Retour sur investissement en sécurité Convention Sécurité 16 juin 005 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
2 / 32 Hervé Schauer Consultants Société de conseil en sécurité informatique depuis 1989 Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité Windows / Unix et linux / embarqué Sécurité des applications Sécurité des réseaux TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique,... Organisation de la sécurité Certifications CISSP, BSI BS7799 Lead Auditor, IRCA, ProCSSI
3 / 32 Plan Avant-propos ROSI Définitions Introduction Pourquoi? Facteur de succès de la sécurité Coûts de la sécurité Courants d'approche du ROSI Les transparents seront disponibles sur www.hsc.fr Exemples de ROSI Amélioration de la productivité Diminution des incidents Analyse de risque Enjeux métiers Meilleures pratiques Benchmarking Choix du ROSI Positionnement du projet Grille d'orientation d'argumentaire Grille des apports pour la SSI Dossier d'argumentation Conclusion Prochains rendez-vous
Avant-propos Clusif (www.clusif.asso.fr) Groupe de travail ROSI de février 2003 à mai 2004 Ernst & Young, HSC, Lynx, Microsoft, SIVA Publication du document "Retour sur investissement en sécurité des systèmes d'information, quelques clés pour argumenter" en octobre 2004 http://www.hsc.fr/presse/clusif/rosi.pdf Présentation basée sur ce document du Clusif Cercle Européen de la Sécurité (www.leclercle.biz) Présentation en mars 2004 par Arséo 4 / 32
ROSI : définitions ROSI : Return On Security Investment Retour sur investissement en sécurité ROSI vient de ROI : Return On Invesment Gain financier d'un projet de sécurité au regard de son coût total Net : en monnaie constante Investissements et fonctionnement Sur une période d'analyse donnée Projet de sécurité : projet où la sécurité est plus importante TCO : Total Cost of Ownership TCO : Coût total associé au cycle déploiement/maintenance 5 / 32
ROSI : Introduction Le ROSI relativise les coûts par rapport aux bénéfices Point de retour : date à partir de laquelle les gains dépassent les coûts Le ROSI est plutôt la valeur ajoutée d'un investissement en sécurité Le retour sur investissement n'est plus uniquement une notion financière 6 / 32
ROSI : Pourquoi? Manière de travailler, d'analyser et de décider repose de plus en plus sur des tableaux de chiffres Certains dirigeants prennent leurs décisions face à des tableaux Excel Ceux qui prennent en compte d'autres dimensions exigent quand même des tableaux Excel avec des chiffres Le tableau Excel marche pour tous les types de projets Management demande des tableaux des coûts Dans les rapports d'audit de sécurité Lors des réunions de restitution des résultats Tableau des coûts associés aux risques encourus et aux recommendations proposées Pas toujours dans la compétance de l'auditeur 7 / 32
ROSI : Pourquoi? Raisons historiques du pourquoi fait-on de la sécurité ne suffisent plus toujours au management Management applique la notion de ROI à des aspects immatériels Sécurité protège principalement un patrimoine immatériel pas de raison d'y échapper Principaux facteurs d'influence actuels auprès des directions : Obligations règlementaires Sensibilisation à la gestion des risques ROSI : piste complémentaire à l'existant 8 / 32
ROSI : Facteur de succès de la sécurité La sécurité doit s'intégrer dans la manière de faire avec d'autres sujets : Réseaux : planification, déploiement, supervision,... Applications : développement, déploiement, performance, gestion,... La sécurité pourra ainsi mieux s'intégrer dans la vie du système d'information La sécurité commence à apparaitre dans le discours des gens en dehors du monde de la sécurité Plus vue comme quelque chose de séparée. Intègrée de manière multi-dimentionelle 9 / 32
Coûts de la sécurité Coûts organisationels, humains, techniques La sécurité est de l'organisation et des hommes La sécurité n'est pas des licences logicielles Coûts ponctuels et récurrents Coûts tangibles ou intangibles 10 / 32
Coûts de la sécurité Coûts ponctuels Investissements liés à la mise en place et au déploiement des dispositifs de sécurité Coûts des conséquences directes des incidents de sécurité Pertes de production Remplacement des matériels Frais d'assurance Frais d'investigation Pénalités de retard Pertes de parts de marché Dommages et intérêts Coûts de reconstitution Coût récurrents Coûts d'exploitation et d'administration des dispositifs de sécurité Coûts de mise à jour des dispositifs et de leurs procédures Plus des 2/3 du coût total 11 / 32
Coûts de la sécurité Coûts tangibles Mesurables Investissements Maintenance et support Prime d'assurance Baisse de productivité où l'équivalent financier est chiffrable Perte de revenus Remplacement ou reconstitution Coût intangibles Difficilement mesurables Baisse de productivité difficile à mesurer Perte de réputation ou de la confiance des clients Perte de part de marché Non-conformité à la législation Poursuites juridiques 12 / 32
Courants d'approche du ROSI Arguments évoqués dans la littérature Arguments technologiques Généralisation d'outils ou de procédures Réduction du nombre d'incidents Amélioration de la convivialité pour les utilisateurs Arguments métiers Analyse de risque, assurance, confiance, concurrence dans le secteur Arguments règlementaires et normatifs Lois : Sarbanes-Oxley, sécurité financière, informatique & libertés Normes : ISO27001 (BS7799-2) Propres au métier : CRBF 97-02, Bâle II, HIPAA 13 / 32
Exemples de ROSI Amélioration de la productivité Diminution des incidents Analyse de risque Enjeux métiers Meilleures pratiques Benchmarking 14 / 32
ROSI Orienté productivité Pas spécifique à la sécurité Avantage : intuitif car pas spécifique à la sécurité Limites : ne marche pas toujours car souvent technologique Exemple Scénario : Soit une entreprise disposant d'une hot-line de 5 personnes chargées principalement de rétablir les mots de passe prdus et d'assister les utilisateurs dans la complexité des différents système d'authentification Solution : ROSI : Déploiement d'une solution d'authentification centralisée (SSO) de 250 k Réduction du nombre d'appels, diminution de 2 à 5 personnes, coût de fonctionnement passé de 400 k à 160 k 15 / 32
ROSI Orienté incidents ALE : Annual Loss of Expectancy Pertes annuelles prévisibles à partir de la fréquence de survenance d'un incident et coût financier de son impact ROSI : différence entre l'ale actuel et l'ale futur + le coût de la solution Limites Calcul de probabilité donc bases d'incidents et effort de modélisation Pas de distinctione occurence faible/impact élevé et occurence élevée/impact faible Exemple Scénario Attaque virale généralisée couteraît 1M avec une probabilité d'occurence de 70% Solution Diminution de la probabilité de 20% par le déploiement d'une nouvelle infrastructure anti-virale de 150 k ROSI : 70% x 1M - (70-20)% x 1M - 150 k = 50 k 16 / 32
ROSI orienté analyse de risques Comparaison du risque potentiel maximal par rapport au coût de la solution Avantage : approche largement employée Limites Technique de quantification différentes d'une méthode à une autre, d'un expert à l'autre Scénarios de risques non-exhaustifs et hypothèses des scénarios susceptibles d'être remises en cause Exemple Scénario Serveur de production sur un site non-sécurisé redondé localement, en cas de sinistre majeur sur le site la perte est évaluée à 15M Solution Hébergement sur un site distant sécurisé : 4M ROSI : Coût de la solution de 4M par rapport à celui du sinistre de 15M 17 / 32
18 / 32 ROSI orienté enjeux métiers La sécurité est génératrice de richesses dans votre activité Gain de part de marché, avantage concurrenciel Amélioration de la qualité d'un service, de l'image de marque, de la confiance du client Avantage Utilise le langage métier et fédère l'organisme Limites N'utilise pas d'analyse coût/bénéfices Difficile à expliquer et d'atteindre les bons interlocuteurs Exemple Scénario Serveur d'assurance avec fichier nominatif non-protégé : clients, biens assurés,... Solution Sécurisation du serveur, ajout d'un contrôle d'accès, authentification forte ROSI : enjeu lié à l'image et au risque juridique
ROSI orienté meilleures pratiques Avantage Alternative à l'analyse de risque Limite Beaucoup pensent que les meilleures pratiques ne sont pas pour eux Exemple Scénario Un audit de sécurité révèle que l'erp d'une société cotée n'a pas de ségrégation des tâches et de traçabilité, ouvrant la possibilité à des fraudes internes Solution Intervention d'un cabinet d'expertise en sécurité pour reconstruire la sécurité applicative ROSI La direction n'étant pas sensibilisé à la fraude interne c'est le respect de la loi sur la sécurité financière qui les a fait décider 19 / 32
ROSI orienté benchmarking Comparatif de performance des entreprises Avantages Les dirigeants apprécient Limites Ne prends pas en compte les spécificités locales et pousse à faire pareil Exemple Scénario Un audit de sécurité de service en ligne rèvèle un serveur très mal conçu où tous les clients peuvent visualiser les informations des tiers. Jamais un service du secteur n'a été vu dans un tel état. Solution Ré-écrire l'application ROSI Rejoindre la majorité, ne pas faire pire que les autres 20 / 32
Choix du ROSI : méthode CLUSIF Combiner aspects quantitatif et qualitatif en trois étapes : 1) Orientation du projet Projet plutôt métier Projet plutôt sécurité des SI 2) Cartographie contextuelle du projet Quatres axes complémentaires selon le contexte Performance, amélioration de la productivité Risques Sinistralité Enjeux business Trois facteurs influencent l'approche Contexte économique, humain et intrinsèque aux projets 3) Synthèse des apports potentiels pour la sécurité 21 / 32
POSITIONNEMENT DU PROJET Dominante MÉTIER PROJET Dominante SÉCURITÉ des SI Secteur d activité / Métier (contexte économique) CARTOGRAPHIE CONTEXTUELLE Nature du projet (dominante technique / non technique) Interlocuteurs / commanditaires GRILLE D ORIENTATION D ARGUMENTAIRE Performance «au quotidien» Gains de productivité Economies de fonctionnement Prévention des risques Menaces Risques potentiels Aspects réglementaires Baisse de la sinistralité Statistiques incidents ALE Enjeux business Objectifs métiers Apports SSI / enjeux du projet GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES 22 / 32 Métrique quantitative Critères qualitatifs
Projet plutôt métier Positionnement/orientation du projet Financé par une maîtrise d'ouvrage opérationelle ou fonctionnelle Développer l'argumentaire orienté vers l'atteinte des intérêt ou des objectifs du métier Exemple : mise en oeuvre d'une nouvelle messagerie internet, l'intégration de l'anti-virus par les gestionnaires améliore la qualité du service rendu aux usagers et diminue les appels au support Projet plutôt sécurité des SI Développer l'argumentaire sécurité Réduction d'un risque opérationel Exemple : mise à disposition d'une solution de chiffrement pour chaque type d'assistant personnel permet aux employés de protéger les données de l'entreprise vis-à-vis de la perte de l'assistant personnel 23 / 32
Economique 24 / 32 Contexte du projet Culture de gestion du risque déjà existante dans le métier? Environnement législatif ou règlementaire fort? Savoir faire industriel représente un avantage concurrentiel? Humain Pour chaque intervenant : commanditaire, chef de projet, responsable de service, équipes études ou opérationnels : Niveau technique, sensibilité à la sécurité, interêt pour le projet,... Intrinsèque Dominante technologique : importance des experts Dominante organisationelle : amélioration des processus interne Dominante comportementale : tributaire de la culture sécuritaire GRILLE D ORIENTATION D ARGUMENTAIRE
Grille d'orientation d'argumentaire 25 / 32
Grille d'orientation d'argumentaire Faire sa propre grille Garder les questions pertinentes pour son projet Ajouter ses propres questions Faire des propres pondérations Envisager plusieurs grilles pour un même projet Culture latine vs anglo-saxonne Plusieurs sites géographiques Contexte général très différent Faire répondre au même questionnaire à plusieurs personnes 26 / 32
Grille des apports pour la SSI Arguments du projet sécurité en lui-même Son volet sécurité dans le cas d'un projet métier Pour chaque axe Performance, Risques, Sinistralité, Enjeux business Construire son ROSI Déterminer les métriques quantitatives et les critères qualitatifs GRILLE DES APPORTS POTENTIELS DE LA SSI ESCOMPTES Rappel des coûts du projet Investissements, fonctionnement 27 / 32
Grille des apports pour la SSI escomptés 28 / 32
Dossier d'argumentation Gérer la sécurité comme un projet comme les autres Réunir les arguments Objectifs stratégiques Economies d'échelle Contraintes règlementaires Alignement avec la culture d'entreprise Plan de financement Solliciter les acteurs-clés Contrôle interne, finance, management 29 / 32
Conclusion ROSI : instrument récent et sophistiqué Pas d'approche unique mais des arguments clés Fonctions du contexte, de la nature du projet, des interlocuteurs Tout n'est pas quantifiable : les éléments intangibles doivent s'apprécier autrement Utile à ceux qui sont déjà mature en sécurité et qui souhaitent optimiser les dépenses en sécurité Commencez avec des cas simples 30 / 32
Prochains rendez-vous Formation DNS : 21 juin, Postfix et anti-spam : 22 juin http://www.hsc.fr/services/formations/ Formations SecurityCertified : 5-9 & 19-23 septembre Permettant de passer la certification SCNP http://www.hsc.fr/services/formations/ Formation BS7799 Lead Auditor : octobre 2005 Certifiée par LSTI et reconnue par l'irca http://www.hsc.fr/services/formations/ Sur www.hsc news.com vous pourrez vous abonner à la newsletter HSC 31 / 32
Ressources Sur www.hsc.fr vous trouverez des présentations sur Infogérance en sécurité Sécurité des réseaux sans-fil Sécurité des SAN Sécurité des bases de données SPAM BS7799 etc 32 / 32