20 septembre 2012 Certification ISO 27001 des prestations d'audit de sécurité des SI Retour d'expérience - Extension du périmètre du SMSI
Un SMSI certifié depuis 4 ans Le 18 septembre 2008 : Solucom annonçait la certification ISO 27001 De ses prestations d audit de sécurité des systèmes d information Réalisées depuis le site de la Paris La Défense En septembre 2011 : cette certification a été renouvelée après 3 ans d amélioration continue En septembre 2012 : l extension de notre périmètre a été reconnue Ajout du site de l agence de Nantes SOLUCOM Certificat LSTI / SMSI / 128 2
Agenda 1. Enjeux de la certification de nos prestations 2. Retour sur un SMSI de 4 ans 3. Bilan et perspective 3
Les audits de sécurité : des missions nombreuses et sensibles Cabinet Solucom Conseil en système d Information et management près de 1100 collaborateurs Practice Sécurité & Risk Management Toutes les prestations liées à la sécurité de l information et la gestion des risques 175 consultants Prestations d audit de sécurité des SI Plus de 150 opérations d audits par an Des audits organisationnels aux tests d intrusion Une vingtaine de consultants dédiés à l audit Affectation des ressources suivant les expertises et compétences Appui d autres consultants du Cabinet Des missions «sensibles» pour nos clients Avant tout sur la confidentialité et l intégrité des traces collectées et des conclusions Dans une moindre mesure, en termes de disponibilité 4
Pourquoi certifier une activité de Solucom? Différencier nos prestations dans le domaine de l audit Prouver à nos clients que nous accordons une importance forte à la sécurité des informations qu ils nous confient Mais aussi pour renforcer notre offre de management des risques, en particulier sur le volet accompagnement aux projets ISO 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 5
Agenda 1. Enjeux de la certification de nos prestations 2. Retour sur un SMSI de 4 ans 3. Bilan et perspective 6
Le SMSI Audit Solucom : 4 ans de vie active Avr. 08 Sept. 08 Sept. 09 Sept. 10 Sept. 11 Sept. 12 Construction Consolidation Adoption Renouvellement Extension Périmètre initial : Siège Paris-La Défense Construction d un SMSI stable et pertinent sur la base des mesures existantes et adaptées Interactions fortes avec le Cabinet, impliquant la prise en compte des évolutions organisationnelles et métiers Adhésion de l ensemble des acteurs contribuant au SMSI permettant l identification permanente d axes d amélioration Extension du périmètre : Agence de Nantes Identification et cadrage du besoin métier Réalisation de l analyse de risques complémentaire Mise en place de mesures équivalentes Création d un correspondant SMSI : relais de proximité au sein de l équipe Nantes «Pool Audit» Identification d un responsable métier, travail collaboratif Simplification des processus de gestion (affectations notamment) Évolution et amélioration des outils internes Audit de certification Audit de surveillance 1 Audit de surveillance 2 Audit de renouvellement Audit de surveillance - extension 7
Le périmètre de la certification : des interfaces fortement encadrées Comité de Direction de la Practice Sécurité & Risk Management Management en charge du pilotage des business lines Direction commerciale Affectations Périmètre du SMSI Offre Audit SI Audit Responsable de l Offre Audit Équipe SMSI Locaux (incluant la salle dédiée) Auditeurs et auditeurs stagiaires entrants et sortants du périmètre «Offre Audit» = Ensemble des prestations d audits de sécurité des SI réalisées par le Cabinet Solucom. Il s agit de missions de type : Audit organisationnel Audit technique Test d intrusion Informatique interne Conventions de services Services Généraux et RH du Cabinet Solucom Gestion de la connaissance Prestations d audit de sécurité SI réalisées Protocoles d audit Clients 8
Des processus mis en œuvre de façon pérenne Gérer le SMSI Gérer le SI Audit Gérer les missions d audits Piloter le SMSI Contrôler et gérer les indicateurs Gérer les changements Gérer les entrées/sorties du périmètre Conduire l analyse de risque Gérer les incidents Maintenir le SI en condition opérationnelle Conduire une mission d audit Réaliser la veille sécurité Gérer les non-conformités, les actions préventives et correctives Gérer les habilitations Sensibiliser à la sécurité Les processus essentiels du SMSI Les processus SI et métiers spécifiques 9
Une analyse de risques qui a su vivre avec le temps 2008 2009-2010 2011 2012 2013 et + Première itération Prise de recul, granularité plus fine afin de préciser les mesures et les contrôles associés Évolution de la méthodologie Intégration des actifs nantais et des risques associés Optimisation de la cartographie : diminution du nombre de risques et amélioration de leur regroupement afin d en faciliter la gestion 10
Des mesures de sécurité pour garantir la sécurité de l information Adaptation et pérennisation de pratiques existantes Gestion fine des habilitations Chiffrement des données Protection physique des locaux Infrastructure dédiée au stockage du papier Maintien en condition de la sécurité du SI Mais également la mise en œuvre de nouvelles pratiques «PDCA» Revue formelle avec le management Sensibilisation à la sécurité de l information Tableau de bord dédié, avec indicateurs d activité et d efficacité Focus particulier sur le contrôle : Déclaration d applicabilité : 115 mesures sélectionnées Audit externe annuel Exclusion en particulier des thématiques sur le développement et le commerce électronique Audit interne (technique et conformité) Autocontrôle par le responsable du SMSI 4 à 5 par an mensuel 11
Zoom sur le processus d entrée dans le périmètre Début d une nouvelle mission d audit Affectation sur une mission Message électronique Des processus équivalents pour la fin des missions Effacement sécurisé des données Sensibilisation Destruction des documents Et pour la sortie du périmètre Charte signée? Oui Création de l espace de travail sécurisé Non Charte de l Auditeur signée Automatique au bout d un an sans activité d audit En cas de mobilité ou de départ de la société Déroulement de la mission Tableau de suivi des Missions/Auditeurs Fin du processus 12
Agenda 1. Enjeux de la certification de nos prestations 2. Retour sur un SMSI de 4 ans 3. Bilan et perspective 13
Une organisation dédiée au maintien et à l amélioration du SMSI Management de la practice Sécurité et Risk Management L équipe SMSI Responsable de l Offre Audit Responsable du SMSI (+ Adjoint) Correspondants du SMSI Responsable SI Audit (+ Adjoint) Auditeurs internes Charges récurrentes : 70 j.h/an (+50%) Suivi du périmètre (gestion des entrées / sorties), mesure de l efficacité du SMSI, suivi des audits internes et réalisation des revues annuelles Portées par le responsable du SMSI, son adjoint et le responsable du SI Audit Réalisation des audits internes : 15 j.h/an Par les auditeurs internes nommés en fonction des types d audits Projets du plan de traitement des risques et amélioration des processus : 55 j.h/an Contributeurs du SMSI 14
4 ans plus tard, un succès reconnu Un SMSI pérenne et adopté Des consultants impliqués au quotidien dans la vie du SMSI et son maintien Une transmission des bonnes pratiques à l ensemble du Cabinet Dynamique forte à l échelle et de l activité et du Cabinet Une volonté d amélioration continue Prise en compte des nouveaux besoins métiers Optimisation des processus existants Renforcement des mesures de sécurité Et d autres évolutions à venir Une intégration de Nantes réussie Un correspondant SMSI motivé Le support permanent du management local Pérennisation des processus et des mesures du SMSI historique Un succès visible Forte activité commerciale sur les audits et l ISO 27001 Des clients valorisant nos prestations grâce à la certification 15
www.solucom.fr Contact Gérôme BILLOIS Manager Tel : +33 (0)1 49 03 27 45 Mobile : +33 (0)6 10 99 00 60 Mail : gerome.billois@solucom.fr Florence LE GOFF Consultante Sécurité & Risk Management Tel : +33 (0)1 49 03 27 69 Mobile : +33 (0)6 99 33 69 42 Mail : florence.legoff@solucom.fr