CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

CDROM L amélioration continue de la gestion des risques René FELL Ingénieur HES en informatique Administrateur chez CDROM

CDROM en quelques mots Le Centre de Données Romand est situé au Noirmont, à 1000 m, dans le canton du Jura C est un centre conçu selon la norme ANSI/TIA 942 Tier 2 Il a pour vocation d offrir des services d hébergement à des clients très divers tels que : - secteur public : informatique du canton du Jura; centre secondaire pour le canton de Berne - secteur privé : multinationales, instituts financiers, PME Il offre également des services de type Cloud privé (Suisse) Il constitue enfin une excellente plateforme de départ pour des services IaaS, PaaS et SaaS (en collaboration avec plusieurs sociétés informatiques partenaires)

Les menaces liées à un Datacenter L approvisionnement énergétique L approvisionnement télématique L inondation L incendie La radioactivité La destruction (volontaire ou non) La malveillance La maladresse Les invités surprise!

Quelques ressources à disposition (pour un Datacenter) ANSI/TIA 942 Les recommandations indispensables au moment de la conception (physique et technique) du Datacenter COBIT Le référentiel, le guide des bonnes pratiques pour la gestion optimale et surveillée des processus liés à l informatique et à son organisation Ouvrage et méthode élaborés par un organisme indépendant (ISACA) ISO La norme 27001 (sécurité de l information) La norme 9001 (gestion de la qualité) - Audit externe - Certification - Un processus d amélioration continue Les entreprises spécialisées en sécurité Sécurité physique (bâtiments, accès, surveillance, ) Sécurité informatique et télécommunications

COBIT : Le guide des bonnes pratiques en matière de gouvernance informatique

COBIT 5 Les aspects plus spécifiquement liés à la gestion des risques 1 2

EDS03 : Définir sa ligne rouge

1 2 3 4 COBIT RACI Chart processus LSS04 «Gérer la continuité»

Gouverner débute par concevoir TIA-942 Telecommunications Infrastructure Standard for Data Centers Pour aider à la conception d un Datacenter, TIA 942, qui est un ouvrage (payant) de plusieurs centaines de pages, propose 4 types d implémentation standards répertoriés selon leur degré d aboutissement en termes de sécurité. Ce sont les «Tiers» Exemple de schéma proposé dans TIA-942

Se positionner Exemple : TIA 942 - Tiers TIER 3 TIER 2 TIER 2

L utilité de COBIT? «Framework» permettant de construire un Système de Management de la Qualité C est avant tout un outil d audit, de validation des processus Il est recommandable de l utiliser sélectivement Qu est-ce que je traite immédiatement? Qu est-ce que je traite demain? Qu est-ce que je fais traiter par d autres? Qu est-ce que je peux raisonnablement laisser de côté (pour l instant) Objectif : Construire son Système de Management de la Qualité Ecrire et valider les processus et les procédures Les assigner à des rôles Assigner les rôles à des collaborateurs Trouver un outil adéquat pour sa diffusion SMQ

Une des clés du succès : le suivi SMQ key performance indicator (KPI)

Suivre = surveiller, mesurer et agir SMQ Risques identifiés Accès non autorisé aux zones critiques du DC Approvisionnement électrique primaire Approvisionnement télématique fournisseur 1 Impact Sécurité Risque initial +++ Très faible + Assez élevé Incidents /an Problèmes /an Maximum toléré 0 0 0 / 0-3 0 3 / 1 - ++ Moyen 2 0 5 / 0 - Mesures préconisées par les opérateurs du Centre de Données Panne de climatisation +++ Moyen 5 2 3 / 0 Améliorer le système de redémarrage automatique des climatiseurs après une coupure de courant Pollution dans le centre +++ Elevé 2 0 3 / 0 Informer et surveiller les artisans qui opèrent dans le DC

La gestion des risques au quotidien Niveau opérationnel Surveiller et agir selon les processus définis Faire preuve de sens pratique, improviser si nécessaire Prendre les actions nécessaires en cas d incident ou de problème Rapporter au management rationnellement Faire des propositions d amélioration COBIT Niveau managérial Valider la consistance des processus prescrits Adapter le contenu du SMQ Surveiller l application du SMQ Rapporter à la direction (dans un langage approprié) Travailler par lots et par étapes Planifier les prochaines étapes du plan de sécurité SMQ

Gérer les risques sur le long terme Niveau Direction et CA (Gouvernance) Ecouter les managers et les collaborateurs qui sont sur le terrain Analyser les risques concrets (selon statistique d incidents et de problèmes avérés) Analyser les risques hypothétiques (rencontrés dans des entreprises similaires) Imaginer les risques futurs (veille technologique, lectures) Se faire aider par des experts Lire, participer à des évènements, dialoguer avec ses pairs Anticiper Réajuster la ligne rouge Parfaire sa stratégie et sa politique de sécurité Se donner les moyens - Prévoir les budgets nécessaires Comprendre ce que le marché attend (mes produits correspondent-ils toujours à la demande?)

Rêves et réalités Mieux vaut traiter l essentiel tout de suite que la totalité dans 5 ans Positionner les cales de manière pragmatique Les bons improvisateurs ont aussi une carte à jouer dans un environnement qui change très rapidement Les défis sont devant nous, pas dans le passé On ne peut que minimiser le risque global

Communiquer Direction (autoritaire) Aucune donnée ne doit sortir de l entreprise! Management (soumis) Tout doit être géré en interne! Opérationnel (amusé ou désabusé) Collaborateur (honnête) : Super! On va garder notre emploi! Collaborateur (espion) : Super! Tout est à notre disposition!

Communiquer avec efficience Direction (un message court, clair et complet) Notre politique de sécurité doit rendre impossible que nos données puissent être divulguées à des tiers Management (compétent et empathique) Nous allons : 1. Cloisonner nos données 2. Crypter nos données 3. Nous assurer que la restitution des données globales ne soit possible que sous certaines conditions 4. Définir des procédures claires en ce qui concerne la manipulation des données 5. Etablir des contrats de travail / fourniture de prestations très stricts au niveau de la confidentialité 6. Suivre la mise en application des directives touchant tous les aspects de la sécurité Opérationnel (attentif, appliqué) Nous allons appliquer les procédures et les consignes, parce que nous en comprenons les enjeux

Conclusions - 1 Les ouvrages de référence, les normes et les bonnes pratiques sont très utiles Trier ce qui est utile et surtout, exploitable et efficient dans son propre contexte S aligner aux besoins des utilisateurs ou des clients Un suivi de l actualité et de l évolution des technologies est indispensable La notion de risque est en perpétuelle évolution. Sa compréhension et sa gestion doivent évoluer parallèlement. Une des clés du succès est de trouver l équilibre entre : Le cout des conséquences d un risque <-> Le cout de la maitrise du risque Quid d une assurance?

Conclusions - 2 Rédiger une Charte-Sécurité compréhensible par tous est une bonne idée Une certification est rassurante et motivante C est une étape couteuse et fastidieuse, mais à forte valeur ajoutée Elle valide (ou non) la politique de sécurité adoptée. Elle ne fait - à notre avis - pas partie des toutes premières priorités Pensez à rédiger un processus pour les cas imprévus!

Merci de votre attention!