Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI? 1
Intervenants Pascal LOINTIER CLUSIF (Club de la Sécurité de l Information Français) Président pascal.lointier@clusif.asso.fr Sébastien RIMBERT Ernst & Young Senior Manager Risk Advisory sebastien.rimbert@fr.ey.com Modérateur François BEAUME Dalkia Responsable du Département Risk Management fbeaume@dalkia.com 2
Objectifs de l Atelier Quoi? Les sujets SI dans lesquels le Risk Manager est, où peut être, impliqué. Qui? Qui seront ses interlocuteurs? Quel rôle? Quelle valeur ajoutée du Risk Management dans ce/ces process? 3
Risk Managers : quels profils? Trois catégories de Risk Manager «AP» regroupant ceux en charge des activités d Assurance et de Prévention. «ERM» englobe ceux qui sont tournés vers la Gestion Globale des Risques, y compris ceux dédiant une part significative de leur temps au contrôle interne. «AP & ERM» concerne les personnes dont l activité est à la fois orientée vers l Assurance et la Prévention et vers la Gestion Globale des Risques. 4
Le Système d Information (SI) Quel(s) SI? Quelle(s) transformation(s)? Quelques exemples : - Migration d un ancien système vers un ERP (PGI : Progiciel de Gestion Intégré), - Externalisation vers le Cloud, - Numérisation des automates de production industrielle, - Services généraux sur IP, - / 5
Le Système d Information (SI) ou les Systèmes d informations historiques : Management Infogérance/Externalisation (dont CLOUD) Téléphonie (IPBX) Services Généraux Production/Régulation BYOD (Bring Your Own Device), équipement possédé par l employé Biomédical, équipement embarqué sur l employé 6
Services Généraux sur IP Clonage de badge sans contact Destruction du groupe électrogène Ouverture de serrures à distance Brouillage GSM (GPS de géolocalisation) Arrêt de la ventilation Brouillage ou modification d angle de vidéosurveillance 7
«SCADA» et réseaux industriels Production Régulation Signalisation Configuration Houston (E-U), 2011 : hacking de la gestion de l eau de la ville, capture d écran comme preuve TCP/IP (un des protocoles d Internet) Ethernet (un des protocole de «réseau local» Systèmes d exploitation standards (Win-CE, Linux) Accès maintenance à distance (via modem mais le plus souvent via Internet) M2M (dialogue directement entre machines) 8
Différents SI et acteurs impliqués Acteurs SI Projet de mise en place d ERP Projet de mise en place d un SIGR 9 Cloud SI de production Responsable(s) métier(s) 4 4 4 DSI 4 4 DJ/CIL 4 4 4 RSSI 4 4 Contrôle Interne 4 Services généraux Sécurité 4 4 / 4 Zones d intervention du Risk Management sur une problématique SI et ce quelque soit l acteur, le SI ou son rôle (ERM, AP, les 2).
En savoir plus RM et RSSI Deux métiers s unissent pour la gestion des risques liés au SI Commission Systèmes d Information de l AMRAE en partenariat avec le CLUSIF (Club de la Sécurité de l Information Français) 10
Types de rôles du Risk Manager Son implication peut se décliner sous les rôles, non exclusifs, suivants : Contributeur : Participe au projet (mise en sécurité, transformation, etc.) notamment par la réalisation d analyse des risques Demandeur : Mise en adéquation du plan d assurance par rapport à l évolution de l exposition Consulté : Financement de la crise et du plan de reprise Prescripteur : Impose un niveau de sécurité, le respect de conformités (internes/externes) Valideur : Adéquation des procédures de sécurité par rapport aux exigences de conformité 11
Quelques illustrations du rôle et des relations du Risk Manager avec les différents acteurs SI impliqués au travers de 4 zooms : #1 - Mise en place d un ERP #2 - Cloud & sécurité physique #3 - Intrusion & réglementaire #4 - Mise en place d un SIGR 12
La place du Risk Manager dans un projet de transformation SI Zoom #1 : L exemple de la mise en place d un ERP 13
Un rôle clé à jouer par le Risk Manager Niveaux d implication Risques associés au projet SI Intégration de la dimension «risque» dans la conception d un ERP RISK MANAGER Valeur ajoutée du risk manager Méthodologie ERM Cartographie des risques utilisée comme un des outils de pilotage du projet Apporter un prisme risque / contrôle souvent mal appréhendé 14
Risques associés au projet SI Principales étapes Valeur ajoutée du Risk Manager Intégration de la dimension «risque» dans le projet SI 1 2 Analyse des risques du projet Traitement des risques Vision «large» des risques (stratégique, opérationnel, financier, humain, gestion de projet) Apport de méthodologie (identification et hiérarchisation des risques) Apport de méthodologie : définition du niveau d appétence aux risques et choix de la stratégie de traitement des risques 3 Pilotage et suivi Apport d outils (ex : tableau de bord de suivi des risques) 15
Intégration de la dimension «risque» dans la conception d un ERP 16
La place du Risk Manager dans un projet de transformation SI Zoom #2 : Cloud & sécurité physique 17
CLOUD : haute indisponibilité parfois! Tendances Virtualisation La virtualisation comme un ensemble de techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitation et/ou plusieurs applications, séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes (Wikipedia) Cloud computing L'«informatique dans les nuages» permet aux entreprises de réduire leurs coûts en délocalisant leurs contenus et en utilisant des applications à distance. Mais «c'est un cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes traditionnelles», a estimé John Chambers, PDG de Cisco (01net, 27/04/2009) Source : CLUSIF, Panorama Cybercriminalité, année 2009 18
CLOUD : haute indisponibilité parfois! - Haute disponibilité La haute disponibilité est un terme souvent utilisé en informatique, à propos d'architecture de système ou d'un service pour désigner le fait que cette architecture ou ce service a un taux de disponibilité convenable (wikipedia) Pour mesurer la disponibilité, on utilise souvent un pourcentage essentiellement composé de '9' : 99% désigne le fait que le service est indisponible moins de 3,65 jours par an 99,9%, moins de 8,75 heures par an 99,99%, moins de 52 minutes par an 99,999%, moins de 5,2 minutes par an 99,9999%, moins de 54,8 secondes par an 99,99999%, moins de 3,1 secondes par an Etc. 19 Et pourtant
Haute indisponibilité parfois! Variétés d incidents Panne électrique (UPS) et crash disques au redémarrage Feu électrique, destruction du générateur de secours et de l UPS, commutateurs électriques, etc. Mise à jour corrective qui bogue Mauvaise configuration du routage entre 2 Data Center Attaque en DDoS ciblant des ressources DNS dans un Data Center spécifique 20
Haute indisponibilité parfois! Des effets secondaires Temps de redémarrage des serveurs Crash des disques Destruction par incendie, le reste par inondation pour extinction Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients) Saisie des serveurs (FBI chez Core IP Networks, Texas) Perte de contrats (prestataire mais aussi pour l entreprise commerciale vis-à-vis de ses propres clients) Twitter «interdit» de mise à jour par une Administration le dimanche de juin d une élection (2009) 21
Les machines virtuelles 22
Un chantier comme les autres Vélizy, 2011, construction d une ligne de tramway Source : CLUSIF, Panorama Cybercriminalité, année 2011 La seule fibre optique : le secours en boucle était planifié après les travaux de voirie 23
Des impacts immédiats Des opérateurs touchés Le site d un hébergeur dans le noir Et des organisations fortement impactées (coupure/bascule PRA) : 250.000 euros de perte, 120 personnes au chômage technique Temps de réparation : 8H puis la reprise post-incident 24
Zoom #2 En savoir plus L'infogérance : externalisation de services informatiques et gestion des risques Commission Systèmes d Information de l AMRAE en partenariat avec le CLUSIF (Club de la Sécurité de l Information Français) Cahier technique disponible en téléchargement sur les sites : www.amrae.fr www.clusif.asso.fr 25
La place du Risk Manager dans un projet de transformation SI Zoom #3 : L intrusion et la réglementation 26
Hacktivisme et Sony Début avril, Anonymous réclame le droit au débridage (jailbreak) de la PS3. Il souhaite aussi l arrêt des poursuites à l encontre de Georges Hotz (pseudo GeoHot). Entre le 16 avril et le 19 juin, plus de 20 attaques sont référencées. Plus de 100 millions d individus voient leurs données personnelles détournées. Le 23 mai, en pleine période de crise, Sony annonce déjà une enveloppe de $170 million (14 billions de yen) pour répondre aux attaques. L un des nombreux messages des Anonymous à Sony Source : CLUSIF, Panorama Cybercriminalité, année 2011 27
Médiatiquement, la variation de cours 11 mars 2011 (tremblement de terre & tsunami) SONY (SON1.MU) Sony PSN Offline Rumeur de piratage 06 10 Sony PSN Online 12/13 05 17/19 21 28
Les premiers impacts Remise en état du système Gestion des fraudes aux cartes (buzz à propos du black market) Durcissement de la sécurité (Sony était conforme PCI-DSS ) Embauche d un RSSI Groupe Mais aussi/surtout des poursuites : class action, pénalités, préjudices subis estimation à 122 millions USD 29
Les impacts, suite Source : Jean-Laurant Santoni, Gras Savoye, journée cybercriminalité, UCL, Lille, 2011 30
La place du Risk Manager dans un projet de transformation SI Zoom #4 : La mise en place d un Système d Information de Gestion des Risques (SIGR) 31
Bénéfices d un SIGR pour le Risk Manager Quels enjeux? Quelles fonctionnalités attendre? Formaliser, homogénéiser et pérenniser une base de connaissance dans un outil unique Faciliter la comparaison pluriannuelle de l exposition aux risques et suivre son évolution Formalisation / Gestion des référentiels Evaluation des risques (cartographie) Risque inhérent / résiduel / cible Sécuriser et tracer les données de manière fiable et centralisée Progiciel adapté Traitement des risques (gestion et suivi des plans d action) Consacrer moins de temps à la consolidation des données et plus de temps à l analyse 32 Collecte et suivi des incidents Rapports pré-formatés, tableaux de bord pour analyse
Une implication clé du Risk Manager à chacune des phases de mise en place du SIGR! Sélection de la solution Management de projet Déploiement Phase 1 Phase 2 Phase 3 Quelle solution est la plus adaptée à mes besoins particuliers? Les besoins sont-ils correctement spécifiés et intégrés dans la solution? La conduite de changement est-elle optimale? Analyse des besoins et rédaction du cahier des charges. Identification des acteurs clefs Préparation d une grille d analyse et soutenance des éditeurs. Animation d ateliers de spécifications fonctionnelles. Rédaction des spécifications fonctionnelles. Rédaction du cahier de tests fonctionnels. Assistance aux tests fonctionnels. Formation des utilisateurs sur les concepts métiers. Assistance aux formations outil. Assistance à la conduite de changement Management de projet 33
Zoom#4 En savoir plus Panorama des SIGR 2012 Cahier technique disponible en téléchargement sur le site www.amrae.fr Première présentation : Aujourd hui, 12h30, Espace animation de l AMRAE. 34
En synthèse Quel rôle? La valeur ajoutée du Risk Management (et de facto du Risk Manager) dans ces process est maximisée si elle s accompagne notamment : - d un apport de méthode (analyse, appréciation, suivi des incidents, etc.), - de l apport d un éclairage alternatif par les risques, souvent peu ou mal appréhendé, - d une sensibilisation au risque et à son traitement. 35
En synthèse Quoi? Le Risk Manager peut, et doit, s impliquer dans les sujets SI car le SI n est ni : - un sujet propriétaire, - purement technique. En revanche c est sujet encore nouveau et très évolutif : le coût d acquisition (compréhension du sujet, du vocabulaire, etc.) pour le Risk Manager peut sembler élevé mais est désormais nécessaire. 36
Des questionnements subsistent Pour la partie Assurance, le Risk Manager à besoin de fournisseurs et partenaires ayant la même compréhension que lui des enjeux associés, et de fait des offres adaptées. Où en sont sur ces sujets les : - assureurs & réassureurs? - courtiers? - experts d assuré et d assureur? Des points de contrôle «classiques» mais toujours valables dans ce nouveau contexte : - libellé des définitions - définition du périmètre (du SI, etc.) - analyse technique de l exposition 37
Merci! La présentation sera en ligne dès la semaine prochaine sur www.amrae.fr 38