19 e Colloque annuel 4 décembre 2009 Quels plans de contrôles au niveau du RSSI? Didier GRAS Responsable de la Sécurité des Systèmes d Information Groupe BNP PARIBAS didier.gras@bnpparibas.com 1
Rappels sur le dispositif global de contrôle Très tôt le CRBF 97-02 imposa l existence d un dispositif de contrôle interne Au fur et à mesure, ce dispositif de contrôle interne a été précisé Contrôles permanents, menés à tous les niveaux : >opérationnels, > management, > unités spécialisés non opérationnelles. Contrôles périodiques menés par : > l Inspection Générale, > le contrôle des contrôles. 2
Rappels sur le dispositif global de contrôle Le contrôle permanent est diffus certains de ses acteurs sont dans les directions des risques, d autres acteurs sont dans des unités spécialisées hors des directions des risques, enfin, la plupart des acteurs sont dans les métiers puisque le contrôle permanent concerne tout les collaborateurs de l entreprise. > Le technicien qui vérifie la conformité d un serveur avant sa mise en production mène une action de contrôle permanent. > Le technicien qui observe la montée des alarmes virales sur une console de supervision mène une action de contrôle permanent. 3
Ne pas oublier la finalité Évolution de la cybercriminalité KRI (Key Risk Indicator) Gestion de la dynamique Nécessité de «performance» KPI (Key Performance Indicator) Gestion de l efficacité
Une finalité importante du CP Les rapports sur l état des ressources et le fonctionnement des processus montent au mandataire social par le canal hiérarchique. Pour de multiples raisons, le canal hiérarchique peut manquer d objectivité. Le contrôle permanent est un canal parallèle offrant aux dirigeants des assurances raisonnables sur le fonctionnement de l entreprise. Cette finalité est souvent oubliée Il ne faut pas confondre «contrôler» et «consolider les contrôles faits par autrui» 5
Positionnement du RSSI Le RSSI est un acteur du contrôle permanent. Ses contrôles et les rapports associés doivent apporter l assurance raisonnable attendue. Ses contrôles vérifient que les contrôles de niveaux inférieurs > existent, > reflètent t la réalité. apportent des certitudes qui ne soient pas simplement issues de la consolidation des contrôles tôl de niveau inférieur féi : ilf faut une rupture dans l agglomération de contrôles de niveau élémentaire. 6
Démarche d implémentation (1/4) Un exemple parmi d autres Identification du contexte Détermination des objectifs de sécurité Analyse de risques Détermination des exigences de sécurité Sélection des contrôles Implémentation des contrôles Suivre et faire évoluer les contrôles APPROCHE COMBINEE ET COMPLEMENTAIRE > TOP-DOWN > BOTTOM-UP
Démarche d implémentation (2/4) Définition contrôles Approche Groupe Responsabilité : Groupe Contribution les instances IT et des Métiers Construction des livrables Implémentation Entité(s) Responsabilité : Chaque Entité Adaptation à son contexte Déploiement selon la stratégie té de l Entité IDENTIFICATION DES PROCESSUS CLES ET DES ACTIFS IDENTIFICATION DES RISQUES MAJEURS DEFINITION & PUBLICATION DES CONTRÔLES SURVEILLANCE & ANALYSES DES RESULTATS DES CONTRÔLES Une base minimale, commune à chaque Entité Eléments génériques doivant être adaptés par chaque Entité dans son organisation
Démarche d implémentation (3/4) Processus Actifs IT Chapitres 1 - Politique Applications Services Équipements 2 - Organisation - interne 3 - Organisation - externe 4 - Classification des actifs 5 - RH & sensibilisation 6 - Sécurité physique (locaux utilisateurs) 7 - Continuité ité d activité ité 8 - Gestion des habilitations 9 - Gestion des incidents de sécurité 13 - Organisation interne - Développement IT 14 - Organisation interne - Production IT
Démarche d implémentation (4/4) Définir le contexte Identifier & Analyser les risques Formaliser une politique sécurité Définir les contrôles Communiquer sur le Plan de contrôles Implémenter les contrôles dans chaque Entité Prendre les actions pour résoudre ou améliorer les points de sécurité Superviser l implémentation des contrôles Rendre compte des résultats des contrôles
Contrôles RSSI : cohérence globale Avec les responsable des contrôles permanents > dont il est l allié > dont le plan de contrôle global intègre les contrôle du RSSI responsable de risques opérationnels > qui aidera au meilleur ciblage > a des attentes vis-à-vis en matière de résultats des contrôles (en vue d une allocation judicieuse de FP) contrôle périodique le RSSI établit son plan de contrôle en pensant à la nécessité d un circuit apportant des assurances raisonnables au top management, en évitant les redondances, dans une logique d amélioration du SI et non de dénigrement. 11
merci de votre attention Contact : Forum des Compétences 15, rue Taitbout - 75009 Paris Téléphone: 01.48.01.69.69- Télécopie: 01.48.01.69.68 mél: forum@forum-des-competences.org 12