Synthèse Quelle performance opérationnelle pour la sécurité de l information? Décembre 2010 : Synthèse de notre étude des enjeux et de la démarche d optimisation Benchmark des priorités et bonnes pratiques
Introduction du responsable de la Practice Sécurité Chers clients, La maturité de vos organisations sécurité et un contexte économique exigeant posent la question de l'excellence opérationnelle. Plus vite, plus grand, plus efficace : des attentes métiers que vous devez accompagner. Nous avons décidé de combiner nos expertises en sécurité et en performance pour vous proposer les meilleures pratiques de la performance opérationnelle appliquées concrètement au domaine de la sécurité de l information. Certains d'entre vous ont déjà mis en oeuvre notre approche ou déployé un module pour optimiser l'accompagnement des métiers, la gestion des fournisseurs ou la mise en place de catalogues de services sécurité, par exemple. Nous avons également mené deux études auprès de vous, enrichies de nos retours d'expériences en performance sécurité. La première est un benchmark des enjeux et des domaines d'action que vous avez estimés prioritaires. Un grand merci pour l'accueil que vous avez réservé à ces entretiens qui ont été réalisés entre mars 2009 et mars 2010 sur la base du jeu de cartes OPIS (Operational Performance of Information Security). La deuxième est une évaluation par notre B-Community Information Security des solutions technologiques qui contribuent à la sécurité des systèmes d information. Nos convictions s'en trouvent renforcées : approche de la sécurité par les processus et insertion dans les processus de l'entreprise, décloisonnement de l'organisation sécurité, responsabilisation des acteurs par les risques, conception pragmatique fondée sur la pérennité des effets des actions et non pas sur la granularité du contrôle. La synthèse que vous tenez entre vos mains présente la problématique, les résultats des benchmarks ainsi que quelques clés et outils méthodologiques qui vous permettront d'optimiser la performance de votre filière Sécurité. Je vous laisse parcourir ce document qui reflète le point de vue et le savoir que Beijaflore a capitalisé. Maxime de Jabrun 3
Table des matières La sécurité de l information au cœur de l entreprise..................6 De l expertise sécurité à la performance opérationnelle Benchmark de la performance opérationnelle des processus sécurité........................................9 Analyse et synthèse des axes stratégiques pour une sécurité performante Benchmark des technologies et outils sécurité.....................15 Un point de vue d expert sur la sécurité au quotidien Une approche processus éprouvée..............................21 Maîtrise efficiente des risques sécurité comme levier de compétitivité Conclusion...............................................26 5
La sécurité de l information au cœur de l entreprise De l expertise sécurité à la performance opérationnelle Point de situation sur la sécurité de l information Quelle sécurité de l information pour demain? Budget Entre 2008 et 2009, 60% des entreprises ont augmenté leur budget sécurité. La part de la sécurité dans le budget IT global tend à progresser. En 2010, les entreprises françaises allouant moins de 3% de leur budget IT à la sécurité ne sont plus que 27% - contre 33% en 2009 ; 42% affichent une enveloppe de plus de 3% - contre 37% en 2009. Positionnement Le RSSI est soit rattaché à la DSI (36%), soit à la Direction Administrative et Financière (DAF) (12%) ou directement à la Direction Générale pour un tiers (34%) des entreprises, en fort recul par rapport à 2008 (-11%). Ceci peut s expliquer par l arrivée plus nombreuse de RSSI au sein d entreprises de tailles moyennes ayant un niveau de maturité en SSI encore faible. Mesures de la sécurité Plus de 65% des entreprises ne mesurent toujours pas leur niveau de sécurité régulièrement. Plus des deux tiers (71%) des entreprises mènent au moins un audit par an, alors que 25% n en mènent pas du tout (-10% par rapport à 2008). Dans les tableaux de bord, l évaluation des risques métier est de plus en plus suivie 39%, +7% par rapport à 2008. Source : Clusif 2010, Menaces informatiques et pratiques de sécurité en France Un contexte en évolution constante La sécurité de l'information s'est fortement développée pour répondre à des risques qui sont apparus avec la globalisation des systèmes d'information. Aujourd hui, le risque technologique n est plus le seul élément moteur des équipes sécurité et cette approche tend à s aligner sur les risques et besoins métiers. Malgré une position plus stratégique des RSSI, le manque de budget et les contraintes organisationnelles rendent difficile une bonne couverture des risques. Bien que les initiatives de mise en conformité soient globalement satisfaisantes, un tiers des projets restent à sécuriser et le contrôle continu du maintien de cette conformité est perfectible. Vers une recherche de performance pour la filière sécurité La sécurité occupe une place grandissante tant au niveau stratégique que réglementaire. Les entreprises n'ont cependant pas les capacités humaines, matérielles et financières pour répondre rapidement à ces nouveaux impératifs. Les chiffres révèlent des lacunes dans la sécurité de l'information. Néanmoins, les organisations prennent conscience de l'importance d'une protection efficace contre les menaces de sécurité. Elles ont une démarche de plus en plus proactive. Les RSSI rencontrent des difficultés pour suivre la performance de leurs mesures de sécurité. 6
Notre vision de la performance opérationnelle De la performance opérationnelle à la sécurité de l information Performance opérationnelle = ensemble de bonnes pratiques qui permettent d améliorer la qualité, d optimiser la gestion de toutes les ressources et ainsi de créer de la valeur au sein du département Objectif de performance de la filière sécurité = augmenter l efficacité des processus Efficacité = Pertinence x Efficience Pertinence = rapport entre les moyens utilisés et les objectifs. Deux facteurs influencent la pertinence des processus de sécurité : l identification des besoins et des objectifs métiers l analyse des risques sécurité Maturité et approche par les risques Maturité de la sécurité = niveau d expertise, d expérience, de prise de conscience des usagers, d alignement au business que l entreprise possède en sécurité de l information Se protéger = Identifier, évaluer, et apporter une réponse adaptée à chaque risque Probabilité = probabilité qu un scénario d attaque (menace exploitant une vulnérabilité) se réalise Impact = niveau d impact pour le métier (financier, image, clientèle, juridique, ) est déterminé par les besoins sécurité impactés par une vulnérabilité Efficience = Résultats optimum en regard des moyens déployés. Travailler l efficience = Augmentation des résultats des processus Optimisation des moyens à niveau de résultat équivalent L objectif de performance des filières sécurité Performance opérationnelle du dispositif sécurité Des services sécurité performants Couverture performante des risques Eléments clés d une analyse de risques sécurité Risque = Probabilité x Impact = f (Menace, Vulnérabilité, Besoins, Actif) Menace - Une menace est un danger qui peut se réaliser Etat embryonnaire Matrice Beijaflore de performance du dispositif sécurité Bonne couverture des risques Niveau de sécurité délivré Vulnérabilité - Une vulnérabilité est une faiblesse qui peut être exploitée par une menace Besoins - Les besoins de sécurité se rapportent à l actif, en termes de confidentialité, d intégrité, de disponibilité et de preuve. Actif - Tout ce qui a de la valeur pour l entreprise Echelle de maturité en sécurité de l information Menace Maturité en gestion des risques Faciliter la création de valeur Adapter les solutions sécurité aux besoins métiers Appliquer uniformément les standards définis par l organisation Temps Vulnérabilité Besoins C I Actif P D Impact Probabilité Echelle de maturité sécurité Beijaflore 7
Une approche par les enjeux de performance Les gains de performance pour la sécurité Si la performance opérationnelle est recherchée depuis longtemps dans les processus industriels, elle est peu abordée dans le domaine de la sécurité de l information. Dans un contexte qui exige une amélioration permanente de l efficience des processus, pourquoi ne pas appliquer les démarches éprouvées de performance opérationnelle à la sécurité? Avec OPIS, Beijaflore propose d appréhender la maîtrise des risques sécurité comme un levier de compétitivité pour l entreprise. Le socle d analyse d OPIS s appuie sur onze familles qui regroupent une soixantaine de processus et qui couvrent ainsi la globalité de l activité sécurité. La performance opérationnelle de ces processus sécurité est étudiée au travers de sept enjeux essentiels. Décloisonner la sécurité, éliminer les dysfonctionnements et industrialiser les pratiques sont autant de leviers pour améliorer la performance opérationnelle de la sécurité. En généralisant cette démarche qui impacte les sept enjeux clés de la performance opérationnelle de la sécurité de l information, les grands comptes seront témoins d une amélioration globale de leur dispositif de sécurité. 7 Enjeux essentiels de performance opérationnelle pour la sécurité Alignement métier Faire correspondre les processus sécurité à des besoins des métiers de l entreprise ou des risques que les métiers souhaitent couvrir Couverture S assurer que les activités sécurité sont prises en compte pour le périmètre requis (organisationnel, géographique, technique) Cohérence Garantir que les mêmes inputs génèrent les mêmes résultats et ainsi augmenter la prédictibilité des activités / processus sécurité Réactivité Optimiser les délais de prise en compte et de traitement Coût Réduire la charge financière (jh, ) nécessaire à la couverture des risques Respect Faire en sorte que l ensemble des activités soient constamment réalisées telles que définies Réutilisation Réutiliser les résultats des processus sécurité sans avoir à réeffectuer toutes leurs activités (solutions, recommandations ) Un historique à gérer? Une réduction du budget sécurité? Une modification de votre organisation? Des clients plus exigeants? Des menaces plus importantes? Operational Performance of Information Security Améliorer le respect Optimiser les coûts Améliorer la cohérence Augmenter la couverture Augmenter la réactivité Améliorer l alignement métier Favoriser la réutilisation 8
Benchmark de la performance opérationnelle des processus sécurité Analyse et synthèse des axes stratégiques pour une sécurité performante Objectif, périmètre et méthode L objectif est de permettre aux RSSI de positionner leur vision de la performance opérationnelle de leur dispositif sécurité par rapport au marché en identifiant : Les enjeux de performance Cohérence Alignement au métier Réactivité Respect Coûts Réutilisation Couverture Les périmètres sur lesquels agir Analyse & Gouvernance Vulnérabilités Identités & Accès Patrimoine informationnel Continuité Conseil sécurité Stratégie Accès réseau Audit & Contrôle Alertes & Incidents Ressources humaines Le profil type est un RSSI groupe ou métier (78%) d une société qui emploie plus de 150 000 personnes (61%) réalisant un chiffre d affaires supérieur ou égal à 5Mds d euros (81%) Présentation de l échantillon Secteur Chiffre d affaires Assurance Industrie & service Banque 23% 32% 45% 5% 5% 9% 23% 58% Inférieur à 500 M Compris entre 500 M et 1 Mds Compris entre 1 et 5 Mds Compris entre 5 et 50 Mds Supérieur à 50 Mds Effectif Inférieur à 1 500 Compris entre 1 500 et 5 000 13% 13% 13% 22% 22% Profil Fonction IT Compris entre 5 000 et 150 000 Supérieur à 150 000 61% 56% RSSI Entité métier RSSI Groupe 9
Déroulement des interviews Les interviews se sont appuyées sur le jeu de cartes OPIS. Jeu de cartes OPIS : 11 cartes beiges «familles OPIS» et 7 cartes grises «Enjeux» à positionner sur un plateau où sont imprimées deux matrices : matrice de potentiel de gain opérationnel et matrice d amélioration des processus sécurité. Jeu de cartes OPIS Attente client plus forte Alignement au métier Réutilisation gains gamea3:mise en page 1 12/06/09 15:21 Page 2 Vulnérabilité Exemples Besoin d amélioration plus urgent Respect Veille technologique Sécurisation de ressources Patching de ressources Maintenance Beijaflore Operational Performance of Information Security Potentiel de gain plus élevé processus Accès réseau Contrôle & Audit Operational Performance of Information Security Posture Sécurité Contribution plus forte 10
Quelques exemples types d amélioration de la performance opérationnelle sur des processus sécurité de l information Les drivers Réduire les coûts du processus de cloisonnement Améliorer l alignement métier du processus de sensibilisation Améliorer la réactivité du processus IAM Améliorer la cohérence des analyses de risques Améliorer la couverture de gestion des vulnérabilités Améliorer la réutilisation du processus d alertes et incidents Les points d amélioration potentiels Réduire le coût de l isolement d une ressource informatique Renforcer le suivi des règles de sécurité Réduire le délai d implémentation des droits Objectiver la démarche d évaluation des risques Augmenter le nombre de ressources dans le périmètre de gestion Définir une méthodologie centrale et un outil de capitalisation Leviers clés Virtualiser les architectures Identification des risques IT en lien avec l activité métier Routage et priorisation des demandes, automatisation des tâches, centralisation des outils d implémentation Définir un catalogue de scénarios et une méthode d évaluation commune Modifier le process de mise en production Rédiger une politique et une méthodologie d alerte aux incidents déclinable sur les différents périmètres 11
Synthèse des résultats Enjeux de la performance opérationnelle de la sécurité La matrice des enjeux opérationnels donne une tendance où 3 groupes d enjeux se distinguent : Augmenter la couverture et améliorer l alignement métier sont les enjeux principaux des répondants Améliorer le respect et la cohérence, augmenter la réactivité et favoriser la réutilisation sont des enjeux secondaires Réduire les coûts reste une attente forte malgré une estimation de potentiel faible Priorisation des périmètres d action La priorité des RSSI en matière de sécurité de l information est donnée aux processus de gestion des identités et des accès, de contrôle ainsi qu au traitement des vulnérabilités. Parmi les projets de premier plan, on citera entre autres la détection des vulnérabilités, la gestion et synchronisation des référentiels d identité, la traçabilité des accès, la définition du plan de contrôle La description des familles de processus est détaillée en annexe. Enjeux de la performance opérationnelle de la sécurité Priorisation des périmètres d action Attente client plus forte Coûts Réactivité Couverture Respect Alignement au métier Réutilisation Besoin d amélioration plus urgent Gouvernance Patrimoine RH IAM Vulnérabilité Contrôle Analyse Alertes Réseau Cohérence Stratégie Continuité Potentiel de gain plus élevé Posture Sécurité Contribution plus forte Source : Benchmark Beijaflore, 2010 Positionnement relatif 12
Synthèse des résultats L augmentation de la couverture est l attente principale du top management et le point d amélioration potentiel le plus fort du périmètre sécurité. L alignement des processus sécurité aux besoins métier est un enjeu majeur des équipes sécurité. Pour la grande majorité des RSSI interrogés, la priorité est donnée à la gestion des identités & accès qui est de plus un enjeu pour la DSI. Le contrôle & l audit contribuent toujours autant à la posture sécurité et nécessitent encore des améliorations notamment dans la gestion des tiers et la sélectivité dans les plans de contrôle interne. Les projets d amélioration des plans de contrôle permettent ainsi d obtenir un juste équilibre entre une bonne couverture du périmètre et une maîtrise des charges induites. Appliqué au sourcing, cela peut également permettre la mise en place d un système de pénalités pour les fournisseurs. Ces pénalités permettent d assurer une meilleure prise en compte opérationnelle des enjeux sécurité dans les services fournis. Les enjeux majeurs identifiés pour optimiser la performance opérationnelle de la sécurité de l information sont l alignement au métier des processus sécurité de la gouvernance et la couverture du périmètre géographique et technique par la gestion des vulnérabilités. Matrice processus sécurité prioritaires / enjeux identifiés Gains principaux Alignement Métier Coûts Couverture Gains secondaires Cohérence Réutilisation Contrôle & Audit Contrôle & Audit Gouvernance Gouvernance Identités & Accès Identités & Accès Vulnérabilités Vulnérabilités Source : Benchmark Beijaflore, 2010 Très important Important Moyen 13
Synthèse des résultats Les enjeux par profils Les enjeux propres au profil RSSI Groupe tiennent en grande partie à l amélioration de la réactivité des processus de contrôle et de gouvernance. Derrière ces enjeux se dessinent souvent des tableaux de bords trop complexes avec des indicateurs pas assez pertinents qui limitent la performance des contrôles et des cycles de reporting. Pour le profil RSSI Entité métier, l augmentation du périmètre de sensibilisation des usagers du SI et des plans de contrôle est un enjeu majeur. Leur vision de la performance est principalement sujette à un travail de maîtrise de l impact de l homme sur la sécurité avec une proximité assez forte au métier. La cohérence de l approche et le respect des règles font partis de leur conviction dans l amélioration de la performance opérationnelle. Les profils fonction IT ont des préoccupations liées aux processus opérationnels de leur périmètre. Leur priorité va à la réutilisation et à l alignement sur les besoins métiers. Ces enjeux peuvent par exemple être primordiaux pour : la gestion des règles des firewalls où l empilement des règles inhibe souvent leur performance ; la capitalisation sur les accompagnements sécurité dans les projets métiers ; la compréhension du fonctionnement des lignes métiers pour implémenter des services adaptatifs. Matrices processus sécurité prioritaires / gains identifiés par profil RSSI Groupe Gains principaux Alignement Métier Couverture Réactivité Réutilisation Analyse & Conseil Contrôle & Audit Gouvernance Identité & Accès Vulnérabilités RSSI Entité métier Contrôle & Audit Gouvernance Identité & Accès Alignement Métier Couverture Gains principaux Réactivité Cohérence Respect Fonction IT Accès au réseau Identités & Accès Vulnérabilités Alignement Métier Gains principaux Couverture Réutilisation Ressources Humaines Vulnérabilités Source : Benchmark Beijaflore, 2010 Très important Important Moyen 14
Benchmark des technologies et outils sécurité Un point de vue d expert sur la sécurité au quotidien Objectif, périmètre et méthode Ce benchmark a pour objectif de partager avec vous notre point de vue sur les outils et technologies qui contribuent à la maîtrise des risques sécurité. Nous vous proposons une cartographie générale des solutions sécurité qui vous permettra de guider vos choix technologiques stratégiques à court et moyen terme en fonction d un référentiel de critères pertinents pour la réussite de vos projets sécurité. Ce benchmark est l objet d une mûre réflexion sur la capacité des technologies et outils présents sur le marché à répondre facilement aux problématiques actuelles de sécurité de l information. Nous avons élaboré un modèle d évaluation permettant d orienter les choix technologiques d une entreprise. Nous vous présentons dans ce document une vision nourrie de nos interventions, vision qui peut être déclinée dans votre entreprise. Le modèle d évaluation L'évaluation des outils sécurité est faite suivant deux paramètres : l'impact sécurité de la solution la facilité de déploiement et de gestion de la solution Modèle d évaluation Beijaflore des technologies et outils sécurité Impact Sécurité Diminution du risque sécurité impact sur le niveau de sécurité Facilité de déploiement et de gestion Popularité taux d adoption par des entreprises Facilité de déploiement Impact user niveau d implication nécessaire des futurs utilisateurs Impact sur le SI importance de la pré-production, de la mise en production et de l analyse Expertise de la solution niveau d expertise et de formation pour l implémentation de la solution Ressources IT spécifiques importance du nombre et de la standardisation des composants (soft/hard) Facilité de gestion Coût investissement nécessaire pour gérer la solution Maintenance maintien de l infrastructure / configuration nécessaire pour fonctionner correctement Simplicité du support niveau d expertise déployée pour maintenir la solution en production Contraintes induites contraintes opérationnelles potentielles induites par l utilisation de l outil 15
Positionnement global des outils et technologies sécurité Les résultats génériques de ce benchmark sont rassemblés dans la matrice de positionnement qui prend en compte l ensemble des critères de la méthodologie d évaluation Beijaflore. Cet outil de cartographie générale des outils et technologies sécurité permet de suivre l évolution des cycles de vie des solutions, de matérialiser la veille technologique mais également de positionner ces technologies de manière relative pour soutenir vos choix stratégiques en termes d investissement à court et moyen termes via un regroupement facilitant la prise de décision : Investir rapidement Ce groupe rassemble les technologies «valeurs sûres» usuellement faciles à déployer et dont la gestion apporte relativement peu de contraintes pour l équipe sécurité et les lignes métiers. Ces solutions sécurité permettent aussi une bonne réduction des risques résiduels. Maintenir Déployées quasi-systématiquement, ces technologies dites «basiques» ont des effets sur les risques résiduels plus limités que les deux groupes précédents. Néanmoins, elles ont l avantage au-delà de leur popularité de bénéficier d une facilité de déploiement et de gestion qui en font des indispensables pour libérer les équipes sécurité de nombreuses tâches automatisables ou bien pour garantir une voie de recours en cas d incident. Saisir les opportunités Les technologies que l on qualifie de «contraignantes» forment ce groupe. Il convient de noter qu elles apportent un niveau de sécurité acceptable et sont de plus en plus adoptées dans les organisations soumises à de fortes régulations (finance, sociétés côtées, ). En dépit des contraintes qu elles imposent en termes de maintenance, d expertise et de charge, ces technologies sont souvent à considérer si l opportunité budgétaire et la mobilisation des acteurs de l entreprise sont réunies. Leur déploiement est généralement lié à des problématiques relatives à une incidentologie forte, à la régulation ou à des besoins spécifiques de protection de données sensibles. Surveiller Dans ce groupe, on place les technologies «en retrait». Ces solutions n ont généralement pas encore assez de maturité pour trouver un réel besoin sécurité auquel répondre, les avantages qu elles offrent sont souvent liés au confort des utilisateurs mais ces solutions restent un casse-tête pour les équipes sécurité. 16
Positionnement global des outils et technologies sécurité Impact sécurité DLP Saisir les opportunités VPN, chiffrement de flux Vulnerability Assessment IPS Hardening servers Investir rapidement Chiffrement de données Firewall poste de travail Firewall applicatif PKI IAM provisionning Surveiller Authentification forte IAM identify management Event log correlation IAM authentification VPN Accès nomade Firewall Event log centralisation IAM authorization Reverse proxy 802,1x IAM Access right workflows IAM Contrôle & Audit Maintenir Patch management Antivirus HTTP Antivirus System Anti-spam/ AV SMTP Backup serveur SLO/SSO Backup poste de travail nomade Contrôle d intégrité URL Filter Facilité de mise en œuvre et de gestion, et popularité Source : Benchmark Beijaflore, 2010 Beijaflore, 2010 17
Résultats détaillés Les solutions par environnement Les technologies et outils du benchmark ont été classés en quatre catégories d environnement : Les solutions agissant sur l infrastructure qui regroupent les technologies et outils sécurité nécessitant l ajout et/ou la configuration de serveurs : Backup, Patch management, Event log management, SLO/SSO, IAM authentification & autorisation, Les solutions agissant sur le réseau parmi lesquelles on trouve les technologies et outils sécurité qui s intègrent ou s installent directement sur le réseau : Firewall, Data Leak Prevention, Antivirus http, Anti-spam, Intrusion Prevention System, VPN, Les solutions agissant sur les processus, à savoir des technologies et outils sécurité qui modifient l usage ou l accès aux applications : IAM control & audit, identity management, access right workflows. Les solutions agissant sur le poste de travail au sein desquelles on place les technologies et outils sécurité qui modifient l usage et les fonctionnalités du poste de travail des usagers : Antivirus system, Firewall & Backup poste de travail, chiffrement de données, PKI, Le positionnement des catégories d environnement sur la matrice d évaluation Beijaflore montre deux choses : la première, que les solutions qui agissent sur le réseau diminuent globalement le risque de manière plus large et à un niveau plus acceptable que les autres solutions, la seconde, que les solutions agissant sur l infrastructure sont généralement plus complexes à gérer et déployer que les autres solutions. Les solutions les plus impactantes sur la sécurité Les résultats de ce benchmark fournissent le classement des solutions qui diminuent le plus le risque sécurité et le plus de risques sécurité, parmi lesquelles on retrouve une grande partie des solutions «valeurs sûres» précédemment définies mais également les solutions de protection DLP, IPS et Firewall, et les solutions de prévention de type chiffrement de flux (VPN) et de données ou d authentification forte. Diminution du risque sécurité - impact sur le niveau de sécurité 1. Solution qui change peu le niveau de risque ou qui est palliative / compensatoire 2. Solution qui diminue le niveau de risque sans atteindre un niveau de risque acceptable 3. Solution qui apporte un niveau de risque acceptable 4. Solution qui apporte un niveau de risque acceptable et couvrant plus de risques Résultats par impact sécurité (Top 10) Hardening server 3,8/4 VPN, chiffrement de flux 3,7/4 Data Leak Prevention (DLP) 3,6/4 Vulnerability assessment 3,6/4 Intrusion Prevention System (IPS) 3,4/4 Firewall poste de travail 3,2/4 Chiffrement de données 3,2/4 Firewall, Firewall apllicatif 3,1/4 Authentification forte 3,1/4 Patch Management 3/4 Source : Benchmark Beijaflore, 2010 18
Résultats détaillés Les solutions les plus faciles à mettre en œuvre Le classement des solutions les plus faciles à mettre en œuvre est largement dominé par les solutions du type antivirus et/ou filtre qui font aussi partie des solutions les plus déployées par les organisations, suivies de près par le patch management et le contrôle des accès. On notera également la présence des outils VPN (accès nomade), firewall personnel, backup qui se déploient facilement, ne nécessitent pas d analyse de risque en pré-production et peu d expertise. Le facteur coût n est pas pris en compte dans le critère de facilité de déploiement. En effet il est trop variable selon l ampleur des projets et les périmètres à couvrir. Il convient en revanche de le prendre en compte dans l évaluation des solutions pour l utilisation des résultats du benchmark. Résultats par facilité de déploiement (Top 10) Antivirus system 3,1/4 Anti-Spam / AV SMTP 2,9/4 Antivirus HTTP 2,9/4 URL Filter 2,8/4 Patch Management 2,8/4 Solution IAM : Contrôle & audit 2,7/4 VPN (accès nomade) 2,6/4 Firewall poste de travail 2,6/4 Backup serveur 2,6/4 Source : Benchmark Beijaflore, 2010 Event log centralisation 2,5/4 Les solutions les plus faciles à gérer Les résultats montrent que ce sont des outils sécurité autonomes ou n ayant besoin que d une gestion superficielle. Ces solutions sont majoritairement des logiciels, des algorithmes indépendants, des processus de paramétrage, d audit ou de sauvegarde dont les coûts de gestion sont quasiment transparents post déploiement. Néanmoins, ces solutions induisent généralement des contraintes pour les lignes métiers lorsqu elles cessent de fonctionner, c est pourquoi elles nécessitent souvent d être déployées à plusieurs niveaux de l architecture sécurité ou bien d être dupliquées et reliées à des ponts réseau. Résultats par facilité de gestion (Top 10) Antivirus system 3,1/4 Event log centralisation 2,9/4 Hardening servers 2,9/4 Firewall poste de travail 2,8/4 Solution IAM : Contrôle & audit 2,8/4 Anti-Spam / AV SMTP 2,7/4 Antivirus HTTP 2,6/4 Backup poste de travail (nomade) 2,6/4 Backup serveur 2,6/4 Source : Benchmark Beijaflore, 2010 Solution IAM : access right workflows 2,5/4 19
Focus sur les solutions IAM Les évolutions légales et réglementaires (Loi sur la Sécurité Financière, Sarbanes-Oxley, Solvency II...) tendent à augmenter le niveau d exigence en matière de traçabilité et de maîtrise des droits d accès. Les entreprises peinent à faire aboutir les projets IAM malgré les enjeux qui lui sont directement reliés. Le déploiement d un système de gestion des identités et accès est complexe, c est pourquoi les prérequis suivants sont nécessaires pour garantir la performance des accès : le niveau de sponsorship du projet doit être suffisant pour mobiliser les acteurs métiers (il n est donc pas DSI) ; le référentiel organisationnel doit être fiabilisé (structure & utilisateurs) ; une vue simple (macro) de l urbanisation doit être disponible. Les projets IAM doivent s appuyer sur 3 drivers essentiels : associer les responsables des équipes métiers à la construction des profils métier ; démarrer la construction des profils techniques avec les équipes IT; s appuyer sur les technologies maîtrisées de l organisation (annuaire LDAP, moteur de workflows, base de données ). La roadmap IAM doit intégrer les 4 étapes clés suivantes (cf. schéma ci-dessous) : 1. Fiabilisation des référentiels organisationnel et applicatif Le référentiel organisationnel doit permettre de distinguer la structure et les personnes. Parmi ces personnes, il est nécessaire de différencier 3 types de population : les internes (CDD, CDI), les externes (consultant, stagiaire, interim) et les partenaires (utilisateurs des ressources internes que l on ne connaît pas).enfin les statuts des personnes sont également à prendre en compte. On identifie les statuts RH avec les use cases : join, leave, move, suspend (congés, maladie, maternité ). 2. Profilage des droits Le profilage doit se faire sur la base d un référentiel organisationnel et applicatif unique pour être efficace. La définition des rôles doit conduire à une simplification de l organisation du métier, la performance sera directement diminuée si la granularité est trop importante. La construction des profils techniques doit permettre de construire l urbanisation simplifiée de chaque application et composants techniques du SI. 3. Workflows validation/gestion Les outils de workflows doivent répondre aux critères d auditabilité définis. Les workflows doivent déclencher les ordres de provisionning, l industrialisation de cette étape contribue pour beaucoup à la performance de l IAM. 4. Provisionning Roadmap IAM Référentiel applicatif Profilage technique Mise à jour des apllications & composants Référentiel organisationnel Profilage métier Workflows + Reporting Provisionning Authentification forte Source : Benchmark Beijaflore, 2010 SSO 1 2 3 4 Temps 20
Une approche par processus contrôlée Maîtrise efficiente des risques sécurité comme levier de compétitivité OPIS, une démarche éprouvée Pour apporter une réponse adéquate dans ce contexte exigeant, Beijaflore a développé une approche spécifique : OPIS. Cette proposition de valeur tient à apporter une solution claire et efficace aux besoins de protection de l information Avec OPIS, la performance opérationnelle du dispositif de sécurité est optimisée, du cadre organisationnel et politique à l accompagnement dans le choix de solutions. L approche comporte deux volets : Travailler la pertinence de l approche sécurité à travers l analyse des enjeux métiers et des risques de la sécurité des systèmes d information ; Travailler l efficience pour définir et mettre en œuvre des processus sécurité en associant les métiers et les opérateurs des processus. L approche métier est au cœur de cette proposition de valeur. Nos outils appliquent les meilleures pratiques de performance opérationnelle à la sécurité de l information. L utilisation de chaque outil a été optimisée pour : favoriser leur réutilisation ; améliorer les enchaînements entre chacune des phases ; identifier les opportunités et les bonnes pratiques à réutiliser pour chaque phase Notre méthodologie Diagnostic métier Analyse de risques Fast Track - Matrice de décision Choix des processus Optimisation des processus Nos atouts Outillage développé par nos communautés d experts et éprouvé en mission Capitalisation systématique de nos retours d expérience Utilisation d une méthodologie fondée sur les standards et les référentiels du marché Conciliation des enjeux métiers, sécurité et IT > Les B-Community du Pôle Conseil SI, en particulier la B-Community Infosec Garantie de la maîtrise de nos interventions Amélioration continue de notre démarche et de nos bases de connaissance > Une approche transverse éprouvée Souplesse et adaptabilité en fonction de vos besoins Appropriation par chaque collaborateur de l entreprise des exigences de sécurité Vos bénéfices 21
OPIS, une démarche éprouvée 1- Diagnostic multi-métiers : Objectif : comprendre les besoins en performance des métiers, aligner les processus sécurité sur ces besoins, estimer leur maturité et identifier les axes d amélioration des enjeux sécurité Livrables : consolidation des besoins et niveaux ressentis sur les 7 enjeux de performance pour chaque famille de processus ainsi que les besoins sécurité et les impacts selon 6 risques SSI macros 2- Analyse de risques : Objectif : identifier les familles de processus sécurité qui contribuent le plus à la posture SSI Outils : une méthode fortement guidée, réalisable de manière autonome par les acteurs sécurité de l entreprise qui permet d obtenir une vision cohérente entre les différents sites Livrables : une cartographie des risques et des scénarios d attaque selon une cartographie macro des processus ou du SI, un processus sécurité couvrant les scénarios d attaque 3- Optimisation des processus : Objectif : identifier les meilleures pratiques opérationnelles et stratégies de sourcing pour vos activités Outils : notre base de connaissances des bonnes pratiques en performance opérationnelle appliquées aux processus de sécurité des SI et nos outils collaboratifs d optimisation des processus Livrables : modélisation des processus existants, analyse des problèmes, analyse des causes, identification des solutions, modélisation du processus cible, sourcing des activités, définition des métriques 1,2 (Bis). Fast track : Objectif : accélérer ces deux premières phases Outils : un sondage interne qui permet de sélectionner les processus et enjeux sécurité prioritaires par l intermédiaire du jeu de carte OPIS (Outil de cartographie globale et accélérée des risques) 22
Une approche processus simplifiée Processus = système organisé d'activités corrélées ou interactives qui utilise des ressources (personnels, équipements, matériels et machines, matières premières et informations) pour transformer des éléments entrants en éléments de sortie dont est attendu un résultat qui permettra de juger de son efficacité. Le processus a un propriétaire qui est garant de sa bonne fin et de son bon fonctionnement. Optimisation des processus = améliorer les modes opératoires de chacun des processus de l entreprise. Cette optimisation peut se faire par benchmark i.e. une analyse comparative des processus entre organisations et par un travail sur les dysfonctionnements des processus de l organisation. Ces méthodes d optimisation se réalisent avec succès lorsqu elles intègrent pleinement la dimension humaine, qui facilite le changement et qui assure la pérennité des effets de la démarche. Beijaflore a construit sa démarche, ses outils et sa base de connaissance de bonnes pratiques autour de 11 familles de processus. Ce découpage, inspiré des principaux référentiels et standards du marché et éclairé par les retours d expérience du Cabinet permet d aborder plus simplement la performance opérationnelle de la sécurité. Les 11 familles de processus sécurité Beijaflore ISM3 27001 27002 EBIOS OCTAVE 11 familles de processus 50 processus de sécurité Gouvernance Stratégie Continuité Patrimoine informationnel Analyse & Conseil sécurité Ressources humaines Contrôles et audits Identités et accès Accès réseau Vulnérabilités Incidents et alertes Source : Beijaflore 23
Quelques cas pratiques Accès Pragmatisme Cadrage Habilitations Gouvernance Réactivité Politique IAM Processus IT sécurité Droits Vos enjeux Maîtrise et connaissance des accès Connaître à tout instant les droits de vos collaborateurs Limiter les risques liés au cumul de droits Savoir qui accède à vos systèmes Réactivité Garantir des temps de traitement des demandes d habilitations adaptés aux besoins de vos métiers Fluidifier les échanges de validation et anticiper sur les demandes à venir Evolutivité Construire un socle de gestion des habilitations directement effectif, pérenne et adaptable à votre évolution Use cases Pour un des leaders du monde bancaire Analyse de risques Objectifs Réduire les risques de sécurité, optimiser la méthodologie d évaluation et industrialiser l approche Réalisations Cartographie des SI des principaux processus métiers Mise au point d une méthodologie d analyse des risques industrielle Déploiement sur les flux inter applicatifs avec Direction des Risques et MOAs Pour une direction des risques Analyse de risques et sécurisation des échanges Objectifs Réduire les risques sécurité à un niveau acceptable pour le portefeuille de projets Réalisations Organisation du conseil sécurité aux projets en centre de service Outillage «risque» du catalogue de services (filtres projets, guides d évaluation des risques, dossiers sécurité, FAQ de mesures ) Accompagnement des MOAs Mise en conformité avec la sécurité Gains obtenus Outillage adapté aux besoins essentiels Cartographie de 3 SI métier Méthodologie réutilisable Gains obtenus Autonomie des chefs de projets renforcée Volume de projets suivis en forte croissance Recettes sécurité des projets critiques conformes 24
Analyse Contrôle Gouvernance Alignement Approche Cartographie Responsabiliser Projets Contrôle IT Métier Outils Vision Alignement Risques Assurer une gestion des risques efficiente Définir une méthodologie d analyse de risques adaptée à vos ressources et besoins Assurer la fiabilité des évaluations et la cohérence des résultats entre métiers, territoires, SI Responsabiliser les métiers Assimiler le vocabulaire et les usages business Rapprocher les visions IT et opérationnelle Faire valider les traitements et les risques résiduels par les métiers Prioriser les actions et les contrôles à partir des risques principaux Définir et mettre en œuvre un plan de traitement Contrôler que les mesures de sécurité essentielles sont correctement déployées Pour un spécialiste de la logistique Diagnostic de maturité et d alignement Objectifs Réaliser un diagnostic de la maturité de l activité sécurité et renforcer l alignement métier de l activité sécurité Réalisations Diagnostic sur la base d entretiens Formalisation de l évaluation de l exposition des métiers aux risques IT Identification des points faibles du SMSI Evaluation du niveau d alignement de la sécurité au métier Emission de recommandations Gains obtenus Identification des axes majeurs du plan d actions du futur RSSI Pour un fournisseur de services IT Alignement de la politique sécurité sur le métier Objectifs Diagnostiquer la maturité sécurité pour formaliser la politique de sécurité avec les métiers Réalisations Diagnostic sur la base d entretiens Formalisation de l évaluation de l exposition des métiers aux risques IT Identification des points faibles du SMSI Evaluation du niveau d alignement de la sécurité au métier Formalisation de la politique de sécurité Gains obtenus Politique de sécurité adoptée par les métiers 25
Conclusion «Décloisonner la sécurité, éliminer les dysfonctionnements et industrialiser les pratiques sont autant de leviers pour améliorer la performance opérationnelle de la sécurité. En généralisant cette démarche qui impacte alignement au métier, cohérence, couverture, coûts, réactivité, respect et réutilisation, les grands comptes seront les témoins de l amélioration globale du dispositif de sécurité.» L objectif de performance opérationnelle pour la filière sécurité implique de repenser son organisation interne, la sélection de ses services et ses interactions au service de l entreprise, de ses clients, de ses collaborateurs et partenaires. Pour répondre à cet objectif de manière efficace, les équipes sécurité doivent s organiser comme un réel centre de services et mettre en place des offres qui s adaptent aux enjeux sécurité et opérationnels des métiers. L approche outils dans l élaboration des budgets sécurité est caduque. Il est nécessaire de penser aux processus et à leur intégration dans l environnement de l entreprise dès les choix technologiques. La sélection des sujets à traiter doit favoriser une approche verticale qui s appuie sur les risques essentiels à couvrir et permet de démontrer des résultats rapidement. L appropriation du vocabulaire et des besoins métiers, leur implication en amont de la réflexion sécurité permet de les responsabiliser sur leurs risques. Les réflexions sur la performance doivent être menées en associant les participants de chacun des processus. Le renforcement des compétences sécurité des équipes IT doit s effectuer tout au long de la chaîne de valeur technologique. Il ne s agit pas uniquement d améliorer la performance opérationnelle des processus sécurité ou de déployer les meilleurs outils et technologies sécurité, il faut combiner les deux de manière efficace pour obtenir une sécurité pérenne. La sécurité doit intégrer une approche marketing tout en s appropriant les problématiques métiers et leurs plans industriels pour mieux les accompagner. Cela doit inclure la responsabilisation des métiers et l outillage en sécurité des équipes clés de la chaîne IT. 26
Annexes : Les 11 familles de processus OPIS Gouvernance Définition de l'organisation de la sécurité et des responsabilités Mise en place des structures de pilotage (comités) Gestion du corpus documentaire Reportings internes management et métiers Contrôle & Audit Définition du plan de contrôle / d'audit en partant des risques Monitoring du plan de contrôle Réalisation d'audit Suivi des plans d'action de couverture des recommandations / suivi des écarts constatés Patrimoine informationnel Définition de la grille de besoins sécurité Recensement des actifs (information) Classification des actifs Protection de l information Gestion des identités & des accès Alimentation de la base des identités (arrivée, départ, mobilité, suspension) Gestion et synchronisation des référentiels d identité Gestion des authentifiants (mots de passe / certificats ) : création, synchronisation, réinitialisation, révocation Modélisation des droits utilisateurs sur les ressources (rôles et profils) Habilitation / validation des droits (ajout, suppression, modification, verrouillage) Provisioning (centralisation, automatisation, réconciliation) Révision / recertification des droits Gestion des traces de demande, validation, provisioning des droits, et des traces de leur utilisation Vulnérabilités Veille technologique Détection des vulnérabilités Mise à jour sécurité des ressources IT Durcissement des configurations sécurité Protection contre les codes malveillants Gestion du cycle de vie des ressources IT Stratégie Formalisation de la stratégie sécurité (plan stratégique, schéma directeur, roadmap ) Pilotage du portefeuille de projets sécurité Analyse & Conseil sécurité Insertion de la sécurité au sein de la méthodologie de conduite de projets Formalisation et application d'une méthodologie d'analyse de risques macro / détaillée Conseil sécurité pour les projets Sécurité & Ressources humaines Plan de formation de la filière sécurité Sensibilisation des usagers du SI Intégration de la sécurité dans les problématiques RH (fiches de postes, accords de confidentialité ) Gestion des alertes & des incidents Collecte et centralisation des évènements (journaux systèmes, équipement réseau, outils sécurité, ticket ou boîte mail de déclaration) Qualification en alertes (ou faux positifs) puis en incidents de sécurité Réaction aux incidents de sécurité (mesures compensatoires et analyse) Clôture (correction et déclaration) des incidents de sécurité Capitalisation et analyse a posteriori des incidents de sécurité Gestion des accès réseau Principes d architecture sécurisée (DMZ, défense en profondeur, matrices de flux ) Sécurité périmétrique Gestion des connexions des tiers (partenaires, fournisseurs ) Cloisonnement, isolation de réseau, NAC Sécurisation des flux (chiffrement, VPN...) Gestion et révision des demandes d ouverture flux Continuité d activité BIA /scénarios de crises redoutés Gestion du PCA / BCP Gestion des PRA Exercices / Tests Gestion du PSI / DRP Gestion des services hautement disponibles Gestion des sauvegardes et des restaurations Source : Beijaflore 27
Pour obtenir plus d information, vous pouvez contacter : Maxime de Jabrun Practice manager - Information Security +33 1 44 30 91 09 mdejabrun410@beijaflore.com David Mahé Directeur général - Pôle Conseil SI +33 1 44 30 91 10 dmahe777@beijaflore.com Paris - Siège social Pavillon Bourdan 11-13 avenue du Recteur Poincaré 75016 Paris www.beijaflore.com Paris - La Défense Le Colisée 12 av. de l Arche 92419 La Défense Bruxelles IT Tower Avenue Louise / Louizalaan 480 1050 Brussels www.beijaflore.be Zurich Bellerivestrasse 45 8008 Zürich www.beijaflore.ch Design & impression : Solution Fab