Sécurité de l information : vers une convergence des approches par le risque et par l audit?

Documents pareils
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

PASSI Un label d exigence et de confiance?

ISO/CEI 27001:2005 ISMS -Information Security Management System

Sécurité des Systèmes d Information

La gestion des risques IT et l audit

Recommandations sur les mutualisations ISO ISO & ISO ITIL

ISO conformité, oui. Certification?

Panorama général des normes et outils d audit. François VERGEZ AFAI

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

Opportunités s de mutualisation ITIL et ISO 27001

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

THEORIE ET CAS PRATIQUES

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés

D ITIL à D ISO 20000, une démarche complémentaire

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Brève étude de la norme ISO/IEC 27003

Club ISO Juin 2009

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

L analyse de risques avec MEHARI

Analyse statique de code dans un cycle de développement Web Retour d'expérience

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

L ORSA : quelles conséquences sur le pilotage stratégique de l entreprise?

Excellence. Technicité. Sagesse

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Les clauses «sécurité» d'un contrat SaaS

n spécial Assises de la Sécurité 2009

Bull, un catalogue de service particulier pour répondre aux environnements complexes

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

SEMINAIRE DE L IFE. Un système de management environnemental basé sur ISO Presenté par Manoj Vaghjee

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Microsoft France. Pour en savoir plus, connectez-vous sur ou contactez notre Service Client au *

Projet INPED / Business School

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Vers un nouveau modèle de sécurité

Montrer que la gestion des risques en sécurité de l information est liée au métier

curité des TI : Comment accroître votre niveau de curité

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

IT on demand & cloud professional services

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

2012 / Excellence. Technicité. Sagesse

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

EDITORIAL. Développez Vos Compétences, Anticipez L Avenir! Fatima Zahra ABBADI Executive Manager

ISO/IEC Comparatif entre la version 2013 et la version 2005

AUDIT CONSEIL CERT FORMATION

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

SBA Smart Buildings Alliance for Smart Cities

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

SMSI et normes ISO 27001

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

Compte Qualité. Maquette V1 commentée

PLAQUETTE METIERS. Part of the Orange Group

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Prestations d audit et de conseil 2015

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Urbanisation de système d'information. PLM 6 (Product Lifecycle Management) Collaboration et partage d'informations

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Plan de maîtrise des risques de la branche Retraite Présentation générale

Cabinet Conseil en Intelligence d Affaires. L'Intégration de données et la Qualité des données dans l'écosystème BI actuel et future

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Club toulousain

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Custom Events. IDC France.

Étude EcoVadis - Médiation Inter-Entreprises COMPARATIF DE LA PERFORMANCE RSE DES ENTREPRISES FRANCAISES AVEC CELLE DES PAYS DE L OCDE ET DES BRICS

CERTIFICATE. Reichhart Logistique France. ISO/TS 16949:2009 Third Edition Rue de Neuf-Mesnil Feignies France

NBS System et Zend Technologies Découvrez la scalabilité sans limite pour vos applications PHP grâce au Zend Cloud

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Gestion du risque avec ISO/EIC17799

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Stratégie IT : au cœur des enjeux de l entreprise

Informatique de gestion

Conditions de l'examen

ITIL v3. La clé d une gestion réussie des services informatiques

Optimiser ses pratiques de veille avec Digimind. Journée Juriconnexion «Veille juridique : un atout stratégique» 25 novembre 2014

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Gestion des Incidents SSI

Atelier " Gestion des Configurations et CMDB "

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

Sujet de thèse CIFRE RESULIS / LGI2P

Transcription:

Sécurité de l information : vers une convergence des approches par le risque et par l audit? Retour d expérience Groupe France Télécom - Orange / Conix Security François Zamora Emmanuel Christiann Sébastien Michaud Sylvain Conchon 1

Agenda Exposé du contexte métier (François Zamora, Emmanuel Christiann) Constats, outils et pratiques favorisant la convergence (Sébastien Michaud, Sylvain Conchon) Facteurs de réussite et cas concrets d application (François Zamora, Emmanuel Christiann) Les intervenants : François Zamora, Groupe France Télécom Orange Responsable vigilance opérationnelle Groupe Emmanuel Christiann, Groupe France Télécom Orange Responsable du pôle Evaluation de la sécurité IT&N Sébastien Michaud, Conix Security Directeur Conix Security Sylvain Conchon, Conix Security Consultant senior 2

Agenda Exposé du contexte métier (François Zamora, Emmanuel Christiann) Constats, outils et pratiques favorisant la convergence (Sébastien Michaud, Sylvain Conchon) Facteurs de réussite et cas concrets d application (François Zamora, Emmanuel Christiann) Les intervenants : François Zamora, Groupe France Télécom Orange Responsable vigilance opérationnelle Groupe Emmanuel Christiann, Groupe France Télécom Orange Responsable du pôle Evaluation de la sécurité IT&N Sébastien Michaud, Conix Security Directeur Sylvain Conchon, Conix Security Consultant senior 3

Quelques tendances générales Exigences business nouvelles : la certification ISO 27001 devient obligatoire ici et là De nouveaux signaux : L aptitude du contrôle interne de l entreprise à démontrer son efficacité d abord pour la maîtrise de ses risques business ensuite pour afficher la «compliance» La santé financière assurée, la pérennité du projet industriel est clef 4

De la sécurité de l information vers la sécurité globale 5

Bénéfices immédiat et perspectives Expliciter le sens business de la démarche Faciliter la lecture des risques pour le décideur Clarifier l accountable et le responsible Perspectives d amélioration : Profiter des activités de gestion des incidents Profiter des activités d appréciation de menaces 6

Agenda Exposé du contexte métier (François Zamora, Emmanuel Christiann) Constats, outils et pratiques favorisant la convergence (Sébastien Michaud, Sylvain Conchon) Facteurs de réussite et cas concrets d application (François Zamora, Emmanuel Christiann) Les intervenants : François Zamora, Groupe France Télécom Orange Responsable vigilance opérationnelle Groupe Emmanuel Christiann, Groupe France Télécom Orange Responsable du pôle Evaluation de la sécurité IT&N Sébastien Michaud, Conix Security Directeur Sylvain Conchon, Conix Security Consultant senior 7

Ce qui déclenche la réflexion la gestion des risques identifie les vulnérabilités à partir d une modélisation formelle du périmètre valorise les impacts métiers selon une échelle d impact ou de besoin de sécurité vise la réduction de risque, mais se veut offrir une gestion sur la durée est généralement traitée par une fonction Risk Manager, ou déléguée à la fonction RSSI l audit de vulnérabilités identifie les vulnérabilités à partir de constats d audit provenant du terrain valorise la sévérité des vulnérabilités au sens «système d information» vise la correction des vulnérabilités, mais offre une vue instantanée est généralement traitée par une fonction RSSI, voire une entité dédiée aux audits 8

La problématique est posée Le besoin : évaluer et améliorer le niveau de sécurité d un périmètre identifié Le constat : plusieurs approche sont possibles, chacune présentant ses avantages et ses limites L objectif : faire converger simplement et à moindre coût des approches a priori différentes Approche par le risque Contexte métier du service Contexte opérationnel du service Approche par l audit 9

Approche par le risque : une vue synthétique Modélisation du périmètre Biens essentiels Biens supports R = f ( M, V, I ) Identification et valorisation des risques Étude des menaces Étude des vulnérabilités Étude des impacts métiers 10

Approche par le risque : clefs de succès et limites Etablissement du contexte! source Exhaustif a priori ISO/IEC 27005:2008 Dépendant du choix de modélisation Identification du risque!! Exhaustif a priori (approche analytique) Dépendant de l interprétation de l audité Dépendant de la capacité de l auditeur Estimation du risque!! Dépendant de l interprétation de l audité Dépendant de la capacité de l auditeur Evaluation du risque Capacité à fédérer l audience décisionnaire Traitement du risque! Eloignement des problématiques terrain Difficulté de valorisation du RoSI Identification des responsabilités CONTEXT ESTABLISHMENT RISK ASSESSMENT RISK ANALYSIS RISK IDENTIFICATION RISK ESTIMATION RISK EVALUATION RISK TREATMENT 11

Approche par l audit : une vue synthétique Étude du périmètre Biens supports R = f ( M, V, I ) Identification et valorisation des risques Constats d audit Étude des impacts SI 12

Approche par l audit : clefs de succès et limites Etablissement du contexte! Limité aux biens supports Identification du risque! Sur la base de la réalité du terrain Sans viser la complétude Estimation du risque par la sévérité! A priori dissociée de l impact métier Evaluation du risque Notion absente Pas d indicateur priorisant le traitement Traitement du risque Difficulté de priorisation des actions Difficulté de valorisation du RoSI Identification des responsabilités source ISO/IEC 27005:2008 CONTEXT ESTABLISHMENT RISK ASSESSMENT RISK ANALYSIS RISK IDENTIFICATION RISK ESTIMATION RISK EVALUATION RISK TREATMENT 13

Quelle approche de convergence? La colonne vertébrale reste la notion de risque rapporté au métier CONTEXT ESTABLISHMENT Héritage du l approche par le risque : analyse «top down» Pour la phase d identification (approche analytique) Pour la phase d évaluation (seuil et acceptation du risque) Pour la phase de traitement (montant de la perte dans le RoSI) RISK ASSESSMENT RISK ANALYSIS RISK IDENTIFICATION RISK ESTIMATION Héritage de l approche par l audit : analyse «bottom up» Pour la phase d identification (constats terrain et preuve) Pour la phase de traitement (coût opérationnel de l action dans le RoSI) RISK EVALUATION RISK TREATMENT 14

Agenda Exposé du contexte métier (François Zamora, Emmanuel Christiann) Constats, outils et pratiques favorisant la convergence (Sébastien Michaud, Sylvain Conchon) Facteurs de réussite et cas concrets d application (François Zamora, Emmanuel Christiann) Les intervenants : François Zamora, Groupe France Télécom Orange Responsable vigilance opérationnelle Groupe Emmanuel Christiann, Groupe France Télécom Orange Responsable du pôle Evaluation de la sécurité IT&N Sébastien Michaud, Conix Security Directeur Sylvain Conchon, Conix Security Consultant senior 15

Facteurs de succès d une approche par l audit Identifier les scénarii de risques avec les bases de connaissance des méthodes existantes Bénéficier du caractère réversible de l analyse de risque Bénéficier de la richesse des bases de connaissance existantes permet de viser l exhaustivité du panorama des risques Exprimer les impacts métiers par les techniques propres aux analyses de risque Associer les biens essentiels aux biens supports... Valoriser les constats d audit en impacts techniques et métiers permet de proposer des restitutions adaptées à l audience 16

Un exemple de réversibilité L identification de la menace à partir 1 constat d audit = 1 vulnérabilité générique 1 vulnérabilité générique = N menace(s) générique(s) Constat d audit Vulnérabilité générique Menace générique A telnet service is accessible from the Internet, with a login prompt Possibility of remote administration of the system using non-encrypted administration tools [36] Corruption of data [40] Forging of rights Unsuccessful login attempts are not logged into the system The operating system does not log system records or events [40] Forging of rights Le risque est une menace instanciée et contextualisée Un opérateur interne usurpe les credentials d un administrateur [menace] obtenus à partir de l écoute d une transmission en clair sur le réseau [vulnérabilité] pour porter atteinte à la disponibilité [critère de sécurité] du service [bien essentiel] 17

L approche «bottom-up» explicitée Étude du périmètre Biens essentiels Biens supports R = f ( M, V, I ) Identification et valorisation des risques Étude des menaces Étude des vulnérabilités Étude des impacts métiers 18

Deux situations auditées et valorisées quantity quantity 19

Facteurs de succès d une approche par le risque 1/2 Avérer le risque par l identification des preuves Traiter la problématique de la preuve dans l analyse de risque Selon le périmètre, cette approche peut être coûteuse et ne garantit pas toujours un résultat opérationnel Intéressant pour des systèmes complexes, mais à limiter à des sous-systèmes bien définis et bien délimités Insérer l analyse dans une démarche qualité systématique L analyse de risque déclarative est assumée en phase PLAN de la boucle qualité L audit de la phase CHECK de la boucle qualité offre la preuve de l analyse La synergie des approches intervient à la fin du 1 er tour de la boucle qualité Cette approche relève d une «philosophie» ISO 27001 visant l efficacité (de la maîtrise de risque) et non la conformité 20

Facteurs de succès d une approche par le risque 2/2 Rendre opérationnel le plan de réduction des risques L approche par les risques est nativement opérationnelle Mettre des mots sur des événements redoutés, c est baliser le chemin du succès Modéliser son périmètre, c est mettre et reconnaître chacun à sa place L approche par les risques contribue nativement à l awareness Parce qu elle modélise l effet des pratiques en place Parce qu elle modélise l effet de décisions de traitement du risque Parce qu elle modélise l effet de décisions qui augmentent le risque L approche par les risques associe (mais ne confond pas) les objectifs de conformité et les objectifs de sécurité sur le périmètre pertinent Attester que les mesures de sécurité sont en place pour un objectif de conformité, c est s exposer à une erreur de périmètre d application de ces mesures par rapport aux préoccupations de maîtrise des risques métiers 21

Contribution au business Une montée en maturité du métier, désormais son propre acteur de la sécurité de son information Un bénéfice mesurable pour le business et la fonction sécurité L industrialisation des méthodes optimise les coûts et rend possible le benchmark interne Une «R&D» méthodologique appliquée Un différenciateur concurrentiel Une contribution à la communauté SSI 22

Merci de votre attention P Adoptez l'éco-attitude, n'imprimez cette présentation que si cela est vraiment nécessaire 23

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back