HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La fonction SSI dans l'entreprise ITSecuDay Genève, 25 mai 2012 Hervé Schauer <Herve.Schauer@hsc.fr>
Sommaire Hervé Schauer Consultants Fonction SSI dans l'organisme Rôle du RSSI Organisation fonction de la maturité Budget RSSI à la DSI : avantages et inconvénients Maturité SSI Acteurs SSI Humain Conclusion 2 / 33 Les transparents seront disponibles sur www.hsc.fr
Hervé Schauer Consultants Société de conseil en sécurité des systèmes d'information depuis 1989 Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité Windows / Unix et linux / embarqué / informatique industrielle / applications Enquêtes inforensiques / Expertise judiciaire Sécurité des réseaux : TCP/IP, téléphonie, réseaux opérateurs, réseaux industriels... Organisation de la sécurité, droit des systèmes d'information Certifications D'entreprise : ISO 9001 (formations certifiantes), OPQF, OPQCM, ARJEL, PCI-DSS Individuelles : CISSP (ISC)², ISO27001 Lead Auditor ISO27001 Lead Implementer & ISO27005 Risk Manager (LSTI), EXIN, QSA (PCI), GIAC, OSCP, etc. 3 / 33
Fonction SSI en entreprise SSI : fonction transverse Qualité Comité Hygiène et Sécurité DSI... RSSI : Responsable de la SSI A quoi sert la SSI? Que fait-il? 4 / 33
Rôle du RSSI Pourquoi un RSSI? Continuité? RSSI n'est pas nécessaire pour assurer la continuité des SI voire rarement impliqué (redondance de liens, RAID, sauvegardes...) et pas toujours impliqués dans les PRA/PCA par qui sont gérés vos incidents de disponibilité des SI? Confidentialité? RSSI est souvent impliqué. Intégrité? RSSI sera souvent impliqué dans les cas de malveillance Rarement les «simples bugs» ou la corruption (usure physique...) Qui ne sont pas des problèmes de sécurité 5 / 33
Rôle du RSSI RSSI moteur dans la réduction des risques Immédiat Approche de bas en haut (bottom-up) Rôle orienté opérationnel RSSI moteur dans la vision de son entreprise Plus long Approche du haut vers le bas (top-down) Rôle orienté fonctionnel Double approche indispensable 6 / 33
Rôle du RSSI RSSI moteur dans la réduction des risques Applique immédiatement les mesures de sécurité Suivi des mesures «bonnes pratiques» SANS Top 20 ISO27002... Gestion des incidents liés à la sécurité Sensibilisation Parfaite maîtrise technique Compétence et compréhension des dispositifs techniques Capacité à acheter de la SSI Contrôle et correction de la configuration des dispositifs techniques 7 / 33
Rôle du RSSI RSSI moteur dans la vision de son entreprise Structure et formalise la vision de la SSI dans l'entreprise Penser avant d'agir Plan avant Do Plan Act PDCA ISO 27001 Do Activité continue Check Compétence technique sans avoir l'image d'un pur technique 8 / 33
Rôle du RSSI RSSI moteur dans la vision de son entreprise Politique à la sécurité des systèmes d'information Gestion des risques en sécurité Activité continue Compétence technique indispensable là aussi Appréciation des risques Plan de traitement des risques Audits de sécurité Idem 9 / 33
Rôle du RSSI RSSI doit avoir envie de faire avancer le schmilblick de la SSI RSSI ne doit jamais être perçu comme un frein RSSI concerné par tous les systèmes d'informations Système informatique que la DSI connait Système téléphonique Système humain, papier, etc «Quand on parle c'est en clair, ce n'est pas chiffré» Systèmes industriels Aussi les infrastructures spontanées dont tout le monde se sert et pour lesquelles personne n'est au courant et qui demeurent invisibles Anticipation donc appréciation des risques en amont 10 / 33
Rôle du RSSI Approche de bas en haut (bottom-up) Gestion des risques au bon sens, à l'intruition Permet de sortir le plus rapidement possible de la zône d'humiliation* Approche du haut vers le bas (top-down) Gestion des risques Compromis entre les objectifs et les moyens Evite les tendances maximalistes de certaines influences Cycles trop long Projets trop couteux Déploiement limité pour réduire les coûts Oblige à identifier ce qui compte le plus Ordonnance l'importance des actifs entre eux * Formule copyright Alexandre Fernandez-Toro 11 / 33
Organisation fonction de la maturité Organisation avec peu de maturité SSI : RSSI = poste nouvellement créé sous l'autorité du DSI Effet que sur les projets au sein de la DSI (tant que ce n'est pas trop coûteux...) Organisation avec une bonne maturité SSI : doublerattachement RSSI au sein de la DSI, mais rend compte en dehors : DG, ou direction des risques opérationnels, ou de la conformité... 12 / 33
Organisation fonction de la maturité Organisation avec une très bonne maturité SSI : dualité du poste RSSI opérationnel (maîtrise d'œuvre de la SSI) : au sein de la DSI RSSI stratégique (MOA) : en dehors de la DSI Voire parfois dans une entité supérieure (groupe / filiales) Parfois des RSSI «hybrides» (à mi-temps dans chaque activité) Ou RSSI proches du métier mais placés dans un rôle fonctionnel SSI Organisation adaptée à la maturité... RSSI doit faire progresser la maturité de la SSI 13 / 33
Organisation fonction de la maturité Qui a décidé de créer le poste de RSSI? Qui décide en matière de SSI? Comment allouer les budgets? 14 / 33
Organisation fonction de la maturité Qui a décidé de créer le poste de RSSI? Maturité de la direction vis-à-vis de la SSI? Obligation légale, règlementaire, contractuelle? Qui a rédigé la fiche de poste? 15 / 33
Organisation fonction de la maturité Qui décide en matière de SSI? Positionnement : RSSI sous l'autorité Du DSI...? Du responsable des risques opérationnels? D'une direction sécurité-sûreté? De la DG? D'un corps d'audit ou d'inspection? D'une direction conformité? Voisinage du RSSI Instance de décision : souvent un comité SSI chargé des décisions Qui voisine autour du RSSI dans ce comité? À qui rend compte le RSSI? DSI va essayer de dissimuler ou couvrir les défauts de sécurité? 16 / 33
Organisation fonction de la maturité Comment sont alloués les budgets? Bien distinguer : Budget SSI : par essence transverse à l'organisme RH, physique, MOA-projets, Budget du RSSI : Dont le premier poste est le RSSI lui-même RSSI doit s'appuyer sur un maximum de ressources de l'organisme Ne porte pas son influence ni son autorité par la taille de son budget mais par son énergie et sa compétence 17 / 33
Budget Exemples de budget : En cas d'incident de production ayant un impact DICA Coût de résolution supporté par la production informatique Pourtant, c'est bien de la SSI! En cas de mise en place d'un pare-feu sur une infrastructure DEVRAIT être supporté par l'entité commanditaire de l'infrastructure si le pare-feu a été pensé après c'est souvent trop tard par exemple en cas d'hébergement sous-traité : l'hébergeur doit tenir compte de la demande d'un pare-feu et y répondre (éventuellement en l'intégrant dans son offre de prix) idem concernant un pare-feu sur un poste de travail (bureautique...) Cas du coût des audits de sécurité et des tests d'intrusion.. 18 / 33
Budget Budgets des audits de sécurité et des tests d'intrusion Objectif du RSSI : les faire intégrer au budget de l'application auditée En général, en l'intégrant dans le cycle de vie de l'application Tout cela suppose une réelle stratégie de sécurité au sein de l'organisation et non au sein de l'équipe sécurité ni même de la DSI 19 / 33
RSSI a la DSI Avantages constatés : Permet de tisser plus facilement un réseau de correspondants sécurité au sein de la DSI, des entités locales informatiques, Sensibilisation plus facile des acteurs SI Exploitants, chefs deprojets Favorise les échanges : «on fait partie de la même équipe» Meilleure vision de la fonction sécurité sur le fonctionnement du SI Identification des projets en amont Meilleure vision sur les projets de la DSI, sur la gestion des incidents, sur l'exploitation, les mauvaises pratiques en interne Permet de faire porter plus facilement des projets sécurité par les autres pôles internes de la DSI Au niveau budget, charge de travail, déroulement des procédures fastidieuses, 20 / 33
RSSI a la DSI Avantages constatés : Permet de proposer aux directions métiers et filiales des offres de services sécurité au même titre que les autres pôles internes à la DSI Interventions de la fonction sécurité perçues comme une assistance et non pas comme un contrôle ou un audit sanction Donne de la force à la fonction sécurité grâce à son intégration dans les processus de validation de la DSI Capable de bloquer des projets si besoin Jusqu'à la remontée au supérieur du RSSI 21 / 33
RSSI à la DSI Inconvénients constatés : Les directions métiers (clients internes à la DSI) perçoivent la fonction sécurité comme une entité prenant le partie de la DSI Pas objective Analyses et audits de complaisance Faisant de la rétention d'informations sur les pratiques réelles de la DSI, Fonction sécurité contournée par les directions métiers et filiales possédant leur propre informatique (ou DSI) : Rétention d'informations Fonctionnement disparates, Fonction sécurité contournée au sein de la DSI car RSSI et offreurs de services aux clients internes ont le même chef : le DSI 22 / 33
RSSI à la DSI Inconvénients constatés : Fonction sécurité perçue comme bloquante dans les projets sortis par la DSI Fonction sécurité volontairement omise ou intégrée aux projets au dernier moment pour empêcher les analyses fines et les blocages,... Conflits d'intérêt sur des projets d'externalisation d'activités de la DSI Présentation, pondération des risques et les mesures de sécurité choisies DSI souhaite externaliser des activités de la DSI qui amènent des risques majeurs en matière de sécurité Fonction sécurité est alors en porte-à-faux 23 / 33
RSSI à la DSI Inconvénients constatés : RSSI ne possède pas suffisamment de poids au sein de la DSI et auprès des directions métiers pour faire appliquer la politique Ne permet pas de factoriser efficacement les risques pesant sur tout le groupe Vision sur la DSI uniquement et pas sur les risques SI et métiers pesant sur les directions métiers et les filiales Complique la remontée des risques à la DG Étant donné que le supérieur du RSSI est le DSI qui n'a pas les mêmes intérêts 24 / 33
Maturité SSI Maturité s'évalue aussi par la culture d'entreprise Parallèle possible avec la qualité (ISO 9001), par exemple Comment les utilisateurs perçoivent-ils la SSI? «elle nous permet de travailler efficacement, sereinement» «elle permet aux systèmes de bien fonctionner» «c'est un mal nécessaire face aux menaces d'aujourd'hui» «ça nous ralentit, mais on fait avec sans y adhérer pleinement» «en théorie, il y en a, mais on ne l'applique même pas» «la quoi?» Deux assertions antinomiques : «L'utilisateur est le maillon faible de la sécurité» Galvaudé, façon de se placer au-dessus des employés, méprisant «L'utilisateur est le maillon fort de la sécurité» Valorisant, oblige à se remettre en question 25 / 33
Maturité SSI Maturité dans l'application de la SSI Dans un organisme avec une SSI «mature» : SSI devient transparente Mieux que «faire adhérer l'utilisateur», c'est devenu une façon normale de travailler : habitudes de travail sans même y penser Culture d'entreprise évidemment très longue à acquérir Mais le grand facteur de «succès» de la SSI Plus exactement, l'utilisateur n'adhère pas vraiment à la SSI Il a pris l'habitude d'effectuer certains gestes, qui participent à la sécurité sans qu'il en ait nécessairement conscience Par la contrainte, par le mimétisme, par l'ergonomie des outils... Mais ne pas compter sur l'utilisateur pour participer de lui-même à la sécurité Ne pas oublier les freins naturels de l'homme face au changement 26 / 33
Maturité SSI On peut supposer que le RSSI aura réussi sa mission dans ce cas En réalité, l'objectif personnel du RSSI est-il le même que l'objectif collectif de l'organisme qui l'emploie? Objectif du RSSI lui est très personnel, et d'un individu à l'autre... Réduire objectivement les risques SSI pour son organisme Éviter à tout prix les incidents SSI Faire en sorte que son organisme survive à tout incident SSI Acquérir de l'importance et obtenir du budget SSI Déployer de la «belle» sécurité : ISO 27001, PKI, NAC, SIEM... Optimiser les investissements de la SSI (efficience) Exprimer les risques pour les faire accepter par d'autres Bien dormir la nuit malgré la pression Se faire bien voir de sa hiérarchie, augmenter son salaire Profiter des avantages liés à la fonction (voyages, salons...) Coïncidence avec l'intérêt collectif n'est pas automatique... 27 / 33
Maturité SSI Évolution de la maturité SSI Les utilisateurs sont le principal facteur de succès Problème : faire changer les habitudes La SSI peut réussir à se montrer utile auprès des utilisateurs de la MOA SI au «pur» métier (transport routier par exemple)... et pourtant susciter des freins! de la part du middle-management Parce que la SSI est «transverse» Parce que la SSI touche tout l'organisme Parce que la SSI court-circuite la chaîne hiérarchique Parce que l'humain est naturellement réfractaire au changement Parce que le middle-management craint de perdre le contrôle : Crainte des «transversalités» 28 / 33
Acteurs de la SSI Autour du RSSI : différents acteurs lui sont nécessaires pour accomplir sa mission Direction Comités de décision multi-entités MOA SSI et MOE SSI MOA des SI et MOE des SI Utilisateurs des SI Auditeurs, inspection interne, contrôle interne... Homologues Responsables continuité d'activité Moyens généraux... Juristes Correspondant Informatique et Libertés, responsable données personelles 29 / 33
Humain Humain vs Budget Sécurité Humains Humain maillon fort? Informaticien maillon faible? Aucun produit ne fait de la sécurité, seul l'humain fait la sécurité Configure Programme Gère Alerte Analyse 30 / 33
Humain Quand l'anti-virus remonte une alerte si l'exploitant dit "c'est normal ce sont des nases dans ce réseau il y en a tout le temps" alors le logiciel malfaisant est passé, toute l'infrastructure est compromise... SSI dépend de la volonté des individus SSI dépend beaucoup plus de la volonté des individus que des budgets 31 / 33
Humain Gestion des ressources humaines carotte et bâton Si divulgation d'information bâton (prison, amende), pas suffisant pour être efficace Si bonne hygiène de vie avec le système d'information, alors carotte Doit être intégré dans l'avancement, dans les entretiens annuels Former les gens à des formations inter-entreprises Indispensable pour croiser les expériences avec d'autres secteurs d'activités 32 / 33
Conclusion SSI : fonction critique La référence complète du RSSI! 3e édition Jamais d'organisation idéale Adaptation indispensable «réintroduisez de l'humain dans les processus» Sécurité est un processus Questions? Herve.Schauer@hsc.fr www.hsc.fr 33 / 33