risk manager

Transcription

risk manager
Atelier A10
Quelle(s) place(s) pour le Risk
Management dans un projet de
transformation SI ?
Atelier A10
1
Intervenants
Pascal LOINTIER
CLUSIF (Club de la Sécurité de l’Information Français)
Président
[email protected]
Sébastien RIMBERT
Ernst & Young
Senior Manager Risk Advisory
[email protected]
Modérateur
François BEAUME
Atelier A10
Dalkia
Responsable du Département Risk Management
[email protected]
2
Objectifs de l’Atelier
Quoi ?
Les sujets SI dans lesquels le Risk Manager est, où
peut être, impliqué.
Qui ?
Qui seront ses interlocuteurs ?
Quel rôle ?
Quelle valeur ajoutée du Risk Management dans
ce/ces process ?
Atelier A10
3
Risk Managers : quels profils ?
Trois catégories de Risk Manager
« AP » regroupant ceux en charge des activités d’Assurance
et de Prévention.
« ERM » englobe ceux qui sont tournés vers la Gestion
Globale des Risques, y compris ceux dédiant une part
significative de leur temps au contrôle interne.
« AP & ERM » concerne les personnes dont l’activité est à la
fois orientée vers l’Assurance et la Prévention et vers la
Gestion Globale des Risques.
Atelier A10
4
Le Système d’Information (SI)
Quel(s) SI ?
Quelle(s) transformation(s) ?
Quelques exemples :
- Migration d’un ancien système vers un ERP (PGI : Progiciel
de Gestion Intégré),
- Externalisation vers le Cloud,
- Numérisation des automates de production industrielle,
- Services généraux sur IP,
- …/…
Atelier A10
5
Le Système d’Information (SI)
… ou les Systèmes d’informations historiques :
 Management
 Infogérance/Externalisation (dont CLOUD)
 Téléphonie (IPBX)
 Services Généraux
 Production/Régulation
 BYOD (Bring Your Own Device), équipement
possédé par l’employé
 Biomédical, équipement embarqué sur
l’employé 
Atelier A10
6
Services Généraux sur IP
Clonage de badge
sans contact
Ouverture de
serrures à
distance
Brouillage GSM
(GPS de
géolocalisation)
Arrêt de la
ventilation
Atelier A10
Destruction du
groupe
électrogène
Brouillage ou
modification
d’angle de
vidéosurveillance
7
« SCADA » et réseaux industriels
 Production
 Régulation
 Signalisation
 Configuration
Houston (E-U), 2011 : hacking de la gestion de
l’eau de la ville, capture d’écran comme preuve
Atelier A10
8
 TCP/IP (un des protocoles
d’Internet)
 Ethernet (un des protocole
de « réseau local »
 Systèmes d’exploitation
standards (Win-CE, Linux)
 Accès maintenance à
distance (via modem mais
le plus souvent via
Internet)
 M2M (dialogue directement
entre machines)
Différents SI et acteurs impliqués
Acteurs SI
Responsable(s)
métier(s)
DSI
DJ/CIL
Projet de mise en
place d’ERP
Projet de mise en
place d’un SIGR
4
4
4
4
4
4
4
RSSI
Contrôle Interne
Cloud
SI de production
4
4
4
4
Services
généraux –
Sécurité
4
4
…/…
4
Zones d’intervention du Risk Management sur une problématique SI et
ce quelque soit l’acteur, le SI ou son rôle (ERM, AP, les 2).
Atelier A10
9
…
En savoir plus
RM et RSSI
Deux métiers s’unissent pour la
gestion des risques liés au SI
Commission Systèmes d’Information de
l’AMRAE en partenariat avec le CLUSIF (Club de
la Sécurité de l’Information Français)
Atelier A10
10
Types de rôles du Risk Manager
Son implication peut se décliner sous les rôles, non exclusifs,
suivants :
Contributeur :
Participe au projet (mise en sécurité, transformation, etc.) notamment par la réalisation d’analyse
des risques
Demandeur :
Mise en adéquation du plan d’assurance par rapport à l’évolution de l’exposition
Consulté :
Financement de la crise et du plan de reprise
Prescripteur :
Impose un niveau de sécurité, le respect de conformités (internes/externes)
Valideur :
Adéquation des procédures de sécurité par rapport aux exigences de conformité
Atelier A10
11
Quelques illustrations …
… du rôle et des relations du Risk Manager
avec les différents acteurs SI impliqués au
travers de 4 zooms :
#1 - Mise en place d’un ERP
#2 - Cloud & sécurité physique
#3 - Intrusion & réglementaire
#4 - Mise en place d’un SIGR
Atelier A10
12
La place du Risk Manager dans un projet de
transformation SI
Zoom #1 :
L’exemple de la mise en place d’un ERP
Atelier A10
13
Un rôle clé à jouer par le Risk Manager
Niveaux
d’implication
•Risques associés au projet
SI
•Intégration de la dimension
« risque » dans la conception
d’un ERP
RISK MANAGER
Valeur
ajoutée du
risk manager
Atelier A10
•Méthodologie ERM
•Cartographie des risques
utilisée comme un des outils
de pilotage du projet
•Apporter un prisme risque /
contrôle souvent mal
appréhendé
14
Risques associés au projet SI
Principales étapes
Valeur ajoutée du Risk Manager
1 Analyse des risques du projet
Intégration
de la
dimension
« risque »
dans le
projet SI
Atelier A10
Vision
« large » des risques (stratégique,
opérationnel, financier, humain, gestion de
projet)
Apport de méthodologie (identification et
hiérarchisation des risques)
2
Traitement des risques
Apport
de méthodologie : définition du
niveau d’appétence aux risques et choix de la
stratégie de traitement des risques
3
Pilotage et suivi
Apport
d’outils (ex : tableau de bord de
suivi des risques)
15
Intégration de la dimension «risque »
dans la conception d’un ERP
Atelier A10
16
La place du Risk Manager dans un projet de
transformation SI
Zoom #2 :
Cloud & sécurité physique
Atelier A10
17
CLOUD : haute indisponibilité… parfois !
Tendances
– Virtualisation
La virtualisation comme un ensemble de techniques matérielles et/ou
logicielles qui permettent de faire fonctionner sur une seule machine
plusieurs systèmes d'exploitation et/ou plusieurs applications,
séparément les uns des autres, comme s'ils fonctionnaient sur des
machines physiques distinctes (Wikipedia)
– Cloud computing
L'« informatique dans les nuages » permet aux entreprises de réduire
leurs coûts en délocalisant leurs contenus et en utilisant des
applications à distance. Mais « c'est un
cauchemar pour la sécurité et elle ne peut
pas être traitée par les méthodes
traditionnelles », a estimé John Chambers,
PDG de Cisco (01net, 27/04/2009)
Atelier A10
18
Source : CLUSIF, Panorama Cybercriminalité, année 2009
CLOUD : haute indisponibilité… parfois !
- Haute disponibilité
La haute disponibilité est un terme souvent utilisé en informatique,
à propos d'architecture de système ou d'un service pour désigner
le fait que cette architecture ou ce service a un taux de
disponibilité convenable (wikipedia)
Pour mesurer la disponibilité, on utilise souvent un
pourcentage essentiellement composé de '9' :
99% désigne le fait que le service est indisponible
moins de 3,65 jours par an
99,9%, moins de 8,75 heures par an
99,99%, moins de 52 minutes par an
99,999%, moins de 5,2 minutes par an
99,9999%, moins de 54,8 secondes par an
99,99999%, moins de 3,1 secondes par an
Etc.
–
–
–
–
–
–
–
Atelier A10
19
Et pourtant…
Haute indisponibilité… parfois !
Variétés d’incidents
Panne électrique (UPS) et crash disques au redémarrage
Feu électrique, destruction du générateur de secours et de
l’UPS, commutateurs électriques, etc.
Mise à jour corrective qui bogue
Mauvaise configuration du routage entre 2 Data Center
Attaque en DDoS ciblant des ressources DNS dans un Data
Center spécifique
…
Atelier A10
20
Haute indisponibilité… parfois !
Des effets secondaires
 Temps de redémarrage des serveurs
 Crash des disques
 Destruction par incendie, le reste par inondation pour extinction…
 Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions
de dollars à ses Clients)
 Saisie des serveurs (FBI chez Core IP Networks, Texas)
 Perte de contrats (prestataire mais aussi pour l’entreprise
commerciale vis-à-vis de ses propres clients)
 Twitter « interdit » de mise à jour par une Administration le
dimanche de juin d’une élection (2009)…
…
Atelier A10
21
Les machines virtuelles 
Atelier A10
22
Un chantier comme les autres…
Vélizy, 2011, construction d’une ligne de tramway
La seule fibre optique : le secours en
boucle était planifié …après les travaux
de voirie
Atelier A10
23
Source : CLUSIF, Panorama Cybercriminalité, année 2011
Des impacts immédiats
Des opérateurs touchés
Le site d’un hébergeur dans le noir
Et des organisations fortement impactées (coupure/bascule PRA)
…
: 250.000 euros de perte, 120 personnes au chômage technique
Temps de réparation : 8H… puis la reprise post-incident
Atelier A10
24
Zoom #2 – En savoir plus
L'infogérance : externalisation
de services informatiques et
gestion des risques
Commission Systèmes d’Information de
l’AMRAE en partenariat avec le CLUSIF (Club de
la Sécurité de l’Information Français)
Cahier technique disponible en téléchargement
sur les sites :
www.amrae.fr
www.clusif.asso.fr
Atelier A10
25
La place du Risk Manager dans un projet de
transformation SI
Zoom #3 :
L’intrusion et la réglementation
Atelier A10
26
Hacktivisme et Sony
Début avril, Anonymous réclame le droit au
débridage (jailbreak) de la PS3. Il souhaite
aussi l’arrêt des poursuites à l’encontre de
Georges Hotz (pseudo GeoHot).
Entre le 16 avril et le 19 juin, plus de 20
attaques sont référencées. Plus de 100
millions d’individus voient leurs données
personnelles détournées.
Le 23 mai, en pleine période de crise, Sony
annonce déjà une enveloppe de $170 million
(14 billions de yen) pour répondre aux
attaques.
L’un des nombreux messages des
Anonymous à Sony
Atelier A10
27
Source : CLUSIF, Panorama Cybercriminalité, année 2011
Médiatiquement, la variation de cours
11 mars 2011 (tremblement de terre &
tsunami)
SONY (SON1.MU)
Sony PSN Online
Sony PSN Offline
10
12/13
Rumeur de piratage
06
05
17/19
21
Atelier A10
28
Les premiers impacts
Remise en état du système
Gestion des fraudes aux cartes (buzz à propos du
black market)
 Durcissement de la sécurité (Sony était conforme
PCI-DSS…)
 Embauche d’un RSSI Groupe
 Mais aussi/surtout des poursuites :
 class action,
 pénalités,
 préjudices subis
 …estimation à 122 millions USD


Atelier A10
29
Les impacts, suite
Source : Jean-Laurant
Santoni, Gras Savoye,
journée cybercriminalité,
UCL, Lille, 2011
Atelier A10
30
La place du Risk Manager dans un projet de
transformation SI
Zoom #4 :
La mise en place d’un Système d’Information
de Gestion des Risques (SIGR)
Atelier A10
31
Bénéfices d’un SIGR pour le Risk Manager
Quelles fonctionnalités attendre ?
Quels enjeux?
Formalisation / Gestion des
référentiels
Formaliser, homogénéiser et pérenniser
une base de connaissance dans un outil
unique
Evaluation des risques
(cartographie) – Risque inhérent /
résiduel / cible
Faciliter la comparaison
pluriannuelle de l’exposition aux
risques et suivre son évolution
Sécuriser et tracer les
données de manière fiable
et centralisée
Progiciel
adapté
Consacrer moins de temps à la
consolidation des données et
plus de temps à l’analyse
Traitement des risques (gestion
et suivi des plans d’action)
Collecte et suivi des incidents
Rapports pré-formatés, tableaux
de bord pour analyse
Atelier A10
32
Une implication clé du Risk Manager …
… à chacune des phases de mise en place du SIGR !
Sélection de la solution
Management de projet
Phase 1
Phase 2
Déploiement
Phase 3
Quelle solution est la plus adaptée
à mes besoins particuliers?
Les besoins sont-ils correctement
spécifiés et intégrés dans la solution?
La conduite de changement
est-elle optimale?
► Analyse des besoins et rédaction
► Animation d’ateliers de spécifications
► Formation des utilisateurs sur
du cahier des charges.
► Identification des acteurs clefs
► Préparation d’une grille d’analyse
et soutenance des éditeurs.
les concepts métiers.
fonctionnelles.
► Rédaction des spécifications
► Assistance à la conduite de
fonctionnelles.
► Rédaction du cahier de tests
fonctionnels.
► Assistance aux tests fonctionnels.
Management de projet
Atelier A10
► Assistance aux formations outil.
33
changement
Zoom#4 – En savoir plus
Panorama des SIGR 2012
Cahier technique disponible en
téléchargement sur le site www.amrae.fr
Première présentation :
Aujourd’hui, 12h30, Espace
animation de l’AMRAE.
Atelier A10
34
En synthèse …
Quel rôle ?
La valeur ajoutée du Risk Management (et de facto du Risk
Manager) dans ces process est maximisée si elle s’accompagne
notamment :
- d’un apport de méthode (analyse, appréciation,
suivi des incidents, etc.),
- de l’apport d’un éclairage alternatif par les risques,
souvent peu ou mal appréhendé,
- d’une sensibilisation au risque et à son traitement.
Atelier A10
35
En synthèse …
Quoi ?
Le Risk Manager peut, et doit, s’impliquer dans les sujets SI
car le SI n’est ni :
- un sujet propriétaire,
- purement technique.
En revanche c’est sujet encore nouveau et très évolutif : le
coût d’acquisition (compréhension du sujet, du vocabulaire,
etc.) pour le Risk Manager peut sembler élevé mais est
désormais nécessaire.
Atelier A10
36
Des questionnements subsistent …
Pour la partie Assurance, le Risk Manager à besoin de
fournisseurs et partenaires ayant la même compréhension
que lui des enjeux associés, et de fait des offres adaptées.
Où en sont sur ces sujets les :
- assureurs & réassureurs ?
- courtiers ?
- experts d’assuré et d’assureur ?
Des points de contrôle « classiques » mais toujours valables
dans ce nouveau contexte :
- libellé des définitions
- définition du périmètre (du SI, etc.)
- analyse technique de l’exposition
Atelier A10
37
Merci !
La présentation sera en ligne dès
la semaine prochaine sur
www.amrae.fr
Atelier A10
38

Documents pareils