Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité? Les Assises de la Sécurité Monaco, 21 octobre 2005 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
Hervé Schauer Consultants Société de conseil en sécurité des systèmes d'information depuis 1989 Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité Windows / Unix et linux / embarqué Sécurité des applications Sécurité des réseaux TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique,... Organisation de la sécurité Certifications CISSP, BSI BS7799 Lead Auditor, IRCA, ProCSSI 2 / 35
3 / 35 Plan Avant-propos Exemple d'incident Exemples d'orientation de ROSI Amélioration de la productivité Diminution des incidents Analyse de risque Enjeux métiers Meilleures pratiques Benchmarking Les transparents seront disponibles sur www.hsc.fr ROSI Définitions Pourquoi? Facteur de succès de la sécurité Coûts de la sécurité Courants d'approche du ROSI Choix du ROSI Positionnement du projet Grille d'orientation d'argumentaire Grille des apports pour la SSI Dossier d'argumentation Conclusion Prochains rendez-vous
Avant-propos Clusif (www.clusif.asso.fr) Groupe de travail ROSI de février 2003 à mai 2004 Ernst & Young, HSC, Lynx, Microsoft, SIVA Publication du document "Retour sur investissement en sécurité des systèmes d'information, quelques clés pour argumenter" en octobre 2004 http://www.hsc.fr/presse/clusif/rosi.pdf Présentation basée sur ce document du Clusif Cercle Européen de la Sécurité (www.leclercle.biz) Présentation en mars 2004 par Arséo Sujet choisi avec DG Consultants Consultant en sécurité, pas expert du "ROSI" 4 / 35
http://www.internetweek.com/news/166401649 5 / 35
Exemple d'incident Vente d'informations nominatives et confidentielles à des escrocs Coût de l'incident : 11 millions de dollars Mauvaise gestion de l'information Analyse de risque aurait pu révéler qu'il fallait avoir un contrôle strict de la divulgation de l'information Enjeux propres à ce métier auraient peut être exigés d'investir dans un contrôle strict des personnes auxquelles étaient vendues les données Pratiques des gens gérant et revendant des données nominatives beaucoup plus strictes que ce qui était pratiqué chez ChoicePoint Plusieurs orientations de raisonnement sont possibles pour montrer qu'il aurait pu être plus rentable d'investir au préalable dans une meilleure gestion de la sécurité de l'information 6 / 35
Exemples d'orientation de ROSI Amélioration de la productivité Diminution des incidents Analyse de risque Enjeux métiers Meilleures pratiques Benchmarking 7 / 35
ROSI orienté Amélioration de la productivité Pas spécifique à la sécurité Avantage : intuitif car pas spécifique à la sécurité Limites : ne marche pas toujours car souvent technologique Exemple Scénario : Entreprise utilisant une équipe de 5 personnes chargées principalement d'établir les droits d'accès et les mots de passe, et de les enregistrer ou les faire enregistrer dans l'ensemble des systèmes et applications Solution : ROSI : Déploiement d'une solution de gestion des identités de 250 k Réduction de la charge de travail, diminution de 5 à 2 personnes, coût de fonctionnement passé de 400 k à 160 k 8 / 35
ROSI orienté Incidents ou Sinistralité ALE : Annual Loss of Expectancy Pertes annuelles prévisibles à partir de la fréquence de survenance d'un incident et coût financier de son impact ROSI : différence entre l'ale actuel et l'ale futur + le coût de la solution Limites Calcul de probabilité donc bases d'incidents et effort de modélisation Pas de distinction occurence faible/impact élevé et occurence élevée/impact faible Exemple Scénario Attaque virale généralisée couteraît 1M avec une probabilité d'occurence de 70% Solution Diminution de la probabilité de 20% par le déploiement d'une nouvelle infrastructure anti-virale de 150 k ROSI : 70% x 1M - (70-20)% x 1M - 150 k = 50 k 9 / 35
ROSI orienté Analyse de risques Comparaison du risque potentiel maximal par rapport au coût de la solution Avantage : approche largement employée Limites Technique de quantification différentes d'une méthode à une autre, d'un expert à l'autre Scénarios de risques non-exhaustifs et hypothèses des scénarios susceptibles d'être remises en cause Exemple Scénario Serveur de production sur un site non-sécurisé redondé localement, en cas de sinistre majeur sur le site la perte est évaluée à 15M Solution Hébergement sur un site distant sécurisé : 4M ROSI : Coût de la solution de 4M par rapport à celui du sinistre de 15M 10 / 35
11 / 35 ROSI orienté Enjeux métiers La sécurité est génératrice de richesses dans votre activité Gain de part de marché, avantage concurrentiel Amélioration de la qualité d'un service, de l'image de marque, de la confiance du client Avantage Utilise le langage métier et fédère l'organisme Limites N'utilise pas d'analyse coût/bénéfices Difficile à expliquer et difficile d'atteindre les bons interlocuteurs Exemple Scénario Serveur d'assurance avec fichier nominatif non-protégé : clients, biens assurés,... Solution Sécurisation du serveur, ajout d'un contrôle d'accès, authentification forte ROSI : enjeu lié à l'image et au risque juridique
ROSI orienté Meilleures pratiques Avantage Alternative à l'analyse de risque Limite Beaucoup pensent que les meilleures pratiques ne sont pas pour eux Exemple Scénario Un audit de sécurité révèle que l'erp d'une société cotée n'a pas de ségrégation des tâches et de traçabilité, ouvrant la possibilité à des fraudes internes Solution Intervention d'un cabinet d'expertise en sécurité pour reconstruire la sécurité applicative ROSI La direction n'étant pas sensibilisée à la fraude interne c'est le respect de la loi sur la sécurité financière qui les a fait décider 12 / 35
ROSI orienté Benchmarking Comparatif de performance des entreprises Avantages Les dirigeants apprécient Limites Ne prends pas en compte les spécificités locales et pousse à faire pareil Exemple Scénario Un audit de sécurité de service en ligne révèle un serveur très mal conçu où tous les clients peuvent visualiser les informations des tiers. Jamais un service du secteur n'a été vu dans un tel état. Solution Ré-écrire l'application ROSI Rejoindre la majorité, ne pas faire pire que les autres 13 / 35
ROSI : Définitions ROSI : Return On Security Investment Retour sur investissement en sécurité ROSI vient de ROI : Return On Invesment Gain financier d'un projet de sécurité au regard de son coût total Net : en monnaie constante Investissements et fonctionnement Sur une période d'analyse donnée Projet de sécurité : projet où la sécurité est plus importante TCO : Total Cost of Ownership Coût total associé au cycle déploiement/maintenance 14 / 35
ROSI : Définition Le ROSI relativise les coûts par rapport aux bénéfices Point de retour : date à partir de laquelle les gains dépassent les coûts Le ROSI est plutôt la valeur ajoutée d'un investissement en sécurité Le retour sur investissement n'est plus uniquement une notion financière 15 / 35
ROSI : Pourquoi? Manière de travailler, d'analyser et de décider repose de plus en plus sur des tableaux de chiffres Certains dirigeants prennent leurs décisions face à des tableaux Excel Ceux qui prennent en compte d'autres dimensions exigent quand même des tableaux Excel avec des chiffres Le tableau Excel marche pour tous les types de projets Management demande des tableaux des coûts Dans les rapports d'audit de sécurité Lors des réunions de restitution des résultats Tableau des coûts associés aux risques encourus et aux recommendations proposées Pas toujours dans la compétence de l'auditeur 16 / 35
ROSI : Pourquoi? Raisons historiques du pourquoi fait-on de la sécurité ne suffisent plus toujours au management Management applique la notion de ROI à des aspects immatériels Sécurité protège principalement un patrimoine immatériel pas de raison d'y échapper Principaux facteurs d'influence actuels auprès des directions : Obligations réglementaires Sensibilisation à la gestion des risques ROSI : piste complémentaire à l'existant 17 / 35
ROSI : Facteur de succès de la sécurité La sécurité doit s'intégrer dans la manière de faire avec d'autres sujets : Réseaux : planification, déploiement, supervision,... Applications : développement, déploiement, performance, gestion,... La sécurité pourra ainsi mieux s'intégrer dans la vie du système d'information La sécurité commence à apparaître dans le discours des gens en dehors du monde de la sécurité Plus vue comme quelque chose de séparée. Intégrée de manière multi-dimentionelle 18 / 35
Coûts de la sécurité Coûts organisationnels, humains, techniques La sécurité est de l'organisation et des hommes La sécurité n'est pas des licences logicielles Coûts ponctuels et récurrents Coûts tangibles ou intangibles 19 / 35
Coûts de la sécurité Coûts ponctuels Investissements liés à la mise en place et au déploiement des dispositifs de sécurité Coûts des conséquences directes des incidents de sécurité Pertes de production Remplacement des matériels Frais d'assurance Frais d'investigation Pénalités de retard Pertes de parts de marché Dommages et intérêts Coûts de reconstitution Coût récurrents Coûts d'exploitation et d'administration des dispositifs de sécurité Coûts de mise à jour des dispositifs et de leurs procédures Plus des 2/3 du coût total 20 / 35
Coûts de la sécurité Coûts tangibles Mesurables Investissements Maintenance et support Prime d'assurance Baisse de productivité où l'équivalent financier est chiffrable Perte de revenus Remplacement ou reconstitution Coût intangibles Difficilement mesurables Baisse de productivité difficile à mesurer Perte de réputation ou de la confiance des clients Perte de part de marché Non-conformité à la législation Poursuites juridiques 21 / 35
Courants d'approche du ROSI Arguments évoqués dans la littérature Arguments technologiques Généralisation d'outils ou de procédures Réduction du nombre d'incidents Amélioration de la convivialité pour les utilisateurs Arguments métiers Analyse de risque, assurance, confiance, concurrence dans le secteur Arguments réglementaires et normatifs Lois : Sarbanes-Oxley, sécurité financière, informatique & libertés Normes : ISO 27001 (anciennement BS7799-2) Propres au métier : CRBF 97-02, Bâle II, HIPAA 22 / 35
Choix du ROSI : méthode CLUSIF Combiner aspects quantitatif et qualitatif en trois étapes : Orientation du projet Projet plutôt métier Projet plutôt sécurité des SI Cartographie contextuelle du projet Quatre axes complémentaires selon le contexte Performance, amélioration de la productivité Risques Sinistralité, incidents Enjeux business Trois facteurs influencent l'approche Contexte économique, humain et intrinsèque aux projets Synthèse des apports potentiels pour la sécurité 23 / 35
POSITIONNEMENT DU PROJET Dominante MÉTIER PROJET Dominante SÉCURITÉ des SI Secteur d activité / Métier (contexte économique) CARTOGRAPHIE CONTEXTUELLE Nature du projet (dominante technique / non technique) Interlocuteurs / commanditaires GRILLE D ORIENTATION D ARGUMENTAIRE Performance / Productivité Gains de productivité Economies de fonctionnement Prévention des risques Menaces Risques potentiels Aspects réglementaires Baisse de la sinistralité Statistiques incidents Coût des pertes (ALE) Enjeux business Objectifs métiers Apports SSI / enjeux du projet GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES 24 / 35 Métrique quantitative Critères qualitatifs
Projet plutôt métier Positionnement/orientation du projet Financé par une maîtrise d'ouvrage opérationnelle ou fonctionnelle Développer l'argumentaire orienté vers l'atteinte des intérêt ou des objectifs du métier Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration de l'anti-virus par les gestionnaires améliore la qualité du service rendu aux usagers et diminue les appels au support Projet plutôt sécurité des SI Développer l'argumentaire sécurité Réduction d'un risque opérationnel Exemple : mise à disposition d'une solution de chiffrement pour chaque type d'assistant personnel permet aux employés de protéger les données de l'entreprise vis-à-vis de la perte de l'assistant personnel 25 / 35
Economique 26 / 35 Contexte du projet Culture de gestion du risque déjà existante dans le métier? Environnement législatif ou réglementaire fort? Savoir faire industriel représente un avantage concurrentiel? Humain Pour chaque intervenant : commanditaire, chef de projet, responsable de service, équipes études ou opérationnels : Niveau technique, sensibilité à la sécurité, intérêt pour le projet,... Intrinsèque Dominante technologique : importance des experts Dominante organisationnelle : amélioration des processus interne Dominante comportementale : tributaire de la culture sécuritaire GRILLE D ORIENTATION D ARGUMENTAIRE
Grille d'orientation d'argumentaire 27 / 35
Grille d'orientation d'argumentaire Faire sa propre grille Garder les questions pertinentes pour son projet Ajouter ses propres questions Faire ses propres pondérations Envisager plusieurs grilles pour un même projet Culture latine vs anglo-saxonne Plusieurs sites géographiques Contexte général très différent Faire répondre au même questionnaire à plusieurs personnes 28 / 35
Grille des apports pour la SSI Arguments du projet sécurité en lui-même Son volet sécurité dans le cas d'un projet métier Pour chaque axe Performance, Risques, Sinistralité, Enjeux business Construire son ROSI Déterminer les métriques quantitatives et les critères qualitatifs GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES Rappel des coûts du projet Investissements, fonctionnement 29 / 35
Grille des apports pour la SSI escomptés 30 / 35
Dossier d'argumentation Gérer la sécurité comme un projet comme les autres Réunir les arguments Objectifs stratégiques Economies d'échelle Contraintes réglementaires Alignement avec la culture d'entreprise Plan de financement Solliciter les acteurs-clés Contrôle interne, finance, management 31 / 35
Conclusion ROSI : instrument récent et sophistiqué Pas d'approche unique mais des arguments clés Fonctions du contexte, de la nature du projet, des interlocuteurs Tout n'est pas quantifiable : les éléments intangibles doivent s'apprécier autrement Utile à ceux qui sont déjà mature en sécurité et qui souhaitent optimiser les dépenses en sécurité Usages des grilles CLUSIF parfois long et fastidieux Commencez avec des cas simples Questions? Herve.Schauer@hsc.fr www.hsc.fr 32 / 35
Prochains rendez-vous Conférence exceptionnelle : 24 novembre, Paris ISO17799 et ISO27001 : expériences et perspectives http://www.hsc.fr/conferences/reed2005_bs7799exp.html.fr Tutoriels : 23-24 novembre, Paris Sécurité des postes clients ISO17700 / ISO27001 Sécurité des réseaux sans fil : Bluetooth, WiFi, WiMax Formation BS7799 Lead Auditor : 5-9 décembre, Paris Certification BS7799 Lead Auditor par LSTI http://www.hsc.fr/services/formations/ Formations SecurityCertified : 13-17 & 27-31 mars 2006 Permettant de passer la certification SCNP http://www.hsc.fr/services/formations/ 33 / 35
34 / 35 Référence Retour sur investissement en sécurité, quelques clés pour argumenter, document du CLUSIF http://www.hsc.fr/presse/clusif/rosi.pdf Plusieurs exemples et plusieurs tableaux de référence Composants Projet Concentrateur VPN Pare-feux sites distants Economi e 1,67*1255,5 *12 = 25 160,22 111 600 (risques couverts) Métrique d évaluation du ROSI Exemple appliqué à une solution VPN avec authentification forte Financier Quantitatif Gains Performance Sinistralité (19,17*270) *12= 62110,8 Connexions supp : 23,25 Métriques opérationnelles (intrusion, vol d info, altération ) 0,4/an Appels supports 4,65*27 0 = 1255,5 Conformité Règlement (1 à 5) Assurance qualité (1 à 5) Qualitatif Image (1 à 5) Incidents 1 : un peu efficace à 5 : très efficace 0,06 (électrique, incendie, pannes.. ) Confort (1 à 5) 3 5 5 3 3 4 2 2 Lignes télécoms 18 620 1 Mb/s na 4 na 4 (débits) Clients (Auth. Forte) comptabilisé comptabilisé 5 5 5 4 (Auth. Forte) (tracabilité) (Auth bio) (Fiabilité) Serv. d authentification 5 5 4 na (Auth. Forte) (Admin.) Sites dist. Transfert datas 3600 300*165 = Application s Intersites 3 Na 5
Ressources Sur www.hsc.fr vous trouverez des présentations sur Infogérance en sécurité Sécurité des réseaux sans fil Sécurité des SAN Sécurité des bases de données SPAM BS7799 Sécurité de la voix sur IP etc Sur www.hsc news.com vous pourrez vous abonner à la newsletter HSC 35 / 35