risk manager
Transcription
risk manager
Atelier A10 Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI ? Atelier A10 1 Intervenants Pascal LOINTIER CLUSIF (Club de la Sécurité de l’Information Français) Président [email protected] Sébastien RIMBERT Ernst & Young Senior Manager Risk Advisory [email protected] Modérateur François BEAUME Atelier A10 Dalkia Responsable du Département Risk Management [email protected] 2 Objectifs de l’Atelier Quoi ? Les sujets SI dans lesquels le Risk Manager est, où peut être, impliqué. Qui ? Qui seront ses interlocuteurs ? Quel rôle ? Quelle valeur ajoutée du Risk Management dans ce/ces process ? Atelier A10 3 Risk Managers : quels profils ? Trois catégories de Risk Manager « AP » regroupant ceux en charge des activités d’Assurance et de Prévention. « ERM » englobe ceux qui sont tournés vers la Gestion Globale des Risques, y compris ceux dédiant une part significative de leur temps au contrôle interne. « AP & ERM » concerne les personnes dont l’activité est à la fois orientée vers l’Assurance et la Prévention et vers la Gestion Globale des Risques. Atelier A10 4 Le Système d’Information (SI) Quel(s) SI ? Quelle(s) transformation(s) ? Quelques exemples : - Migration d’un ancien système vers un ERP (PGI : Progiciel de Gestion Intégré), - Externalisation vers le Cloud, - Numérisation des automates de production industrielle, - Services généraux sur IP, - …/… Atelier A10 5 Le Système d’Information (SI) … ou les Systèmes d’informations historiques : Management Infogérance/Externalisation (dont CLOUD) Téléphonie (IPBX) Services Généraux Production/Régulation BYOD (Bring Your Own Device), équipement possédé par l’employé Biomédical, équipement embarqué sur l’employé Atelier A10 6 Services Généraux sur IP Clonage de badge sans contact Ouverture de serrures à distance Brouillage GSM (GPS de géolocalisation) Arrêt de la ventilation Atelier A10 Destruction du groupe électrogène Brouillage ou modification d’angle de vidéosurveillance 7 « SCADA » et réseaux industriels Production Régulation Signalisation Configuration Houston (E-U), 2011 : hacking de la gestion de l’eau de la ville, capture d’écran comme preuve Atelier A10 8 TCP/IP (un des protocoles d’Internet) Ethernet (un des protocole de « réseau local » Systèmes d’exploitation standards (Win-CE, Linux) Accès maintenance à distance (via modem mais le plus souvent via Internet) M2M (dialogue directement entre machines) Différents SI et acteurs impliqués Acteurs SI Responsable(s) métier(s) DSI DJ/CIL Projet de mise en place d’ERP Projet de mise en place d’un SIGR 4 4 4 4 4 4 4 RSSI Contrôle Interne Cloud SI de production 4 4 4 4 Services généraux – Sécurité 4 4 …/… 4 Zones d’intervention du Risk Management sur une problématique SI et ce quelque soit l’acteur, le SI ou son rôle (ERM, AP, les 2). Atelier A10 9 … En savoir plus RM et RSSI Deux métiers s’unissent pour la gestion des risques liés au SI Commission Systèmes d’Information de l’AMRAE en partenariat avec le CLUSIF (Club de la Sécurité de l’Information Français) Atelier A10 10 Types de rôles du Risk Manager Son implication peut se décliner sous les rôles, non exclusifs, suivants : Contributeur : Participe au projet (mise en sécurité, transformation, etc.) notamment par la réalisation d’analyse des risques Demandeur : Mise en adéquation du plan d’assurance par rapport à l’évolution de l’exposition Consulté : Financement de la crise et du plan de reprise Prescripteur : Impose un niveau de sécurité, le respect de conformités (internes/externes) Valideur : Adéquation des procédures de sécurité par rapport aux exigences de conformité Atelier A10 11 Quelques illustrations … … du rôle et des relations du Risk Manager avec les différents acteurs SI impliqués au travers de 4 zooms : #1 - Mise en place d’un ERP #2 - Cloud & sécurité physique #3 - Intrusion & réglementaire #4 - Mise en place d’un SIGR Atelier A10 12 La place du Risk Manager dans un projet de transformation SI Zoom #1 : L’exemple de la mise en place d’un ERP Atelier A10 13 Un rôle clé à jouer par le Risk Manager Niveaux d’implication •Risques associés au projet SI •Intégration de la dimension « risque » dans la conception d’un ERP RISK MANAGER Valeur ajoutée du risk manager Atelier A10 •Méthodologie ERM •Cartographie des risques utilisée comme un des outils de pilotage du projet •Apporter un prisme risque / contrôle souvent mal appréhendé 14 Risques associés au projet SI Principales étapes Valeur ajoutée du Risk Manager 1 Analyse des risques du projet Intégration de la dimension « risque » dans le projet SI Atelier A10 Vision « large » des risques (stratégique, opérationnel, financier, humain, gestion de projet) Apport de méthodologie (identification et hiérarchisation des risques) 2 Traitement des risques Apport de méthodologie : définition du niveau d’appétence aux risques et choix de la stratégie de traitement des risques 3 Pilotage et suivi Apport d’outils (ex : tableau de bord de suivi des risques) 15 Intégration de la dimension «risque » dans la conception d’un ERP Atelier A10 16 La place du Risk Manager dans un projet de transformation SI Zoom #2 : Cloud & sécurité physique Atelier A10 17 CLOUD : haute indisponibilité… parfois ! Tendances – Virtualisation La virtualisation comme un ensemble de techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitation et/ou plusieurs applications, séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes (Wikipedia) – Cloud computing L'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts en délocalisant leurs contenus et en utilisant des applications à distance. Mais « c'est un cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes traditionnelles », a estimé John Chambers, PDG de Cisco (01net, 27/04/2009) Atelier A10 18 Source : CLUSIF, Panorama Cybercriminalité, année 2009 CLOUD : haute indisponibilité… parfois ! - Haute disponibilité La haute disponibilité est un terme souvent utilisé en informatique, à propos d'architecture de système ou d'un service pour désigner le fait que cette architecture ou ce service a un taux de disponibilité convenable (wikipedia) Pour mesurer la disponibilité, on utilise souvent un pourcentage essentiellement composé de '9' : 99% désigne le fait que le service est indisponible moins de 3,65 jours par an 99,9%, moins de 8,75 heures par an 99,99%, moins de 52 minutes par an 99,999%, moins de 5,2 minutes par an 99,9999%, moins de 54,8 secondes par an 99,99999%, moins de 3,1 secondes par an Etc. – – – – – – – Atelier A10 19 Et pourtant… Haute indisponibilité… parfois ! Variétés d’incidents Panne électrique (UPS) et crash disques au redémarrage Feu électrique, destruction du générateur de secours et de l’UPS, commutateurs électriques, etc. Mise à jour corrective qui bogue Mauvaise configuration du routage entre 2 Data Center Attaque en DDoS ciblant des ressources DNS dans un Data Center spécifique … Atelier A10 20 Haute indisponibilité… parfois ! Des effets secondaires Temps de redémarrage des serveurs Crash des disques Destruction par incendie, le reste par inondation pour extinction… Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients) Saisie des serveurs (FBI chez Core IP Networks, Texas) Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients) Twitter « interdit » de mise à jour par une Administration le dimanche de juin d’une élection (2009)… … Atelier A10 21 Les machines virtuelles Atelier A10 22 Un chantier comme les autres… Vélizy, 2011, construction d’une ligne de tramway La seule fibre optique : le secours en boucle était planifié …après les travaux de voirie Atelier A10 23 Source : CLUSIF, Panorama Cybercriminalité, année 2011 Des impacts immédiats Des opérateurs touchés Le site d’un hébergeur dans le noir Et des organisations fortement impactées (coupure/bascule PRA) … : 250.000 euros de perte, 120 personnes au chômage technique Temps de réparation : 8H… puis la reprise post-incident Atelier A10 24 Zoom #2 – En savoir plus L'infogérance : externalisation de services informatiques et gestion des risques Commission Systèmes d’Information de l’AMRAE en partenariat avec le CLUSIF (Club de la Sécurité de l’Information Français) Cahier technique disponible en téléchargement sur les sites : www.amrae.fr www.clusif.asso.fr Atelier A10 25 La place du Risk Manager dans un projet de transformation SI Zoom #3 : L’intrusion et la réglementation Atelier A10 26 Hacktivisme et Sony Début avril, Anonymous réclame le droit au débridage (jailbreak) de la PS3. Il souhaite aussi l’arrêt des poursuites à l’encontre de Georges Hotz (pseudo GeoHot). Entre le 16 avril et le 19 juin, plus de 20 attaques sont référencées. Plus de 100 millions d’individus voient leurs données personnelles détournées. Le 23 mai, en pleine période de crise, Sony annonce déjà une enveloppe de $170 million (14 billions de yen) pour répondre aux attaques. L’un des nombreux messages des Anonymous à Sony Atelier A10 27 Source : CLUSIF, Panorama Cybercriminalité, année 2011 Médiatiquement, la variation de cours 11 mars 2011 (tremblement de terre & tsunami) SONY (SON1.MU) Sony PSN Online Sony PSN Offline 10 12/13 Rumeur de piratage 06 05 17/19 21 Atelier A10 28 Les premiers impacts Remise en état du système Gestion des fraudes aux cartes (buzz à propos du black market) Durcissement de la sécurité (Sony était conforme PCI-DSS…) Embauche d’un RSSI Groupe Mais aussi/surtout des poursuites : class action, pénalités, préjudices subis …estimation à 122 millions USD Atelier A10 29 Les impacts, suite Source : Jean-Laurant Santoni, Gras Savoye, journée cybercriminalité, UCL, Lille, 2011 Atelier A10 30 La place du Risk Manager dans un projet de transformation SI Zoom #4 : La mise en place d’un Système d’Information de Gestion des Risques (SIGR) Atelier A10 31 Bénéfices d’un SIGR pour le Risk Manager Quelles fonctionnalités attendre ? Quels enjeux? Formalisation / Gestion des référentiels Formaliser, homogénéiser et pérenniser une base de connaissance dans un outil unique Evaluation des risques (cartographie) – Risque inhérent / résiduel / cible Faciliter la comparaison pluriannuelle de l’exposition aux risques et suivre son évolution Sécuriser et tracer les données de manière fiable et centralisée Progiciel adapté Consacrer moins de temps à la consolidation des données et plus de temps à l’analyse Traitement des risques (gestion et suivi des plans d’action) Collecte et suivi des incidents Rapports pré-formatés, tableaux de bord pour analyse Atelier A10 32 Une implication clé du Risk Manager … … à chacune des phases de mise en place du SIGR ! Sélection de la solution Management de projet Phase 1 Phase 2 Déploiement Phase 3 Quelle solution est la plus adaptée à mes besoins particuliers? Les besoins sont-ils correctement spécifiés et intégrés dans la solution? La conduite de changement est-elle optimale? ► Analyse des besoins et rédaction ► Animation d’ateliers de spécifications ► Formation des utilisateurs sur du cahier des charges. ► Identification des acteurs clefs ► Préparation d’une grille d’analyse et soutenance des éditeurs. les concepts métiers. fonctionnelles. ► Rédaction des spécifications ► Assistance à la conduite de fonctionnelles. ► Rédaction du cahier de tests fonctionnels. ► Assistance aux tests fonctionnels. Management de projet Atelier A10 ► Assistance aux formations outil. 33 changement Zoom#4 – En savoir plus Panorama des SIGR 2012 Cahier technique disponible en téléchargement sur le site www.amrae.fr Première présentation : Aujourd’hui, 12h30, Espace animation de l’AMRAE. Atelier A10 34 En synthèse … Quel rôle ? La valeur ajoutée du Risk Management (et de facto du Risk Manager) dans ces process est maximisée si elle s’accompagne notamment : - d’un apport de méthode (analyse, appréciation, suivi des incidents, etc.), - de l’apport d’un éclairage alternatif par les risques, souvent peu ou mal appréhendé, - d’une sensibilisation au risque et à son traitement. Atelier A10 35 En synthèse … Quoi ? Le Risk Manager peut, et doit, s’impliquer dans les sujets SI car le SI n’est ni : - un sujet propriétaire, - purement technique. En revanche c’est sujet encore nouveau et très évolutif : le coût d’acquisition (compréhension du sujet, du vocabulaire, etc.) pour le Risk Manager peut sembler élevé mais est désormais nécessaire. Atelier A10 36 Des questionnements subsistent … Pour la partie Assurance, le Risk Manager à besoin de fournisseurs et partenaires ayant la même compréhension que lui des enjeux associés, et de fait des offres adaptées. Où en sont sur ces sujets les : - assureurs & réassureurs ? - courtiers ? - experts d’assuré et d’assureur ? Des points de contrôle « classiques » mais toujours valables dans ce nouveau contexte : - libellé des définitions - définition du périmètre (du SI, etc.) - analyse technique de l’exposition Atelier A10 37 Merci ! La présentation sera en ligne dès la semaine prochaine sur www.amrae.fr Atelier A10 38