensible pour les services de protection distribués en mode Cloud Computing Sauvegarder/archiver automatiquement des données Firewall Serveurs du Data Center Clients Internet Site de récupération distant Desktop Etablissements Servers & PCs PCs & Laptops mobiles Sauvegarde des ordinateurs individuels des employés mobiles Plateformes de services de protection des données à distance 7 Données Serveurs & PC

Mais tous les risques ne peuvent être évités Dual site Site de secours Réplication de données L apport du Cloud aux solutions pour les situations de sinistre Secours à froid Secours à chaud Site de repli Secours tiède

Réduire l impact Le cloud BCRS permettra d aborder différemment la continuité des infrastructures et en particulier des environnements Cloud Alerte Une plus grande réactivité dans la mise à disposition permettant une approche plus intelligente et plus flexible de la continuité

Réduire l impact Les services de continuité BCRS in the IBM Cloud permettent l accès et la gestion des différents services (prévention, pilotage et secours) Ex: Cloud Managed BU / Archivage Virtualisation / SOA Ex : Cloud Recovery Resource Request System Management Infrastructure Scheduling Workflow Provisioning Monitoring Metering Security Storage Management Migration Resource Pool Workloads Hardware Software Storage Networking Component Workloads Hardware Software Storage Networking Component

Business Intelligence will provide information to the company that no one in the industry has ever seen, and will open up opportunities that were not previously considered. Utilities CIO, USA Des techniques et des approches nouvelles pour transformer l information en action

Le futur proche grâce aux nouvelles technologies et en particulier le Cloud Computing s ouvre vers une nouvelle approche

Les risques évoluent constamment Mieux anticiper, c est aussi mieux gérer ces risques pour mieux adapter le dispositif au meilleur coût Modèle prédictif consolidant l ensemble des menaces corrélées avec les infrastructures surveillées permettent de mettre en alerte des ressources de mitigation

Notre ambition Mettre à profit les approches innovantes pour ouvrir de nouvelles voies vers des solutions de continuité toujours plus intelligentes

Business Intelligence will provide information to the company that no one in the industry has ever seen, and will open up opportunities that were not previously considered. Utilities CIO, USA Les focus des DGs dans les 5 prochaines années Les focus des DSIs dans les 5 prochaines années Getting closer to customer 88% Insight and intelligence 79% People skills 81% Client intimacy 71% Insight and intelligence 76% People skills 66% Enterprise model changes Risk management 57% 55% Internal collaboration & Communications Risk management 64% 50% Industry model changes 54% Enterprise model changes 48% Revenue model changes 54% Industry model changes 39% Revenue model changes 35% Source: 2010 CEO Study Q13: Which of the following dimensions will you focus on more to realize your strategy in the new economic environment over the next 5 years? (n=1,523); 2011 CIO Study, Q13: Where will you focus IT to help your organization s strategy over the next 3 to 5 years? (n=3,018)

Les infrastructures de BCRS Pôle NO Pôle Est Pôle Sud 16

Merci de votre attention En savoir plus : Caroline Fabre email: caroline.fabre@fr.ibm.com ibm.com/services/fr/secours

TABLE RONDE Du risque technique au risque stratégique Avec la participation de : Animée par Bertrand Lemaire, Chef des informations CIO Patrick Chambet Marie-Noëlle Gibon Michel Juvin Olivier Ligneul Nicolas Ruff Philippe Salaün Architecte Sécurité du SI, Bouygues Télécom Présidente de l' AESCM et Directeur de l'innovation, des Systèmes d'information et Auditeur, Groupe La Poste RSSI, Lafarge Chef du bureau assistance et conseil, ANSSI Expert sécurité, EADS Security Labs Responsable du Plan de Continuité d'entreprise et de la gestion de crise, CNP Assurances

Protection de l information : nouvelle approche de gestion des risques Patrice Payen Expert Gestion des Risques et Conformité Conférence LMI CIO - Gestion des Risques 1

Partenaires L entreprise connectée Mobilité Services cloud Employés Collaboration Société Clients Médias Riches Conférence LMI CIO - Gestion des Risques 2

L informatique doit évoluer pour répondre aux nouvelles demandes System-Centric Information-Centric Données : centralisées, structurées Infrastructure : physique Focus IT : tâches systèmes Données : distribuées, non structurées Infrastructure : physique, virtuelle, Cloud, mobile Focus IT : l information Conférence LMI CIO - Gestion des Risques 3

CONFIDENTIEL La sécurité dans un monde ouvert LA VALEUR DE L INFORMATION Risques et conformité Facilitateur de business Convoitise Conférence LMI CIO - Gestion des Risques 4

Notre approche de la protection de l information Stocker Administrer Protéger Restaurer RISQUE Gouvernance INFORMATION Politiques Identification Conformité Rémédiation Gestion du risque PHYSIQUE VIRTUEL CLOUD MOBILE COÛT Infrastructure Intelligence VALEUR Classifier Découvrir Possession Accès Conférence LMI CIO - Gestion des Risques 5

Quid des politiques de sécurité en France? Part des sociétés ayant une politique de sécurité des TIC sociétés de 10 salariés ou plus, France métropolitaine. Source : Insee, enquête TIC 2010, statistique publique Conférence LMI CIO - Gestion des Risques http://insee.fr/fr/themes/document.asp?ref_id=tic10 6

Mois entre chaque évaluation Dépense relative en conformité des règlementations L automatisation réduit les coûts d audits et maximise les retours L automatisation augmente la fréquence des audits qui réduisent le risque Les organisations matures qui automatisent voient leurs coûts baisser jusqu à 54% 7 6 5 4 100% 80% 60% moins 54% 3 40% 2 1 20% 0 moins mature plus mature 0% moins mature plus mature Conférence LMI CIO - Gestion des Risques * Basé sur une enquête auprès de 3280 companies Source: IT Policy Compliance Group 7

La gouvernance et la gestion des risques est un problème complexe à la dimension de l entreprise TECHNICAL CONTROLS Automatically identify deviations from technical standards Identify critical vulnerabilities POLICY PROCEDURAL CONTROLS REPORT REMEDIATE Define and manage policies for multiple mandates with out-ofthe-box policy content. Map policies to control statements Replace paper-based surveys with web-based questionnaires to evaluate if polices were read and understood Gather results in one central repository and deliver dynamic webbased dashboards and reports Remediate deficiencies based on risk via integration with popular ticketing systems DATA CONTROLS Tight integration with Symantec Data Loss Prevention to prioritize assessment and remediation of assets based on value of data EVIDENCE 3 rd PARTY EVIDENCE Combine evidence from multiple sources and map to policies ASSETS CONTROLS Conférence LMI CIO - Gestion des Risques 8

Symantec propose une solution globale et intégrée TECHNICAL CONTROLS Symantec Control Compliance Suite Standards Manager Symantec Control Compliance Suite Vulnerability Manager POLICY PROCEDURAL CONTROLS REPORT REMEDIATE Symantec Control Compliance Suite Policy Manager Symantec Control Compliance Suite Response Assessment Manager Symantec Control Compliance Suite (Infrastructure) Symantec ServiceDesk 7.0 DATA CONTROLS Symantec Data Loss Prevention Discover EVIDENCE 3 rd PARTY EVIDENCE Symantec Control Compliance Suite (Infrastructure) ASSETS CONTROLS Conférence LMI CIO - Gestion des Risques 9

Symantec Control Compliance Suite Conférence LMI CIO - Gestion des Risques 10

Gouvernance et gestion du risque de bout en bout Demandes HIPPA SOX GLBA FISMA Basel Cobit ISO PCI NERC Contrôles Cartographier Implémentation Assets Assigner That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Illustrates Sample Text there to Illustrates the Text within without a any the Text within a PowerPoint meaning Slide. and PowerPoint just Slide. there to Illustrates the Text within a PowerPoint Slide. Politiques Déployer Personnes Mesurer That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Illustrates Sample Text there to Illustrates the Text within without a any the Text within a PowerPoint meaning Slide. and PowerPoint just Slide. there to Illustrates the Text within a PowerPoint Slide. Contrôles Techniques Analyse du risque That is a Policy That is a Policy Sample Text Sample Text without any without any meaning and That just is a Policy meaning and just there to Illustrates Sample Text there to Illustrates the Text within without a any the Text within a PowerPoint meaning Slide. and PowerPoint just Slide. there to Illustrates the Text within a PowerPoint Slide. Contrôles Procéduraux Mesurer Conférence LMI CIO - Gestion des Risques 11

Adresser les défis de la sécurité à tous les niveaux INFRASTRUCTURE Protection et administration INTELLIGENCE Information et identité GOUVERNANCE Politiques et risques Protection contre les attaques ciblées et personnalisées Sécuriser les environnements virtuels et dans le Cloud Administrer et sécuriser les données des terminaux mobiles Classifier les données sensibles Découvrir où se trouvent les données Appliquer du chiffrement Surveiller les menaces visant les informations Développer, faire appliquer et évaluer les politiques Identifier et authentifier Priorité de rémédiation en fonction du risque Rapports multi-niveaux pour gérer le risque Conférence LMI CIO - Gestion des Risques 12

Merci de votre attention. Copyright 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Conférence LMI CIO - Gestion des Risques 13

Répondre aux problématiques de Gouvernance, Risque et Conformité de l'entreprise (GRC) Sébastien MAZAS Head of Governance Risk and Compliance Professional Services France Abdelbaset LATRECHE Principal Consultant PA-DSS & Risk Management - EMEA IT News Info : 7 juin 2011 2009 Verizon. All Rights Reserved. PTEXXXXX XX/09

Verizon en quelques chiffres Revenus Investissements Pays Employés Clients $106.6 Milliards $120+ Milliards 150+ 200 000+ 98% 2010 2006-2009 2,700+ villes Fortune 500 2 Bénéficiez de la puissance d un partenaire IT pour opérer à l échelle mondiale Confidential and proprietary material for authorized Verizon Business personnel only.

Verizon Business Des infrastructures globales pour répondre à nos clients partout dans le monde Etats Unis France Bureaux 6 Employés 350 + Réseau Fibre 800 Km MAN 16 Europe/Middle East/Africa Amérique du Sud Un réseau IP mondial 2,700+ Villes 159+ Pays 800 000+ Km de Fibre 200+ Data Centers 4,200+ Réseaux clients Managés Asie Pacifique 3 Confidential and proprietary material for authorized Verizon Business personnel only.

2009 Verizon. All Rights Reserved. PTEXXXXX XX/09 Définition

GRC, une définition Gouvernance, Risques, Conformité Comment une organisation comprend les attentes de ses parties prenantes, puis gère ses activités afin de répondre avec efficacité à ces attentes, tout en gérant ses risques et en se conformant aux lois, règlements et autres obligations. Traduction libre de Open Compliance and Ethics Group 5 Confidential and proprietary material for authorized Verizon Business personnel only.

Rapport d enquête 2011 sur les compromissions de données 2009 Verizon. All Rights Reserved. PTEXXXXX XX/09

Rapport d enquête 2011 sur les compromissions de données Un nouveau venu dans le rapport : 2010 Les services secrets américains 2011 unités de luttes contre le crime Néerlandaise Nombre de cas x 2 Des résultats intéressants Attaques externes hautement automatisées, indécelables Réseaux de fraude interne complexes, Attaques à l échelle de pays 7 Confidential and proprietary material for authorized Verizon Business personnel only.

Qui est l origine des compromissions de données? Attaques internes : retour à la «normale» en 2010 : Echantillon des Services Secrets Néerlandais Très forte croissance des attaques externes Rq : baisse des compromissions liées aux partenaires 8 Confidential and proprietary material for authorized Verizon Business personnel only.

Quels types de données ont été volées? 9 Confidential and proprietary material for authorized Verizon Business personnel only.

Comment les victimes découvrent la compromission? Anti-virus (1%) IDS (<1%) Log review (0%) 10 Confidential and proprietary material for authorized Verizon Business personnel only.

Comment les compromissions se produisentelles? Piratage et malware en tête Les défauts d authentification en support Les attaques physiques augmentent Les attaques sur les réseaux sociaux continuent 11 Confidential and proprietary material for authorized Verizon Business personnel only.

Comment les compromissions se produisentelles? Moins ciblée : c est l occasion qui fait le larron! Les partenaires sont les premiers informés La plupart auraient pu facilement être évitées! La conformité à PCI-DSS est encore loin 12 Confidential and proprietary material for authorized Verizon Business personnel only.

Comment les compromissions se produisentelles? Les points de vente non surveillés Distributeurs, Pompes à essences Effraction et Skimmers Les vieilles recettes sont toujours au goût du jour Suppression des données inutiles Contrôles d accès 13 Confidential and proprietary material for authorized Verizon Business personnel only.

2009 Verizon. All Rights Reserved. PTEXXXXX XX/09 Les apports de la GRC

GRC, une définition plus détaillée La GRC est un ensemble de personnes, de processus et de technologies qui permet à une organisation de : - Comprendre et hiérarchiser les attentes de ses parties prenantes. - Définir les objectifs (business) en cohérence avec les risques encourus. - Atteindre les objectifs tout en optimisant le niveau de risque. - dans le respect des contraintes légales, contractuelles, internes, sociales et éthiques. - Fournir des informations pertinentes, fiables et en temps opportun aux parties prenantes. - Permettre la mesure de la performance et de l'efficacité du système. Traduction libre de GRC Capability Model, Red Book, 2.0 15 Confidential and proprietary material for authorized Verizon Business personnel only.

Approche Sectorielle Finance Healthcare Public Sector PCI Consulting Governance & Risk Management CISO assistance Monetic Basel II, SOX, Solvency Security Policies ISO 27001/27002 Risk Analysis (EBIOS, ISO 27005) HIPAA/HITECH Security Policies ISO 27001/27002 Risk Analysis (EBIOS, ISO 27005) FISMA, RGS Retail Governance & Risk Management PCI Consulting CISO assitance Virtual CISO Utilities Security Policies ISO 27001/27002 Risk Analysis (EBIOS, ISO 27005) NERC CIP 16 Confidential and proprietary material for authorized Verizon Business personnel only.

GRC, de constantes évolutions Nouvelles normes de gestion des risques : - ISO 27005 (Security Risk Management, 2008) - ISO 31000 (Generic Risk Management, 2009) Evolutions des standards de conformité existant : - PCI DSS 2.0, 28 Octobre 2010 - PA DSS 2.0, 28 Octobre 2010 - COBIT 5 (Sortie prévue en 2011) - Bâle III, Septembre 2010 - Solvency II, requis en 2012 17 Confidential and proprietary material for authorized Verizon Business personnel only.

Les Tendances de la GRC Une plus grande maturité / industrialisation Aujourd hui»approches disparates»mature pour l informatique interne Demain :»Approche globale»nouveaux postes (Risk Manager ou Compliance Manager). Tendances à l externalisation Cloud Computing, ASP/SaaS Meilleur maitrise de ces processus Alignement aux bonnes pratiques (ITIL, ISO ) Enjeux sur l informatique externe et les environnements hybrides 18 Confidential and proprietary material for authorized Verizon Business personnel only.

La GRC en application par Verizon Business Des projets maitrisés Une méthodologie basée sur des standards internationaux Gestion de projet : PMI-PMBOK Audit : ISO/IEC 19011:2002 Un savoir faire permettant de gérer des projets complexes Organisations regroupant des métiers variés Architectures hétérogènes avec une couverture internationale Des outils pour le suivi et le reporting,» Tableaux de bords» Plans de mises en conformité» Programme de gestion de la sécurité (c.f. RSA conférence oct. 2010) 19 Confidential and proprietary material for authorized Verizon Business personnel only.

La GRC en application par Verizon Business Un accompagnement adapté Des programmes d accompagnement adaptés aux besoins de nos clients Un accompagnement de la sensibilisation à la certification Une expertise technique au service de nos clients» Indépendante de tout partenariat» Limitée au besoin des projets Une capitalisation d année en année et une industrialisation des processus 20 Confidential and proprietary material for authorized Verizon Business personnel only.

La GRC en application par Verizon Business Une organisation au service de la sécurité Une couverture nationale et internationale Couverture par métiers ou par domaine technique Projets internationaux avec une gestion de projet transverse Knowledge management au niveau européen et mondial» Mailing list» Portails collaboratifs» Participation à des groupes de travail liés aux standards utilisés - Une organisation avec un language commun «Lead practice» et «Subject Mater Experts»» Assurent le même niveau de compréhension à travers le monde QA process : QSA dédiés à la validation des rapports» Obligation du PCI-SSC» La même qualité à travers le monde Des locaux dédiés à la sécurité Au sein d un Datacenter Respect de contraintes réglementaires : Verizon Business est certifiée «CB» Synergie avec les services de Verizon Scans de vulnérabilité (services ASV) MSS / SOC : validation d architecture et conformité 21 Confidential and proprietary material for authorized Verizon Business personnel only.

Merci Une stabilité financière Des Solutions complètes Une couverture mondiale Une expertise mondiale Des solutions et des services mondiaux qui répondent aux besoins de nos clients 22 Confidential and proprietary material for authorized Verizon Business personnel only.

Rétro appréciation des risques une clé pour simplifier la sécurité et optimiser les investissements? Julien STEUNOU - Responsable département conseil sécurité Dominique ASSING Consultant sécurité senior

Opérateur mondial de services télécoms et IT Approche globale Ancrage local BT France en quelques chiffres 2 600 collaborateurs 10 sites et 30 agences Certification ISO9001-2000 pour nos activiés conseil et intégration Leader des services infrastructures réseaux avec 80 000 équipements déployés et 300 000 équipements maintenus par an en France Leader de la sécurité avec 3 000 équipements réseau supervisés en France Un portefeuille de +1 000 clients «BT est reconnue comme un fournisseur de services fiables et de haute qualité pour les grandes entreprises multisites» Current Analysis, Septembre 2010 «Seul BT savait répondre à notre besoin de connectivité dans des endroits du monde complexe à connecter tels que le Nigeria.» Geoservices Manager Bevierre Jean-Loup, IT Operations «BT a la couverture de réseau mondial la plus large de toutes les sociétés que nous avons approchées.» Fredyan, Global IT Manager, Global MedcoEnergi

Etat de l art et réalité du pilotage de la sécurité L état de l art Les systèmes de management de la sécurité de l information (SMSI) mettent l appréciation des risques au cœur du pilotage de la sécurité. La démarche, qui aboutit au plan de traitement des risques, implique que les investissements dans des mesures de sécurité visent à réduire des risques identifiés, avec une justification et un retour sur investissement. et la réalité Une partie importante des mesures de sécurité existantes dans nos entreprises a été décidée en dehors d un processus de gestion des risques. Sans lien entre les mesures de sécurité et le risque couvert, l efficience des mesures ne peut être calculée = problème du calcul du ROI en sécurité Et en attendant, les coûts ne sont pas maitrisés. Rétro appréciation des risques Juin 2011

Conséquence de la perte du lien «mesure de sécurité / risque couvert» Coupées de la gestion par les risques, certaines mesures de sécurité sont devenues dogmatiques, historiques et deviennent très difficiles à remettre en question ou à faire évoluer. Coûts d exploitation ou effets de bord de ces mesures explosent et personne n est capable de les justifier de manière formelle. En l absence du lien avec la gestion des risques, les volontés de changement s enlisent dans des débats d experts technique Rétro appréciation des risques Juin 2011

Rétro appréciation de risque? La rétro appréciation des risques est une démarche inverse : Partir des mesures de sécurité existantes pour retrouver : les actifs protégés les risques couverts Revenir sur l efficience des mesures Grandes étapes : Identifier les actifs protégés par la mesure Identifier et mesurer les risques originels (= risque si aucune mesure) Analyser la réduction du risque apportée par la mesure Méthodologie identique : ISO27005, EBIOS Rétro appréciation des risques Juin 2011

Objectifs de la rétro appréciation des risques Objectifs Replacer les mesures de sécurité existantes dans le contexte de la gestion des risques = sortir du débat technique Challenger les mesures de sécurité existantes, voire convaincre de l inutilité de certaines mesures par une démonstration forte Résultats attendus Simplifier la sécurité Identifier les mesures qui ne servent à rien, justifier celles qui servent Meilleure compréhension du périmètre géré Améliorer l efficience des investissements de sécurité pour répondre aux risques de l entreprise Mettre en place les indicateurs qui permettent de suivre dans le temps l efficacité des mesures de sécurité Sponsors Dépends du point de blocage : RSSI, DSI, Direction Rétro appréciation des risques Juin 2011

Illustration : chantier de transformation bloqué L existant Architecture technique comprenant 67 firewalls Firewall exclusivement en mode liste blanche (= tout ce qui n est pas explicitement autorisé est interdit). Plusieurs millier de règles sur certains firewalls. 40 demandes d ouverture de flux par jour (= 100 gestes technique pour changer les configurations). SLA important. -> Complexité et coûts exponentiels -> Manque de maitrise des configurations = incidents de production, dégradation des performances Les solutions envisagées Ouverture de bouquets de services ou filtrage d une seule direction Passage de certains firewall en mode liste noire, voir remplacement par des IPS Suppression de firewalls, création de zones de confiance Les freins équipe sécurité technique formatée par 15 ans de mode liste blanche, convaincue que cela dégraderait le niveau de sécurité Pas de liens avec la gestion des risques = débat ne dépassant pas le plan technique Enlisement des projets d évolution Rétro appréciation des risques Juin 2011

Bénéfices de la rétro appréciation des risques Identification des actifs protégés par les firewalls Travail qui n avait jamais été fait! Découverte que certains firewalls de datacenter protégeaient des actifs n étant pas dans des réseau du datacenter, source de complexité dans les règles Appréciation des risques sur ces actifs Méthode simple et pragmatique mais restant sur du quantitatif et en monétaire Analyse de la réduction des risques apportée par les firewalls Identification de manques et de doublons dans le dispositif Calcul du rapport entre la valorisation des actifs / risques et les coûts d exploitation des firewalls Mise en place d un plan de traitement des risques efficient Démonstration par un calcul mathématique que d autres mesures (IPS) amenaient à un risque résiduel acceptable pour un coût nettement moindre Equipe mise dans une dynamique de gestion de la sécurité par les risques Diminution des coûts de 30% sur 3 ans Niveau de sécurité amélioré par des moyens mis au bon endroit Rétro appréciation des risques Juin 2011

Illustration : mesure inutile L existant Entreprise secteur industriel de 1200 collaborateurs RSSI prenant ses fonctions, souhaitant faire une évaluation de toutes les mesures de sécurité en place dans l organisation Une mesure pressentie inutile apparait rapidement : Mesure de changement de mot de passe pour tous les collaborateurs tous les mois Utilisateurs mécontents, incompréhension Mauvaise image de la sécurité (et du RSSI) Mesure de sécurité jamais remise en question Mesure de sécurité historique, en place depuis l installation de l Active Directory au début des années 2000 Mesure présente dans beaucoup de guide de bonne pratique Comment mesurer l efficience de cette mesure en l absence de lien avec la gestion des risques? Rétro appréciation des risques Juin 2011

Bénéfices de la rétro appréciation des risques Analyse de l influence de la mesure sur les composantes du risque De quelles vulnérabilités la mesure réduit la probabilité d exploitation? De quelles menaces la mesure réduit la probabilité d occurrence? Quel est le risque originel? Risque couvert = brute force du mot de passe en plus de 1 mois, utilisation d un mot de passe volé après 1 mois Identification des autres risques non couverts par la mesure Autres risques pesant sur les mot de passe = social engineering, fishing, shoulder surfing, keylogger Tous ces risques ne sont pas couvert ou bien partiellement Ratio risque couvert / risque induit Démonstration que cette mesure n est pas efficiente et peut être supprimée Suppression justifiée du changement récurrent des mots de passe Responsabilisation des utilisateurs sur le changement de leur mot de passe sur certains événements Prise de fonction du RSSI facilitée Rétro appréciation des risques Juin 2011

Une clé pour simplifier la sécurité et optimiser les investissements? Deux utilisations de la retro appréciation des risques : Revue de toutes les mesures de sécurité existantes pour simplifier les dispositifs et identifier celles qui consomment du budget sans être efficaces Déblocage d un chantier de transformation d une mesure de sécurité enlisé dans un débat technique et atteindre les objectifs de gain de productivité Et en plus : Permet de (re)lancer le pilotage de la sécurité par les risques Donne une compréhension étendue du périmètre Rétro appréciation des risques Juin 2011

Questions? Ne pas hésiter! Rétro appréciation des risques Juin 2011

Rétro appréciation des risques Juin 2011

TABLE RONDE Du risque stratégique au développement des opportunités Animée par Bertrand Lemaire, Chef des Informations CIO Avec la participation de : Patrick Chambet Etienne Papin Philippe Salaün Architecte Sécurité du SI, Bouygues Télécom Avocat associé au Cabinet Féral-Schuhl & Sainte-Marie Administrateur de l'afcdp

À l'ère du Web 2.0, quelle stratégie de sécurité adopter pour assurer la meilleure protection pour les données de l'entreprise? Florent Fortuné ffortune@websense.com Directeur Technique - Websense

Quelque chose a changé Rich Internet Applications Cloud Computing Social Web

Les priorités IT Le Web Social Cloud Computing Mobilité Les risques de perte de données Le contenu malveillant Perception de la sécurité

Reseaux Sociaux et Marketing 2,261,579 fans 7,219,611 fans

Applications & Données convergent vers le Web Software as a Service Platform as a Service Infrastructure as a Service Branch Office Headquarters Branch Office

Les attaques combinées Les attaques sont aujourd hui sophistiquées et ciblées La principale finalité est le vol de données Les attaques utilisent principalement le Web et le Mail Les malmares sont principalement hébergés sur des sites légitimes «SEO poisoning» et les «Rogue AV» ont fortement augmentés en 2010

Profiling du Cybercriminel Les «bidouilleurs en herbe» Motivation: Notoriété Compétence: Faible Exemple: Accès aux comptes twitter de personnalités en 2009

Profiling du Cybercriminel Les «hacktivistes» Motivation: motivations sociales, politiques, religieuses Compétence: Faible a modéré Exemple: WikiLeaks doit être l exemple le plus marquant de ces derniers mois

Profiling du Cybercriminel Les «cybervoleurs» Motivation: gains financiers rapides Compétence: modéré Exemple: Le phishing sur le tremblement de terre qui a touché le Japon en mars 2011

Profiling du Cybercriminel Les «super Ninjas» Motivation: : beaucoup d argent. Ces personnes ciblent les données confidentielles Compétence: Forte / Expert Exemple:Opération Aurora en 2009/2010 ciblait les entreprises américaines

Profiling du Cybercriminel Les «cybersoldats» Motivation: Cyberguerre? Militaire? Compétence: Expert Exemple:Stuxnet constitue un parfait exemple de cette méthode d attaque

Entreprise & Web 2.0/ Web Social?

Entreprise & Web 2.0/ Web Social?

Ce que disent nos Clients.

Ce que disent nos Clients.

Facebook Réseaux Sociaux ou...?

Une Nouvelle dimension

Facebook Scams

Osama bin Laden

Osama bin Laden

Security Labs Technologies

Solutions Inadaptées Filtrage d URL Anti-Virus traditionnel Réputation Analyse parallèle DLP-LITE Classification dans le Cloud Inadaptées au Web dynamique / 2.0 Remède versus prévention problème de Volumétrie (taille de Base.) Ne protège pas contre les sites compromis (70% sites) Pas contexte, Aucune correlation Problème de Faux positif/négatif et aucun contexte Accès restreint aux propriétés, détectable, latence (500MS +)

TRITON: Sécurité de Contenu Unifié

Websense Sweeps Forrester Waves Forrester sees a growing market demand for consolidated content security suites rather than point products. Websense alone leads the content security suite market because of its current functionality and suiteoriented product strategy. Forrester Wave : Content Security Suites, Q2 2009 24

Merci! Pour plus d information: Websense Security Labs Blog: http://securitylabs.websense.com/ @websenselabs: http://twitter.com/websenselabs Test de site: http://aceinsight.websense.com/ Websense France: http://www.websense.fr/ Tel: +33 1 70 92 37 37

PROCHAIN EVENEMENT LE SAAS REDEFINIT LE SYSTÈME D INFORMATION DE L ENTREPRISE: Les nouvelles règles du jeu entre l IT et les métiers SAAS Etoile Saint Honoré Paris 8 e 23 juin 2011 de 8h30 à 14h

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back