HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Documents pareils
Analyse des protections et mécanismes de chiffrement fournis par BitLocker

Menaces et sécurité préventive

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Sécurité du cloud computing

Les clauses sécurité dans un contrat de cloud

Les clauses «sécurité» d'un contrat SaaS

Prestations d audit et de conseil 2015

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Gestion des incidents

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Sécurité des applications Retour d'expérience

Retour sur investissement en sécurité

THEORIE ET CAS PRATIQUES

La sécurité applicative

L analyse de risques avec MEHARI

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Sécurité des Postes Clients

Fiche conseil n 16 Audit

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

La conformité et sa dérive par rapport à la gestion des risques

Excellence. Technicité. Sagesse

SYSTÈME DE MANAGEMENT ENVIRONNEMENTAL

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

La politique de sécurité

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Sécurité des Systèmes d Information

Mobilité et sécurité

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Créer un tableau de bord SSI

D ITIL à D ISO 20000, une démarche complémentaire

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Aspects juridiques des tests d'intrusion

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

Description de l entreprise DG

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Brève étude de la norme ISO/IEC 27003

2012 / Excellence. Technicité. Sagesse

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

CATALOGUE DE FORMATION Information Security Risk Management IT Service Management Application Security Business Continuity

L audit Informatique et la Qualité

Etude réalisée dans le contexte de la conférence AFCDP sur la NOTIFICATION DES «ATTEINTES AUX TRAITEMENT DE DONNEES PERSONNELLES»

Gestion des identités

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

Introduction sur les risques avec l'informatique «industrielle»

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Vers un nouveau modèle de sécurité

ITIL : Premiers Contacts

Montrer que la gestion des risques en sécurité de l information est liée au métier

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Contractualiser la sécurité du cloud computing

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

«ASSISTANT SECURITE RESEAU ET HELP DESK»

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Architecture des ordinateurs. Environnement Windows : sauvegarde

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

Olivier Terrettaz, Expert diplômé en finance et controlling 1

HD Help-Desk** FIRST ICT User Certificate et connaissances techniques de base

Charte de l'audit informatique du Groupe

Comprendre ITIL 2011

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

ISO conformité, oui. Certification?

ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE

ITIL V2. La gestion des incidents

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Formation Logistique Transport

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

NE PAS EXTERNALISER SA RESPONSABILITÉ

Référent et management

Service Hébergement Web

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Chapitre 1 : Introduction au contrôle de gestion. Marie Gies - Contrôle de gestion et gestion prévisionnelle - Chapitre 1

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

n spécial Assises de la Sécurité 2009

Le commissaire aux comptes et le premier exercice d un nouveau mandat

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Présenté par : Imed ENNOURI

La pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle

Les risques HERVE SCHAUER HSC


Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La fonction SSI dans l'entreprise ITSecuDay Genève, 25 mai 2012 Hervé Schauer <Herve.Schauer@hsc.fr>

Sommaire Hervé Schauer Consultants Fonction SSI dans l'organisme Rôle du RSSI Organisation fonction de la maturité Budget RSSI à la DSI : avantages et inconvénients Maturité SSI Acteurs SSI Humain Conclusion 2 / 33 Les transparents seront disponibles sur www.hsc.fr

Hervé Schauer Consultants Société de conseil en sécurité des systèmes d'information depuis 1989 Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité Windows / Unix et linux / embarqué / informatique industrielle / applications Enquêtes inforensiques / Expertise judiciaire Sécurité des réseaux : TCP/IP, téléphonie, réseaux opérateurs, réseaux industriels... Organisation de la sécurité, droit des systèmes d'information Certifications D'entreprise : ISO 9001 (formations certifiantes), OPQF, OPQCM, ARJEL, PCI-DSS Individuelles : CISSP (ISC)², ISO27001 Lead Auditor ISO27001 Lead Implementer & ISO27005 Risk Manager (LSTI), EXIN, QSA (PCI), GIAC, OSCP, etc. 3 / 33

Fonction SSI en entreprise SSI : fonction transverse Qualité Comité Hygiène et Sécurité DSI... RSSI : Responsable de la SSI A quoi sert la SSI? Que fait-il? 4 / 33

Rôle du RSSI Pourquoi un RSSI? Continuité? RSSI n'est pas nécessaire pour assurer la continuité des SI voire rarement impliqué (redondance de liens, RAID, sauvegardes...) et pas toujours impliqués dans les PRA/PCA par qui sont gérés vos incidents de disponibilité des SI? Confidentialité? RSSI est souvent impliqué. Intégrité? RSSI sera souvent impliqué dans les cas de malveillance Rarement les «simples bugs» ou la corruption (usure physique...) Qui ne sont pas des problèmes de sécurité 5 / 33

Rôle du RSSI RSSI moteur dans la réduction des risques Immédiat Approche de bas en haut (bottom-up) Rôle orienté opérationnel RSSI moteur dans la vision de son entreprise Plus long Approche du haut vers le bas (top-down) Rôle orienté fonctionnel Double approche indispensable 6 / 33

Rôle du RSSI RSSI moteur dans la réduction des risques Applique immédiatement les mesures de sécurité Suivi des mesures «bonnes pratiques» SANS Top 20 ISO27002... Gestion des incidents liés à la sécurité Sensibilisation Parfaite maîtrise technique Compétence et compréhension des dispositifs techniques Capacité à acheter de la SSI Contrôle et correction de la configuration des dispositifs techniques 7 / 33

Rôle du RSSI RSSI moteur dans la vision de son entreprise Structure et formalise la vision de la SSI dans l'entreprise Penser avant d'agir Plan avant Do Plan Act PDCA ISO 27001 Do Activité continue Check Compétence technique sans avoir l'image d'un pur technique 8 / 33

Rôle du RSSI RSSI moteur dans la vision de son entreprise Politique à la sécurité des systèmes d'information Gestion des risques en sécurité Activité continue Compétence technique indispensable là aussi Appréciation des risques Plan de traitement des risques Audits de sécurité Idem 9 / 33

Rôle du RSSI RSSI doit avoir envie de faire avancer le schmilblick de la SSI RSSI ne doit jamais être perçu comme un frein RSSI concerné par tous les systèmes d'informations Système informatique que la DSI connait Système téléphonique Système humain, papier, etc «Quand on parle c'est en clair, ce n'est pas chiffré» Systèmes industriels Aussi les infrastructures spontanées dont tout le monde se sert et pour lesquelles personne n'est au courant et qui demeurent invisibles Anticipation donc appréciation des risques en amont 10 / 33

Rôle du RSSI Approche de bas en haut (bottom-up) Gestion des risques au bon sens, à l'intruition Permet de sortir le plus rapidement possible de la zône d'humiliation* Approche du haut vers le bas (top-down) Gestion des risques Compromis entre les objectifs et les moyens Evite les tendances maximalistes de certaines influences Cycles trop long Projets trop couteux Déploiement limité pour réduire les coûts Oblige à identifier ce qui compte le plus Ordonnance l'importance des actifs entre eux * Formule copyright Alexandre Fernandez-Toro 11 / 33

Organisation fonction de la maturité Organisation avec peu de maturité SSI : RSSI = poste nouvellement créé sous l'autorité du DSI Effet que sur les projets au sein de la DSI (tant que ce n'est pas trop coûteux...) Organisation avec une bonne maturité SSI : doublerattachement RSSI au sein de la DSI, mais rend compte en dehors : DG, ou direction des risques opérationnels, ou de la conformité... 12 / 33

Organisation fonction de la maturité Organisation avec une très bonne maturité SSI : dualité du poste RSSI opérationnel (maîtrise d'œuvre de la SSI) : au sein de la DSI RSSI stratégique (MOA) : en dehors de la DSI Voire parfois dans une entité supérieure (groupe / filiales) Parfois des RSSI «hybrides» (à mi-temps dans chaque activité) Ou RSSI proches du métier mais placés dans un rôle fonctionnel SSI Organisation adaptée à la maturité... RSSI doit faire progresser la maturité de la SSI 13 / 33

Organisation fonction de la maturité Qui a décidé de créer le poste de RSSI? Qui décide en matière de SSI? Comment allouer les budgets? 14 / 33

Organisation fonction de la maturité Qui a décidé de créer le poste de RSSI? Maturité de la direction vis-à-vis de la SSI? Obligation légale, règlementaire, contractuelle? Qui a rédigé la fiche de poste? 15 / 33

Organisation fonction de la maturité Qui décide en matière de SSI? Positionnement : RSSI sous l'autorité Du DSI...? Du responsable des risques opérationnels? D'une direction sécurité-sûreté? De la DG? D'un corps d'audit ou d'inspection? D'une direction conformité? Voisinage du RSSI Instance de décision : souvent un comité SSI chargé des décisions Qui voisine autour du RSSI dans ce comité? À qui rend compte le RSSI? DSI va essayer de dissimuler ou couvrir les défauts de sécurité? 16 / 33

Organisation fonction de la maturité Comment sont alloués les budgets? Bien distinguer : Budget SSI : par essence transverse à l'organisme RH, physique, MOA-projets, Budget du RSSI : Dont le premier poste est le RSSI lui-même RSSI doit s'appuyer sur un maximum de ressources de l'organisme Ne porte pas son influence ni son autorité par la taille de son budget mais par son énergie et sa compétence 17 / 33

Budget Exemples de budget : En cas d'incident de production ayant un impact DICA Coût de résolution supporté par la production informatique Pourtant, c'est bien de la SSI! En cas de mise en place d'un pare-feu sur une infrastructure DEVRAIT être supporté par l'entité commanditaire de l'infrastructure si le pare-feu a été pensé après c'est souvent trop tard par exemple en cas d'hébergement sous-traité : l'hébergeur doit tenir compte de la demande d'un pare-feu et y répondre (éventuellement en l'intégrant dans son offre de prix) idem concernant un pare-feu sur un poste de travail (bureautique...) Cas du coût des audits de sécurité et des tests d'intrusion.. 18 / 33

Budget Budgets des audits de sécurité et des tests d'intrusion Objectif du RSSI : les faire intégrer au budget de l'application auditée En général, en l'intégrant dans le cycle de vie de l'application Tout cela suppose une réelle stratégie de sécurité au sein de l'organisation et non au sein de l'équipe sécurité ni même de la DSI 19 / 33

RSSI a la DSI Avantages constatés : Permet de tisser plus facilement un réseau de correspondants sécurité au sein de la DSI, des entités locales informatiques, Sensibilisation plus facile des acteurs SI Exploitants, chefs deprojets Favorise les échanges : «on fait partie de la même équipe» Meilleure vision de la fonction sécurité sur le fonctionnement du SI Identification des projets en amont Meilleure vision sur les projets de la DSI, sur la gestion des incidents, sur l'exploitation, les mauvaises pratiques en interne Permet de faire porter plus facilement des projets sécurité par les autres pôles internes de la DSI Au niveau budget, charge de travail, déroulement des procédures fastidieuses, 20 / 33

RSSI a la DSI Avantages constatés : Permet de proposer aux directions métiers et filiales des offres de services sécurité au même titre que les autres pôles internes à la DSI Interventions de la fonction sécurité perçues comme une assistance et non pas comme un contrôle ou un audit sanction Donne de la force à la fonction sécurité grâce à son intégration dans les processus de validation de la DSI Capable de bloquer des projets si besoin Jusqu'à la remontée au supérieur du RSSI 21 / 33

RSSI à la DSI Inconvénients constatés : Les directions métiers (clients internes à la DSI) perçoivent la fonction sécurité comme une entité prenant le partie de la DSI Pas objective Analyses et audits de complaisance Faisant de la rétention d'informations sur les pratiques réelles de la DSI, Fonction sécurité contournée par les directions métiers et filiales possédant leur propre informatique (ou DSI) : Rétention d'informations Fonctionnement disparates, Fonction sécurité contournée au sein de la DSI car RSSI et offreurs de services aux clients internes ont le même chef : le DSI 22 / 33

RSSI à la DSI Inconvénients constatés : Fonction sécurité perçue comme bloquante dans les projets sortis par la DSI Fonction sécurité volontairement omise ou intégrée aux projets au dernier moment pour empêcher les analyses fines et les blocages,... Conflits d'intérêt sur des projets d'externalisation d'activités de la DSI Présentation, pondération des risques et les mesures de sécurité choisies DSI souhaite externaliser des activités de la DSI qui amènent des risques majeurs en matière de sécurité Fonction sécurité est alors en porte-à-faux 23 / 33

RSSI à la DSI Inconvénients constatés : RSSI ne possède pas suffisamment de poids au sein de la DSI et auprès des directions métiers pour faire appliquer la politique Ne permet pas de factoriser efficacement les risques pesant sur tout le groupe Vision sur la DSI uniquement et pas sur les risques SI et métiers pesant sur les directions métiers et les filiales Complique la remontée des risques à la DG Étant donné que le supérieur du RSSI est le DSI qui n'a pas les mêmes intérêts 24 / 33

Maturité SSI Maturité s'évalue aussi par la culture d'entreprise Parallèle possible avec la qualité (ISO 9001), par exemple Comment les utilisateurs perçoivent-ils la SSI? «elle nous permet de travailler efficacement, sereinement» «elle permet aux systèmes de bien fonctionner» «c'est un mal nécessaire face aux menaces d'aujourd'hui» «ça nous ralentit, mais on fait avec sans y adhérer pleinement» «en théorie, il y en a, mais on ne l'applique même pas» «la quoi?» Deux assertions antinomiques : «L'utilisateur est le maillon faible de la sécurité» Galvaudé, façon de se placer au-dessus des employés, méprisant «L'utilisateur est le maillon fort de la sécurité» Valorisant, oblige à se remettre en question 25 / 33

Maturité SSI Maturité dans l'application de la SSI Dans un organisme avec une SSI «mature» : SSI devient transparente Mieux que «faire adhérer l'utilisateur», c'est devenu une façon normale de travailler : habitudes de travail sans même y penser Culture d'entreprise évidemment très longue à acquérir Mais le grand facteur de «succès» de la SSI Plus exactement, l'utilisateur n'adhère pas vraiment à la SSI Il a pris l'habitude d'effectuer certains gestes, qui participent à la sécurité sans qu'il en ait nécessairement conscience Par la contrainte, par le mimétisme, par l'ergonomie des outils... Mais ne pas compter sur l'utilisateur pour participer de lui-même à la sécurité Ne pas oublier les freins naturels de l'homme face au changement 26 / 33

Maturité SSI On peut supposer que le RSSI aura réussi sa mission dans ce cas En réalité, l'objectif personnel du RSSI est-il le même que l'objectif collectif de l'organisme qui l'emploie? Objectif du RSSI lui est très personnel, et d'un individu à l'autre... Réduire objectivement les risques SSI pour son organisme Éviter à tout prix les incidents SSI Faire en sorte que son organisme survive à tout incident SSI Acquérir de l'importance et obtenir du budget SSI Déployer de la «belle» sécurité : ISO 27001, PKI, NAC, SIEM... Optimiser les investissements de la SSI (efficience) Exprimer les risques pour les faire accepter par d'autres Bien dormir la nuit malgré la pression Se faire bien voir de sa hiérarchie, augmenter son salaire Profiter des avantages liés à la fonction (voyages, salons...) Coïncidence avec l'intérêt collectif n'est pas automatique... 27 / 33

Maturité SSI Évolution de la maturité SSI Les utilisateurs sont le principal facteur de succès Problème : faire changer les habitudes La SSI peut réussir à se montrer utile auprès des utilisateurs de la MOA SI au «pur» métier (transport routier par exemple)... et pourtant susciter des freins! de la part du middle-management Parce que la SSI est «transverse» Parce que la SSI touche tout l'organisme Parce que la SSI court-circuite la chaîne hiérarchique Parce que l'humain est naturellement réfractaire au changement Parce que le middle-management craint de perdre le contrôle : Crainte des «transversalités» 28 / 33

Acteurs de la SSI Autour du RSSI : différents acteurs lui sont nécessaires pour accomplir sa mission Direction Comités de décision multi-entités MOA SSI et MOE SSI MOA des SI et MOE des SI Utilisateurs des SI Auditeurs, inspection interne, contrôle interne... Homologues Responsables continuité d'activité Moyens généraux... Juristes Correspondant Informatique et Libertés, responsable données personelles 29 / 33

Humain Humain vs Budget Sécurité Humains Humain maillon fort? Informaticien maillon faible? Aucun produit ne fait de la sécurité, seul l'humain fait la sécurité Configure Programme Gère Alerte Analyse 30 / 33

Humain Quand l'anti-virus remonte une alerte si l'exploitant dit "c'est normal ce sont des nases dans ce réseau il y en a tout le temps" alors le logiciel malfaisant est passé, toute l'infrastructure est compromise... SSI dépend de la volonté des individus SSI dépend beaucoup plus de la volonté des individus que des budgets 31 / 33

Humain Gestion des ressources humaines carotte et bâton Si divulgation d'information bâton (prison, amende), pas suffisant pour être efficace Si bonne hygiène de vie avec le système d'information, alors carotte Doit être intégré dans l'avancement, dans les entretiens annuels Former les gens à des formations inter-entreprises Indispensable pour croiser les expériences avec d'autres secteurs d'activités 32 / 33

Conclusion SSI : fonction critique La référence complète du RSSI! 3e édition Jamais d'organisation idéale Adaptation indispensable «réintroduisez de l'humain dans les processus» Sécurité est un processus Questions? Herve.Schauer@hsc.fr www.hsc.fr 33 / 33

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back